Noriu/CISP
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

2024年9月11日 17:57:05

Browse Source
This commit is contained in:
Noriu 2024-09-11 17:57:04 +08:00
parent a42366b58b
commit 98fefc379d
4 changed files with 85 additions and 85 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

82
01_第一章 信息安全保障/1.1 信息安全保障基础.md
View File

@ -18,10 +18,10 @@
4. 安全要考虑成本因素;
5. 信息系统不仅仅是业务的支撑,而是业务的命脉。
#### ==4、信息安全管理的理念==
#### <span style="background-color:yellow;">4、信息安全管理的理念</span>
1. 信息安全战略要服务于企业的业务战略;
2. 信息安全管理是一个==全==生命周期管理;
2. 信息安全管理是一个<span style="background-color:yellow;"></span>生命周期管理;
3. 信息安全管理是一个整体管理过程,任何一个网络行为的参与者都是一个安全的主体,而任何一个安全主体的失败都将导致安全的整体失败;
4. 信息安全管理要遵循成本效益原则;
5. 信息安全管理没有绝对安全,只有相对安全;
@ -51,16 +51,16 @@
- 为管理人员提供行动和指定决策的依据
- 建立在大量的数据搜集和处理的基础上,通过对搜集数据的分析和评估,从而形成相应的结论
- 威胁情报成为信息安全保障中的==关键能力==
- 威胁情报成为信息安全保障中的<span style="background-color:yellow;">关键能力</span>
#### 8、态势感知
- 建立在威胁情报的基础上
- 利用==大数据==和==高性能计算==为支撑,综合网络威胁相关的形式化及非形式化数据进行分析,并形成对未来网络威胁状态进行==预判==以便调整安全策略
- 利用<span style="background-color:yellow;">大数据</span><span style="background-color:yellow;">高性能计算</span>为支撑,综合网络威胁相关的形式化及非形式化数据进行分析,并形成对未来网络威胁状态进行<span style="background-color:yellow;">预判</span>以便调整安全策略
### 二、信息安全属性
- 理解信息安全属性的概念及==CIA三元组==*保密性、完整性、可用性*
- 理解信息安全属性的概念及<span style="background-color:yellow;">CIA三元组</span>*保密性、完整性、可用性*
- 保密性(机密性):确保信息不要暴露给未经授权的实体或者进程
- 授权:授予特定的用户具有特定的权限
- 加密:数据加密、通讯加密
@ -76,15 +76,15 @@
### 三、信息安全视角
- 了解==国家视角==对信息安全的关注点(网络战、关键基础设施保护、法律建设与标准化)及相关概念
- 2016年11月通过的==《网络安全法》==第三章第二节第三十一条==定义了我国关键基础设施==,“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧尸功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的基础设施”为关键基础设施。
- 了解<span style="background-color:yellow;">国家视角</span>对信息安全的关注点(网络战、关键基础设施保护、法律建设与标准化)及相关概念
- 2016年11月通过的<span style="background-color:yellow;">《网络安全法》</span>第三章第二节第三十一条<span style="background-color:yellow;">定义了我国关键基础设施</span>,“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧尸功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的基础设施”为关键基础设施。
- 法律建设与标准化
- 由于互联网的开放、自由和共有的脆弱性,使国家安全、社会公共利益以及个人权利在网络活动中面临着来自各方面的威胁,国家需要在技术允许的范围内保持==适当的安全要求==
- 所谓==适度安全==是指安全保护的立法的范围要和应用的重要性相一致,不要花费过多的成本,限制信息系统的可用性。
- 信息安全风险具有“不可逆”的特点,需要信息安全法律采取以==预防为主==的法律原则。但是由于信息安全威胁的全局性特点,其法律原则更应当采取==积极主动==的预防原则。
- 了解==企业视角==对信息安全的关注点(业务连续性管理、资产保护、合规性)及相关概念
- 由于互联网的开放、自由和共有的脆弱性,使国家安全、社会公共利益以及个人权利在网络活动中面临着来自各方面的威胁,国家需要在技术允许的范围内保持<span style="background-color:yellow;">适当的安全要求</span>
