本書是CDSP認證指定教材，由CSA雲安全聯盟組織編寫，本書詳細闡述數據安全業務範疇、體繫架構、關鍵技術和很好實踐，不僅可作為高等院校網絡空間安全、計算機、信息技術類專業的教材和參考書，也可作為信息安全、數據安全、雲計算、隱私保護的從業人員，以及相近學科的工程技術人員參考用書。

●第1章數據安全導論1
1.1數據安全領域的範疇2
1.1.1數據的定義2
1.1.2數據生命周期3
1.1.3數據安全需求7
1.1.4數據安全總體目標8
1.2數據分類的原則與實施11
1.2.1數據分類的標準14
1.2.2數據分類框架16
1.2.3數據分類實施步驟18
1.2.4基於監管的數據分類20
1.2.5數據有效分類的策略22
1.2.6組織機構的數據分類示例23
1.2.7雲數據分類示例26
1.2.8微軟數據分類體繫示例29
1.2.9終端數據分類示例30
1.3身份認證與數據訪問控制32
1.3.1用戶身份認證32
1.3.2服務身份認證35
1.3.3設備身份認證36
1.3.4數據訪問控制體繫36
1.4數據安全體繫總結38
第2章數據安全風險挑戰與應對39
2.1數據安全的風險和挑戰39
2.1.1互聯網時代的數據安全39
2.1.2萬物融合時代的數據安全40
2.1.3數據洩露事件頻繁發生43
2.1.4對數據安全的關注日益增長48
2.1.5數據安全成為業界熱點49
2.1.6敏感數據在哪裡51
2.1.7數據安全問題的背後52
2.1.8數據安全攻擊面演進53
2.1.9典型攻擊場景和類型55
2.1.10數據安全的主要威脅59
2.2數據安全應對機制61
2.2.1風險評估方法61
2.2.2業務影響程度分析62
2.2.3數據流分析63
2.2.4控制措施的選擇、實施與評估67
2.2.5威脅建模概述72
2.2.6STRIDE威脅模型75
2.2.7以數據為中心的威脅建模78
2.2.8異常和事件檢測84
2.2.9持續監控85
2.2.10響應計劃與實施86
2.2.11恢復計劃與危機處置87
第3章數據安全架構與設計89
3.1數據安全架構的設計與實施89
3.1.1安全架構立項與需求分析91
3.1.2安全架構設計與交付93
3.1.3安全架構可視化呈現97
3.1.4不同視角的安全架構99
3.2組織的數據安全架構模型103
3.2.1數據安全治理框架概述104
3.2.2數據治理策略與標準105
3.2.3安全數據收集策略108
3.2.4數據留存策略109
3.3數據安全治理框架（IPDRR）111
3.3.1識別114
3.3.2保護115
3.3.3檢測116
3.3.4響應117
3.3.5恢復117
3.3.6本節小結118
3.4安全架構優秀案例118
3.4.1縱深防御架構118
3.4.2以數據為中心的安全架構120
3.4.3CSA企業架構122
3.4.4NIST雲計算安全架構125
3.4.5零信任安全架構127
3.5安全設計原則與案例130
3.5.1經濟適用原則及案例131
3.5.2失敗默認安全原則及案例132
3.5.3接近仲裁原則及案例133
3.5.4開放設計原則及案例134
3.5.5權限分離原則及案例135
3.5.6最小特權原則及案例135
3.5.7最小公共化原則及案例136
3.5.8心理可承受原則及案例137
3.6數據安全的信任基礎138
3.6.1HSM原理與應用場景139
3.6.2TPM的原理與應用場景141
3.6.3TEE的原理與應用場景142
3.6.4本節小結145
3.7加密與訪問控制關鍵技術146
3.7.1端點加密技術146
3.7.2文件加密技術150
3.7.3數據庫加密技術151
3.7.4格式保留加密技術154
3.7.5以數據為中心的加密156
3.7.6訪問控制技術157
3.7.7文件監控技術160
3.7.8數據庫監控技術164
3.8數據安全業務場景166
3.8.1DRM技術與適用場景167
3.8.2MDM技術與適用場景169
3.8.3DLP技術與適用場景170
3.8.4CASB介紹及與DLP的集成172
3.9本章總結174
第4章數據安全的基石：密碼學與加密175
4.1密碼學的起源與演化177
4.1.1愷撒密碼177
4.1.2簡單替換密碼178
4.2現代密碼學的誕生182
4.3基於密鑰的加密185
4.3.1一次性密碼185
4.3.2對稱加密186
4.3.3分組密碼187
4.3.4分組密碼的操作模式191
4.3.5流密碼196
4.4基於公鑰的加密200
4.4.1密鑰交換200
4.4.2公鑰加密算法202
4.4.3中間人攻擊與防護203
4.4.4重放攻擊及其防護204
4.4.5橢圓曲線密碼學205
4.5密鑰管理體繫210
4.5.1密鑰管理的重要性及原理211
4.5.2密鑰全生命周期管理212
4.5.3密鑰管理的監管要求216
4.5.4密鑰管理的監管遵從217
4.5.5密鑰交換的問題219
