猜你喜欢
数智安全与标准化

数智安全与标准化

书籍作者:金涛 ISBN:9787302644316
书籍语言:简体中文 连载状态:全集
电子书格式:pdf,txt,epub,mobi,azw3 下载次数:8086
创建日期:2024-05-09 发布日期:2024-05-09
运行环境:PC/Windows/Linux/Mac/IOS/iPhone/iPad/Kindle/Android/安卓/平板
内容简介

本书基于“全国信息安全标准化技术委员会大数据安全标准特别工作组”的工作,是一本关于数智安全与标准化的专业教材,旨在使读者在学习大数据、人工智能等数智技术与应用的同时,了解数智技术和应用的前沿以及相应的安全问题,理解数智安全与业务拓展和技术发展的伴生特性,掌握数智安全和标准化的基本知识,建立未来数智化所必须的安全发展意识、安全风险意识和技术安全意识。本书共分为17章,从法律合规、安全风险管理、网络系统安全、检测评估认证、个人信息安全、数据安全、人工智能安全、数智安全监管治理、数字经济发展等多个角度,系统地介绍了数智技术与应用的现状、挑战、机遇和前景,以及数智安全与标准化的重要性、原则、方法和实践。本书结合国内外的最新研究成果和案例分析,深入浅出地阐述了数智安全与标准化的理论基础和实践指导,既有广度又有深度,既有理论又有实践,既有概念又有方法,旨在帮助读者全面掌握相关知识并运用于相关领域及应用。

本书可作为高等学校相关课程的教材,也可作为数智安全和标准化培训教材,还可为从事数智业务、系统、技术、安全开发及管理和标准化工作的人员提供参考。


前言





随着信息通信技术的发展及广泛应用,人类已经进入信息社会。新技术新应用已经影响到人类社会的方方面面,人类在享受技术进步带来的福利时也遭受着新技术新应用引发的各种问题的困扰。例如,随着大数据、人工智能等数智技术的广泛应用,隐私保护和安全问题也越来越受各方关注,已经成为合法合规的重要内容,不仅事关个人利益,也涉及社会公众利益和国家安全。因此,我们不仅要关注数智技术的研发,也要关注数智技术的社会性,纳入治理范围,在业务和系统的设计规划、建设、运营过程中统筹考虑技术与应用的安全问题。

二十大报告明确指出: 加快发展数字经济,促进数字经济和实体经济深度融合,打造具有国际竞争力的数字产业集群;强化经济、重大基础设施、金融、网络、数据、生物、资源、核、太空、海洋等安全保障体系建设;加强个人信息保护。

中共中央国务院《关于构建数据基础制度更好发挥数据要素作用的意见》明确提出: 数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各环节,深刻改变着生产方式、生活方式和社会治理方式。数据基础制度建设事关国家发展和安全大局。要加快构建数据基础制度,充分发挥我国海量数据规模和丰富应用场景优势,激活数据要素潜能,做强做优做大数字经济,增强经济发展新动能,构筑国家竞争新优势。明确要完善治理体系,保障安全发展。统筹发展和安全,贯彻总体国家安全观,强化数据安全保障体系建设,把安全贯穿数据供给、流通、使用全过程,划定监管底线和红线。加强数据分类分级管理,把该管的管住、该放的放开,积极有效防范和化解各种数据风险,形成政府监管与市场自律、法治与行业自治协同、国内与国际统筹的数据要素治理结构。

在数智安全保障体系建设过程中,标准发挥了基础重要作用。《国家标准化发展纲要》明确标准是经济活动和社会发展的技术支撑,是国家基础性制度的重要方面。标准化在推进国家治理体系和治理能力现代化中发挥着基础性、引领性作用。二十大报告明确指出要稳步扩大规则、规制、管理、标准等制度型开放。

为在新时代推动高质量发展、全面建设社会主义现代化国家,进一步加强标准化工作,《国家标准化发展纲要》指出要加强标准化人才队伍建设。将标准化纳入普通高等教育、职业教育和继续教育,开展专业与标准化教育融合试点,造就一支熟练掌握国际规则、精通专业技术的职业化人才队伍,提升科研人员标准化能力,充分发挥标准化专家在国家科技决策咨询中的作用,建设国家标准化高端智库。

