① 2019年全國兩會關於網路信息安全提案分析與解讀
眾所周知,網路已經變成人們生活中不可缺少的事物,也許就在此時,你剛剛刷完朋友圈,正在用電腦或者手機瀏覽我們的文章,但是,我們在享受網路帶給我們的便利的同時,卻也往往忽視了網路對我們的威脅。隨著大數據時代的到來,網路安全正變得越來越重要。在兩會期間,啟明星辰信息技術股份有限公司的CEO嚴望佳女士給出了以下三個方面提案:
2018年全國兩會提案匯總
2018兩會 政府工作報告 (全文) 2018兩會 教育改革 2018兩會 房產稅 兩會2018 醫療改革就醫 2018兩會 中國要干這60件大事 2018兩會 房價趨勢 兩會2018 事業單位改革 2018兩會 養老金上調漲工資 個稅改革 2018兩會 教師工資
一、信息安全——保證電子政務雲有效實施
有兩個詞語在近些年頻頻被提及,那就是雲計算和大數據。在各行各業,雲計算和大數據都起到了重要的作用,它們為我們帶來了一個跨時代的變化。雲的推廣與應用,也為電子政務開辟了一條新的道路。電子政務雲的建設關鍵點便是信息安全是否能夠有效得到保證。我國現在電子政務雲面臨的問題有三,首先是法律法規和標准不健全;其次是虛擬化及多租戶的安全威脅;最後是應用與數據集中帶來的威脅。
法律方面,沒有相關法規管理就會導致有許多隱患的存在;技術方面,雲計算又和傳統IT有不小的區別,我國發展的並不完善,在介面平台環境都資源方面仍處在一個欠缺的狀態;而雲計算和大數據將資源集中整合之後帶來的風險也會對安全造成威脅。總之這幾方面對電子政務雲的管理、產品、技術都提出了更大的挑戰。我們應該建立完整的一套標准,從上到下規劃好每一步,避免數據的泄露。同時政府應多鼓勵引導廠商和企業的合作,建立良好的環境,從而形成了一個完成的安全體系,從內到外保證信息安全的可靠性。對於雲廠商而言,還應該從自身出發,加強系統的安全可靠性,從最根本出發,解決安全隱患。
二、自主改變——安全信息掌控在手
我國的安全信息化產業正在迅速發展,產品體系也正在逐步完善,向著集成系統化發展。隨著網路安全和信息化產業的開放,產品生命周期短,安全泄露等一系列問題也隨之而來。現在使用的晶元,操作系統,軟體等產品,核心內容還是掌握在外資手中,因為政治,市場等原因,這個問題就顯得尤為重要。如果國家再不對安全系統加以重視,沒有完善的系統制度,那麼就無法有效的防範供應鏈風險,我們將面臨巨大的挑戰。
對重要信息技術產品和服務進行網路安全審查有利於完善我國網路安全審查制度。但如果審查內容還停留在技術層面上,也會有威脅存在。所以要進行全方位審查,才能保證信息安全自主可控。如果每一個供應商都能夠向網路安全審查備案機構提供供應鏈上下游環節的情況,整個供應鏈就能夠做到一環一環的透明化清晰,通過透明達到掌握和可控。劃分詳細的關鍵基礎設施、敏感部門、政府機構范圍;建立詳細的透明供應鏈登記名錄;在關鍵基礎設施、敏感部門、政府機構中規范采購行為,通過上述三點的操作全面貫徹下去,相信可以有效的控制在供應鏈環節對於信息安全的可控性。
三、明確領導——推動安全信息體系可靠發展
我國目前的信息安全保障體系建設大多是在等保、分保制度基礎上,滿足合規性即可,也不注重以效果為導向,導致信息安全保障體系還停留在一個相對來說比較低的層次。如果整體行業在低等級中循環往復,那麼安全保障能力肯定無法得到有效的提升。這時就需要國家站出來成立一個新的體系來打破這種長期不變的體系。
首席信息安全官職位的設立是為了更細化分工,從更專業和明確責任的角度來對安全體系負責。而在關鍵基礎設施、敏感部門、政府機構等推行首席信息安全官制度是希望基於用戶的視角起到一個引導推動的作用,促進廠商的發展,使我國的安全產業形成良好的生態環境。當然實行這個制度還需要對任職人員進行嚴格的考核,以保證首席信息安全官的專業性。
總而言之,建立一個全面的網路安全體系,對於國家企業和個人都有非常重大的意義。相信在不久的將來,通過各種網路安全制度的建立以及行業的整合,可以確保所有人的用戶權利得到保障。 ;
② 如何保障網路信息安全
沒有絕對的安全,安全是相對的,要說如何解決信息安全問題,個人認為我們能做的就是從法規、制度和技術層面,去實現核心和重要信息的安全防護,來盡可能的規避信息泄漏風險。
一方面,從2017年6月1日正式施行的《中華人民共和國網路安全法》中對個人信息保護的明確要求,到2018年《信息安全技術個人信息安全規范》國家標準的發布,公民的個人信息安全已經逐步實現「有法可依,有規可循」。
