网络安全监管

news2024/12/23 12:15:34

网络安全监管

  • 网络安全法律体系建设
    • 计算机犯罪、信息安全等基本概念
    • 我国立法体系及网络安全法
      • 我国的立法体系
      • 网络安全法
        • 出台背景
        • 基本概念
        • 安全法主要结构
          • 第一章 总则
          • 第二章 网络安全支持与促进
          • 第三章 网络运行安全
          • 第四章 网络信息安全
          • 第五章 监测预警与应急处置
          • 第六章 法律责任
  • 国家网络安全政策
    • 网络空间安全国家战略
    • 网络安全法相关保护
  • 网络安全道德与准则
    • 道德的约束
    • 职业道德准则
  • 网络安全标准
    • 标准与标准化
      • 标准
      • 标准化
      • 标准化组织
      • 我国标准化组织
    • 标准机构与标准体系
      • 全国信息安全标准化技术委员会
      • 我国分类标准
    • 国家网络安全标准体系
    • 信息安全等级保护标准体系
      • 等级保护工作流程
        • 定级与备案
        • 差距分析
        • 建设整改
        • 等级保护要求体系
        • 等级保护扩展要求

网络安全法律体系建设

计算机犯罪、信息安全等基本概念

计算机犯罪概念:
针对计算机信息系统,对国家、团体或个人造成危害的行为

计算机犯罪特点:
多样化
复杂化
国际化

计算机犯罪的趋势
从无意识到有组织
从个体侵害到国家威胁
跨越计算机本身的实施能力
低龄化成为法律制约难题

我国立法体系及网络安全法

我国的立法体系

立法是网络空间治理的基础工作
我国采取多级立法机制
在这里插入图片描述

网络安全法

网络安全立法演变为全球范围内的利益协调与国家主权斗争

出台背景

草案到正式出台经历了三次审议,两次公开征求意见和修改

基本概念

网络空间 已成为领土、领海、领空、太空之外的“第五空间”或人类“第二类生存空间”成为国家主权延伸的新疆域

安全法主要结构

七章79条
在这里插入图片描述

第一章 总则

明确网络空间主权原则
在这里插入图片描述

第二章 网络安全支持与促进

建立和完善网络安全标准体系建设
统筹规划,扶持网络安全产业(产品、服务等)
推动社会化网络安全服务体系建设
鼓励开发数据安全保护和利用技术、创新网络安全管理方式
开展经常性网络安全宣传教育
支持企业和高等学校、职业学校等教育培训机构
开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流

第三章 网络运行安全

明确要求落实网络安全等级保护制度
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
明确网络运营者的安全义务
在这里插入图片描述
明确网络产品、服务提供者的安全义务
在这里插入图片描述
明确一般性安全保护义务
在这里插入图片描述
关键信息基础设施保护
在这里插入图片描述
在这里插入图片描述
关键基础设施运营中产生的数据必须境内存储
2017年04月10日国家互联网信息办公室发布关于《个人信息和重要数据出境安全评估办法(征求意见稿)》公开征求意见的通知。明确了
个人信息和重要数据出境的范围
• 有50万人以上的个人信息
• 数据量超过1000GB
• 7大重要领域数据等
数据出境评估原则
评估7个方面主要内容

明确我国实行网络安全审查制度
在这里插入图片描述
2017年05月02日中央网信办正式发布《网络产品和服务安全审查办法(试行)》。其中就审查的目的、需要审查的网络产品和服务的范围、网络安全审查的管理部门(网络安全审查委员会)、审查的机构(国家统一认定网络安全审查第三方机构)和对党政机关和重点行业的审查工作提出要求。并于2017年6月1日同《网络安全法》一同实施.

第四章 网络信息安全

重视对个人信息保护
在这里插入图片描述
规范信息管理
在这里插入图片描述
确定信息管理中相关职责
在这里插入图片描述
2017年05月02日国家互联网信息办公室正式发布《互联网新闻信息服务管理规定》(国信办1号令),于6月1日同《网络安全法》一起实施。规范了:
互联网新闻信息服务的范围
互联网新闻信息服务的6项许可条件
互联网新闻信息服务提供者的责任义务
网信部门对互联网新闻信息服务的监督检查要求
相关法律责任

同日国家互联网信息办公室一并发布**《互联网信息内容管理行政执法程序规定》 (国信办2号令)**,于6月1日同《网络安全法》一起实施。规范了:
互联网信息内容管理部门行政执法依据
管辖范围
立案流程
调查取证过程
听证及约谈机制
处罚决定及执行办法等