《“十四五”推动高质量发展的国家标准体系建设规划》规划了作为重点工作之一的网络安全标准工作。指出要推动关键信息基础设施安全保护、数据安全、个人信息保护、数据出境安全管理、网络安全审查、网络空间可信身份、网络产品和服务、供应链安全、5G安全、智慧城市安全、物联网安全、工业互联网安全、车联网安全、人工智能安全等重点领域国家标准研制,完善网络安全标准体系,支撑网络强国建设。指出建设符合中国国情的标准化教育体系,将标准化纳入普通高等教育,支持设立标准化课程,开展专业与标准化教育融合试点。培养同时具有科研能力、标准化能力的专业人才和标准化领军人才,实施国际标准化青年人才选培行动,开展标准化专业人才能力评估。

在全球大数据浪潮中,清华大学面向全校研究生的大数据能力提升项目在“学校统筹,问题引导,社科突破,商科优势,工科整合,业界联盟”的指导原则下,通过多学科交叉融合的大数据课程体系,引入新的教学模式,培养大数据思维和素养,重点培养数据分析、数据管理和创新应用能力。2022年9月,大数据能力提升项目已经升级到“3+X”模式,新开设了必修课程“数智安全与标准化”,依托全国信息安全标准化技术委员会大数据安全标准特别工作组工作,旨在使学生了解数智技术和应用的前沿以及相应的安全问题,理解数智安全与业务拓展和技术发展的伴生特性,掌握数智安全和标准化的基本知识,建立未来数智化所必须的安全发展意识、安全风险意识和技术安全意识。通过两学期的教学实践,教学内容和教学安排基本成熟稳定,形成了本书。

前言本书全面阐述了“数智安全与标准化”的基本概念与基础知识,力求读者掌握相关知识并运用于相关行业及应用。每章节之后都附上了思考题与实验实践,以期强化读者的思考与动手能力。本书编撰贯穿了“渔重于鱼、广度深度兼备、国际国内兼顾”的编写初衷,编委会涵盖了高校、科研院所、企事业单位、律师事务所等各方专家,力求内容既有理论性又有实践性。编委会多次集体讨论,确定了章节组织及各章内容安排如下图所示,力求各章内容的相对独立性,又确保各章内容间的内在逻辑联系,从而整体上系统全面介绍数智安全相关内容。清华大学统筹、规划、设计、组织了本书的编写工作,逐章讨论审校修订并最终确定了各章内容,各章主要负责单位及主要内容如下。

第1章主要由北京大学和清华大学负责,主要介绍什么是数智安全,给出数智安全保护框架,并介绍标准化的基础知识。

第2章介绍数智安全相关的国内法律法规,主要由竞天公诚律师事务所负责;介绍企业(组织)合规管理的必要性和具体工作内容,主要由北京大成(上海)律师事务所负责。

第3章主要由杭州安恒信息技术股份有限公司和清华大学负责,主要介绍风险管理的基础知识以及信息安全管理体系。

第4章主要由公安部第三研究所负责,主要介绍等级保护、关键信息基础设施保护和供应链安全管理。

第5章主要由北京天融信网络安全技术有限公司负责,主要介绍数智安全保护的基础技术,包括密码技术、身份管理和访问控制等。

第6章主要由中国信息安全测评中心负责,主要介绍安全检测、评估与认证的知识。

第7章主要由中国电子技术标准化研究院和华控清交信息科技(北京)有限公司负责,主要介绍个人信息保护相关的技术和措施以及相关标准化工作。

第8章主要由中国电子技术标准化研究院负责,主要介绍国家App个人信息安全治理的相关工作。

第9章主要由北京天融信网络安全技术有限公司负责,主要介绍数据分类分级、数据处理各活动的安全风险及应对的技术和管理措施,并介绍常用的数据安全保护技术。

第10章主要由北京安华金和科技有限公司负责,主要介绍企业(组织)的数据安全治理。

第11章主要由中国电子技术标准化研究院负责,主要介绍人工智能和算法安全相关的内容及标准化工作。

第12章主要由中国科学技术大学负责,主要介绍国家数智安全监管思路和制度体系。

第13章主要由北京天融信网络安全技术有限公司负责,主要介绍数智技术赋能安全防御相关工作。

第14章主要由国家信息中心负责。

第15章主要由北京天融信网络安全技术有限公司负责。

第16章主要由北京信息安全测评中心负责。

第17章主要由蚂蚁科技集团股份有限公司负责。

在此向所有参加本书编写的同仁(包括未列入编写委员会但事实上参与了教材编制相关工作的同事)及帮助和指导过我们工作的朋友表示由衷的感谢!在本书的编写过程中参阅了许多文献及在线资料,在此一并表示感谢。

