信息安全法律法规复习提纲

知识点复习1. 根据《信息安全等级保护管理方法》，信息系统的主管部门应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。

2. 我国在信息系统安全保护方面《中华人民共和国计算机信息系统安全保护条例》是最早制定的一部法规，也是最基本的一部法规。

3. 二级信息系统，适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。

例如小的局域网，非涉及秘密、敏感信息的办公系统等。

4. 等级保护是国家信息安全保障工作的基本制度、基本国策；是开展信息安全工作的基本方法；是促进信息化、维护国家信息安全的根本保障。

5. 防火墙可以检查进出内部网的通信量；可以使用应用网关技术在应用层上建立协议过滤和转发功能；可以使用过滤技术在网络层对数据包进行选择；可以防范通过它的恶意连接。

6. 信息安全等级保护工作直接作用的具体的信息和信息系统称为等级保护对象。

7. 信息系统建设完成后，二级以上的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。

8. 信息安全经历了通信保密阶段、信息安全阶段、安全保障阶段三个发展阶段。

9. 安全保障阶段中将信息安全体系归结为保护、检测、响应、恢复四个主要环节。

实用文档10. 网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为，这破坏了信息安全的完整性属性。

11. 《计算机信息系统安全保护条例》是由中华人民共和国国务院令第147号发布的。

12. 计算机病毒最本质的特性是破坏性。

13. 安全管理中采用的―职位轮换或者―强制休假办法是为了发现特定的岗位人员是否存在违规操作行为，属于检测控制措施。

14. 等级保护标准GB l7859主要是参考了美国TCSEC而提出。

15. 信息安全等级保护的5个级别中，专控保护级是最高级别，属于关系到国计民生的最关键信息系统的保护。

16. 公钥密码基础设施PKI解决了信息系统中的身份信任问题。

信息安全与法规复习要点和提纲1. 信息（又称作讯息），通常以文字或声音、图象和动作的形式来表现，是数据按有意义的关联排列的结果。

通常情况下，信息可理解为消息、信号、数据、情报和知识。

2. 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。

3.立法权就是制定、修改和废止法律的权力，可以分为两大类：一是制定和修改宪法的权力；二是制定和修改普通法律的权力。

5.标准是对重复性事物和概念所做的统一规定。

它以科学、技术和实践经验的综合成果为基础，经有关方面协调一致，由主管机构批准，以特定形式发布，作为共同遵守的准则和依据。

6信息可理解为消息、信号、数据、情报和知识。

7信息安全是指信息网络的硬件、软件及其系统中的数据受到保护。

8信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。

9保障信息安全的三大支柱是信息安全技术、信息安全法规、信息安全标准。

10根据立法权主体和形式的不同，我国立法权可分为国家立法权、地方立法权、行政立法权和授权立法权。

11立法权就是制定、修改和废止法律的权力。

12我国立法权的等级可以划分为国家立法权、行政立法权和地方立法权。

13我国司法组织的两大系统分别是人民法院和人民检察院。

14我国法院体系由最高人民法院、地方各级人民法院和专门人民法院组成。

15信息安全保护法律规范，主要包含命令性规范和禁止性规范两种。

16我国对信息系统安全的保护的三大体系分别是基本法律体系、政策法规体系和强制性技术标准体系。

17互联网信息服务分为经营性和非经营性两类。

18我国对标准可分为四级分别为国家标准、行业标准、地方标准和企业标准。

19标准的按性质可分为：技术标准、管理标准和工作标准。

信息安全工程师考点—信息安全法律法规在当今数字化时代，信息安全已成为至关重要的议题。

信息安全工程师不仅需要具备技术能力，还需要深入了解相关的法律法规，以确保在工作中遵循合法合规的原则，保护个人、企业和国家的信息资产。

