信息安全法规和标准

news2024/11/15 5:42:38

《全国人民代表大会常务委员会关于维护互联网安全的决定》规定,威胁互联网运行安全的行为:(1)侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统,(2)故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害,(3)违反国家规定、擅自中断计算机网络或者通信服务,造成计算机网络或者通信网络不能正常运行。。。威胁国家安全和社会稳定的行为:(1)利用互联网造谣、诽谤或者发表、传播其他有害信息,煽动颠覆国家政权、推翻社会主义制度,或者煽动分裂国家,破坏国家统一,(2)通过互联网窃取,泄露国家秘密,情报或者军事秘密,(3)利用互联网煽动民族仇恨,民族歧视,破坏民族团结,(4)利用互联网组织邪教组织,联络邪教组织成员,破坏国家律法,行政法规实施

2、安全标记保护级的计算机系统可信计算机具有系统审计保护功能。主要特征是计算机信息系统可信计算基对所有主体及所控制的客体(例如:进程,文件,段,设备)实施强制访问控制

3、安全标记保护级的计算机信息系统可信计算基具有系统审计保护级所有功能。本级主要特征是计算机信息系统可信计算基对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制访问控制

4、《中华人民共和国网络安全法》要求,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月

5、《中华人民共和国网络安全法》第二十五条,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络入侵等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告

6、特别重大的社会影响波及一个或多个省市的大部分地区,极大威胁国家安全,引起社会动荡,对经济建设有及其恶劣的负面影响,或者严重损害公众利益

7、应急响应计划中的风险评估是标识信息系统的资产价值,识别信息系统面临的自然和人为的威胁,识别信息系统的脆弱性,分析各种威胁发生的可能性

8、应急响应预案做的越详细,在实施过程中的弹性和通用性越小

9、业务连续性管理(BCM)找出组织有潜在影响的威胁及其对组织业务运行的影响,通过有效的应对措施来保护组织的利益、信誉的活动,并为组织提供建设恢复能力框架的整体管理过程     BCM战略具体包括事件的应急处理计划、连续性计划和灾难恢复计划等内容

10、《商用密码管理条例》规定商用密码的科研、生产由国家密码管理机构指定的单位承担,商用密码产品的销售则必须经国家密码管理机构许可,拥有《商用密码产品销售许可证》才可进行

11、涉密信息系统安全保密标准工作组负责研究提出涉密系统安全保密标准提醒;制定和修订涉密信息系统安全保密标准

12、涉密人员的脱敏期应根据其接触、知悉国家秘密的密级、数量、事件等情况确定。一般情况下,核心涉密人员为3年至5年,重要涉密人员为2年至3年,一般涉密人员为1年2年

13、涉密信息系统,划分等级包括秘密、机密、绝密

14、2018年11月,作为补篇去年纳入国际标准的SM2/SM9数字签名算法,以正文形式随ISO/IEC14888-3:2018《信息安全技术带附录的数字签名第三部分:基于离散对数的机制》最新一版发布

15、刑法第二百八十六条(破坏计算机信息系统罪)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或拘役;后果特别严重的,处五年以上有期徒刑

16、《全国人民代表大会常务委员会关于维护互联网安全的决定》规定,威胁个人、法人和其他组织的人身、财产等合法权利的行为:1)利用互联网侮辱他人或者捏造事实诽谤他人;2)非法截获、篡改删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密

3)利用互联网进行盗窃、诈骗、敲诈勒索

 

17、访问验证保护级的计算机系信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问,访问监控器本身是扛篡改的;必须足够小,能够分析和测试

18、《中华人民共和国网络安全法》第五十六条  省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患

19、《一般数据保护条例》是欧盟法规的重要组成部分,主要内容是关于欧盟境内的公民数据应该如何被公司所使用,引入严格的新规则,已获得人们对数据进行处理的同意。它由欧洲会议在2016年4月所批准,并将在2018年5月正式实施

