新書推薦:
《
乔丹法则
》
售價:NT$
363.0
《
如何不被一杯水淹没
》
售價:NT$
307.0
《
流人系列03:猛虎 午夜文库
》
售價:NT$
411.0
《
洛克现代性政治学之根
》
售價:NT$
494.0
《
奥登诗精选
》
售價:NT$
510.0
《
《你的名字。》美术画集
》
售價:NT$
562.0
《
北齐书(点校本二十四史修订本 全2册)
》
售價:NT$
770.0
《
美丽的地球:高山(呈现世界70余座宏伟高山,感受世界的起伏)
》
售價:NT$
510.0
|
| 內容簡介: |
|
本书以关键信息基础设施为对象,讨论合规前提下的关键信息基础设施安全。本书共16章,主要内容包括:网络安全法、网络安全审查、网络安全等级保护、关键信息基础设施安全保护条例、网络安全等级保护条例、工业控制系统安全、工业互联网安全、个人信息安全、数据安全、密码安全、关键信息基础设施安全建设、关键信息基础设施安全事件管理、新基建安全等法律法规标准规范,从基本概念、作用地位、合规要求解读和合规安全建设角度剖析关键信息基础设施安全。 本书主要面向关键信息基础设施主管部门、运营部门、建设使用部门学习国家系列法律法规和政策的人员;面向关键信息基础设施提供网络产品和服务的人员;面向网络安全相关部门开展监督管理、执法检查和安全规划建设工作的人员;也可供网络安全管理人员,网络安全专业人员,网络安全服务人员以及网络空间安全专业本科生等使用。
|
| 關於作者: |
|
夏冰,中原工学院计算机学院,副教授,河南省优秀指导教师,公安部等级保护测评高级测评师,信息系统高级规划师。
|
| 目錄:
|
目录
Chapter 1 第1章 关键信息基础设施安全现状 1
1.1 基本概念 1
1.1.1 基础设施和重要信息系统 1
1.1.2 关键基础设施和关键信息基础设施 2
1.2 关键信息基础设施范围 4
1.2.1 网络安全法界定的范围 4
1.2.2 国家网络空间安全战略界定的范围 4
1.2.3 关键信息基础设施安全保护条例界定的范围 5
1.3 安全现状 6
1.3.1 安全生态持续优化 6
1.3.2 安全事件层出不穷 7
Chapter 2 第2章 网络安全法 9
2.1 网络安全法的法律精髓 9
2.1.1 一部网络安全领域基础性法律 9
2.1.2 二类责任主体 9
2.1.3 三项基本原则 10
2.1.4 一个意识、四个抓手 11
2.1.5 五类主体安全义务 11
2.1.6 六类网络安全保护制度 12
2.2 《国家网络空间安全战略》与《网络安全法》的关系 14
2.3 《网络安全法》重点保护关键信息基础设施 15
2.4 基于《网络安全法》关键信息基础设施安全 17
2.4.1 建立健全网络安全管理制度 17
2.4.2 完善一般安全保护义务 17
2.4.3 做好增强安全保护义务 18
2.4.4 建议关键信息基础设施运营者的重点工作 19
2.5 实施过程中面临的挑战 21
2.5.1 网络安全执法体制和部门职责 21
2.5.2 《网络安全法》配套法规和制度细则 22
2.6 关于关键信息基础设施采购网络产品和服务的说明 22
2.6.1 必知的强制性要求 23
2.6.2 产品认证和检测制度 23
2.6.3 限制发布网络安全信息 24
2.6.4 严禁网络安全漏洞验证和利用 25
2.6.5 安全服务人员准入要求 25
Chapter 3 第3章 网络安全审查 26
3.1 网络安全审查的意义和目的 26
3.1.1 网络安全审查是维护国家安全利益的意志体现 26
3.1.2 网络安全审查是国家网络安全治理的手段 27
3.1.3 网络安全审查是国家主权的体现 28
3.2 网络安全审查的主要内容 28
3.2.1 适用主体和审查内容 28
3.2.2 审查方式 29
3.2.3 审查主体 30
3.2.4 审查原则 30
3.2.5 审查流程 31
3.2.6 未申报未通过的后果 32