以下将详细介绍信息安全法律法规的重要考点。

一、国内信息安全法律法规体系我国的信息安全法律法规体系日益完善，涵盖了多个领域和层面。

其中，《中华人民共和国网络安全法》是网络安全领域的基础性法律，明确了网络运营者的安全义务，规定了个人信息保护的原则和要求，以及对网络违法行为的处罚措施。

此外，《中华人民共和国刑法》中也有涉及信息安全的相关条款，如非法侵入计算机信息系统罪、破坏计算机信息系统罪等，对严重的信息安全犯罪行为予以严厉打击。

《中华人民共和国保守国家秘密法》则着重保护国家秘密的安全，规范了涉密信息的管理和保护措施。

二、个人信息保护相关法律法规个人信息保护是信息安全的重要方面。

《中华人民共和国个人信息保护法》明确了个人信息处理的规则，包括收集、存储、使用、加工、传输、提供、公开等环节。

规定了个人对其信息的权利，如知情权、决定权、查阅权、复制权、更正权、删除权等。

企业在处理个人信息时，必须遵循合法、正当、必要和诚信原则，采取相应的安全保护措施，防止个人信息泄露、篡改、丢失。

三、网络运营者的安全义务网络运营者在信息安全方面承担着重要的责任。

根据相关法律法规，网络运营者应当制定网络安全管理制度，落实网络安全保护责任。

他们需要采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防止网络数据泄露或者被窃取、篡改。

网络运营者还应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。

四、关键信息基础设施保护关键信息基础设施是国家经济社会运行的神经中枢，其安全至关重要。

相关法律法规明确了关键信息基础设施的范围和保护要求。

运营者应当建立健全网络安全保护制度和责任制，设置专门的安全管理机构和安全管理负责人，并对关键岗位人员进行安全背景审查。

网络安全法律法规重要知识点梳理1. 信息安全相关法律法规- 《网络安全法》：是我国网络安全领域的基本法律法规，对网络信息安全保护作出了规定。

- 《中华人民共和国刑法》：对犯罪行为进行了界定，包括网络犯罪行为。

- 《电信法》、《互联网信息服务管理办法》：对电信运营商和互联网信息服务提供商的网络安全管理进行了规范。

2. 个人信息保护法律法规- 《中华人民共和国个人信息保护法》(草案)：提出了对个人信息的收集、存储、使用和保护等方面的要求。

- 《网络安全法》：也对个人信息的保护作出了规定。

- 《电子商务法》：对电子商务平台在收集、处理和保护个人信息时的责任进行了规范。

3. 电子数据保护法律法规- 《电子商务法》：对电子数据的保护作出了要求，包括对数据的收集和使用的规定。

- 《网络安全法》：也针对电子数据的保护作出了规定，要求网络运营者对用户的个人信息和网络操作数据进行保护。

- 《中华人民共和国劳动合同法》：对雇主在处理员工电子数据时的义务作出了规定。

4. 网络安全监管机构- 《网络安全法》：设立了国家网络安全监管机构，负责网络安全的监督管理和事件处置工作。

- 公安机关：负责打击网络犯罪，维护网络安全。

- 工业和信息化部：负责互联网信息服务管理等方面的监管。

5. 网络安全违法行为和法律责任- 《网络安全法》：对网络安全违法行为作出了明确规定，如网络攻击、数据泄露等行为，并规定了相应的责任追究和处罚措施。

- 《中华人民共和国刑法》：对网络犯罪行为的刑事责任进行了规定。

- 相关法规：还有其他法律法规对网络安全违法行为和法律责任进行了规定。

6. 跨境数据传输和隐私保护- 《网络安全法》：规定了对跨境数据传输的管理要求，包括必须经过安全评估和备案等程序。

- 《个人信息安全评估办法》：进一步明确了跨境数据传输的评估和监管机制。

- 《通信保障条例》：对相关通信运营者对网络安全和用户隐私保护的义务进行了规定。

以上为网络安全法律法规的重要知识点梳理，希望对您有所帮助。

信息安全工程师考点—信息安全法律法规，希望对在备考信息安全工程师的考生有所帮助。

考点2、信息安全法律法规【考法分析】本考点主要是对信息安全相关法律法规的考查。

【要点分析】1．我国信息安全的法律体系可分为4个层面：①一般性法律规定；②规范和惩罚信息网络犯罪的法律；③针对信息安全的特别规定；④具体规范信息安全技术，信息安全管理等方面的法律法规。