第五章 监测预警与应急处置

工作制度化、法制化
在这里插入图片描述

第六章 法律责任

对违反《 网络安全法》 的行为,第六章规定了民事责任、行政责任、刑事责任
在这里插入图片描述
行政法相关法规

民法相关法规

刑法相关法规
出售或者提供公民个人信息罪、非法侵入计算机信息系统罪、网络服务渎职罪等

其他网络安全相关法规及条款
国家安全法
保密法
电子签名法
反恐怖主义法
密码法

国家网络安全政策

网络空间安全国家战略

全文:http://www.cac.gov.cn/2016-12/27/c_1120195926.htm?from=singlemessage

网络安全法相关保护

《中华人民共和国计算机信息系统安全保护条例》规定了计算机系统实现安全等级保护
GB 17859正式细化等级保护要求,划分五个级别
《关于信息安全等级保护工作的实施意见的通知》规定等级保护指导思想、原则和要求。定级从信息和信息系统的业务重要性及遭受破坏后的影响出发
网络安全法明确我国实行网络安全等级保护制度

网络安全道德与准则

道德的约束

道德的概念
一定社会或阶级用以调整人们之间利益关系的行为准则,也是评价人们行为善恶的标准

道德和法律
道德没有严谨的结构体系,法律是国家意志统一体系,有严密的逻辑

道德约束
道德约束是建立在完善的法律基础上
惩戒性条款的管理制度是组织内部建立职业道德约束的有效手段之一
培训与教育是不可或缺的增强员工道德意识的途径

职业道德准则

职业道德的概念
广义的职业道德是指从业人员在职业活动中应该遵循的行为准则,涵盖了从业人员与服务对象、职业与职工、职业与职业之间的关系。狭义的职业道德是指在一定职业活动中应遵循的、体现一定职业特征的、调整一定职业关系的职业行为准则和规范。

著名的计算机职业伦理守则
美国计算机学会职业伦理守则、英国计算机学会伦理守则、计算机伦理十诫

CISP职业道德准则
维护国家、社会和公众的信息安全
诚实守信、遵纪守法
努力工作,尽职尽责
发展自身,维护荣誉

网络安全标准

标准与标准化

标准

为了在一定范围内获得最佳秩序,经协商一致制定并由公认机构批准,共同使用的和重复使用的一种规范性文件

标准类型
国际标准
国家标准
行业标准
地方标准

标准化

为了在一定范围内获得最佳秩序,对现实问题或潜在问题制定共同使用和重复使用的条款的活动

标准化的基本特点
标准化是一项活动
标准化的对象:物、事、人
标准化是一个动态的概念
标准化是一个相对的概念
标准化的效益只有应用后才能体现
标准化工作原则:简化、统一、协调、优化

标准化组织

主要国际标准化组织
国际标准化组织(ISO)
国际电工委员会(IEC)
Internet工程任务组(IETF)
国际电信联盟(ITU)及国际电信联盟远程通
信标准化组织(ITU-T)

国家标准化组织(美国)
美国国家标准化协会(ANSI)
美国国家标准技术研究院(NIST)

我国标准化组织

中国国家标准化管理委员会
是我国最高级别的国家标准机构

全国信息安全标准化技术委员会(TC260)
1984年,成立数据加密技术分委员,后来改为信息技术安全分技术委员会, 2002年4月,为加强信息安全标准的协调工作,国家标准委决定成立全国信息安全标准化技术委员会(信安标委,TC260),由国家标准委直接领导,对口ISO/IEC JTC1 SC27
国家标准化管理委员会高新函[2004]1号文决定:自2004年1月起,各有关部门在申报信息安全国家标准计划项目时,必须经信息安全标委会提出工作意见,协调一致后由信息安全标委会组织申报;在国家标准制定过程中,标准工作组或主要起草单位要与信息安全标委会积极合作,并由信息安全标委会完成国家标准送审
、报批工作

标准机构与标准体系

全国信息安全标准化技术委员会

在这里插入图片描述

我国分类标准

GB 强制性国家标准
一经颁布必须贯彻执行,违反则构成经济或法律方面的责任

GB/T 推荐性国家标准
自愿采用的标准,共同遵守的技术依据,严格贯彻执行

GB/Z 国家标准指导性技术文件
由于技术发展过程中或其他理由,将来可能达成一致意见指导性技术文件
实施后3年内必须进行复审

国家网络安全标准体系

在这里插入图片描述

基础类标准
安全术语类
测评基础类
管理基础类
物理安全类
安全模型类
安全体系架构类

技术与机制标准
密码技术
鉴别机制
授权机制
电子签名
公钥基础设施
通信安全技术
涉密系统通用技术要求

管理与服务标准
涉密服务
安全控制与服务
网络安全管理
行业/领域安全管理

测评标准
密码产品
通用产品
安全保密产品
通用系统
涉密信息系统
通信安全
政府安全检查
安全能力评估

信息安全等级保护标准体系

在这里插入图片描述
安全等级类:主要对如何进行信息系统定级做出指导
GB/T22240-2008 《信息安全技术 信息系统安全保护等级保护定级指南》
各类行业定级准则

