信息安全法规和标准

《全国人民代表大会常务委员会关于维护互联网安全的决定》规定,威胁互联网运行安全的行为:(1)侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统,(2)故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害,(3)违反国家规定、擅自中断计算机网络或者通信服务,造成计算机网络或者通信网络不能正常运行。。。威胁国家安全和社会稳定的行为:(1)利用互联网造谣、诽谤或者发表、传播其他有害信息,煽动颠覆国家政权、推翻社会主义制度,或者煽动分裂国家,破坏国家统一,(2)通过互联网窃取,泄露国家秘密,情报或者军事秘密,(3)利用互联网煽动民族仇恨,民族歧视,破坏民族团结,(4)利用互联网组织邪教组织,联络邪教组织成员,破坏国家律法,行政法规实施

2、安全标记保护级的计算机系统可信计算机具有系统审计保护功能。主要特征是计算机信息系统可信计算基对所有主体及所控制的客体(例如:进程,文件,段,设备)实施强制访问控制

3、安全标记保护级的计算机信息系统可信计算基具有系统审计保护级所有功能。本级主要特征是计算机信息系统可信计算基对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制访问控制

4、《中华人民共和国网络安全法》要求,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月

5、《中华人民共和国网络安全法》第二十五条,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络入侵等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告

6、特别重大的社会影响波及一个或多个省市的大部分地区,极大威胁国家安全,引起社会动荡,对经济建设有及其恶劣的负面影响,或者严重损害公众利益

7、应急响应计划中的风险评估是标识信息系统的资产价值,识别信息系统面临的自然和人为的威胁,识别信息系统的脆弱性,分析各种威胁发生的可能性

8、应急响应预案做的越详细,在实施过程中的弹性和通用性越小

9、业务连续性管理(BCM)找出组织有潜在影响的威胁及其对组织业务运行的影响,通过有效的应对措施来保护组织的利益、信誉的活动,并为组织提供建设恢复能力框架的整体管理过程     BCM战略具体包括事件的应急处理计划、连续性计划和灾难恢复计划等内容

10、《商用密码管理条例》规定商用密码的科研、生产由国家密码管理机构指定的单位承担,商用密码产品的销售则必须经国家密码管理机构许可,拥有《商用密码产品销售许可证》才可进行

11、涉密信息系统安全保密标准工作组负责研究提出涉密系统安全保密标准提醒;制定和修订涉密信息系统安全保密标准

12、涉密人员的脱敏期应根据其接触、知悉国家秘密的密级、数量、事件等情况确定。一般情况下,核心涉密人员为3年至5年,重要涉密人员为2年至3年,一般涉密人员为1年2年

13、涉密信息系统,划分等级包括秘密、机密、绝密

14、2018年11月,作为补篇去年纳入国际标准的SM2/SM9数字签名算法,以正文形式随ISO/IEC14888-3:2018《信息安全技术带附录的数字签名第三部分:基于离散对数的机制》最新一版发布

15、刑法第二百八十六条(破坏计算机信息系统罪)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或拘役;后果特别严重的,处五年以上有期徒刑

16、《全国人民代表大会常务委员会关于维护互联网安全的决定》规定,威胁个人、法人和其他组织的人身、财产等合法权利的行为:1)利用互联网侮辱他人或者捏造事实诽谤他人;2)非法截获、篡改删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密

3)利用互联网进行盗窃、诈骗、敲诈勒索

 

17、访问验证保护级的计算机系信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问,访问监控器本身是扛篡改的;必须足够小,能够分析和测试

18、《中华人民共和国网络安全法》第五十六条  省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患

19、《一般数据保护条例》是欧盟法规的重要组成部分,主要内容是关于欧盟境内的公民数据应该如何被公司所使用,引入严格的新规则,已获得人们对数据进行处理的同意。它由欧洲会议在2016年4月所批准,并将在2018年5月正式实施

20、威胁是一种对信息系统构成潜在破坏的可能性因素,是客观存在的

21、《中华人民共和国网络安全法》第八条 国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关按照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护盒监督管理工作。县级以上地方人民政府有关部门的网络安全保护盒监督管理职责,按照国家有关规定确认

