内容简介
这是一本能为数字政府的密码应用和数据安全治理提供理论指导和实操指引的著作。
国家信息中心组织编写了《数字政府网络安全合规性指引》,对数字政府的网络安全合规性建设提供了框架性指导,本书则是该指引配套的实战指南,从技术理论、实践方法等维度对指引进行了补充,便于数字政府的安全和合规工作者在实操中借鉴。
本书遵循国家法律法规和商用密码应用的标准规范,结合海泰方圆(密码安全领军企业)多年的实践经验,对数字政府密码应用合规性建设、数据安全合规性建设及典型产品的功能与架构进行了全方位、多角度的讲解。
第 一部分(第1~5章) 密码应用合规性建设
详细解析了密码的重要作用、密码学基本模型、各类密码算法、密码协议、密钥管理等核心知识点,并介绍了数字政府密码应用建设的具体步骤和方案,以及安全性评估与应用案例等。
第二部分(第5~10章) 数据安全合规性建设
从数据安全的基本概念出发,深入探讨了相关的法律法规、治理建设方案、关键技术、全生命周期管理以及数据安全合规与安全治理案例分析等关键内容,旨在帮助政府机构构建起全方位的数据安全防护体系。
第三部分(第11~12章) 典型产品功能与架构
密码应用产品包括密码服务平台、身份认证系统、数据加解密系统等,数据安全产品包括数据按安全管控平台、数据分类分级系统、数据脱敏系统、数据库加密系统等。这些产品介绍为数字政府建设提供了实用的技术支持和产品选择指导。
无论政策制定者、技术实施者还是安全管理者,都能从中获得宝贵的知识和指导。
精彩书评
在数字化和网络安全日益重要的今天,本书为我们提供了一份不可多得的学习资源。作者深入浅出地介绍了密码应用和数据安全的基础知识,同时结合实际案例,使理论与实践紧密结合。本书非常适合那些希望在数字政府建设中学习数据安全与密码应用知识的专业人士阅读。
——顾炳中 中国计算机用户协会副理事长
在数字化浪潮下,数字政府建设已成为国家治理现代化的关键环节。本书深入剖析了数字政府面临的网络安全挑战,提供了针对商用密码应用和数据安全治理的全面指导及实际案例,使得理论与实践有效结合。本书内容丰富、覆盖广泛,无论新手还是专业人士,都能从中获益。
——章恒 国家信息中心电子政务信息安全等级保护测评中心副主任
本书是一本为数字政府网络安全合规性建设提供全面指导的宝典。本书从密码应用与数据安全的角度出发,深入剖析数字政府网络安全合规性建设面临的问题,并提供切实可行的方案。内容全面系统、案例丰富,值得一读!
——李子臣 中国密码学会教育与科普工作委员会主任/北京印刷学院教授
本书深入探讨了密码应用与数据安全在政府部门的重要性,为数字政府网络安全合规性建设提供了宝贵的理论支持和实践案例,是当今数字化时代的重要著作。对于从事数字政府建设的专业人员来说,它不仅是一本实用指南,更是权威的参考资料。书中对数据安全合规性的全面解析和密码技术的应用,为数字化转型奠定了坚实的基础。
——夏志华 暨南大学网络空间安全学院教授
本书为数字政府网络安全合规性建设提供了一个全面的视角,可帮助读者理解和应对当下的安全挑战。对于希望在数字化时代保持领先的专业人员来说,本书案例丰富,很有参考价值。作者对复杂概念的简洁阐释和对实际问题的分析,使本书成为该领域内很有价值的作品。
——向勇 清华大学计算机系副研究员
目录
目 录
作者简介
序
前 言
第一部分 数字政府密码应用
合规性建设
第1章 密码基础知识 3
1.1 密码的重要作用及“四性” 3
1.2 密码学基本模型 5
1.3 密码算法 5
1.3.1 序列密码算法 6
1.3.2 分组密码算法 8
1.3.3 公钥密码算法 9
1.3.4 密码杂凑算法 11
1.3.5 数字签名算法 11
1.3.6 消息鉴别码 13
1.3.7 我国商用密码算法体系 13
1.4 密码协议 14
1.5 密钥管理 16
1.6 公钥基础设施 18
第2章 数字政府密码应用建设
步骤 21
2.1 数字政府密码应用典型
问题 21
2.1.1 密码应用不广泛 22
2.1.2 密码应用不规范 22
2.1.3 密码应用不安全 22
2.2 数字政府密码应用建设