3.3 实施过程中面临的问题和困境 32
3.3.1 安全主体责任问题 32
3.3.2 网络产品和服务界定问题 34
Chapter 4 第4章 网络安全等级保护 35
4.1 网络安全等级保护的安全理念 35
4.1.1 边界界定引发的网络安全保障模型 36
4.1.2 主体责任引发的网络安全建设需求 39
4.2 深入理解网络安全等级保护 39
4.2.1 分等级保护是底线思维 39
4.2.2 分等级保护是管理手段 40
4.2.3 分等级保护是能力体现 41
4.3 网络安全等级保护的基本内容 42
4.3.1 网络安全等级保护的主体和责任 42
4.3.2 网络安全等级保护对象 43
4.3.3 等级保护常规动作 44
4.3.4 常规动作在实施过程中的基本要求 45
4.3.5 实施等级保护的基本原则 46
4.3.6 等级保护的发展历程 47
4.3.7 网络安全等级保护的标准体系 48
Chapter 5 第5章 网络安全等级保护2.0 52
5.1 如何理解网络安全等级保护2.0 52
5.2 网络安全等级保护2.0新变化 54
5.2.1 体系架构变化 54
5.2.2 命名变化 56
5.2.3 等级保护指标数量变化 56
5.2.4 新增可信计算 58
5.2.5 安全通用技术变化 58
5.2.6 安全通用管理变化 61
5.3 网络安全等级保护2.0基本要求 63
5.3.1 安全通用要求 63
5.3.2 云计算安全扩展要求 65
5.3.3 移动互联安全扩展要求 65
5.3.4 物联网安全扩展要求 66
5.3.5 工业控制系统安全扩展要求 66
Chapter 6 第6章 等级保护和关键信息基础设施运营者 67
6.1 定级 67
6.1.1 等级保护对象和安全保护等级 68
6.1.2 定级工作主要内容 69
6.1.3 等级保护对象中的定级要素分析 70
6.1.4 如何识别等级保护对象 72
6.1.5 安全扩展要求的定级对象 72
6.1.6 定级工作流程 73
6.1.7 定级工作方法 74
6.1.8 定级对象等级如何审批和变更 75
6.2 备案 76
6.2.1 备案需要什么资料 76
6.2.2 备案资料的审核要点 77
6.2.3 属地受理备案 78
6.2.4 公安机关受理备案要求 79
6.2.5 拒不备案的处置过程 79
6.3 安全建设整改 80
6.3.1 安全建设整改目的和整改流程 80
6.3.2 如何整改安全管理制度 81
6.3.3 如何整改安全技术措施 86
6.4 等级测评 91
6.4.1 基本工作 91
6.4.2 测评工作流程有哪些 93
6.4.3 网络安全等级保护2.0测评指标 101
6.4.4 网络安全等级保护2.0测评结论 105
6.4.5 谁来开展等级测评 105
6.4.6 如何规避测评风险 105
6.5 监督检查 107
6.5.1 等级保护监督检查内容 107
6.5.2 检查方式和检查要求 109
6.5.3 整改通报 110
Chapter 7 第7章 关键信息基础设施安全保护条例 111
7.1 关键信息基础设施法律政策和标准依据 111
7.1.1 《网络安全法》 111
7.1.2 《关键信息基础设施安全保护条例》 112
7.1.3 国家网络空间安全战略 112
7.1.4 关键信息基础设施安全检查评估指南 112
7.1.5 关键信息基础设施安全保障评价指标体系 113
7.1.6 关键信息基础设施网络安全保护基本要求 113
7.2 强化关键信息基础设施的安全特色 114
7.2.1 网络安全对抗风险高 114
7.2.2 网络安全法律要求高 114
7.2.3 网络安全建设要求高 114
7.2.4 网络安全测评要求高 114
7.2.5 网络安全监管要求高 115
7.2.6 网络安全日常运维成本高 115
7.2.7 网络安全主体责任格局高 115
7.2.8 网络安全思维层次高 115