- 所谓<span style="background-color:yellow;">适度安全</span>是指安全保护的立法的范围要和应用的重要性相一致,不要花费过多的成本,限制信息系统的可用性。
- 信息安全风险具有“不可逆”的特点,需要信息安全法律采取以<span style="background-color:yellow;">预防为主</span>的法律原则。但是由于信息安全威胁的全局性特点,其法律原则更应当采取<span style="background-color:yellow;">积极主动</span>的预防原则。
- 了解<span style="background-color:yellow;">企业视角</span>对信息安全的关注点(业务连续性管理、资产保护、合规性)及相关概念
- 业务连续性
- 业务数据对组织的重要性使得组织必须关注==业务连续性==
- 业务数据对组织的重要性使得组织必须关注<span style="background-color:yellow;">业务连续性</span>
- 资产保护
- 有什么
- 用来做什么
@ -92,8 +92,8 @@
- 合规性
- 法律法规的合规
- 标准的合规性
- 了解==个人视角==对信息安全的关注点(隐私保护、个人资产保护、社会工程学)及相关概念
- 从个人角度而言,这不仅仅是一个==技术==问题,还是一个==社会==问题、==法律==问题以及==道德==问题。
- 了解<span style="background-color:yellow;">个人视角</span>对信息安全的关注点(隐私保护、个人资产保护、社会工程学)及相关概念
- 从个人角度而言,这不仅仅是一个<span style="background-color:yellow;">技术</span>问题,还是一个<span style="background-color:yellow;">社会</span>问题、<span style="background-color:yellow;">法律</span>问题以及<span style="background-color:yellow;">道德</span>问题。
- 隐私保护
- 社会工程学
- 个人资产安全
@ -104,18 +104,18 @@
### 四、信息安全发展阶段
- 了解==通信安全阶段==的核心安全需求、主要技术措施;
- 了解==计算机安全阶段==信息安全需求、主要技术措施及阶段的标志;
- 了解==信息系统安全阶段==的安全需求、主要技术措施及阶段的标志;
- 了解==信息系统安全阶段==与==系统安全阶段==的区别,信息安全保障的概念及我国信息安全保障工作的总体要求、主要原则;
- 了解==网络空间==的概念,理解网络空间安全对国家安全的重要性。
- 了解<span style="background-color:yellow;">通信安全阶段</span>的核心安全需求、主要技术措施;
- 了解<span style="background-color:yellow;">计算机安全阶段</span>信息安全需求、主要技术措施及阶段的标志;
- 了解<span style="background-color:yellow;">信息系统安全阶段</span>的安全需求、主要技术措施及阶段的标志;
- 了解<span style="background-color:yellow;">信息系统安全阶段</span><span style="background-color:yellow;">系统安全阶段</span>的区别,信息安全保障的概念及我国信息安全保障工作的总体要求、主要原则;
- 了解<span style="background-color:yellow;">网络空间</span>的概念,理解网络空间安全对国家安全的重要性。
#### 1、通信安全阶段
- 20世纪40年代 - 70年代
- 主要关注==传输过程中==的数据保护
- 主要关注<span style="background-color:yellow;">传输过程中</span>的数据保护
- 安全威胁:搭线窃听、密码学分析
- 核心思想:通过==密码技术==解决通信保密,保证数据的保密性和完整性
- 核心思想:通过<span style="background-color:yellow;">密码技术</span>解决通信保密,保证数据的保密性和完整性
- 安全措施:加密
> 影响现代通信安全因素越来越多,针对移动通讯的伪基站、对通信链路的破坏、干扰等因素
@ -123,18 +123,18 @@
#### 2、计算机安全阶段
- 20世纪70年代 - 90年代
- 主要关注于==数据处理==和==存储==时的数据保护
- 主要关注于<span style="background-color:yellow;">数据处理<span style="background-color:yellow;"></span>存储</span>时的数据保护
- 安全威胁:非法访问、恶意代码、脆弱口令等
- 核心思想:预防、检测和减小计算机系统(包括软件和硬件)用户(授权和未授权用户)执行的未授权活动所造成的后果。
- 安全措施:通过操作系统的访问控制技术来防止非授权用户的访问
