网络空间安全体系

本书系统性地介绍了网络空间安全相关的丰富内容，跨越政策、技术和工程等多重视野。全书共5章，分别解读网络空间安全的基本概念、政策机制、攻防技术、运营实战和能力工程方面的必知必会内容。本书在各个话题下详解基础知识，辨析核心概念，摘述资料，为读者提供全面的难点释疑，是一本实用的参考手册。
本书面向国家网信工作者、企业安全运营者、安全工程实施者、安全专业进修者和安全知识爱好者等各类读者，助力不同读者突破视野壁垒建立全面的网络安全知识体系。本书可作为网络空间安全从业者的备查参考书和爱好者的快速学习指南，尤其可用作各类专业认证考试的辅助读物。

李明哲?工学博士，隶属CNCERT实验室，并被长安通信公司聘为技术总监。拥有十余年网络流量处理和网信大数据挖掘一线研发经验，已发表论文15篇，获专利授权20项。

黄亮?工学博士、正高级工程师，CNCERT工程技术研究室副主任。主要研究方向为网络信息安全和无线通信。

吕宁?工学硕士/CISP/PMP，先后在CNCERT山东分中心和长安通信公司从事网络信息安全领域的技术研究和项目管理工作，作为技术顾问参与过多个省级网络安全态势感知系统的建设。

适读人群 ：网信工作者、企业安全运营者、安全工程实施者等
上下求索，跨越政策、技术、运营和工程，多层次立体化描述网络安全生态与机制
纵论中外，瞭望海外网络安全战略政策与建设经验，回归中国网络安全行业实践
正本清源，考证文献和标准规范，走出网络安全名词乱象，构建严谨自洽的概念体系
抽丝剥茧，运用成本思维、人性思维、体系思维方法，解构网络安全的隐性规律

当前，计算机网络已经成为国家政治、经济、文化乃至军事等几乎所有社会系统存在与发展的重要基础。网络空间是继陆地、海洋、天空、太空之后的第五空间，是国家主权延伸的新疆域。回顾过去的几十年，网络空间安全问题日益凸显，网络威胁层出不穷，网络空间安全已上升到了国家安全的高度。
对于一个国家而言，网络空间的安全态势处于持续变迁中，战略政策是宏观治理的指南针，重大事件是趋势改变的催化剂，而技术研发则提供了结构重塑的动力源。一方面，一个国家的网络空间安全是一个庞杂的体系，可分解为组织管理、法律法规、标准技术、科研教育、工程建设等诸多因素，各种因素互相影响、互相制约，形成一个系统工程。另一方面，公民和企业是国家的细胞和组织，国家网络空间安全的建设，与公民网络安全意识、安全习惯的培养及企业的安全能力建设浑然一体，上下牵制。因此，我国在强化网络空间安全的道路上，既需要从全局角度考虑各类分解因素，也需要在微观、中观和宏观不同层面上相互配合，使其服务于国家与社会网络空间的总体战略。
本书用相当多的篇幅介绍美国等西方国家在网络安全领域的体系机制、前沿技术和项目实践。实际上，本书发源于作者对国外网络安全体系建设的浓厚兴趣和长期追踪。同时，作者身处我国网络空间安全治理的实践阵地，结合我国国情对网络安全的技术采用、工程架构和运营实践等问题进行了一些思考，最终形成对本书的构想。考虑到国内读者未必满足于单纯一窥国外状况，必须结合本国实情对国外经验教训加以吸收消化，落地于本国网络安全工作实践，作者对主题内容进行了扩展，在全书的各个章节都加入了我国状况。网络安全学科跨度深广，从业者究竟应该如何“上下而求索”？虽说学海无涯，但仅靠“苦作舟”是不够的，单纯的战术性勤奋难免陷入“以有涯求无涯”的窘境。本书作者作为本领域的学习者，对此总结出了一些心得体会，即以提纲挈领为重点，先立筋骨而后实以血肉，从而详略自取，收放随心。这一学习方法有助于将零碎的知识和千差万别的表述融合为统一的知识框架和一致性的言语解释。
与网络安全领域其他综述性著作相比，本书有如下特点：
第一，本书将网络安全体系视作系统工程，立足于多个层面和辐角，内容跨度较大。本书将国家与企业、宏观与微观等不同层面的视野进行对接，将技术和工程维度、管理和运营维度、法律和历史维度的内容加以整合，既包括政策详解，又包括技术总结。本书志在成为“指南手册”式的资料，可支撑政策研究者掌握技术内涵，帮助技术研究者了解政策脉络，助力各类读者获得全面、细致的理论知识体系。
第二，本书考虑了不同层次读者的知识储备。本书一方面引述权威资料，压缩知识密度，确保对于技术人员而言的专业性价值；另一方面，针对各类读者可能存在的知识空缺，本书尽可能加以填补，搭建快速领略新领域核心概念的桥梁。作者认为，一本书适合初学者消化吸收的关键，在于“显”而不在于“浅”。只要编写者有心提供必要的辅助信息，将内容处理成易消化的形态，对于读者会大有裨益，甚至有望在短期内掌握一些深度知识。遇到抽象难懂的概念也不会回避，尝试多种方式予以辨明。
第三，本书尝试对泛滥的名词正本清源。网络安全行业现存大量含混不清的概念，同时又养成了高速发明新词的风气，其中许多新词还是面向营销目的的无谓发明，给广大从业者造成了困扰。这类滥用新词的现象曾被19世纪的英国作家狄更斯称作“词语的暴行”。对于层出不穷的新词，我们虽无须认同接纳，但又有必要理解吸收。作者主张先洞穿其实质，然后将其融入自己的认知体系和词汇框架之中。本书将力图对一些令人迷惑的概念刨根问底，强调对国家标准（尤其是GB/T 25069）和国际标准的遵循，注重中英文术语的对照，方便读者在查阅国内外各类文献时能够建立知识关联，最终建立一套自洽的专业词汇体系。
第四，关于信息来源，本书注重对权威文件的引用，大量介绍国家标准、国际标准以及知名开源项目的内容，许多段落可看作对重要标准化文件“划重点”。此外，本书也包含作者的一些独立论断，源于作者在安全大数据和安全系统工程相关岗位长期的实践和思考，本书特别突出了相关内容，并提出了一些鲜明的观点，谨待争鸣。
由于作者才疏学浅，面对网络安全体系这一宏大的题目进行论述时，难免有管窥蠡测之嫌。虽殚精竭虑，也难免会出现大小谬误，希望读者不吝赐教。

