信息安全法规和标准

《全国人民代表大会常务委员会关于维护互联网安全的决定》规定,威胁互联网运行安全的行为:(1)侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统,(2)故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害,(3)违反国家规定、擅自中断计算机网络或者通信服务,造成计算机网络或者通信网络不能正常运行。。。威胁国家安全和社会稳定的行为:(1)利用互联网造谣、诽谤或者发表、传播其他有害信息,煽动颠覆国家政权、推翻社会主义制度,或者煽动分裂国家,破坏国家统一,(2)通过互联网窃取,泄露国家秘密,情报或者军事秘密,(3)利用互联网煽动民族仇恨,民族歧视,破坏民族团结,(4)利用互联网组织邪教组织,联络邪教组织成员,破坏国家律法,行政法规实施

2、安全标记保护级的计算机系统可信计算机具有系统审计保护功能。主要特征是计算机信息系统可信计算基对所有主体及所控制的客体(例如:进程,文件,段,设备)实施强制访问控制

3、安全标记保护级的计算机信息系统可信计算基具有系统审计保护级所有功能。本级主要特征是计算机信息系统可信计算基对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制访问控制

4、《中华人民共和国网络安全法》要求,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月

5、《中华人民共和国网络安全法》第二十五条,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络入侵等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告

6、特别重大的社会影响波及一个或多个省市的大部分地区,极大威胁国家安全,引起社会动荡,对经济建设有及其恶劣的负面影响,或者严重损害公众利益

7、应急响应计划中的风险评估是标识信息系统的资产价值,识别信息系统面临的自然和人为的威胁,识别信息系统的脆弱性,分析各种威胁发生的可能性

8、应急响应预案做的越详细,在实施过程中的弹性和通用性越小

9、业务连续性管理(BCM)找出组织有潜在影响的威胁及其对组织业务运行的影响,通过有效的应对措施来保护组织的利益、信誉的活动,并为组织提供建设恢复能力框架的整体管理过程     BCM战略具体包括事件的应急处理计划、连续性计划和灾难恢复计划等内容

10、《商用密码管理条例》规定商用密码的科研、生产由国家密码管理机构指定的单位承担,商用密码产品的销售则必须经国家密码管理机构许可,拥有《商用密码产品销售许可证》才可进行

11、涉密信息系统安全保密标准工作组负责研究提出涉密系统安全保密标准提醒;制定和修订涉密信息系统安全保密标准

12、涉密人员的脱敏期应根据其接触、知悉国家秘密的密级、数量、事件等情况确定。一般情况下,核心涉密人员为3年至5年,重要涉密人员为2年至3年,一般涉密人员为1年2年

13、涉密信息系统,划分等级包括秘密、机密、绝密

14、2018年11月,作为补篇去年纳入国际标准的SM2/SM9数字签名算法,以正文形式随ISO/IEC14888-3:2018《信息安全技术带附录的数字签名第三部分:基于离散对数的机制》最新一版发布

15、刑法第二百八十六条(破坏计算机信息系统罪)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或拘役;后果特别严重的,处五年以上有期徒刑

16、《全国人民代表大会常务委员会关于维护互联网安全的决定》规定,威胁个人、法人和其他组织的人身、财产等合法权利的行为:1)利用互联网侮辱他人或者捏造事实诽谤他人;2)非法截获、篡改删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密

3)利用互联网进行盗窃、诈骗、敲诈勒索

 

17、访问验证保护级的计算机系信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问,访问监控器本身是扛篡改的;必须足够小,能够分析和测试

18、《中华人民共和国网络安全法》第五十六条  省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患

19、《一般数据保护条例》是欧盟法规的重要组成部分,主要内容是关于欧盟境内的公民数据应该如何被公司所使用,引入严格的新规则,已获得人们对数据进行处理的同意。它由欧洲会议在2016年4月所批准,并将在2018年5月正式实施

20、威胁是一种对信息系统构成潜在破坏的可能性因素,是客观存在的

21、《中华人民共和国网络安全法》第八条 国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关按照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护盒监督管理工作。县级以上地方人民政府有关部门的网络安全保护盒监督管理职责,按照国家有关规定确认