2．计算机犯罪的明显特征：①隐秘性强；②高智能型；③破坏性强；④无传统犯罪现场；⑤侦查和取证困难；⑥公众对计算机犯罪认识不如传统犯罪清晰；⑦计算机犯罪的诱惑性强：技术性强，富于挑战性；⑧计算机犯罪经常是跨国犯罪。

3．计算机犯罪分为以下六类：①窃取和破坏计算机资产；②未经批准使用计算机信息系统资源；③未批准或超越权限接受计算机服务；④篡改或窃取计算机中保存的信息或文件；⑤计算机信息系统装入欺骗性数据和记录；⑥窃取或诈骗系统中的电子钱财。

4．互联网安全的刑事责任：①威胁互联网运行安全的行为；②威胁国家安全和社会稳定的行为；③威胁社会主义市场经济秩序和社会管理秩序的行为；④威胁个人，法人和其他组织的人身，财产等合法权利的行为。

5．网络安全问题日益凸显。

一是，网络入侵，二是非法获取，三是，宣扬恐怖主义，极端主义，煽动颠覆国家政权，推翻社会主义制度，以及淫秽色情等违法信息。

6．网络运营者应履行下列安全保护义务：①制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；②采取防范计算机病毒和网络攻击，网络入侵等危害网络安全行为的技术措施；③采取记录，跟踪网络运行状态，监测，记录网络安全事件的技术措施，并按照规定留存网络日志；④采取数据分类，重要数据备份和加密等措施；⑤法律，行政法规规定的其他义务。

7．对关键信息基础设施，应实行重点保护；网络安全，是指通过采取必要措施，防范对网络的攻击，入侵，干扰，破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络存储，传输，处理信息的完整性，保密性可用性的能力。

网络信息安全1.信息安全概述1.1信息安全的内容1.2信息安全问题产生的原因1.3信息安全的属性1.3.1可用性1.3.2机密性1.3.3完整性1.3.4可靠性1.3.5不可抵赖性2. 网络安全2.1网络安全本质2.2网络安全特征2.3网络安全要求2.3.1数据的保密性2.3.2数据的完整性2.3.3数据的可用性2.3.4数据的可控性2.4信息安全、计算机安全和网络安全的关系2.5网络信息安全现状3.网络信息安全的威胁3.1网络黑客3.1.1黑客概述3.1.2黑客攻击的步骤3.1.3黑客攻击的对象3.1.4黑客攻击的主要方法3.1.5防御黑客攻击的方法3.2计算机病毒3.2.1计算机病毒的定义3.2.2计算机病毒的特征3.2.3计算机病毒的分类3.2.4计算机病毒的检测与防治4.网络信息安全的防御4.1访问控制技术4.1.1自主访问控制（DAC）4.1.2强制访问控制（MAC）4.1.3角色访问控制（RBAC）4.2身份认证技术4.2.1身份认证的重要性4.2.2认证的五种信息4.3数据加密技术4.3.1加密4.3.2加密解密的过程4.3.3加密技术4.4防火墙4.4.1防火墙的概念4.4.2防火墙的功能与特性4.4.3防火墙的优缺点4.4.4防火墙的类型4.5入侵检测技术4.5.1入侵检测技术（TDS）的定义4.5.2 TDS的作用4.5.3 TDS的优缺点4.5.4 TDS的实现技术5．我国面临的网络信息安全问题与解决措施5.1网络间谍5.2我国机关单位存在的安全漏洞5.3 Phishing5.4如何防范。

注册信息工程师信息安全法律法规必背条
款
1. 《网络安全法》
- 计算机信息系统安全等级保护制度
- 关键信息基础设施安全保护制度
- 网络运营者安全保障义务
- 用户个人信息和重要数据的保护制度
- 常见网络攻击违法行为
2. 《个人信息保护法》
- 个人信息收集规则
- 个人信息安全保护
- 个人信息的处理规则
- 个人信息泄露、毁损、丢失的追究责任
- 个人信息的处理规则
3. 《数据安全法》
- 核心数据的国家重点保护
- 核心数据的产生、收集、存储、处理、使用、传输所遵循的
安全要求
- 数据安全风险评估和应对
- 数据安全管理制度
4. 《电信法》
- 电信业务经营者的安全保障义务和网络安全保障义务
- 电信业务经营者及其工作人员对用户个人信息保密和防篡改、破坏的义务
- 电信业务经营者严格保护用户个人信息的安全
5. 《计算机信息系统安全保护条例》
- 信息系统安全等级保护制度
- 信息系统安全建设和管理制度
- 信息系统安全检测、评估和加固要求
- 信息系统安全事件应急处置制度
以上是注册信息工程师必备的信息安全法律法规必背条款，建
议注册信息工程师要深入学习和理解这些条款，为工作中的信息安
全保护提供支撑和指导。