22、计算机系统外部设备在工作时能够通过地线、电源线、信号线、寄生电磁信号或谐波将有用信息辐射出去的过程,叫做计算机的电磁泄露

23、为了克服高温、湖湿、低温、干燥等给计算设备带来的危害,通常希望把计算机机房湿度控制在45%-65%之间

24、理论计算和分析表明,影响计算机电磁辐射强度的主要因素有:功率和频率、与辐射源的距离、屏蔽状况

25、《中华人民共和国密码法》于2020年1月1日生效

26、《网络产品和服务安全审查办法》用于评估网络产品和服务可能带来的国家安全风险

27、《数据中心设计规范》(gb50174-2017)中数据中心的耐火等级不应低于二级

28、《互联网数据中心工程技术规范》(GB51195-2016)重要条款有:3.3.2 IDC机房可划分为R1、R2、R3三个级别,各级IDC机房应符合下列规定:1)R1级IDC机房的机房基础设施和网络系统的主要部分应具备一定的冗余能力、机房基础设施和网络系统可支撑的IDC业务的可用性不应小于99.5%  2)R2级IDC机房的机房基础设施和网络系统应具备冗余能力,机房基础设施和网络系统可支撑的IDC业务的可用性不应小于99.9%   3)R3级IDC机房的机房基础设施和网络系统应具备容错能力,机房基础设施和网络系统可支撑的IDC业务的可用性不应小于99.99%

29、《计算机信息系统国际联网保密管理规定》规定:“涉及国家秘密的计算机信息系统,不得直接或间接的与国际互联网或其他公共信息网络相连接,必须实行物理隔离”

30、依据《可信计算机系统评估准则》TCSEC要求,C2及以上安全级别的计算机系统,必须具有审计功能。依据《计算机信息系统安全保护等级划分标准》(GB 17859)规定,从第二级(系统审计保护级)开始要求系统具有安全审计机制,第三级(安全标志级)计算机信息系统可信计算基对所有的客体(例如:进程,文件,段,设备)实施强制访问控制。第四级(结构化保护级):计算机信息系统可信计算基对外部主体能够直接或间接访问的所有资源(例如:主体、存储客体和输入输出资源)

31、《信息安全技术信息系统灾难恢复规范(GB/T 20988-27)》中:第三级是电子传输和部分设备支持。第三级不同于第二级的调配数据处理设备和具备网络系统紧急供货协议,其要求配置部分数据处理设备和部分通信线路及相应的网络设备;同时要求每天多次利用通信网络将关键数据定时批量传送至备用场地,并在灾难备份中心配置专职的运行管理人员;对于运行维护来说,要求制定电子传输数据备份系统运行管理制度    第四级是电子传输及完整设备支持。第四级相对于第三级中的配电部分数据处理设备和网络设备而言,须配置灾难恢复所需的全部数据处理设备和通信线路及网络设备,并处于就绪状态;备用场地也提出了支持7*24小时运作的更高的要求同事对技术支持和运维管理的要求也有相应的提高

 

32、网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要包括:产品和服务使用后带来的关键信息基础设施被非法控制,遭受干扰或破坏,以及重要数据被窃取,泄露,损毁的风险;产品和服务供应中断对关键信息基础设施服务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样性、供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章等情况;其他肯呢个危害关键信息基础设施安全和国家安全的因素

33、《国务院办公厅关于加强政府网站域名管理的通知》(国办函(2018)55号)要求加强域名解析系统DNS安全协议技术、抗攻击技术等措施,防止域名被劫持,被冒用,确保域名解析安全。应委托具有应急灾备、抗攻击等能力的域名解析服务提供商进行域名解析,鼓励对政府网站域名集中解析。自行建设韵味的政府网站不放在境外;租用网络虚拟空间的,所租用的空间应位于服务商的境内节点。使用内容分发网络CDN服务的,应当要求服务商将境内用户的域名解析地址指向境内节点,不得指向境外节点