#### ==3、信息系统安全阶段==
#### <span style="background-color:yellow;">3、信息系统安全阶段</span>
- 20世纪90年代后
- 主要关注==信息系统整体安全==
- 主要关注<span style="background-color:yellow;">信息系统整体安全</span>
- 安全威胁:网络入侵、病毒破坏、信息对抗等
- 核心思想:重点在于保护比“数据”更精炼的“信息”
- ==安全措施==防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等
- <span style="background-color:yellow;">安全措施</span>防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等
> 把信息系统安全从技术扩展到管理,从静态扩展到动态,通过技术、管理、工程等措施的综合融合至信息化中,形成对信息、信息系统乃至业务使命的保障
@ -144,20 +144,20 @@
- 1996年DoDD 5-3600.1首次提出了信息安全保障
- 关注信息、信息系统对组织业务及使命的保障
- 信息安全概念延伸,实现==全面安全==
- 信息安全概念延伸,实现<span style="background-color:yellow;">全面安全</span>
- 我国信息安全保障工作
- ==总体要求==:积极防御,综合防范
- ==主要原则==:技术与管理并重,正确处理安全与发展的关系
- <span style="background-color:yellow;">总体要求</span>:积极防御,综合防范
- <span style="background-color:yellow;">主要原则</span>:技术与管理并重,正确处理安全与发展的关系
#### 5、网络空间安全阶段
- 互联网已经将传统的虚拟世界与物理世界相互连接,形成网络空间
- 新技术领域融合带来新的安全风险
- 工业控制系统
- “==云大移物智==
- “<span style="background-color:yellow;">云大移物智</span>
- 核心思想:强调“威慑”概念
> 将==防御==、==威慑==和==利用==结合成三位一体的网络空间安全保障
> 将<span style="background-color:yellow;">防御</span><span style="background-color:yellow;">威慑</span><span style="background-color:yellow;">利用</span>结合成三位一体的网络空间安全保障
### 五、信息安全保障新领域(仅了解)
@ -188,22 +188,22 @@
#### 4、工业控制系统安全架构
- ==管理控制==
- <span style="background-color:yellow;">管理控制</span>
- 一是风险评价,二是规划,三是系统和服务采购,四是认证、认可和安全评价
- ==操作控制==
- <span style="background-color:yellow;">操作控制</span>
- 人员安全、物理和环境保护、意外防范计划、配置管理、维护、系统和信息完整性、媒体保护、事件响应、意识和培训
- ==技术控制==
- <span style="background-color:yellow;">技术控制</span>
- 识别和认证、访问控制、审计和追责、系统和通信保护
#### 5、云计算的安全风险
- ==数据管理==和==访问失控==的风险
- <span style="background-color:yellow;">数据管理</span><span style="background-color:yellow;">访问失控</span>的风险
- 数据存储位置对用户失控
- 云计算服务商对数据权限高于用户
- 用户不能有效监管云计算厂商内部人员对数据的非授权访问
- ==数据管理责任==风险
- <span style="background-color:yellow;">数据管理责任</span>风险
- 不适用“谁主管谁负责、谁运营谁负责”
- ==数据保护==的风险
- <span style="background-color:yellow;">数据保护</span>的风险
- 缺乏统一标准,数据存储格式不同
- 存储介质由云服务商控制,用户对数据的操作需要通过云服务商执行,用户无法有效掌控自己数据
@ -212,17 +212,17 @@
- 云计算安全是个交叉领域,覆盖物理安全到应用安全
- 云计算安全覆盖角色
- 云用户、云提供者、云承载者、云审计者和云经纪人
- 云计算安全服务体系==三层架构==
- 云计算安全服务体系<span style="background-color:yellow;">三层架构</span>
- 安全云基础设施
- 云安全基础服务
- 云安全应用服务
#### 7、虚拟化安全
- ==虚拟化是云计算的支撑技术==,把硬件资源虚拟化,构成一个资源池,从而提供云服务的各项特性
- <span style="background-color:yellow;">虚拟化是云计算的支撑技术</span>,把硬件资源虚拟化,构成一个资源池,从而提供云服务的各项特性
- 虚拟化安全
- 云计算中核心的安全问题
- 确保虚拟化多租户之间的==有效隔离==