信息安全概论复习提纲第1章绪论1、信息安全的六个属性机密性、完整性、可用性、非否认性、真实性、可控性（前三者为经典CIA模型）机密性：能够确保敏感或机密数据的传输和存储不遭受未授权的浏览，甚至可以做到不暴露保密通信的事实。

完整性：能够保障被传输、接受或存储的数据是完整的和未被篡改的，在被篡改的情况下能够发现篡改的事实或者篡改的设置。

可用性：即在突发事件下，依然能够保障数据和服务的正常使用。

非否认性：能够保证信息系统的操作者或信息的处理者不能否认其行为或者处理结果，这可以防止参与某次操作或通信的一方事后否认该事件曾发生过。

真实性：真实性也称可认证性，能够确保实体身份或信息、信息来源的真实性。

可控性：能够保证掌握和控制信息与信息系统的基本情况，可对信息和信息系统的使用实施可靠的授权、审计、责任认定、传播源追踪和监管等控制。

2、从多个角度看待信息安全问题个人：隐私保护、公害事件企事业单位：知识产权保护、工作效率保障、不正当竞争军队、军工、涉密单位：失泄密、安全保密的技术强化运营商：网络运行质量、网络带宽占用（P2P流量控制）、大规模安全事件（DDOS、大规模木马病毒传播）、新商业模式冲击（非法VOIP、带宽私接）地方政府机关：敏感信息泄露、失泄密、网站篡改、与地方相关的网络舆情职能机关：案件侦破、网上反恐、情报收集、社会化管理国家层面：基础网络和重要信息系统的可用性、网上舆情监控与引导、失泄密问题、巩固政权、军事对抗、外交对抗、国际斗争3、威胁、脆弱点和控制（1）信息安全威胁(threat)：指某人、物、事件、方法或概念等因素对某信息资源或系统的安全使用可能造成的危害。

包括信息泄露、篡改、重放、假冒、否认、非授权使用、网络与系统攻击、恶意代码、灾害故障与人为破坏。

其他分类：暴露、欺骗、打扰、占用；被动攻击、主动攻击；截取、中断、篡改、伪造。

（2）脆弱点（Vulnerability），即缺陷。

（3）控制（control），一些动作、装置、程序或技术，消除或减少脆弱点。

《信息安全法律基础》复习提纲第一讲1.法律意义的信息应该具备哪些特征？答：法学意义上的信息作为人类认识的独立对象，特别是作为法律调整和规范的对象，必须要具备如下特征：（1）社会性。

法律所规范的主要是对人类社会的生产、生活产生影响的社会信息，而不是自然科学中的信息，更不是所有的信息。

强调具有法律意义的信息要具有社会性，实质是通过强调信息的社会性来体现人的社会性。

法律保护何种信息、如何保护信息都与特定社会价值和伦理机制有关，而不是或主要不是只与信息的真实性和科学价值有关。

（2）传播性。

法律所关注的信息应该是能够借助现有媒介传播的信息，而不是所有的信息。

法律关注的是围绕信息传播过程中所产生的利益关系和矛盾，而不是所有与信息有关的问题。

（3）法定性。

法律调整的信息是处于一定法律保护状态下的信息。

信息的这种状态受到法律的确认和保护，不容非权利人的非法侵犯，否则要承担相应的法律后果。

2.信息的法律状态一般分为公开的信息和不公开的信息、有产权的信息和无产权的信息。

例如，将秘密信息非法公开，就属于泄密行为，行为人要承担相应的法律后果；将应该公开的行政公共信息封锁，则属于违反行政法和侵犯公众得知权的行为，相关的行政主体要承担相应的法律后果。

