‘壹’ 国家支持参与网络安全国家标准行业标准的规定
国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。
国家标准
1. 2022年3月9日,GB/T 25069-2022《信息安全技术 术语》发布
本标准界定了信息安全技术领域中基本或通用概念的术语和定义,并对条目进行分类,是信息安全领域的重要基础性标准,也是所有信息安全人员在信息安全领域中进行沟通交流、开展研究工作和项目实施的基本工具。
2. 2022年3月9日,GB/T 20278-2022《信息安全技术 网络脆弱性扫描产品安全技术要求和测试评价方法》发布
本标准规定了网络脆弱性扫描产品的安全技术要求和测试评价方法,其中安全技术要求分为基础级和增强级,内容包括安全功能要求、自身安全保护要求、环境适应性要求、安全保障要求。
3. 2022年3月9日,GB/Z 41290-2022《信息安全技术 移动互联网安全审计指南》发布
本标准定义了移动互联网安全审计活动的概念,描述了移动互联网安全审计活动中的角色职责、审计范围和审计内容,给出安全审计活动的框架、功能任务以及各功能任务的具体指南。
4. 2022年3月9日,GB/Z 41288-2022《信息安全技术 重要工业控制系统网络安全防护导则》发布
本标准规定了重要工业控制系统网络安全防护的基本原则、安全防护技术、应急备用措施和安全管理等要求,以建立重要工业控制系统的网络安全防护体系。
5. 2022年3月9日,GB/T 41241-2022《核电厂工业控制系统网络安全管理要求》发布
本标准规定了核电厂工业控制系统网络安全方面的管理、技术防护和应急管理的要求,并给出核电厂工业控制系统网络安全定级说明。
6. 2022年3月9日,GB/T 41260-2022《数字化车间信息安全要求》发布
本标准规定了数字化车间信息安全总则、管理要求和技术要求等,给出数字化车间信息安全常见威胁源、典型机械制造行业数字化车间信息安全示例,并提出数字化车间信息安全增强要求。
7. 2022年3月9日,GB/T 41267-2022《网络关键设备安全技术要求 交换机设备》、GB/T 41266-2022《网络关键设备安全检测方法 交换机设备》发布
两项标准互为配套,一个规定了列入网络关键设备目录的交换机设备的安全功能要求和安全保障要求。另一个则给出了安全功能要求和安全保障要求对应的安全检测和评估方法。其中,安全功能要求包括设备标识安全、冗余、备份恢复与异常检测、漏洞与缺陷管理、预装软件启动及更新安全、默认状态安全、抵御常见攻击能力、用户身份标识与鉴别安全、访问控制安全、日志审计安全、通信安全、数据安全和密码要求。
8. 2022年3月9日,GB/T 41269-2022《网络关键设备安全技术要求 路由器设备》、GB/T 41268-2022《网络关键设备安全检测方法 路由器设备》发布
两项标准互为配套,一个规定了列入网络关键设备目录的路由器设备的安全功能要求和安全保障要求。另一个则给出了安全功能要求和安全保障要求对应的安全检测和评估方法。其中,安全功能要求包括设备标识安全、冗余、备份恢复与异常检测、漏洞与缺陷管理、预装软件启动及更新安全、默认状态安全、抵御常见攻击能力、用户身份标识与鉴别安全、访问控制安全、日志审计安全、通信安全、数据安全和密码要求。
9. 2022年3月9日,GB/T 41274-2022《可编程控制系统内生安全体系架构》发布
本标准规定了可编程控制系统内生安全体系架构,描述可编程控制系统内生安全的目标和各单元模块的相关安全需求,规定可编程控制系统的内生安全要求。其中,可编程控制系统内生安全的目标为保障可编程控制系统的完整性,各单元模块的相关安全需求包括全生命周期安全保护、综合诊断与高可用实现等。
10. 2022年4月15日,GB/T 41387-2022《信息安全技术 智能家居通用安全规范》发布
本标准规定了智能家居安全通用技术要求,包括智能家居终端、智能家居网关、智能家居控制端、智能家居应用服务平台的安全要求,以及对应的安全测试评价方法。
11. 2022年4月15日,GB/T 41388-2022《信息安全技术 可信执行环境 基本安全规范》发布
本标准确立了可信执行环境系统整体技术架构,描述了可信执行环境基础要求、可信虚拟化系统、可信操作系统、可信应用与服务管理、跨平台应用中间件等主要内容及其测试评价方法。
12. 2022年4月15日,GB/T 41389-2022《信息安全技术 SM9密码算法使用规范》发布
本标准规定了SM9密码算法的使用要求,描述了密钥、加密与签名的数据格式,主体内容包括SM9的密钥对、技术要求、证实方法,并在附录中提供了数据格式编码测试用例。
