本书共八章,分为四部分。网络安全法律法规部分(第一章至第三章),介绍了网络空间安全的相关概念、现状、面临的挑战与对策,总结了网络安全法的立法历程,剖析了各角色主体的责任与义务,同时介绍了新的网络安全管理规定,违反网络安全法、刑法的典型执法案例和涉及的相关计算机罪名典型案例。网络安全等级保护部分(第四章至第五章),详细阐述了定级、备案、建设整改、等级测评、监督检查等工作流程,深入分析了网络安全等级保护2.0的新变化、新通用要求、新扩展要求,以及商用密码应用安全性评估等内容。关键信息基础设施安全保护部分(第六章),系统介绍了核心概念、保护范围、保护要求及实施措施。网络安全事件管理部分(第七章至第八章),给出了信息资产、数据资产等概念,分析了信息安全、数据安全风险评估的业务流程,同时提出了网络安全事件分类分级管理和应急处置流程。本书适用范围广泛,既可作为网络运营者、企事业单位及行政机关等人员开展网络安全等级保护工作的参考书,也可作为网络空间安全类、计算机类和电子信息类专业本科生、研究生的教材或教学参考用书。
夏冰,中原工学院计算机学院,副教授,河南省优秀指导教师,公安部等级保护测评高级测评师,信息系统高级规划师。
第一章 网络空间安全 1
1.1 网络空间与网络空间安全 2
1.1.1 网络空间 2
1.1.2 安全和事件链 3
1.1.3 与网络安全相关的名称 4
1.1.4 网络空间安全问题归结 5
1.2 网络空间安全现状 6
1.2.1 国家高度重视网络空间安全 6
1.2.2 国际之间网络空间对抗加剧 7
1.3 网络空间安全面临的挑战与对策 8
1.3.1 网络空间安全面临的挑战 8
1.3.2 网络空间安全对策 9
第二章 网络安全法 11
2.1 概述 12
2.1.1 立法历程 12
2.1.2 相关概念 13
2.1.3 法律框架 14
2.1.4 法律特色 18
2.2 法律实施前的热点问题和挑战 22
2.2.1 热点问题和回应 22
2.2.2 实施过程中面临的挑战 25
2.3 从国家角度看网络安全法 26
2.3.1 维护国家安全 26
2.3.2 保障网络安全 27
2.4 从网信角度看网络安全法 28
2.4.1 统筹协调网络安全 29
2.4.2 互联网信息处置 29
2.4.3 安全专用产品管理、认证和检测 29
2.4.4 网络安全审查 30
2.4.5 数据出境评估 30
2.4.6 网络安全机制与抓手 31
2.5 从公安角度看网络安全法 32
2.5.1 打击利用网络实施危害的行为 32
2.5.2 打击网络违法犯罪行为 32
2.5.3 打击个人信息违法行为 33
2.5.4 打击社交网络犯罪活动 33
2.5.5 打击境外违法犯罪活动 33
2.5.6 执法网络安全等级保护 33
2.6 从网络用户角度看网络安全法 33
2.6.1 网络用户的权利 33
2.6.2 网络用户的义务 34
2.6.3 个人信息保护 34
2.7 从普通网络运营者角度看网络安全法 35
2.7.1 以双重身份承担社会责任 35
2.7.2 国家网络安全的责任主体 35
2.7.3 常规网络安全运行工作 35
2.7.4 保护用户信息 36
2.7.5 阻断违法信息的传播 37
2.7.6 网络经营者可能涉及的具体罪名 37
2.8 从产品和安全服务提供者角度看网络安全法 39
2.8.1 服务要符合国标的强制性要求 40
2.8.2 产品销售许可制度 40
2.8.3 限制发布系统漏洞信息 41
2.8.4 严厉打击危害网络安全的活动 41
2.9 从关键信息基础设施运营者角度看网络安全法 42
2.9.1 概念和范围 42
2.9.2 具有中国特色的网络安全管理机制 43
2.9.3 严格的日常安全保护义务 43
2.9.4 特殊的安全保障义务 44
2.9.5 需要关注的十项重点工作 45
第三章 网络安全管理规定与执法案例分析 47
3.1 网络安全管理规定 48
3.1.1 公安部门网络安全管理规定 48