由于数智化技术发展迅速,编审时间有限,书中若有不妥之处,恳请读者批评指正。


编者

于清华园

2023年3月


目录




第1部分引导篇

第1章导论2

1.1数智化进程2

1.1.1信息技术发展2

1.1.2网络空间概述3

1.1.3从数字化到数智化5

1.1.4数智赋能网络空间6

1.2数智安全9

1.2.1网络空间安全风险9

1.2.2数智化安全风险特点11

1.2.3数智安全概念13

1.2.4数智安全内涵14

1.3数智安全框架15

1.3.1网络空间安全发展阶段15

1.3.2网络空间安全防护模型16

1.3.3数智安全保障框架17

1.4我国网络安全法律法规18

1.4.1我国网络空间安全战略18

1.4.2我国网络安全法律法规体系19

1.4.3我国网络安全法律法规的作用20

1.5网络安全标准与标准化22

1.5.1标准化基本原理22

1.5.2网络安全标准化组织23

1.5.3我国标准分类及制定过程25

1.6本书组织26

1.7本章小结27

思考题27


第2章数智安全法规标准及合规管理28

2.1数智安全法规标准体系28

2.1.1数智安全法规标准地图28

2.1.2数智安全法规标准层级与关系28

2.1.3数智安全法规标准的制度分域33

2.2数智安全合规管理40

2.2.1合规与合规管理40

2.2.2合规管理的作用40

2.2.3合规管理的具体措施41

2.3本章小结48

思考题49

实验实践50

目录第2部分基础篇

第3章风险管理与安全管理体系52

3.1风险管理基础52

3.1.1基本概念52

3.1.2原则53

3.1.3框架53

3.1.4过程54

3.2信息安全风险管理55

3.2.1安全属性55

3.2.2风险要素57

3.2.3控制措施58

3.2.4管理过程58

3.3人工智能风险管理60

3.3.1语境建立61

3.3.2风险评估63

3.3.3风险处置63

3.3.4监视与评审64

3.3.5记录与报告64

3.3.6沟通与协商65

3.4信息安全管理体系65

3.4.1信息安全管理体系概述65

3.4.2信息安全管理体系过程67

3.4.3信息安全管理体系要点69

3.4.4信息安全管理标准体系70

3.5本章小结72

思考题72

实验实践72


第4章网络安全保护基础73

4.1网络安全等级保护73

4.1.1等级保护安全框架74

4.1.2等级保护标准体系76

4.2等级保护通用技术要求78

4.2.1安全物理环境78

4.2.2安全通信网络79

4.2.3安全区域边界80

4.2.4安全计算环境81

4.2.5安全管理中心83

4.3等级保护通用管理要求84

4.3.1安全管理制度84

4.3.2安全管理机构85

4.3.3安全管理人员86

4.3.4安全建设管理87

4.3.5安全运维管理89

4.4等级保护安全扩展要求93

4.4.1云计算安全扩展要求93

4.4.2移动互联安全扩展要求93

4.4.3物联网安全扩展要求94

4.4.4工业控制系统安全扩展要求95

4.5关键信息基础设施安全保护96

4.5.1关键信息基础设施安全保护现状96

4.5.2我国关键信息基础设施标准体系98

4.5.3关键信息基础设施安全保护工作环节98

4.6供应链安全99

4.6.1安全风险99

4.6.2技术安全措施101

4.6.3管理安全措施102

4.7本章小结104

思考题104

实验实践105


第5章数智安全技术基础106

5.1密码技术106

5.1.1密码技术概述106

5.1.2密码技术原理108

5.1.3密码技术标准化113

5.2身份管理技术115

5.2.1身份管理概述115

5.2.2身份鉴别技术118

5.2.3身份管理应用120

5.2.4身份管理标准化121

5.3访问控制技术122

5.3.1访问控制概述122

5.3.2访问控制模型123

5.3.3零信任访问控制124

5.3.4访问控制标准化125

5.4日志及安全审计126

5.4.1日志及安全审计概述126

5.4.2日志记录技术126

5.4.3安全审计技术127

5.4.4日志及安全审计标准化128

5.5本章小结128

思考题128

实验实践129


第6章检测评估与认证130

6.1检测评估与认证基础130

6.1.1基本概念130

6.1.2我国网络安全认证认可工作131

6.1.3工作原则132

6.2网络系统评估认证132

6.2.1网络系统评估概述132

6.2.2信息系统风险评估133

6.2.3网络安全等级保护测评134

