网络安全基础——网络安全法

填空题

1.根据**《中华人民共和国网络安全法》**第二十条(第二款)，任何组织和个人试用网路应当遵守宪法法律，遵守公共秩序，遵守社会公德，不危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益。

2.网络空间安全包括了国家安全、城市安全、经济安全、社会安全、生产安全、人生安全等在内的"大安全"时代。网络空间和海、陆空、天，并成为五大空间或五大疆域，这一战略是**《国家网络空间安全战略》**/中国提出的。

3.在HTTP协议中，用于表示"内容类型"的头部字段是Content-Type

4.HTTPS协议在HTTP的基础上增加了SSL/TLS层，用于提供数据传输的安全性。

5.SQL注入攻击是一种网络安全攻击技术，攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，欺骗服务器执行非法的数据库查询，

6.在网络安全领域，网络攻防是指利用技术维护国家网络安全，并且对外来的攻击进行反击的

7.根据**《中华人民共和国刑法》**第二百八十五条，违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或拘役。

8.网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，并保存有关记录，向有关主管部门报告。?

9.根据**《中华人民共和国网络安全法》**第六十三条，违反本法第二十七条规定，从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助，尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款:情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款。

10.网络空间和海、陆、空、天，并成为五大空间或五大疆域，这一概念体现了网络空间安全的重要性，其中网络空间安全包括了国家安全、城市安全、经济安全、社会安全、生产安全、人生安全等在内的“大安全"时代。

11.在HTTP协议中，GET方法用于向服务器请求数据。

12.根据**《中华人民共和国刑法》**第二百八十六条，违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或拘役;后果特别严重的，处五年以上有期徒刑。

13.《中华人民共和国网络安全法》第二十七条规定网络运营者不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。

14.根据《中华人民共和国网络安全法》，网络产品、服务的提供者应当为其产品、服务提供持续的安全维护;发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，并按照规定及时告知用户并向有关主管部门报告。

15.根据**《中华人民共和国刑法》**第二百五十三条之一，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。

16.**《中华人民共和国网络安全法》**规定网络运营者不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益。

17.网络运营者不得利用网络从事编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益。

18.《中华人民共和国网络安全法》自2019年6月1日起施行。

19.《网络安全法》规定，网络产品、服务的提供者应当为其产品、服务提供持续的安全维护。

20.违反《网络安全法》规定，对关键信息基础设施的运行安全造成严重危害，构成犯罪的，依法追究刑事责任。

21.《网络安全法》规定，网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息。

22.根据《网络安全法》，网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，并采取消除、保存记录等处置措施。

23.《网络安全法》规定，网络运营者应当依法加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输，防止信息扩散，保存有关记录，并向有关主管部门报告。

24.《网络安全法》规定，网络运营者应当按照规定留存相关的网络日志不少于六个月。

25.根据《网络安全法》，网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，并采取消除、保存记录等处置措施

26.**《中华人民共和国网络安全法》**规定，网络运营者不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益。

27.《网络安全法》规定，网络运营者应当建立健全用户信息保护制度，严格保护用户个人信息安全，不得泄露、篡改、毁损用户个人信息

28.《网络安全法》规定，网络运营者不得利用网络从事编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益。

29.根据《网络安全法》，网络运营者应当建立健全用户信息保护制度，严格保护用户个人信息安全，不得泄露、篡改、毁损用户个人信息

30.根据《网络安全法》，网络运营者应当建立健全用户信息保护制度，严格保护用户个人信息安全，不得泄露、篡改、毁损用户个人信息。

简答题

31.简述《中华人民共和国网络安全法》的立法目的

《中华人民共和国网络安全法》的立法目的在于保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化发展

32.根据《网络安全法》，网络运营者应当履行哪些安全保护义务?

• 建立安全制度：制定内部安全管理制度和操作规程，指定网络安全负责人，确保网络安全责任落实到位。
• 技术防护措施：实施技术措施以防范计算机病毒、网络攻击和侵入等网络安全威胁。
• 网络监控与记录：采取技术手段监测和记录网络运行状态及安全事件，并按规定保存至少六个月的网络日志。
• 数据保护措施：对数据进行分类管理，并对重要数据实施备份和加密。
• 遵守法律法规：履行法律和行政法规规定的其他网络安全义务。

33.描述《网络安全法》中对个人信息保护的基本要求。

• 网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度；
• 收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意；
• 网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息；
• 在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

34.《网络安全法》对关键信息基础设施的运营者有哪些特别要求?

