《网络安全法》期末复习
《网络安全法》期末复习
by尔康康康康
为了方便自己复习将《网络安全法教程》(夏燕)这本书的重点整理了一下,当然内容有所缺漏,仅适合期末几天速成使用😄
第一章-网络与网络安全基础
1.一些定义与概念
将“网络”定义为“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”
网络体系即为了完成计算机之间的通信合作,将互联功能划分为有明确定义的各个层,并规定同层的进程通信协议,以及相邻层之间的接口和所提供的服务。
计算机网络体系结构,由高到低分为:物理层,数据链路层,网络层,传输层,会话层,表示层和应用层
网络安全定义为:通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力
2.网络安全基本特征
(一)保密性
保密性是指网络信息不泄露给非授权用户、实体,或供其利用的特性。保密性是保证网络信息安全的一个非常重要的手段,可以通过信息加密、身份认证、访问控制、安全通信协议等技术实现。信息加密是防止信息非法泄露的最基本的手段,主要强调有用信息只 被授权对象使用的特征。
(二)完整性
完整性是指网络信息未经授权不能进行改变的特性,即网络信息在存储和传输过程中 不被删除、修改、伪造、乱序、重放和插入等操作改变,保持信息的原样 (影响网络信息完整性的主要因素包括设备故障、误码、人为攻击以及计算机病毒等。
(三)可用性
可用性是指网络信息可被授权用户访问并按需求使用的特性。这里可用性包含两个含义:当授权用户访问网络时不致被拒绝;授权用户访问网络时要进行身份识别与确认,并且对用户的访问权限加以规定的限制。除了在系统运行时正确存取所需信息外,可用性还 指当系统遭受意外攻击或破时,可以迅速恢复并能投入使用。
(四)可控性
可控性要求能对信息的传播及内容具有控制能力,不允许不良内容通过公共网络进行传输。
(五)可审计性
可审计性指出现安全问题时能够提供依据与手段。通过对互联网和信息系统的工作过程进行详尽的审计跟踪,可以监控和捕提各种安全事件;保存、维护和管理审计日志,可以发现系统出现问题的据。
(六)不可抵赖性
不可抵赖性也称不可否认性,主要用于网络信息的交换过程,保证信息交换的参与者本身和所提供的信息真实同一性,即所有参与者都不可能否认或抵赖曾进行的操作,类似于发文或收文过程中的签名和签收过程。
(七)用户行为的可信性
用户行为指用户在使用网络服务过程中产生的浏览、点击、下载等行为,是用户使用网络服务的体现。在可信网络中,用户身份可信并不等同于用户行为可信,高可信用户也可能存在不可靠的、低可信的用户行为。用户行为的可信与否,涉及监控或阻止恶意用户的成本,也与网络资源的管理及有效利用有关。
第二章-网络空间安全战略
1.五大目标:
和平:信息技术滥用得到有效遏制,网络空间军备竞赛等威胁国际和平的活动得到有效控制,网络空间冲突得到有效防范。
安全:网络安全风险得到有效控制,国家网络安全保障体系健全完善,核心技术装备安全可控,网络和信息系统运行稳定可靠。网络安全人才满足需求,全社会的网络安全意识、基本防护技能和利用网络的信心大幅提升。
开放:信息技术标准、政策和市场开放、透明,产品流通和信息传播更加顺畅,数字鸿沟日益弥合。不分大小、强弱、贫富,世界各国特别是发展中国家都能分享发展机遇、共享发展成果、公平参与网络空间治理。
合作:世界各国在技术交流、打击网络恐怖和网络犯罪等领域的合作更加密切,多边、民主、透明的国际互联网治理体系健全完善,以合作共赢为核心的网络空间命运共同体逐步形成。
有序:公众在网络空间的知情权、参与权、表达权、监督权等合法权益得到充分保障,网络空间个人隐私获得有效保护,人权受到充分尊重。网络空间的国内和国际法律体系、标准规范逐步建立,网络空间实现依法有效治理,网络环境诚信、文明、健康,信息自由流动与维护国家安全、公共利益实现有机统一。
2.四大原则:
第一.尊重维护网络空间主权。网络空间主权不容侵犯,尊重各国自主选择发展道路、网络管理模式、互联网公共政策和平等参与国际网络空间治理的权利。
