以就業為導向，以能力為本位

學習任務引領，工作需求驅動

通用內容為主，特殊內容為輔

前 言

隨著我國經濟的持續發展和國際地位的不斷提高，我國的基礎信息網絡和重要信息系統面臨的安全威脅和安全隱患十分嚴峻，計算機病毒傳播和網絡非法入侵猖獗，犯罪分子利用一些安全漏洞，使用黑客病毒技術、網絡釣魚技術、木馬間諜程序等進行網絡盜竊、網絡詐騙、網絡賭博等違法活動，帶來了大量的社會問題。出于對信息安全的重視，國家陸續出臺了信息安全等級保護和風險評估與管理的一系列文件和標準，用以促進和指導信息安全的建設。

為加強信息安全等級保護測評機構建設和管理，規范等級測評活動，保障信息安全等級保護測評工作的順利開展，公安部下發了《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》（公信安[2010]303號），對等級測評工作、等級測評機構建設以及等級測評人員進行了規范和要求。要求開展等級測評的人員要參加專門培訓和考試，并取得由公安部信息安全等級保護評估中心頒發的“信息安全等級測評師證書”（等級測評師分為初級、中級和高級），持證上崗。

本書根據高職高專教育教學特點，面向等級保護測評師崗位，以等級保護工作實施過程所需的技術為主線選擇教材內容，闡述如何對一個信息系統進行等級保護定級、安全設計、安全建設、安全測評、安全整改等有關等級保護和風險評估的相關工作。全書共分七個章節，具體內容安排如下：

第一章，介紹了等級保護的基礎知識，內容包括：等級保護的來源、發展，等級保護的基本含義、實施原則，等級保護的相關工作部門，以及相關標準簡介等。

第二章，介紹了等級保護的實施過程，主要包括等級保護五個環節：信息系統定級、總體安全規劃、安全設計與實施、安全運行與維護和信息系統終止的主要工作內容和工作方法等。

第三章，介紹了信息系統定級的方法，包括信息系統定級的重要性、定級要素、主要的定級過程，并以學生最為熟悉的高校教育信息系統為例詳細描述了定級的方法和應用。

第四章，介紹了信息系統等級保護測評的方法和過程，主要包括等級保護測評實施過程、測評對象的確定方法、測評內容和測評要求，以及測評方案和測評報告的編制。

第五章，介紹了基于等級保護的信息系統安全建設與整改方法，包括新建系統等級保護設計和已建系統的整改方案設計等。

第六章，介紹了根據國家對“數字海洋”應用系統的定級要求，及等級保護三級標準進行建設方案的分析與設計的過程和方法。

第七章，介紹了信息安全風險評估的基本概念、原則和要求等，給出了信息安全風險評估的一般方法和流程。

本書適合作為計算機相關專業開設的“信息安全等級保護和風險評估”課程的配套教材，也適合作為考取“信息安全等級保護測評師”的學習材料，對從事網絡安全管理、網絡安全規劃與設計的工程技術人員也有一定的參考價值。

本書由重慶電子工程職業學院教師李賀華任主編（編寫第1、2、3、5和7章），武春嶺、魯先志、巍嵬（西安理工大學）和宋敦波（西昌學院）任副主編（編寫第4、6章和附錄），最后由巍嵬博士統稿，胡云兵、李騰、何倩、童均等老師參與部分內容的審稿和修訂，對本書編寫提出了寶貴意見。本書在編寫過程中參考了大量的國際標準、國家標準、專著、教材和網絡資源等，在此對其作者表示衷心的感謝。另外，由于編者水平有限，書中難免存在不妥甚至錯誤之處，請廣大讀者批評指正，不勝感激。編者的聯系方法：lihehuacqcet@yeah.net。