另一方面,從技術手段來講,世平信息所倡導的是在數據治理的基礎上實現數據的安全防護,首先,對數據進行梳理,進行分級分類,這個過程能夠讓企業、組織更加明確的了解龐大的資料庫中哪些數據是核心數據,這些數據存儲在哪裡,用在哪裡,對數據做到「了如指掌」;其次,針對核心數據,進行重點的風險評估、審計監控、泄漏預警阻斷等一系列防護操作,並通過可視化的形式展現出來,達到有效保障數據的效果和目的。
③ 什麼是網路信息安全它的基本含義是什麼
網路信息安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。
它主要是指網路系統的硬體、軟體及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。
主要特徵:
1. 完整性
指信息在傳輸、交換、存儲和處理過程保持非修改、非破壞和非丟失的特性,即保持信息原樣性,使信息能正確生成、存儲、傳輸,這是最基本的安全特徵。
2. 保密性
指信息按給定要求不泄漏給非授權的個人、實體或過程,或提供其利用的特性,即杜絕有用信息泄漏給非授權個人或實體,強調有用信息只被授權對象使用的特徵。
3. 可用性
指網路信息可被授權實體正確訪問,並按要求能正常使用或在非正常情況下能恢復使用的特徵,即在系統運行時能正確存取所需信息,當系統遭受攻擊或破壞時,能迅速恢復並能投入使用。可用性是衡量網路信息系統面向用戶的一種安全性能。
4. 不可否認性
指通信雙方在信息交互過程中,確信參與者本身,以及參與者所提供的信息的真實同一性,即所有參與者都不可能否認或抵賴本人的真實身份,以及提供信息的原樣性和完成的操作與承諾。
5. 可控性
指對流通在網路系統中的信息傳播及具體內容能夠實現有效控制的特性,即網路系統中的任何信息要在一定傳輸范圍和存放空間內可控。除了採用常規的傳播站點和傳播內容監控這種形式外,最典型的如密碼的託管政策,當加密演算法交由第三方管理時,必須嚴格按規定可控執行。
④ 互聯網安全保護技術措施規定
第一條為加強和規范互聯網安全技術防範工作,保障互聯網網路安全和信息安全,促進互聯網健康、有序發展,維護國家安全、社會秩序和公共利益,根據《計算機信息網路國際聯網安全保護管理辦法》,制定本規定。第二條本規定所稱互聯網安全保護技術措施,是指保障互聯網網路安全和信息安全、防範違法犯罪的技術設施和技術方法。第三條互聯網服務提供者、聯網使用單位負責落實互聯網安全保護技術措施,並保障互聯網安全保護技術措施功能的正常發揮。第四條互聯網服務提供者、聯網使用單位應當建立相應的管理制度。未經用戶同意不得公開、泄露用戶注冊信息,但法律、法規另有規定的除外。
互聯網服務提供者、聯網使用單位應當依法使用互聯網安全保護技術措施,不得利用互聯網安全保護技術措施侵犯用戶的通信自由和通信秘密。第五條公安機關公共信息網路安全監察部門負責對互聯網安全保護技術措施的落實情況依法實施監督管理。第六條互聯網安全保護技術措施應當符合國家標准。沒有國家標準的,應當符合公共安全行業技術標准。第七條互聯網服務提供者和聯網使用單位應當落實以下互聯網安全保護技術措施:
(一)防範計算機病毒、網路入侵和攻擊破壞等危害網路安全事項或者行為的技術措施;
(二)重要資料庫和系統主要設備的冗災備份措施;
(三)記錄並留存用戶登錄和退出時間、主叫號碼、賬號、互聯網地址或域名、系統維護日誌的技術措施;
(四)法律、法規和規章規定應當落實的其他安全保護技術措施。第八條提供互聯網接入服務的單位除落實本規定第七條規定的互聯網安全保護技術措施外,還應當落實具有以下功能的安全保護技術措施:
(一)記錄並留存用戶注冊信息;
(二)使用內部網路地址與互聯網網路地址轉換方式為用戶提供接入服務的,能夠記錄並留存用戶使用的互聯網網路地址和內部網路地址對應關系;
(三)記錄、跟蹤網路運行狀態,監測、記錄網路安全事件等安全審計功能。第九條提供互聯網信息服務的單位除落實本規定第七條規定的互聯網安全保護技術措施外,還應當落實具有以下功能的安全保護技術措施:
(一)在公共信息服務中發現、停止傳輸違法信息,並保留相關記錄;
(二)提供新聞、出版以及電子公告等服務的,能夠記錄並留存發布的信息內容及發布時間;
(三)開辦門戶網站、新聞網站、電子商務網站的,能夠防範網站、網頁被篡改,被篡改後能夠自動恢復;
(四)開辦電子公告服務的,具有用戶注冊信息和發布信息審計功能;
