數字政府網絡安全合規(guī)性建設指南:密碼應用與數據安全 姜海舟 王學進 王少華 潘文倫 等
定 價:89 元
- 作者:姜海舟 王學進 王少華 潘文倫 等
- 出版時間:2024/4/1
- ISBN:9787111752981
- 出 版 社:機械工業(yè)出版社
- 中圖法分類:D63-39
- 頁碼:
- 紙張:膠版紙
- 版次:
- 開本:16開
內容簡介這是一本能為數字政府的密碼應用和數據安全治理提供理論指導和實操指引的著作�����。國家信息中心組織編寫了《數字政府網絡安全合規(guī)性指引》����,對數字政府的網絡安全合規(guī)性建設提供了框架性指導,本書則是該指引配套的實戰(zhàn)指南��,從技術理論�����、實踐方法等維度對指引進行了補充,便于數字政府的安全和合規(guī)工作者在實操中借鑒����。本書遵循國家法律法規(guī)和商用密碼應用的標準規(guī)范,結合海泰方圓(密碼安全領軍企業(yè))多年的實踐經驗���,對數字政府密碼應用合規(guī)性建設、數據安全合規(guī)性建設及典型產品的功能與架構進行了全方位�����、多角度的講解��。第 一部分(第1~5章) 密碼應用合規(guī)性建設詳細解析了密碼的重要作用�、密碼學基本模型、各類密碼算法�、密碼協(xié)議、密鑰管理等核心知識點���,并介紹了數字政府密碼應用建設的具體步驟和方案����,以及安全性評估與應用案例等。第二部分(第5~10章) 數據安全合規(guī)性建設從數據安全的基本概念出發(fā)���,深入探討了相關的法律法規(guī)�、治理建設方案�、關鍵技術、全生命周期管理以及數據安全合規(guī)與安全治理案例分析等關鍵內容���,旨在幫助政府機構構建起全方位的數據安全防護體系���。第三部分(第11~12章) 典型產品功能與架構密碼應用產品包括密碼服務平臺、身份認證系統(tǒng)��、數據加解密系統(tǒng)等�,數據安全產品包括數據按安全管控平臺、數據分類分級系統(tǒng)�����、數據脫敏系統(tǒng)�����、數據庫加密系統(tǒng)等�。這些產品介紹為數字政府建設提供了實用的技術支持和產品選擇指導�。無論政策制定者�����、技術實施者還是安全管理者�����,都能從中獲得寶貴的知識和指導����。
(1)作者背景權威:海泰方圓官方出品,海泰方圓是密碼安全領域的領軍企業(yè)����,本書由海泰方圓董事長帶領核心骨干撰寫��。(2)《數字政府網絡安全合規(guī)指引》配套實戰(zhàn)指南:國家信息中心組織編寫和制定了指引����,本書是指引的配套,從技術和實操兩個角度對指引進行了補充��,是數字政府工作人員的工作手冊���。本書得到國家信息中心電子政務信息安全等級保護測評中心副主任章恒的高度評價和推薦���。(3)理論與實操兼?zhèn)洌簭募夹g和實踐2個維度詳解數字政府密碼應用合規(guī)性建設��、數據安全合規(guī)性建設及典型產品的功能與架構�����。
前 言
為什么要寫這本書
當今時代����,數據已成為新型生產要素��,不僅是個人����、企業(yè)乃至國家的重要資產,更是我國數字經濟發(fā)展的基石���。自2021年起����,我國相繼推出了《“十四五”國家信息化規(guī)劃》《“十四五”數字經濟發(fā)展規(guī)劃》等關鍵國家數據戰(zhàn)略,旨在構建數字中國��,推動數據要素的市場化流通�,并創(chuàng)新數據開發(fā)與利用機制。在數字經濟的健康發(fā)展中��,數據安全的重要性日益凸顯���,對數據安全治理的需求也日漸迫切����。
然而����,數據的開發(fā)與利用伴隨著風險。數據在創(chuàng)造價值的同時��,也可能面臨被泄露���、篡改、濫用等風險����。這不僅威脅到個人和組織的安全,甚至可能損害社會公共利益和國家利益��。為此,我國陸續(xù)出臺了《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國密碼法》《中華人民共和國個人信息保護法》等法律法規(guī)�����,旨在規(guī)范數據處理活動���,確保數據安全�,同時促進數據的合法�、有效利用。這些法律法規(guī)的核心在于平衡數據發(fā)展與安全防護�,保障數據在安全和隱私保護的前提下得到合理利用。