“三同步一评估” 23
2.2.1 数字政府密码应用工程
规划阶段 24
2.2.2 数字政府密码应用工程
建设阶段 25
2.2.3 数字政府密码应用工程
运行阶段 27
第3章 数字政府密码应用建设
方案 29
3.1 密码应用技术框架 29
3.2 密码应用技术管理设计 31
3.2.1 物理和环境安全设计 31
3.2.2 网络和通信安全设计 36
3.2.3 设备和计算安全设计 41
3.2.4 应用和数据安全设计 43
3.2.5 密钥管理 56
3.3 密码应用安全管理设计 59
3.3.1 管理制度 59
3.3.2 人员管理 59
3.3.3 建设运行 60
3.3.4 应急处置 61
3.4 数字政府密码应用建设清单 63
第4章 数字政府密码应用安全性
评估 65
4.1 密码应用测评依据 65
4.2 密码应用测评过程 69
4.3 通用测评 75
4.4 密码技术应用测评 76
4.5 密码应用安全管理测评 80
4.6 密码应用整体测评 83
4.7 测评指标 84
4.8 量化评估 87
4.8.1 量化评估框架 88
4.8.2 量化评估规则 88
4.8.3 整体结论判定 92
4.9 测评结果记录 93
4.10 风险分析及测评结论 96
4.10.1 信息系统风险分析和
评价 96
4.10.2 测评结论 97
第5章 数字政府密码应用案例 98
5.1 政务云业务密码应用案例 98
5.1.1 项目背景 98
5.1.2 现状分析 99
5.1.3 密码应用 99
5.2 某市政务办公集约化密码
应用案例 102
5.2.1 项目背景 102
5.2.2 现状分析 103
5.2.3 密码应用 103
5.3 某省政协履职业务密码
应用案例 105
5.3.1 项目背景 105
5.3.2 现状分析 106
5.3.3 密码应用 106
5.4 公积金业务密码应用案例 110
5.4.1 项目背景 110
5.4.2 现状分析 111
5.4.3 密码应用 112
第二部分 数字政府数据安全
合规性建设
第6章 数据安全合规性要求 117
6.1 数据安全概述 117
6.2 数据安全相关法律 118
6.2.1 《网络安全法》保障网络
与信息安全 119
6.2.2 《数据安全法》构建数据
安全治理框架 121
6.2.3 《个人信息保护法》保障
个人信息权益 123
6.2.4 网络安全、数据安全与
个人信息保护的关系 125
6.3 数据安全相关行政法规 126
6.3.1 《关键信息基础设施安全
保护条例》保障关键信息
基础设施安全 127
6.3.2 《网络数据安全管理条例
(征求意见稿)》细化数据
安全治理规则 129
6.4 数据安全相关部门规章及
规范性文件 130
6.4.1 数据安全的协同治理 130
6.4.2 重要规章及规范性文件 131
6.5 数据安全相关地方性法规 138
6.5.1 创新数据安全治理
新模式 139
6.5.2 提供公共数据治理的
模式借鉴 139
6.6 数据安全相关标准 140
6.6.1 基础性数据安全标准 140
6.6.2 特定行业的数据安全
标准 145
第7章 数据安全治理建设方案 147
7.1 数据安全治理框架 147
7.1.1 Gartner的DSG框架 148
7.1.2 数据安全能力成熟度
模型 149
7.1.3 信通院的数据安全治理
框架 149
7.1.4 《指南》中的数据安全
治理框架 151
7.2 数据安全建设 153
7.2.1
前言/序言
前 言
为什么要写这本书
当今时代,数据已成为新型生产要素,不仅是个人、企业乃至国家的重要资产,更是我国数字经济发展的基石。自2021年起,我国相继推出了《“十四五”国家信息化规划》《“十四五”数字经济发展规划》等关键国家数据战略,旨在构建数字中国,推动数据要素的市场化流通,并创新数据开发与利用机制。在数字经济的健康发展中,数据安全的重要性日益凸显,对数据安全治理的需求也日渐迫切。
