信息安全風險管理從基礎到實踐（簡體書）

本書以信息安全風險為切入點，站在信息安全風險管理的角度闡述網絡安全新時代下網絡與信息系統安全保障的相關內容，重點提出了信息安全風險識別與分析的方法，明確了信息安全風險控制措施。

全書共分為3個部分：第1部分講述了信息安全風險管理的基礎，明確了信息安全風險定義及構成要素，描述了信息安全風險管理內容及物件，提出了信息安全風險識別分析和信息安全風險處置的基本方法，突出了信息安全風險管理的標準、規範以及信息系統生命週期風險管理的內容；第2部分講述了信息安全風險管理的發展，分析了信息安全風險形勢變化，對信息安全風險產生因素的變化進行描述，對信息安全風險識別與分析的方法進行優化，對信息安全風險控制方法進行優化，對新形勢下信息安全風險管理合規性要求的發展進行描述；第3部分重點講述了信息安全風險管理的實踐工作，介紹了風險識別與分析方法有機融合的創新點，對信息安全風險控制的技術措施進行了敘述，列舉了風險分析與識別方法以及風險控制方法在稅務行業的良好實踐，在新型技術應用場景中對信息安全風險識別與分析方法進行了展望。

本書內容實用性強，理論與實踐緊密結合，語言通俗易懂，非常適合信息安全技術人員、計算機網絡工程師等自學使用，也可用作高等院校相關專業的教材及參考書。

本書以信息安全風險為切入點，站在信息安全風險管理的角度來闡述在網絡安全新時代網絡與信息系統信息安全保障的相關內容，重點提出了信息安全風險識別與分析的主要方法，明確了信息安全風險控制的主要措施。

本書的核心思想是任何網絡與信息系統（虛擬邊界或現實邊界）的安全風險都是客觀存在的，信息安全風險一定是由外部的安全威脅等因素對網絡與信息系統自身存在的脆弱性進行有效的作用而產生的，任何安全保障措施都是為了減少自身的脆弱性而更加有效地抵禦外部的威脅。本書理論聯繫實際，其中第 一部分注重理論分析，使讀者能夠明確信息安全風險是如何產生的，該如何進行有效的風險管理；第二部分基於新的標準、技術以及應用環境，對信息安全風險管理提出新的思路、方法，為更好的實施網絡安全防護及關鍵信息基礎設施保護打下牢固的基礎；第三部分注重實踐展示，通過現實案例與操作使讀者能夠掌握信息安全風險識別分析與信息安全風險控制的流程、方法等。

近年來，隨著網絡安全威脅的日益常態化、複雜化和高級化，世界各國都在不斷加大對網絡空間的部署，尤其是“斯諾登事件”的發生，更使得各國加快了網絡安全軍事力量建設的步伐。隨著信息技術和網絡的快速發展，國家安全的邊界已經超越地理空間的限制，拓展到信息網絡，網絡安全成為事關國家安全的重要問題。當前世界主要國家進入網絡空間戰略集中部署期，國際互聯網治理領域出現改革契機，同時網絡安全威脅的範圍和內容不斷擴大和演化，網絡安全形勢與挑戰日益嚴峻複雜。

新的技術不斷湧現，下一代互聯網（IPv6）、物聯網、三網融合、虛擬化、雲計算、大資料等新興技術在迅猛發展，並且得到越來越多的應用。信息技術帶給人類巨大進步的同時，網絡與信息系統安全問題所產生的損失、影響也不斷加劇，並逐漸成為關係國家安全的重大戰略問題，信息系統的安全問題越來越受到人們的普遍關注。信息安全也不單是最初的防毒查毒那麼簡單的問題，信息安全的中心問題是要保障信息的合法持有和使用者能夠在任何需要該信息時獲得保密的、沒有被非法更改過的“原裝的”信息。即通常所說的保密性（confidentiality）、完整性（integrity）和可用性（availability），簡稱CIA。然而最近，全球權威的信息技術研究與諮詢顧問公司Gartner在其最新的研究報告中提出了信息安全的CIA（S）［Safety］模型，打破了傳統的三要素，將人員和環境安全加入了其中，即Safety People and Safety Environments。信息安全問題不是單憑技術就可以徹底解決的，它的解決涉及政策法規、管理、標準、技術等方方面面，系統安全問題的解決要站在系統工程的角度來考慮全方位的安全。在這項系統工程中，網絡與信息系統安全評測作為核對總和評價網絡與信息系統安全保護水準的重要方法佔有重要的地位，它是信息安全的基礎和前提。

