一、网络信息安全法律与政策文件:涉及国家安全、网络安全战略、网络安全保护制度、密码管理、技术产品、域名服务、数据保护、安全测评等 各个方面。
《中华人民共和国国家安全法》于2015年7月1日通过,当日公布实施。
《中华人民共和国网络安全法》由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,自2017年6月1日实施。
(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(2)采取防范计算机病毒和网络攻击、网络侵入等危害安全行为的技术措施;
(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(4)采取数据分类、重要数据备份和加密等措施;
《网络安全等级保护2.0》于2019年12月1日实施。
《中华人民共和国密码法》于2020年1月1日实施。
《中华人民共和国数据安全法》于2021年9月1日实施。
二、为提高网络产品和服务的安全可控水平,防范网络安全风险,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,制定了《网络产品和服务安全审查办法》重点评估采购的产品和服务可能带来的国家安全风险。
(1)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、汇露、毁损风险;
(2)产品和服务供应中断对关键信息基础业务连续性的危害;
(3)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因政治、外交、贸易等因素导致供应中断的风险;
(4)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(5)其他可能危害关键信息基础设施安全和国家安全的因素。
1.中国网络安全审查技术与认证中心(CCRC,原中国信息安全认证中心)是负责实施网络安全审查和认证的专门机构。发布《网络关键设备和网络安全专用产品目录》,包含:路由器、交换机、服务器、防火墙、IDS/IPS、WAF、网闸等。
2.入网许可证标志是加贴在已获得进网许可的国内电信设备上(除香港,澳门,台湾外)的质量标志。由信息产业部(现工信部电信设备认证中心)统一印制和核发。
3.SRRC是国家无线电管理委员会强制认证要求,自 1999 年 6 月 1 日起,中国信息产业部 (Ministry of Information Industry, MII) 强制规定,所有在中国境内销售及使用的无线电组件产品,必须取得无线电型号的核准认证 (Radio Type Approval Certification)。
三、国家密码管理制度
《中华人民共和国密码法》由全国人民代表大会常务委员会发布,于2020年1月1日实施。
四、网络安全等级保护
网络安全等级保护的主要工作可以概括为定级、备案、建设整改、等级测评、运营维护。
(1)定级:确认定级对象、确定合适级别,通过专家评审和主管部门审核;
(2)备案:按等级保护管理规定准备备案材料,到当地公安机关备案和审核;
(3)建设整改:依据相应等级要求对当前保护对象的实际情况进行差距分析,针对不符合项结合行业要求对保护对象进行整改,建设符合等级要求的安全技术和管理体系;
(4)等级测评:等级保护测评机构依据相应等级要求,对定级的保护对象进行测评,并出具相应的等级保护测评证书;
(5)运营维护:等级保护运营主体按照相应等级要求,对保护对象的安全相关事宜进行监督管理。
五、网络信息安全部门
中国网络安全审查技术与认证中心(CCRC,原中国信息安全认证中心)是负责实施网络安全审查和认证的专门机构。
域名服务是网络基础服务,该服务主要是指从事域名根服务器运行和管理、顶级域名运行和管理、域名注册、域名解析等活 动,域名系统出现网络与信息安全事件时,应当在24小时内向电信管理机构报告,域名是政府网站的基本组成部分和重要身份标识。
国家计算机网络应急技术处理协调中心(CNCERT或CNCERT/CC)是中国计算机网络应急处理体系中的牵头单位,是国家级应急中心,主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网络安全事件的预防、发现、预警和协调处置等工作,维护公共互联网安全,保证关键信息基础设施的安全运行。
网络信息安全科技信息获取来源主要有网络安全会议、网络安全期刊、网络安全网站、网络安全术语等。
网络信息安全领域四大顶级学术会议是:S&P、CCS、NDSS、USENIX Security。
六、网络信息安全术语
网络信息安全术语是获取网络安全知识和技术的重要途径,常见的网络安全术语可以分成基础技术类、风险评估技术类、防护技术类、检测技术类、响应恢复技术类、测评技术类等。
(1)基础技术类:加密(encryption)、解密(decryption)、非对称加密算法(asymmetric cryptographicalgorithm)、公钥加密算法(public key crytographic algorithm)、公钥(public key)等。
(2)风险评估技术类:拒绝服务(Denial of Service)、分布式拒绝服务(Distributed Denial of Service)、网页篡改(Website Distortion)、网页仿冒(Phishing)、网页挂马(Website Malicious Code)、域名劫持(DNSHijack)、路由劫持(Routing Hijack)、垃圾邮件(Spam)、恶意代码(Malicious Code)、特洛伊木马(Trojan Horse)、网络蠕虫(Network Worm)、僵尸网络(BotNet)等。
(3)防护技术类:访问控制(Access Control)、防火墙(Firewall)、入侵防御系统(Intrusion Prevention System)等。
(4)检测技术类:入侵检测(Intrusion )、漏洞扫描(Vulnerability Scanning)等。
(5)响应/恢复技术类:应急响应(Emergency Response)、灾难恢复(Disaster Recovery)、备份(Backup)等。
(6)测评技术类:黑盒测试(Black Box Testing)、白盒测试(White Box Testing)、灰盒测试(Gray Box Testing)、渗透测试(Penetration Testing)、模糊测试(Fuzz Testing)。