22、计算机系统外部设备在工作时能够通过地线、电源线、信号线、寄生电磁信号或谐波将有用信息辐射出去的过程,叫做计算机的电磁泄露

23、为了克服高温、湖湿、低温、干燥等给计算设备带来的危害,通常希望把计算机机房湿度控制在45%-65%之间

24、理论计算和分析表明,影响计算机电磁辐射强度的主要因素有:功率和频率、与辐射源的距离、屏蔽状况

25、《中华人民共和国密码法》于2020年1月1日生效

26、《网络产品和服务安全审查办法》用于评估网络产品和服务可能带来的国家安全风险

27、《数据中心设计规范》(gb50174-2017)中数据中心的耐火等级不应低于二级

28、《互联网数据中心工程技术规范》(GB51195-2016)重要条款有:3.3.2 IDC机房可划分为R1、R2、R3三个级别,各级IDC机房应符合下列规定:1)R1级IDC机房的机房基础设施和网络系统的主要部分应具备一定的冗余能力、机房基础设施和网络系统可支撑的IDC业务的可用性不应小于99.5%  2)R2级IDC机房的机房基础设施和网络系统应具备冗余能力,机房基础设施和网络系统可支撑的IDC业务的可用性不应小于99.9%   3)R3级IDC机房的机房基础设施和网络系统应具备容错能力,机房基础设施和网络系统可支撑的IDC业务的可用性不应小于99.99%

29、《计算机信息系统国际联网保密管理规定》规定:“涉及国家秘密的计算机信息系统,不得直接或间接的与国际互联网或其他公共信息网络相连接,必须实行物理隔离”

30、依据《可信计算机系统评估准则》TCSEC要求,C2及以上安全级别的计算机系统,必须具有审计功能。依据《计算机信息系统安全保护等级划分标准》(GB 17859)规定,从第二级(系统审计保护级)开始要求系统具有安全审计机制,第三级(安全标志级)计算机信息系统可信计算基对所有的客体(例如:进程,文件,段,设备)实施强制访问控制。第四级(结构化保护级):计算机信息系统可信计算基对外部主体能够直接或间接访问的所有资源(例如:主体、存储客体和输入输出资源)

31、《信息安全技术信息系统灾难恢复规范(GB/T 20988-27)》中:第三级是电子传输和部分设备支持。第三级不同于第二级的调配数据处理设备和具备网络系统紧急供货协议,其要求配置部分数据处理设备和部分通信线路及相应的网络设备;同时要求每天多次利用通信网络将关键数据定时批量传送至备用场地,并在灾难备份中心配置专职的运行管理人员;对于运行维护来说,要求制定电子传输数据备份系统运行管理制度    第四级是电子传输及完整设备支持。第四级相对于第三级中的配电部分数据处理设备和网络设备而言,须配置灾难恢复所需的全部数据处理设备和通信线路及网络设备,并处于就绪状态;备用场地也提出了支持7*24小时运作的更高的要求同事对技术支持和运维管理的要求也有相应的提高

 

32、网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要包括:产品和服务使用后带来的关键信息基础设施被非法控制,遭受干扰或破坏,以及重要数据被窃取,泄露,损毁的风险;产品和服务供应中断对关键信息基础设施服务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样性、供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章等情况;其他肯呢个危害关键信息基础设施安全和国家安全的因素

33、《国务院办公厅关于加强政府网站域名管理的通知》(国办函(2018)55号)要求加强域名解析系统DNS安全协议技术、抗攻击技术等措施,防止域名被劫持,被冒用,确保域名解析安全。应委托具有应急灾备、抗攻击等能力的域名解析服务提供商进行域名解析,鼓励对政府网站域名集中解析。自行建设韵味的政府网站不放在境外;租用网络虚拟空间的,所租用的空间应位于服务商的境内节点。使用内容分发网络CDN服务的,应当要求服务商将境内用户的域名解析地址指向境内节点,不得指向境外节点