7.2.9 网络安全事件应急要求高 115
7.2.10 网络安全人才质量高 116
7.3 细化网络运营者的安全义务 116
7.3.1 赋予的安全保护 116
7.3.2 做好网络安全三同步 116
7.3.3 网络安全主体责任制 117
7.3.4 关键信息基础设施保护义务进一步强化 117
7.3.5 强化的网络安全管理与人员管理 117
7.3.6 监测预警 118
7.3.7 应急处置 118
7.3.8 检测评估 119
7.4 主体责任 119
7.4.1 国家主导网络安全生态 119
7.4.2 监管部门 120
7.4.3 行业主管部门 120
7.4.4 公安机关 121
Chapter 8 第8章 网络安全等级保护条例 122
8.1 必要性和意义 122
8.1.1 完善网络安全法的需要 122
8.1.2 落实网络安全等级保护制度的需要 123
8.1.3 解决网络安全突出问题的需要 123
8.2 主要内容 124
8.2.1 总则和国家意志 124
8.2.2 支持保障和职能部门 125
8.2.3 网络安全保护和网络运营者 126
8.2.4 涉密网络系统的安全保护 127
8.2.5 密码管理 127
8.2.6 监督管理和监管部门 128
8.3 公安机关和网络安全等级保护条例 128
8.3.1 安全监督管理 128
8.3.2 安全检查 129
8.3.3 安全处置手段 129
8.3.4 安全责任 130
8.4 网络运营者和网络安全等级保护条例 131
8.4.1 承担责任和安全要求 131
8.4.2 履行安全保护义务 132
8.4.3 测评机构管理要求 133
8.4.4 网络服务机构管理 134
8.5 引起关注的典型问题或困境 134
8.5.1 合规成本与企业发展之间的矛盾 134
8.5.2 监管部门与行业主管部门之间的关系 134
8.5.3 网络安全等级保护配套法规有待完善 135
8.5.4 条例和部门规章 135
Chapter 9 第9章 工业控制系统安全 137
9.1 工业控制系统概述 137
9.1.1 工业控制系统的概念和定义 137
9.1.2 工业控制系统分层模型 139
9.1.3 工业控制系统与传统信息系统的区别 140
9.1.4 工业控制主机与传统计算机主机的区别 141
9.2 工业控制系统安全现状 141
9.2.1 震网安全事件带来的启示 141
9.2.2 工业控制安全风险现状 142
9.2.3 深入组件理解工控安全事件 142
9.3 工业控制系统安全建设和管理 144
9.3.1 工控安全法律法规 144
9.3.2 基于安全技术的建设措施 145
9.3.3 基于等级保护2.0的建设措施 149
Chapter 10 第10章 工业互联网安全 152
10.1 工业互联网概述 152
10.1.1 工业互联网的概念和定义 152
10.1.2 工业互联网的地位和作用 154
10.1.3 工业互联网的组成 155
10.1.4 深入理解工业互联网的改变 155
10.1.5 关键支撑技术 156
10.2 工业互联网安全 157
10.2.1 工业互联网安全需求分析 157
10.2.2 工业互联网安全现状 158
10.3 工业互联网安全建设和管理 160
10.3.1 法律法规 160
10.3.2 安全建设和管理措施 161
10.3.3 面临的困境和问题 162
Chapter 11 第11章 个人信息安全 163
11.1 个人信息安全基本概念 163
11.1.1 个人信息 163
11.1.2 个人敏感信息 165
11.2 个人信息安全法律法规 166
11.2.1 《网络安全法》 166
11.2.2 《刑法》司法解释 166
11.3 重要数据出境安全评估 167
11.3.1 基本概念 167
11.3.2 出境数据的界定和评估内容 167
11.3.3 禁止出境的数据 168