6.2.4商用密码应用安全性评估136

6.2.5数据安全风险评估138

6.2.6软件供应链安全评估139

6.3产品检测评估认证140

6.3.1产品测评认证概述140

6.3.2信息技术产品分级评估142

6.3.3商用密码产品认证143

6.4人员评估认证144

6.5组织网络安全资质认证147

6.5.1等级保护测评资质147

6.5.2商用密码应用安全性评估资质147

6.5.3实验室检测机构资质148

6.5.4网络安全服务资质148

6.5.5信息安全管理体系资质150

6.5.6数据安全认证151

6.6本章小结151

思考题151

实验实践152

第3部分数智篇

第7章个人信息保护154

7.1个人信息保护概念与原则154

7.1.1个人信息概念154

7.1.2个人信息保护的范畴155

7.1.3个人信息处理相关概念156

7.1.4个人信息权益与权利156

7.1.5个人信息处理基本原则157

7.2个人信息保护影响评估158

7.2.1基本概念158

7.2.2评估要求158

7.2.3评估过程159

7.2.4方法流程159

7.2.5风险分析161

7.2.6风险处置163

7.3个人信息告知同意164

7.3.1基本概念164

7.3.2处理个人信息的合法性基础164

7.3.3告知同意的适用情形165

7.3.4告知同意的原则166

7.3.5告知同意的方式167

7.4个人信息保护技术168

7.4.1个人信息去标识化168

7.4.2隐私保护计算技术178

7.5国内外个人信息保护相关标准185

7.5.1个人信息保护国际标准185

7.5.2个人信息保护国家标准186

7.6本章小结188

思考题188

实验实践188


第8章App个人信息安全治理189

8.1App个人信息安全治理基本情况189

8.1.1相关工作背景189

8.1.2App专项治理整体工作思路190

8.1.3四部门多措并举深化治理191

8.1.4App个人信息安全认证192

8.2App个人信息安全治理相关法规标准194

8.2.1App个人信息安全治理相关法规解析194

8.2.2App个人信息安全治理相关标准解析197

8.3App个人信息安全案例分析200

8.3.1App申请和使用系统权限的案例分析200

8.3.2App嵌入第三方SDK的案例分析203

8.3.3App收集使用人脸信息的案例分析206

8.4App个人信息安全治理的创新发展209

8.4.1基于移动操作系统的治理思路209

8.4.2基于应用商店管理的治理思路210

8.4.3基于互联网平台履责的治理思路212

8.5本章小结213

思考题214

实验实践214


第9章数据安全保护215

9.1数据分类分级215

9.1.1概述215

9.1.2方法217

9.2数据处理活动保护218

9.2.1数据收集的安全保护218

9.2.2数据存储的安全保护219

9.2.3数据使用的安全保护220

9.2.4数据加工的安全保护222

9.2.5数据传输的安全保护222

9.2.6数据提供的安全保护224

9.2.7数据公开的安全保护224

9.2.8数据销毁的安全保护225

9.3数据安全保护技术及应用226

9.3.1数据识别技术226

9.3.2数据加密技术227

9.3.3数据防泄露技术229

9.3.4数据脱敏技术230

9.3.5数据安全审计技术231

9.3.6数字水印技术232

9.3.7数据备份与容灾技术233

9.3.8数据销毁技术234

9.4重要数据识别与保护235

9.4.1重要数据定义235

9.4.2重要数据识别235

9.4.3重要数据处理236

9.5本章小结236

思考题236

实验实践236


第10章数据安全治理237

10.1数据安全治理概念237

10.1.1数据安全治理概念理解237

10.1.2数据安全治理与数据治理238

10.1.3数据安全治理范畴239

10.2可参考的标准和框架240

10.2.1国内数据安全标准240

10.2.2国际数据安全框架243

10.2.3数据安全治理框架245

10.3数据安全治理指南250

10.3.1明确数据安全人员组织250

10.3.2建立数据安全管理制度体系252

10.3.3打造数据安全技术体系253

10.3.4落实数据安全运营体系261

10.3.5实施规划建设路径263

10.4本章小结264

思考题264

实验实践264


第11章人工智能与算法安全265

11.1人工智能概述265

