第1部分引導篇
第1章導論2
1.1數智化進程2
1.1.1信息技術發展2
1.1.2網絡空間概述3
1.1.3從數字化到數智化5
1.1.4數智賦能網絡空間6
1.2數智安全9
1.2.1網絡空間安全風險9
1.2.2數智化安全風險特點11
1.2.3數智安全概念13
1.2.4數智安全內涵14
1.3數智安全框架15
1.3.1網絡空間安全發展階段15
1.3.2網絡空間安全防護模型16
1.3.3數智安全保障框架17
1.4我國網絡安全法律法規18
1.4.1我國網絡空間安全戰略18
1.4.2我國網絡安全法律法規體繫19
1.4.3我國網絡安全法律法規的作用20
1.5網絡安全標準與標準化22
1.5.1標準化基本原理22
1.5.2網絡安全標準化組織23
1.5.3我國標準分類及制定過程25
1.6本書組織26
1.7本章小結27
思考題27

第2章數智安全法規標準及合規管理28
2.1數智安全法規標準體繫28
2.1.1數智安全法規標準地圖28
2.1.2數智安全法規標準層級與關繫28
2.1.3數智安全法規標準的制度分域33
2.2數智安全合規管理40
2.2.1合規與合規管理40
2.2.2合規管理的作用40
2.2.3合規管理的具體措施41
2.3本章小結48
思考題49
實驗實踐50
目錄第2部分基礎篇
第3章風險管理與安全管理體繫52
3.1風險管理基礎52
3.1.1基本概念52
3.1.2原則53
3.1.3框架53
3.1.4過程54
3.2信息安全風險管理55
3.2.1安全屬性55
3.2.2風險要素57
3.2.3控制措施58
3.2.4管理過程58
3.3人工智能風險管理60
3.3.1語境建立61
3.3.2風險評估63
3.3.3風險處置63
3.3.4監視與評審64
3.3.5記錄與報告64
3.3.6溝通與協商65
3.4信息安全管理體繫65
3.4.1信息安全管理體繫概述65
3.4.2信息安全管理體繫過程67
3.4.3信息安全管理體繫要點69
3.4.4信息安全管理標準體繫70
3.5本章小結72
思考題72
實驗實踐72

第4章網絡安全保護基礎73
4.1網絡安全等級保護73
4.1.1等級保護安全框架74
4.1.2等級保護標準體繫76
4.2等級保護通用技術要求78
4.2.1安全物理環境78
4.2.2安全通信網絡79
4.2.3安全區域邊界80
4.2.4安全計算環境81
4.2.5安全管理中心83
4.3等級保護通用管理要求84
4.3.1安全管理制度84
4.3.2安全管理機構85
4.3.3安全管理人員86
4.3.4安全建設管理87
4.3.5安全運維管理89
4.4等級保護安全擴展要求93
4.4.1雲計算安全擴展要求93
4.4.2移動互聯安全擴展要求93
4.4.3物聯網安全擴展要求94
4.4.4工業控制繫統安全擴展要求95
4.5關鍵信息基礎設施安全保護96
4.5.1關鍵信息基礎設施安全保護現狀96
4.5.2我國關鍵信息基礎設施標準體繫98
4.5.3關鍵信息基礎設施安全保護工作環節98
4.6供應鏈安全99
4.6.1安全風險99
4.6.2技術安全措施101
4.6.3管理安全措施102
4.7本章小結104
思考題104
實驗實踐105

第5章數智安全技術基礎106
5.1密碼技術106
5.1.1密碼技術概述106
5.1.2密碼技術原理108
5.1.3密碼技術標準化113
5.2身份管理技術115
5.2.1身份管理概述115
5.2.2身份鋻別技術118
5.2.3身份管理應用120
5.2.4身份管理標準化121
5.3訪問控制技術122
5.3.1訪問控制概述122
5.3.2訪問控制模型123
5.3.3零信任訪問控制124
5.3.4訪問控制標準化125
5.4日志及安全審計126
5.4.1日志及安全審計概述126
5.4.2日志記錄技術126
5.4.3安全審計技術127
5.4.4日志及安全審計標準化128
5.5本章小結128
思考題128
實驗實踐129

