网络空间安全与关键信息基础设施安全

本书以关键信息基础设施为对象，讨论合规前提下的关键信息基础设施安全。本书共16章，主要内容包括：网络安全法、网络安全审查、网络安全等级保护、关键信息基础设施安全保护条例、网络安全等级保护条例、工业控制系统安全、工业互联网安全、个人信息安全、数据安全、密码安全、关键信息基础设施安全建设、关键信息基础设施安全事件管理、新基建安全等法律法规标准规范，从基本概念、作用地位、合规要求解读和合规安全建设角度剖析关键信息基础设施安全。 本书主要面向关键信息基础设施主管部门、运营部门、建设使用部门学习国家系列法律法规和政策的人员；面向关键信息基础设施提供网络产品和服务的人员；面向网络安全相关部门开展监督管理、执法检查和安全规划建设工作的人员；也可供网络安全管理人员，网络安全专业人员，网络安全服务人员以及网络空间安全专业本科生等使用。

目录

Chapter 1 章 关键信息基础设施安全现状 1
1.1 基本概念 1
1.1.1 基础设施和重要信息系统 1
1.1.2 关键基础设施和关键信息基础设施 2
1.2 关键信息基础设施范围 4
1.2.1 网络安全法界定的范围 4
1.2.2 国家网络空间安全战略界定的范围 4
1.2.3 关键信息基础设施安全保护条例界定的范围 5
1.3 安全现状 6
1.3.1 安全生态持续优化 6
1.3.2 安全事件层出不穷 7
Chapter 2 第2章 网络安全法 9
2.1 网络安全法的法律精髓 9
2.1.1 一部网络安全领域基础性法律 9
2.1.2 二类责任主体 9
2.1.3 三项基本原则 10
2.1.4 一个意识、四个抓手 11
2.1.5 五类主体安全义务 11
2.1.6 六类网络安全保护制度 12
2.2 《国家网络空间安全战略》与《网络安全法》的关系 14
2.3 《网络安全法》重点保护关键信息基础设施 15
2.4 基于《网络安全法》关键信息基础设施安全 17
2.4.1 建立健全网络安全管理制度 17
2.4.2 完善一般安全保护义务 17
2.4.3 做好增强安全保护义务 18
2.4.4 建议关键信息基础设施运营者的重点工作 19
2.5 实施过程中面临的挑战 21
2.5.1 网络安全执法体制和部门职责 21
2.5.2 《网络安全法》配套法规和制度细则 22
2.6 关于关键信息基础设施采购网络产品和服务的说明 22
2.6.1 必知的强制性要求 23
2.6.2 产品认证和检测制度 23
2.6.3 限制发布网络安全信息 24
2.6.4 严禁网络安全漏洞验证和利用 25
2.6.5 安全服务人员准入要求 25
Chapter 3 第3章 网络安全审查 26
3.1 网络安全审查的意义和目的 26
3.1.1 网络安全审查是维护国家安全利益的意志体现 26
3.1.2 网络安全审查是国家网络安全治理的手段 27
3.1.3 网络安全审查是国家主权的体现 28
3.2 网络安全审查的主要内容 28
3.2.1 适用主体和审查内容 28
3.2.2 审查方式 29
3.2.3 审查主体 30
3.2.4 审查原则 30
3.2.5 审查流程 31
3.2.6 未申报未通过的后果 32
3.3 实施过程中面临的问题和困境 32
3.3.1 安全主体责任问题 32
3.3.2 网络产品和服务界定问题 34
Chapter 4 第4章 网络安全等级保护 35
4.1 网络安全等级保护的安全理念 35
4.1.1 边界界定引发的网络安全保障模型 36
4.1.2 主体责任引发的网络安全建设需求 39
4.2 深入理解网络安全等级保护 39
4.2.1 分等级保护是底线思维 39
4.2.2 分等级保护是管理手段 40
4.2.3 分等级保护是能力体现 41
4.3 网络安全等级保护的基本内容 42
4.3.1 网络安全等级保护的主体和责任 42
4.3.2 网络安全等级保护对象 43
4.3.3 等级保护常规动作 44
4.3.4 常规动作在实施过程中的基本要求 45
4.3.5 实施等级保护的基本原则 46