3.什么是法律关系？信息法律关系的构成要素有哪些？答：法律关系是指，法律规范在调整人们行为过程中形成的权利义务关系，有法律关系主体、法律关系内容和法律关系客体三要素构成。

信息法律关系包括法律关系的主体、客体和内容三个方面：（1）信息法律关系的主体指信息法律关系的参加者，即在信息法律关系中享有权利、承担义务的人或组织；（2）信息法律关系的客体，也就是信息主体权利和义务所指向的对象；（3）信息法律关系的内容，指信息法律关系主体之间的权利与义务，即信息权利与信息义务。

4.什么叫法律部门？信息法部门由哪些法律规范构成？答：法律部门，又称为部门法，是运用特殊调整方法调整同一类社会关系的法律规范的总和。

框架1.法律基础2.信息安全法概述（法律体系）3.针对或利用计算机进行的犯罪4.利用计算机进行的民事侵权5.政府信息公开和热点问题什么是法1.由国家认定或认可的具有强制执行力的规范人的行为规范的总称。

2.国家构成元素：地域人口有效统治的政府国际公认的外交主权为什么需要法1.人有保存与发展自己的天然原始动力, 人有各种欲望，其内在原因是因为要满足其活的机体需要和被别人的看中。

2.自然资源和人造资源（产品和服务）总是有一定量的。

3.资源的分配是所有法律制度的核心和基础4.智力高度发达有良好认知能力复杂交流工具（语言）善于总结过去有相对稳定的理性思维能力。

法的本质1.是人与人（群体组织阶层）妥协博弈的结局，其本身并不必然代表公平正义，其公平尺度的衡量在于制定法律群体范围的大小。

2.法律执行的一视同仁是一种执行公平正义。

3.反应现实，不能脱离现实4.最主要和最根本的是对于资源的掌控和分配⏹法律制度良性发展的基础就是制定法律的人是否代表民意，其胜出的程序，博弈的过程是否公开能在阳光下运行。

法律渊源⏹通俗的讲，法律渊源就是法院据以审理案件的依据，其各种表现形式的总称。

⏹我国法的渊源主要由各种国家机关制定的规范性法律文件所组成。

包括宪法、法律、行政法规、地方性法规、自治条例和单行条例、部门规章和地方政府规章、特别行政区法、国际条约和国际惯例等。

第二章⏹信息活动包括各种法律主体从事的、与信息的生产、采集、获取、加工处理、传播、利用、保存等事务相关的一切活动。

从应然角度看信息法法律渊源1.包括宪法（现在是空白）2.法律（现在没有一部法律层面的信息法）3.行政法规4.部门（委）规章5.地方性法规6.地方政府规章7.国际条约和国际惯例8.特别行政区法（港澳台地区）现行立法不足（1）缺乏系统思路和总体指导原则（2）相关领域多头管理，利益冲突，缺乏协调（3）内容上声明性条款过多，程序上缺乏可操作性（4）重管理、轻保护，公权益与私权益的对比失衡，重公权保护，轻私权保护。

