第1章 引言 1
第2章 网络安全等级保护的定级 3
2.1 网络安全等级保护及发展历程 3
2.2 网络安全定级的意义 4
2.3 网络安全定级的依据 5
2.4 网络安全定级的流程 8
2.4.1 确定网络安全等级保护对象 9
2.4.2 初步确定网络安全保护等级 11
2.4.3 专家评审 13
2.4.4 主管部门审核 14
2.4.5 公安机关备案审查 14
2.4.6 等级变更 14
第3章 物理和环境安全 15
3.1 物理和环境安全风险 15
3.2 物理和环境安全目标 15
3.3 物理和环境安全要求 15
3.4 物理和环境安全措施 17
第4章 网络和通信安全 25
4.1 网络和通信安全风险 25
4.2 网络和通信安全目标 25
4.3 网络和通信安全要求 26
4.4 网络和通信安全措施 28
4.4.1 网络架构安全措施 28
4.4.2 通信传输安全措施 29
4.4.3 边界防护安全措施 31
4.4.4 访问控制安全措施 33
4.4.5 入侵防范安全措施 41
4.4.6 恶意代码防范安全措施 45
4.4.7 网络安全审计措施 49
4.4.8 集中管控安全措施 50
第5章 设备和计算安全 53
5.1 设备和计算的安全风险 53
5.2 设备和计算安全防护目标 53
5.3 设备和计算安全要求 54
5.4 设备和计算安全措施 55
第6章 应用和数据安全 64
6.1 应用和数据安全面临的风险 64
6.2 应用和数据安全防护目标 65
6.3 应用和数据安全要求 66
6.4 应用和数据安全措施 70
6.5 Web应用防护 77
6.5.1 Web应用安全概述 78
6.5.2 Web应用面临的主要风险和漏洞 78
6.5.3 Web应用安全防护关键点分析 79
6.5.4 主要Web应用防护工具 80
第7章 安全建设管理 83
7.1 安全建设管理风险 83
7.2 安全建设管理目标 83
7.3 安全建设管理要求 83
7.4 安全建设管理措施 86
第8章 安全策略和管理制度 94
8.1 安全策略和管理制度的风险 94
8.2 安全策略和管理制度的目标 95
8.3 安全策略和管理制度的要求 95
8.4 安全策略和管理制度的措施 96
8.4.1 安全策略的措施 96
8.4.2 安全管理制度的措施 101
第9章 安全管理机构和人员 108
9.1 安全管理机构和人员风险 108
9.2 安全管理机构和人员管理目标 108
9.3 安全管理机构和人员管理要求 108
9.4 安全管理机构和人员管理措施 111
第10章 安全运维管理 122
10.1 安全运维管理风险 122
10.2 安全运维管理目标 122
10.3 安全运维管理要求 122
10.4 安全运维管理措施 126
10.4.1 环境管理安全措施 126
10.4.2 资产管理安全措施 129
10.4.3 介质管理安全措施 130
10.4.4 设备维护管理安全措施 133
10.4.5 漏洞和风险管理安全措施 135
10.4.6 网络和系统安全管理 136
10.4.7 恶意代码防范管理安全措施 137
10.4.8 配置管理安全措施 138
10.4.9 密码管理安全措施 139
10.4.10 变更管理安全措施 139
10.4.11 备份与恢复管理 141
10.4.12 安全事件处置 142
10.4.13 应急预案管理 143
10.4.14 外包运维管理 163
第11章 法律法规汇编 165
11.1 法律 165
11.1.1 全国人民代表大会常务委员会关于维护互联网安全的决定 165
11.1.2 全国人民代表大会常务委员会关于加强网络信息保护的决定 167
11.1.3 中华人民共和国网络安全法 168
11.2 行政法规 180
11.2.1 中华人民共和国计算机信息系统安全保护条例 180
11.2.2 中华人民共和国计算机信息网络国际联网管理暂行规定 183
11.2.3 计算机信息网络国际联网安全保护管理办法 185
11.3 部门规章 189
11.3.1 计算机信息系统安全专用产品检测和销售许可证管理办法 189
11.3.2 信息安全等级保护管理办法 192
11.3.3 国家电子政务工程建设项目管理暂行办法 200
11.3.4 互联网域名管理办法 215
11.4 政策文件 224
11.4.1 风险评估相关政策 224
11.4.2 工控安全相关政策 228
11.4.3 物联网安全相关政策 231
参考文献 236