(五)開辦電子郵件和網上簡訊息服務的,能夠防範、清除以群發方式發送偽造、隱匿信息發送者真實標記的電子郵件或者簡訊息。第十條提供互聯網數據中心服務的單位和聯網使用單位除落實本規定第七條規定的互聯網安全保護技術措施外,還應當落實具有以下功能的安全保護技術措施:
(一)記錄並留存用戶注冊信息;
(二)在公共信息服務中發現、停止傳輸違法信息,並保留相關記錄;
(三)聯網使用單位使用內部網路地址與互聯網網路地址轉換方式向用戶提供接入服務的,能夠記錄並留存用戶使用的互聯網網路地址和內部網路地址對應關系。第十一條提供互聯網上網服務的單位,除落實本規定第七條規定的互聯網安全保護技術措施外,還應當安裝並運行互聯網公共上網服務場所安全管理系統。第十二條互聯網服務提供者依照本規定採取的互聯網安全保護技術措施應當具有符合公共安全行業技術標準的聯網介面。第十三條互聯網服務提供者和聯網使用單位依照本規定落實的記錄留存技術措施,應當具有至少保存六十天記錄備份的功能。第十四條互聯網服務提供者和聯網使用單位不得實施下列破壞互聯網安全保護技術措施的行為:
(一)擅自停止或者部分停止安全保護技術設施、技術手段運行;
(二)故意破壞安全保護技術設施;
(三)擅自刪除、篡改安全保護技術設施、技術手段運行程序和記錄;
(四)擅自改變安全保護技術措施的用途和范圍;
(五)其他故意破壞安全保護技術措施或者妨礙其功能正常發揮的行為。第十五條違反本規定第七條至第十四條規定的,由公安機關依照《計算機信息網路國際聯網安全保護管理辦法》第二十一條的規定予以處罰。
⑤ 什麼是涉及網路安全的規范性文件
1.《中華人民共和國網路安全法》由全國人民代表大會常務委員會於2016年11月7日發布,自2017年6月1日起施行。
2.《互聯網信息服務管理辦法》經2000年9月20日中華人民共和國 國務院第31次常務會議通過2000年9月25日公布施行。該《辦法》共二十七條,自公布之日起施行。
⑥ 《網路安全法》主要內容解讀
備受關注的《網路安全法》於6月1日正式施行。作為我國第一部全面規范網路空間安全管理的基礎性法律,它的施行,標志著我國網路安全從此有法可依,網路空間治理、網路信息傳播秩序規范、網路犯罪懲治等即將翻開嶄新的一頁,對保障我國網路安全、維護國家總體安全具有深遠而重大的意義。
《網路安全法》主要內容解讀: 共七章七十九條,主要包括七大方面
維護網路主權與合法權益。
該法第一條即明確規定「維護網路空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展。」
支持與促進網路安全。
專門拿出一章的內容,要求建立和完善國家網路安全體系,支持各地各相關部門加大網路安全投入、研發和應用,支持創新網路安全管理方式,提升保護水平。
強調網路運行安全。
利用兩節共十九條的篇幅作了詳細規定,突出「國家實行網路安全等級保護制度」和「關鍵信息基礎設施的運行安全」。
保障網路信息安全。
以法律形式明確「網路實名制」,要求網路運營者收集使用個人信息,應當遵循合法、正當、必要的原則,「不得出售個人信息」。
監測預警與應急處置。
要求建立健全網路安全監測預警和信息通報制度,建立網路應急工作機制,制定應急預案,重大突發事件可採取「網路通信管制」。
完善監督管理體制。
實行「1+X」監管體制,打破「九龍治水」困境。該法第八條規定國家網信部門負責統籌協調網路安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關在各自職責范圍內負責網路安全保護和監督管理。
明確相關利益者法律責任。
該法第六章對網路運營者、網路產品或者服務提供者、關鍵信息基礎設置運營者,以及網信、公安等眾多責任主體的處罰懲治標准,作了詳細規定。
總體來說,該法呈現出六大亮點明確禁止出售個人信息行為;嚴厲打擊網路詐騙;從法律層面明確網路實名制;把對重點保護關鍵信息基礎設施的保護擺在重要位置;懲治攻擊破壞我國關鍵信息基礎設施行為;明確發生重大突發事件時可採取「網路通信管制」。
中華人民共和國主席令
第五十三號
《中華人民共和國網路安全法》已由中華人民共和國第十二屆全國人民代表大會常務委員會第二十四次會議於2016年11月7日通過,現予公布,自2017年6月1日起施行。
2016年11月7日
中華人民共和國網路安全法
目 錄
第一章 總則
第二章 網路安全支持與促進
第三章 網路運行安全
第一節 一般規定
