網絡空間安全與關鍵信息基礎設施安全（簡體書）

本書以關鍵信息基礎設施為對象，討論合規前提下的關鍵信息基礎設施安全。本書共16章，主要內容包括：網絡安全法、網絡安全審查、網絡安全等級保護、關鍵信息基礎設施安全保護條例、網絡安全等級保護條例、工業控制系統安全、工業互聯網安全、個人信息安全、數據安全、密碼安全、關鍵信息基礎設施安全建設、關鍵信息基礎設施安全事件管理、新基建安全等法律法規標準規範，從基本概念、作用地位、合規要求解讀和合規安全建設角度剖析關鍵信息基礎設施安全。 本書主要面向關鍵信息基礎設施主管部門、運營部門、建設使用部門學習國家系列法律法規和政策的人員；面向關鍵信息基礎設施提供網絡產品和服務的人員；面向網絡安全相關部門開展監督管理、執法檢查和安全規劃建設工作的人員；也可供網絡安全管理人員，網絡安全專業人員，網絡安全服務人員以及網絡空間安全專業本科生等使用。

夏冰，中原工學院計算機學院，副教授，河南省優秀指導教師，公安部等級保護測評高級測評師，信息系統高級規劃師。

本書梳理現有關鍵信息基礎設施安全合規性管理和安全合規性建設的主要內容，嘗試通過解讀的方式給出一點點建議，使監管者和運營者之間能夠在基本點上先達成共識，共同推進關鍵信息基礎設施安全建設進展。
本書僅僅梳理主要法規約束下的這張安全網絡，給出《中華人民共和國網絡安全法》主線下合規性安全的認識。伴隨系列配套法律法規、政策標準、解讀和案例的學習，監管責任主體和被監管責任主體認知也在提升，難免會出現本書內容和讀者認知衝突和矛盾的地方，希望讀者以最新的合規性安全要求為准。
本書消化吸收相同的觀點，剖析衝突的觀點，嘗試給出能體現當前最新進展的合規性認識。如果有欠妥的觀點或解釋不到位之處，希望讀者本著“基本點達成共識、共同推進合規性建設”為諒解原則。本書不代表最終的官方決策，僅供讀者參考。