34、刑法第二百八十五条(非法侵入计算基信息系统罪)违反国家规定,侵入国家事务,国防建设,尖端科学技术领域的计算机信息系统,处三年以下有期徒刑或者拘役

35、日志与监控需审核和保护特权用户的权限

36、中央网络安全和信息化领导小组第一次会议于2014年2月27日在北京召开。2018年3月,根据中共中央印发的《深化党和国家机构改革方案》,将中央网络安全和信息化领导小组改为中国共产党中央网络安全和信息化委员会

37、《信息安全等级保护管理办法》第七条 信息系统的安全保护等级分为五级:第一级(信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益)、第二级(信息系统受到破坏后,会对公民,法人或其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全)、第三级(信息系统受到破坏后,会对社会秩序和公共利益造成验证损害,或者对国家安全造成损害)、第四级(信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害)、第五级(信息系统受到破坏后,会对国家安全造成特别严重损害)

38、9aee460f93ef4cb480d9597b621c83ff.png

39、据《计算机场地安全要求(GB/T9361-2011)》,计算机机房的安全等级分为  A:计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成严重损害的对计算机机房的安全有严格的要求,有完善的计算机器机房安全措施    B级:计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成较大损害的计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施   C级: 不属于A、B级的情况,对计算机机房的安全有基本的要求,有基本的计算机机房安全措施

40、我国的国家标准GB17859《计算机信息系统安全保护等级划分准则》从第二级开始要求提供审计安全机制。其中第二级为系统审计保护级,该级要求计算基信息系统可信计算基实施了粒度更细的自主访问控制,他通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责

41、{帮助信息网络犯罪活动罪}  明知他人利用信息实时犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持、或者提供广告推广、支付结算等帮助,情节严重,处三年以下有期徒刑或者拘役,并处或者单处罚金

42、数据是任何以电子或者非电子形式对信息的记录,数据活动是指对数据的收集、存储、加工、使用、提供、交易、公开等行为

43、常见的标准代号:1)我国的国家标准代号:强制性的标准代号GB、推荐性标准代号GB/T、指导性标准代号GB/Z、实物标准代号GSB  2)行业标准代号:汉语品议大写字母(电力DL) 3)地方标准代号:有DB加上行政区划代码的前两位   4)企业标准代号:Q加企业代号组成   5)美国国家标准学会(ANSI) 是美国国家标准  5)国家标准化指导性技术文件:指导性技术文件的代号由大写汉语拼音字母GB/Z构成;指导性技术文件的编号,由指导性技术文件的代号、顺序号和年号(既发布年份的四位数字)组成

44、《中华人民共和国保守国家秘密法实施条例》   国家秘密的保密期限自标明的制发日起算;不能标明制发日的,确定该国家秘密的机关、单位应当书面通知知悉范围内的机关、单位和人员,保密期限自通知之日起计算

45、4d14fe8bdfa64f559d6e650cbd074244.png

46、一般网络安全事件:对国家安全、社会秩序、经济建设和公众利益构成一定威胁,造成一定影响的网络安全事件

47、域名系统出现网络与信息安全事件时,应当在24小时内向电信管理机构报告

48、《中华人民共和国密码法》第六条国家对密码实行分类管理,密码分为核心密码、普通密码和商用密码

49、在网络安全测评的事实方式中,安全功能检测,依据网络信息系统的安全目标和设计要求,对信息系统的安全功能实现状况评估,检查安全功能是否满足目标和设计要求。安全功能符合性检测的主要依据有:《信息安全技术信息系统等级保护安全设计技术要求》(GB/T25070-2019)、《信息安全技术信息系统通用阿全技术要求》(GB/T20271-2016)、网络信息安全最佳实践、网络信息系统项目安全需求说明书

50、根据《中华人民共和国密码法》,密码分为核心密码、普通密码和商用密码。其中核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法适用商用密码保护网络与信息安全

