[正版新书] 数智安全与标准化 金涛、王建民、叶晓俊 清华大学出版社 数据处理-安全技术-标准化

本书基于“全国信息安全标准化技术委员会大数据安全标准特别工作组”的工作，是一本关于数智安全与标准化的专业教材，旨在使读者在学习大数据、人工智能等数智技术与应用的同时，了解数智技术和应用的前沿以及相应的安全问题，理解数智安全与业务拓展和技术发展的伴生特性，掌握数智安全和标准化的基本知识，建立未来数智化所必须的安全发展意识、安全风险意识和技术安全意识。本书共分为17章，从法律合规、安全风险管理、网络系统安全、检测评估认证、个人信息安全、数据安全、人工智能安全、数智安全监管治理、数字经济发展等多个角度，系统地介绍了数智技术与应用的现状、挑战、机遇和前景，以及数智安全与标准化的重要性、原则、方法和实践。本书结合国内外的最新研究成果和案例分析，深入浅出地阐述了数智安全与标准化的理论基础和实践指导，既有广度又有深度，既有理论又有实践，既有概念又有方法，旨在帮助读者全面掌握相关知识并运用于相关领域及应用。

本书可作为高等学校相关课程的教材，也可作为数智安全和标准化培训教材，还可为从事数智业务、系统、技术、安全开发及管理和标准化工作的人员提供参考。

本书基于“全国信息安全标准化技术委员会大数据安全标准特别工作组”的工作，是一本关于数智安全与标准化的专业教材，旨在使读者在学习大数据、人工智能等数智技术与应用的同时，了解数智技术和应用的前沿以及相应的安全问题，理解数智安全与业务拓展和技术发展的伴生特性，掌握数智安全和标准化的基本知识，建立未来数智化所必须的安全发展意识、安全风险意识和技术安全意识。

