网络空间安全与关键信息基础设施安全电子书

内容简介

/前言/PREFACE

Chapter1 第1章 关键信息基础设施安全现状

1.1 基本概念

1.1.1 基础设施和重要信息系统

1.1.2 关键基础设施和关键信息基础设施

1.2 关键信息基础设施范围

1.2.1 《网络安全法》界定的范围

1.2.2 国家网络空间安全战略界定的范围

1.2.3 关键信息基础设施安全保护条例界定的范围

1.3 安全现状

1.3.1 安全生态持续优化

1.3.2 安全事件层出不穷

Chapter2 第2章 网络安全法

2.1 《网络安全法》的法律精髓

2.1.1 一部网络安全领域基础性法律

2.1.2 二类责任主体

2.1.3 三项基本原则

2.1.4 一个意识、四个抓手

2.1.5 五类主体安全义务

2.1.6 六类网络安全保护制度

2.2 《国家网络空间安全战略》与《网络安全法》的关系

2.3 《网络安全法》的关键信息基础设施安全

2.4 基于《网络安全法》的关键信息基础设施解析

2.4.1 建立健全网络安全管理制度

2.4.2 完善一般安全保护义务

2.4.3 做好增强安全保护义务

2.4.4 建议关键信息基础设施运营者的重点工作

2.5 实施过程中面临的挑战

2.5.1 网络安全执法体制和部门职责

2.5.2 《网络安全法》配套法规和制度细则

2.6 关于关键信息基础设施采购网络产品和服务的说明

2.6.1 必知的强制性要求

2.6.2 产品认证和检测制度

2.6.3 限制发布网络安全信息

2.6.4 严禁网络安全漏洞验证和利用

2.6.5 安全服务人员准入要求

Chapter3 第3章 网络安全审查

3.1 网络安全审查的意义和目的

3.1.1 网络安全审查是维护国家安全利益的意志体现

3.1.2 网络安全审查是国家网络安全治理的手段

3.1.3 网络安全审查是国家主权的体现

3.2 网络安全审查的主要内容

3.2.1 适用主体和审查内容

3.2.2 审查方式

3.2.3 审查主体

3.2.4 审查原则

3.2.5 审查流程

3.2.6 未申报未通过的后果

3.3 实施过程中面临的问题和困境

3.3.1 安全主体责任问题

3.3.2 网络产品和服务界定问题

Chapter4 第4章 网络安全等级保护

4.1 网络安全等级保护的安全理念

4.1.1 边界界定引发的网络安全保障模型

4.1.2 责任主体引发的网络安全建设需求

4.2 深入理解网络安全等级保护

4.2.1 分等级保护是底线思维

4.2.2 分等级保护是管理手段

4.2.3 分等级保护是能力体现

4.3 网络安全等级保护的基本内容

4.3.1 网络安全等级保护的主体和责任

4.3.2 网络安全等级保护对象

4.3.3 等级保护常规动作

4.3.4 常规动作在实施过程中的基本要求

4.3.5 实施等级保护的基本原则

4.3.6 等级保护的发展历程

4.3.7 网络安全等级保护的标准体系

Chapter5 第5章 网络安全等级保护2.0

5.1 如何理解网络安全等级保护2.0

5.2 网络安全等级保护2.0新变化

5.2.1 体系架构变化

5.2.2 命名变化

5.2.3 等级保护指标数量变化

5.2.4 新增可信计算

5.2.5 安全通用技术变化

5.2.6 安全通用管理变化

5.3 网络安全等级保护2.0基本要求

5.3.1 安全通用要求

5.3.2 云计算安全扩展要求

5.3.3 移动互联安全扩展要求

5.3.4 物联网安全扩展要求

5.3.5 工业控制系统安全扩展要求

Chapter6 第6章 等级保护和关键信息基础设施运营者

6.1 定级

6.1.1 等级保护对象和安全保护等级

6.1.2 定级工作主要内容

6.1.3 等级保护对象中的定级要素分析

6.1.4 如何识别等级保护对象

6.1.5 安全扩展要求的定级对象

6.1.6 定级工作流程

6.1.7 定级工作方法

6.1.8 定级对象等级如何审批和变更

6.2 备案

6.2.1 备案需要什么资料

6.2.2 备案资料的审核要点

6.2.3 属地受理备案

6.2.4 公安机关受理备案要求

6.2.5 拒不备案的处置过程

6.3 安全建设整改

6.3.1 安全建设整改目的和整改流程

6.3.2 如何整改安全管理制度

6.3.3 如何整改安全技术措施

6.4 等级测评

6.4.1 基本工作

6.4.2 测评工作流程有哪些

6.4.3 网络安全等级保护2.0测评指标

6.4.4 网络安全等级保护2.0测评结论

6.4.5 谁来开展等级测评

6.4.6 如何规避测评风险

6.5 监督检查

6.5.1 等级保护监督检查内容

6.5.2 检查方式和检查要求

6.5.3 整改通报

Chapter7 第7章 关键信息基础设施安全保护条例

7.1 关键信息基础设施法律政策和标准依据

7.1.1 《网络安全法》

7.1.2 《关键信息基础设施安全保护条例》

7.1.3 国家网络空间安全战略

7.1.4 关键信息基础设施安全检查评估指南

7.1.5 关键信息基础设施安全保障评价指标体系

7.1.6 关键信息基础设施网络安全保护基本要求

7.2 强化关键信息基础设施的安全特色

7.2.1 网络安全对抗风险高

7.2.2 网络安全法律要求高

7.2.3 网络安全建设要求高

7.2.4 网络安全测评要求高

7.2.5 网络安全监管要求高

7.2.6 网络安全日常运维成本高

7.2.7 网络安全主体责任格局高

7.2.8 网络安全思维层次高

7.2.9 网络安全事件应急要求高

7.2.10 网络安全人才质量高

7.3 细化网络运营者的安全义务

7.3.1 赋予的安全保护

7.3.2 做好“网络安全三同步”

