第1章同行評估概述001
1.1同行評估的國外實踐002
1.2同行評估的國內實踐003
1.3同行評估的目的和特點004
1.4同行評估體繫要素005
1.5同行評估工作過程和規範要求007
1.6同行評估中的業績目標與準則008
1.7同行評估中的風險規避009
第2章網絡安全業績目標與準則010
2.1網絡安全領導力業績目標與評估準則014
2.1.1網絡安全觀和承諾014
2.1.2網絡安全組織與責任015
2.1.3網絡安全防御體繫015
2.1.4網絡安全支持和促進016
2.1.5網絡安全文化016
2.1.6網絡安全規劃與能力建設017
2.2安全物理環境業績目標與評估準則018
2.2.1物理位置選擇018
2.2.2物理訪問控制019
2.2.3機房物理防護020
2.2.4電力供應021
2.3安全通信網絡業績目標與評估準則021
2.3.1網絡架構022
2.3.2雲計算網絡架構022
2.3.3工控繫統網絡架構023
2.3.4通信傳輸024
2.3.5可信驗證024
2.3.6大數據安全通信網絡025
2.4安全區域邊界業績目標與評估準則025
2.4.1邊界防護026
2.4.2邊界訪問控制027
2.4.3入侵、惡意代碼和垃圾郵件防範028
2.4.4邊界安全審計和可信驗證028
2.4.5雲計算邊界入侵防範029
2.4.6移動互聯邊界防護和入侵防範030
2.4.7物聯網邊界入侵防範和接入控制031
2.4.8工控繫統邊界防護031
網絡安全評估實戰目錄002.5安全計算環境業績目標與評估準則032
2.5.1身份鋻別033
2.5.2訪問控制033
2.5.3安全審計和可信驗證034
2.5.4入侵和惡意代碼防範035
2.5.5數據完整性和保密性036
2.5.6數據備份恢復037
2.5.7剩餘信息和個人信息保護038
2.5.8雲計算環境鏡像和快照保護038
2.5.9移動終端和應用管控039
2.5.10物聯網設備和數據安全040
2.5.11工控繫統控制設備安全041
2.5.12大數據安全計算環境041
2.6安全建設管理業績目標與評估準則043
2.6.1定級備案和等級測評043
2.6.2方案設計和產品采購044
2.6.3軟件開發045
2.6.4工程實施與測試交付046
2.6.5服務供應商選擇047
2.6.6移動應用安全建設擴展要求048
2.6.7工控繫統安全建設擴展要求048
2.6.8大數據安全建設擴展要求049
2.7安全運維管理業績目標與評估準則049
2.7.1環境管理050
2.7.2資產和配置管理051
2.7.3設備維護和介質管理051
2.7.4網絡和繫統安全管理052
2.7.5漏洞和惡意代碼防範053
2.7.6密碼管理054
2.7.7變更管理054
2.7.8備份與恢復管理055
2.7.9外包運維管理056
2.7.10物聯網節點設備管理056
2.7.11大數據安全運維管理057
2.8安全監測防護業績目標與評估準則058
2.8.1安全管理中心058
2.8.2集中管控059
2.8.3雲計算集中管控060
2.8.4安全事件處置060
2.8.5應急預案管理061
2.8.6情報收集與利用062
2.8.7值班值守062
2.8.8實戰演練063
2.8.9研判整改064
2.9安全管理保障業績目標與評估準則064
2.9.1安全策略和管理制度065
2.9.2崗位設置和人員配備065
2.9.3授權審批和溝通合作066
2.9.4安全檢查和審計監督067
2.9.5人員錄用和離崗068
2.9.6安全教育和培訓068
2.9.7外部人員訪問管理069
第3章網絡安全同行評估任務設計071
3.1同行評估工作目標和基本思路072
3.2確定同行評估的內容073
3.2.1同行評估內容確定方法075
3.2.2同行評估內容確定原則075
3.2.3同行評估內容應覆蓋繫統全生命周期076
3.3明確同行評估的任務077
3.4編制同行評估任務作業指導書077
3.4.1選定對應的業績目標078
3.4.2確定具體評估對像078
3.4.3選定評估準則和評估項081
3.5同行評估典型任務作業指導書要點084
3.5.1網絡結構安全評估作業指導書要點084
3.5.2網絡安全建設管理評估作業指導書要點086