第二.和平利用网络空间。和平利用网络空间符合人类的共同利益。各国应遵守《联合国宪章》关于不得使用或威肠使用武力的原则,防止信息技术被用于与维护国际安全与稳定相悖的目的,共同抵制网络空间军备竞赛,防范网络空间冲突。
第三.依法治理网络空间。全面推进网络空间法治化,坚持依法治网、依法办网、依法上网,让互联网在法治轨道工健康运行。
第四.统筹网络安全与发展。没有网络安全就没有国家安全,没有信息化就没有现代化。网络安全和信息化是一体之两翼、驱动之双轮。正确处理发展和安全的关系,坚持以安全保发展,以发展促全。
3.九大战略任务:
- 坚定捍卫网络空间主权
- 坚决维护国家安全
- 保护关键信息基础设施
- 加强网络文化建设
- 打击网络恐怖和违法犯罪
- 完善网络治理体系
- 夯实网络安全基础
- 提升网络空间防护能力
- 强化网络空间国际合作
4.网络空间安全战略的意义
第一,国家网络空间安全战略是国家管理网络意志的最高体现。
第二,国家网络空间安全战略是国家安全战略的重要组成部分。
第三,网络空间安全战略是维护网络空间主权,发展网络空间合作关系的重要宣言。
第三章-《网络安全法》概述
1.谈谈对《网络安全法》的认识
(一)立法背景:
(1)时代背景
当前我国面临的国内和国际信息安全形势相当复杂和严峻,境外敌对势力的网络浸透日益泛化,国内各种极端势力进行的网络恐怖活动及社会矛盾交融所产生的国家安全和社会稳定任务更加迫切。“多网域跨际”和“供应链渗透”威胁着能源、通信、金融、工业等国家关键基础设施的安全。大数据挖掘和数据跨境流动广泛融入现代商业的发展模式中,给涉及我国商业运行数据、公民个人敏感数据等国家数据主权,特别是国家独立的司法权力架构带来了结构性的挑战。 在这样的形势下制定《网络安全法》是适应我国网络安全工作新形势、新任务,落实中央决策部署,保障网络安全和发展利益的重大举措,是落实国家总体安全观的重要举措。
(2)国际背景
国际层面,和平与发展仍然是当今时代的主题,但随着世界政治多极化、经济全球化、文化多样化、社会信息化的深入发展,国家间的竞争空前激烈,传统安全问题与非传统安全问题交织,国际关系复杂程度前所未有。网络空间已成为各国竞争与博弈的新领域,其安全性与战略性已成为各国关注的重点。为了应对这种局面,各国纷纷加大了对网络安全治理与立法的力度,网络安全相关法案相继出台。
(二)立法意义
《网络安全法》是国家安全法律制度体系中的重要组成部分,是网络安全领域的基础性大法,对于确立我国网络安全基本管理制度具有里程碑式的重要义。 《网络安全法》的出台有助于我国网络空间安全战略和重要领域安全规划的法治化建设,有助于推进我国与其他国家或组织就网络安全问题展开有效的战略博弈,有助于公民个人信息保护进入正轨,有助于打击网络暴力、网络谣言、网络欺诈等网络违法犯罪行为,为我国“互联网+”的长远发展保驾护航。
立法时间:2016年11月7日
发展历程:
1.第一阶段:自由发展阶段(1997年以前)
2.第二阶段:探索治理阶段(1997-2013年)
3.第三阶段:战略法制阶段(2014年至今)
三大法律原则:
1.网络安全主权原则
2.网络安全与信息化发展并重原则
3.共同治理原则
10类网络法律制度+16种处罚措施
配套立法:
1.《中华人民共和国测绘法》
2.《中华人民共和国电子商务法》
3.《中华人民共和国密码法》
4.《未成年人网络保护条例》
配套法规:一系列
与已有立法衔接:《国家安全法》《反恐怖主义法》《刑法》《中华人民共和国治安管理处罚法》
第四章-网络空间主权制度
1.网络空间主权概念
网络空间主权,是指一个国家在建设、运营、维护和使用网络,以及在网络安全的监督管理方面所拥有的自主决定权。网络空间主权是国家主权在网络空间中的自然延伸和表现,是国家主权的重要组成部分。作为国家主权的延伸和表现,网络空间主权集中体现了国家在网络空间可以独立自主地处理内外事务,享有在网络空间的管辖权、独立权、自卫权和平等权等权利。
2.构建我国网络空间主权应当采取什么样的措施?