7.3.3 网络安全主体责任制

7.3.4 关键信息基础设施保护义务进一步强化

7.3.5 强化的网络安全管理与人员管理

7.3.6 监测预警

7.3.7 应急处置

7.3.8 检测评估

7.4 主体责任

7.4.1 国家主导网络安全生态

7.4.2 监管部门

7.4.3 行业主管部门

7.4.4 公安机关

Chapter8 第8章 网络安全等级保护条例

8.1 必要性和意义

8.1.1 完善网络安全法的需要

8.1.2 落实网络安全等级保护制度的需要

8.1.3 解决网络安全突出问题的需要

8.2 主要内容

8.2.1 总则和国家意志

8.2.2 支持保障和职能部门

8.2.3 网络安全保护和网络运营者

8.2.4 涉密网络系统的安全保护

8.2.5 密码管理

8.2.6 监督管理和监管部门

8.3 公安机关和网络安全等级保护条例

8.3.1 安全监督管理

8.3.2 安全检查

8.3.3 安全处置手段

8.3.4 安全责任

8.4 网络运营者和网络安全等级保护条例

8.4.1 承担责任和安全要求

8.4.2 履行安全保护义务

8.4.3 测评机构管理要求

8.4.4 网络服务机构管理

8.5 引起关注的典型问题或困境

8.5.1 合规成本与企业发展之间的矛盾

8.5.2 监管部门与行业主管部门之间的关系

8.5.3 网络安全等级保护配套法规有待完善

8.5.4 条例和部门规章

Chapter9 第9章 工业控制系统安全

9.1 工业控制系统概述

9.1.1 工业控制系统的概念和定义

9.1.2 工业控制系统分层模型

9.1.3 工业控制系统与传统信息系统的区别

9.1.4 工业控制主机与传统计算机主机的区别

9.2 工业控制系统安全现状

9.2.1 震网安全事件带来的启示

9.2.2 工业控制安全风险现状

9.2.3 深入组件理解工控安全事件

9.3 工业控制系统安全建设和管理

9.3.1 工控安全法律法规

9.3.2 基于安全技术的建设措施

9.3.3 基于等级保护2.0的建设措施

Chapter10 第10章 工业互联网安全

10.1 工业互联网概述

10.1.1 工业互联网的概念和定义

10.1.2 工业互联网的地位和作用

10.1.3 工业互联网的组成

10.1.4 深入理解工业互联网的改变

10.1.5 关键支撑技术

10.2 工业互联网安全

10.2.1 工业互联网安全需求分析

10.2.2 工业互联网安全现状

10.3 工业互联网安全建设和管理

10.3.1 法律法规

10.3.2 安全建设和管理措施

10.3.3 面临的困境和问题

Chapter11 第11章 个人信息安全

11.1 个人信息安全基本概念

11.1.1 个人信息

11.1.2 个人敏感信息

11.2 个人信息安全法律法规

11.2.1 《网络安全法》

11.2.2 《刑法》司法解释

11.3 重要数据出境安全评估

11.3.1 基本概念

11.3.2 出境数据的界定和评估内容

11.3.3 禁止出境的数据

11.3.4 评估流程

11.3.5 关键信息基础设施运营者重点关注内容

11.4 个人信息出境安全评估办法

11.4.1 评估范围的变化

11.4.2 评估流程的变化

11.4.3 限制出境的个人信息

11.5 个人信息安全规范

11.5.1 个人信息安全基本原则

11.5.2 个人信息安全收集

11.5.3 个人信息安全保存

11.5.4 个人信息安全使用

11.5.5 个人信息安全共享转让披露

11.6 互联网个人信息安全保护指南