鑒于當前國內外數據安全事件頻繁發(fā)生�,數據安全風險不斷上升,我們編寫了本書�。本書致力于全面系統(tǒng)地整理、分析��、歸納和總結當前數據安全治理和密碼應用建設的各種方法��,并提出專業(yè)的解決方案�,旨在為數據安全治理和密碼應用的相關工作人員提供實用的參考,助力提升數據安全管理的效率和效果����。
讀者對象
數字政府數據安全治理與密碼應用建設相關人員:本書特別適用于在數字政府負責數據安全治理和密碼應用建設的專業(yè)人員����,包括決策制定者�、方案規(guī)劃與實施人員、安全管理專家以及技術培訓師等���。本書旨在深入解析數字化轉型過程中遇到的數據安全威脅�、安全風險和合規(guī)性要求���,幫助這些專業(yè)人員更加主動地進行數據安全治理和密碼應用的安全性評估���,從而提升信息系統(tǒng)的安全性和合規(guī)性。
密碼應用與數據安全治理相關產品和服務提供商:本書同樣適用于提供數據安全和密碼應用相關產品和服務的專業(yè)人員����,如方案及產品策劃人員、咨詢服務人員��、項目實施人員等���。通過提供數據安全治理框架、密碼應用技術等相關知識,本書旨在為這些提供商制定治理方案�����、研發(fā)產品和實施服務提供指導�����,以便它們能夠更有效地滿足用戶的需求���。
本書特色
全面系統(tǒng)的內容:本書深入探討了數字政府在密碼應用合規(guī)性建設和數據安全合規(guī)性建設方面的核心內容����,不僅介紹了相關的密碼技術����,還詳細闡述了建設步驟、安全評估方法等關鍵內容����。這種全面而系統(tǒng)的內容布局,旨在為讀者提供一個宏觀又細致的理解框架���,確保讀者完成從理論到實踐的無縫對接�。
豐富具體的案例分析:本書精選了政務云、政務辦公���、政協(xié)履職���、公積金管理、政務數據分類分級�����、政務大數據中心等多個實際案例���。這些案例涉及多個關鍵領域����,為讀者提供了生動�、具體的實踐展示平臺。通過這些案例分析�,讀者可以更直觀地理解密碼應用合規(guī)性建設與數據安全合規(guī)性建設的實際操作和應用效果。
高實用價值的解決方案:本書以“開展高效且高質量的合規(guī)性建設���、深度融合且賦能各類應用場景�、普遍適用且具有顯著參考價值”為目標�,精心挑選了一系列專家認可并在實踐中驗證過的數字政府密碼應用與數據安全解決方案�����。這些方案不僅基于最新的技術研究,而且經過了實際應用的檢驗�,能夠為數字政府的建設提供有效、實用的指導和支持�。
如何閱讀本書
本書遵循國家法律法規(guī)要求,依據商用密碼應用標準規(guī)范���,參考數據安全治理相關框架�,結合海泰方圓多年的密碼應用和數據安全治理實踐���,系統(tǒng)地介紹了數字政府密碼應用合規(guī)性建設與數據安全合規(guī)性建設的相關技術和案例�����,以及典型的密碼應用產品���、數據安全產品的功能與架構。
本書分為三部分����,具體內容如下���。
第一部分 數字政府密碼應用合規(guī)性建設(第1~5章):詳細介紹了密碼基礎知識、密碼應用建設步驟���、密碼應用建設方案�、密碼應用安全性評估以及密碼應用案例等�。
第二部分 數字政府數據安全合規(guī)性建設(第6~10章):詳細介紹了數據安全合規(guī)性要求、數據安全治理建設方案�����、數據安全治理關鍵技術����、數據安全全生命周期管理以及數據安全合規(guī)與安全治理案例分析等。
第三部分 典型產品功能與架構(第11�����、12章):詳細介紹了典型密碼應用產品和數據安全產品的功能與架構�。
讀者可按照章節(jié)順序閱讀,也可根據需要選擇部分章節(jié)閱讀����,以快速獲取所需知識��,例如通過閱讀密碼基礎知識來快速了解相關密碼技術��,通過閱讀相關案例來了解密碼技術在具體場景中如何應用等����。