13. 2022年4月15日,GB/T 41391-2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》发布
本标准规定了App收集个人信息的基本要求,包括最小必要收集、必要个人信息、特定类型个人信息、告知同意、系统权限、第三方收集管理及其他要求,并给出了常见服务类型App必要个人信息范围和使用要求。
14. 2022年4月15日,GB/T 41400-2022《信息安全技术 工业控制系统信息安全防护能力成熟度模型》发布
本标准给出了工业控制系统信息安全防护能力成熟度模型,规定核心保护对象安全和通用安全的成熟度等级要求,提出了能力成熟度等级核验方法。
15. 2022年4月15日,GB/T 41479-2022《信息安全技术 网络数据处理安全要求》发布
本标准规定了网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全技术与管理要求。同时,本标准被作为数据安全管理认证的依据。
16. 2022年4月15日,GB/T 20984-2022《信息安全技术 信息安全风险评估方法》发布
本标准描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。
17. 2022年4月15日,GB/T 29829-2022《信息安全技术 可信计算密码支撑平台功能与接口规范》发布
本标准给出了可信计算密码支撑平台的体系框架和功能原理,规定了可信密码模块的接口规范,描述了对应的证实方法。
18. 2022年4月15日,GB/T 30283-2022《信息安全技术 信息安全服务 分类与代码》发布
本标准描述了信息安全服务的分类与代码,主要包括信息安全咨询类、信息安全设计与开发类、信息安全集成类、信息安全运营类、信息的安全处理与存储类、信息安全测评与认证类及其他类七个方面。
法律依据
《中华人民共和国网络安全法》
第十五条国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。
国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。
‘贰’ 网络安全标准
法律分析:根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为五个安全保护等级。
(一)第一级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。
(二)第二级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络。
(三)第三级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。
(四)第四级,一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络。
(五)第五级,一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。
法律依据:《网络安全等级保护条例》 第十五条 根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为五个安全保护等级。
(一)第一级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。
(二)第二级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络。
(三)第三级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。
(四)第四级,一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络。
(五)第五级,一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。
‘叁’ 金盾洞察 | 智慧高速行业网络安全标准解读及分析
11.18日—11.20日的“2020北京国际交通、智能交通技术与设施展览会”在北京国际展览中心如期举行,与前几届相似,公路,尤其是高速公路的信息化、智能化建设依旧是本届会议的主要议题。
我国公路有多种划分形式,我们所说的高速公路是根据公路通车量属性进行划分的要求全部控制出入的干线公路,其年平均昼夜通车量在25000辆以上。不同于铁路行业,我国高速公路建设起步相对比较晚,直至1989年的高等级公路建设现场会上,时任国务院副总理的邹家华同志指出“高速公路不是要不要发展的问题,而是必须发展”,我国高速公路才正式拉开序幕。