4.3.6 等级保护的发展历程 47
4.3.7 网络安全等级保护的标准体系 48
Chapter 5 第5章 网络安全等级保护2.0 52
5.1 如何理解网络安全等级保护2.0 52
5.2 网络安全等级保护2.0新变化 54
5.2.1 体系架构变化 54
5.2.2 命名变化 56
5.2.3 等级保护指标数量变化 56
5.2.4 新增可信计算 58
5.2.5 安全通用技术变化 58
5.2.6 安全通用管理变化 61
5.3 网络安全等级保护2.0基本要求 63
5.3.1 安全通用要求 63
5.3.2 云计算安全扩展要求 65
5.3.3 移动互联安全扩展要求 65
5.3.4 物联网安全扩展要求 66
5.3.5 工业控制系统安全扩展要求 66
Chapter 6 第6章 等级保护和关键信息基础设施运营者 67
6.1 定级 67
6.1.1 等级保护对象和安全保护等级 68
6.1.2 定级工作主要内容 69
6.1.3 等级保护对象中的定级要素分析 70
6.1.4 如何识别等级保护对象 72
6.1.5 安全扩展要求的定级对象 72
6.1.6 定级工作流程 73
6.1.7 定级工作方法 74
6.1.8 定级对象等级如何审批和变更 75
6.2 备案 76
6.2.1 备案需要什么资料 76
6.2.2 备案资料的审核要点 77
6.2.3 属地受理备案 78
6.2.4 公安机关受理备案要求 79
6.2.5 拒不备案的处置过程 79
6.3 安全建设整改 80
6.3.1 安全建设整改目的和整改流程 80
6.3.2 如何整改安全管理制度 81
6.3.3 如何整改安全技术措施 86
6.4 等级测评 91
6.4.1 基本工作 91
6.4.2 测评工作流程有哪些 93
6.4.3 网络安全等级保护2.0测评指标 101
6.4.4 网络安全等级保护2.0测评结论 105
6.4.5 谁来开展等级测评 105
6.4.6 如何规避测评风险 105
6.5 监督检查 107
6.5.1 等级保护监督检查内容 107
6.5.2 检查方式和检查要求 109
6.5.3 整改通报 110
Chapter 7 第7章 关键信息基础设施安全保护条例 111
7.1 关键信息基础设施法律政策和标准依据 111
7.1.1 《网络安全法》 111
7.1.2 《关键信息基础设施安全保护条例》 112
7.1.3 国家网络空间安全战略 112
7.1.4 关键信息基础设施安全检查评估指南 112
7.1.5 关键信息基础设施安全保障评价指标体系 113
7.1.6 关键信息基础设施网络安全保护基本要求 113
7.2 强化关键信息基础设施的安全特色 114
7.2.1 网络安全对抗风险高 114
7.2.2 网络安全法律要求高 114
7.2.3 网络安全建设要求高 114
7.2.4 网络安全测评要求高 114
7.2.5 网络安全监管要求高 115
7.2.6 网络安全日常运维成本高 115
7.2.7 网络安全主体责任格局高 115
7.2.8 网络安全思维层次高 115
7.2.9 网络安全事件应急要求高 115
7.2.10 网络安全人才质量高 116
7.3 细化网络运营者的安全义务 116
7.3.1 赋予的安全保护 116
7.3.2 做好“网络安全三同步” 116
7.3.3 网络安全主体责任制 117
7.3.4 关键信息基础设施保护义务进一步强化 117
7.3.5 强化的网络安全管理与人员管理 117
7.3.6 监测预警 118
7.3.7 应急处置 118
7.3.8 检测评估 119
7.4 主体责任 119
7.4.1 国家主导网络安全生态 119
7.4.2 监管部门 120
7.4.3 行业主管部门 120
7.4.4 公安机关 121
Chapter 8 第8章 网络安全等级保护条例 122
8.1 必要性和意义 122
8.1.1 完善网络安全法的需要 122
8.1.2 落实网络安全等级保护制度的需要 123
