当前位置:文档之家 › CISP2018_信息安全监管_v4.1

CISP2018_信息安全监管_v4.1

  • 格式:pptx
  • 大小:2.34 MB
  • 文档页数:58

下载文档原格式

  / 58

合集下载

信息安全工程及管理CISP认证培训教程

信息安全工程及管理CISP认证培训教程


加密技术应用场景
包括网络通信、数据存储、身 份认证等领域。
2024/1/30
20
数据备份恢复策略制定
数据备份策略
根据数据类型、重要性等因素 制定备份周期、备份方式等。
2024/1/30
数据恢复策略
确保在数据丢失或损坏时能够 及时恢复,包括定期演练恢复 流程。
备份恢复技术选择
根据实际需求选择适合的备份 恢复技术,如磁带、磁盘、云 备份等。
2024/1/30
28
操作系统安全配置优化建议
最小化安装
在安装操作系统时,仅安 装必需的服务和组件,降 低系统被攻击的风险。
2024/1/30
安全补丁管理
定期更新操作系统安全补 丁,修复已知漏洞,提高 系统安全性。
账户和权限管理
严格控制操作系统账户权 限,避免使用root或管理 员权限运行应用程序,采 用最小权限原则。
信息安全管理
包括信息安全管理体系建设、信息安全风险管理、信息安全策略制 定和实施、信息安全审计和监控等方面的内容。
32
复习方法分享和备考技巧指导
系统学习
建议考生参加专业的CISP认证培训 课程,系统学习信息安全工程及管理 相关知识和技能。
阅读教材
认真阅读CISP认证考试指定教材, 深入理解各个知识点和概念。
,如SQL注入、跨站脚本等。
输入验证和输出编码
对用户输入进行严格的验证和过滤,防止 注入攻击;对所有输出进行编码,防止跨
站脚本攻击。
2024/1/30
会话管理安全
实施安全的会话管理机制,包括使用强随 机数生成器生成会话ID、定期更换会话密 钥、限制会话生存时间等。
最小权限原则
遵循最小权限原则,为每个应用或服务分 配所需的最小权限,减少潜在的安全风险 。
CISP信息安全认证考试指南

CISP信息安全认证考试指南

专业人员(CISP)注册维持要求,并缴付年费;
第 7页
CISP知识框架
• 2018年10月1日生效CISP知识体系4.1结构框架图
第 8页
CISP知识框架
• CISP知识体系
信息安全保障 − 本知识域包括信息安全保障的基本概念、模型、工作内容与工作方法,同时包
括信息安全保障要素中的安全工程相关内容及新技术领域信息安全保障的相关 知识。通过对本知识域的学习,学员应该理解信息安全问题产生的根源,信息 安全基本概念。了解PPDR、IATF、等信息系统安全保障评估框架等安全保障框 架,并理解信息安全保障工作内容及方法、信息系统安全工程(ISSE)及安全 工程能力成熟度模型(SSE-CMM)等相关知识。 信息安全规划 − 本知识域包括信息安全风险管理及密码学、身份鉴别及访问控制等信息安全支 撑技术相关知识。通过本知识域的学习,学员了解风险管理相关概念并掌握风 险管理的工作方法,并且掌握密码学、身份鉴别、访问控制等信息安全基础技 术,为信息系统安全体系规划及信息安全保障工作提供支撑。 安全设计与实现 − 本知识域包括物理和环境安全、网络和通信安全、计算机环境安全和应用与数 据安全四个知识子域。通过对知识域的学习,学员了解并掌握信息系统物理、 网络、主机、应用等多个层面的安全问题及防护措施。
“注册信息安全员”,(Certified Information Security Member ,简称 CISM) 注册信息安全专业人员—渗透测试工程师 (Certified Information Security ProfessionalPenetration Test Engineer,简称 CISP-PTE) 注册信息安全审计师(Certified Information Security Professional -Auditor,简称 CISA)
CISP2018_计算环境安全_v4.1

CISP2018_计算环境安全_v4.1

了解恶意代码的概念、传播方式及安全策略、减少 漏洞和减轻威胁等针对恶意代码的预防措施;
恶意代码的检测分析
理解特征扫描、行为检测的区别及优缺点; 了解静态分析、动态分析的概念及区别。
恶意代码的清除
了解感染引导区、感染文件、独立型和嵌入型恶意 代码清除的方式。
基于互联网的恶意代码防护
目标系统的信息系统相关资料
• 域名、网络拓扑、操作系统、应用软件、相关脆弱 性
目标系统的组织相关资料
• 组织架构及关联组织 • 地理位置细节 • 电话号码、邮件等联系方式 • 近期重大事件 • 员工简历
其他可能令攻击者感兴趣的任何信息
19
公开信息收集-搜索引擎
快速定位
某开源软件xxxx.jsp脚本存在漏洞,Google 搜索 ‚xxxx.jsp‛可以找到存在此脚本的Web网站 Google 搜索‚teweb/default.htm‛就可找到开放着 远程Web连接的服务器
78H 56H
24
栈顶
缓冲区溢出简单示例
程序作用:将用户输入的内容打印在屏幕上
Buffer.c
#include <stdio.h> int main ( ) { char name[8]; printf("Please input your name: "); gets(name); printf("you name is: %s!", name); return 0; }
பைடு நூலகம்
国家漏洞库(CNNVD)2013年漏洞统计
23
缓冲区溢出基础-堆栈、指针、寄存器
堆栈概念
一段连续分配的内存空间
ESP
CISP2018_软件安全开发_V4.1