虽然起步较晚,但是我国高速公路的发展走过了许多发达国家一般需要40多年才能完成的发展进程,到2019年底,我国高速公路通车里程已达到14.96万公里。可以说仅仅15年高速公路的速度和便利已经走进了平常百姓的生活,改变了人们的时空观念,改善了人们的生活方式。
高速公路拉近城市间距离的同时,高通车量、高时速的交通特点也带来了运营、事故、应急管理等方面的困难,为了提升高速公路管理、运营水平,各地多年来均已开展各种形式的“智慧高速”建设,视频监控设备则在多个系统作为主要前端设备部署于高速公路沿线。
根据日前的演讲资料,目前全国高速公路共有各类视频设备约18.6万个,基本实现了每公里都设一对摄像头的配置情况,而这数量庞大的视频监控设备主要由三方建设、应用。首先就是 高速交警 ,主要是用于交通安全执法,包括卡口、测速、应急车道占用抓拍等,在匝道有导流线压线抓拍、逆行抓拍、违法上下客抓拍等,同时具备缉查布控系统的车牌实时识别功能、流量统计功能等;各地 高速公路运营管理公司 ,则主要是用于收费稽查、追缴、交通流量统计,以及交通状态监测,尤其是事故多发路段、易拥堵路段等;为实时了解道路受损情况,有效进行高速公路道路养护工作,提高道路使用效率, 路政部门 也在大量使用视频监控设备。
随着ETC、车联网的建设,原本平均造价 1亿 元人民币/公里的高速公路,已在浙江杭绍甬“超级公路”的建设中升至约 4亿 元人民币/公里,AI摄像头则在多出的费用中占据了相当比例。
因其行业属性,高速公路的网络安全一直颇受关注,近年来,随着国际形势的变化及网络安全需求的不断提升,国家针对高速公路的网络安全密集出台多项政策:
l 《推进综合交通运输大数据发展行动纲要(2020—2025年)》 :完善数据安全保障措施、保障国家关键数据安全,推进交通运输领域数据分类分级管理,推进重要信息系统密码技术应用和重要软硬件设备自主可控;
l 《全国高速公路视频联云网技术要求》: 应 接入 高速公路 全部监控摄像机 (收费站车道、收费亭监控设施除外),并进行数字化改造,应向部级云平台提供本省全部公路沿线摄像机的 设备信息、点位信息、在线状态等信息 ,并自动更新同步;
l 《数字交通发展规划纲要》: 健全网络和数据安全体系,加强网络安全与信息系统同步建设,提高交通运输关键信息基础设施和重要信息系统的网络安全防护能力。完善适应新技术发展的行业网络安全标准;
l 《关于交通运输领域新型基础设施建设的指导意见》 :推动部署灵活、功能自适、云网端协同的新型基础设施内生安全体系建设。加快新技术交通运输场景应用的安全设施配置部署,强化统一认证和数据传输保护。加强关键信息基础设施保护。建设集态势感知、风险预警、应急处置和联动指挥为一体的网络安全支撑平台,加强信息共享、协同联动,形成多层级的纵深防御、主动防护、综合防范体系,加强威胁风险预警研判,建立风险评估体系;
“后撤站”时代5G、车路协同、北斗、AI等进一步应用,风险和挑战伴随而来,尤其是高清视频监控的覆盖范围,高速视频网、视频云也将面临越来越多的安全问题:
l 通信系统
安全意识不足,认为专网是封闭安全;通信过程中数据的完整性和保密性保护措施较弱;非授权网络连接控制措施较弱;白名单运行和精细化管理工作尚未开展。
l 监控系统
重视程度不足,安全管理意识薄弱;缺乏基本的技术和管理保障措施,多数系统处于“裸奔”状态,系统漏洞多、病毒多、外联多。
l 收费系统
安全基础配置和设备管理亟待加强;存在高风险漏洞未进行及时有效处理的情况, “永恒之蓝”、弱口令等高风险问题需持续关注;收费站及路段中心的安全管理水平,全网范围内参差不齐,联网后脆弱性倍数增加。
针对高速公路视频监控安全,金盾软件在等级保护基础上,针对视频网、视频云着重加强以下方面的安全防护:
l 资产梳理
对多种标准网络协议的深度解析,获得网络内设备的信息,鉴别设备的合法性,对接入设备进行标定,对非法接入的设备系统自动告警、阻断。
l 准入控制
不改变高速公路视频网网络拓扑架构的前提下,实现对视频网前端、终端的入网管理,阻止非法移动终端任意接入网络,对入侵、伪冒终端进行阻断,提升网络准入工作效率,保障接入网络安全性。
l 运行监测
对全网前端相机、网络链路、后端系统设备进行一体化运行监测:对摄像机在线率、完好率、码流延时、图像质量等内容、对网络链路及网络设备进行状态及运行参数监测、对后端系统平台、服务器等软硬件系统的运行参数、端口状态进行实时监测;对运维人员行为进行记录,实现对查看行为、参数修改行为、云台控制, 历史 回放等行为的记录与告警,防止非法访问视频资源造成信息泄露。
l 数据防泄密
通过终端准入控制、视频数据隔离存储、视频数据外发使用权限管控、视频水印防护等技术手段,保障视频数据在终端应用和存储的安全性,杜绝对视频的偷拍偷录,防止视频数据在流转过程中被非法泄露。
l 一体化运维管理