勘誤與支持
由于編寫時間倉促�,本書在內容上可能存在一些疏漏或不準確之處����,非常歡迎讀者提出寶貴的意見和建議。讀者有任何反饋��,請通過marketing@haitaichina.com與我們聯(lián)系����,我們會盡力為讀者提供滿意的答復。期待讀者的真誠反饋��,讓我們在技術探索的道路上攜手前行��,共同進步�。
致謝
我們深感撰寫本書不僅是一次學術探索,也是一次跨學科���、跨領域合作的寶貴經歷�����。在此����,我們衷心感謝所有為本書的撰寫、出版��、推廣做出貢獻的個人和機構�。
我們特別感謝海泰方圓公司安曉江等技術專家的寶貴建議和深入指導。他們在密碼學����、信息安全、網絡安全等領域有深厚的造詣和豐富的經驗����,為本書提供了寶貴的理論和實踐指導。他們的專業(yè)見解和建議極大地提升了本書的學術價值和應用
實效����。
我們也非常感謝方案部的同事們,他們?yōu)楸緯械姆桨柑峁┝藢I(yè)的指導和珍貴的真實案例,極大地豐富了本書的內容����,使本書具有更強的現(xiàn)實指導意義。
我們還要感謝研發(fā)部和產品部的同事們�,他們?yōu)楸緯峁┝素S富而專業(yè)的相關產品知識,同時深度展示了相關產品的創(chuàng)新性和獨特性����。
我們衷心感謝在撰寫過程中提供編輯和校對幫助的張娟、劉雪梅等同事�����,以及在出版事項中提供協(xié)助的李丹�����、謝秀秀等同事��。他們的專業(yè)精神和細致入微的工作態(tài)度�,確保了本書的高品質和良好的閱讀體驗��。
感謝為本書付出時間�、精力和智慧的每一位朋友。我們期待本書為推動數字政府安全建設發(fā)揮積極和重要的作用。
姜海舟
現(xiàn)任北京海泰方圓科技股份有限公司董事長��,正高級工程師��,科技部科技創(chuàng)新創(chuàng)業(yè)人才�����,中組部�����、人社部第3批國家“萬人計劃”科技創(chuàng)業(yè)領軍人才�,北京市商用密碼行業(yè)協(xié)會副會長,全國工商聯(lián)大數據運維(網絡安全)委員會委員����,《網信自主創(chuàng)新調研報告》專家委員會委員,中國網信產業(yè)桔皮書副主編�����,海淀區(qū)工商聯(lián)常委���,北京航空航天大學北京校友會副會長�����。
作為我國改革開放后最早一批從事信息安全領域的人員之一�,姜海舟先生扎根商用密碼領域二十余載,是產業(yè)堅定的探索者��、推動者�。多年的行業(yè)深耕,姜海舟先生在密碼技術�����、密碼應用�、數據安全、數據治理及新一代信息技術等均有較深刻的理解��、認知和研究����,參與的發(fā)明專利11項�����,參與的行業(yè)標準制定5項�����。
目 錄
作者簡介
序
前 言
第一部分 數字政府密碼應用
合規(guī)性建設
第1章 密碼基礎知識 3
1.1 密碼的重要作用及“四性” 3
1.2 密碼學基本模型 5
1.3 密碼算法 5
1.3.1 序列密碼算法 6
1.3.2 分組密碼算法 8
1.3.3 公鑰密碼算法 9
1.3.4 密碼雜湊算法 11
1.3.5 數字簽名算法 11
1.3.6 消息鑒別碼 13
1.3.7 我國商用密碼算法體系 13
1.4 密碼協(xié)議 14
1.5 密鑰管理 16
1.6 公鑰基礎設施 18
第2章 數字政府密碼應用建設
步驟 21
2.1 數字政府密碼應用典型
問題 21
2.1.1 密碼應用不廣泛 22
2.1.2 密碼應用不規(guī)范 22
2.1.3 密碼應用不安全 22
2.2 數字政府密碼應用建設
“三同步一評估” 23
2.2.1 數字政府密碼應用工程
規(guī)劃階段 24
2.2.2 數字政府密碼應用工程
建設階段 25
2.2.3 數字政府密碼應用工程
運行階段 27
第3章 數字政府密碼應用建設
方案 29
3.1 密碼應用技術框架 29
3.2 密碼應用技術管理設計 31