11.6.1 公安合规与国标合规对比

11.6.2 适用范围

11.6.3 技术措施

11.6.4 管理措施

11.6.5 业务流程

11.6.6 应急处置

Chapter12 第12章 数据安全法

12.1 《数据安全法》的地位和作用

12.2 《数据安全法》的主要内容

12.2.1 适用范围

12.2.2 数据安全管理责任主体

12.2.3 数据安全产业

12.2.4 数据安全制度

12.2.5 数据安全保护义务

12.2.6 政务数据安全

12.2.7 数据安全法律责任

12.3 面临的困境和问题

12.3.1 数据安全面临的痛点

12.3.2 数据安全业务流程的细化

12.3.2 《数据安全法》和《数据安全管理办法》

Chapter13 第13章 密码法

13.1 《密码法》的作用和地位

13.1.1 密码的重要性

13.1.2 《密码法》的必要性

13.1.3 运用《密码法》的基本原则

13.2 《密码法》的主要内容

13.2.1 密码的概念和分类

13.2.2 核心和普通密码管理和使用

13.2.3 商用密码的管理和使用

13.2.4 法律责任

13.3 商用密码与等级保护2.0

13.3.1 等级保护中的密码要求

13.3.2 如何开展商用密码测评

Chapter14 第14章 关键信息基础设施安全建设

14.1 关键信息基础设施安全技术

14.1.1 内生安全和关键信息基础设施

14.1.2 重要信息系统安全

14.1.3 工业互联网安全

14.2 关键信息基础设施安全建设

14.2.1 基于等级保护的安全建设

14.2.2 基于关键信息基础设施安全标准的安全建设

14.3 关键信息基础设施安全建设建议

14.3.1 注重生态治理

14.3.2 注重数据安全

14.3.3 注重基础防护

14.3.4 注重保障体系

Chapter15 第15章 关键信息基础设施安全事件管理

15.1 网络安全事件管理

15.1.1 网络安全事件的分类分级管理

15.1.2 《网络安全法》中的网络安全事件管理

15.1.3 网络安全事件应急处置流程

15.1.4 网络安全事件日常管理工作

15.2 网络安全预警通报管理

15.2.1 预警等级

15.2.2 预警研判和发布

15.2.3 网络安全信息通报实施办法

15.2.4 建立信息通报日常工作机制

15.2.5 信息通报内容和方式

15.3 网络安全风险评估管理

15.3.1 法规依据

15.3.3 网络安全风险评估过程

15.3.4 网络安全风险评估所需资料

Chapter16 第16章 新型基础设施建设安全

16.1 新型基础设施建设的背景和意义

16.1.1 新基建的概念

16.1.2 新基建中的“新”

16.1.3 新基建的地位和作用

16.2 新型基础设施建设的范围

16.2.1 信息基础设施

16.2.2 融合基础设施

16.2.3 创新基础设施

16.3 新型基础设施建设与网络安全

16.3.1 主动防御

16.3.2 数据安全

16.3.3 自主可控

16.3.4 软件供应链安全

16.3.5 智慧安全

16.3.6 融合安全

Chapter17 附录A 中华人民共和国网络安全法

Chapter18 附录B 中华人民共和国密码法

Chapter19 附录C 中华人民共和国数据安全法（草案）

Chapter20 附录D 网络安全审查办法

Chapter21 附录E 网络安全等级保护条例（征集意见稿）

Chapter22 附录F 关键信息基础设施安全保护条例（征集意见稿）

Chapter23 参考文献