- 确保虚拟化多租户之间的<span style="background-color:yellow;">有效隔离</span>
#### 8、物联网基本概念
@ -232,7 +232,7 @@
- 物联网的核心和基础仍然是互联网
- 其用户端延伸和扩展到了任何物品与物品之间
- ==物联网技术架构== P22
- <span style="background-color:yellow;">物联网技术架构</span> P22
| 感知 | 传输 | 支撑 | 应用 |
| ---- | ---- | ---- | ---- |
@ -254,7 +254,7 @@
- 大数据安全的概念
- 大数据是指传统数据架构无法有效处理的新数据集
- 大数据的价值
- ==趋势==分析
- <span style="background-color:yellow;">趋势</span>分析
- 大数据安全
- 数据的生命周期安全
- 技术平台安全

68
01_第一章 信息安全保障/1.2 信息安全保障框架.md
View File

@ -34,9 +34,9 @@
- 如果 Pt > Dt + Rt 那么S是安全的
- 如果 Pt < Dt + Rt 那么 Et = ( Dt + Rt ) - Pt
### ==二、信息安全保障技术框架==
### <span style="background-color:yellow;">二、信息安全保障技术框架</span>
> 理解信息安全保障技术框架IATF的“深度防御”==核心思想==、==三个核心要素==及==四个焦点领域==<br/>
> 理解信息安全保障技术框架IATF的“深度防御”<span style="background-color:yellow;">核心思想</span><span style="background-color:yellow;">三个核心要素</span><span style="background-color:yellow;">四个焦点领域</span><br/>
> 了解保护区域边界的原则和技术实现方式;<br/>
> 了解保护计算环境的原则和技术实现方式;<br/>
> 了解保护网络基础设施的原则和技术实现方式;<br/>
@ -46,7 +46,7 @@
信息安全保障技术框架IATF由美国国家安全局NSA制定为保护美国政府和工业界的信息与信息技术设施提供技术指南
==注IATF没有成为国际标准==
<span style="background-color:yellow;">IATF没有成为国际标准</span>
#### 2、核心思想 P28
@ -59,34 +59,34 @@
> 人、技术、操作
1. **人People**
- 信息保障体系的==核心==,是==第一位==的要素,同时也是最脆弱的
- 信息保障体系的<span style="background-color:yellow;">核心</span>,是<span style="background-color:yellow;">第一位</span>的要素,同时也是最脆弱的
- 基于这样的认识,安全管理在安全保障体系中愈显重要,包括:
- 意识培训、组织管理、技术管理、操作管理
- ......
2. **技术Technology**
- 技术是实现信息保障的==重要手段==
- 技术是实现信息保障的<span style="background-color:yellow;">重要手段</span>
- 动态的技术体系
- ==防护、检测、响应、恢复==
- <span style="background-color:yellow;">防护、检测、响应、恢复</span>
3. **操作Operation**
- 也叫运行,构成安全保障的==主动防御==体系
- 也叫运行,构成安全保障的<span style="background-color:yellow;">主动防御</span>体系
- 是将各方面技术紧密结合在一起的主动的过程,包括:
- 风险评估、安全监控、安全审计
- 跟踪警告、入侵检测、响应恢复
#### ==4、四个焦点领域==
#### <span style="background-color:yellow;">4、四个焦点领域</span>
- **保护网络和基础设施**
- ==目标==:网络和支持它的基础设施==必须==
- <span style="background-color:yellow;">目标</span>:网络和支持它的基础设施<span style="background-color:yellow;">必须</span>
- 防止数据非法泄露
- 防止受到拒绝服务的攻击
- 防止受到保护的信息在发送过程中的时延、误传或未发送
- ==方法==
- <span style="background-color:yellow;">方法</span>
- 骨干网可用性
- 无线网络安全框架
- 系统高度互联和虚拟专用网
- ......
- **保护区域边界**
- ==区域边界==:区域的网络设备与其他网络设备的接入点被称为“区域边界”
- <span style="background-color:yellow;">区域边界</span>:区域的网络设备与其他网络设备的接入点被称为“区域边界”
- 目标:对进出某区域(物理区域或逻辑区域)的数据流进行有效的控制与监视
- 方法:
- 病毒、恶意代码防御
@ -96,7 +96,7 @@
- 多级别安全
- ......