隨著網絡與信息系統規模和複雜性的不斷增大，攻擊技術和手段不斷翻新，網絡與信息系統面臨的威脅因素越來越多，安全風險防範的難度和複雜性也越來越大。由於資源和能力的限制，不可能消除網絡與信息系統中的每一個脆弱點，也不可能防禦所有的攻擊行為。在信息安全領域，風險控制意味著在成本與效益之間進行權衡，並最終制訂相應的安全防禦策略，從而有效降低安全風險。以往的信息安全攻防未考慮成本，使得做出的攻防決策並不一定是最優決策。如何在信息安全風險控制和投入之間尋求一種均衡，充分考慮攻防成本有效性問題，利用有限的資源做出最合理的決策，做到“適度安全”，這就給信息安全風險管理工作帶來了巨大挑戰。準確掌握網絡與信息系統的安全風險狀況，找出風險最大的環節予以防範，避免大規模安全事件的發生，都需要通過信息安全檢查、風險評估和等級保護測評等信息安全風險識別與分析方法來實現，信息安全風險識別與分析在信息安全風險管理中佔有重要的地位，發揮了關鍵作用。

本書以信息安全風險為切入點，站在信息安全風險管理的角度來闡述在網絡安全新時代中網絡與信息系統安全保障的相關內容，重點提出了信息安全風險識別與分析的方法，明確了信息安全風險控制措施。

本書的核心思想是任何網絡與信息系統（虛擬邊界或現實邊界）的安全風險都是客觀存在的，信息安全風險一定是由外部的安全威脅等因素對網絡與信息系統自身存在的脆弱性進行有效的作用而產生的，任何安全保障措施都是為了減少自身的脆弱性而更加有效地抵禦外部的威脅。本書正是以這個核心思想為指導，從3個部分展開進行闡述的。本書採用了理論與實踐相結合的編寫原則，其中第1部分注重理論分析，使讀者能夠明確信息安全風險是如何產生的，該如何進行有效的風險管理；第2部分基於新的網絡安全形勢、標準、技術以及應用環境，對信息安全風險管理提出新的思路、方法，為更好地實施網絡安全防護及關鍵信息基礎設施保護打下牢固的基礎；第3部分注重實踐展示，通過現實案例與操作使讀者能夠較好掌握信息安全風險識別與分析的方法以及信息安全風險控制的流程、方法等。

本書的最大亮點是，提出的理論來自大量實踐經驗的積累和昇華，同時理論又可以指導實際的信息安全風險識別與分析以及風險控制工作。本書的創新點是將現行的信息安全風險識別與分析的方法即等級保護測評、信息安全風險評估和信息安全檢查進行有機的融合，可實現一次現場檢測、一次資料分析，產生三個層面的檢測結果，為下一步進行風險控制提供有力的依據，在第3部分中詳細講述了具體的操作方法和流程。

針對新的網絡安全形勢，按照新出臺的網絡安全法律法規和標準制度，基於新型的應用場景，本書提出的信息安全風險識別與分析方法和風險控制措施也在逐步完善與發展。

本書由李智勇、張鵬宇、周悅、李偉旗、王坤提出編寫框架、編寫思路。其中第1部分（第1章～第5章）由周悅、張鵬宇、邢天柱、蔡忱、張文義、周向明編寫；第2部分（第6章～第10章）由張鵬宇、李智勇、李偉旗、邢天柱、蔡忱、王潔編寫；第3部分（第11章～第15章）由李智勇、李偉旗、張鵬宇、王洪南、明旭、董慶炳編寫。全書由李智勇、張鵬宇、周悅、李偉旗、王坤、邢天柱、蔡忱進行統稿和校對，此外郭歡、鄭鐵峰、陳磊、鄒曄明也參與了本書資料整理等工作。本書在編寫的過程中得到了北京軟件產品質量檢測檢驗中心（國家應用軟件產品質量檢測檢驗中心）和北京中科網威信息技術有限公司的大力支持和幫助，在此一併表示感謝。