11.1.1人工智能基本情况265

11.1.2人工智能技术与应用267

11.1.3人工智能相关法律法规和政策269

11.2人工智能安全影响概述271

11.2.1国家安全271

11.2.2社会与伦理安全272

11.2.3个人生命财产安全273

11.3人工智能安全问题分析273

11.3.1技术安全代表性问题分析273

11.3.2应用安全代表性问题分析274

11.3.3数据安全代表性问题分析274

11.3.4隐私保护代表性问题分析275

11.4人工智能安全标准化工作276

11.4.1人工智能标准化组织及标准介绍276

11.4.2我国人工智能安全标准体系286

11.5本章小结289

思考题289

实验实践289


第12章数智安全监管制度290

12.1国外数据安全监管框架290

12.1.1欧盟GDPR监管框架290

12.1.2美国隐私保护监管框架294

12.2我国数智安全监管框架296

12.3数据出境安全管理制度298

12.3.1概述298

12.3.2我国法定要求299

12.3.3数据出境安全评估301

12.3.4个人信息出境标准合同302

12.3.5个人信息出境安全认证304

12.4数据安全审查制度304

12.4.1概述304

12.4.2网络安全审查办法305

12.5数据安全认证制度306

12.5.1概述306

12.5.2数据安全管理认证306

12.5.3个人信息保护认证307

12.5.4App个人信息保护认证308

12.6算法安全监管308

12.6.1概述308

12.6.2算法安全监管国际趋势309

12.6.3我国算法安全监管体系309

12.7本章小结312

思考题312

实验实践313

第4部分应用篇

第13章数智赋能安全316

13.1技术与安全的关系316

13.2数智赋能安全的内涵316

13.2.1数智赋能安全的含义316

13.2.2数智赋能安全的意义317

13.3数智赋能安全的实现技术317

13.3.1云计算赋能安全317

13.3.2大数据赋能安全318

13.3.3人工智能赋能安全318

13.4数智赋能安全的技术案例319

13.4.1安全资源池319

13.4.2网络安全态势感知319

13.4.3DGA域名检测321

13.5本章小结322

思考题322

实验实践322


第14章政务数智安全实践323

14.1数字政务与数据安全323

14.1.1政务信息整合共享323

14.1.2数字政府建设324

14.1.3政务数据安全治理325

14.2政务数据应用场景与特性326

14.2.1政务数据典型场景327

14.2.2政务数据典型应用328

14.2.3政务数据特性330

14.3政务数据典型安全风险与应对331

14.3.1政务数据典型安全风险331

14.3.2政务数据安全技术措施332

14.3.3政务数据安全管理措施334

14.4政务数据安全工作成效与展望335

14.4.1政务数据安全工作成效335

14.4.2政务数据安全工作展望337

14.5本章小结338

思考题338


第15章健康医疗数智安全实践339

15.1健康医疗数智应用与安全339

15.1.1我国健康医疗行业数智安全现状339

15.1.2健康医疗数智安全相关政策法规342

15.1.3健康医疗数智安全标准346

15.2健康医疗数智安全应用场景347

15.2.1大数据技术安全应用场景347

15.2.2人工智能技术安全应用场景350

15.2.3其他新兴技术安全应用场景352

15.3健康医疗数据安全治理实践355

15.3.1组织建设356

15.3.2数据安全制度建设356

15.3.3数据安全评估357

15.3.4数据安全防护建设357

15.3.5数据安全运营管控建设357

15.3.6数据安全监管358

15.4健康医疗数智安全展望359

15.5本章小结359

思考题359

实验实践360


第16章智慧城市数智安全实践361

16.1智慧城市发展及安全风险361

16.1.1智慧城市基本特征361

16.1.2国外智慧城市发展362

16.1.3我国智慧城市发展363

16.1.4智慧城市安全风险363

16.2智慧城市数据安全治理实践365

16.2.1安全治理重点365

16.2.2安全治理体系369

16.3地方智慧城市标准化建设思路369

16.3.1地方智慧城市标准体系框架370

16.3.2地方智慧城市安全标准建设重点370

16.4本章小结371

思考题371

实验实践371




产品特色