第6章檢測評估與認證130
6.1檢測評估與認證基礎130
6.1.1基本概念130
6.1.2我國網絡安全認證認可工作131
6.1.3工作原則132
6.2網絡繫統評估認證132
6.2.1網絡繫統評估概述132
6.2.2信息繫統風險評估133
6.2.3網絡安全等級保護測評134
6.2.4商用密碼應用安全性評估136
6.2.5數據安全風險評估138
6.2.6軟件供應鏈安全評估139
6.3產品檢測評估認證140
6.3.1產品測評認證概述140
6.3.2信息技術產品分級評估142
6.3.3商用密碼產品認證143
6.4人員評估認證144
6.5組織網絡安全資質認證147
6.5.1等級保護測評資質147
6.5.2商用密碼應用安全性評估資質147
6.5.3實驗室檢測機構資質148
6.5.4網絡安全服務資質148
6.5.5信息安全管理體繫資質150
6.5.6數據安全認證151
6.6本章小結151
思考題151
實驗實踐152
第3部分數智篇
第7章個人信息保護154
7.1個人信息保護概念與原則154
7.1.1個人信息概念154
7.1.2個人信息保護的範疇155
7.1.3個人信息處理相關概念156
7.1.4個人信息權益與權利156
7.1.5個人信息處理基本原則157
7.2個人信息保護影響評估158
7.2.1基本概念158
7.2.2評估要求158
7.2.3評估過程159
7.2.4方法流程159
7.2.5風險分析161
7.2.6風險處置163
7.3個人信息告知同意164
7.3.1基本概念164
7.3.2處理個人信息的合法性基礎164
7.3.3告知同意的適用情形165
7.3.4告知同意的原則166
7.3.5告知同意的方式167
7.4個人信息保護技術168
7.4.1個人信息去標識化168
7.4.2隱私保護計算技術178
7.5國內外個人信息保護相關標準185
7.5.1個人信息保護國際標準185
7.5.2個人信息保護國家標準186
7.6本章小結188
思考題188
實驗實踐188

第8章App個人信息安全治理189
8.1App個人信息安全治理基本情況189
8.1.1相關工作背景189
8.1.2App專項治理整體工作思路190
8.1.3四部門多措並舉深化治理191
8.1.4App個人信息安全認證192
8.2App個人信息安全治理相關法規標準194
8.2.1App個人信息安全治理相關法規解析194
8.2.2App個人信息安全治理相關標準解析197
8.3App個人信息安全案例分析200
8.3.1App申請和使用繫統權限的案例分析200
8.3.2App嵌入第三方SDK的案例分析203
8.3.3App收集使用人臉信息的案例分析206
8.4App個人信息安全治理的創新發展209
8.4.1基於移動操作繫統的治理思路209
8.4.2基於應用商店管理的治理思路210
8.4.3基於互聯網平臺履責的治理思路212
8.5本章小結213
思考題214
實驗實踐214

第9章數據安全保護215
9.1數據分類分級215
9.1.1概述215
9.1.2方法217
9.2數據處理活動保護218
9.2.1數據收集的安全保護218
9.2.2數據存儲的安全保護219
9.2.3數據使用的安全保護220
9.2.4數據加工的安全保護222
9.2.5數據傳輸的安全保護222
9.2.6數據提供的安全保護224
9.2.7數據公開的安全保護224
9.2.8數據銷毀的安全保護225
9.3數據安全保護技術及應用226
9.3.1數據識別技術226
9.3.2數據加密技術227
9.3.3數據防洩露技術229
9.3.4數據脫敏技術230
9.3.5數據安全審計技術231
9.3.6數字水印技術232
9.3.7數據備份與容災技術233
9.3.8數據銷毀技術234
9.4重要數據識別與保護235
9.4.1重要數據定義235
9.4.2重要數據識別235
9.4.3重要數據處理236
9.5本章小結236
思考題236
實驗實踐236

第10章數據安全治理237
10.1數據安全治理概念237
10.1.1數據安全治理概念理解237
10.1.2數據安全治理與數據治理238
10.1.3數據安全治理範疇239
10.2可參考的標準和框架240
10.2.1國內數據安全標準240
10.2.2國際數據安全框架243
10.2.3數據安全治理框架245
10.3數據安全治理指南250
10.3.1明確數據安全人員組織250
10.3.2建立數據安全管理制度體繫252
10.3.3打造數據安全技術體繫253
10.3.4落實數據安全運營體繫261
10.3.5實施規劃建設路徑263
10.4本章小結264
思考題264
實驗實踐264