目录

第1部分引导篇

第1章导论2

1.1数智化进程2

1.1.1信息技术发展2

1.1.2网络空间概述3

1.1.3从数字化到数智化5

1.1.4数智赋能网络空间6

1.2数智安全9

1.2.1网络空间安全风险9

1.2.2数智化安全风险特点11

1.2.3数智安全概念13

1.2.4数智安全内涵14

1.3数智安全框架15

1.3.1网络空间安全发展阶段15

1.3.2网络空间安全防护模型16

1.3.3数智安全保障框架17

1.4我国网络安全法律法规18

1.4.1我国网络空间安全战略18

1.4.2我国网络安全法律法规体系19

1.4.3我国网络安全法律法规的作用20

1.5网络安全标准与标准化22

1.5.1标准化基本原理22

1.5.2网络安全标准化组织23

1.5.3我国标准分类及制定过程25

1.6本书组织26

1.7本章小结27

思考题27

第2章数智安全法规标准及合规管理28

2.1数智安全法规标准体系28

2.1.1数智安全法规标准地图28

2.1.2数智安全法规标准层级与关系28

2.1.3数智安全法规标准的制度分域33

2.2数智安全合规管理40

2.2.1合规与合规管理40

2.2.2合规管理的作用40

2.2.3合规管理的具体措施41

2.3本章小结48

思考题49

实验实践50

目录第2部分基础篇

第3章风险管理与安全管理体系52

3.1风险管理基础52

3.1.1基本概念52

3.1.2原则53

3.1.3框架53

3.1.4过程54

3.2信息安全风险管理55

3.2.1安全属性55

3.2.2风险要素57

3.2.3控制措施58

3.2.4管理过程58

3.3人工智能风险管理60

3.3.1语境建立61

3.3.2风险评估63

3.3.3风险处置63

3.3.4监视与评审64

3.3.5记录与报告64

3.3.6沟通与协商65

3.4信息安全管理体系65

3.4.1信息安全管理体系概述65

3.4.2信息安全管理体系过程67

3.4.3信息安全管理体系要点69

3.4.4信息安全管理标准体系70

3.5本章小结72

思考题72

实验实践72

第4章网络安全保护基础73

4.1网络安全等级保护73

4.1.1等级保护安全框架74

4.1.2等级保护标准体系76

4.2等级保护通用技术要求78

4.2.1安全物理环境78

4.2.2安全通信网络79

4.2.3安全区域边界80

4.2.4安全计算环境81

4.2.5安全管理中心83

4.3等级保护通用管理要求84

4.3.1安全管理制度84

4.3.2安全管理机构85

4.3.3安全管理人员86

4.3.4安全建设管理87

4.3.5安全运维管理89

4.4等级保护安全扩展要求93

4.4.1云计算安全扩展要求93

4.4.2移动互联安全扩展要求93

4.4.3物联网安全扩展要求94

4.4.4工业控制系统安全扩展要求95

4.5关键信息基础设施安全保护96

4.5.1关键信息基础设施安全保护现状96

4.5.2我国关键信息基础设施标准体系98

4.5.3关键信息基础设施安全保护工作环节98

4.6供应链安全99

4.6.1安全风险99

4.6.2技术安全措施101

4.6.3管理安全措施102

4.7本章小结104

思考题104

实验实践105

第5章数智安全技术基础106

5.1密码技术106

5.1.1密码技术概述106

5.1.2密码技术原理108

5.1.3密码技术标准化113

5.2身份管理技术115

5.2.1身份管理概述115

5.2.2身份鉴别技术118

5.2.3身份管理应用120

5.2.4身份管理标准化121

5.3访问控制技术122

5.3.1访问控制概述122

5.3.2访问控制模型123

5.3.3零信任访问控制124

5.3.4访问控制标准化125

5.4日志及安全审计126

5.4.1日志及安全审计概述126

5.4.2日志记录技术126

5.4.3安全审计技术127

5.4.4日志及安全审计标准化128

5.5本章小结128

思考题128

实验实践129

第6章检测评估与认证130

6.1检测评估与认证基础130

6.1.1基本概念130

6.1.2我国网络安全认证认可工作131

6.1.3工作原则132

6.2网络系统评估认证132

6.2.1网络系统评估概述132

6.2.2信息系统风险评估133

6.2.3网络安全等级保护测评134

6.2.4商用密码应用安全性评估136

6.2.5数据安全风险评估138

6.2.6软件供应链安全评估139

6.3产品检测评估认证140

6.3.1产品测评认证概述140

6.3.2信息技术产品分级评估142

6.3.3商用密码产品认证143

6.4人员评估认证144

6.5组织网络安全资质认证147

6.5.1等级保护测评资质147

6.5.2商用密码应用安全性评估资质147

6.5.3实验室检测机构资质148

6.5.4网络安全服务资质148

6.5.5信息安全管理体系资质150

6.5.6数据安全认证151

6.6本章小结151

思考题151

实验实践152

第3部分数智篇

第7章个人信息保护154

7.1个人信息保护概念与原则154

7.1.1个人信息概念154

7.1.2个人信息保护的范畴155

7.1.3个人信息处理相关概念156

7.1.4个人信息权益与权利156

7.1.5个人信息处理基本原则157

7.2个人信息保护影响评估158

7.2.1基本概念158

7.2.2评估要求158

7.2.3评估过程159

7.2.4方法流程159

7.2.5风险分析161

7.2.6风险处置163

7.3个人信息告知同意164

7.3.1基本概念164

7.3.2处理个人信息的合法性基础164

7.3.3告知同意的适用情形165

7.3.4告知同意的原则166

7.3.5告知同意的方式167

7.4个人信息保护技术168

7.4.1个人信息去标识化168

7.4.2隐私保护计算技术178

7.5国内外个人信息保护相关标准185

7.5.1个人信息保护国际标准185

7.5.2个人信息保护国家标准186

7.6本章小结188

思考题188

实验实践188

第8章App个人信息安全治理189

8.1App个人信息安全治理基本情况189

8.1.1相关工作背景189

8.1.2App专项治理整体工作思路190

8.1.3四部门多措并举深化治理191

8.1.4App个人信息安全认证192

8.2App个人信息安全治理相关法规标准194

8.2.1App个人信息安全治理相关法规解析194

8.2.2App个人信息安全治理相关标准解析197

8.3App个人信息安全案例分析200

8.3.1App申请和使用系统权限的案例分析200

8.3.2App嵌入第三方SDK的案例分析203

8.3.3App收集使用人脸信息的案例分析206

8.4App个人信息安全治理的创新发展209

8.4.1基于移动操作系统的治理思路209

8.4.2基于应用商店管理的治理思路210

8.4.3基于互联网平台履责的治理思路212

8.5本章小结213

思考题214