3.5.3工控繫統本體安全及其運維管理評估作業指導書要點088
3.5.4生產管理繫統本體安全及其運維管理評估作業指導書要點092
3.5.5經營管理繫統本體安全及其運維管理評估作業指導書要點095
3.5.6移動應用繫統本體安全及其運維管理評估作業指導書要點097
3.5.7互聯網應用繫統本體安全及其運維管理評估作業指導書要點100
3.5.8集權類繫統本體安全及其運維管理評估作業指導書要點102
3.5.9網絡基礎設施物理環境安全評估作業指導書要點106
3.5.10網絡安全運維管理能力評估作業指導書要點107
3.5.11網絡安全監測防護能力評估作業指導書要點108
3.5.12網絡安全管理體繫及其執行有效性評估作業指導書要點109
3.5.13全員網絡安全意識和基本技能評估作業指導書要點110
3.5.14網絡安全整體領導力和推進力評估作業指導書要點112
3.6同行評估任務的總體統籌113
3.6.1始終注重整體安全防護能力113
3.6.2遵循實戰化驅動的同行評估思路116
第4章網絡安全同行評估組織和流程119
4.1同行評估組織與成員分工120
4.2同行評估流程和具體工作124
4.2.1評估準備124
4.2.2現場評估127
4.2.3報告編制133
4.2.4評估回訪133
第5章網絡安全同行評估技術和方法135
5.1同行評估技術和方法136
5.2同行評估常用文件編制要點142
5.2.1編制和審閱先期文件包142
5.2.2評估發現和準確描述事實143
5.2.3編制和修改審定觀察報告148
5.2.4編制和完善基本問題描述150
5.2.5編制審定待改進項152
5.2.6編制和審定強項及領域小結154
5.2.7編制和審定同行評估報告156
第6章實戰化驅動的網絡安全同行評估159
6.1為什麼需要實戰化驅動160
6.2通過實戰化評估發現事實漏洞和缺陷161
6.2.1實戰化評估的業績目標161
6.2.2實戰化評估的目的162
6.2.3實戰化評估的過程和特點162
6.2.4攻擊方常用策略和戰術167
6.2.5實戰化評估發現事實漏洞和缺陷171
6.3從實戰化看同行評估重點任務和評估要點172
6.3.1從實戰化看同行評估的重點問題172
6.3.2從實戰化看網絡安全防護的關鍵產品175
6.3.3從實戰化看網絡安全防護的基本方法175
6.4同行評估時應關注的實戰化防守策略176
6.4.1收縮戰線評估177
6.4.2縱深防御評估178
6.4.3核心防護評估180
6.4.4協同作戰評估181
6.4.5主動防御評估183
6.4.6應急處突評估185
6.4.7溯源反制評估185
6.4.8動態防御評估186
6.4.9精準防御評估186
6.4.10聯防聯控評估187
6.4.11整體防御評估188
6.4.12常態化防護評估189
附錄A網絡安全評估領域代碼對照表192
附錄B網絡安全評估項與GB/T 22239—2019等級保護基本要求對照表193
附錄C網絡安全重點評估項編號/基本問題描述示例212
附錄D工控繫統常見的網絡安全威脅及其描述219
附錄E工控繫統自身脆弱性及其描述221
參考文獻226
致謝227

網絡安全的重要性和緊迫性已經不言而喻。隨著一繫列法律法規的頒布，依法治網的鐘聲越來越響亮了。近些年來，全球範圍內網絡安全事件頻發，現實的挑戰日益嚴峻，未來也更加紛繁復雜。網絡安全作為國家安全的重要組成部分，已經受到黨和國家以及社會各界的高度重視。2017年6月1日起《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）施行，網絡安全正式上升到法治高度。2017年8月，中共中央批準《黨委（黨組）網絡安全工作責任制實施辦法》，明確提出: 班子主要負責人是網絡安全的負責人，承擔主要領導責任;主管網絡安全的領導班子成員是直接負責人，承擔重要領導責任。2019年4月，國務院國資委在《中央企業負責人經營業績考核辦法》中首次將網絡安全事件與生產安全責任事故並重調查和考核。2020年1月1日起《中華人民共和國密碼法》施行。2021年9月1日起《中華人民共和國數據安全法》《關鍵信息基礎設施網絡安全保護條例》施行。2021年11月1日起《中華人民共和國個人信息保護法》施行。“沒有網絡安全就沒有國家安全，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障。”習近平總書記的指示已經深入人心。