第二節 關鍵信息基礎設施的運行安全
第四章 網路信息安全
第五章 監測預警與應急處置
第六章 法律責任
第七章 附則
第一章 總則
第一條 為了保障網路安全,維護網路空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,制定本法。
第二條 在中華人民共和國境內建設、運營、維護和使用網路,以及網路安全的監督管理,適用本法。
第三條 國家堅持網路安全與信息化發展並重,遵循積極利用、科學發展、依法管理、確保安全的方針,推進網路基礎設施建設和互聯互通,鼓勵網路技術創新和應用,支持培養網路安全人才,建立健全網路安全保障體系,提高網路安全保護能力。
第四條 國家制定並不斷完善網路安全戰略,明確保障網路安全的基本要求和主要目標,提出重點領域的網路安全政策、工作任務和措施。
第五條 國家採取措施,監測、防禦、處置來源於中華人民共和國境內外的網路安全風險和威脅,保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞,依法懲治網路違法犯罪活動,維護網路空間安全和秩序。
第六條 國家倡導誠實守信、健康文明的網路行為,推動傳播社會主義核心價值觀,採取措施提高全社會的網路安全意識和水平,形成全社會共同參與促進網路安全的良好環境。
第七條 國家積極開展網路空間治理、網路技術研發和標准制定、打擊網路違法犯罪等方面的國際交流與合作,推動構建和平、安全、開放、合作的網路空間,建立多邊、民主、透明的網路治理體系。
第八條 國家網信部門負責統籌協調網路安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定,在各自職責范圍內負責網路安全保護和監督管理工作。
縣級以上地方有關部門的網路安全保護和監督管理職責,按照國家有關規定確定。
第九條 網路運營者開展經營和服務活動,必須遵守法律、行政法規,尊重社會公德,遵守商業道德,誠實信用,履行網路安全保護義務,接受政府和社會的監督,承擔社會責任。
第十條 建設、運營網路或者通過網路提供服務,應當依照法律、行政法規的規定和國家標準的強制性要求,採取技術措施和其他必要措施,保障網路安全、穩定運行,有效應對網路安全事件,防範網路違法犯罪活動,維護網路數據的完整性、保密性和可用性。
第十一條 網路相關行業組織按照章程,加強行業自律,制定網路安全行為規范,指導會員加強網路安全保護,提高網路安全保護水平,促進行業健康發展。
第十二條 國家保護公民、法人和其他組織依法使用網路的權利,促進網路接入普及,提升網路服務水平,為社會提供安全、便利的網路服務,保障網路信息依法有序自由流動。
任何個人和組織使用網路應當遵守憲法法律,遵守公共秩序,尊重社會公德,不得危害網路安全,不得利用網路從事危害國家安全、榮譽和利益,煽動顛覆國家政權、推翻社會主義制度,煽動分裂國家、破壞國家統一,宣揚恐怖主義、極端主義,宣揚民族仇恨、民族歧視,傳播暴力、淫穢色情信息,編造、傳播虛假信息擾亂經濟秩序和社會秩序,以及侵害他人名譽、隱私、知識產權和其他合法權益等活動。
第十三條 國家支持研究開發有利於未成年人健康成長的網路產品和服務,依法懲治利用網路從事危害未成年人身心健康的活動,為未成年人提供安全、健康的網路環境。
第十四條 任何個人和組織有權對危害網路安全的行為向網信、電信、公安等部門舉報。收到舉報的部門應當及時依法作出處理;不屬於本部門職責的,應當及時移送有權處理的部門。
有關部門應當對舉報人的相關信息予以保密,保護舉報人的合法權益。
第二章 網路安全支持與促進
第十五條 國家建立和完善網路安全標准體系。國務院標准化行政主管部門和國務院其他有關部門根據各自的職責,組織制定並適時修訂有關網路安全管理以及網路產品、服務和運行安全的國家標准、行業標准。
國家支持企業、研究機構、高等學校、網路相關行業組織參與網路安全國家標准、行業標準的制定。
第十六條 國務院和省、自治區、直轄市應當統籌規劃,加大投入,扶持重點網路安全技術產業和項目,支持網路安全技術的研究開發和應用,推廣安全可信的網路產品和服務,保護網路技術知識產權,支持企業、研究機構和高等學校等參與國家網路安全技術創新項目。
第十七條 國家推進網路安全社會化服務體系建設,鼓勵有關企業、機構開展網路安全認證、檢測和風險評估等安全服務。
第十八條 國家鼓勵開發網路數據安全保護和利用技術,促進公共數據資源開放,推動技術創新和經濟社會發展。
