网络空间安全与关键信息基础设施安全

目录
Chapter 1 第1章 关键信息基础设施安全现状\t1
1．1 基本概念\t1
1．1．1 基础设施和重要信息系统\t1
1．1．2 关键基础设施和关键信息基础设施\t2
1．2 关键信息基础设施范围\t4
1．2．1 网络安全法界定的范围\t4
1．2．2 国家网络空间安全战略界定的范围\t4
1．2．3 关键信息基础设施安全保护条例界定的范围\t5
1．3 安全现状\t6
1．3．1 安全生态持续优化\t6
1．3．2 安全事件层出不穷\t7
Chapter 2 第2章 网络安全法\t9
2．1 网络安全法的法律精髓\t9
2．1．1 一部网络安全领域基础性法律\t9
2．1．2 二类责任主体\t9
2．1．3 三项基本原则\t10
2．1．4 一个意识、四个抓手\t11
2．1．5 五类主体安全义务\t11
2．1．6 六类网络安全保护制度\t12
2．2 《国家网络空间安全战略》与《网络安全法》的关系\t14
2．3 《网络安全法》重点保护关键信息基础设施\t15
2．4 基于《网络安全法》关键信息基础设施安全\t17
2．4．1 建立健全网络安全管理制度\t17
2．4．2 完善一般安全保护义务\t17
2．4．3 做好增强安全保护义务\t18
2．4．4 建议关键信息基础设施运营者的重点工作\t19
2．5 实施过程中面临的挑战\t21
2．5．1 网络安全执法体制和部门职责\t21
2．5．2 《网络安全法》配套法规和制度细则\t22
2．6 关于关键信息基础设施采购网络产品和服务的说明\t22
2．6．1 必知的强制性要求\t23
2．6．2 产品认证和检测制度\t23
2．6．3 限制发布网络安全信息\t24
2．6．4 严禁网络安全漏洞验证和利用\t25
2．6．5 安全服务人员准入要求\t25
Chapter 3 第3章 网络安全审查\t26
3．1 网络安全审查的意义和目的\t26
3．1．1 网络安全审查是维护国家安全利益的意志体现\t26
3．1．2 网络安全审查是国家网络安全治理的手段\t27
3．1．3 网络安全审查是国家主权的体现\t28
3．2 网络安全审查的主要内容\t28
3．2．1 适用主体和审查内容\t28
3．2．2 审查方式\t29
3．2．3 审查主体\t30
3．2．4 审查原则\t30
3．2．5 审查流程\t31
3．2．6 未申报未通过的后果\t32
3．3 实施过程中面临的问题和困境\t32
3．3．1 安全主体责任问题\t32
3．3．2 网络产品和服务界定问题\t34
Chapter 4 第4章 网络安全等级保护\t35
4．1 网络安全等级保护的安全理念\t35
4．1．1 边界界定引发的网络安全保障模型\t36
4．1．2 主体责任引发的网络安全建设需求\t39
4．2 深入理解网络安全等级保护\t39
4．2．1 分等级保护是底线思维\t39
4．2．2 分等级保护是管理手段\t40
4．2．3 分等级保护是能力体现\t41
4．3 网络安全等级保护的基本内容\t42
4．3．1 网络安全等级保护的主体和责任\t42
4．3．2 网络安全等级保护对象\t43
4．3．3 等级保护常规动作\t44
4．3．4 常规动作在实施过程中的基本要求\t45
4．3．5 实施等级保护的基本原则\t46
4．3．6 等级保护的发展历程\t47
4．3．7 网络安全等级保护的标准体系\t48
Chapter 5 第5章 网络安全等级保护2．0\t52
5．1 如何理解网络安全等级保护2．0\t52
5．2 网络安全等级保护2．0新变化\t54
5．2．1 体系架构变化\t54
5．2．2 命名变化\t56
5．2．3 等级保护指标数量变化\t56
5．2．4 新增可信计算\t58
5．2．5 安全通用技术变化\t58
5．2．6 安全通用管理变化\t61
5．3 网络安全等级保护2．0基本要求\t63
5．3．1 安全通用要求\t63