網絡安全責任重大、任務艱巨，各單位上下和所有從業者已經無法規避，必須迎難而上。無論是政府部門還是企事業各單位，一把手作為網絡安全負責人如何擔負好主要領導責任；分管領導作為網絡安全直接負責人應肩負起重要領導責任；網絡安全的部門負責人應自信地擔負起本單位網絡安全工作的管理責任，切實協助一把手和分管領導把網絡安全工作全面謀劃好、統籌部署好、有效落實好，“讓領導放心，讓自己安心”；單位內部網絡安全專業技術人員應履行好網絡安全規劃建設、日常運維和安全保障的具體責任，面對日新月異的新技術應用和新安全挑戰，持續有效地學習和提升網絡安全技能，把網絡安全工作做得更輕松、更從容；單位內部的所有IT繫統用戶，在不斷深化和創新應用數字化技術的同時，應該認識到自己其實是網絡安全防護的直接主體，應盡到“誰建設誰負責、誰使用誰負責”的網絡安全防護責任和義務，而不是網絡安全的旁觀者和“意見領袖”；作為各單位網絡安全建設的參與者，數字化產品和網絡安全產品的研發者、供應商和服務商應履行好自身網絡安全建設的法定責任和義務；為各單位提供網絡安全咨詢和技術服務的專業機構應站在國家安全、社會安全、企業安全和人民利益安全的高度，充分發揮自身專業技術優勢，與各單位一起積極有效地協同作戰，共同履行好保障網絡安全的法定義務和社會責任。總之，網絡安全生態中的所有參與方和從業者都必須肩負起自身維護網絡安全的法律責任，正視並善於應對挑戰，共同為數字化驅動的高質量發展保駕護航。
網絡安全評估實戰前言0000從“止於合規”到“持續守住打贏”，從被動接受檢查和等級測評到主動開展自查和同行評估，是網絡安全運營者實施主動防御的必然要求。不少單位的領導和從業者當前對網絡安全工作目標的認識還基本處於“止於合規”的狀態，滿足於“上級檢查能過，等級測評合格”。然而，隨著網絡安全外部威脅的加劇和內部數字化依賴度的增加，“合規”僅僅是網絡安全工作的基線，能夠針對各類威脅攻擊“持續守住打贏”纔是網絡安全工作的真正目標。從“止於合規”到經受住實戰考驗，從實戰演習“過關”到常態化實戰防護“不出問題”，甚至能夠主動溯源和有效反制，已經變得越來越重要和必要。上級檢查是基於合規要求，按照法律法規、行業規範和標準導則等要求，自上而下進行檢查，有針對性地發現問題並提出整改要求，是一種強制性的檢查活動。等級測評是由符合條件的測評機構作為執行主體，按照等級保護基本要求周期性強制執行的一種針對已定級繫統的測評活動，按照是否滿足業務要求進行判定，服務於行業主管部門、網絡安全監管部門以及使用和運營單位。這兩種監督管理方式，對於網絡安全運營者來說，是一種被動式、應付式的局部“體檢”，難以深入、全面、及時地發現網絡安全短板、弱項和風險隱患。本書借鋻國際核能領域開展同行評估的理念、體繫、方法和實踐，在網絡安全領域引入和建立同行評估體繫，與網絡安全等級測評和監督檢查等方式有機結合，期望形成互補優勢，更主動、更全面地支撐和促進各網絡安全責任主體發自內心地願意請同行“挑刺”、與同行分享，提高“評估發現、風險識別、輕重緩急、有序整改、持續提升”的閉環執行質量。本書認為，網絡安全同行評估是網絡安全管理方式和社會化服務體繫的一種創新探索和有益實踐。
同行評估提倡“追求卓越、聚焦管理、自律自願、持續改進”，是貫徹依法治網、依標強網和落實“三化六防”措施的有效方式。當前，網絡安全領導力不足、網絡安全管理體繫不完善、技術體繫和措施執行不到位、重技術輕管理、重投產後修補加固輕本體安全源頭設計、重當前頭痛醫頭輕持續能力提升、重數字化建設輕網絡安全建設和監測運營等，已經成為“持續守住打贏”目標下的共性頑癥。在國際核能領域，領域業績目標與評估準則是同行評估的核心標準，凝聚了該領域所追求的管理績效目標和管理實踐。因此，網絡安全同行評估的關鍵要素就是設計一套符合國家法律法規、安全標準和實踐的網絡安全業績目標與評估準則。本書以等級保護2.0核心標準《信息安全技術 網絡安全等級保護基本要求》（GB/T 22239—2019）為主體框架，充分融合近些年來電力、金融、電信、交通、水利、石油石化、電子政務和公共服務等領域的網絡安全優秀實踐，提出網絡安全領導力、網絡安全分級業績目標與責任制、從“止於合規”到“持續守住打贏”的網絡安全工作目標以及實戰化驅動的網絡安全能力評估等新理念、新方法和新措施，將領導者、管理者、技術從業者、用戶、產品研發和技術支持專業機構的責任與能力全面銜接協同，著力構建有實效的網絡安全協同防御能力。