• 用户信息保密与保护：网络运营者必须严格保密收集的用户信息，并建立完善的用户信息保护制度。
• 个人信息收集与使用原则：收集和使用个人信息应遵循合法、正当、必要的原则，公开收集使用规则，明确目的、方式和范围，并需获得被收集者的同意。
• 个人信息收集限制：网络运营者不得收集与服务无关的个人信息，不得违反法律法规和双方约定收集、使用个人信息。
• 信息泄露应对：一旦发生或可能发生个人信息泄露、毁损、丢失，应立即采取补救措施，并按规定及时通知用户和报告主管部门。

35.根据《网络安全法》哪些行为是被明确禁止的?

• 禁止网络犯罪活动：严禁非法侵入网络、干扰网络功能、窃取网络数据等危害网络安全的行为。
• 个人信息保护：禁止非法获取、出售或提供个人信息。
• 禁止违法犯罪网站和群组：严禁设立用于诈骗、传授犯罪方法、制作或销售违禁品等违法犯罪活动的网站和通讯群组。

36.《网络安全法》对网络产品和服务提供者提出了哪些要求?

• 产品服务安全维护：为产品和提供服务时，确保其安全性，并进行必要的维护。
• 风险发现与补救：一旦发现网络产品或服务存在安全缺陷、漏洞等风险，应立即采取措施补救，并按规定通知用户和报告主管部门。
• 国家安全审查：在采购可能影响国家安全的网络产品和服务时，必须进行国家安全审查。

37.简述《网络安全法》中对网络信息安全监测预警和信息通报制度的规定。

• 建立健全网络安全监测预警和信息通报制度。
• 促进网络安全信息共享。
• 准确把握关键信息基础设施运行状况。

38.根据《网络安全法》，网络运营者在发现网络存在哪些风险时，应当立即采取补救措施?

立即采取技术措施，监测和记录，数据分类和备份，制定应急预案，启动应急预案，告知用户和报告主管部门，持续提供安全维护

39.《网络安全法》对网络运营者在用户信息保护方面有哪些具体要求?

• 建立信息保护制度：建立完善的用户信息保护制度，严格保密用户信息。
• 合法合规收集使用信息：收集和使用个人信息必须遵循合法、正当、必要的原则，公开规则，明确目的、方式和范围，并需被收集者同意。
• 限制信息收集范围：不得收集与服务无关的个人信息，不得违反法律法规和双方约定。
• 保护个人信息安全：不得泄露、篡改或毁损收集的个人信息，未经同意不得向他人提供。
• 技术保护与应急措施：采取技术和其他必要措施保护个人信息安全，防止泄露、毁损或丢失。一旦发生或可能发生信息安全事件，应立即采取补救措施，并按规定通知用户和报告主管部门。

40.简述《网络安全法》中对网络关键信息基础设施的保护措施。

1. 安全管理机构与人员审查：设立专门的安全管理机构和负责人，并对负责人及关键岗位人员进行安全背景审查。

2. 网络安全教育与培训：定期对员工进行网络安全教育、技术培训和技能考核。

3. 系统与数据备份：对重要系统和数据库实施容灾备份。

4. 应急预案与演练：制定网络安全事件应急预案，并定期进行演练。

5. 国家安全审查：采购可能影响国家安全的网络产品和服务时，必须通过国家安全审查。

6. 数据存储与安全评估：境内收集的个人信息和重要数据应在国内存储，如需向境外提供，应进行安全评估。

41.根据《网络安全法》网络运营者在处理用户信息时应当遵循哪些原则?

• 合法、正当、必要的原则。
• 目的明确的原则。
• 知情同意的原则。
• 安全保密原则。
• 公民信息境内存放原则

42.《网络安全法》对网络产品和服务的安全性能有何要求?

• 符合国家标准：网络产品与服务必须符合国家的强制性标准要求。
• 禁止恶意程序与风险补救：网络产品与服务提供者不得设置恶意程序，一旦发现产品或服务存在安全缺陷、漏洞等风险，应立即采取补救措施，并按规定通知用户和报告主管部门。
• 持续安全维护：网络产品与服务提供者应持续为其产品与服务提供安全维护，不得在规定或约定期限内终止安全维护服务。

43.简述《网络安全法》中对网络运营者采取的技术措施有哪些要求?