3.1.2 网信部门网络安全管理规定 50
3.1.3 工业和信息化部门网络安全管理规定 55
3.2 个人信息安全管理规定 57
3.2.1 网络安全法 57
3.2.2 个人信息安全规范 58
3.2.3 个人信息保护法 59
3.2.4 个人信息出境安全评估办法 60
3.2.5 个人信息处理中告知和同意的实施指南 60
3.2.6 关于办理侵犯公民个人信息刑事案件适用法律
若干问题的解释 60
3.2.7 关于侵犯公民个人信息入刑的规定 63
3.3 数据安全管理规定 66
3.3.1 数据安全法 66
3.3.2 数据安全管理办法 66
3.3.3 数据出境安全评估办法 67
3.3.4 网络数据安全管理条例 68
3.3.5 数据安全与科技伦理管理 69
3.4 网络安全法执法典型案例 70
3.4.1 网络安全法第一案 70
3.4.2 网络使用合同案 70
3.4.3 虚假信息发布引发的不正当竞争纠纷案 71
3.4.4 发布法律法规禁止发布的信息案 71
3.4.5 违法违规信息扩散案 72
3.4.6 未依法留存用户登录相关网络日志案 72
3.4.7 网站黑客攻击入侵的网络安全事件案 72
3.4.8 法律、行政法规禁止传输信息案 72
3.4.9 未采取防范危害网络安全行为的技术措施案 73
3.4.10 未对用户发布的禁止性信息尽到监管义务案 73
3.4.11 侵犯公民个人信息案 73
3.4.12 网络产品和服务不符合法定要求案 74
3.4.13 未制定网络安全事件应急预案 74
3.4.14 关键信息基础设施案 74
3.4.15 案例警示 74
3.5 刑法和涉及计算机罪名典型案例 75
3.5.1 电信诈骗案 75
3.5.2 侵犯公民个人信息案 75
3.5.3 非法获取计算机信息系统数据案 76
3.5.4 提供侵入、非法控制计算机信息系统程序、
工具案 76
3.5.5 破坏计算机信息系统案 77
3.5.6 单位拒不履行信息网络安全管理义务案 77
3.5.7 利用计算机实施盗窃案 78
3.5.8 帮助信息网络犯罪活动案 78
第四章 网络安全等级保护基本工作流程 79
4.1 基本概念 80
4.1.1 网络安全等级保护 80
4.1.2 等级保护对象 80
4.1.3 等级划分 81
4.2 基本内容 81
4.2.1 基本工作环节 81
4.2.2 基本责任主体 82
4.2.3 基本工作要求 84
4.2.4 基本工作原则 85
4.2.5 基本标准体系 85
4.2.6 基本法律体系 88
4.3 等级保护对象之定级 92
4.3.1 定级工作主要内容 92
4.3.2 定级要素分析 93
4.3.3 等级保护对象识别 95
4.3.4 安全扩展要求和定级对象 95
4.3.5 定级工作流程 96
4.3.6 定级工作方法 97
4.3.7 审批和变更 98
4.4 等级保护对象之备案 99
4.4.1 备案资料 99
4.4.2 审核要点 100
4.4.3 属地受理备案 101
4.4.4 公安机关受理备案要求 101
4.4.5 拒不备案的处置过程 102
4.5 等级保护对象之建设整改 102
4.5.1 整改目的和整改流程 102
4.5.2 安全管理制度整改 104
4.5.3 安全技术措施整改 107
4.6 等级保护对象之等级测评 111
4.6.1 基本工作 112
4.6.2 测评工作基本流程 114
4.6.3 测评结果 120
4.6.4 等级保护测评机构的选择 122
4.6.5 测评风险规避 125
4.6.6 读懂测评报告 127
4.7 等级保护对象之监督检查 134
4.7.1 安全监督管理执行主体 134
4.7.2 日常安全检查主要内容 135
4.7.3 网络安全等级保护检查主要内容 135
4.7.4 检查方式和检查要求 137
4.7.5 检查问题反馈和整改通报 138
4.8 深入理解网络安全等级保护 138