目錄

Chapter 1 第1章 關鍵信息基礎設施安全現狀 1
1.1 基本概念 1
1.1.1 基礎設施和重要信息系統 1
1.1.2 關鍵基礎設施和關鍵信息基礎設施 2
1.2 關鍵信息基礎設施範圍 4
1.2.1 網絡安全法界定的範圍 4
1.2.2 國家網絡空間安全戰略界定的範圍 4
1.2.3 關鍵信息基礎設施安全保護條例界定的範圍 5
1.3 安全現狀 6
1.3.1 安全生態持續優化 6
1.3.2 安全事件層出不窮 7
Chapter 2 第2章 網絡安全法 9
2.1 網絡安全法的法律精髓 9
2.1.1 一部網絡安全領域基礎性法律 9
2.1.2 二類責任主體 9
2.1.3 三項基本原則 10
2.1.4 一個意識、四個抓手 11
2.1.5 五類主體安全義務 11
2.1.6 六類網絡安全保護制度 12
2.2 《國家網絡空間安全戰略》與《網絡安全法》的關係 14
2.3 《網絡安全法》重點保護關鍵信息基礎設施 15
2.4 基於《網絡安全法》關鍵信息基礎設施安全 17
2.4.1 建立健全網絡安全管理制度 17
2.4.2 完善一般安全保護義務 17
2.4.3 做好增強安全保護義務 18
2.4.4 建議關鍵信息基礎設施運營者的重點工作 19
2.5 實施過程中面臨的挑戰 21
2.5.1 網絡安全執法體制和部門職責 21
2.5.2 《網絡安全法》配套法規和制度細則 22
2.6 關於關鍵信息基礎設施採購網絡產品和服務的說明 22
2.6.1 必知的強制性要求 23
2.6.2 產品認證和檢測制度 23
2.6.3 限制發佈網絡安全信息 24
2.6.4 嚴禁網絡安全漏洞驗證和利用 25
2.6.5 安全服務人員准入要求 25
Chapter 3 第3章 網絡安全審查 26
3.1 網絡安全審查的意義和目的 26
3.1.1 網絡安全審查是維護國家安全利益的意志體現 26
3.1.2 網絡安全審查是國家網絡安全治理的手段 27
3.1.3 網絡安全審查是國家主權的體現 28
3.2 網絡安全審查的主要內容 28
3.2.1 適用主體和審查內容 28
3.2.2 審查方式 29
3.2.3 審查主體 30
3.2.4 審查原則 30
3.2.5 審查流程 31
3.2.6 未申報未通過的後果 32
3.3 實施過程中面臨的問題和困境 32
3.3.1 安全主體責任問題 32
3.3.2 網絡產品和服務界定問題 34
Chapter 4 第4章 網絡安全等級保護 35
4.1 網絡安全等級保護的安全理念 35
4.1.1 邊界界定引發的網絡安全保障模型 36
4.1.2 主體責任引發的網絡安全建設需求 39
4.2 深入理解網絡安全等級保護 39
4.2.1 分等級保護是底線思維 39
4.2.2 分等級保護是管理手段 40
4.2.3 分等級保護是能力體現 41
4.3 網絡安全等級保護的基本內容 42
4.3.1 網絡安全等級保護的主體和責任 42
4.3.2 網絡安全等級保護對象 43
4.3.3 等級保護常規動作 44
4.3.4 常規動作在實施過程中的基本要求 45
4.3.5 實施等級保護的基本原則 46
4.3.6 等級保護的發展歷程 47
4.3.7 網絡安全等級保護的標準體系 48
Chapter 5 第5章 網絡安全等級保護2.052
5.1 如何理解網絡安全等級保護2.0 52
5.2 網絡安全等級保護2.0新變化 54
5.2.1 體系架構變化 54
5.2.2 命名變化 56
5.2.3 等級保護指標數量變化 56
5.2.4 新增可信計算 58
5.2.5 安全通用技術變化 58
5.2.6 安全通用管理變化 61
5.3 網絡安全等級保護2.0基本要求 63
5.3.1 安全通用要求 63
5.3.2 雲計算安全擴展要求 65
5.3.3 移動互聯安全擴展要求 65
5.3.4 物聯網安全擴展要求 66
5.3.5 工業控制系統安全擴展要求 66
Chapter 6 第6章 等級保護和關鍵信息基礎設施運營者 67
6.1 定級 67
6.1.1 等級保護對象和安全保護等級 68
6.1.2 定級工作主要內容 69
6.1.3 等級保護對象中的定級要素分析 70
6.1.4 如何識別等級保護對象 72
6.1.5 安全擴展要求的定級對象 72
6.1.6 定級工作流程 73
6.1.7 定級工作方法 74
6.1.8 定級對象等級如何審批和變更 75
6.2 備案 76
6.2.1 備案需要什麼資料 76
6.2.2 備案資料的審核要點 77