4.5.6密鑰分配中心（KDC）219
4.5.7公鑰管理220
4.5.8密鑰托管221
4.6公鑰基礎設施（PKI）221
4.6.1PKI繫統結構222
4.6.2證書頒發機構（CA）223
4.6.3注冊機構（RA）224
4.6.4數字證書224
4.6.5輕量目錄訪問協議（LDAP）225
4.6.6新型的PKI繫統226
4.7哈希算法226
4.7.1MD5228
4.7.2SHA-1228
4.7.3SHA-2228
4.7.4Keccak和SHA-3229
4.7.5口令存儲229
4.7.6哈希樹231
4.8消息認證碼231
4.8.1安全MAC231
4.8.2MAC算法中的密鑰232
4.8.3HMAC介紹232
4.8.4認證加密模式233
4.9數字簽名234
4.10基於密碼學的安全協議236
4.10.1身份識別和登錄協議236
4.10.2認證密鑰交換238
4.10.3零知識證明239
4.10.4安全多方計算241
4.10.5同態加密243
4.11量子時代的密碼學與密鑰管理244
4.11.1量子密鑰分配245
4.11.2量子時代的非對稱密碼學246
4.11.3量子時代的對稱密碼學246
4.11.4後量子密碼算法及其標準化246
4.11.5量子至上的興起247
4.11.6後量子密碼學的展望248
4.12密碼學技術實踐248
4.12.1AppleiOS數據安全248
4.12.2AWS密鑰管理服務249
第5章隱私保護與數據安全合規252
5.1隱私的概念及監管252
5.1.1隱私面臨的挑戰253
5.1.2隱私的監管趨勢254
5.2OECD隱私保護8原則257
5.2.1收集原則259
5.2.2數據質量原則259
5.2.3目的特定原則260
5.2.4使用原則260
5.2.5安全保障原則260
5.2.6公開原則261
5.2.7個人參與原則261
5.2.8問責原則261
5.3隱私保護技術261
5.3.1匿名化與假名化技術概述262
5.3.2隨機化技術265
5.3.3差分隱私266
5.3.4泛化技術269
5.3.5加密技術271
5.3.6哈希技術272
5.3.7令牌化技術272
5.3.8隱私保護技術總結274
5.4數據安全合規總體需求275
5.4.1國家和地區法律合規需求276
5.4.2國際和國家標準合規需求280
5.4.3行業標準合規需求283
5.5海外垂直行業數據與隱私合規需求286
5.5.1財務數據監管要求286
5.5.2醫療與健康數據安全監管要求289
5.5.3兒童數據監管要求295
5.5.4制造業安全監管要求296
5.5.5媒體行業安全監管要求297
5.5.6能源行業安全監管要求298
5.5.7教育行業安全監管要求299
5.6中國數據安全與隱私保護監管的演進299
5.6.1數據安全與隱私保護的立法動向299
5.6.2網絡安全法解讀301
5.6.3數據安全法解讀302
5.6.4個人信息保護法解讀303
5.6.5數據安全與個人信息保護國家標準306
5.6.6網絡安全等級保護308
5.7本章總結309
第6章新興技術與數據安全310
6.1AI與數據安全310
6.1.1人工智能、機器學習與深度學習311
6.1.2人工智能與數據安全314
6.1.3人工智能的數據威脅模型315
6.1.4人工智能的隱私保護320
6.1.5人工智能與網絡安全321
6.2以區塊鏈為代表的新興應用322
6.2.1區塊鏈的基本概念323
6.2.2共識算法及其應用325
6.2.3Merkle樹數據結構328
6.2.4密碼算法的綜合應用329
6.2.5區塊鏈的數據結構331
6.2.6比特幣挖礦的算法原理332
6.3物聯網數據安全334
6.3.1物聯網的概念335
6.3.2物聯網的數據安全風險336
6.3.3物聯網數據安全響應338
6.45G與數據安全340
6.4.15G數據安全標準341
6.4.25G新網絡架構的安全343
6.4.35G新業務場景的安全343
6.4.45G認證協議的形式化分析344
6.56G與數據安全展望345
6.5.16G的研究方向345
6.5.26G安全的演進346
6.5.3太赫茲網絡的攻防348
6.6本章總結349
附錄1縮略語對照表350
參考文獻355

本書繫統性闡述數據安全的範疇和目標，體繫架構和關鍵措施，特別是根據對數據安全風險與挑戰的全面和深入的分析，給出數據安全架構設計、隱私保護的監管要求、實施原則、技術選擇和業界很好實踐。本書還針對IT網絡、電信網絡、雲和物聯網的數據安全展開闡述，對AI、區塊鏈、5G等新興場景和數據安全的結合點進行分析與介紹，希望能夠全面地反映出國內外數據安全領域的理論和技術發展前沿水平。本書不僅可作為高等院校網絡空間安全、計算機、信息技術類專業的教材和參考書，也可作為信息安全、數據安全、雲計算、隱私保護的從業人員，以及相近學科的工程技術人員參考用書。

王安宇,姚凱 編