信息安全工程师考点-网络安全法律与标准
网络安全法律与标准
信息安全法律法规
信息安全法律法规体系
我国信息安全法规体系可以分为四层
| 法律层次 | 具体对应的法律法规 |
|---|---|
| 一般性法律规定 | 《中华人民共和国宪法》《中华人民共和国国家安全法》《中华人民共和国保守国家秘密法》《中华人民共和国治安管理处罚条例》虽然没有专门针对信息安全的条款,但约束了信息安全的相关行为 |
| 规范和惩罚信息网络犯罪的法律 | 《中华人民共和国刑法》《全国人大常委会关于维护互联网安全的决定》 |
| 直接针对信息安全的特别规定 | 《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国电信条例》《中华人民共和国计算机信息网络国际联网管理暂行规定》《计算机信息网络国际联网安全保护管理办法》 |
| 具体信息安全技术和信息安全管理的具体规范 | 《商用密码管理条例》《计算机病毒防治管理办法》《计算机软件保护条例》《中华人民共和国电子签名法》《金融机构计算机信息系统安全保护工作暂行规定》《计算机信息系统国际联网保密管理规定》 |
安全法规
-
安全法规相关知识点:
- 《中华人民共和国刑法》对计算机犯罪规定
- 刑法追责的四类行为
- 《中华人民共和国网络安全法》
- 《中华人民共和国计算机信息安全保护条例》
- 《中华人民共和国计算机信息系统安全保护条例》
- 其他安全法律法规
-
《中华人民共和国网络安全法》由全国人民代表大会常务委员会于2016年11月7日发布,自2017年6月1日起施行
-
《中华人民共和国网络安全法》规定:
-
国家网信部门负责统筹协调网络安全工作和相关监督工作,国务院电信主管部门、公安部门和其他有关机关依法在各自职责范围内负责网络安全保护和监督管理工作。
-
因维护国家安全和社会公共秩序,处置重大社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通讯采取限制等临时措施
-
计算机犯罪的特征:
- 隐蔽性强
- 高智能性
- 破坏性强
- 无传统犯罪现场
- 侦查和取证困难
- 公众对计算机犯罪认识不如传统犯罪
- 诱导性强
- 常是跨国犯罪
-
计算机取证的特点
- 在犯罪进行中或者之后,开始收集证据
- 取证需要重构犯罪行为
- 为诉讼提供证据
- 网络取证困难,且完全依赖所保护信息的质量
- 为保证调查工具的完整性,需要对所有工具进行MD5的校验
-
国家密码分类
- 核心密码:国家及军队重要信息系统使用
- 普通密码:非核心,非商用
- 商用密码:非核心,商用活动使用
安全政策
- 等保五级:
- 用户自主保护级:不损失国家、社会和公共
- 系统审计保护级:不损失国家、社会和公共轻微损伤
- 安全标记保护级:国家、社会和公共造成损害
- 结构化保护级:国家、社会和公共造成严重损害
- 访问验证保护级:国家、社会和公共造成特别严重损害
信息安全标准
标准体系
- 按照《中华人民共和国标准化法》,标准体系分为四层
- 国家标准
- 行业标准
- 地方标准
- 企业标准
- 《国家标准化指导性技术文件管理规定》,补充了一种“国家标准化指导性技术文件”
- 国家标准代号:
- 强制性标准:GB
- 推荐性标准:GB/T
- 指导性标准:GB/Z
- 实物性标准:GSB
- 行业标准代号:汉语拼音大写字母组成
- 地方标准代号:由DB加省级行政区划代码的前两位
- 企业标准代号:由Q加上企业代号
标准化组织
- SC27(信息安全通用方法及技术标准化工作的分技术委员会)下设三个小组
- WG1:需求、安全服务及指南工作组。
- WG2:安全技术与机制工作组。
- WG3:安全评估准则工作组。
信息安全管理标准
- 信息安全管理标准分为:
- 信息安全管理体系
- 技术与工程类标准