信息安全法规和标准

《全国人民代表大会常务委员会关于维护互联网安全的决定》规定，威胁互联网运行安全的行为：（1）侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统，（2）故意制作、传播计算机病毒等破坏性程序，攻击计算机系统及通信网络，致使计算机系统及通信网络遭受损害，（3）违反国家规定、擅自中断计算机网络或者通信服务，造成计算机网络或者通信网络不能正常运行。。。威胁国家安全和社会稳定的行为：（1）利用互联网造谣、诽谤或者发表、传播其他有害信息，煽动颠覆国家政权、推翻社会主义制度，或者煽动分裂国家，破坏国家统一，（2）通过互联网窃取，泄露国家秘密，情报或者军事秘密，（3）利用互联网煽动民族仇恨，民族歧视，破坏民族团结，（4）利用互联网组织邪教组织，联络邪教组织成员，破坏国家律法，行政法规实施

2、安全标记保护级的计算机系统可信计算机具有系统审计保护功能。主要特征是计算机信息系统可信计算基对所有主体及所控制的客体（例如：进程，文件，段，设备）实施强制访问控制

3、安全标记保护级的计算机信息系统可信计算基具有系统审计保护级所有功能。本级主要特征是计算机信息系统可信计算基对所有主体及其所控制的客体（例如：进程、文件、段、设备）实施强制访问控制

4、《中华人民共和国网络安全法》要求，采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月

5、《中华人民共和国网络安全法》第二十五条，网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络入侵等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告

6、特别重大的社会影响波及一个或多个省市的大部分地区，极大威胁国家安全，引起社会动荡，对经济建设有及其恶劣的负面影响，或者严重损害公众利益

7、应急响应计划中的风险评估是标识信息系统的资产价值，识别信息系统面临的自然和人为的威胁，识别信息系统的脆弱性，分析各种威胁发生的可能性

8、应急响应预案做的越详细，在实施过程中的弹性和通用性越小

9、业务连续性管理（BCM）找出组织有潜在影响的威胁及其对组织业务运行的影响，通过有效的应对措施来保护组织的利益、信誉的活动，并为组织提供建设恢复能力框架的整体管理过程 BCM战略具体包括事件的应急处理计划、连续性计划和灾难恢复计划等内容

10、《商用密码管理条例》规定商用密码的科研、生产由国家密码管理机构指定的单位承担，商用密码产品的销售则必须经国家密码管理机构许可，拥有《商用密码产品销售许可证》才可进行

11、涉密信息系统安全保密标准工作组负责研究提出涉密系统安全保密标准提醒；制定和修订涉密信息系统安全保密标准

12、涉密人员的脱敏期应根据其接触、知悉国家秘密的密级、数量、事件等情况确定。一般情况下，核心涉密人员为3年至5年，重要涉密人员为2年至3年，一般涉密人员为1年2年

13、涉密信息系统，划分等级包括秘密、机密、绝密

14、2018年11月，作为补篇去年纳入国际标准的SM2/SM9数字签名算法，以正文形式随ISO/IEC14888-3:2018《信息安全技术带附录的数字签名第三部分：基于离散对数的机制》最新一版发布

15、刑法第二百八十六条（破坏计算机信息系统罪）违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或拘役；后果特别严重的，处五年以上有期徒刑

16、《全国人民代表大会常务委员会关于维护互联网安全的决定》规定，威胁个人、法人和其他组织的人身、财产等合法权利的行为：1）利用互联网侮辱他人或者捏造事实诽谤他人；2）非法截获、篡改删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密

3）利用互联网进行盗窃、诈骗、敲诈勒索

17、访问验证保护级的计算机系信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问，访问监控器本身是扛篡改的；必须足够小，能够分析和测试

18、《中华人民共和国网络安全法》第五十六条省级以上人民政府有关部门在履行网络安全监督管理职责中，发现网络存在较大安全风险或者发生安全事件的，可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施，进行整改，消除隐患

19、《一般数据保护条例》是欧盟法规的重要组成部分，主要内容是关于欧盟境内的公民数据应该如何被公司所使用，引入严格的新规则，已获得人们对数据进行处理的同意。它由欧洲会议在2016年4月所批准，并将在2018年5月正式实施

20、威胁是一种对信息系统构成潜在破坏的可能性因素，是客观存在的

21、《中华人民共和国网络安全法》第八条国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关按照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护盒监督管理工作。县级以上地方人民政府有关部门的网络安全保护盒监督管理职责，按照国家有关规定确认