6.2.3 屬地受理備案 78
6.2.4 公安機關受理備案要求 79
6.2.5 拒不備案的處置過程 79
6.3 安全建設整改 80
6.3.1 安全建設整改目的和整改流程 80
6.3.2 如何整改安全管理制度 81
6.3.3 如何整改安全技術措施 86
6.4 等級測評 91
6.4.1 基本工作 91
6.4.2 測評工作流程有哪些 93
6.4.3 網絡安全等級保護2.0測評指標 101
6.4.4 網絡安全等級保護2.0測評結論 105
6.4.5 誰來開展等級測評 105
6.4.6 如何規避測評風險 105
6.5 監督檢查 107
6.5.1 等級保護監督檢查內容 107
6.5.2 檢查方式和檢查要求 109
6.5.3 整改通報 110
Chapter 7 第7章 關鍵信息基礎設施安全保護條例 111
7.1 關鍵信息基礎設施法律政策和標準依據 111
7.1.1 《網絡安全法》 111
7.1.2 《關鍵信息基礎設施安全保護條例》 112
7.1.3 國家網絡空間安全戰略 112
7.1.4 關鍵信息基礎設施安全檢查評估指南 112
7.1.5 關鍵信息基礎設施安全保障評價指標體系 113
7.1.6 關鍵信息基礎設施網絡安全保護基本要求 113
7.2 強化關鍵信息基礎設施的安全特色 114
7.2.1 網絡安全對抗風險高 114
7.2.2 網絡安全法律要求高 114
7.2.3 網絡安全建設要求高 114
7.2.4 網絡安全測評要求高 114
7.2.5 網絡安全監管要求高 115
7.2.6 網絡安全日常運維成本高 115
7.2.7 網絡安全主體責任格局高 115
7.2.8 網絡安全思維層次高 115
7.2.9 網絡安全事件應急要求高 115
7.2.10 網絡安全人才質量高 116
7.3 細化網絡運營者的安全義務 116
7.3.1 賦予的安全保護 116
7.3.2 做好“網絡安全三同步” 116
7.3.3 網絡安全主體責任制 117
7.3.4 關鍵信息基礎設施保護義務進一步強化 117
7.3.5 強化的網絡安全管理與人員管理 117
7.3.6 監測預警 118
7.3.7 應急處置 118
7.3.8 檢測評估 119
7.4 主體責任 119
7.4.1 國家主導網絡安全生態 119
7.4.2 監管部門 120
7.4.3 行業主管部門 120
7.4.4 公安機關 121
Chapter 8 第8章 網絡安全等級保護條例 122
8.1 必要性和意義 122
8.1.1 完善網絡安全法的需要 122
8.1.2 落實網絡安全等級保護制度的需要 123
8.1.3 解決網絡安全突出問題的需要 123
8.2 主要內容 124
8.2.1 總則和國家意志 124
8.2.2 支持保障和職能部門 125
8.2.3 網絡安全保護和網絡運營者 126
8.2.4 涉密網絡系統的安全保護 127
8.2.5 密碼管理 127
8.2.6 監督管理和監管部門 128
8.3 公安機關和網絡安全等級保護條例 128
8.3.1 安全監督管理 128
8.3.2 安全檢查 129
8.3.3 安全處置手段 129
8.3.4 安全責任 130
8.4 網絡運營者和網絡安全等級保護條例 131
8.4.1 承擔責任和安全要求 131
8.4.2 履行安全保護義務 132
8.4.3 測評機構管理要求 133
8.4.4 網絡服務機構管理 134
8.5 引起關注的典型問題或困境 134
8.5.1 合規成本與企業發展之間的矛盾 134
8.5.2 監管部門與行業主管部門之間的關係 134
8.5.3 網絡安全等級保護配套法規有待完善 135
8.5.4 條例和部門規章 135
Chapter 9 第9章 工業控制系統安全 137
9.1 工業控制系統概述 137
9.1.1 工業控制系統的概念和定義 137
9.1.2 工業控制系統分層模型 139
9.1.3 工業控制系統與傳統信息系統的區別 140
9.1.4 工業控制主機與傳統計算機主機的區別 141
9.2 工業控制系統安全現狀 141
9.2.1 震網安全事件帶來的啟示 141
9.2.2 工業控制安全風險現狀 142
9.2.3 深入組件理解工控安全事件 142
9.3 工業控制系統安全建設和管理 144
9.3.1 工控安全法律法規 144
9.3.2 基於安全技術的建設措施 145
9.3.3 基於等級保護2.0的建設措施 149
Chapter 10 第10章 工業互聯網安全 152