8.1.3 解决网络安全突出问题的需要 123
8.2 主要内容 124
8.2.1 总则和国家意志 124
8.2.2 支持保障和职能部门 125
8.2.3 网络安全保护和网络运营者 126
8.2.4 涉密网络系统的安全保护 127
8.2.5 密码管理 127
8.2.6 监督管理和监管部门 128
8.3 公安机关和网络安全等级保护条例 128
8.3.1 安全监督管理 128
8.3.2 安全检查 129
8.3.3 安全处置手段 129
8.3.4 安全责任 130
8.4 网络运营者和网络安全等级保护条例 131
8.4.1 承担责任和安全要求 131
8.4.2 履行安全保护义务 132
8.4.3 测评机构管理要求 133
8.4.4 网络服务机构管理 134
8.5 引起关注的典型问题或困境 134
8.5.1 合规成本与企业发展之间的矛盾 134
8.5.2 监管部门与行业主管部门之间的关系 134
8.5.3 网络安全等级保护配套法规有待完善 135
8.5.4 条例和部门规章 135
Chapter 9 第9章 工业控制系统安全 137
9.1 工业控制系统概述 137
9.1.1 工业控制系统的概念和定义 137
9.1.2 工业控制系统分层模型 139
9.1.3 工业控制系统与传统信息系统的区别 140
9.1.4 工业控制主机与传统计算机主机的区别 141
9.2 工业控制系统安全现状 141
9.2.1 震网安全事件带来的启示 141
9.2.2 工业控制安全风险现状 142
9.2.3 深入组件理解工控安全事件 142
9.3 工业控制系统安全建设和管理 144
9.3.1 工控安全法律法规 144
9.3.2 基于安全技术的建设措施 145
9.3.3 基于等级保护2.0的建设措施 149
Chapter 10 0章 工业互联网安全 152
10.1 工业互联网概述 152
10.1.1 工业互联网的概念和定义 152
10.1.2 工业互联网的地位和作用 154
10.1.3 工业互联网的组成 155
10.1.4 深入理解工业互联网的改变 155
10.1.5 关键支撑技术 156
10.2 工业互联网安全 157
10.2.1 工业互联网安全需求分析 157
10.2.2 工业互联网安全现状 158
10.3 工业互联网安全建设和管理 160
10.3.1 法律法规 160
10.3.2 安全建设和管理措施 161
10.3.3 面临的困境和问题 162
Chapter 11 1章 个人信息安全 163
11.1 个人信息安全基本概念 163
11.1.1 个人信息 163
11.1.2 个人敏感信息 165
11.2 个人信息安全法律法规 166
11.2.1 《网络安全法》 166
11.2.2 《刑法》司法解释 166
11.3 重要数据出境安全评估 167
11.3.1 基本概念 167
11.3.2 出境数据的界定和评估内容 167
11.3.3 禁止出境的数据 168
11.3.4 评估流程 168
11.3.5 关键信息基础设施运营者重点关注内容 169
11.4 个人信息出境安全评估办法 170
11.4.1 评估范围的变化 171
11.4.2 评估流程的变化 171
11.4.3 限制出境的个人信息 172
11.5 个人信息安全规范 172
11.5.1 个人信息安全基本原则 172
11.5.2 个人信息安全收集 173
11.5.3 个人信息安全保存 173
11.5.4 个人信息安全使用 174
11.5.5 个人信息安全共享转让披露 175
11.6 互联网个人信息安全保护指南 176
11.6.1 公安合规与国标合规对比 176
11.6.2 适用范围 177
11.6.3 技术措施 177
11.6.4 管理措施 177
11.6.5 业务流程 178
11.6.6 应急处置 180
Chapter 12 2章 数据安全法 181
12.1 《数据安全法》的地位和作用 181