- **保护计算环境**(第九章详细讲)
- 目标:使用信息保障技术确保数据在==进入==、==离开==或==驻留==客户机和服务器时具有==保密性==、==完整性==和==可用性==
- 目标:使用信息保障技术确保数据在<span style="background-color:yellow;">进入</span><span style="background-color:yellow;">离开</span><span style="background-color:yellow;">驻留</span>客户机和服务器时具有<span style="background-color:yellow;">保密性</span><span style="background-color:yellow;">完整性</span><span style="background-color:yellow;">可用性</span>
- 方法:
- 使用安全的操作系统
- 使用安全的应用程序
@ -110,30 +110,30 @@
- 密钥管理基础设施KMI
- 提供一种通用的联合处理方式,以便安全地创建、分发和管理公钥证书和传统的对称密钥,使它们能够为网络、区域和计算机环境提供安全服务
- 检测和响应基础设施
- 能够迅速检测并响应入侵行为,需要入侵检测与监视软件等技术解决方案以及训练有素的专业人员(通常指==计算机应急响应小组CERT==)的支持。
- 能够迅速检测并响应入侵行为,需要入侵检测与监视软件等技术解决方案以及训练有素的专业人员(通常指<span style="background-color:yellow;">计算机应急响应小组CERT</span>)的支持。
#### 5、安全原则与特点
- ==**安全原则**==
- <span style="background-color:yellow;">**安全原则**</span>
- 保护多个位置
- 分层防御
- 安全强健性
- **IATF特点**
- 全方位防御、纵深防御将系统风险==降到最低==
- 全方位防御、纵深防御将系统风险<span style="background-color:yellow;">降到最低</span>
- 信息安全不纯粹是技术问题,而是一项复杂的系统工程
- 提出“人”这一要素的重要性,==人即管理==
- 提出“人”这一要素的重要性,<span style="background-color:yellow;">人即管理</span>
### 三、信息系统安全保障评估框架
> ==理解==信息系统保障相关概念及信息安全保障的核心目标;<br/>
> ==了解==信息系统保障评估的相关概念和关系;<br/>
> ==理解==信息系统安全保障评估模型主要特点,生命周期、保障要素等概念。
> <span style="background-color:yellow;">理解</span>信息系统保障相关概念及信息安全保障的核心目标;<br/>
> <span style="background-color:yellow;">了解</span>信息系统保障评估的相关概念和关系;<br/>
> <span style="background-color:yellow;">理解</span>信息系统安全保障评估模型主要特点,生命周期、保障要素等概念。
#### 1、基本概念
- **信息系统**
用于==采集、处理、存储、传输、分发和部署==信息的整个基础设施、组织结构、机构人员和组件的==总和==
用于<span style="background-color:yellow;">采集、处理、存储、传输、分发和部署</span>信息的整个基础设施、组织结构、机构人员和组件的<span style="background-color:yellow;">总和</span>
- **信息系统安全风险**
@ -141,7 +141,7 @@
- **信息系统安全保障**
在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从==技术、管理、工程和人员==等方面提出信息安全保障要求,确保信息系统的==保密性、完整性和可用性==,把安全风险降低到可接受的程度,从而保障系统能够顺利实现组织机构的使命。
在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从<span style="background-color:yellow;">技术、管理、工程和人员</span>等方面提出信息安全保障要求,确保信息系统的<span style="background-color:yellow;">保密性、完整性和可用性</span>,把安全风险降低到可接受的程度,从而保障系统能够顺利实现组织机构的使命。
#### 2、概念和关系
@ -157,13 +157,13 @@
![屏幕截图 2024-09-10 101016](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/%E5%B1%8F%E5%B9%95%E6%88%AA%E5%9B%BE%202024-09-10%20101016.png)
- ==信息系统保护轮廓ISPP==
- <span style="background-color:yellow;">信息系统保护轮廓ISPP</span>
- 根据组织机构使命和所处的运行环境,从组织机构的策略和风险的实际情况出发,对具体信息系统安全保障需求和能力进行具体描述。
- 表达一类产品或系统的安全目的和要求。
- ISPP是从信息系统的所有者用户的角度规范化、结构化的描述信息系统安全保障需求。
- ==信息系统安全目标ISST==
- <span style="background-color:yellow;">信息系统安全目标ISST</span>
- 根据信息系统保护轮廓ISPP编制的信息系统安全保障方案。
- 某一特定产品或系统的安全需求。
@ -177,22 +177,22 @@
- 模型特点