20、威胁是一种对信息系统构成潜在破坏的可能性因素,是客观存在的

21、《中华人民共和国网络安全法》第八条 国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关按照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护盒监督管理工作。县级以上地方人民政府有关部门的网络安全保护盒监督管理职责,按照国家有关规定确认

22、计算机系统外部设备在工作时能够通过地线、电源线、信号线、寄生电磁信号或谐波将有用信息辐射出去的过程,叫做计算机的电磁泄露

23、为了克服高温、湖湿、低温、干燥等给计算设备带来的危害,通常希望把计算机机房湿度控制在45%-65%之间

24、理论计算和分析表明,影响计算机电磁辐射强度的主要因素有:功率和频率、与辐射源的距离、屏蔽状况

25、《中华人民共和国密码法》于2020年1月1日生效

26、《网络产品和服务安全审查办法》用于评估网络产品和服务可能带来的国家安全风险

27、《数据中心设计规范》(gb50174-2017)中数据中心的耐火等级不应低于二级

28、《互联网数据中心工程技术规范》(GB51195-2016)重要条款有:3.3.2 IDC机房可划分为R1、R2、R3三个级别,各级IDC机房应符合下列规定:1)R1级IDC机房的机房基础设施和网络系统的主要部分应具备一定的冗余能力、机房基础设施和网络系统可支撑的IDC业务的可用性不应小于99.5%  2)R2级IDC机房的机房基础设施和网络系统应具备冗余能力,机房基础设施和网络系统可支撑的IDC业务的可用性不应小于99.9%   3)R3级IDC机房的机房基础设施和网络系统应具备容错能力,机房基础设施和网络系统可支撑的IDC业务的可用性不应小于99.99%

29、《计算机信息系统国际联网保密管理规定》规定:“涉及国家秘密的计算机信息系统,不得直接或间接的与国际互联网或其他公共信息网络相连接,必须实行物理隔离”

30、依据《可信计算机系统评估准则》TCSEC要求,C2及以上安全级别的计算机系统,必须具有审计功能。依据《计算机信息系统安全保护等级划分标准》(GB 17859)规定,从第二级(系统审计保护级)开始要求系统具有安全审计机制,第三级(安全标志级)计算机信息系统可信计算基对所有的客体(例如:进程,文件,段,设备)实施强制访问控制。第四级(结构化保护级):计算机信息系统可信计算基对外部主体能够直接或间接访问的所有资源(例如:主体、存储客体和输入输出资源)

31、《信息安全技术信息系统灾难恢复规范(GB/T 20988-27)》中:第三级是电子传输和部分设备支持。第三级不同于第二级的调配数据处理设备和具备网络系统紧急供货协议,其要求配置部分数据处理设备和部分通信线路及相应的网络设备;同时要求每天多次利用通信网络将关键数据定时批量传送至备用场地,并在灾难备份中心配置专职的运行管理人员;对于运行维护来说,要求制定电子传输数据备份系统运行管理制度    第四级是电子传输及完整设备支持。第四级相对于第三级中的配电部分数据处理设备和网络设备而言,须配置灾难恢复所需的全部数据处理设备和通信线路及网络设备,并处于就绪状态;备用场地也提出了支持7*24小时运作的更高的要求同事对技术支持和运维管理的要求也有相应的提高

 

32、网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要包括:产品和服务使用后带来的关键信息基础设施被非法控制,遭受干扰或破坏,以及重要数据被窃取,泄露,损毁的风险;产品和服务供应中断对关键信息基础设施服务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样性、供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章等情况;其他肯呢个危害关键信息基础设施安全和国家安全的因素