由於編者水準有限，書中難免存在不妥之處，懇請各位讀者批評指正。



編著者

第1部分 信息安全風險管理的基礎

第1章信息安全風險產生003

1.1 信息安全風險含義 / 003

1.2 信息安全風險構成 / 005

1.2.1 基本要素 / 005

1.2.2 要素關係 / 006

1.3 信息安全風險決定因素 / 007

1.3.1 外部安全威脅 / 007

1.3.2 內部的脆弱性 / 009



第2章信息安全風險管理的內容013

2.1 信息安全風險管理定義 / 013

2.2 信息安全風險管理流程 / 014

2.3 信息安全風險管理物件 / 015

2.3.1 物理和環境 / 015

2.3.2 網絡和通信 / 016

2.3.3 設備和計算 / 016

2.3.4 應用和資料 / 016

2.3.5 人員和管理 / 017

2.4 信息安全風險處置 / 018

2.4.1 風險處置總體描述 / 018

2.4.2 風險處置準備 / 021

2.4.3 風險處置方案制定 / 022

2.4.4 風險處置方案實施 / 024

2.4.5 風險處置效果評價 / 024



第3章信息安全風險的識別與分析027

3.1 信息安全檢查 / 027

3.1.1 工作流程 / 027

3.1.2 工作內容 / 027

3.1.3 工作組織 / 029

3.1.4 檢查物件選取 / 029

3.1.5 檢查工作實施 / 030

3.2 信息安全風險評估 / 033

3.2.1 工作流程及框架 / 034

3.2.2 工作內容 / 037

3.2.3 確定評估物件 / 037

3.2.4 評估工作實施 / 039

3.2.5 風險分析及風險處置 / 045

3.3 信息系統安全等級保護測評 / 047

3.3.1 工作流程 / 047

3.3.2 定級要素及流程 / 047

3.3.3 測評原則及內容 / 048

3.3.4 測評物件 / 049

3.3.5 測評實施 / 050

3.3.6 結果判定 / 052



第4章信息安全風險的控制053

4.1 信息安全風險控制的概念 / 053

4.2 信息安全風險處置流程與方法 / 055

4.3 信息安全風險評估有效性檢驗 / 057



第5章信息安全風險管理的合規性要求061

5.1 信息安全風險管理標準規範 / 061

5.1.1 信息安全風險管理國際標準 / 061

5.1.2 信息安全風險管理國內標準 / 068

5.1.3 國內外風險管理標準關係 / 069

5.2 信息系統生命週期的風險管理 / 070

5.2.1 信息系統生命週期的風險評估 / 070

5.2.2 信息系統生命週期的風險管理 / 074



第2部分 信息安全風險管理的發展變化

第6章新形勢下信息安全風險的變化081

6.1 網絡安全形勢變化 / 081

6.2 信息安全要素變化 / 084

6.3 外部威脅變化 / 084

6.4 內在脆弱性變化 / 086

6.5 安全風險的變化 / 087



第7章新技術應用環境產生的信息安全風險089

7.1 虛擬化技術平臺安全風險 / 089

7.1.1 大資料平臺的安全風險 / 089

7.1.2 雲計算平臺的安全風險 / 092

7.2 移動互聯網安全風險 / 102

7.2.1 移動互聯網安全威脅 / 102

7.2.2 移動互聯網脆弱性 / 105

7.3 工業控制系統安全風險 / 108

7.3.1 工業控制系統安全威脅 / 108

7.3.2 工業控制系統脆弱性 / 110

7.4 信息安全保障能力的不足 / 112



第8章新形勢下信息安全風險識別與分析方法的優化115

8.1 現行方法存在的局限性 / 115

8.2 現行方法融合的必要性 / 117

8.3 現行方法融合的基本思路 / 119

8.4 現行方法融合的主要內容 / 121

8.4.1 檢測目標統一定義 / 121

8.4.2 信息資產統一定義 / 122

8.4.3 外部威脅統一定義 / 122

8.4.4 內在脆弱性統一定義 / 123

8.4.5 風險分析統一定義 / 125

8.5 新型風險識別與分析方法的提出 / 128

8.6 新型風險識別與分析方法的優化 / 128

8.6.1 工作原理的優化 / 128

8.6.2 工作流程的優化 / 129

8.6.3 工作內容的優化 / 132



第9章新形勢下信息安全風險控制的方法優化135

9.1 關鍵信息基礎設施安全保護 / 135

9.1.1 明確關鍵信息基礎設施保護物件 / 135

9.1.2 我國關鍵信息基礎設施面臨的威脅 / 136

9.1.3 制定關鍵信息基礎設施安全保護標準規範 / 137

9.1.4 網絡安全等級保護與關鍵信息基礎設施保護 / 138

9.2 網絡安全態勢感知 / 138

9.2.1 網絡安全態勢感知概念 / 138

9.2.2 網絡安全態勢感知的內容 / 139

9.2.3 網絡安全態勢感知的方式優化 / 140

9.3 虛擬化應用安全保護 / 141

9.4 威脅情報分析 / 141

9.5 構建縱深網絡安全防禦體系 / 144

9.6 新技術應用環境下的信息安全風險控制 / 146