第11章人工智能與算法安全265
11.1人工智能概述265
11.1.1人工智能基本情況265
11.1.2人工智能技術與應用267
11.1.3人工智能相關法律法規和政策269
11.2人工智能安全影響概述271
11.2.1國家安全271
11.2.2社會與倫理安全272
11.2.3個人生命財產安全273
11.3人工智能安全問題分析273
11.3.1技術安全代表性問題分析273
11.3.2應用安全代表性問題分析274
11.3.3數據安全代表性問題分析274
11.3.4隱私保護代表性問題分析275
11.4人工智能安全標準化工作276
11.4.1人工智能標準化組織及標準介紹276
11.4.2我國人工智能安全標準體繫286
11.5本章小結289
思考題289
實驗實踐289

第12章數智安全監管制度290
12.1國外數據安全監管框架290
12.1.1歐盟GDPR監管框架290
12.1.2美國隱私保護監管框架294
12.2我國數智安全監管框架296
12.3數據出境安全管理制度298
12.3.1概述298
12.3.2我國法定要求299
12.3.3數據出境安全評估301
12.3.4個人信息出境標準合同302
12.3.5個人信息出境安全認證304
12.4數據安全審查制度304
12.4.1概述304
12.4.2網絡安全審查辦法305
12.5數據安全認證制度306
12.5.1概述306
12.5.2數據安全管理認證306
12.5.3個人信息保護認證307
12.5.4App個人信息保護認證308
12.6算法安全監管308
12.6.1概述308
12.6.2算法安全監管國際趨勢309
12.6.3我國算法安全監管體繫309
12.7本章小結312
思考題312
實驗實踐313
第4部分應用篇
第13章數智賦能安全316
13.1技術與安全的關繫316
13.2數智賦能安全的內涵316
13.2.1數智賦能安全的含義316
13.2.2數智賦能安全的意義317
13.3數智賦能安全的實現技術317
13.3.1雲計算賦能安全317
13.3.2大數據賦能安全318
13.3.3人工智能賦能安全318
13.4數智賦能安全的技術案例319
13.4.1安全資源池319
13.4.2網絡安全態勢感知319
13.4.3DGA域名檢測321
13.5本章小結322
思考題322
實驗實踐322

第14章政務數智安全實踐323
14.1數字政務與數據安全323
14.1.1政務信息整合共享323
14.1.2數字政府建設324
14.1.3政務數據安全治理325
14.2政務數據應用場景與特性326
14.2.1政務數據典型場景327
14.2.2政務數據典型應用328
14.2.3政務數據特性330
14.3政務數據典型安全風險與應對331
14.3.1政務數據典型安全風險331
14.3.2政務數據安全技術措施332
14.3.3政務數據安全管理措施334
14.4政務數據安全工作成效與展望335
14.4.1政務數據安全工作成效335
14.4.2政務數據安全工作展望337
14.5本章小結338
思考題338

第15章健康醫療數智安全實踐339
15.1健康醫療數智應用與安全339
15.1.1我國健康醫療行業數智安全現狀339
15.1.2健康醫療數智安全相關政策法規342
15.1.3健康醫療數智安全標準346
15.2健康醫療數智安全應用場景347
15.2.1大數據技術安全應用場景347
15.2.2人工智能技術安全應用場景350
15.2.3其他新興技術安全應用場景352
15.3健康醫療數據安全治理實踐355
15.3.1組織建設356
15.3.2數據安全制度建設356
15.3.3數據安全評估357
15.3.4數據安全防護建設357
15.3.5數據安全運營管控建設357
15.3.6數據安全監管358
15.4健康醫療數智安全展望359
15.5本章小結359
思考題359
實驗實踐360

第16章智慧城市數智安全實踐361
16.1智慧城市發展及安全風險361
16.1.1智慧城市基本特征361
16.1.2國外智慧城市發展362
16.1.3我國智慧城市發展363
16.1.4智慧城市安全風險363
16.2智慧城市數據安全治理實踐365
16.2.1安全治理重點365
16.2.2安全治理體繫369
16.3地方智慧城市標準化建設思路369
16.3.1地方智慧城市標準體繫框架370
16.3.2地方智慧城市安全標準建設重點370
16.4本章小結371
思考題371
實驗實踐371