34、刑法第二百八十五条(非法侵入计算基信息系统罪)违反国家规定,侵入国家事务,国防建设,尖端科学技术领域的计算机信息系统,处三年以下有期徒刑或者拘役

35、日志与监控需审核和保护特权用户的权限

36、中央网络安全和信息化领导小组第一次会议于2014年2月27日在北京召开。2018年3月,根据中共中央印发的《深化党和国家机构改革方案》,将中央网络安全和信息化领导小组改为中国共产党中央网络安全和信息化委员会

37、《信息安全等级保护管理办法》第七条 信息系统的安全保护等级分为五级:第一级(信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益)、第二级(信息系统受到破坏后,会对公民,法人或其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全)、第三级(信息系统受到破坏后,会对社会秩序和公共利益造成验证损害,或者对国家安全造成损害)、第四级(信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害)、第五级(信息系统受到破坏后,会对国家安全造成特别严重损害)

38、9aee460f93ef4cb480d9597b621c83ff.png

39、据《计算机场地安全要求(GB/T9361-2011)》,计算机机房的安全等级分为  A:计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成严重损害的对计算机机房的安全有严格的要求,有完善的计算机器机房安全措施    B级:计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成较大损害的计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施   C级: 不属于A、B级的情况,对计算机机房的安全有基本的要求,有基本的计算机机房安全措施

40、我国的国家标准GB17859《计算机信息系统安全保护等级划分准则》从第二级开始要求提供审计安全机制。其中第二级为系统审计保护级,该级要求计算基信息系统可信计算基实施了粒度更细的自主访问控制,他通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责

41、{帮助信息网络犯罪活动罪}  明知他人利用信息实时犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持、或者提供广告推广、支付结算等帮助,情节严重,处三年以下有期徒刑或者拘役,并处或者单处罚金

42、数据是任何以电子或者非电子形式对信息的记录,数据活动是指对数据的收集、存储、加工、使用、提供、交易、公开等行为

43、常见的标准代号:1)我国的国家标准代号:强制性的标准代号GB、推荐性标准代号GB/T、指导性标准代号GB/Z、实物标准代号GSB  2)行业标准代号:汉语品议大写字母(电力DL) 3)地方标准代号:有DB加上行政区划代码的前两位   4)企业标准代号:Q加企业代号组成   5)美国国家标准学会(ANSI) 是美国国家标准  5)国家标准化指导性技术文件:指导性技术文件的代号由大写汉语拼音字母GB/Z构成;指导性技术文件的编号,由指导性技术文件的代号、顺序号和年号(既发布年份的四位数字)组成

44、《中华人民共和国保守国家秘密法实施条例》   国家秘密的保密期限自标明的制发日起算;不能标明制发日的,确定该国家秘密的机关、单位应当书面通知知悉范围内的机关、单位和人员,保密期限自通知之日起计算

45、4d14fe8bdfa64f559d6e650cbd074244.png

46、一般网络安全事件:对国家安全、社会秩序、经济建设和公众利益构成一定威胁,造成一定影响的网络安全事件

47、域名系统出现网络与信息安全事件时,应当在24小时内向电信管理机构报告

48、《中华人民共和国密码法》第六条国家对密码实行分类管理,密码分为核心密码、普通密码和商用密码

49、在网络安全测评的事实方式中,安全功能检测,依据网络信息系统的安全目标和设计要求,对信息系统的安全功能实现状况评估,检查安全功能是否满足目标和设计要求。安全功能符合性检测的主要依据有:《信息安全技术信息系统等级保护安全设计技术要求》(GB/T25070-2019)、《信息安全技术信息系统通用阿全技术要求》(GB/T20271-2016)、网络信息安全最佳实践、网络信息系统项目安全需求说明书

50、根据《中华人民共和国密码法》,密码分为核心密码、普通密码和商用密码。其中核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法适用商用密码保护网络与信息安全

51、网络安全等级保护2.0的主要变化包括:一是扩大了对象范围、将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“网络安全通用要求+新型英勇的网络安全扩展要求”的要求内容。二是提出了“安全通信网络”“安全区域边界”“安全计算环境”“安全管理中心”支持下的三重防护体系架构。三是等级保护2.0新标准强化了可信计算技术使用的要求,各级增加了 “可信验证”控制点。安全保护等级分为5个在1.0就以如此