33、《国务院办公厅关于加强政府网站域名管理的通知》(国办函(2018)55号)要求加强域名解析系统DNS安全协议技术、抗攻击技术等措施,防止域名被劫持,被冒用,确保域名解析安全。应委托具有应急灾备、抗攻击等能力的域名解析服务提供商进行域名解析,鼓励对政府网站域名集中解析。自行建设韵味的政府网站不放在境外;租用网络虚拟空间的,所租用的空间应位于服务商的境内节点。使用内容分发网络CDN服务的,应当要求服务商将境内用户的域名解析地址指向境内节点,不得指向境外节点

34、刑法第二百八十五条(非法侵入计算基信息系统罪)违反国家规定,侵入国家事务,国防建设,尖端科学技术领域的计算机信息系统,处三年以下有期徒刑或者拘役

35、日志与监控需审核和保护特权用户的权限

36、中央网络安全和信息化领导小组第一次会议于2014年2月27日在北京召开。2018年3月,根据中共中央印发的《深化党和国家机构改革方案》,将中央网络安全和信息化领导小组改为中国共产党中央网络安全和信息化委员会

37、《信息安全等级保护管理办法》第七条 信息系统的安全保护等级分为五级:第一级(信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益)、第二级(信息系统受到破坏后,会对公民,法人或其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全)、第三级(信息系统受到破坏后,会对社会秩序和公共利益造成验证损害,或者对国家安全造成损害)、第四级(信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害)、第五级(信息系统受到破坏后,会对国家安全造成特别严重损害)

38、9aee460f93ef4cb480d9597b621c83ff.png

39、据《计算机场地安全要求(GB/T9361-2011)》,计算机机房的安全等级分为  A:计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成严重损害的对计算机机房的安全有严格的要求,有完善的计算机器机房安全措施    B级:计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成较大损害的计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施   C级: 不属于A、B级的情况,对计算机机房的安全有基本的要求,有基本的计算机机房安全措施

40、我国的国家标准GB17859《计算机信息系统安全保护等级划分准则》从第二级开始要求提供审计安全机制。其中第二级为系统审计保护级,该级要求计算基信息系统可信计算基实施了粒度更细的自主访问控制,他通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责

41、{帮助信息网络犯罪活动罪}  明知他人利用信息实时犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持、或者提供广告推广、支付结算等帮助,情节严重,处三年以下有期徒刑或者拘役,并处或者单处罚金

42、数据是任何以电子或者非电子形式对信息的记录,数据活动是指对数据的收集、存储、加工、使用、提供、交易、公开等行为

43、常见的标准代号:1)我国的国家标准代号:强制性的标准代号GB、推荐性标准代号GB/T、指导性标准代号GB/Z、实物标准代号GSB  2)行业标准代号:汉语品议大写字母(电力DL) 3)地方标准代号:有DB加上行政区划代码的前两位   4)企业标准代号:Q加企业代号组成   5)美国国家标准学会(ANSI) 是美国国家标准  5)国家标准化指导性技术文件:指导性技术文件的代号由大写汉语拼音字母GB/Z构成;指导性技术文件的编号,由指导性技术文件的代号、顺序号和年号(既发布年份的四位数字)组成

44、《中华人民共和国保守国家秘密法实施条例》   国家秘密的保密期限自标明的制发日起算;不能标明制发日的,确定该国家秘密的机关、单位应当书面通知知悉范围内的机关、单位和人员,保密期限自通知之日起计算

45、4d14fe8bdfa64f559d6e650cbd074244.png

46、一般网络安全事件:对国家安全、社会秩序、经济建设和公众利益构成一定威胁,造成一定影响的网络安全事件

47、域名系统出现网络与信息安全事件时,应当在24小时内向电信管理机构报告

48、《中华人民共和国密码法》第六条国家对密码实行分类管理,密码分为核心密码、普通密码和商用密码

49、在网络安全测评的事实方式中,安全功能检测,依据网络信息系统的安全目标和设计要求,对信息系统的安全功能实现状况评估,检查安全功能是否满足目标和设计要求。安全功能符合性检测的主要依据有:《信息安全技术信息系统等级保护安全设计技术要求》(GB/T25070-2019)、《信息安全技术信息系统通用阿全技术要求》(GB/T20271-2016)、网络信息安全最佳实践、网络信息系统项目安全需求说明书