5．3．2 云计算安全扩展要求\t65
5．3．3 移动互联安全扩展要求\t65
5．3．4 物联网安全扩展要求\t66
5．3．5 工业控制系统安全扩展要求\t66
Chapter 6 第6章 等级保护和关键信息基础设施运营者\t67
6．1 定级\t67
6．1．1 等级保护对象和安全保护等级\t68
6．1．2 定级工作主要内容\t69
6．1．3 等级保护对象中的定级要素分析\t70
6．1．4 如何识别等级保护对象\t72
6．1．5 安全扩展要求的定级对象\t72
6．1．6 定级工作流程\t73
6．1．7 定级工作方法\t74
6．1．8 定级对象等级如何审批和变更\t75
6．2 备案\t76
6．2．1 备案需要什么资料\t76
6．2．2 备案资料的审核要点\t77
6．2．3 属地受理备案\t78
6．2．4 公安机关受理备案要求\t79
6．2．5 拒不备案的处置过程\t79
6．3 安全建设整改\t80
6．3．1 安全建设整改目的和整改流程\t80
6．3．2 如何整改安全管理制度\t81
6．3．3 如何整改安全技术措施\t86
6．4 等级测评\t91
6．4．1 基本工作\t91
6．4．2 测评工作流程有哪些\t93
6．4．3 网络安全等级保护2．0测评指标\t101
6．4．4 网络安全等级保护2．0测评结论\t105
6．4．5 谁来开展等级测评\t105
6．4．6 如何规避测评风险\t105
6．5 监督检查\t107
6．5．1 等级保护监督检查内容\t107
6．5．2 检查方式和检查要求\t109
6．5．3 整改通报\t110
Chapter 7 第7章 关键信息基础设施安全保护条例\t111
7．1 关键信息基础设施法律政策和标准依据\t111
7．1．1 《网络安全法》\t111
7．1．2 《关键信息基础设施安全保护条例》\t112
7．1．3 国家网络空间安全战略\t112
7．1．4 关键信息基础设施安全检查评估指南\t112
7．1．5 关键信息基础设施安全保障评价指标体系\t113
7．1．6 关键信息基础设施网络安全保护基本要求\t113
7．2 强化关键信息基础设施的安全特色\t114
7．2．1 网络安全对抗风险高\t114
7．2．2 网络安全法律要求高\t114
7．2．3 网络安全建设要求高\t114
7．2．4 网络安全测评要求高\t114
7．2．5 网络安全监管要求高\t115
7．2．6 网络安全日常运维成本高\t115
7．2．7 网络安全主体责任格局高\t115
7．2．8 网络安全思维层次高\t115
7．2．9 网络安全事件应急要求高\t115
7．2．10 网络安全人才质量高\t116
7．3 细化网络运营者的安全义务\t116
7．3．1 赋予的安全保护\t116
7．3．2 做好“网络安全三同步”\t116
7．3．3 网络安全主体责任制\t117
7．3．4 关键信息基础设施保护义务进一步强化\t117
7．3．5 强化的网络安全管理与人员管理\t117
7．3．6 监测预警\t118
7．3．7 应急处置\t118
7．3．8 检测评估\t119
7．4 主体责任\t119
7．4．1 国家主导网络安全生态\t119
7．4．2 监管部门\t120
7．4．3 行业主管部门\t120
7．4．4 公安机关\t121
Chapter 8 第8章 网络安全等级保护条例\t122
8．1 必要性和意义\t122
8．1．1 完善网络安全法的需要\t122
8．1．2 落实网络安全等级保护制度的需要\t123
8．1．3 解决网络安全突出问题的需要\t123
8．2 主要内容\t124
8．2．1 总则和国家意志\t124
8．2．2 支持保障和职能部门\t125
8．2．3 网络安全保护和网络运营者\t126
8．2．4 涉密网络系统的安全保护\t127
8．2．5 密码管理\t127
8．2．6 监督管理和监管部门\t128
8．3 公安机关和网络安全等级保护条例\t128