國家支持創新網路安全管理方式,運用網路新技術,提升網路安全保護水平。
第十九條 各級有關部門應當組織開展經常性的網路安全宣傳教育,並指導、督促有關單位做好網路安全宣傳教育工作。
大眾傳播媒介應當有針對性地面向社會進行網路安全宣傳教育。
第二十條 國家支持企業和高等學校、職業學校等教育培訓機構開展網路安全相關教育與培訓,採取多種方式培養網路安全人才,促進網路安全人才交流。
第三章 網路運行安全
第一節 一般規定
第二十一條 國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
第二十二條 網路產品、服務應當符合相關國家標準的強制性要求。網路產品、服務的提供者不得設置惡意程序;發現其網路產品、服務存在安全缺陷、漏洞等風險時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。
網路產品、服務的提供者應當為其產品、服務持續提供安全維護;在規定或者當事人約定的期限內,不得終止提供安全維護。
網路產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示並取得同意;涉及用戶個人信息的,還應當遵守本法和有關法律、行政法規關於個人信息保護的規定。
第二十三條 網路關鍵設備和網路安全專用產品應當按照相關國家標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求後,方可銷售或者提供。國家網信部門會同國務院有關部門制定、公布網路關鍵設備和網路安全專用產品目錄,並推動安全認證和安全檢測結果互認,避免重復認證、檢測。
第二十四條 網路運營者為用戶辦理網路接入、域名注冊服務,辦理固定電話、行動電話等入網手續,或者為用戶提供信息發布、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網路運營者不得為其提供相關服務。
國家實施網路可信身份戰略,支持研究開發安全、方便的電子身份認證技術,推動不同電子身份認證之間的互認。
第二十五條 網路運營者應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
第二十六條 開展網路安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網路攻擊、網路侵入等網路安全信息,應當遵守國家有關規定。
第二十七條 任何個人和組織不得從事非法侵入他人網路、干擾他人網路正常功能、竊取網路數據等危害網路安全的活動;不得提供專門用於從事侵入網路、干擾網路正常功能及防護措施、竊取網路數據等危害網路安全活動的程序、工具;明知他人從事危害網路安全的活動的,不得為其提供技術支持、廣告推廣、支付結算等幫助。
第二十八條 網路運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。
第二十九條 國家支持網路運營者之間在網路安全信息收集、分析、通報和應急處置等方面進行合作,提高網路運營者的安全保障能力。
有關行業組織建立健全本行業的網路安全保護規范和協作機制,加強對網路安全風險的分析評估,定期向會員進行風險警示,支持、協助會員應對網路安全風險。
第三十條 網信部門和有關部門在履行網路安全保護職責中獲取的信息,只能用於維護網路安全的需要,不得用於其他用途。
第二節 關鍵信息基礎設施的運行安全
第三十一條 國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網路安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
國家鼓勵關鍵信息基礎設施以外的網路運營者自願參與關鍵信息基礎設施保護體系。
第三十二條 按照國務院規定的職責分工,負責關鍵信息基礎設施安全保護工作的部門分別編制並組織實施本行業、本領域的關鍵信息基礎設施安全規劃,指導和監督關鍵信息基礎設施運行安全保護工作。
第三十三條 建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能,並保證安全技術措施同步規劃、同步建設、同步使用。
第三十四條 除本法第二十一條的規定外,關鍵信息基礎設施的運營者還應當履行下列安全保護義務:
⑦ 互聯網相關安全規范的內容是什麼