方法指导类:对如何开展等级保护工作做了详细规定
GB/T25058-2010《信息安全技术 信息系统安全等级保护实施指南》
GB/T25070-2010《信息系统等级保护安全设计技术要求》等

状况分析类:对如何开展等级保护测评工作做出了详细规定
GB/T28448-2012《信息安全技术 信息系统安全等级保护测评要求》
GB/T28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》等

基线要求类:分技术类、管理类和产品类等标准,分别对某些专门技术、管理和产品的进行要求
例如:GB/T22239-2008 《信息安全技术 信息系统安全等级保护基本要求》、GB/T20271-2006《信息系统通用安全技术要求》、GB/T21052-2007《信息系统物理安全技术要求》

等级保护工作流程

定级
备案
差距分析
建设整改
验收测评
定期复查
在这里插入图片描述

定级与备案

在这里插入图片描述

差距分析

目的:发现系统当前安全状况与《等级保护基本要求》之间差距,指导下一步整改工作

流程:差距分析流程与等级保护测评一致

报告:在完成差距分析后一般形成《等级保护差距分析报告》,格式一般参考《等级保护测评报告》,为下一阶段开展等级保护安全建设整改工作提出建设整改需求。

建设整改

依据:GB/T25070-2010《信息系统等级保护安全设计技术要求》

流程:依据《等级保护差距分析报告》中提出的安全建设整改需求,设计《等级保护安全建设整改方案》,并根据单位实际的资金、技术、人员配备情况分阶段地开展等级保护建设整改工作。

报告:建设整改前,需要编制《等级保护安全建设整改方案》,提出建设整改目标和步骤。在完成整改后,由建设单位开展验收工作,验证是否达到方案要求

等级保护要求体系

在这里插入图片描述

等级保护扩展要求

云计算安全要求
移动互联网安全
物联网安全
工业控制系统安全

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/491112.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

基于Python的PROSAIL模型介绍以及使用

1、介绍 PROSAIL是两种模型耦合得到的。 SAIL是冠层尺度的辐射传输模型,把冠层假设成是连续的且具有给定几何形状和密度的水平均匀分布的介质层,从而模拟入射辐射与均匀介质之间的相互作用,具体还是挺复杂的。而PROSPECT就是叶片尺度的辐射传…

​kali下搭建WiFi钓鱼热点​

在linux下建立无线热点并不像在windows下开启网络共享或者使用无线网卡驱动设置AP模式即可。 linux下的无线共享要用到两个软件:hostapd(创建无线热点)、dnsmasq(dns服务和dhcp服务). 1.安装以上两个软件: 1 2 apt-get install hostapd apt-get install…

【Java】字符串String

目录 1.字符串的构造 2.字符串转换 2.1字符串与数值转换 2.2大小写转换 2.3字符串转数组 2.4格式化 3.字符串操作 3.1字符串比较 3.2字符串查找 3.3字符串替换 3.4字符串拆分 3.5字符串截取 3.6去除空格 4.字符串的不可变性 5.字符串修改 5.1StringBuffer…

基于FreeRTOS的CPU利用率计算教程详解(STM32版)

前言:FreeRTOS 是一个 RTOS 类的嵌入式实时操作系统,作为实时操作系统其必定拥有任务调度的属性。通过系统自身的任务调度算法实现任务安全且高效的切换,这就不可避免的引出了各个任务对 CPU 的利用率问题(裸机情况下 CPU 利用率默…

自行车和电动自行车上亚马逊标准有什么区别?UL2849,16CFR1512

自行车 自行车是一种两轮的或三轮的交通工具,完全靠人力驱动后轮前进。本政策所涵盖的自行车包括当座位调整到最高位置时,座位离地面超过 25 英寸的自行车,以及座位高度为 25 英寸或以下的人行道自行车。本政策也适用于公路使用的卧式自行车…

有人看好、有人唱衰,无代码能不能开发复杂应用?

司马说 工欲善其事,必先利其器,软件开发也是如此。《人月神话》有一章的标题就是“巧匠因为他的工具而出名”。软件开发与编码工作是一项枯燥无味的任务,但现在这项工作很可能利用软件本身来完成。 无代码开发颠覆了传统编码的开发模式&#…

【工具使用】- git实现gitee托管代码以及检出代码

1. 下载Git工具 git下载地址1:https://git-scm.com/download/win git下载2:https://mirrors.tuna.tsinghua.edu.cn/github-release/git-for-windows/git/Git%20for%20Windows%202.40.1/ 下载完成后安装 安装直接执行exe可执行程序,下一步…

晒出新高度?2023夏季小红书防晒趋势前瞻

夏日将临,防晒需求激增,进入市场旺季。今年防晒赛道朝着“防护升级,多面兼顾”大势发展。 哪些趋势值得关注?本期,千瓜将通过小红书数据分析和笔记内容洞察,为品牌提供数据支持和方向参考。 月增长高达501.…