1.在技术上构建中立的网络基础措施
2.在管理上界定网络管辖权的范围
3.在军事上构建防卫网络安全机制
4.在法律上确定网络空间主权体系
5.国际层面
(1)发展网络空间共治权力
①平等参与网络空间治理
②共同利用网络空间
(2)制定公平科学的网络空间国际规则
第五章-网络安全支持与促进
1.我国还可以从哪些方面进一步促进网络安全产业发展?谈谈你的想法?
第六章-网络运行安全一般规定
1.简述网络安全等级保护制度的主要内容
概念:网络安全等级保护制度是指国家对在中华人民共和国境内建设、运营、维护、使用的网络,实施分等级保护、分等级监管的法律制度。
基本要求:
1.所有网络每年至少进行一次自查,发现风险后整改并报告
2.拟定级在第二级及以上的网络实行专家评审和备案制。
3.对第三级及以上网络实行强制测评制度,监测预警和信息通报制度,同时要求制定应急响应预案和应急响应报告制
第七章-关键信息基础设施安全
1.关键信息基础设施概念
国家关键信息基础设施是指关系国家安全、国际民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设备
2.我国关键信息基础措施的保护框架
1.编制关键信息基础设施安全规划
2.建设关键信息基础设施“三同步”制度
3.规定关键信息基础设施运营者的安全保护义务
4.建立关键信息基础设施运营者采购的网络安全审查制度
5.建立信息基础设施运营者采购的保密协议制度
6.建立数据本地存储制度
7.建立定期检测评估制度
3.我国关键信息基础设施运营者的安全保护义务
1.设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
2.定期对从业人员进行网络安全教育、技术培训和技术考核;
3.对重要系统和数据库进行灾容备份;
4.制定网络安全事件应急预案,并定期进行演练;
5.法律、行政法规规定的其他义务
第八章-数据本地化与数据跨境流动
1.数据本地化的意义
1.数据本地化立法(政策)捍卫国家政治安全
2.数据本地化立法(政策)保障国民财产与人身安全
2.数据本地化的模式
1.要求数据中心建在境内
2.禁止数据离境
3.对数据出口征税
3.《网络安全法》第三十七条
原文:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
释义:该法条包含三层含义,第一,规制主体是关键信息基础设施的运营者。关键信息基础设施的运营者指主要涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等基础设施的运营者。第二,条文涉及数据并不是所有的数据,只限于个人信息和重要数据。这里的重要数据是对国家而言,而不是针对企业和个人。第三,确立数据跨境流动的安全评估机制。如果因业务需要,需要数据境外跨境流动时,应当按照网信主管部决门制定的办法进行安全评估。
第九章-网络信息内容安全与管理
无重要考点
第十章-个人信息保护
1.个人信息核心要素:关联,识别
1.个人信息可以识别出特定主体
2.个人信息并不必然为信息主体知悉
3.个人信息是自然人的数据信息
4.个人信息形式上是客观存在的
5.具有明显的非物质特征
2.个人信息权
个人信息权是指信息主体对其信息享有占有,使用,收益,处分,并有权防止他人侵害的权利
3.个人信息收集原则
(1)遵循合法、正当和必要原则。
(2)符合公正透明原则。
(3)满足选择同意原则。
4.个人信息删除权的行使
根据《信息安全技术个人信息安全规范》第7.6条的规定,就个人信息控制者而言:
第一,符合以下情形的,个人信息主体要求删除的,应及时删除个人信息:个人信息控制者违反法律法规规定,收集、使用个人信息的;个人信息控制者违反与个人信息主体的约定,收集、使用个人信息的。
第二,个人信息控制者违反法律法规规定或违反与个人信息主体的约定向第三方共享、转让个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止共享、转让行为,并通知第三方及时删除。
第三,个人信息控制者违反法律法规规定或与个人信息主体的约定,公开披露个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止公开披露行为,并发布通知要求相关接收方删除相应的信息。
5.个人信息更正权的行使
根据《信息安全技术个人信息安全规范》第7.5条的规定,个人信息更正权行使的方法须由个人信息控制者提供,即个人信息主体发现个人信息控制者所持有的该主体的个人信息有错误或不完整的,个人信息控制者应为其提供请求更正或补充信息的方法。在《信息安全技术个人信息安全规范》附录D隐私政策模板中列举了更正个人信息更正的规范表达:“当您发现我们处理的关于您的个人信息有错误时,您有权要求我们做出更正。您可以通过‘(一)访问您的个人信息’中罗列的方式提出更正申请。如果您无法通过上述链接更正这些个人信息,您可以随时使用我们的Web表单联系,或发送电子邮件至××××。我们将在30天内回复您的更正请求。”
第十一章-网络安全监测预警与应急处理制度
1.网络安全事件应急处置流程
事件报告→应急响应→应急结束→调查评估
2.网络安全事件应急处置组织机构与职责是什么?