GB/T 16264.8-2005 《信息技術 開放系統互連 目錄 第8部分:公鑰和屬性證書框架》
GB/T 19717-2005 《基於多用途互聯網郵件擴展(MIME)的安全報文交換》
GB/T 19771-2005 《信息技術 安全技術 公鑰基礎設施 PKI組件最小互操作規范》
GB/T 19713-2005 《信息技術 安全技術 公鑰基礎設施 在線證書狀態協議》
GB/T 19714-2005 《信息技術 安全技術 公鑰基礎設施 證書管理協議》
GB/T 20518-2006 《信息安全技術 公鑰基礎設施 數字證書格式》
GB/T 15843.5-2005 《信息技術 安全技術 實體鑒別 第5部分:使用零知識技術的機制》
GB/T 17902.2-2005 《信息技術 安全技術 帶附錄的數字簽名 第2部分:基於身份的機制》
GB/T 17902.3-2005 《信息技術 安全技術 帶附錄的數字簽名 第3部分:基於證書的機制》
GB/T 20520-2006 《信息安全技術 公鑰基礎設施 時間戳規范》
GB/T 20519-2006 《信息安全技術 公鑰基礎設施 特定許可權管理中心技術規范》
GB/T 20270-2006 《信息安全技術 網路基礎安全技術要求》
GB/T 20275-2006 《信息安全技術 入侵檢測系統技術要求和測試評價方法》
GB/T 20280-2006 《信息安全技術 網路脆弱性掃描產品測試評價方法》
GB/T 20278-2006 《信息安全技術 網路脆弱性掃描產品技術要求》
GB/T 21054-2007 《信息安全技術 公鑰基礎設施 PKI系統安全等級保護評估准則》
GB/T 21053-2007 《信息安全技術 公鑰基礎設施 PKI系統安全等級保護技術要求》
GB/T 17964-2008 《信息安全技術 分組密碼演算法的工作模式》
GB/T 25057-2010 《信息安全技術 公鑰基礎設施 電子簽名卡應用介面基本要求》
GB/T 25059-2010 《信息安全技術 公鑰基礎設施 簡易在線證書狀態協議》
GB/T 25060-2010 《信息安全技術 公鑰基礎設施 X.509數字證書應用介面規范》
GB/T 25061-2010 《信息安全技術 公鑰基礎設施 XML數字簽名語法與處理規范》
GB/T 25065-2010-2010 《信息安全技術 公鑰基礎設施 簽名生成應用程序的安全要求》
GB/T 25056-2010 《信息系統安全技術 證書認證系統密碼及其相關安全技術規范》
GB/T 25055-2010 《信息安全技術 公鑰基礎設施安全支撐平台技術框架》
GB/T 25064-2010 《信息安全技術 公鑰基礎設施 電子簽名格式規范》
GB/T 25068.3-2010 《信息技術 安全技術 IT網路安全 第3部分:使用安全網關的網間通信安全保護》
GB/T 25068.4-2010 《信息技術 安全技術 IT網路安全 第4部分:遠程接入的安全保護》
GB/T 25068.5-2010 《信息技術 安全技術 IT網路安全 第5部分:使用虛擬專用網的跨網通信安全保護》
⑧ 信息安全法律法規及網上道德規范
社會最近發生的網路案件如網友見面、虛擬財產被竊等現象。這些問題不能不引起我們注意關於網路安全,網路道德問題,導入這節課「做信息時代的合格公民」的主題。
師:首先肯定網路給我們帶來的各種積極的、重要的影響。結合上節課學習的計算機病毒和計算機犯罪問題,引出在網路使用過程中經常出現的問題,給我們帶來了很多的負面影響。
生:通過教材中任務,找出信息活動中經常出現的問題;並且填寫任務單中相應內容。
師:列舉網路使用過程中經常出現的問題:網上傳播不良信息;利用網路從事違法犯罪活動;虛假信息給青少年造成不良影響;垃圾信息泛濫成災;等等。設計意圖:激發學生解決問題興趣。
生:如何解決以上問題?(頭腦風暴)如:依靠法律法規、依靠技術維護及做好網路道德規范宣傳活動等等。
師:指導學生通過學習網站閱讀網路道德規范及青少年網路文明公約。
生:閱讀教材了解《青少年網路文明公約》的內容,並且對自己的日常上網行為進行反省。
(1)設問:去過網吧的同學有多少?一般去一次是多長時間?在網吧里一般都做什麼?平均一周去幾次?
活動:民意調查,從而闡明「拒絕泡網吧,珍惜生命」。
(2)設問:在網路上,聊過天嗎?泡論壇嗎?玩過最近流行的網路游戲嗎?在這些方面上,你投資了多少,收獲了多少?