51、网络安全等级保护2.0的主要变化包括:一是扩大了对象范围、将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“网络安全通用要求+新型英勇的网络安全扩展要求”的要求内容。二是提出了“安全通信网络”“安全区域边界”“安全计算环境”“安全管理中心”支持下的三重防护体系架构。三是等级保护2.0新标准强化了可信计算技术使用的要求,各级增加了 “可信验证”控制点。安全保护等级分为5个在1.0就以如此

52、针对政府网站,国家颁布了《信息安全技术政府门户网站系统安全技术指南》(GBT31506-2015)政府网站的信息安全等级原则不低于二级,三级网站每年应测评一次,二级网站每两年应测评一次

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/657286.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

[ue5]建模场景学习笔记(1)——混合材质

卷首:这部分会记录建模场景等相关学习内容,与ue引擎学习笔记不同的是,可能会略过一些基础内容,因为部分知识在blender中已经学习过了,不再继续记录。 1.需求分析: 想构建一个山地的场景,在ue5中…

在豆包这事上,字节看得很明白

大数据产业创新服务媒体 ——聚焦数据 改变商业 导语: 1.基于豆包的话炉/猫箱APP市场反响一般 2.价格战对于豆包来说是副产物 3.价格战对大模型市场是良性的 4.豆包接下来会推广至国际社会 因为宣称价格比行业便宜99.3%,豆包成功出圈了。根据火山引擎公…

通过安全的云开发环境重新发现 DevOps 的心跳

云开发平台如何“提升” DevOps 首先,我来简单介绍一下什么是云开发环境:它通常运行带有应用程序的 Linux 操作系统,提供预配置的环境,允许进行编码、编译和其他类似于本地环境的操作。从实现的角度来看,这样的环境类…

猫耳 WebSocket 跨端优化实践

前言 在现代的移动应用程序中,长连接是一种不可或缺的能力,包括但不限于推送、实时通信、信令控制等常见场景。在猫耳FM的直播业务中,我们同样使用了 WebSocket 长连接作为我们实时通信的基础。 在我们推进用户体验优化的工作中,…

如何将音频中的人声分离出来?

想要把一段视频中的人声跟背景音乐分离开来,找个好一点的音频处理软件就能把声音分离了,常见的有以下方法,一起来看看吧。 pr 打开软件,然后将电脑上的音频文件,上传到软件中,然后按住[ctrla]选择所有音频…

6-继承

6-继承 1、基本语法和方式2、继承的基本特点2.1 三种继承方式相同的基本点2.2 三种继承方式的差别2.3 公有继承的独有特点 3、子类的构造、析构3.1 子类的构造3.2 子类的析构3.3 子类的拷贝构造函数3.4 子类的拷贝赋值 4、多重继承4.1 内存布局4.2 类型转换4.3 名字冲突问题 5、…

C语言 | Leetcode C语言题解之第117题填充每个节点的下一个右侧节点指针II

题目: 题解: void handle(struct Node **last, struct Node **p, struct Node **nextStart) {if (*last) {(*last)->next *p;}if (!(*nextStart)) {*nextStart *p;}*last *p; }struct Node *connect(struct Node *root) {if (!root) {return NULL…

【小呆的力学笔记】连续介质力学的知识点回顾一:运动和变形

文章目录 1. 运动的描述2. 拉格朗日描述下的变形2.1 线元的变化2.2 体元的变化2.3 面元的变化 1. 运动的描述 在连续介质力学中,存在着两种对运动的描述,一种为拉格朗日描述,即通过描述每个物质点的运动来描述整个变形体的运动,也…

解决IDEA菜单栏找不到VCS的问题,且使用IDEA推送新项目到托管仓库

问题描述: 在idea软件中使用git推送项目,idea页面顶部菜单栏无VCS 解决方案: 一:File->Settings->Version Control-> 点击 ->选择项目->VCS:->点击ok: 二:托管平台创建一个Git仓库来保…