分布式事务 [面试]

1. 基础概念 1.1 什么是事务 事务可以看做是一次大的活动,它由不同的小活动组成,这些活动要么全部成功,要么全部失败。 1.2 本地事务 在计算机系统中,更多的是通过关系型数据库来控制事务,这是利用数据库本身的事务…

TBSS和dpabifiber

以前用过TBSS,最近好久没用,又忘记了,现在重新捡起来。 首先是QSIprep和QSIrecon。 QSIPrep预处理后,文件夹包括anat和dwi。anat和fmriprep是一样的,就不介绍了。 dwi: 可以看出,这些就是在原始…

全景丨0基础学习VR全景制作,平台篇第16章:热点功能-图片

大家好,欢迎观看蛙色VR官方——后台使用系列课程! 功能说明 应用场景 热点,指在全景作品中添加各种类型图标的按钮,引导用户通过按钮产生更多的交互,增加用户的多元化体验。 图片热点,即点击热点后弹出单张…

总结841

学习目标: 5月(张宇强化前10讲,背诵25篇短文,熟词僻义300词基础词) 每日必复习(5分钟) 重做了5道记录本上的极限题,值得庆幸的是,有一道极限题之前有三种解法&#xff…

【c语言】函数递归调用

创作不易&#xff0c;本篇文章如果帮助到了你&#xff0c;还请点赞 关注支持一下♡>&#x16966;<)!! 主页专栏有更多知识&#xff0c;如有疑问欢迎大家指正讨论&#xff0c;共同进步&#xff01; 给大家跳段街舞感谢支持&#xff01;ጿ ኈ ቼ ዽ ጿ ኈ ቼ ዽ ጿ ኈ ቼ…

98. 验证二叉搜索树【68】

难度等级&#xff1a;中等 上一篇算法&#xff1a; 剑指 Offer 54. 二叉搜索树的第k大节点【37】 力扣此题地址&#xff1a; 98. 验证二叉搜索树 - 力扣&#xff08;Leetcode&#xff09; 1.题目&#xff1a;98. 验证二叉搜索树 给你一个二叉树的根节点 root &#xff0c;判断…

阿里云服务器配置选择流程(2023新版教程)

阿里云服务器ECS选购指南&#xff0c;阿里云百科分享2023阿里云服务器新手选择流程&#xff0c;选购云服务器有两个入口&#xff0c;一个是选择活动机&#xff0c;只需要选择云服务器地域、系统、带宽即可&#xff1b;另一个是在云服务器页面&#xff0c;自定义选择云服务器配置…

Cartographer源码阅读---点云数据的预处理

上一节我们已经看到了, 传感器数据是通过CollatedTrajectoryBuilder类的HandleCollatedSensorData函数 传递给 GlobalTrajectoryBuilder类的相应函数. 从GlobalTrajectoryBuilder开始, 传感器数据才真正进入到Cartographer的前后端. Cartographer最重要的数据类型就是点云, 所以…

软件著作权审查时间、软件导刊审稿周期、计算机工程与应用审稿周期、计算机技术与发展审稿周期、电子测量与仪器学报审稿周期

目录 《软件著作权》审查时间《软件导刊》审稿周期《计算机工程与应用》审稿周期《计算机技术与发展》审稿周期《电子测量与仪器学报》审稿周期 《软件著作权》审查时间 2022年申请软著的时间节点&#xff1a; 11.15受理通知书 11.15审查中 12.3审批中 12.20审查中 12.24待发放…

如何利用ChatGPT API 搭建私人 AI会话

搭建私有ChatGPT 访问谷歌的方式自行解决一、Github域名和证书私有服务器开始搭建私有Open Ai 访问谷歌的方式自行解决 对不起&#xff0c;没有魔法者止步&#xff01;没有 API 止步&#xff01; 对不起&#xff0c;没有魔法者止步&#xff01;没有 API 止步&#xff01; 对不…

C#医院手术麻醉临床信息管理系统源码:操作指南(一)

手术麻醉系统操作指南&#xff1a; 1.麻醉管理 手术管理包括:手术申请、手术安排、查看手术申请单、手术通知单&#xff0c;填写病人术前会诊记录、谈话记录、麻醉记录、手术记录、附加手术、术后信息及手术回顾等功能。 &#xff08;1&#xff09;手术申请 【功能】&#…

亚马逊cpc常见产品测试合集

CPC认证就是儿童产品安全证书&#xff08;Children’s Product Certificate, CPC&#xff09;&#xff0c;适用于所有以12岁及以下儿童为主要目标使用对象的产品&#xff0c;如玩具、摇篮、儿童服装等。 如在美国本地生产则由制造商负责提供&#xff0c;如在其他国家生产则由进…