本書體現了網絡安全“三同步”原則、“三化六防”措施、基於可信免疫和信創體繫的本體安全、基於“聚焦管理改進”和“打造網絡安全文化”的本質安全等理念和要求，設計構建了網絡安全業績目標和評估準則，包括9大領域和71個子領域，其目的是使負責網絡安全工作的領導和管理者以及所有網絡安全從業者能夠繫統、全面和常態化地評估發現網絡安全事實偏差，並以追求卓越的理念持續改進，始終保有“與威脅自適應和能對抗”的網絡安全綜合防護能力。為便於讀者理解，下圖展示了本書的內容框架。
實戰化驅動的網絡安全同行評估是有效查找短板、優化整改行動計劃、促進本體和本質安全能力持續提升的有力措施。網絡安全的本質在對抗，對抗的本質在攻防兩端的能力較量。上述共性頑癥其實是一繫列老生常談的問題，一個個簡單樸素的道理，反復講，反復強調，但實踐證明確實是“講百遍不如打一遍”。通過實網實戰，以實際運行的網絡與信息繫統為目標，通過有組織、有監督的攻防對抗或攻擊檢測，盡可能模擬真實的網絡攻擊，全面檢驗網絡與信息繫統的實際安全性以及運維保障和應急處置的實際有效性，已經成為新形勢下同行們普遍認同的促進網絡安全綜合防護能力提升的有效方式。實戰化驅動的網絡安全同行評估的基本目的就是把實網實戰演練與網絡安全同行評估的各自優勢有效地銜接互補。先授權實施場外實戰化評估，盡可能發現受評方網絡本體實際存在的事實漏洞、短板和人因缺陷，揭示“什麼被打穿”“如何被打穿”以及“為什麼被打穿”；然後開展現場同行評估，協助受評方進行沙盤推演，分析這些問題對受評方業務連續性、核心競爭力、品牌影響力甚至對社會安全和國家安全可能產生的影響或後果，從而更加集中、快速和有針對性地查找網絡本體的短板、人因缺陷及其產生這些問題的根本原因，支持受評方開展網絡安全震撼教育，透過現像看本質，聚焦問題共分享，基於事實找原因，著眼打贏談整改，為網絡安全運營者提供更高質量和更富實效的同行評估服務，既著力當下快速整改的短板，有效防範現實的網絡安全威脅，又放眼未來強化本體和本質安全能力，打造常態化、實戰化的網絡安全綜合防御體繫。
00不忘初心，牢記使命，未雨綢繆，直面挑戰，有效協作，共享眾創，持續提升網絡安全能力，持續打贏網絡安全保衛戰。作為長期奮戰在企業網絡安全和數字化建設線的管理者和實踐者，我與業界同行一樣，一直經受著網絡安全問題的嚴峻挑戰和專業責任的拷問，因此也一直在努力探索和深入實踐，並試圖繫統地提煉總結。網絡安全屬於典型的非傳統安全領域，但傳統安全領域提出的安全管理四要素（人的不安全行為、設備的不安全狀態、環境的不安全因素及管理缺陷）對於網絡安全管理同樣完全適用。作為非IT專業出身的從業者，上述四要素模型一直是我關於網絡安全治理和管理的思考框架。從2006年開始，我策劃並構建了基於ISO 27001的信息安全管理體繫，並持續至今堅持推動該體繫的有效運轉。從2010年開始，我引進專業機構進行年度專項滲透檢測並推動問題整改落實，逐步建立並不斷完善網絡安全攻防體繫。從2016年開始，我策劃和建立了核能行業網絡安全同行評估標準體繫，嘗試開展了核電企業網絡安全同行評估。從2019年開始，我參加了國家實網實戰演練，同步探索構建和執行完善常態化、實戰化的網絡安全綜合防御體繫，按照“行動而非口頭、本質而非形式、日常而非突擊”的工作原則，形成了一套將等級保護2.0繫列標準和“三化六防”措施落到實處的體繫和方法。本書提出的網絡安全評估實戰指引就是這些年來的探索思考和實踐總結。作為大家的同行，我發自內心地期望本書的探索、實踐和總結能夠為政府和各行業、各企業的網絡安全與數字化轉型工作領導者、管理者和網絡安全技術從業者，為各行業協會、學會、咨詢公司和專業機構網絡安全規劃、咨詢、測評、評估等相關領域的從業者，為高等院校網絡空間安全專業的教師、研究生和本專科學生，以及為其他涉及或關注網絡安全工作的所有人，提供一套更繫統地認識、更有效地評估和更從容地應對網絡安全挑戰的思維方式、業績目標、評估準則和實戰指引。限於作者水平，書中有不完善之處，懇請各位同行積極反饋您的實戰經驗和寶貴意見，以便本書再版時充實和修正，更持續有效地服務於各界同行。
同行相助，不畏艱辛，任重道遠，攜手奮進！

鄒來龍2022年9月於上海