4.8.1 分等级保护是治理实践 138
4.8.2 分等级保护是底线思维 138
4.8.3 分等级保护是管理手段 139
4.8.4 分等级保护是能力体现 139
4.8.5 等级保护2.0是时代产物 140
第五章 网络安全等级保护2.0 141
5.1 网络安全等级保护2.0的特色 142
5.1.1 技术基础化 142
5.1.2 制度法治化 142
5.1.3 对象具体化 142
5.1.4 内涵精准化 143
5.1.5 体系完善化 143
5.2 网络安全等级保护2.0的变化 143
5.2.1 体系架构变化 143
5.2.2 命名变化 144
5.2.3 指标数量变化 145
5.2.4 可信逐级变化 147
5.2.5 安全通用技术变化 147
5.2.6 安全通用管理变化 149
5.3 网络安全等级保护2.0的体系 151
5.3.1 安全通用要求体系 151
5.3.2 安全扩展要求体系 153
5.4 网络安全等级保护2.0的安全通用基本要求 154
5.4.1 安全物理环境 155
5.4.2 安全通信网络 155
5.4.3 安全区域边界 155
5.4.4 安全计算环境 156
5.4.5 安全管理中心 157
5.4.6 安全管理制度 157
5.4.7 安全管理机构 158
5.4.8 安全管理人员 158
5.4.9 安全建设管理 159
5.4.10 安全运维管理 159
5.5 网络安全等级保护2.0的安全扩展基本要求 161
5.5.1 云计算安全扩展要求 161
5.5.2 移动互联安全扩展要求 163
5.5.3 物联网安全扩展要求 164
5.5.4 工业控制系统安全扩展要求 165
5.5.5 大数据安全扩展要求 166
5.6 网络安全等级保护2.0和商用密码测评 167
5.6.1 等级保护2.0中的密码基本要求 168
5.6.2 信息系统密码应用基本要求 168
5.6.3 实施商用密码测评 169
第六章 关键信息基础设施安全保护 172
6.1 基本概念 173
6.1.1 基础设施 173
6.1.2 关键信息基础设施 173
6.2 关键信息基础设施的范围 175
6.2.1 《网络安全法》界定的范围 175
6.2.2 《国家网络空间安全战略》界定的范围 175
6.2.3 《关键信息基础设施安全保护条例》界定的范围 176
6.2.4 公安部门界定的范围 177
6.3 法律政策和标准依据 177
6.3.1 网络安全法 178
6.3.2 国家网络空间安全战略 178
6.3.3 公安部关于关键信息基础设施安全保护制度的指导意见 178
6.3.4 关键信息基础设施安全保护条例 178
6.3.5 关键信息基础设施安全保护要求 179
6.3.6 关键信息基础设施安全控制措施 179
6.3.7 关键信息基础设施安全检查评估指南 179
6.3.8 关键信息基础设施安全保障评价指标体系 179
6.3.9 关键信息基础设施安全防护能力评价方法 180
6.3.10 关键信息基础设施边界 确定方法 180
6.4 关键信息基础设施安全保护要求 181
6.4.1 分析识别 181
6.4.2 安全防护 182
6.4.3 检测评估 185
6.4.4 监测预警 185
6.4.5 主动防御 187
6.4.6 事件处置 188
6.5 关键信息基础设施安全保护实施措施 189
6.5.1 落实网络安全等级保护制度 189
6.5.2 建成关键信息基础设施保护制度 191
6.5.3 建立网络安全保护体系 191
6.5.4 组建专业的安全服务机构 192
6.5.5 加强人员安全管理 192
6.5.6 严格安全建设管理 193
6.5.7 加强安全服务机构管理 194
6.5.8 建立安全协调机制 194
6.5.9 做好数据安全和个人信息安全保护 196
第七章 风险评估 197
7.1 基本概念 198
7.1.1 信息 198