22、计算机系统外部设备在工作时能够通过地线、电源线、信号线、寄生电磁信号或谐波将有用信息辐射出去的过程，叫做计算机的电磁泄露

23、为了克服高温、湖湿、低温、干燥等给计算设备带来的危害，通常希望把计算机机房湿度控制在45%-65%之间

24、理论计算和分析表明，影响计算机电磁辐射强度的主要因素有：功率和频率、与辐射源的距离、屏蔽状况

25、《中华人民共和国密码法》于2020年1月1日生效

26、《网络产品和服务安全审查办法》用于评估网络产品和服务可能带来的国家安全风险

27、《数据中心设计规范》（gb50174-2017）中数据中心的耐火等级不应低于二级

28、《互联网数据中心工程技术规范》（GB51195-2016）重要条款有：3.3.2 IDC机房可划分为R1、R2、R3三个级别，各级IDC机房应符合下列规定：1）R1级IDC机房的机房基础设施和网络系统的主要部分应具备一定的冗余能力、机房基础设施和网络系统可支撑的IDC业务的可用性不应小于99.5% 2）R2级IDC机房的机房基础设施和网络系统应具备冗余能力，机房基础设施和网络系统可支撑的IDC业务的可用性不应小于99.9% 3）R3级IDC机房的机房基础设施和网络系统应具备容错能力，机房基础设施和网络系统可支撑的IDC业务的可用性不应小于99.99%

29、《计算机信息系统国际联网保密管理规定》规定：“涉及国家秘密的计算机信息系统，不得直接或间接的与国际互联网或其他公共信息网络相连接，必须实行物理隔离”

30、依据《可信计算机系统评估准则》TCSEC要求，C2及以上安全级别的计算机系统，必须具有审计功能。依据《计算机信息系统安全保护等级划分标准》（GB 17859）规定，从第二级（系统审计保护级）开始要求系统具有安全审计机制，第三级（安全标志级）计算机信息系统可信计算基对所有的客体（例如：进程，文件，段，设备）实施强制访问控制。第四级（结构化保护级）：计算机信息系统可信计算基对外部主体能够直接或间接访问的所有资源（例如：主体、存储客体和输入输出资源）

31、《信息安全技术信息系统灾难恢复规范（GB/T 20988-27）》中：第三级是电子传输和部分设备支持。第三级不同于第二级的调配数据处理设备和具备网络系统紧急供货协议，其要求配置部分数据处理设备和部分通信线路及相应的网络设备；同时要求每天多次利用通信网络将关键数据定时批量传送至备用场地，并在灾难备份中心配置专职的运行管理人员；对于运行维护来说，要求制定电子传输数据备份系统运行管理制度第四级是电子传输及完整设备支持。第四级相对于第三级中的配电部分数据处理设备和网络设备而言，须配置灾难恢复所需的全部数据处理设备和通信线路及网络设备，并处于就绪状态；备用场地也提出了支持7*24小时运作的更高的要求同事对技术支持和运维管理的要求也有相应的提高

32、网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险，主要包括：产品和服务使用后带来的关键信息基础设施被非法控制，遭受干扰或破坏，以及重要数据被窃取，泄露，损毁的风险；产品和服务供应中断对关键信息基础设施服务连续性的危害；产品和服务的安全性、开放性、透明性、来源的多样性、供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；产品和服务提供者遵守中国法律、行政法规、部门规章等情况；其他肯呢个危害关键信息基础设施安全和国家安全的因素

33、《国务院办公厅关于加强政府网站域名管理的通知》（国办函（2018）55号）要求加强域名解析系统DNS安全协议技术、抗攻击技术等措施，防止域名被劫持，被冒用，确保域名解析安全。应委托具有应急灾备、抗攻击等能力的域名解析服务提供商进行域名解析，鼓励对政府网站域名集中解析。自行建设韵味的政府网站不放在境外；租用网络虚拟空间的，所租用的空间应位于服务商的境内节点。使用内容分发网络CDN服务的，应当要求服务商将境内用户的域名解析地址指向境内节点，不得指向境外节点

34、刑法第二百八十五条（非法侵入计算基信息系统罪）违反国家规定，侵入国家事务，国防建设，尖端科学技术领域的计算机信息系统，处三年以下有期徒刑或者拘役

35、日志与监控需审核和保护特权用户的权限

36、中央网络安全和信息化领导小组第一次会议于2014年2月27日在北京召开。2018年3月，根据中共中央印发的《深化党和国家机构改革方案》，将中央网络安全和信息化领导小组改为中国共产党中央网络安全和信息化委员会