活動:民意調查,從而闡明「擦亮慧眼,分清虛實世界」。
(3)利用搜索引擎及部分相關資料,舉實例,如網頁木馬、惡意代碼、網路虛擬財產案、重要機構機密資料被竊等。
活動:讓學生自己總結網路安全的重要性。並號召學生「刻苦鑽研網路技術,維護網路安全」,爭做網路小衛士。
(4)在網路的虛擬世界中,注意保護個人的相關資料,如家庭住址、電話號碼、生日、親屬關系、銀行賬號等相關內容。
活動:假如泄露了個人相關資料,會引起什麼樣的惡性後果?(讓學生自己總結)從而闡明「增強自我保護意識,守護個人資料」。
師:組織學生討論:「本校內的BBS中留有以虛假身份或匿名方式發布的大量帖子,部分內容粗俗,不健康不積極,還有的謾罵同學或是教師的。」教師與學生游覽並且引導學生從現在做起。
生:利用校內網站(www.wdez.net)中的BBS或登陸FTP進行網上討論,發表個人看法。
師:指導學生登陸網際網路法律法規網站,了解法律法規常識。
http://www.member.netease.com/~bytalent/lawnet/net_safe/03.htm
師:指導學生閱讀課後案例:「破譯密碼竊取巨額儲蓄資金 黑客被判無期徒刑」等等案例。
生:回答案例中主人公觸犯了哪些法律法規。
師:在信息社會的高速發展下,信息課程日漸成為以後人們重要的學習方式,所以倡導學生分組討論共同制定一個「網路課程學習守則」,並對學生制定的守則進行評價。
生:根據《青少年網路文明公約》從「課程學習」、「交流討論」「聯系反饋」等方面討論總結出學生自己的學習守則,並且努力自覺的遵守守則,並在班上交流。
師:指導學生為本班擬定一份「網路課程學習守則」。
生:各小組長負責完善各小組交流之後的學習守則,共同完成本班內的「網路課程學習守則」。
師:指導學生完成「小組學習任務單」的全部內容。
⑨ 金盾洞察 | 智慧高速行業網路安全標准解讀及分析
11.18日—11.20日的「2020北京國際交通、智能交通技術與設施展覽會」在北京國際展覽中心如期舉行,與前幾屆相似,公路,尤其是高速公路的信息化、智能化建設依舊是本屆會議的主要議題。
我國公路有多種劃分形式,我們所說的高速公路是根據公路通車量屬性進行劃分的要求全部控制出入的干線公路,其年平均晝夜通車量在25000輛以上。不同於鐵路行業,我國高速公路建設起步相對比較晚,直至1989年的高等級公路建設現場會上,時任國務院副總理的鄒家華同志指出「高速公路不是要不要發展的問題,而是必須發展」,我國高速公路才正式拉開序幕。
雖然起步較晚,但是我國高速公路的發展走過了許多發達國家一般需要40多年才能完成的發展進程,到2019年底,我國高速公路通車里程已達到14.96萬公里。可以說僅僅15年高速公路的速度和便利已經走進了平常百姓的生活,改變了人們的時空觀念,改善了人們的生活方式。
高速公路拉近城市間距離的同時,高通車量、高時速的交通特點也帶來了運營、事故、應急管理等方面的困難,為了提升高速公路管理、運營水平,各地多年來均已開展各種形式的「智慧高速」建設,視頻監控設備則在多個系統作為主要前端設備部署於高速公路沿線。
根據日前的演講資料,目前全國高速公路共有各類視頻設備約18.6萬個,基本實現了每公里都設一對攝像頭的配置情況,而這數量龐大的視頻監控設備主要由三方建設、應用。首先就是 高速交警 ,主要是用於交通安全執法,包括卡口、測速、應急車道佔用抓拍等,在匝道有導流線壓線抓拍、逆行抓拍、違法上下客抓拍等,同時具備緝查布控系統的車牌實時識別功能、流量統計功能等;各地 高速公路運營管理公司 ,則主要是用於收費稽查、追繳、交通流量統計,以及交通狀態監測,尤其是事故多發路段、易擁堵路段等;為實時了解道路受損情況,有效進行高速公路道路養護工作,提高道路使用效率, 路政部門 也在大量使用視頻監控設備。
隨著ETC、車聯網的建設,原本平均造價 1億 元人民幣/公里的高速公路,已在浙江杭紹甬「超級公路」的建設中升至約 4億 元人民幣/公里,AI攝像頭則在多出的費用中占據了相當比例。
因其行業屬性,高速公路的網路安全一直頗受關注,近年來,隨著國際形勢的變化及網路安全需求的不斷提升,國家針對高速公路的網路安全密集出台多項政策:
l 《推進綜合交通運輸大數據發展行動綱要(2020—2025年)》 :完善數據安全保障措施、保障國家關鍵數據安全,推進交通運輸領域數據分類分級管理,推進重要信息系統密碼技術應用和重要軟硬體設備自主可控;
l 《全國高速公路視頻聯雲網技術要求》: 應 接入 高速公路 全部監控攝像機 (收費站車道、收費亭監控設施除外),並進行數字化改造,應向部級雲平台提供本省全部公路沿線攝像機的 設備信息、點位信息、在線狀態等信息 ,並自動更新同步;
l 《數字交通發展規劃綱要》: 健全網路和數據安全體系,加強網路安全與信息系統同步建設,提高交通運輸關鍵信息基礎設施和重要信息系統的網路安全防護能力。完善適應新技術發展的行業網路安全標准;