7.1.2 信息资产 198
7.1.3 信息安全 200
7.1.4 数据资产 201
7.1.5 信息安全风险评估 201
7.1.6 数据安全风险评估 201
7.2 信息安全管理 202
7.2.1 信息安全管理原则 202
7.2.2 信息安全管理方法 202
7.2.3 信息安全管理机构 203
7.2.4 信息安全管理制度 203
7.2.5 风险安全管理 204
7.2.6 设施安全管理 205
7.2.7 信息安全管理 205
7.2.8 运行安全管理 206
7.2.9 信息网络安全管理义务罪 206
7.3 信息安全风险评估 207
7.3.1 法规依据 207
7.3.2 信息安全风险评估基本内容 209
7.3.3 评估准备阶段 211
7.3.4 资产识别阶段 211
7.3.5 威胁识别阶段 215
7.3.6 脆弱性识别阶段 219
7.3.7 风险分析阶段 220
7.3.8 风险评估所需资料 222
7.4 信息安全风险处置 223
7.4.1 风险处置流程 224
7.4.2 风险降低 226
7.4.3 风险保留 226
7.4.4 风险规避 226
7.4.5 风险转移 227
7.4.6 风险接受 227
7.4.7 风险沟通 227
7.4.8 风险监视 228
7.5 数据安全风险评估 228
7.5.1 基本概念 228
7.5.2 风险要素间的关系 229
7.5.3 信息调研 229
7.5.4 数据管理活动安全风险识别 232
7.5.5 数据收集活动安全风险识别 235
7.5.6 数据存储活动安全风险识别 236
7.5.7 数据传输活动安全风险识别 236
7.5.8 数据使用和加工活动安全风险识别 236
7.5.9 数据提供活动安全风险识别 237
7.5.10 数据公开活动安全风险识别 238
7.5.11 数据删除活动安全风险识别 238
7.5.12 数据安全技术风险识别 239
7.5.13 数据接口安全风险识别 240
7.5.14 数据安全风险等级 241
第八章 网络安全事件管理 242
8.1 法规依据 243
8.1.1 中华人民共和国突发事件应对法 243
8.1.2 中华人民共和国网络安全法 244
8.1.3 国家突发公共事件总体应急预案 245
8.1.4 突发事件应急预案管理办法 246
8.1.5 信息安全技术网络安全事件分类分级指南 246
8.1.6 国家网络安全事件应急预案 247
8.1.7 网络安全应急能力评估准则 247
8.1.8 网络安全威胁信息发布管理办法 248
8.1.9 网络安全事件应急演练指南 248
8.1.10 国家网络安全事件报告管理办法 248
8.2 网络安全事件的分类分级管理 249
8.2.1 十类网络安全事件 249
8.2.2 四级网络安全事件 251
8.2.3 国家网络安全事件 253
8.3 网络安全事件应急处置 255
8.3.1 发生事件要及时报告 255
8.3.2 应急响应工作流程 255
8.3.3 应急结束后的通报制度 256
8.3.4 如何制定应急响应预案 256
8.4 网络安全等级保护监督检查 260
8.4.1 法规依据 260
8.4.2 网络安全等级保护监督检查工作内容 263
8.4.3 政府和互联网网站的安全监管工作 264
附录A 中华人民共和国网络安全法 269
附录B 贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见 275
附录C 关键信息基础设施安全保护条例 278
附录D 网络安全等级保护工作指南 281
附录E 网络安全等级保护常问常答 282
附录F 网络安全等级保护备案表 285
附录G 定级报告模板 292
附件H 专家定级评审意见模板 294
附录I 评审专家签到表 295
附录J 全国人民代表大会常务委员会关于修改《中华人民共和国网络安全法》的决定 296
参考文献
书单推荐