50、根据《中华人民共和国密码法》,密码分为核心密码、普通密码和商用密码。其中核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法适用商用密码保护网络与信息安全

51、网络安全等级保护2.0的主要变化包括:一是扩大了对象范围、将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“网络安全通用要求+新型英勇的网络安全扩展要求”的要求内容。二是提出了“安全通信网络”“安全区域边界”“安全计算环境”“安全管理中心”支持下的三重防护体系架构。三是等级保护2.0新标准强化了可信计算技术使用的要求,各级增加了 “可信验证”控制点。安全保护等级分为5个在1.0就以如此

52、针对政府网站,国家颁布了《信息安全技术政府门户网站系统安全技术指南》(GBT31506-2015)政府网站的信息安全等级原则不低于二级,三级网站每年应测评一次,二级网站每两年应测评一次

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1711955.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

气膜建筑的运行保障:应对停电的解决方案—轻空间

气膜建筑作为一种现代化的建筑形式,以其独特的结构和多样的应用赢得了广泛关注。这种建筑依靠风机不断往内部吹气来维持其结构形态,那么如果遇到停电的情况,该如何确保其正常运行呢? 气膜建筑的供风系统 气膜建筑内部的气压维持依…

使用`War`包部署`Jenkins`(超级详细)

使用War包部署Jenkins(超级详细) 别着急,你看这年复一年,春光不必趁早,冬霜不会迟到。过去的都会过去,该来的都在路上,一切都是刚刚好。 网站说明 https://get.jenkins.io/war-stable/ war包下载地址 https://www.jenk…

Metasploit渗透测试工具使用

Metasploit Framework(MSF) 是一款开源安全漏洞检测工具,附带数千个已知的软件漏洞,并保持持 续更新。Metasploit可以用来信息收集、漏洞探测、漏洞利用等渗透测试的全流程,被安全社区冠以“可 以黑掉整个宇宙”之名。刚开始的Metasploit是采…

Steamdeck使用Windows系统游玩雪地奔驰时闪退问题解决方法

我非常喜欢雪地奔驰这款游戏,买sd的一部分也是为了它。可在我打开这个游戏时,游戏发生闪退问题。查阅了网络各个途径,基本没有解决方法。因此我自己分析终于解决该问题。以下是我解决问题的思路,仅供记录参考: 游戏在崩…

uniapp - 填充页面

在上一篇文章中,创建了一个空白的文章模块页面。在这一篇文章,让我们来向页面中填充内容。 目录 页面效果涉及uniapp组件1.view2.swiper3.scroll-view4.属性解读1) class"style1 style2 .."2) circular单属性无赋值3) :autoplay"autoplay…

大型跨境商城系统平台的技术架构分析

随着全球化的深入发展,大型跨境电商平台在如今的商业环境中扮演着越来越重要的角色。这些平台不仅仅是为了提供商品和服务,它们更是连接不同国家和地区消费者与供应商之间的桥梁。在这篇博客中,我们将深入探讨大型跨境商城系统平台的技术架构…

目标检测——家庭日常用品数据集

引言 亲爱的读者们,您是否在寻找某个特定的数据集,用于研究或项目实践?欢迎您在评论区留言,或者通过公众号私信告诉我,您想要的数据集的类型主题。小编会竭尽全力为您寻找,并在找到后第一时间与您分享。 …

7 Series FPGAs Integrated Block for PCI Express IP核设计中的物理层控制核状态接口

物理层控制和状态允许用户应用程序根据数据吞吐量和电源需求来更改链路的宽度和速度。 1 Design Considerations for a Directed Link Change 在Directed Link Change(定向链接更改)期间需要注意的事项有: 链接更改操作(Link c…