《信息安全概论》复习提纲第一章引言1、根据网络安全的定义，网络安全具有以下几个方面的属性：（1）机密性。

保证信息与信息系统不被非授权的用户、实体或过程所获取与使用。

（2）完整性。

信息在存储或传输时不被修改、破坏，或不发生信息包丢失、乱序等。

（3）可用性。

信息与信息系统可被授权实体正常访问的特性，即授权实体当需要时能够存取所需信息。

（4）可控性。

对信息的存储于传播具有完全的控制能力，可以控制信息的流向和行为方式。

（5）真实性。

也就是可靠性，指信息的可用度，包括信息的完整性、准确性和发送人的身份证实等方面，它也是信息安全性的基本要素。

其中，机密性、完整性和可用性通常被认为是网络安全的三个基本属性。

2、OSI安全体系结构主要关注安全攻击、安全机制和安全服务。

可以简短地定义如下：（1）安全攻击：任何危及企业信息系统安全的活动。

（2）安全机制：用来检测、阻止攻击或者从攻击状态恢复到正常状态的过程，或实现该过程的设备。

（3）安全服务：加强数据处理系统和信息传输的安全性的一种处理过程或通信服务。

其目的在于利用一种或多种安全机制进行反攻击。

3、被动攻击试图收集、利用系统的信息但不影响系统的正常访问，数据的合法用户对这种活动一般不会觉察到。

主动攻击则是攻击者访问他所需信息的故意行为，一般会改变系统资源或影响系统运作。

4、ISO 7498-2定义了五大类可选的安全服务鉴别：对等实体鉴别和数据源鉴别访问控制：防止对网络资源的非授权访问数据保密：保护数据以防止信息泄露等数据完整：保证接收的消息未经复制、篡改、插入、重排。

对付主动攻击不可否认：防止通信某方的抵赖行为5、ISO 7498-2定义的8种安全机制加密机制数字签名机制访问控制机制数据完整性机制鉴别交换机制通信业务填充机制路由控制机制公证机制第二章对称密码学1、密码学的模型及图示。

密文)(1m E c k =3、古典密码学充分体现了现代密码学的两大基本思想：置换和代换。

第二期《信息安全法律法规常识》一、我国已发布的涉及到信息安全的法律主要有哪些？我国信息安全立法工作始于20世纪90年代，起步相对较晚。

经过20多年的发展，法律法规数量已经形成一定规模，国家法律法规、司法解释、部门规章与地方性条例，共同构成了我国信息安全法律法规体系.目前，我国涉及网络信息安全的法律主要有3部：1．中华人民共和国刑法在1979年的刑法中并没有相关的计算机犯罪的罪名。

为预防和惩治计算机违法犯罪行为,1997年修订的《中华人民共和国刑法》在第285条、第286条、第287条增加了涉及计算机犯罪的4项条款：非法侵入计算机信息系统罪，破坏计算机信息系统功能罪,破坏计算机信息系统数据、应用程序罪和制作、传播计算机病毒等破坏性程序罪，为预防和打击计算机犯罪活动提供了法律依据.2009年，在《刑法修正案七》中对计算机犯罪相关条款进行了必要调整。

2．关于维护互联网安全的决定2000年12月，为进一步保障网络环境下信息的安全，全国人民代表大会常务委员会颁布实施了《关于维护互联网安全的决定》.这是我国针对互联网应用过程出现的运行安全和信息安全专门制定的法律,该单行法律的出台对于促进我国互联网的健康发展，保障互联网络的安全具有重要意义。

该法规定了损害互联网运行安全、破坏国家安全和社会稳定、扰乱社会主义市场经济秩序和社会管理秩序、侵犯个人、法人和其他组织的人身、财产等合法权利等4项犯罪行为,将依照刑法有关规定追究刑事责任。

《关于维护互联网安全的决定》是我国目前为止直接规范网络信息安全的效力最高的法律文件，在更深入地扩充了保护对象的内涵和外延的同时,还明确了利用互联网实施的尚不构成犯罪的违法行为,将按照有关规章、条例承担行政和民事责任，这也是对信息安全违法行为及其惩处措施的有力补充.3．中华人民共和国电子签名法2004年8月28日,第十届全国人大常委会第十一次会议通过《中华人民共和国电子签名法》并于2005年4月1日起实施.该法是我国首部真正意义上的信息网络环境下的单行法律，围绕我国网络信任体系建设的关键内容，从确定电子签名的法律效力、规范电子签名的行为、明确认证机构的法律地位以及电子签名的安全保障措施等多个方面做出了具体规定。

保密性：保证机密信息不被窃听，或窃听者不能了解信息的真实含义。

完整性：保证数据的一致性，防止数据被非法用户篡改。

可用性：保证合法用户对信息和资源的使用不会被不正当地拒绝。

可控制性：对信息的传播及内容具有控制能力。

不可抵赖性：建立有效的责任机制，防止用户否认其行为，这一点在电子商务中是极 其重要的。

真实性：对信息的来源进行判断，能对伪造来源的信息予以鉴别。

第1章信息安全概述1、通信安全→ 信息安全→信息保障2、 以下几个安全属性的含义：机密性、完整性、可用性、可控性、不可否认性3、答：信息安全包括了保密性、完整性和可用性三个基本属性：（1） 保密性：确保星系在存储、使用、传输过程中不会泄露给非授权的用户或者实体。