8．3．1 安全监督管理\t128
8．3．2 安全检查\t129
8．3．3 安全处置手段\t129
8．3．4 安全责任\t130
8．4 网络运营者和网络安全等级保护条例\t131
8．4．1 承担责任和安全要求\t131
8．4．2 履行安全保护义务\t132
8．4．3 测评机构管理要求\t133
8．4．4 网络服务机构管理\t134
8．5 引起关注的典型问题或困境\t134
8．5．1 合规成本与企业发展之间的矛盾\t134
8．5．2 监管部门与行业主管部门之间的关系\t134
8．5．3 网络安全等级保护配套法规有待完善\t135
8．5．4 条例和部门规章\t135
Chapter 9 第9章 工业控制系统安全\t137
9．1 工业控制系统概述\t137
9．1．1 工业控制系统的概念和定义\t137
9．1．2 工业控制系统分层模型\t139
9．1．3 工业控制系统与传统信息系统的区别\t140
9．1．4 工业控制主机与传统计算机主机的区别\t141
9．2 工业控制系统安全现状\t141
9．2．1 震网安全事件带来的启示\t141
9．2．2 工业控制安全风险现状\t142
9．2．3 深入组件理解工控安全事件\t142
9．3 工业控制系统安全建设和管理\t144
9．3．1 工控安全法律法规\t144
9．3．2 基于安全技术的建设措施\t145
9．3．3 基于等级保护2．0的建设措施\t149
Chapter 10 第10章 工业互联网安全\t152
10．1 工业互联网概述\t152
10．1．1 工业互联网的概念和定义\t152
10．1．2 工业互联网的地位和作用\t154
10．1．3 工业互联网的组成\t155
10．1．4 深入理解工业互联网的改变\t155
10．1．5 关键支撑技术\t156
10．2 工业互联网安全\t157
10．2．1 工业互联网安全需求分析\t157
10．2．2 工业互联网安全现状\t158
10．3 工业互联网安全建设和管理\t160
10．3．1 法律法规\t160
10．3．2 安全建设和管理措施\t161
10．3．3 面临的困境和问题\t162
Chapter 11 第11章 个人信息安全\t163
11．1 个人信息安全基本概念\t163
11．1．1 个人信息\t163
11．1．2 个人敏感信息\t165
11．2 个人信息安全法律法规\t166
11．2．1 《网络安全法》\t166
11．2．2 《刑法》司法解释\t166
11．3 重要数据出境安全评估\t167
11．3．1 基本概念\t167
11．3．2 出境数据的界定和评估内容\t167
11．3．3 禁止出境的数据\t168
11．3．4 评估流程\t168
11．3．5 关键信息基础设施运营者重点关注内容\t169
11．4 个人信息出境安全评估办法\t170
11．4．1 评估范围的变化\t171
11．4．2 评估流程的变化\t171
11．4．3 限制出境的个人信息\t172
11．5 个人信息安全规范\t172
11．5．1 个人信息安全基本原则\t172
11．5．2 个人信息安全收集\t173
11．5．3 个人信息安全保存\t173
11．5．4 个人信息安全使用\t174
11．5．5 个人信息安全共享转让披露\t175
11．6 互联网个人信息安全保护指南\t176
11．6．1 公安合规与国标合规对比\t176
11．6．2 适用范围\t177
11．6．3 技术措施\t177
11．6．4 管理措施\t177
11．6．5 业务流程\t178
11．6．6 应急处置\t180
Chapter 12 第12章 数据安全法\t181
12．1 《数据安全法》的地位和作用\t181
12．2 《数据安全法》的主要内容\t182
12．2．1 适用范围\t183
12．2．2 数据安全管理责任主体\t183
12．2．3 数据安全产业\t184
12．2．4 数据安全制度\t185