52、针对政府网站,国家颁布了《信息安全技术政府门户网站系统安全技术指南》(GBT31506-2015)政府网站的信息安全等级原则不低于二级,三级网站每年应测评一次,二级网站每两年应测评一次

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/843908.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Java 中BigDecimal传到前端后精度丢失问题

1.用postman访问接口,返回的小数点精度正常 2.返回到页面里的,小数点丢失 3.解决办法,在字段上加注解 JsonFormat(shape JsonFormat.Shape.STRING) 或者 JsonSerialize(using ToStringSerializer.class) import com.fasterxml.jackson.a…

SpringJDBC

1.前言 Spring JDBC可以帮助开发者节省大量开发工作 自动去处理一些低级细节 比如:异常处理、打开和关闭资源(Connection、PreparedStatement、Statement、ResultSet) 需要下载的jar包: spring-jdbc(普通jar包、源码jar包)由于没有依赖其他的jar包 所以只…

Echarts 实现线条绘制

文章目录 需求分析 需求 用 Echarts 实现如下效果 分析

【优选算法】分治 {三分快排:三指针优化,随机选key,快速选择算法;归并排序:统计数组中的逆序对,统计数组中的翻转对;相关编程题解析}

一、经验总结 1.1 三分快排 优化一:三指针优化 之前学习的快速排序无法妥善处理相等或重复序列的排序问题(有序且三数取中无效),使快速排序的效率无法达到最优。 为了解决重复序列的问题,我们将原先的双指针法&…

云计算-无服务器计算与AWS Lambda (Serverless Computing with AWS Lambda)

AWS Lambda 无服务器计算与AWS Lambda AWS Lambda支持无服务器计算,不需要任何预配置和管理,同时还能最大限度地降低成本。我们将看到如何创建一个简单的Lambda函数,以及如何将其与AWS事件映射。在现实生活中,任何托管在线的应用…

每天学点小知识:图床搭建 + CDN简介

前言: 本章内容帮你解决,本地图片不能分享到网上的问题。需要工具github JSDelivr 知识点 Q:什么是JSDelivr? JSDelivr是一个免费且公开的内容分发网络(CDN),专门用于加速开源项目和静态网站…

构建php环境、安装、依赖、nginx配置、ab压力测试命令、添加php-fpm为系统服务

目录 php简介 官网php安装包 选择下载稳定版本 (建议使用此版本,文章以此版本为例) 安装php解析环境 准备工作 安装依赖 zlib-devel 和 libxml2-devel包。 安装扩展工具库 安装 libmcrypt 安装 mhash 安装mcrypt 安装php 选项含…

2024年软件设计师备考复习资料(应用技术)

应用设计,考试时间为120分钟;总共需做5道题,满分75分(每题15分)。前4题为必答题,最后2题为要求选答一题(C或Java),45及格 目录 1. 数据流图(需求分析&#…

Python使用Modbus RTU发送数据的技术性指南

目录 一、引言 二、Modbus RTU协议简介 三、Pymodbus库介绍 四、环境准备 五、编写Modbus RTU客户端代码 六、案例分析 七、注意事项与调试技巧 八、扩展功能与应用 九、性能优化与安全性考虑 十、总结 一、引言 在工业自动化领域中,Modbus协议因其开放性…

opencascade AIS_Circle AIS_ColoredDrawer AIS_CameraFrustum 源码学习 圆

类AIS_Circle 构造圆形基准面&#xff0c;用于构建复合形状。 AIS_Circle() [1/2] AIS_Circle::AIS_Circle ( const Handle< Geom_Circle > & aCircle ) 初始化用于构造 AIS 圆形基准面的算法&#xff0c;并初始化圆形 aCircle。 AIS_Circle() [2/2] AIS_Circ…

数据库系统概论(个人笔记)(第三部分)

数据库系统概论&#xff08;个人笔记&#xff09; 文章目录 数据库系统概论&#xff08;个人笔记&#xff09;3、SQL介绍3.1 SQL查询语言概述3.2 SQL数据定义3.3 SQL查询的基本查询结构3.4 其他基本操作3.5 设置操作3.6 空值3.7 聚合函数3.8 嵌套子查询3.9 数据库的修改 3、SQL…

LES物流执行系统,在离散制造行业有那些作用和价值?

