信息安全工程師綜合知識大綱考點：網(wǎng)絡信息安全法律與政策文件

【考點重要程度】：了解、熟悉。主要是對網(wǎng)絡信息安全基本法律、網(wǎng)絡安全等級保護、網(wǎng)絡產(chǎn)品和服務審查這3個知識點重點了解下。

【考點內容】：

網(wǎng)絡信息安全法律與政策主要有：國家安全、網(wǎng)絡安全戰(zhàn)略、網(wǎng)絡安全保護制度、密碼管理、技術產(chǎn)品、域名服務、數(shù)據(jù)保護、安全測評等各個方面。

網(wǎng)絡信息安全基本法律與國家戰(zhàn)略：主要有《中華人民共和國國家安全法》、《中華人民共和國網(wǎng)絡安全法》、《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》、《國家網(wǎng)絡空間安全戰(zhàn)略》、《網(wǎng)絡空間國際合作戰(zhàn)略》等

網(wǎng)絡信息安全基本法律：

《中華人民共和國網(wǎng)絡安全法》由中華人民共和國第十二屆全國人名代表大會常務委員會第二十四次會議于2016年11月7日通過，于2017年6月1日起施行;

《中華人民共和國密碼法》于2020年1月1日起施行;

《中華人民共和國數(shù)據(jù)安全法》、《關鍵信息基礎設施安全保護條例》于2021年9月1日實施;

《中華人民共和國個人信息保護法》于2021年11月1日起施行;

《網(wǎng)絡安全審查辦法》于2022年2月15日起施行。

網(wǎng)絡安全等級保護：

等級保護義務：

(1)制定內部安全管理制度和操作規(guī)程，確定網(wǎng)絡安全負責人，落實網(wǎng)絡安全保護責任;

(2)采取防范計算機病毒和網(wǎng)絡攻擊、網(wǎng)絡入侵等危害網(wǎng)絡安全行為的技術措施;

(3)采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術措施，并按照規(guī)定留存相關網(wǎng)絡日志不少于六個月

(4)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;

(5)法律、行政法規(guī)規(guī)定的其它義務。

網(wǎng)絡安全等級保護的主要工作可以概括為：定級、備案、建設整改、等級測評、運營維護。

(1)定級：確認定級對象、確定合適級別，通過專家評審和主管部門審核;

(2)備案：按等級保護管理規(guī)定準備備案材料，到當?shù)毓矙C關備案和審核;

(3)建設整改：依據(jù)相應等級要求對當前保護對象的實際情況進行差距分析，針對不符合項 結合行業(yè)要求對保護對象進行整改，建設符合等級要求的安全技術和管理體系。

(4)等級測評：等級保護測評機構依據(jù)相應等級要求，對定級的保護對象進行測評，并出具 相應的等級保護測評證書

(5)運營維護：等級保護運營主體按照相應等級要求，對保護對象的安全相關事宜進行監(jiān)督管理。

國家密碼管理制度：根據(jù)密碼法，國家密碼管理部門負責管理全國密碼工作，縣級以上地方各級密碼管理部門負責管理本行政區(qū)域的密碼工作。

網(wǎng)絡產(chǎn)品和服務審查：依據(jù)《中華人民共和國國家安全法》和《中華人民共和國網(wǎng)絡安全法》等法律法規(guī)，有關部門制訂了《網(wǎng)絡產(chǎn)品和服務安全審查辦法》。中國網(wǎng)絡安全審查技術與認證中心(CCRC，原中國信息安全認證中心)是負責實施網(wǎng)絡安全審查和認證的專門機構。

審查重點評估采購網(wǎng)絡產(chǎn)品和服務可能帶來的國家安全風險，這些風險主要包括：

(1)產(chǎn)品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞，以及重要數(shù)據(jù)被竊取、泄露、毀損的風險;

(2)產(chǎn)品和服務供應中斷對關鍵信息基礎設施業(yè)務連續(xù)性的危害;

(3)產(chǎn)品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為

(4)政治、外交、貿易等因素導致供應中斷的風險;

(5)產(chǎn)品和服務提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況;

(6)其他可能危害關鍵信息基礎設施安全和國家安全的因素。

互聯(lián)網(wǎng)域名安全管理：

1、域名服務是網(wǎng)絡基礎服務。主要是指從事域名根服務器運行和管理、頂級域名運行和管理、域名注冊、域名解析等活動。域名系統(tǒng)出現(xiàn)網(wǎng)絡與信息安全事件時，應當在24小時內向電信管理機構報告。

2、域名是政府網(wǎng)站的基本組成部分和重要標識。網(wǎng)站要加強域名解析安全防護和域名監(jiān)測處置，積極采取域名系統(tǒng)(DNS)安全協(xié)議技術，抗攻擊技術等措施，防止域名被劫持，確保域名解析安全。自建網(wǎng)站服務器不得隨意放在境外，服用網(wǎng)絡虛擬空間應位于中國境內，使用內容分發(fā)網(wǎng)絡CDN服務的，其域名解析地址需要指向境內節(jié)點。

工業(yè)控制信息安全制度：工業(yè)控制信息安全相關政策文件及標準規(guī)范(官方教材18頁，表1-5)

個人信息和重要數(shù)據(jù)保護制度：個人信息和重要數(shù)據(jù)保護政策文件及標準規(guī)范(官方教材18頁，表1-6)

網(wǎng)絡安全標準規(guī)范與測評：全國信息安全標準化技術委員會是從事信息安全標準化工作的技術工作組織。

網(wǎng)絡安全事件與應急響應制度：國家計算機網(wǎng)絡應急技術處理協(xié)調中心(簡稱“國家互聯(lián)網(wǎng)應急中心”，英文縮寫為CNCERT或CNCERT/CC)是中國計算機網(wǎng)絡應急處理體系中的牽頭單位，是國家級應急中心。

【考點相關真題演練】：

為確保關鍵信息基礎設施供應鏈安全，維護國家安全，依據(jù)()，2020年4月27日，國家互聯(lián)網(wǎng)信息辦公室等12個部門聯(lián)合發(fā)布了《網(wǎng)絡安全審查辦法》，該辦法自2020年6月1日實施，將重點評估采購網(wǎng)絡產(chǎn)品和服務可能帶來的國家安全風險。

A.《中華人民共和國國家安全法》和《中華人民共和國網(wǎng)絡安全法》

B.《中華人民共和國國家保密法》和《中華人民共和國網(wǎng)絡安全法》

C.《中華人民共和國國家安全法》和《網(wǎng)絡安全等級保護條例》

D.《中華人民共和國國家安全法》和《中華人民共和國國家保密法》

【信管網(wǎng)參考答案】A

【查看解析】m.xomuzic.com/st/5017515860.html

我國信息系統(tǒng)安全等級保護工作環(huán)節(jié)依次是()

A、定級-檢查-建設整改-等級測評-備案

B、等級測評-建設整改-監(jiān)督檢查

C、定級-備案-建設整改-等級測評-監(jiān)督檢查

D、定級-等級測評-備案-建設整改-監(jiān)督檢查

【信管網(wǎng)參考答案】C

【查看解析】m.xomuzic.com/st/2718115309.html

2019年10月26日，十三屆全國人大常委會第十四次會議表決通過了《中華人民共和國密碼法》，該法律自()起施行。

A.2020年10月1日

B.2020年12月1日

C.2020年1月1日

D.2020年7月1日

【信管網(wǎng)參考答案】C

【查看解析】m.xomuzic.com/st/5017117038.html

相關閱讀：信息安全工程師考試大綱(第2版)