Views: 0

第一章课程重点

网络安全概述：

1. 相关法律法规：《中华人民共和国网络安全法》于 2016 年 11 月 7 日发布，自 2017 年 6 月 1 日起施行，是我国第一部全面规范网络空间安全管理方面问题的基础性法律，与其他现行法律法规共同构成中国关于网络安全管理的法律体系。
2. 安全体系：根据 ISO/IEC7498 – 2，在 OSI 参考模型中增设了安全服务、安全机制和安全管理，定义了 5 大类安全服务，提供这些服务的 8 大类安全机制和相应的安全管理。
3. 安全标准：网络安全等级保护是基本制度、基本国策、基本方法，等级保护 2.0 标准体系包括多个相关标准，等级保护主要工作流程包括定级、备案、建设整改、等级评测。
4. 安全目标：保障网络安全的基本目标包括隐患发现能力、应急反应能力、信息对抗能力等。

网络安全概念：

1. 安全模型：包括 P2DR 安全模型、PDRR 安全模型、MPDRR 安全模型等。
2. 安全体系：网络安全三维模型包括应用层、表示层、会话层、传输层、网络层、链路层、物理层的安全服务和安全机制，以及安全管理。
3. 安全标准：网络安全等级保护 2.0 是重要标准，其发展历程包括政策环境营造、工作开展准备、工作正式启动、工作规模推进等阶段，2019 年 12 月 1 日正式实施，标准体系包括多个相关标准，并进行了改进。

常见的安全威胁与攻击：

1. 系统自身的脆弱性：硬件系统可能存在物理安全问题，软件系统的安全隐患源于设计和软件工程中的问题，网络和通信协议可能缺乏用户身份鉴别机制、路由协议鉴别机制、保密性等。
2. 面临的安全威胁：包括非授权访问、信息泄露或丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒、云安全威胁等。
3. 威胁和攻击的来源：包括内部操作不当、内部管理漏洞、来自外部的威胁与犯罪等。

网络安全的现状与发展趋势：

• 现状：信息与网络安全的防护能力弱，人们的信息安全意识薄弱，基础信息产业薄弱，核心技术有待提高，信息犯罪在我国有发展蔓延的趋势，我国信息安全人才培养还远远不能满足需求。
• 发展趋势：针对通用软硬件的漏洞问题、黑客攻击与病毒、窃取数据等威胁采取不同的防护措施和解决方法，包括解决通用软硬件漏洞问题、应对网络攻击综合化、保护用户机密数据等。

课程训练

一、填空题

1. 《中华人民共和国网络安全法》由全国人民代表大会常务委员会于2016 年 11 月 7 日发布，自2017年 6 月 1 日起施行。
2. 网络安全等级保护是基本制度、基本国策、基本方法，等级保护 2.0 时代，将根据信息技术发展应用和网络安全态势，不断丰富制度内涵、拓展保护范围、完善监管措施，逐步健全网络安全等级保护制度政策、标准和支撑体系，等级保护上升为法律。
3. 国际标准化组织（ISO）7498 – 2 安全体系结构文献定义，安全就是最小化资产和资源的漏洞。
4. P2DR 安全模型包括策略、防护、检测、响应四个部分。
   • Policy（策略）、Protection（防护）、Detection（检测）、Response（响应）
5. 网络安全等级保护 2.0 标准体系中，《信息安全等级保护基本要求》改为《网络安全等级保护基本要求》，对象由原来的 “信息系统” 改为 “等级保护对象”。

二、选择题

1 以下关于《网络安全法》的说法，错误的是（ C）
A. 是我国第一部全面规范网络空间安全管理方面问题的基础性法律
B. 将成熟的政策规定和措施上升为法律，为网络安全工作提供了法律依据
C. 只适用于境内建设、运营维护和使用网络的行为
D. 规定了国家网络安全工作的基本原则、主要任务和重大指导思想、理念

《网络安全法》适用于在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理。

2 网络安全等级保护 2.0 标准体系中，不包括以下哪个标准（ D）
A. 《网络安全等级测评机构能力要求和评估规范》
B. 《网络安全等级保护安全管理中心技术要求》
C. 《网络安全等级保护测试评估技术指南》
D. 《网络安全等级保护实施指南》

《网络安全等级保护实施指南》不属于等级保护2.0 标准体系。

3 以下不属于网络安全三维模型中安全服务的是（ D）
A. 鉴别服务
B. 访问控制服务
C. 数据完整性服务
D. 数据加密服务

数据加密是安全机制，不是安全服务。

4 等级保护 2.0 时代，等级保护对象将不断拓展，包括（ A）
A. 云计算、移动互联网、物联网、工业控制系统
B. 仅云计算、移动互联网
C. 仅物联网、工业控制系统
D. 以上都不对