实验实践214

第9章数据安全保护215

9.1数据分类分级215

9.1.1概述215

9.1.2方法217

9.2数据处理活动保护218

9.2.1数据收集的安全保护218

9.2.2数据存储的安全保护219

9.2.3数据使用的安全保护220

9.2.4数据加工的安全保护222

9.2.5数据传输的安全保护222

9.2.6数据提供的安全保护224

9.2.7数据公开的安全保护224

9.2.8数据销毁的安全保护225

9.3数据安全保护技术及应用226

9.3.1数据识别技术226

9.3.2数据加密技术227

9.3.3数据防泄露技术229

9.3.4数据脱敏技术230

9.3.5数据安全审计技术231

9.3.6数字水印技术232

9.3.7数据备份与容灾技术233

9.3.8数据销毁技术234

9.4重要数据识别与保护235

9.4.1重要数据定义235

9.4.2重要数据识别235

9.4.3重要数据处理236

9.5本章小结236

思考题236

实验实践236

第10章数据安全治理237

10.1数据安全治理概念237

10.1.1数据安全治理概念理解237

10.1.2数据安全治理与数据治理238

10.1.3数据安全治理范畴239

10.2可参考的标准和框架240

10.2.1国内数据安全标准240

10.2.2国际数据安全框架243

10.2.3数据安全治理框架245

10.3数据安全治理指南250

10.3.1明确数据安全人员组织250

10.3.2建立数据安全管理制度体系252

10.3.3打造数据安全技术体系253

10.3.4落实数据安全运营体系261

10.3.5实施规划建设路径263

10.4本章小结264

思考题264

实验实践264

第11章人工智能与算法安全265

11.1人工智能概述265

11.1.1人工智能基本情况265

11.1.2人工智能技术与应用267

11.1.3人工智能相关法律法规和政策269

11.2人工智能安全影响概述271

11.2.1国家安全271

11.2.2社会与伦理安全272

11.2.3个人生命财产安全273

11.3人工智能安全问题分析273

11.3.1技术安全代表性问题分析273

11.3.2应用安全代表性问题分析274

11.3.3数据安全代表性问题分析274

11.3.4隐私保护代表性问题分析275

11.4人工智能安全标准化工作276

11.4.1人工智能标准化组织及标准介绍276

11.4.2我国人工智能安全标准体系286

11.5本章小结289

思考题289

实验实践289

第12章数智安全监管制度290

12.1国外数据安全监管框架290

12.1.1欧盟GDPR监管框架290

12.1.2美国隐私保护监管框架294

12.2我国数智安全监管框架296

12.3数据出境安全管理制度298

12.3.1概述298

12.3.2我国法定要求299

12.3.3数据出境安全评估301

12.3.4个人信息出境标准合同302

12.3.5个人信息出境安全认证304

12.4数据安全审查制度304

12.4.1概述304

12.4.2网络安全审查办法305

12.5数据安全认证制度306

12.5.1概述306

12.5.2数据安全管理认证306

12.5.3个人信息保护认证307

12.5.4App个人信息保护认证308

12.6算法安全监管308

12.6.1概述308

12.6.2算法安全监管国际趋势309

12.6.3我国算法安全监管体系309

12.7本章小结312

思考题312

实验实践313

第4部分应用篇

第13章数智赋能安全316

13.1技术与安全的关系316

13.2数智赋能安全的内涵316

13.2.1数智赋能安全的含义316

13.2.2数智赋能安全的意义317

13.3数智赋能安全的实现技术317

13.3.1云计算赋能安全317

13.3.2大数据赋能安全318

13.3.3人工智能赋能安全318

13.4数智赋能安全的技术案例319

13.4.1安全资源池319

13.4.2网络安全态势感知319

13.4.3DGA域名检测321

13.5本章小结322

思考题322

实验实践322

第14章政务数智安全实践323

14.1数字政务与数据安全323

14.1.1政务信息整合共享323

14.1.2数字政府建设324

14.1.3政务数据安全治理325

14.2政务数据应用场景与特性326

14.2.1政务数据典型场景327

14.2.2政务数据典型应用328

14.2.3政务数据特性330

14.3政务数据典型安全风险与应对331

14.3.1政务数据典型安全风险331

14.3.2政务数据安全技术措施332

14.3.3政务数据安全管理措施334

14.4政务数据安全工作成效与展望335

14.4.1政务数据安全工作成效335

14.4.2政务数据安全工作展望337

14.5本章小结338

思考题338

第15章健康医疗数智安全实践339

15.1健康医疗数智应用与安全339

15.1.1我国健康医疗行业数智安全现状339

15.1.2健康医疗数智安全相关政策法规342

15.1.3健康医疗数智安全标准346

15.2健康医疗数智安全应用场景347

15.2.1大数据技术安全应用场景347

15.2.2人工智能技术安全应用场景350

15.2.3其他新兴技术安全应用场景352

15.3健康医疗数据安全治理实践355

15.3.1组织建设356

15.3.2数据安全制度建设356

15.3.3数据安全评估357

15.3.4数据安全防护建设357

15.3.5数据安全运营管控建设357

15.3.6数据安全监管358

15.4健康医疗数智安全展望359

15.5本章小结359

思考题359

实验实践360

第16章智慧城市数智安全实践361

16.1智慧城市发展及安全风险361

16.1.1智慧城市基本特征361

16.1.2国外智慧城市发展362

16.1.3我国智慧城市发展363

16.1.4智慧城市安全风险363

16.2智慧城市数据安全治理实践365

16.2.1安全治理重点365

16.2.2安全治理体系369

16.3地方智慧城市标准化建设思路369

16.3.1地方智慧城市标准体系框架370

16.3.2地方智慧城市安全标准建设重点370

16.4本章小结371

思考题371

实验实践371

第17章金融数智安全实践372

17.1金融数智安全绪论372

17.1.1什么是金融数智372

17.1.2基本概念和术语374

17.1.3金融数智安全现状375

17.1.4金融数智安全标准377

17.2金融数智技术应用378

17.2.1大数据378

17.2.2人工智能378

17.2.3区块链379

17.2.4隐私计算379

17.3金融数智安全实践381

17.3.1金融数智安全挑战381

17.3.2金融数智安全应对384

17.4金融数智安全展望392

17.4.1技术应用发展展望392

17.4.2政策与标准需求395

17.5本章小结395

思考题395

实验实践396

参考文献397