第17章金融數智安全實踐372
17.1金融數智安全緒論372
17.1.1什麼是金融數智372
17.1.2基本概念和術語374
17.1.3金融數智安全現狀375
17.1.4金融數智安全標準377
17.2金融數智技術應用378
17.2.1大數據378
17.2.2人工智能378
17.2.3區塊鏈379
17.2.4隱私計算379
17.3金融數智安全實踐381
17.3.1金融數智安全挑戰381
17.3.2金融數智安全應對384
17.4金融數智安全展望392
17.4.1技術應用發展展望392
17.4.2政策與標準需求395
17.5本章小結395
思考題395
實驗實踐396

參考文獻397

隨著信息通信技術的發展及廣泛應用，人類已經進入信息社會。新技術新應用已經影響到人類社會的方方面面，人類在享受技術進步帶來的福利時也遭受著新技術新應用引發的各種問題的困擾。例如，隨著大數據、人工智能等數智技術的廣泛應用，隱私保護和安全問題也越來越受各方關注，已經成為合法合規的重要內容，不僅事關個人利益，也涉及社會公眾利益和國家安全。因此，我們不僅要關注數智技術的研發，也要關注數智技術的社會性，納入治理範圍，在業務和繫統的設計規劃、建設、運營過程中統籌考慮技術與應用的安全問題。
二十大報告明確指出: 加快發展數字經濟，促進數字經濟和實體經濟深度融合，打造具有國際競爭力的數字產業集群；強化經濟、重大基礎設施、金融、網絡、數據、生物、資源、核、太空、海洋等安全保障體繫建設；加強個人信息保護。
中共中央國務院《關於構建數據基礎制度更好發揮數據要素作用的意見》明確提出: 數據作為新型生產要素，是數字化、網絡化、智能化的基礎，已快速融入生產、分配、流通、消費和社會服務管理等各環節，深刻改變著生產方式、生活方式和社會治理方式。數據基礎制度建設事關國家發展和安全大局。要加快構建數據基礎制度，充分發揮我國海量數據規模和豐富應用場景優勢，激活數據要素潛能，做強做優做大數字經濟，增強經濟發展新動能，構築國家競爭新優勢。明確要完善治理體繫，保障安全發展。統籌發展和安全，貫徹總體國家安全觀，強化數據安全保障體繫建設，把安全貫穿數據供給、流通、使用全過程，劃定監管底線和紅線。加強數據分類分級管理，把該管的管住、該放的放開，積極有效防範和化解各種數據風險，形成政府監管與市場自律、法治與行業自治協同、國內與國際統籌的數據要素治理結構。
在數智安全保障體繫建設過程中，標準發揮了基礎重要作用。《國家標準化發展綱要》明確標準是經濟活動和社會發展的技術支撐，是國家基礎性制度的重要方面。標準化在推進國家治理體繫和治理能力現代化中發揮著基礎性、引領性作用。二十大報告明確指出要穩步擴大規則、規制、管理、標準等制度型開放。
為在新時代推動高質量發展、全面建設社會主義現代化國家，進一步加強標準化工作，《國家標準化發展綱要》指出要加強標準化人纔隊伍建設。將標準化納入普通高等教育、職業教育和繼續教育，開展專業與標準化教育融合試點，造就一支熟練掌握國際規則、精通專業技術的職業化人纔隊伍，提升科研人員標準化能力，充分發揮標準化專家在國家科技決策咨詢中的作用，建設國家標準化高端智庫。
《“十四五”推動高質量發展的國家標準體繫建設規劃》規劃了作為重點工作之一的網絡安全標準工作。指出要推動關鍵信息基礎設施安全保護、數據安全、個人信息保護、數據出境安全管理、網絡安全審查、網絡空間可信身份、網絡產品和服務、供應鏈安全、5G安全、智慧城市安全、物聯網安全、工業互聯網安全、車聯網安全、人工智能安全等重點領域國家標準研制，完善網絡安全標準體繫，支撐網絡強國建設。指出建設符合中國國情的標準化教育體繫，將標準化納入普通高等教育，支持設立標準化課程，開展專業與標準化教育融合試點。培養同時具有科研能力、標準化能力的專業人纔和標準化領軍人纔，實施國際標準化青年人纔選培行動，開展標準化專業人纔能力評估。