然而,数据的开发与利用伴随着风险。数据在创造价值的同时,也可能面临被泄露、篡改、滥用等风险。这不仅威胁到个人和组织的安全,甚至可能损害社会公共利益和国家利益。为此,我国陆续出台了《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国密码法》《中华人民共和国个人信息保护法》等法律法规,旨在规范数据处理活动,确保数据安全,同时促进数据的合法、有效利用。这些法律法规的核心在于平衡数据发展与安全防护,保障数据在安全和隐私保护的前提下得到合理利用。
鉴于当前国内外数据安全事件频繁发生,数据安全风险不断上升,我们编写了本书。本书致力于全面系统地整理、分析、归纳和总结当前数据安全治理和密码应用建设的各种方法,并提出专业的解决方案,旨在为数据安全治理和密码应用的相关工作人员提供实用的参考,助力提升数据安全管理的效率和效果。
读者对象
数字政府数据安全治理与密码应用建设相关人员:本书特别适用于在数字政府负责数据安全治理和密码应用建设的专业人员,包括决策制定者、方案规划与实施人员、安全管理专家以及技术培训师等。本书旨在深入解析数字化转型过程中遇到的数据安全威胁、安全风险和合规性要求,帮助这些专业人员更加主动地进行数据安全治理和密码应用的安全性评估,从而提升信息系统的安全性和合规性。
密码应用与数据安全治理相关产品和服务提供商:本书同样适用于提供数据安全和密码应用相关产品和服务的专业人员,如方案及产品策划人员、咨询服务人员、项目实施人员等。通过提供数据安全治理框架、密码应用技术等相关知识,本书旨在为这些提供商制定治理方案、研发产品和实施服务提供指导,以便它们能够更有效地满足用户的需求。
本书特色
全面系统的内容:本书深入探讨了数字政府在密码应用合规性建设和数据安全合规性建设方面的核心内容,不仅介绍了相关的密码技术,还详细阐述了建设步骤、安全评估方法等关键内容。这种全面而系统的内容布局,旨在为读者提供一个宏观又细致的理解框架,确保读者完成从理论到实践的无缝对接。
丰富具体的案例分析:本书精选了政务云、政务办公、政协履职、公积金管理、政务数据分类分级、政务大数据中心等多个实际案例。这些案例涉及多个关键领域,为读者提供了生动、具体的实践展示平台。通过这些案例分析,读者可以更直观地理解密码应用合规性建设与数据安全合规性建设的实际操作和应用效果。
高实用价值的解决方案:本书以“开展高效且高质量的合规性建设、深度融合且赋能各类应用场景、普遍适用且具有显著参考价值”为目标,精心挑选了一系列专家认可并在实践中验证过的数字政府密码应用与数据安全解决方案。这些方案不仅基于新的技术研究,而且经过了实际应用的检验,能够为数字政府的建设提供有效、实用的指导和支持。
如何阅读本书
本书遵循国家法律法规要求,依据商用密码应用标准规范,参考数据安全治理相关框架,结合海泰方圆多年的密码应用和数据安全治理实践,系统地介绍了数字政府密码应用合规性建设与数据安全合规性建设的相关技术和案例,以及典型的密码应用产品、数据安全产品的功能与架构。
本书分为三部分,具体内容如下。
第一部分 数字政府密码应用合规性建设(第1~5章):详细介绍了密码基础知识、密码应用建设步骤、密码应用建设方案、密码应用安全性评估以及密码应用案例等。
第二部分 数字政府数据安全合规性建设(第6~10章):详细介绍了数据安全合规性要求、数据安全治理建设方案、数据安全治理关键技术、数据安全全生命周期管理以及数据安全合规与安全治理案例分析等。
第三部分 典型产品功能与架构(第11、12章):详细介绍了典型密码应用产品和数据安全产品的功能与架构。
读者可按照章节顺序阅读,也可根据需要选择部分章节阅读,以快速获取所需知识,例如通过阅读密码基础知识来快速了解相关密码技术,通过阅读相关案例来了解密码技术在具体场景中如何应用等。
勘误与支持
由于编写时间仓促,本书在内容上可能存在一些疏漏或不准确之处,非常欢迎读者提出宝贵的意见和建议。读者有任何反馈,与我们联系,我们会尽力为读者提供满意的答复。期待读者的真诚反馈,让我们在技术探索的道路上携手前行,共同进步。
致谢
我们深感撰写本书不仅是一次学术