离散制造企业往往面临的是多品种、小批量的非标订单生产&#xff0c;传统推动式物流系统已经无法应对计划变化滞后&#xff0c;各车间、工序之间难以衔接等情况&#xff0c;特别是密集劳动力的电子行业&#xff0c;非标产品 SKU 种类繁多&#xff0c;物料配送复杂&#xff0c;对…

【Flowable 7】学习笔记 01 - 初始化数据库表创建流程(源码)

文章目录 前言版本说明配置1、引擎配置初始化2、SQL 执行创建表2.0、创建表概览&#xff08;创建表数目&#xff1a;38&#xff09;2.1、基础组件表创建&#xff08;以 common 组件为例&#xff09;2.2、changelog 组件表创建&#xff08;基于 liquibase&#xff09;2.3、Engin…

探索机器人智能设备:开启智慧生活新篇章

机器人智能设备作为科技创新的代表&#xff0c;正以其独特的魅力吸引着越来越多的关注。它们不仅具备高度的智能化和自主化能力&#xff0c;还能在各种场景下发挥出强大的功能。 机器人智能设备的张总说&#xff1a;在智能家居领域&#xff0c;机器人智能设备可以帮助我们实现家…

计算机网络导论

网络结构的演变 网状结构 最开始的网络&#xff0c;主机之间都是两两相连 好处 这样连接&#xff0c;好处是安全性比较高&#xff08;A与B之间的连线断了&#xff0c;可以绕一下C&#xff09;&#xff1b; 另外通信不需要互相等待&#xff08;没有中间交换设备&#xff0c;所…

头文件大小写引发的报错

jenkins下打包编译报错如下&#xff0c;提示编译zynqCan.c时找不到“syscfgpll/sysCfgpll.h”文件。 但IDE下编译是没有报错也没有警告的&#xff0c;工程中也存在文件“syscfgpll/sysCfgPll.h”。 仔细观察发现&#xff0c;报错说的是找不到头文件“syscfgpll/sysCfgpll.h”…

09Django项目--用户管理系统--删

对应视频链接点击直达 09Django项目--用户管理系统--删 对应视频链接点击直达删a&#xff0c;本质b&#xff0c;删除 页面相关a&#xff0c;index页面新增操作按钮b&#xff0c;ajax删除和提示c&#xff0c;完整版本 OVER&#xff0c;不会有人不会吧不会的加Q1394006513结语 一…

视频监控汇聚平台LntonCVS视频安防监控平台城市积水智能监测应用方案

根据中央气象台的最新预报&#xff0c;我国南方地区即将面临一轮强烈的降雨天气。这场降雨预计将会给部分地区带来大到暴雨的降水量&#xff0c;甚至在某些局部地区可能出现极端的大暴雨情况。与此同时&#xff0c;华北、黄淮以及东北地区也可能会遭受雷雨天气的干扰&#xff0…

Python | Leetcode Python题解之第118题杨辉三角

题目&#xff1a; 题解&#xff1a; class Solution:def generate(self, numRows: int) -> List[List[int]]:ret list()for i in range(numRows):row list()for j in range(0, i 1):if j 0 or j i:row.append(1)else:row.append(ret[i - 1][j] ret[i - 1][j - 1])ret…

电商api接口进行数据采集获取淘宝/天猫/京东/抖音多平台商品价格

在电商运营中&#xff0c;从品牌角度来看&#xff0c;品牌方通过电商数据采集API接口进行数据采集&#xff0c;获取多渠道商品价格信息的这一行为&#xff0c;能为品牌方带来诸多好处&#xff1a; 及时准确&#xff1a;API接口能为品牌提供实时数据&#xff0c;这意味着企业可…