信息安全的发展阶段。

信息安全的三个最基本的目标。

M ——可能明文的有限集，成为明文空间C ——可能密文的有限集，称为密文空间（2） 完整性：确保信息在存储、使用、传输过程中不被非授权用户篡改；防止授权用 户对信息进行不恰当的篡改；保证信息的内外一致性。

（3） 可用性：确保授权用户或者实体对于信息及资源的正确使用不会被异常拒绝， 允许其可能而且及时地访问信息及资源4、信息安全保障体系包括四个部分内容，即 PDRR 。

a) 保护（Protect ）b) 检测（Detect ）c) 反应（React ）d) 恢复（Restore ）第2章密码学基础1、 一个完整的密码体制包含的五个要素。

信息安全保障体系包含的内容。

K——一切可能密钥的有限集，称为密钥空间E——加密函数D——解密函数2、移位密码具体算法是将字母表的字母右移k 个位置，并对字母表长度作模运算加密函数：E k(m) = (m + k) mod q ；解密函数：D k (c) = ( c – k ) mod q ；此算法要会应用计算。

3、分组密码的工作原理。

加密：将明文分成若干固定长度的组，用同一密钥、算法逐组加密，输出等长密文分组。

信息安全法律法规1~6章复习第一章绪论补充：保障信息安全的三大支柱-信息安全技术、信息安全法律法规、信息安全标准1、犯罪的概念：刑法第13条规定：一切危害国家主权、领土完整和安全，分裂国家、颠覆人民民主专政的政权和推翻社会主义制度，破坏社会秩序和经济秩序，侵犯国有财产或者劳动群众集体所有的财产，侵犯公民私人所有的财产，侵犯公民的人身权利、民主权利和其他权利，以及其他危害社会的行为，依照法律应当受刑罚处罚的，都是犯罪，但是情节显著轻微危害不大的，不认为是犯罪。

2、计算机犯罪的概念：计算机犯罪是指行为人通过计算机操作所实施的危害计算机信息系统安全以及其他严重危害社会的并应当处以刑罚的行为。

——犯罪分子所犯罪行必须是通过计算机或网络系统实施的行为。

——构成信息网络系统“犯罪”的必须是犯罪行为。

3、以网络为工具的犯罪：工具型的计算机犯罪是指以计算机信息系统为犯罪工具所实施的各种犯罪。

例如：一些用户通过窃取口令等手段，从网络上登录到别的系统，取得对该系统的控制权，对计算机进行一些非法的操作，以达到自己的非法目的；通过修改企业的一些账户或重要文件来达到窃取电子货币或达到其他非法的经济目的。

4、以网络系统为侵害对象的犯罪：对象型的计算机犯罪是指以计算机信息系统为犯罪对象的犯罪。

例如：编写并传播病毒程序，使一些网络服务不能正常运行。

5、计算机犯罪的特征：计算机本身的不可或缺性和不可替代性；在某种意义上作为犯罪对象出现的特性；明确了计算机犯罪侵犯的客体。

6、计算机犯罪的主要形式：1）非法侵入计算机信息系统罪：技术攻击、通过后门进行非法入侵、通过陷阱门进行非法入侵以及非法的用户冒充合法的用户进入计算机信息系统等2）破坏计算机信息系统罪：计算机病毒、数据欺骗等7、刑法关于计算机犯罪的规定：1）第二百八十五条(非法侵入计算机信息系统罪)违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

1、信息安全法律法规名称和大致内容（1）《中华人民共和国国家保护法》规定一切国家机关，武装力量，政党，社会团体，企业事业单位和公民都有保守国家秘密的义务。

国家秘密分为“绝密”、“机密”、“秘密”三级。

违法此法，将会受到行政处分，直至追究刑事责任。

（2）《计算机软件保护条例》中国公民和单位对其所开发的软件，不论是否发表，不论在何地发表，均享有著作权。

软件著作权人享有发表权，开发者身份权，使用权，使用许可权和获得报酬权，转让权。

未经软件著作权人许可，复制或者部分复制著作权人的软件属于侵权行为。

（3）中华人民共和国计算机信息系统安全保护条例》计算机信息系统是由计算机及其相关的和配套的设备，设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集，加工，存储，传输，检索等处理的人机系统。