前言

第1章 信息安全與等級保護概述 1
1.1 等級保護的基本概念 1
1.1.1 什么是等級保護 1
1.1.2 等級保護的來源與發展 2
1.1.3 安全等級的劃分 3
1.1.4 等級保護基本原則 4
1.2 等級保護主要標準介紹 5
1.2.1 相關標準及其體系結構 5
1.2.2 十大主要標準作用簡介 9
1.3 等級保護與風險評估和安全測評 11
1.3.1 三者的基本概念和工作背景 11
1.3.2 三者的內在聯系與區別 12
1.3.3 在SDLC過程中三者的實施建議 14
思考與練習 16
第2章 等級保護工作的實施過程 17
2.1 等級保護主要工作 17
2.1.1 等級保護的實施流程 17
2.1.2 相關部門的工作責任 18
2.2 等級保護五個環節 19
2.2.1 信息系統定級 19
2.2.2 總體安全規劃 22
2.2.3 安全設計與實施 28
2.2.4 安全運行與維護 36
2.2.5 信息系統終止 44
思考與練習 46
第3章 信息系統的等級保護定級 47
3.1 信息系統定級概述 47
3.1.1 信息系統定級的重要性 47
3.1.2 安全保護等級的定級要素 48
3.1.3 安全保護等級定級方法 49
3.2 等級保護定級主要過程 50
3.2.1 確定定級對象 50
3.2.2 確定受侵害的客體 50
3.2.3 確定對客體的侵害程度 51
3.2.4 確定定級對象的安全保護等級 52
3.2.5 等級變更 53
3.3 教育信息系統分析與定級 53
3.3.1 教育信息系統等級保護的對象 53
3.3.2 教育系統受破壞時侵害的客體 58
3.3.3 教育系統受到破壞對客體的侵害
程度 59
3.3.4 教育信息系統的等級保護級別 60
思考與練習 64
第4章 基于等級保護的安全測評 65
4.1 安全等級測評實施過程 65
4.1.1 測評申請 65
4.1.2 測評準備 67
4.1.3 核查測評 68
4.1.4 測評結果評價 68
4.1.5 測評報告備案 69
4.2 確定測評對象的方法 69
4.2.1 等級測評執行主體 69
4.2.2 測評對象確定原則 69
4.2.3 具體確定方法的說明 70
4.3 等級保護測評內容與實施 72
4.3.1 單元測評內容（以三級系統為例） 72
4.3.2 整體測評內容 108
4.4 測評方案與測評報告編制 110
4.4.1 測評方案編制示例 110
4.4.2 測評報告編制示例 121
思考與練習 123
第5章 等級保護安全建設與整改 125
5.1 等級保護建設整改概述 125
5.1.1 安全建設整改目的 125
5.1.2 安全建設工作內容 126
5.1.3 安全建設整改工作流程 127
5.1.4 理解和掌握《信息安全技術 信息
系統安全等級保護基本要求》 128
5.2 新建系統安全等級保護設計 133
5.2.1 等級保護安全需求分析 133
5.2.2 安全等級與安全設計 135
5.2.3 總體安全設計方法 136
5.3 已建系統安全整改方案設計 142
5.3.1 確定系統改建的安全需求 142
5.3.2 存在差距的原因分析 142
5.3.3 分類處理的改建措施 143
5.3.4 改建措施的詳細設計 143
5.4 安全管理措施的建設與整改 144
5.4.1 安全管理制度建設流程 144
5.4.2 落實安全管理措施 145
5.4.3 安全自查與調整 147
5.5 安全技術措施的建設與整改 147
5.5.1 安全技術建設整改流程 147
5.5.2 安全保護技術現狀分析 148
5.5.3 安全技術建設整改方案設計 149
5.5.4 安全建設整改工程管理 151
思考與練習 152
第6章 等級保護方案設計與分析 153
6.1 等級保護項目設計概述 153
6.1.1 項目設計要求與任務 153
6.1.2 等級保護的建設流程 154
6.1.3 建設方案參照的標準 155
6.1.4 安全區域框架 156
6.2 系統安全風險與需求分析 157
6.2.1 安全技術需求分析 157
6.2.2 安全管理的需求分析 160
6.3 安全技術體系方案設計 161
6.3.1 方案設計目標 161
6.3.2 方案設計框架 161
6.3.3 安全技術體系設計 162
6.4 安全管理體系的設計 174
6.4.1 安全管理制度 174
6.4.2 安全管理機構 175
6.4.3 人員安全管理 175
6.4.4 系統建設管理 175
6.4.5 系統運維管理 175
6.5 安全運維服務的設計 175
6.5.1 安全掃描 176
6.5.2 人工檢查 176
6.5.3 安全加固 176
6.5.4 日志分析 179
6.5.5 補丁管理 179
6.5.6 安全監控 180
6.5.7 安全通告 181
6.5.8 應急響應 181
6.6 方案合規性分析 183
6.6.1 技術部分 183
6.6.2 管理部分 193
思考與練習 201
第7章 信息安全風險評估與實施 202
7.1 等級保護中的風險評估 202
7.1.1 風險評估對等級保護的意義 202
7.1.2 風險評估的主要依據 203
7.2 風險評估框架及流程 204
7.2.1 風險要素與屬性關系 204
7.2.2 風險分析主要內容 205
7.2.3 風險評估一般流程 205
7.3 風險評估實施過程 206
7.3.1 風險評估的準備 206
7.3.2 資產識別 207
7.3.3 威脅識別 210
7.3.4 脆弱性識別 212
7.3.5 已有安全措施的確認 214
7.3.6 風險分析 214
7.3.7 風險評估文件記錄 216
7.4 風險的計算方法 217
7.4.1 使用矩陣法計算風險 217
7.4.2 使用相乘法計算風險 221
7.5 風險評估的角色與工具 223
7.5.1 風險評估的形式及角色運用 223
7.5.2 風險評估的工具 225
7.6 不同階段的不同評估要求 226
7.6.1 信息系統生命周期概述 226
7.6.2 生命周期各階段的風險評估 227
思考與練習 229
附錄1 信息系統安全等級保護定級報告 231
附錄2 信息系統安全等級保護備案表 235
附錄3 涉秘信息系統分級保護備案表 241
附錄4 信息系統安全等級測評報告模板 242
附錄5 信息系統安全風險評估報告模板 254
附錄6 等級測評師培訓及考試指南 266
參考文獻 272