12．2．5 数据安全保护义务\t186
12．2．6 政务数据安全\t188
12．2．7 数据安全法律责任\t189
12．3 面临的困境和问题\t190
12．3．1 数据安全面临的痛点\t190
12．3．2 数据安全业务流程的细化\t191
12．3．2 《数据安全法》和《数据安全管理办法》\t192
Chapter 13 第13章 密码法\t193
13．1 《密码法》的作用和地位\t193
13．1．1 密码的重要性\t193
13．1．2 《密码法》的必要性\t194
13．1．3 运用《密码法》的基本原则\t195
13．2 《密码法》的主要内容\t196
13．2．1 密码的概念和分类\t196
13．2．2 核心和普通密码管理和使用\t197
13．2．3 商用密码的管理和使用\t197
13．2．4 法律责任\t198
13．3 商用密码与等级保护2．0\t199
13．3．1 等级保护中的密码要求\t200
13．3．2 如何开展商用密码测评\t201
Chapter 14 第14章 关键信息基础设施安全建设\t203
14．1 关键信息基础设施安全技术\t203
14．1．1 内生安全和关键信息基础设施\t203
14．1．2 重要信息系统安全\t204
14．1．3 工业互联网安全\t204
14．2 关键信息基础设施安全建设\t205
14．2．1 基于等级保护的安全建设\t205
14．2．2 基于关键信息基础设施安全标准的安全建设\t205
14．3 关键信息基础设施安全建设建议\t206
14．3．1 注重生态治理\t206
14．3．2 注重数据安全\t207
14．3．3 注重基础防护\t207
14．3．4 注重保障体系\t208
Chapter 15 第15章 关键信息基础设施安全事件管理\t209
15．1 网络安全事件管理\t209
15．1．1 网络安全事件的分类分级管理\t209
15．1．2 《网络安全法》中的网络安全事件管理\t212
15．1．3 网络安全事件应急处置流程\t213
15．1．4 网络安全事件日常管理工作\t214
15．2 网络安全预警通报管理\t215
15．2．1 预警等级\t216
15．2．2 预警研判和发布\t216
15．2．3 网络安全信息通报实施办法\t216
15．2．4 建立信息通报日常工作机制\t216
15．2．5 信息通报内容和方式\t217
15．3 网络安全风险评估管理\t218
15．3．1 法规依据\t218
15．3．2 网络信息资产分类\t219
15．3．3 网络安全风险评估过程\t219
15．3．4 网络安全风险评估所需资料\t220
Chapter 16 第16章 新型基础设施建设安全\t209
16．1 新型基础设施建设的背景和意义\t222
16．1．1 新基建的概念\t222
16．1．2 新基建中的“新”\t223
16．1．3 新基建的地位和作用\t223
16．2 新型基础设施建设的范围\t224
16．2．1 信息基础设施\t224
16．2．2 融合基础设施\t225
16．2．3 创新基础设施\t225
16．3 新型基础设施建设与网络安全\t225
16．3．1 主动防御\t225
16．3．2 数据安全\t226
16．3．3 自主可控\t226
16．3．4 软件供应链安全\t227
16．3．5 智慧安全\t227
16．3．6 融合安全\t228
Chapter 17 附录A 中华人民共和国网络安全法\t229
Chapter 18 附录B 中华人民共和国密码法\t243
Chapter 19 附录C 中华人民共和国数据安全法（草案）\t250
Chapter 20 附录D 网络安全审查办法\t256
Chapter 21 附录E 网络安全等级保护条例（征求意见稿）\t260
Chapter 22 附录F 关键信息基础设施安全保护条例（征求意见稿）\t274
Chapter 23 参考文献\t283