任何组织或者个人，不得利用计算机信息系统从事危害国家利益，集体利益和公民合法利益的活动，不得危害计算机信息系统的安全。

（4）计算机信息网络国际联网安全保护管理办法》任何单位和个人不得利用国际联网危害国家安全，泄露国家机密，不得侵犯国家的，社会的，集体的利益和公民的合法利益，不得从事违法犯罪活动。

（5）刑法》违反国际规定，侵入国家事务，国防建设，尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

违反国家规定，对计算机信息系统功能进行删除，修改，增加，干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役，后果特别严重的，处五年以上有期徒刑。

2、信息安全的基本属性（1）信息的保密性：保证信息为授权者享有而不泄露给未经授权者（2）信息的隐蔽性（3）信息的真实性（不可否认性）（4）信息的完整性：保证信息从真实的发信者传送到真实的收信者，传送过程没有被非法用户添加、删除、替换等（5）信息的可控性：出于国家和机构的利益和社会管理的需要，保证管理者能够对信息实施必要的控制管理，以对抗社会犯罪和外敌侵犯3、密码系统的设计遵循kerchkoffs原则百度：kerckhoffs原则：即使密码系统中的算法为密码分析者所知，也难以从截获的密文推导出明文或密钥【密码体质的安全性仅应依赖于密钥的保密，而不应依赖于对算法的保密（只有在假设攻击者对密码算法有充分的研究，并且拥有足够的计算资源的情况下仍然安全的密码才是安全的密码系统）】“一切秘密寓于密钥之中”课件：假设攻击者知道密码算法的所有细节，包括具体算法和如何实现。

信息安全法规基础知识文档第一页：信息安全法规概述信息安全法规是保护信息和信息系统安全的法律和标准。

信息安全法规的主要目的是确保信息的机密性、完整性和可用性。

信息安全法规适用于所有处理、存储和传输信息的组织和个人。

第二页：主要法规概述以下是几个主要的信息安全法规：•GDPR（通用数据保护条例）：欧盟的数据保护法规，适用于所有处理欧盟公民个人数据的组织。

•HIPAA（健康保险可携性和责任法案）：美国的医疗保健信息安全法规，适用于所有处理医疗保健信息的组织。

•PCI-DSS（支付卡行业数据安全标准）：支付卡行业的数据安全标准，适用于所有处理支付卡信息的组织。

第三页：注册流程以下是信息安全法规注册流程的概述：1.确定适用的法规：确定组织需要遵守哪些信息安全法规。

2.收集和准备文件：收集和准备必要的文件，包括信息安全政策、风险评估报告等。

3.提交注册申请：提交注册申请到相关的监管机构。

4.审查和批准：监管机构审查注册申请，并批准或拒绝注册。

第四页：信息安全管理体系要求以下是信息安全管理体系的要求：•建立信息安全政策：建立信息安全政策，包括信息安全目标、风险管理等。

•实施风险管理：实施风险管理，包括风险评估、风险缓解等。

•建立安全控制措施：建立安全控制措施，包括访问控制、数据加密等。

•实施安全培训：实施安全培训，包括员工安全培训、第三方安全培训等。

第五页：信息安全案例分析以下是几个信息安全案例分析：•案例1：数据泄露事件某公司发生了数据泄露事件，导致客户个人数据泄露。

公司需要立即采取措施，包括通知客户、修复漏洞等。

•案例2：网络攻击事件某公司遭受了网络攻击，导致信息系统瘫痪。

公司需要立即采取措施，包括隔离受影响的系统、修复漏洞等。

第六页：流程图和对比表以下是几个流程图和对比表：•注册流程图•信息安全管理体系流程图第七页：结论信息安全法规是保护信息和信息系统安全的关键。

组织需要了解和遵守相关法规，以保证信息安全。