基于遗传优化的货柜货物摆放优化问题求解matlab仿真

目录 1.程序功能描述 2.测试软件版本以及运行结果展示 3.核心程序 4.本算法原理 5.完整程序 1.程序功能描述 基于遗传优化的货柜货物摆放优化问题求解matlab仿真。在一个货架上,初始状态下,随机将货物放在货柜上,优化之后,整…

openresty(Nginx) 隐藏 软包名称及版本号 升级版本

1 访问错误或者异常的URL 2 修改配置,重新编译,升级 #修改版本等 vim ./bundle/nginx-1.13.6/src/core/nginx.h #define nginx_version 1013006 #define NGINX_VERSION "1.13.6" #define NGINX_VER "openresty/&q…

玩转STM32-直接存储器DMA(详细-慢工出细活)

文章目录 一、DMA介绍1.1 DMA简介1.2 DMA结构 二、DMA相关寄存器(了解)三、DMA的工作过程(掌握)四、DMA应用实例4.1 DMA常用库函数4.2 实例程序 一、DMA介绍 1.1 DMA简介 DMA用来提供外设与外设之间、外设与存储器之间、存储器与…

中国企业出海,哪些业务需要负载均衡?

国内企业出海的进程正在加速。中国的出海企业剑指跨境电商、社交、游戏、短剧等市场,其中尤其以跨境电商的数据最为突出。据官方数据,2023年我国跨境电商进出口总额达到2.38万亿元,比2016年增长近50倍,占货物贸易总规模的5.7%。 …

【Mybatis】映射文件中获取单个参数和多个参数的写法

xml的映射文件中获取接口方法中传来的参数是直接用#{}的方式来获取的 那么接下来,我们就具体来说一下获取参数里边的各种规则和用法 1.单个参数,比如上面的getOneUser,只有一个id值作为参数 Mybatis对于只有一个参数的情况下,不…

机器学习-5-如何进行交叉验证

参考一文带您了解交叉验证(Cross-Validation):数据科学家必须掌握的7种交叉验证技术 参考如何在机器学习中使用交叉验证(实例) 1 交叉验证 1.1 交叉验证的本质 针对中小型数据集常用的一种用于观察模型稳定性的方法——交叉验证。 交叉验证是用来观察模型的稳定性的一种方…

计算机毕业设计hadoop+spark+hive物流大数据分析平台 物流预测系统 物流信息爬虫 物流大数据 机器学习 深度学习

流程: 1.Python爬虫采集物流数据等存入mysql和.csv文件; 2.使用pandasnumpy或者MapReduce对上面的数据集进行数据清洗生成最终上传到hdfs; 3.使用hive数据仓库完成建库建表导入.csv数据集; 4.使用hive之hive_sql进行离线计算&…

基于NAMUR开放式架构(NOA)的工业设备数据采集方案

一 NAMUR开放式架构 传统自动化金字塔结构的优越性在过去许多年里已被证明。然而,传统的自动化金字塔在获取和利用对物联网和工业4.0有价值的数据方面却存在一定挑战。这是因为传统系统通常是封闭的,数据访问受到限制,难以集成到新的数字化解…

eclipse启动时间过长的问题

项目场景: 由于我用eclipse比较习惯,虽然IDEA很好,但是因为收费,所以在个人开发学习过程中一直还是使用eclipse,本文不讨论eclipse与IDEA孰优孰劣问题。 开发环境: 操作系统:Windows 11 22631…

HCIP-Datacom-ARST自选题库__BGP/MPLS IP VPN简答【3道题】

1.在BGP/MPLSIPVPN场景中,如果PE设备收到到达同一目的网络的多条路由时,将按照定的顺序选择最优路由。请将以下内容按照比较顺序进行排序。 2.在如图所示的BGP/MPLSIP VPN网络中,管理员准备通过Hub-Spoke组网实现H站点对VPM流量的集中管控&am…

数字化校园的特征

"数字化校园"是校园信息化进入高级阶段的表现形式,信息技术与教育教育的交融应该更深化。因而,数字化校园应该具以下特征: 1.互联网络高速发展 网络是信息时代的根基,没有网络就无法完成教育信息化的绝大部分作业。数字…