9.6.1 虛擬化平臺風險控制 / 146

9.6.2 物聯網風險控制 / 147

9.6.3 移動互聯網風險控制 / 148

9.6.4 工業控制系統風險控制 / 149



第10章新形勢下信息安全風險管理合規性要求的發展151

10.1 新形勢下信息安全風險管理標準體系 / 151

10.2 網絡安全法 / 153

10.2.1 網絡安全法立法的背景 / 153

10.2.2 網絡安全法的基本內容 / 154

10.2.3 網絡安全法的作用及意義 / 155

10.3 關鍵信息基礎設施安全保護條例 / 155

10.3.1 安全保護條例主要內容 / 155

10.3.2 安全保護條例的局限性 / 157

10.3.3 安全保護條例與網絡安全等級保護關係 / 158

10.4 網絡安全等級保護相關標準 / 158

10.4.1 現有等級保護政策和標準體系 / 158

10.4.2 網絡安全等級保護制度2.0 / 159

10.5 網絡產品和服務安全審查辦法 / 162

10.5.1 安全審查辦法主要內容 / 162

10.5.2 安全審查辦法出臺後的影響 / 163

10.5.3 安全審查辦法意義及作用 / 163



第3部分 信息安全風險管理的實踐

第11章風險識別與分析方法融合——信息安全風險測評167

11.1 基本原理 / 167

11.2 流程方法 / 168

11.2.1 工作流程 / 168

11.2.2 工作方法 / 177

11.3 實施組織 / 178

11.4 物件確定 / 179

11.5 準備階段工作 / 183

11.6 實施階段工作 / 184

11.6.1 現場培訓 / 184

11.6.2 資產識別 / 185

11.6.3 威脅識別 / 186

11.6.4 技術安全檢測 / 188

11.6.5 管理安全檢測 / 191

11.6.6 滲透測試 / 193

11.6.7 已有安全措施分析 / 196

11.6.8 脆弱性分析與賦值 / 196

11.6.9 現場工作小結 / 196

11.7 總結階段工作 / 197

11.7.1 資料整理 / 197

11.7.2 綜合分析 / 199

11.7.3 報告編制 / 200



第12章信息安全風險控制方法——安全基線配置203

12.1 明確安全基線配置作業需求 / 203

12.2 建立安全基線配置管理規範 / 204

12.3 制定安全基線配置範本 / 205

12.4 現場基線配置檢查確認 / 208

12.4.1 技術基線檢查 / 209

12.4.2 管理基線審核 / 212

12.5 基於安全基線要求的整改加固 / 213

12.6 安全基線配置範本的修訂 / 215



第13章信息安全風險控制方法——服務器信息安全加固217

13.1 信息安全加固的目的及意義 / 217

13.1.1 精準實施信息安全風險控制 / 217

13.1.2 緊密結合等級保護整改建設 / 218

13.1.3 嚴格依據等級保護測評結果 / 218

13.1.4 有效提高等級保護測評符合率 / 218

13.2 信息安全加固的重點及難點 / 220

13.2.1 安全加固可行性分析 / 220

13.2.2 安全加固工作重點 / 221

13.2.3 安全加固工作難點 / 222

13.3 信息安全加固原則及範圍 / 223

13.3.1 安全加固的原則 / 223

13.3.2 安全加固的範圍 / 223

13.4 信息安全加固流程及組織 / 224

13.4.1 安全加固流程與方法 / 224

13.4.2 安全加固的組織 / 226

13.5 信息安全加固實施內容 / 229

13.5.1 準備階段內容 / 229

13.5.2 實施階段內容 / 231

13.5.3 分析總結階段內容 / 238

13.5.4 操作實例 / 239



第14章信息安全風險管理的良好實踐241

14.1 稅務系統信息安全風險測評實踐工作 / 241

14.2 稅務系統信息安全基線配置實踐工作 / 243

14.2.1 計畫準備環節 / 243

14.2.2 現場實施環節 / 243

14.2.3 成果輸出環節 / 244

14.3 稅務系統服務器信息安全加固實踐工作 / 244



第15章風險識別與分析方法在新技術環境中的應用247

15.1 移動互聯網環境的風險測評 / 247

15.1.1 移動智能終端機安全風險測評 / 247

15.1.2 移動傳輸網絡安全風險測評 / 248

15.1.3 移動應用安全風險測評 / 249

15.2 虛擬化環境的風險測評 / 250

15.2.1 虛擬化環境安全風險分析 / 250

15.2.2 虛擬化環境安全風險測評 / 251

15.3 工業控制系統的風險測評 / 252

15.3.1 工業控制系統測評原則 / 252

15.3.2 工業控制系統測評流程 / 253

15.3.3 工業控制系統測評工具 / 254



附錄257

附錄1 信息安全風險測評表單 / 257

附錄2 網絡與信息系統安全基線配置表單 / 267

附錄3 服務器信息安全加固表單 / 274



參考文獻 / 280