- 将==风险==和==策略==作为信息系统安全保障的==基础==和==核心==
- 强调安全贯彻信息系统==生命周期==
- 强调==综合保障==的观念
- 将<span style="background-color:yellow;">风险</span><span style="background-color:yellow;">策略</span>作为信息系统安全保障的<span style="background-color:yellow;">基础</span><span style="background-color:yellow;">核心</span>
- 强调安全贯彻信息系统<span style="background-color:yellow;">生命周期</span>
- 强调<span style="background-color:yellow;">综合保障</span>的观念
> 以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素。通过信息系统安全保障实现信息安全的安全特征:信息的保密性、完整性和可用性特征,从而达到保障组织机构执行其使命的根本目的。
- 基于信息系统生命周期的信息安全保障
- 信息系统的生命周期层面和保障要素层面不是相互孤立的,而是==相互关联==、==密不可分==的。
- 信息系统的生命周期层面和保障要素层面不是相互孤立的,而是<span style="background-color:yellow;">相互关联</span><span style="background-color:yellow;">密不可分</span>的。
- 在信息系统生命周期中的任何时间点上,都需要综合信息系统安全保障的技术、管理、工程和人员保障要素。
![image-202409101029wewe26748](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-202409101029wewe26748.png)
- **信息安全保障要素**
- ==信息安全技术==
- <span style="background-color:yellow;">信息安全技术</span>
- 密码技术
- 访问控制技术
- 审计和监控技术
@ -201,20 +201,20 @@
- 数据库安全技术
- 安全漏洞与恶意代码
- 软件安全开发
- ==信息安全管理==
- <span style="background-color:yellow;">信息安全管理</span>
- 信息安全管理体系(第三章)
- 风险管理(第六章)
- ==信息安全工程==(第五章)
- <span style="background-color:yellow;">信息安全工程</span>(第五章)
- 信息安全工程涉及系统和应用的开发、集成、操作、管理、维护和进化以及产品的开发、交付和升级。
- ==信息安全人才==
- <span style="background-color:yellow;">信息安全人才</span>
- 信息安全保障诸要素中,人是最关键、也是最活跃的要素。网络攻防对抗,最终较量的是攻防两端的人,而不是设备。
- **信息安全保障==解决方案==**
- **信息安全保障<span style="background-color:yellow;">解决方案</span>**
- 以==风险评估==和==法规要求==得出<span style="color:red;">安全需求为依据</span>
- 以<span style="background-color:yellow;">风险评估</span><span style="background-color:yellow;">法规要求</span>得出<span style="color:red;">安全需求为依据</span>
- 考虑系统的业务功能和价值
- 考虑系统风险哪些是必须处置的,哪些是可接受的
- 贴合实际具有==可实施性==
- 贴合实际具有<span style="background-color:yellow;">可实施性</span>
- 可接受的成本
- 合理的金地
- 技术可实现性

16
02_第二章 网络安全监管/2.1 网络安全法律体系建设.md
View File

@ -61,7 +61,7 @@
#### 1、出台背景
《网络安全法》从草案发布到正式出台,共经历了==三次审议====两次公开征求意见和修改==
《网络安全法》从草案发布到正式出台,共经历了<span style="background-color:yellow;">三次审议</span><span style="background-color:yellow;">两次公开征求意见和修改</span>
![image 2024-09-10 153729](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image%202024-09-10%20153729.png)
@ -75,7 +75,7 @@
- **网络空间安全**
> 网络空间已成为领土、领海、领空、太空之外的==“第五空间”==或人类==“第二类生存空间”==成为<span style="color:red;">国家主权延伸的新疆域</span>
> 网络空间已成为领土、领海、领空、太空之外的<span style="background-color:yellow;">“第五空间”</span>或人类<span style="background-color:yellow;">“第二类生存空间”</span>成为<span style="color:red;">国家主权延伸的新疆域</span>
- **关键信息基础设施**
@ -116,11 +116,11 @@
- 推动<span style="color:red;">社会化网络安全服务体系</span>建设