11.3.4 评估流程 168
11.3.5 关键信息基础设施运营者重点关注内容 169
11.4 个人信息出境安全评估办法 170
11.4.1 评估范围的变化 171
11.4.2 评估流程的变化 171
11.4.3 限制出境的个人信息 172
11.5 个人信息安全规范 172
11.5.1 个人信息安全基本原则 172
11.5.2 个人信息安全收集 173
11.5.3 个人信息安全保存 173
11.5.4 个人信息安全使用 174
11.5.5 个人信息安全共享转让披露 175
11.6 互联网1
|
| 內容試閱:
|
前言
关键信息基础设施是指面向公众提供公共通信和信息服务,支撑能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的基础设施。因此,保护本国关键信息基础设施安全已成国际社会关注的焦点,成为各国保障国家网络空间安全的首要任务。
《中华人民共和国网络安全法》确定了关键信息基础设施保护制度是国家网络空间领域的基本制度。在基本保护制度框架的实施过程中,国家出台多项法律法规,指导关键信息基础设施网络运营者、网络产品和服务提供者开展合规性安全建设和管理。在合规性安全管理过程中,运营者发现,关键信息基础设施、重要信息系统和工业控制系统等交织在一起,面临不同执法部门对同一单位、同一事项、同一产品的重复检查检测认证评估,存在着执行检查标准和操作不一的问题。在合规性安全建设过程中,关键信息基础设施对重要数据、网络产品和服务、数据出境、数据安全界定模糊,面临缺失共识说法或操作指南的困境。为了解决上述问题,本书梳理现有关键信息基础设施安全合规性管理和安全合规性建设的主要内容,尝试通过解读的方式给出一点点建议,使监管者和运营者之间能够在基本点上先达成共识,共同推进关键信息基础设施安全建设进展。
关键信息基础设施关系国家安全和国计民生、公共利益。国家、政府、行业主管部门、监管部门,从自己所肩负的主体责任角度,纷纷出台相关法律、法规、政策和标准,从而编制一张庞大复杂的关键信息基础设施安全保护网络。本书仅仅梳理主要法规约束下的这张安全网络,给出《中华人民共和国网络安全法》主线下合规性安全的认识。伴随系列配套法律法规、政策标准、解读和案例的学习,监管责任主体和被监管责任主体认知也在提升,难免会出现本书内容和读者认知冲突和矛盾的地方,希望读者以最新的合规性安全要求为准。
关键信息基础设施安全引起从事网络安全研究者、建设者和管理者的强烈关注。网络安全研究者、建设者和管理者,在结合自身经验、现状和理解上,通过博客、网站等方式表达自己的观点,有利于促进关键信息基础设施的安全合规性建设进展。本书消化吸收相同的观点,剖析冲突的观点,尝试给出能体现当前最新进展的合规性认识。如果有欠妥的观点或解释不到位之处,希望读者本着基本点达成共识、共同推进合规性建设为谅解原则。本书不代表最终的官方决策,仅供读者参考。
在此感谢通过博客、网站、资讯等方式表达自己观点的网络安全研究者、建设者和管理者。如果本书参考了您的观点而没有给出引用说明,请联系编者。
本书由中原工学院夏冰主编。河南省委保密委员会办公室的徐康副研究员参与编写第13章、第14章内容,河南省教育厅的麦世奎参与编写本书第11章、第12章。本书在编写过程中得到了中原工学院郑秋生教授,河南省公安厅的王志奇调研员、河南省委网信办王沛栋副研究员、河南省网络安全保卫总队杨素萍副总队长的支持、咨询和审查,同时得到了南京邮电大学王春晖教授的指导,在此表示由衷的感谢。本书的编写还得到河南省舆情监测与智能分析重点实验室、计算机信息系统安全评估河南省工程实验室的项目资金支持,电子工业出版社提供参考资料并密切协调指导,在此表示感谢。
由于编者水平有限,不妥之处在所难免,敬请读者批评指正。
夏 冰
2020年8月
|
|
購物車/收銀台(
0
) | 在線留言板
| 付款方式
| 聯絡我們
| 運費計算
| 幫助中心 |
加入書簽
HOME
新書上架
