序
进入 21 世纪以来,网络安全领域的工作越来越凸显出其重要性。《中华人民共和国网络安全法》第十六条也专门明确:“国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等参与国家网络安全技术创新项目”。《国家网络空间安全战略》也提出目前的战略任务:“夯实网络安全基础”,强调“尽快在核心技术上取得突破,加快安全可信的产品推广应用”。
等级保护制度是适用于中国当前实际的一种有效的网络安全管理方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。中国的等级保护工作是有序推进的。在 20 世纪 80 年代兴起了计算机信息系统安全保护研究的基础上,1994 年国务院发布《中华人民共和国计算机信息系统安全保护条例》(国务院令第 147 号);《计算机信息系统安全保护等级划分准则》(GB17859-1999)强制性标准;2003 年中办发布《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27 号)要求“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”;近年来,中国有关部委多次联合发文,明确国家重点工程的验收要求必须通过信息安全等级保护的测评和验收。2019 年 5 月 13 日,网络安全等级保护制度 2.0 标准正式发布,实施时间为 2019年 12 月 1 日。国家等级保护制度 2.0 标准要求全面使用安全可信的产品和服务来保障关键基础设施安全。因此,如何理解和解读等级保护 2.0,如何达到等级保护 2.0 的相关要求,成为目前中国网络安全学者和从业人员需要迫切解决的问题。针对国家的需求,李劲先生非常及时地编写了本书。在国家有关条例和制度的要求下和作者丰富的实际工作经验的基础上,从定级、设计、实施、测评与运维 5 个角度详细解释和分析了什么是等级保护 2.0、等级保护 2.0 的安全定级方法等内容。除此之外,本书还介绍了信息安全法律法规及标准规范、安全管理体系设计、网络安全等级保护测评、安全运营体系、网络安全项目投资估算等基础性和工程性工作。为了方便读者对问题的理解,本书还详细地介绍了中国商用密码算法的一些基本内容以及物理安全等常用的网络安全能力方法。最后,本书还列出了大量的实例,描述了如何在各类实际需求场景中完成等级保护工作。本书是一本非常好的等级保护 2.0 学习和实践的手册,适合中国网络安全从业人员阅读,具有非常好的可阅读性和可操作性,为等级保护 2.0 的工作提供了有力的支持!
赵波