专家推荐
前言
第1章大道可名：网络安全基本概念/
1.1网络安全概念内涵/
1.1.1网络空间/
1.1.2网络空间与安全/
1.2网络安全概念外延/
1.2.1网络安全与物理安全/
1.2.2网络安全与国家安全/
1.2.3网络安全与企业经营/
1.2.4网络安全与信息化/
1.2.5网络安全与数字化/
1.2.6网络安全与新兴技术/
1.3网络安全多样视角/
1.3.1四方视角/
1.3.2黑帽、白帽和其他帽/
1.3.3红队、蓝队和紫队/
1.3.4定向攻击与机会攻击/
1.4网络安全基本要素/
1.4.1ICT基础概念/
1.4.2资产与威胁/
1.4.3攻击与窃取/
1.4.4事态与事件/
1.4.5漏洞与攻击载体/
1.4.6风险与暴露/
1.4.7保障与确保/1.4.8验证与确认/
1.4.9可视性与态势/
1.4.10情报与标示/
1.4.11信任与可信性/
1.4.12网络韧性/
1.4.13网络威慑/
1.5网络安全解构思维/
1.5.1成本思维/
1.5.2人性思维/
1.5.3体系思维/
第2章安邦护市：网络安全政策机制/
2.1我国网络安全治理历程的萌芽期/
2.1.1安全问题的发端/
2.1.220世纪90年代政策与举措/
2.1.3安全行业的雏形/
2.2我国网络安全治理历程的发育期/
2.2.1世纪之交面临的突出威胁及其应对/
2.2.22000—2005年政策与举措/
2.2.32006—2010年政策与举措/
2.2.42010—2013年政策与举措/
2.2.5本时期成立的安全专业机构/
2.3我国网络安全治理的加速期/
2.3.12014—2015年政策与举措/
2.3.22016—2017年政策与举措/
2.3.32018—2019年政策与举措/
2.3.42020—2021年政策与举措/
2.3.52022年政策与举措/
2.3.6本时期成立的安全专业机构/
2.4外国网络安全治理机构/
2.5网络安全标准化/
2.5.1国家标准委/
2.5.2国际标准体系/
2.5.3我国标准体系/
2.5.4开放标准/
2.5.5外国标准化机构/
2.6网络安全漏洞治理/
2.6.1漏洞探测/2.6.2漏洞征集/
2.6.3漏洞处理/
2.6.4漏洞发布/
2.6.5漏洞管制/
2.7网络安全威胁对抗/
2.7.1关键信息基础设施保护/
2.7.2网络安全风险评估/
2.7.3网络安全审查/
2.7.4网络安全监测预警/
2.7.5“两卡一号”治理/
2.7.6网络安全信息共享/
2.7.7网络事件报告/
2.8网络安全测评认证/
2.8.1评估与认证/
2.8.2认证与认可/
2.8.3测评认证机构/
2.8.4等级测评/
2.8.5商用密码检测认证/
2.8.6商用密码应用安全性评估/
2.8.7关键信息基础设施安全检测评估/
2.8.8网络关键设备和网络安全专用产品/
2.8.9数据安全认证/
2.8.10CC认证/
2.9网络安全事件应急/
2.9.1政策文件/
2.9.2工作机构/
2.9.3CERT组织/
2.9.4事件分级/
2.9.5响应级别/
第3章利兵坚甲：网络安全攻防技术/
3.1信息收集技术/
3.1.1网络采集/