实现全网资源统管、理清资源台账、感知运行情况、量化运维质量,实现对全网设备“全天候、全过程、全方位”的集中监控、集中展现、集中维护、集中考核统计,保证高速公路各使用方视频监控系统发挥最大效益。
金盾软件作为全球视频网防护领域领导者,经过十余年的行业聚焦和技术积累,获得行业客户和权威部门的高度认可。未来,金盾软件将持续加大研创投入,不断创新,不断突破,为提升城市管理水平,推动市域 社会 治理现代化建设提供安全保障。
‘肆’ 网络安全等级保护详细解读20标准
随着网络技术的发展,网络安全等级保护已经成为网络安全领域的重要研究课题。为了更好地保护网络安全,安全管理部门制定了20项网络安全等级保护标准,以棚消确保网络安全。本文将对这20项标准进行详细解读,以便更好地保护网络安全。
1.1 网络安全等级保护的定义
网络安全等级保护是指采取技术、管理和组织措施,以确保网络安全的一种安全保护措施。它的目的是确保网络系统的安全性,防止网络系统受到未经授权的访问、破坏和滥用。
1.2 网络安全等级保护的20项标准
网络安全等级保护的20项标准包括:
(1)安全策略:组织应制定安全策略,明确网络安全的目标、责任和范围,并定期审查和更新安全策略。
(2)安全管理:组织应建立安全管理机制,确定安全管理职责,制定安全管理规定,实施安全管理措施,定期审查和更新安全管理机指搭制。
(3)安全审计:组织应定期审计网络安全状况,发现安全漏洞,并采取有效措施消除安全隐患。
(4)安全维护:组织应定期对网络系统进行维护,确保网络系统的正常运行。
(5)安全防护:组织应采取有效的安全防护措施,防止网络系统受到未经授权的访问、破坏和滥用。
(6)安全培训:组织应定期对员工进行安全培训,使员工充分了解网络安全的重要性,并能够正确使用网络系统。
(7)安全检测:组织应定期对网络系统进行安全检测,及时发现安全漏洞,并采取有效措施消除安全隐患。
(8)安全评估:组织应定期对网络系统进行安全评估,评估网络系统的安全性,并采取有效措施提高网络安全性。
(9)安全控制:组织应建立安全控制机制,确定安全控制职责,制定安全控制规定,实施安全控制措施,定期审查和更新安全控制机制。
(10)安全监控:组织应建立安全监控机制,定期监控网络系统的安全状况,及时发现安全漏洞,并采取有效措施消除安全隐患。
(11)安全等级保护:组织应建立安全等级保护机制,确定安全等级保护职责,制定安全等级保护规定,实施安全等级保护措施,定期审查和更新安全等级保护机制。
(12)安全策略实施:组织应定期实施安全策略,确保网络系统的安全性,防止网络系统受到未经授权的访问、破坏和滥用。
(13)安全策略评估:组织应定期评估安全策略,评估安全策略的有效性,并采取有效措施提高安全策略的有效性。
(14)安全策略审计:组织应定期审计安全策略,发现安全漏洞,并采取有效措施消除安全隐患。
(15)安全策略维护:组织应定期对安全策略进行维护,确保安全策略的正常运行。
(16)安全策略防护:组织应采取有效的安全策略防护措施,防止网络系统受到未经授权的访问、破坏和滥用。
(17)安全策略培训:组织应定期对员工进行安全策略培训,使员工充分了解安全策略的重要性,并能够正确使用安全策略。
(18)安全策略检测:组织应定期对安全策略进行检测,及时发现安全漏洞,并采取有效措施消除安全隐患。
(19)安全策略评估:组织应定期对安全策略进行评估,评估安全策略的有效性,并采取有效措施提高安全策略的有效性。
(20)安全策略控制:组织应建立安全策略控制机制,确定安全策略控制职责,制定安全策略控制规定,实施安全策略控制措施,定期审查和更新安全策略控制机制。
2. 网络安全等级保护的重要性
网络安全等级保护的重要性不言而喻,它是确保网络安全的重要手段。网络安全等级保护的20项标准,既可以防止网络系统受到未经授权的访问、破坏和滥用,又可以提高网络系统的安全性,保护网络系统的安全。
网络安全等级保护的20项标准,可以帮助组织建立安全管理机制、安全控制机制、安全等级保护机制链逗知和安全策略控制机制,以确保网络安全。此外,组织还可以通过定期审计、安全检测、安
‘伍’ 请问网络安全方面的标准有哪些
前几天我朋友的电脑中了病毒,病毒感染了很多EXE文件,修复难度很大,无奈只好格式化掉,损失惨重。我的电脑很少中毒,至少在我知道的情况下我的电脑没用中过毒。消灭病毒的难度是很大的,但做好预防工作却是非常容易的。下面是我的一些做法,个人认为做好下面的措施,电脑中毒机会的就会是微乎其微,这些措施只针对Windows操作系统。
1、必须安装防火墙和杀毒软件
不管你是怎样的高手,这两种软件还是需要安装的。虽然在面对新病毒时,杀毒软件会变得手足无措,倒不如自己上网找杀毒办法。但有一个杀毒软件就是多了一道屏障,不管这道屏障有多高或多矮,始终是利大于弊的。杀毒软件我用的是金山毒霸,我觉得不错,建议安装金山毒霸!