3.2.1 物理和環(huán)境安全設計 31
3.2.2 網絡和通信安全設計 36
3.2.3 設備和計算安全設計 41
3.2.4 應用和數據安全設計 43
3.2.5 密鑰管理 56
3.3 密碼應用安全管理設計 59
3.3.1 管理制度 59
3.3.2 人員管理 59
3.3.3 建設運行 60
3.3.4 應急處置 61
3.4 數字政府密碼應用建設清單 63
第4章 數字政府密碼應用安全性
評估 65
4.1 密碼應用測評依據 65
4.2 密碼應用測評過程 69
4.3 通用測評 75
4.4 密碼技術應用測評 76
4.5 密碼應用安全管理測評 80
4.6 密碼應用整體測評 83
4.7 測評指標 84
4.8 量化評估 87
4.8.1 量化評估框架 88
4.8.2 量化評估規(guī)則 88
4.8.3 整體結論判定 92
4.9 測評結果記錄 93
4.10 風險分析及測評結論 96
4.10.1 信息系統(tǒng)風險分析和
評價 96
4.10.2 測評結論 97
第5章 數字政府密碼應用案例 98
5.1 政務云業(yè)務密碼應用案例 98
5.1.1 項目背景 98
5.1.2 現(xiàn)狀分析 99
5.1.3 密碼應用 99
5.2 某市政務辦公集約化密碼
應用案例 102
5.2.1 項目背景 102
5.2.2 現(xiàn)狀分析 103
5.2.3 密碼應用 103
5.3 某省政協(xié)履職業(yè)務密碼
應用案例 105
5.3.1 項目背景 105
5.3.2 現(xiàn)狀分析 106
5.3.3 密碼應用 106
5.4 公積金業(yè)務密碼應用案例 110
5.4.1 項目背景 110
5.4.2 現(xiàn)狀分析 111
5.4.3 密碼應用 112
第二部分 數字政府數據安全
合規(guī)性建設
第6章 數據安全合規(guī)性要求 117
6.1 數據安全概述 117
6.2 數據安全相關法律 118
6.2.1 《網絡安全法》保障網絡
與信息安全 119
6.2.2 《數據安全法》構建數據
安全治理框架 121
6.2.3 《個人信息保護法》保障
個人信息權益 123
6.2.4 網絡安全、數據安全與
個人信息保護的關系 125
6.3 數據安全相關行政法規(guī) 126
6.3.1 《關鍵信息基礎設施安全
保護條例》保障關鍵信息
基礎設施安全 127
6.3.2 《網絡數據安全管理條例
(征求意見稿)》細化數據
安全治理規(guī)則 129
6.4 數據安全相關部門規(guī)章及
規(guī)范性文件 130
6.4.1 數據安全的協(xié)同治理 130
6.4.2 重要規(guī)章及規(guī)范性文件 131
6.5 數據安全相關地方性法規(guī) 138
6.5.1 創(chuàng)新數據安全治理
新模式 139
6.5.2 提供公共數據治理的
模式借鑒 139
6.6 數據安全相關標準 140
6.6.1 基礎性數據安全標準 140
6.6.2 特定行業(yè)的數據安全
標準 145
第7章 數據安全治理建設方案 147
7.1 數據安全治理框架 147
7.1.1 Gartner的DSG框架 148
7.1.2 數據安全能力成熟度
模型 149
7.1.3 信通院的數據安全治理
框架 149
7.1.4 《指南》中的數據安全
治理框架 151
7.2 數據安全建設 153
7.2.1 建設思路 153
7.2.2 建設原則 153
7.2.3 總體設計 154
7.2.4 防護能力 155
7.3 數據安全組織與能力體系
建設 156
7.3.1 組織架構建設 156
7.3.2 制度體系建設 157
7.3.3 安全技術體系 158
7.3.4 人員能力體系 158
第8章 數據安全治理關鍵技術 159
8.1 數據分類分級技術 159
8.1.1 數據分類分級流程 160
8.1.2 分類分級關鍵技術 161
8.2 訪問控制技術 162
8.3 數據加密技術 163
8.4 數據脫敏技術 164
8
書單推薦