1. 信息系統項目管理師章節習題與考點特訓（第二版） [主編 薛大龍]
2. 信息系統項目管理師5天修煉（第四版） [施游 劉毅 編著]
3. 信息系統項目管理師考試32小時通關（第二版） [薛大龍]
4. 信息系統項目管理師備考一本通 [倪奕文 編著]
5. 信息系統項目管理師案例分析一本通 [王樹文]
6. 軟考論文高分特訓與范文10篇—信息系統項目管理師 [薛大龍]
7. 信息安全技術基礎（第二版） [主編 張浩軍 陳莉 王峰]
8. 信息安全工程師5天修煉（第二版） [施游 朱小平 編著]
9. 系統規劃與管理師章節習題與考點特訓 [主編 薛大龍]
10. 管理信息系統（第三版） [王欣 編著]
11. 注冊消防工程師考前沖刺密卷（三合一） [靳紅雨 王躍琴 楊殿波 張福東]
12. 系統規劃與管理師真題精析與命題密卷 [主編 薛大龍]
13. 信息系統項目管理師真題精析與命題密卷 [薛大龍]
14. 信息系統監理師真題精析與命題密卷 [薛大龍]
15. 管理信息系統教程 [黃珍生]
16. 信息系統監理師考試32小時通關 [薛大龍]
17. 信息系統項目管理師考試32小時通關 [主編 薛大龍 ]
18. 信息系統項目管理師5天修煉（第三版） [施游 劉毅 編著]
19. 信息安全工程師5天修煉 [施游 朱小平 編著]
20. 信息系統項目管理師考前沖刺100題 [劉毅 朱小平 編著]
21. 會計信息系統操作案例教程（第二版） [主編 張興武 石焱]
22. 網絡安全技術項目化教程 [主編 段新華 宋風忠]
23. 大型數據庫應用與安全 [主編 劉濤 胡凱]
24. 公安信息系統應用教程 [主編 賈學明 劉凌 徐明]
25. 信息安全基礎 [主編 曹敏 劉艷]
26. 信息系統項目管理師5天修煉（第二版） [施游 劉毅 編著]
27. Web開發與安全防范 [主編 武春嶺]
28. 網絡安全技術 [姚奇富]
29. 管理信息系統 [主編 劉芊]
30. 攻克要塞——信息系統項目管理師考試沖刺指南 [劉毅 施游]