12.2 《数据安全法》的主要内容 182
12.2.1 适用范围 183
12.2.2 数据安全管理责任主体 183
12.2.3 数据安全产业 184
12.2.4 数据安全制度 185
12.2.5 数据安全保护义务 186
12.2.6 政务数据安全 188
12.2.7 数据安全法律责任 189
12.3 面临的困境和问题 190
12.3.1 数据安全面临的痛点 190
12.3.2 数据安全业务流程的细化 191
12.3.2 《数据安全法》和《数据安全管理办法》 192
Chapter 13 3章 密码法 193
13.1 《密码法》的作用和地位 193
13.1.1 密码的重要性 193
13.1.2 《密码法》的必要性 194
13.1.3 运用《密码法》的基本原则 195
13.2 《密码法》的主要内容 196
13.2.1 密码的概念和分类 196
13.2.2 核心和普通密码管理和使用 197
13.2.3 商用密码的管理和使用 197
13.2.4 法律责任 198
13.3 商用密码与等级保护2.0 199
13.3.1 等级保护中的密码要求 200
13.3.2 如何开展商用密码测评 201
Chapter 14 4章 关键信息基础设施安全建设 203
14.1 关键信息基础设施安全技术 203
14.1.1 内生安全和关键信息基础设施 203
14.1.2 重要信息系统安全 204
14.1.3 工业互联网安全 204
14.2 关键信息基础设施安全建设 205
14.2.1 基于等级保护的安全建设 205
14.2.2 基于关键信息基础设施安全标准的安全建设 205
14.3 关键信息基础设施安全建设建议 206
14.3.1 注重生态治理 206
14.3.2 注重数据安全 207
14.3.3 注重基础防护 207
14.3.4 注重保障体系 208
Chapter 15 5章 关键信息基础设施安全事件管理 209
15.1 网络安全事件管理 209
15.1.1 网络安全事件的分类分级管理 209
15.1.2 《网络安全法》中的网络安全事件管理 212
15.1.3 网络安全事件应急处置流程 213
15.1.4 网络安全事件日常管理工作 214
15.2 网络安全预警通报管理 215
15.2.1 预警等级 216
15.2.2 预警研判和发布 216
15.2.3 网络安全信息通报实施办法 216
15.2.4 建立信息通报日常工作机制 216
15.2.5 信息通报内容和方式 217
15.3 网络安全风险评估管理 218
15.3.1 法规依据 218
15.3.2 网络信息资产分类 219
15.3.3 网络安全风险评估过程 219
15.3.4 网络安全风险评估所需资料 220
Chapter 16 6章 新型基础设施建设安全 209
16.1 新型基础设施建设的背景和意义 222
16.1.1 新基建的概念 222
16.1.2 新基建中的“新” 223
16.1.3 新基建的地位和作用 223
16.2 新型基础设施建设的范围 224
16.2.1 信息基础设施 224
16.2.2 融合基础设施 225
16.2.3 创新基础设施 225
16.3 新型基础设施建设与网络安全 225
16.3.1 主动防御 225
16.3.2 数据安全 226
16.3.3 自主可控 226
16.3.4 软件供应链安全 227
16.3.5 智慧安全 227
16.3.6 融合安全 228
Chapter 17 附录A 中华人民共和国网络安全法 229
Chapter 18 附录B 中华人民共和国密码法 243
Chapter 19 附录C 中华人民共和国数据安全法（草案） 250
Chapter 20 附录D 网络安全审查办法 256
Chapter 21 附录E 网络安全等级保护条例（征求意见稿） 260
Chapter 22 附录F 关键信息基础设施安全保护条例（征求意见稿） 274
Chapter 23 参考文献 283