- 鼓励开发<span style="color:red;">数据安全保护和利用</span>技术、创新<span style="color:red;">网络安全管理</span>方式
- 开展<span style="color:red;">经常性网络安全宣传</span>教育
- 支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取<span style="color:red;">多种方式培养网络安全人才</span>,促进网络安全人才交流==(解决人才不足问题)==
- 支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取<span style="color:red;">多种方式培养网络安全人才</span>,促进网络安全人才交流<span style="background-color:yellow;">(解决人才不足问题)</span>
- **第三章 网络运行安全**
- *==明确要求落实网络安全等级保护制度==*
- *<span style="background-color:yellow;">明确要求落实网络安全等级保护制度</span>*
<span style="color:red;">第二十一条</span> 国家实行<span style="color:red;">网络安全等级保护制度</span>。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
@ -140,7 +140,7 @@
- *明确网络产品、服务提供者的安全义务*
- <span style="color:red;">强制标准义务:</span>网络产品、服务应当符合相关国家标准的强制性要求,不得设置恶意程序;==网络关键设备和网络安全专用产品应当按照国家相关标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供==<span style="color:red;">(例:军购)</span>
- <span style="color:red;">强制标准义务:</span>网络产品、服务应当符合相关国家标准的强制性要求,不得设置恶意程序;<span style="background-color:yellow;">网络关键设备和网络安全专用产品应当按照国家相关标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供</span><span style="color:red;">(例:军购)</span>
- <span style="color:red;">告知补救义务:</span>网络产品、服务提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,及时告知用户,向有关主管部门报告;
- <span style="color:red;">安全维护义务:</span>网络产品、服务提供者应为产品、服务持续提供安全维护,在规定或者当事人约定的期限内不得终止;
- <span style="color:red;">个人信息保护:</span>网络产品、服务具有收集用户信息功能的,网络产品、服务提供者应向用户明示并取得同意;涉及用户个人信息的,还应遵守相关法律、行政法规中有关个人信息保护的规定。
@ -181,7 +181,7 @@
- 关键基础设施运营中产生的数据必须<span style="color:red;">境内存储</span>
- 2017年04月10日国家互联网信息办公室发布关于《个人信息和重要数据出境安全评估办法征求意见稿》公开征求意见的通知。==明确了:==
- 2017年04月10日国家互联网信息办公室发布关于《个人信息和重要数据出境安全评估办法征求意见稿》公开征求意见的通知。<span style="background-color:yellow;">明确了:</span>
- 个人信息和重要数据<span style="color:red;">出境的范围</span>
@ -195,7 +195,7 @@
- 数据出境评估原则
- 评估==7个方面==主要内容
- 评估<span style="background-color:yellow;">7个方面</span>主要内容
1. 数据出境的必要性;
2. 涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;
@ -233,7 +233,7 @@
- 2017年05月02日国家互联网信息办公室正式发布<span style="color:red;">《互联网新闻信息服务管理规定》国信办1号令</span>于6月1日同《网络安全法》一起实施。
==其规范了:==
<span style="background-color:yellow;">其规范了:</span>
- 互联网新闻信息服务的范围
- 互联网新闻信息服务的6项许可条件

4
02_第二章 网络安全监管/2.3 网络安全道德准则.md
View File

@ -26,7 +26,7 @@
#### 2、著名的计算机职业伦理守则
- 美国计算机学会职业伦理守则、英国计算机学会伦理守则、<span style="color:red;">计算机伦理十诫</span>
- ==计算机伦理十诫==
- <span style="background-color:yellow;">计算机伦理十诫</span>
1. 你不应当用计算机去伤害别人;
2. 你不应当干扰别人的计算机工作;
3. 你不应当偷窥别人的文件;
@ -38,7 +38,7 @@
9. 你应当考虑你所编制的程序的社会后果;
10. 你应当用深思熟虑和审慎的态度来使用计算机。
#### ==3、CISP职业道德准则==
#### <span style="background-color:yellow;">3、CISP职业道德准则</span>
- 维护国家、社会和公众的信息安全
- 诚实守信、遵纪守法