l 《關於交通運輸領域新型基礎設施建設的指導意見》 :推動部署靈活、功能自適、雲網端協同的新型基礎設施內生安全體系建設。加快新技術交通運輸場景應用的安全設施配置部署,強化統一認證和數據傳輸保護。加強關鍵信息基礎設施保護。建設集態勢感知、風險預警、應急處置和聯動指揮為一體的網路安全支撐平台,加強信息共享、協同聯動,形成多層級的縱深防禦、主動防護、綜合防範體系,加強威脅風險預警研判,建立風險評估體系;
「後撤站」時代5G、車路協同、北斗、AI等進一步應用,風險和挑戰伴隨而來,尤其是高清視頻監控的覆蓋范圍,高速視頻網、視頻雲也將面臨越來越多的安全問題:
l 通信系統
安全意識不足,認為專網是封閉安全;通信過程中數據的完整性和保密性保護措施較弱;非授權網路連接控制措施較弱;白名單運行和精細化管理工作尚未開展。
l 監控系統
重視程度不足,安全管理意識薄弱;缺乏基本的技術和管理保障措施,多數系統處於「裸奔」狀態,系統漏洞多、病毒多、外聯多。
l 收費系統
安全基礎配置和設備管理亟待加強;存在高風險漏洞未進行及時有效處理的情況, 「永恆之藍」、弱口令等高風險問題需持續關注;收費站及路段中心的安全管理水平,全網范圍內參差不齊,聯網後脆弱性倍數增加。
針對高速公路視頻監控安全,金盾軟體在等級保護基礎上,針對視頻網、視頻雲著重加強以下方面的安全防護:
l 資產梳理
對多種標准網路協議的深度解析,獲得網路內設備的信息,鑒別設備的合法性,對接入設備進行標定,對非法接入的設備系統自動告警、阻斷。
l 准入控制
不改變高速公路視頻網網路拓撲架構的前提下,實現對視頻網前端、終端的入網管理,阻止非法移動終端任意接入網路,對入侵、偽冒終端進行阻斷,提升網路准入工作效率,保障接入網路安全性。
l 運行監測
對全網前端相機、網路鏈路、後端系統設備進行一體化運行監測:對攝像機在線率、完好率、碼流延時、圖像質量等內容、對網路鏈路及網路設備進行狀態及運行參數監測、對後端系統平台、伺服器等軟硬體系統的運行參數、埠狀態進行實時監測;對運維人員行為進行記錄,實現對查看行為、參數修改行為、雲台控制, 歷史 回放等行為的記錄與告警,防止非法訪問視頻資源造成信息泄露。
l 數據防泄密
通過終端准入控制、視頻數據隔離存儲、視頻數據外發使用許可權管控、視頻水印防護等技術手段,保障視頻數據在終端應用和存儲的安全性,杜絕對視頻的偷拍偷錄,防止視頻數據在流轉過程中被非法泄露。
l 一體化運維管理
實現全網資源統管、理清資源台賬、感知運行情況、量化運維質量,實現對全網設備「全天候、全過程、全方位」的集中監控、集中展現、集中維護、集中考核統計,保證高速公路各使用方視頻監控系統發揮最大效益。
金盾軟體作為全球視頻網防護領域領導者,經過十餘年的行業聚焦和技術積累,獲得行業客戶和權威部門的高度認可。未來,金盾軟體將持續加大研創投入,不斷創新,不斷突破,為提升城市管理水平,推動市域 社會 治理現代化建設提供安全保障。
⑩ 信息安全等級保護的標准規范
計算機信息系統安全等級保護劃分准則 (GB 17859-1999) (基礎類標准)
信息系統安全等級保護實施指南 (GB/T 25058-2010) (基礎類標准)
信息系統安全保護等級定級指南 (GB/T 22240-2008) (應用類定級標准)
信息系統安全等級保護基本要求 (GB/T 22239-2008) (應用類建設標准)
信息系統通用安全技術要求 (GB/T 20271-2006) (應用類建設標准)
信息系統等級保護安全設計技術要求 (GB/T 25070-2010) (應用類建設標准)
信息系統安全等級保護測評要求 (GB/T 28448-2012)(應用類測評標准)
信息系統安全等級保護測評過程指南 (GB/T 28449-2012)(應用類測評標准)
信息系統安全管理要求 (GB/T 20269-2006) (應用類管理標准)
信息系統安全工程管理要求 (GB/T 20282-2006) (應用類管理標准) GB/T 21052-2007 信息安全技術 信息系統物理安全技術要求
GB/T 20270-2006 信息安全技術 網路基礎安全技術要求
GB/T 20271-2006 信息安全技術 信息系統通用安全技術要求
GB/T 20272-2006 信息安全技術 操作系統安全技術要求
GB/T 20273-2006 信息安全技術 資料庫管理系統安全技術要求
GB/T 20984-2007 信息安全技術 信息安全風險評估規范
GB/T 20985-2007 信息安全技術 信息安全事件管理指南
GB/Z 20986-2007 信息安全技術 信息安全事件分類分級指南
GB/T 20988-2007 信息安全技術 信息系統災難恢復規范