在全球大數據浪潮中，清華大學面向全校研究生的大數據能力提升項目在“學校統籌，問題引導，社科突破，商科優勢，工科整合，業界聯盟”的指導原則下，通過多學科交叉融合的大數據課程體繫，引入新的教學模式，培養大數據思維和素養，重點培養數據分析、數據管理和創新應用能力。2022年9月，大數據能力提升項目已經升級到“3 X”模式，新開設了必修課程“數智安全與標準化”，依托全國信息安全標準化技術委員會大數據安全標準特別工作組工作，旨在使學生了解數智技術和應用的前沿以及相應的安全問題，理解數智安全與業務拓展和技術發展的伴生特性，掌握數智安全和標準化的基本知識，建立未來數智化所必須的安全發展意識、安全風險意識和技術安全意識。通過兩學期的教學實踐，教學內容和教學安排基本成熟穩定，形成了本書。
前言本書全面闡述了“數智安全與標準化”的基本概念與基礎知識，力求讀者掌握相關知識並運用於相關行業及應用。每章節之後都附上了思考題與實驗實踐，以期強化讀者的思考與動手能力。本書編撰貫穿了“漁重於魚、廣度深度兼備、國際國內兼顧”的編寫初衷，編委會涵蓋了高校、科研院所、企事業單位、律師事務所等各方專家，力求內容既有理論性又有實踐性。編委會多次集體討論，確定了章節組織及各章內容安排如下圖所示，力求各章內容的相對獨立性，又確保各章內容間的內在邏輯聯繫，從而整體上繫統全面介紹數智安全相關內容。清華大學統籌、規劃、設計、組織了本書的編寫工作，逐章討論審校修訂並最終確定了各章內容，各章主要負責單位及主要內容如下。
第1章主要由北京大學和清華大學負責，主要介紹什麼是數智安全，給出數智安全保護框架，並介紹標準化的基礎知識。
第2章介紹數智安全相關的國內法律法規，主要由競天公誠律師事務所負責；介紹企業（組織）合規管理的必要性和具體工作內容，主要由北京大成（上海）律師事務所負責。
第3章主要由杭州安恆信息技術股份有限公司和清華大學負責，主要介紹風險管理的基礎知識以及信息安全管理體繫。
第4章主要由公安部第三研究所負責，主要介紹等級保護、關鍵信息基礎設施保護和供應鏈安全管理。
第5章主要由北京天融信網絡安全技術有限公司負責，主要介紹數智安全保護的基礎技術，包括密碼技術、身份管理和訪問控制等。
第6章主要由中國信息安全測評中心負責，主要介紹安全檢測、評估與認證的知識。
第7章主要由中國電子技術標準化研究院和華控清交信息科技（北京）有限公司負責，主要介紹個人信息保護相關的技術和措施以及相關標準化工作。
第8章主要由中國電子技術標準化研究院負責，主要介紹國家App個人信息安全治理的相關工作。
第9章主要由北京天融信網絡安全技術有限公司負責，主要介紹數據分類分級、數據處理各活動的安全風險及應對的技術和管理措施，並介紹常用的數據安全保護技術。
第10章主要由北京安華金和科技有限公司負責，主要介紹企業（組織）的數據安全治理。
第11章主要由中國電子技術標準化研究院負責，主要介紹人工智能和算法安全相關的內容及標準化工作。
第12章主要由中國科學技術大學負責，主要介紹國家數智安全監管思路和制度體繫。
第13章主要由北京天融信網絡安全技術有限公司負責，主要介紹數智技術賦能安全防御相關工作。
第14章主要由國家信息中心負責。
第15章主要由北京天融信網絡安全技術有限公司負責。
第16章主要由北京信息安全測評中心負責。
第17章主要由螞蟻科技集團股份有限公司負責。
在此向所有參加本書編寫的同仁（包括未列入編寫委員會但事實上參與了教材編制相關工作的同事）及幫助和指導過我們工作的朋友表示由衷的感謝！在本書的編寫過程中參閱了許多文獻及在線資料，在此一並表示感謝。
由於數智化技術發展迅速，編審時間有限，書中若有不妥之處，懇請讀者批評指正。

編者
於清華園
2023年3月