• 建立安全管理制度：制定内部安全管理制度和操作规程，指定网络安全负责人，确保网络安全责任得到落实。
• 技术防护措施：实施技术措施以防范计算机病毒、网络攻击和侵入等网络安全威胁。
• 网络监控与日志留存：采取技术手段监测和记录网络运行状态及安全事件，并按要求至少保留六个月的网络日志。
• 数据保护措施：实施数据分类、备份和加密等措施以保护重要数据。
• 遵守法律法规：履行法律和行政法规规定的其他网络安全义务。

44.根据《网络安全法》，网络运营者在用户发布信息方面有哪些管理责任?

• 保密与保护制度：严格保密用户信息，并建立完善的用户信息保护制度。
• 合法合规收集使用：收集和使用个人信息应遵循合法、正当、必要的原则，公开规则，明确目的、方式和范围，并需被收集者同意。
• 限制信息收集：不得收集与服务无关的个人信息，不得违反法律法规和双方约定。
• 保护个人信息安全：不得泄露、篡改或毁损收集的个人信息，未经同意不得向他人提供个人信息。

45.《网络安全法》对网络运营者在网络安全事件应急处理方面有哪些规定?

• 制定应急预案：网络运营者需制定网络安全事件应急预案，以应对系统漏洞、计算机病毒、网络攻击和侵入等安全风险。
• 应急响应与报告：一旦发生网络安全事件，应立即启动应急预案，采取补救措施，并按规定向主管部门报告。

46.简述《网络安全法》中对网络运营者在网络安全教育和培训方面的要求。

• 政府宣传责任：各级政府及相关部门需定期开展网络安全宣传教育，并指导相关单位执行。
• 国家支持教育：国家鼓励企业、高校和职业学校等开展网络安全教育和培训，培养和交流网络安全人才。
• 企业培训要求：网络运营者需定期对员工进行网络安全教育、技术培训和技能考核。

47.根据《网络安全法》，网络运营者在网络安全等级保护方面有哪些义务?

• 建立安全管理制度：制定内部安全管理制度和操作规程，指定网络安全负责人，确保网络安全责任落实。
• 技术防护措施：实施技术措施防范计算机病毒、网络攻击和侵入等网络安全威胁。
• 网络监控与日志留存：采取技术手段监测网络运行状态和安全事件，按规定至少保留六个月网络日志。
• 数据保护措施：实施数据分类、备份和加密等措施保护重要数据。
• 遵守法律法规：履行法律和行政法规规定的其他网络安全义务。

48.《网络安全法》对网络关键信息基础设施的运营者在数据存储方面有哪些特别要求?

• 境内存储：在中国境内收集和产生的个人信息和重要数据必须在国内存储。
• 境外提供需评估：业务需要向境外提供数据时，应按照国家网信部门的规定进行安全评估。
• 遵守法律法规：如法律、行政法规有其他规定，从其规定。

49.简述《网络安全法》中对网络产品和服务提供者的安全责任。

• 符合国家标准：网络产品与服务必须符合国家的强制性标准。
• 禁止恶意程序与风险补救：禁止设置恶意程序，一旦发现产品或服务存在安全缺陷、漏洞等风险，应立即补救并及时通知用户和报告主管部门。
• 持续安全维护：产品与服务提供者应持续提供安全维护，不得在规定或约定期限内停止维护。
• 用户信息收集需同意：若产品或服务具有收集用户信息功能，必须明示并取得用户同意，涉及个人信息的还需遵守相关个人信息保护法规。

50.根据《网络安全法》，网络运营者在网络安全监督检查方面有哪些义务?

• 配合监督检查：配合公安和国家安全机关依法进行的监督检查。
• 技术支持与协助：为公安和国家安全机关提供技术支持，协助维护国家安全和侦查犯罪。
• 个人信息和数据保护：履行个人信息和数据安全保护责任，建立保护制度。
• 关键信息基础设施安全管理：对关键信息基础设施实施安全管理。
• 报告网络安全事件：按规定报告网络安全事件和重要事项。