3.1.2端点遥测/
3.1.3网空测绘/
3.1.4插桩采集/
3.1.5挂钩采集/
3.1.6样本采集/3.1.7入侵侦察/
3.1.8情报作业/
3.2渗透攻击技术/
3.2.1社交工程/
3.2.2缓冲区溢出/
3.2.3Web漏洞利用/
3.2.4逻辑漏洞利用/
3.2.5恶意软件分类/
3.2.6恶意软件的进化/
3.2.7灰色软件/
3.2.8僵尸网络/
3.2.9TTP/
3.2.10ATT&CK/
3.2.11网络杀伤链/
3.2.12无文件攻击/
3.2.13隐秘信道/
3.2.14信标/
3.2.15密码分析/
3.2.16渗透测试/
3.2.17自动化渗透/
3.3威胁检测技术/
3.3.1误用检测与异常检测/
3.3.2反病毒（AV）/
3.3.3HIDS与NIDS/
3.3.4白名单检测/
3.3.5IoC/
3.3.6TTP检测与IoB/
3.3.7威胁检测与AI/
3.3.8用户与实体行为分析（UEBA）/
3.3.9检测成熟度等级（DML）/
3.3.10威胁检测技术的困境/
3.4防护阻断技术/
3.4.1防火墙/
3.4.2入侵预防系统（IPS）/
3.4.3保护环/
3.4.4沙箱隔离/
3.4.5控制流劫持防护/
3.4.6运行时应用自保护（RASP）/3.4.7微隔离（MSG）/
3.4.8DDoS对抗/
3.4.9端口敲门（PK）与单包授权（SPA）/
3.4.10虚拟专用网（VPN）/
3.5数据保护技术/
3.5.1密码编码学/
3.5.2密钥共享/
3.5.3量子密钥分发（QKD）/
3.5.4后量子密码学（PQC）/
3.5.5区块链技术/
3.5.6可信计算（TC）/
3.5.7隐私计算（PEC）/
3.5.8可信执行环境（TEE）/
3.5.9数据脱敏/
3.6认证授权技术/
3.6.1多因素认证（MFA）/
3.6.2Cookie与签名令牌/
3.6.3单点登录（SSO）/
3.6.4主张式身份（CBI）/
3.6.5联邦化身份管理（FIdM）/
3.6.6自治式身份（SSI）/
3.6.7访问控制范型/
3.6.8访问控制模型/
第4章烽火暗流：网络安全运营实战/
4.1工作框架/
4.1.1过程式方法/
4.1.2PDCA循环/
4.1.3IT管理与IT治理/
4.1.4IT控制/
4.1.5IT审计/
4.1.6COBIT框架/
4.1.7信息安全治理/
4.1.8信息安全管理体系（ISMS）/
4.1.9PDR与P2DR模型/
4.1.10NIST网络安全框架（CSF）/
4.1.11网络安全滑动标尺（SSCS）/
4.1.12数据管理与治理/4.1.13数据安全治理（DSG）/
4.1.14安全测度/
4.2资产识别/
4.2.1IT资产管理（ITAM）/
4.2.2配置管理（CM）/
4.2.3影子IT/
4.2.4软件标识（SWID）/
4.2.5通用平台枚举（CPE）/
4.2.6软件物料清单（SBOM）/
4.3风险管理/
4.3.1风险管理活动/
4.3.2风险偏好/
4.3.3风险评估/
4.3.4风险处置/
4.3.5安全控制/
4.3.6安全基线/
4.3.7漏洞评估（VA