等级保护2.0 时代，等级保护对象将不断拓展，包括云计算、移动互联网、物联网、工业控制系统等。

5 以下不属于网络面临的安全威胁的是（C）
A. 非授权访问
B. 信息泄露或丢失
C. 数据备份
D. 拒绝服务攻击

数据备份不属于网络面临的安全威胁，而是一种数据保护措施。

三、判断题

1 网络安全等级保护 1.0 标准以《GB17859 计算机信息系统安全保护等级划分准则》、《GB/T22239 – 2008 信息安全技术 信息系统安全等级保护基本要求》（2007 年发布）为代表。（√ ）

2 等级保护二、三级关键点说明中，三级要求技术方面增加了网络恶意代码防范、剩余信息保护、抗抵赖等要求。（ √）

3 云平台的安全保护等级可以低于所承载信息系统的安全保护等级。（ ×）

云平台的安全保护等级不能低于所承载信息系统的安全保护等级。

4 网络安全的发展趋势包括解决通用软硬件漏洞问题、应对网络攻击综合化、保护用户机密数据等。（√ ）

5 内部操作不当、内部管理漏洞、来自外部的威胁与犯罪是威胁和攻击的主要来源。（√）

四、简答题

1 简述网络安全的概念。

网络安全是指网络系统的硬件、软件及系统中的数据受到保护，不受偶然的或者恶意的因素影响而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。

2 简述 P2DR 安全模型的主要内容。

P2DR 安全模型包括Policy（策略）、Protection（防护）、Detection（检测）、Response（响应）四个部分。策略是模型的核心，它根据安全需求制定各种安全策略；防护是根据策略采取的防护措施，如防火墙、加密等；检测是实时监测网络活动，检测是否存在安全漏洞和攻击行为；响应是在检测到安全漏洞或攻击事件后，及时采取有效的处理措施，如报警、阻断等。

3 简述等级保护 2.0 的发展历程与展望。

发展历程：

• 1994 年，国务院颁布《中华人民共和国计算机信息系统安全保护条例》，规定计算机信息系统实行安全等级保护。
• 2003 年，中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》中明确指出 “实行信息安全等级保护”。
• 2004 – 2006 年，公安部联合四部委开展等级保护基础调查和等级保护试点工作，为全面开展等级保护工作奠定基础。
• 2007 年 6 月，四部门联合出台《信息安全等级保护管理办法》。
• 2007 年 7 月，四部门联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》。
• 2007 年 7 月 20 日，召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议，标志着信息安全等级保护制度正式开始实施。
• 2010 年 4 月，公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》，提出等级保护工作的阶段性目标。
• 2010 年 12 月，公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息安全等级保护工作的通知》，要求贯彻执行等级保护工作。
• 2016 年 10 月 10 日，第五届全国信息安全等级保护技术大召开，公安部网络安全保卫局郭启全总工指出 “国家对网络安全等级保护制度提出了新的要求，等级保护制度已进入 2.0 时代”。
• 2016 年 11 月 7 日，《中华人民共和国网络安全法》正式颁布，第 21 条明确 “国家实行网络安全等级保护制度……”。
• 2017 年 1 月至 2 月，全国信息安全标准化技术委员会发布《网络安全等级保护基本要求》系列标准、《网络安全等级保护测评要求》系列标准等 “征求意见稿”。
• 2017 年 5 月，国家公安部发布《GA/T1389—2017 网络安全等级保护定级指南》、《GA/T1390.2—2017 网络安全等级保护基本要求第 2 部分：云计算安全扩展要求》等 4 个公共安全行业等级保护标准。
• 2019 年 12 月 1 日，网络安全等级保护 2.0 制度正式实施，简称等保 2.0。

展望：等级保护
2.0 时代，将根据信息技术发展应用和网络安全态势，不断丰富制度内涵、拓展保护范围、完善监管措施，逐步健全网络

4 简述网络安全面临的常见威胁有哪些。

5 简述我国网络安全的现状。

五、综合分析题

1 结合实际情况，谈谈你在日常生活学习中需要注意的有关网络安全的事项。

2 通过网信办官网搜索 “中国互联网网络安全报告”，了解我国互联网网络安全的现状，分析当前网络安全面临的主要挑战，并提出相应的解决措施。