1.领导机构与职责
在中央网络安全和信息化领导小组的领导下,中央网络安全和信息化领导小组办公室统筹协调组织国家网络安全事件应对工作,建立健全跨部门联动处置机制;工业和信息化部、公安部、国家保密局等相关部门按照职责分工负责相关网络安全事件应对工作。必要时成立国家网络安全事件应急指挥部,负责特别重大网络安全事件处置的组织指挥和协调。
2.办事机构与职责
国家网络安全应急办公室(应急办)设在中央网信办,具体工作由中央网信办网络安全协调局承担。应急办负责网络安全应急跨部门、跨地区协调工作和指挥部的事务性工作,组织指导国家网络安全应急技术支撑队伍做好应急处置的技术支撑工作。有关部门派负责相关工作的司局级同志为联络员,联络应急办工作。
3.各部门职责
中央和国家机关各部门按照职责和权限,负责本部门、本行业网络和信息系统网络安全事件的应急处置工作。
4.各省(自治区、直辖市)职责
各省(自治区、直辖市)网信部门在本地区党委网络安全和信息化领导小组统一领导下,统筹协调组织本地区网络和信息系统网络安全事件的应急处置工作。
3.网络通信临时管制措施实施的条件是什么?(详细见P253)
(1)维护国家安全和社会稳定需要
(2)经国务院决定或批准
(3)实施区域特定
第十二章-未成年人网络安全保护
1.未成年人保护基本概念
(1)保护的对象是未成年人
(2)保护的内容是保护未成年人免受网络侵害
(3)保护的机制是综合保护与协同治理
2.阐释当前未成年人网络安全保护针对哪些具体问题
(1)上网权力保障问题
(2)网络内容筛选问题
(3)网络沉迷预防问题
(4)个人信息保护问题
3.归纳域外国家与地区关于未成年网络安全保护的重要经验
(1)治理理念:疏堵兼治
(2)制度设计:法律与政策并用
(3)保护维度:全面防护
4.论述将来我国未成年人网络安全保护理念及措施完善内容
(1)战略规划:将未成年人网络保护提升为网络空间安全战略
(2)理念倡导:吸收并倡导未成年人网络安全保护的主流理念
(3)立法先行:日益强化未成年人网络安全保护专门立法策略
(4)教育投入:不断深化未成年人网络素养教育多元协同体系
(5)组织创设:组建未成年人网络安全保护的文明志愿者队伍
(6)社会治理:有效构建未成年人网络安全保护的社会治理机制
(7)国际合作:开展未成年人网络安全保护的国际交流合作
第十三章-网络安全技术标准
1.网络安全技术标准的意义(P296)
(1)网络安全法律体系的重要组成部分
(2)保障网络安全的重要技术规范
(3)网络安全监管执法的重要依据
2.网络安全技术标准的应用
(1)网络产品和服务提供商
对于在我国境内生产经营的网络产品和服务提供商而言,务必保证所提供的网络产品和服务完全符合国家的强制性标准;如果想要把网络产品和服务打进国际市场,就必须要符合相应的国际标准,此外,网络运营者如果参与网络安全标准的制定、通过相关的网络安全认证,也更容易获得用户信任,提高厂商形象,扩大市场份额。
(2)管理人员
当政府,企业需要建立和实施信息安全管理体系时,管理人员可以移植改造国际上已经非常成熟的信息安全管理体系
(3)技术人员
对于技术人员而言,在企业需要进行网络安全合规或者接收网络安全产品评测,网络安全检查和审计时,必然要对相关的网络安全技术标准熟悉明了,才能够完成好工作。同时,了解信息安全标准的动态可以站在信息安全产业的前沿,有助于技术人员把握信息安全产业整体的发展方向。
(4)采购人员或普通大众
有助于采购人员和普通大众选择更好的安全产品,了解评测标准则可以科学评估系统的安全性。