文章总结： 本文档为软考中级信息安全工程师第一章的学习笔记，概述了网络信息安全的基本概念、CIA属性及发展趋势。详细梳理了网络安全管理的要素与工作流程，解读了《网络安全法》等关键法律法规及等级保护制度要求。内容还涵盖国家相关监管机构职能、网络产品安全审查及行业专业术语分类，旨在帮助考生构建网络安全知识体系框架。 综合评分： 76 文章分类： 安全培训,网络安全,政策法规,安全建设,技术标准

软考 |【中级信息安全工程师】第1章 网络信息安全概述

原创

繁星01 繁星01

安全君呀

2026年3月9日 12:00 北京

点击上方蓝色文字关注↑↑↑↑↑

将安全君呀设为”星标⭐️”

第一时间收到文章更新

声明: 安全君呀 公众号文章中的技术只做研究之用,禁止用来从事非法用途,如有使用文章中的技术从事非法活动,一切后果由使用者自负,与本公众号无关。

文章声明：本篇文章内容部分选取网络，如有侵权，请告知删除。

【中级信息安全工程师】第1章 网络信息安全概述

前言

       起因是小编正在准备软考中级信息安全工程师，闲暇之余分享大家一些自己的笔记，不到之处请留言，必定整改。

01

网络安全基础

网络信息安全基本概念

·信息社会的主要特征：数字化、网络化、智能化。网络空间成为国家陆、海、空、天之后的第五疆域。

    ·网络信息安全（狭义）：网络信息系统组成要素符合安全属性，即机密性、完整性、可用性、抗抵赖性、可控性。

    ·网络信息安全（广义）：涉及国家安全、城市安全、经济安全、社会安全、生产安全、人身安全在内的大安全。

    ■网络安全三大发展趋势

    ·对象内容：保证内容从单维度向多维度转变，保障的维度包含网络空间域、物理空间域、社会空间域；

    ·理念方法：网络信息安全保障措施从单一性（技术）向综合性（法律、政策、技术、管理、产业、教育）转变

    ·持续时间：保证时间维度要求涵盖网络系统的整个生命周期，响应速度要求不断缩短，网络信息安全没有战时、平时之分。

    ■网络安全12大问题

    ·网络强依赖性及网络安全关联风险凸显；网络信息产品供应链与安全质量风险；网络信息产品技术同质性与技术滥用风险；网络安全建设与管理发展不平衡、不充分风险；网络数据安全风险；高级持续威胁风险；恶意代码风险；软件代码和安全漏洞风险；人员的网络安全意识风险；网络信息技术复杂性和运营安全风险；网络地下黑产经济风险；网络间谍与网络战风险。

网络信息安全基本属性 (CIA特性是重点）

网络信息安全的目标与功能

■网络信息安全目标可以分成宏观的和微观的网络安全目标。

·宏观目标：网络信息系统满足国家安全需求特性，符合国家法律法规政策要求，如网络主权、网络合规等。

·微观目标：网络信息系统的具体安全要求。

·具体目标：保证网络信息及相关信息系统免受网络安全威胁，相关保护对象满足网络安全基本属性要求，用户网络行为符合国家法律法规要求，网络信息系统能够支撑业务安全持续运营，数据安全得到有效保护。

网络信息安全基本功能：要实现网络信息安全基本目标，网络应具备防御、监测、应急和恢复等基本功能。

网络信息安全技术需求

02

网络安全管理

网络信息安全管理要素由网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成。

网络信息安全管理流程

   网络信息安全管理一般遭循如下工作流程：

1. 确定网络信息安全管理对象
2. 评估网络信息安全管理对象的价值
3. 识别网络信息安全管理对象的威胁
4. 识别网络信息安全管理对象的脆弱性
5. 确定网络信息安全管理对象的风险级别
6. 制定网络信息安全防范体系及防范措施
7. 实施和落实网络信息安全管理防范措施
8. 运行/维护网络信息安全管理设备、配置。