37、《信息安全等级保护管理办法》第七条信息系统的安全保护等级分为五级：第一级（信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益）、第二级（信息系统受到破坏后，会对公民，法人或其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全）、第三级（信息系统受到破坏后，会对社会秩序和公共利益造成验证损害，或者对国家安全造成损害）、第四级（信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害）、第五级（信息系统受到破坏后，会对国家安全造成特别严重损害）

38、

39、据《计算机场地安全要求（GB/T9361-2011）》，计算机机房的安全等级分为 A：计算机系统运行中断后，会对国家安全、社会秩序、公共利益造成严重损害的对计算机机房的安全有严格的要求，有完善的计算机器机房安全措施 B级：计算机系统运行中断后，会对国家安全、社会秩序、公共利益造成较大损害的计算机机房的安全有较严格的要求，有较完善的计算机机房安全措施 C级：不属于A、B级的情况，对计算机机房的安全有基本的要求，有基本的计算机机房安全措施

40、我国的国家标准GB17859《计算机信息系统安全保护等级划分准则》从第二级开始要求提供审计安全机制。其中第二级为系统审计保护级，该级要求计算基信息系统可信计算基实施了粒度更细的自主访问控制，他通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责

41、{帮助信息网络犯罪活动罪} 明知他人利用信息实时犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持、或者提供广告推广、支付结算等帮助，情节严重，处三年以下有期徒刑或者拘役，并处或者单处罚金

42、数据是任何以电子或者非电子形式对信息的记录，数据活动是指对数据的收集、存储、加工、使用、提供、交易、公开等行为

43、常见的标准代号：1）我国的国家标准代号：强制性的标准代号GB、推荐性标准代号GB/T、指导性标准代号GB/Z、实物标准代号GSB 2）行业标准代号：汉语品议大写字母（电力DL） 3）地方标准代号：有DB加上行政区划代码的前两位 4）企业标准代号：Q加企业代号组成 5）美国国家标准学会（ANSI）是美国国家标准 5）国家标准化指导性技术文件：指导性技术文件的代号由大写汉语拼音字母GB/Z构成；指导性技术文件的编号，由指导性技术文件的代号、顺序号和年号（既发布年份的四位数字）组成

44、《中华人民共和国保守国家秘密法实施条例》国家秘密的保密期限自标明的制发日起算；不能标明制发日的，确定该国家秘密的机关、单位应当书面通知知悉范围内的机关、单位和人员，保密期限自通知之日起计算

45、

46、一般网络安全事件：对国家安全、社会秩序、经济建设和公众利益构成一定威胁，造成一定影响的网络安全事件

47、域名系统出现网络与信息安全事件时，应当在24小时内向电信管理机构报告

48、《中华人民共和国密码法》第六条国家对密码实行分类管理，密码分为核心密码、普通密码和商用密码

49、在网络安全测评的事实方式中，安全功能检测，依据网络信息系统的安全目标和设计要求，对信息系统的安全功能实现状况评估，检查安全功能是否满足目标和设计要求。安全功能符合性检测的主要依据有：《信息安全技术信息系统等级保护安全设计技术要求》（GB/T25070-2019）、《信息安全技术信息系统通用阿全技术要求》（GB/T20271-2016）、网络信息安全最佳实践、网络信息系统项目安全需求说明书

50、根据《中华人民共和国密码法》，密码分为核心密码、普通密码和商用密码。其中核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。商用密码用于保护不属于国家秘密的信息，公民、法人和其他组织可以依法适用商用密码保护网络与信息安全

51、网络安全等级保护2.0的主要变化包括：一是扩大了对象范围、将云计算、移动互联、物联网、工业控制系统等列入标准范围，构成了“网络安全通用要求+新型英勇的网络安全扩展要求”的要求内容。二是提出了“安全通信网络”“安全区域边界”“安全计算环境”“安全管理中心”支持下的三重防护体系架构。三是等级保护2.0新标准强化了可信计算技术使用的要求，各级增加了 “可信验证”控制点。安全保护等级分为5个在1.0就以如此

52、针对政府网站，国家颁布了《信息安全技术政府门户网站系统安全技术指南》（GBT31506-2015）政府网站的信息安全等级原则不低于二级，三级网站每年应测评一次，二级网站每两年应测评一次