加氢站压缩液驱比例泵放大器

加氢站压缩液驱液压系统的要求是实现换向和速度控制,对液压动力机构而言,按原理可区分为开式(阀控)- 节流控制系统和闭式(泵控)- 容积控制系统: 阀控系统 – 节流调速系统:由BEUEC比…

dp秒杀优惠券

1、全局id生成器 当用户抢购时,就会生成订单并保存到tb_voucher_order这张表中,而订单表如果使用数据库自增ID就存在一些问题: id的规律性太明显受单表数据量的限制 场景分析:如果我们的id具有太明显的规则,用户或者…

【机器学习】解锁AI密码:神经网络算法详解与前沿探索

👀传送门👀 🔍引言🍀神经网络的基本原理🚀神经网络的结构📕神经网络的训练过程🚆神经网络的应用实例💖未来发展趋势💖结语 🔍引言 随着人工智能技术的飞速发…

设计模式六大原则之依赖倒置原则

文章目录 概念逻辑关系 小结 概念 依赖倒置原则指在设计代码架构时,高层模块不应该依赖底层模块,二者都应该依赖抽象。抽象不应该依赖于细节,细节应该依赖于抽象。 逻辑关系 如上图所示,逻辑应该就是这样,高层依赖于…

深度学习-语言模型

深度学习-语言模型 统计语言模型神经网络语言模型语言模型的应用序列模型(Sequence Model)语言模型(Language Model)序列模型和语言模型的区别 语言模型(Language Model)是自然语言处理(NLP&…

web自动化-数据驱动与失败用例截图、失败重新运行

因为只有失败的用例需要截图,那么问题就是: 什么时候用例会失败? 数据驱动测试 我们前面覆盖到的用例都是正常的用例,如果要测试异常的用例呢? 我们来写一下登录的异常 场景:【login_page】 # 用户输入框…

Adobe AntiCC 简化版 安装教程

Adobe AntiCC 简化版 安装教程 原文地址:https://blog.csdn.net/weixin_48311847/article/details/139277743

opencascade V3d_RectangularGrid 源码学习

类V3d_RectangularGrid V3d_RectangularGrid() V3d_RectangularGrid::V3d_RectangularGrid(const V3d_ViewerPointer &aViewer, const Quantity_Color &aColor, const Quantity_Color &aTenthColor) // 构造函数 ◆ ~V3d_RectangularGrid() virtual V3d_Rectang…

华为诺亚等发布MagicDrive3D:自动驾驶街景中任意视图渲染的可控3D生成

文章链接:https://arxiv.org/pdf/2405.14475 项目链接:https://flymin.github.io/magicdrive3d 虽然可控生成模型在图像和视频方面取得了显著成功,但在自动驾驶等无限场景中,高质量的3D场景生成模型仍然发展不足,主…

NDIS小端口驱动开发(三)

微型端口驱动程序处理来自过度驱动程序的发送请求,并发出接收指示。 在单个函数调用中,NDIS 微型端口驱动程序可以指示具有多个接收 NET_BUFFER_LIST 结构的链接列表。 微型端口驱动程序可以处理对每个NET_BUFFER_LIST结构上具有多个 NET_BUFFER 结构的多…

树莓派部署harbor_arm64

文章目录 树莓派4b部署Harbor-arm64版本docker-compose维护命令访问harbor 192.168.1.111认用户名密码admin/Harbor12345 树莓派4b部署Harbor-arm64版本 harbor-arm版本 部署:参考 wget https://github.com/hzliangbin/harbor-arm64/releases/download/v1.9.3/ha…

NFS p.1 服务器的部署以及客户端与服务端的远程挂载

目录 介绍 应用 NFS的工作原理 NFS的使用 步骤 1、两台机子 2、安装 3、配置文件 4、实验 服务端 准备 启动服务: 客户端 准备 步骤 介绍 NFS(Network File System,网络文件系统)是一种古老的用于在UNIX/Linux主…