03

网络安全法律法规

网络信息安全法律与政策

网络信息安全法律与政策文件：涉及国家安全、网络安全战略、网络安全保护制度、密码管理、技术产品、域名服务、数据保护、安全测评等各个方面。

■《中华人民共和国国家安全法》于 2015年7月1日通过，并且当日公布实施。

■《中华人民共和国网络安全法》已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过，自2017年6月1日起施行。

    ·制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

    ·采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

    ·采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

    ·采取数据分类、重要数据备份和加密等措施。

■《网络安全等级保护2.0》于2019年12月1日正式实施。

■《中华人民共和国密码法》于2020年1月1日起实施。

■《中华人民共和国数据安全法》于2021年9月1日正式施行。

网络产品和服务安全审查办法

    ·为提高网络产品和服务的安全可控水平，防范网络安全风险，维护国家安全，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规，制定了《网络产品和服务安全审查办法》。重点评估采购的产品和服务可能带来的国家安全风险。

    ·产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；

    ·产品和服务供应中断对关键信息基础设施业务连续性的危害；

    ·产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

    ·产品和服务提供者遵守中国法律、行政法规、部门规章情况；

    ·其他可能危害关键信息基础设施安全和国家安全的因素。

网络产品和服务安全审查办法

• 中国网络安全审查技术与认证中心（CCRC，原中国信息安全认证中心）是负责实施网络安全审查和认证的专门机构。
• 发布《网络关键设备和网络安全专用产品目录》，包含：路由器、交换机、服务器、防火墙、IDS/IPS、WAF、网闸等。

国家密码管理制度

    表1-4国家密码管理相关法律政策

网络安全等级保护

        网络安全等级保护的主要工作可以概括为定级、备案、建设整改、等级测评、运营维护。

• 定级：确认定级对象、确定合适级别，通过专家评审和主管部门审核；
• 备案：按等级保护管理规定准备备案材料，到当地公安机关备案和审核；
• 建设整改：依据相应等级要求对当前保护对象的实际情况进行差距分析，针对不符合项结合行业要求对保护对象进行整改，建设符合等级要求的安全技术和管理体系；
• 等级测评：等级保护测评机构依据相应等级要求，对定级的保护对象进行测评，并出具相应的等级保护测评证书；
• 运营维护：等级保护运营主体按照相应等级要求，对保护对象的安全相关事宜进行监督管理。

网络信息安全部门

• 中国网络安全审查技术与认证中心（CCRC，原中国信息安全认证中心）是负责实施网络安全审查和认证的专门机构。
• 域名服务是网络基础服务。该服务主要是指从事域名根服务器运行和管理、顶级域名运行和管理、域名注册、域名解析等活动。域名系统出现网络与信息安全事件时，应当在24小时内向电信管理机构报告。域名是政府网站的基本组成部分和重要身份标识。
• 国家计算机网络应急技术处理协调中心（CNCERT或CNCERT/CC）是中国计算机网络应急处理体系中的牵头单位，是国家级应急中心。主要职责是：按照“积极预防、及时发现、快速响应、力保恢复”的方针，开展互联网网络安全事件的预防、发现、预警和协调处置等工作，维护公共互联网安全，保证关键信息基础设施的安全运行。
• 网络信息安全科技信息获取来源主要有网络安全会议、网络安全期刊、网络安全网站、网络安全术语等。
• 网络信息安全领域四大顶级学术会议是：S&P，CCS，NDSS，USENIX Security。

网络信息安全术语

• 网络信息安全术语是获取网络安全知识和技术的重要途径，常见的网络安全术语可以分成基础技术类、风险评估技术类、防护技术类、检测技术类、响应恢复技术类、测评技术类等。

Tips

欢迎大家在下面点赞评论加关注，让我们一起在网安之路越走越远！！！

长按扫描下方二维码加关注，了解更多网安知识哦！

END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全君呀 繁星01 繁星01《软考 |【中级信息安全工程师】第1章 网络信息安全概述》