防火墙也是必须要安装的,同时最好还安装一些监测网络进程的程序,时刻监视有无恶意程序在进行非法操作。
另外,一些流氓软件专杀也是非常有用的,比如360安全卫士,金山清理专家等。
2、为Administrator用户降权
在Windows操作系统里,Administrator是最高级的用户,在正常的登陆模式是无法看到的,因此很容易忽略由Administrator用户带来的安全问题。
Administrator用户的初始密码是空的,如果没用安装防火墙,黑客很容易通过Administrator帐户进入你的电脑。这时做什么都已经为时已晚了。
事实上,这并不是降权,是创建一个伪造的,无实际权利的Administrator用户。
具体操作如下,先以一个非Administrator的管理员帐户登陆windows,然后打开:控制面板-管理工具-计算机管理-本地用户和组-用户,删除Administrator用户,再创建一个新的Administrator用户,右击设置密码,密码有多复杂就多复杂,让其隶属于最低级别的用户组,并在属性里勾选帐户已停用。如图1所示。
这样,即使别人破解了你的Administrator帐户,进入后也发现只是一个没用实权的帐户。
3、禁止所有磁盘自动运行
如今U盘病毒盛行,稍不小心就会导致“格盘”。U盘病毒一般的运行机制是通过双击盘符自动运行,因此,禁用所有磁盘的自动运行是一种相当有效的预防手段。
具体的操作过程是:运行输入gpedit.msc-->用户配置-->管理模板-->系统,双击右侧列表里的关闭自动播放,选择“所有驱动器”,然后选择“已启动”。确定退出。
4、不双击U盘
如果你没用禁止所有磁盘自动运行,又或者你在别人的计算机上使用U盘,最好不要双击U盘。这很容易触发U盘病毒,最好的方法是先用杀毒软件扫描。
U盘里的病毒一般清除方法是,通过资源管理器进去看看U盘里有无autorun.inf文件,通常是隐藏的。删除autorun.inf文件以及它所指向的程序,然后重新拔插U盘。
5、经常检查开机启动项
经常在运行里输入msconfig查看启动项,发现有异常的马上在网上找资料,看看是不是病毒。当然,你不一定要用msconfig,超级兔子等软件也是非常不错的。如图2所示。
6、经常备份重要数据
一些重要的数据,必须经常备份,例如重要的图片、个人信息等等。我大概一个月会刻录一次重要的资料,以防万一。
7、使用GHOST
经常使用Ghost备份操作系统盘,遇到严重问题时直接恢复整个系统盘,这是懒人的做法,懒得找病毒的隐藏地,但同时也是高效快捷的方法。问题是你必须经常使用Ghost进行备份,不然你恢复系统盘也会有所损失,至少损失了最近安装的程序(的注册信息)。
8、隐私文件要加密
使用一些加密程序加密那些你认为不能暴露于公众的文件,网上有很多这样的免费软件。不要以为隐藏了文件就行,隐藏只是一种自欺欺人的方式,加密了,即使你有类似“陈冠希”的照片也不会太危险。
9、使用Google
之所以推荐使用Google不是因为我对Google的偏爱,而是Google搜索里提供的网站安全信息提示。当搜索结果的某网页里含有病毒或木马时,Google会给出提示。
10、使用Firefox
Firefox不是万能的,但总比IE好,相比起IE,使用Firefox能有效地降低中毒几率。
11、使用复杂的密码
这是老生常谈的话题了,但还有很多人使用简单的数字密码,例如生日、身份证号等等,这是极容易被猜测的。“放心,我的生日只有我的朋友知道”,谁说你的朋友一定不会窥看你的隐私?
12、不要告诉任何人你的密码
在聊天工具里告诉别人你的密码你将面临4种风险:
A、你的电脑可能被挂马,密码被窃取了。
B、聊天工具提供商也有可能窃取你的密码。
C、聊天对方有可能利用你对他的信任去做不诚实的行为。
D、聊天对方的电脑中毒了,你的密码被窃取。
13、不要随便接收文件
尤其是在QQ里,别人发来文件,不要二话不说就接收,这是很危险的。一定要问清楚别人发的是什么东西,是不是他主动发的。接收后也不要马上运行,先用杀毒软件扫描一遍。