内容提要

本书按照《中华人民共和国网络安全法》和网络安全等级保护核心标准的最新要求及网络安全建设要求，对网络安全建设流程、安全评估和测评、物理安全、网络和通信安全、设备和计算安全、应用和数据安全、安全管理机构和人员、运维管理、云计算安全、移动互联网安全、工业控制系统安全等方面提出解决方案，并紧密结合工程实际，通过具体项目案例，详细介绍了网络安全规划设计方案，为网络安全建设人员和管理人员提供了清晰的思路和可操作的方法。

本书内容丰富、实用性强，涉及网络安全标准规范、技术方案、案例等内容，可作为网络安全领域技术人员、管理人员的参考书或培训教材。

序

进入21世纪以来，网络安全领域的工作越来越凸显出其重要性。《中华人民共和国网络安全法》第十六条也专门明确：“国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目”。《国家网络空间安全战略》也提出目前的战略任务：“夯实网络安全基础”，强调“尽快在核心技术上取得突破，加快安全可信的产品推广应用”。

等级保护制度是适用于中国当前实际的一种有效的网络安全管理方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。

中国的等级保护工作是有序推进的。在20世纪80年代兴起了计算机信息系统安全保护研究的基础上，1994年国务院发布《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）；《计算机信息系统安全保护等级划分准则》（GB17859-1999）强制性标准；2003年中办发布《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号）要求“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”；近年来，中国有关部委多次联合发文，明确国家重点工程的验收要求必须通过信息安全等级保护的测评和验收。

2019年5月13日，网络安全等级保护制度2.0标准正式发布，实施时间为2019年12月1日。国家等级保护制度2.0标准要求全面使用安全可信的产品和服务来保障关键基础设施安全。因此，如何理解和解读等级保护2.0，如何达到等级保护2.0的相关要求，成为目前中国网络安全学者和从业人员需要迫切解决的问题。

针对国家的需求，李劲先生非常及时地编写了本书。在国家有关条例和制度的要求下和作者丰富的实际工作经验的基础上，从定级、设计、实施、测评与运维5个角度详细解释和分析了什么是等级保护2.0、等级保护2.0的安全定级方法等内容。除此之外，本书还介绍了信息安全法律法规及标准规范、安全管理体系设计、网络安全等级保护测评、安全运营体系、网络安全项目投资估算等基础性和工程性工作。为了方便读者对问题的理解，本书还详细地介绍了中国商用密码算法的一些基本内容以及物理安全等常用的网络安全能力方法。最后，本书还列出了大量的实例，描述了如何在各类实际需求场景中完成等级保护工作。

本书是一本非常好的等级保护2.0学习和实践的手册，适合中国网络安全从业人员阅读，具有非常好的可阅读性和可操作性，为等级保护2.0的工作提供了有力的支持！

前言

本书力求具有理论性、实用性、系统性和导向性，内容密切结合GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》等相关等级保护标准，梳理网络安全等级保护项目建设流程和相关环节注意事项。本书内容围绕网络安全项目建设流程中网络安全等级保护对象定级和备案、总体安全规划、安全设计和实施、安全运行与维护展开，并紧密结合工程实际，通过具体项目案例，详细介绍了网络安全等级保护2.0时代的要求和实施方案，为信息安全项目建设人员和管理人员提供了清晰的思路和可操作方法。