CISP2018_软件安全开发_V4.1

• 部署方式、配置信息、用户使用方式等 典型场景 • 移动或小型设备物理失窃场景 • Web应用匿名用户场景
30
威胁建模-识别威胁
识别每一个可能面临的威胁
理解软件可能面临的威胁是安全开发的前提 威胁不等于漏洞 威胁永远存在
S Spoolfing Identity 假冒身份/欺骗标识
35
安全需求分析
安全需求分类
安全功能需求 安全保障需求
需求分析的要点
安全需求进行有效定义 不仅考虑系统功能,还要考虑系统不应该做什么 功能需求、安全需求、安全目标要达到平衡
需求工程师不要仅仅从用户的角度出发考虑 系统的功能,还应从攻击者的角度出发考虑 系统的漏洞。
36
需求分析过程
13
软件安全保障
贯彻风险管理的思想
安全不必是完美无缺的,但风险必须是可管理的 树立对软件安全控制的信心,该信心是通过保障活 动来获取的
通过在软件开发生命周期各阶段采取必要的、相 适应的安全措施来避免绝大多数的安全漏洞
采取措施只能有效减少, 但并不能完全杜绝所有的 安全漏洞!
14
软件安全开发生命周期
在软件开发生命周期中,后面的阶段改正错误开 销比前面的阶段要高出数倍 NIST:在软件发布以后进行修复的代价是在软件 设计和编码阶段即进行修复所花代价的30倍
16
相关模型和研究
安全软件开发生命周期


安全设计原则 安全开发方法 最佳实践 安全专家经验
可信计算安全开发生命周期(微软) CLASP(OWASP)综合的轻量应用安全过程 BSI系列模型(Gary McGraw等) SAMM(OWASP)软件保证成熟度模型
CISP-V4.0-06-《信息安全管理》知识点复习总结

CISP-V4.0-06-《信息安全管理》知识点复习总结

CISP-信息安全管理知识点总结第1节信息安全管理体系1.管理的概念和对象:略。

2.管理的作用:2.1 组织整体管理重要、固有组成部分。

*2.2 组织实现其业务目标的重要保障。

*2.3 信息安全管理是信息安全技术的融合剂。

*2.4 信息安全管理能预防、阻止或减少信息安全事件的发生。

*3. 管理对内和对外的作用,以对内作用为主。

*4. 管理成功要素:反映业务目标、文化一致、实质性支持、教育培训、风险管理的理解、测量等。

*5.管理的方法:风险管理和过程管理(PDCA)。

*6. 27001-27005的标准。

*7. ISO/IEC 27001的PDCA各阶段的工作内容:*7.1 P阶段7.2 D阶段7.3 C阶段7.4 A阶段第2节信息安全管理措施1.信息安全方针*1.1制定方针1.2评审方针2.信息安全组织2.1 内部组织*—信息安全的角色和职责—职责分离—与政府部门的联系—与相关利益方的联系—项目管理的信息安全2.2 移动设备与远程办公—移动设备方针—远程工作3.人力资源安全*3.1 任用前:审查、任用条款及条件。

3.2 任用中:管理职责、信息安全意识、教育和培训、纪律处理过程。

3.3 任用终止或变化:雇佣责任的改变和终结4. 资产管理*4.1 资产负责:资产清单、资产责任人、资产的可接受使用、资产归还。

4.2 信息分类:分类指南、信息的标记、资产的处理。

5.访问控制5.1 访问控制-访问控制的业务要求5.2 访问控制-用户访问管理5.3 访问控制-用户职责5.4 访问控制-系统和应用访问控制6.密码学-加密控制—使用加密控制的策略—密钥管理7.物理与环境安全*7.1 物理与环境安全-安全区域7.2 物理与环境安全-设备安全8.操作安全8.1 操作规程和职责8.2 恶意代码防范8.3 备份8.4 日志记录和监视8.5 操作软件控制8.6 信息系统审计的考虑9.通信安全9.1 网络安全管理9.2 信息的交换10.信息获取开发及维护10.1 信息系统的安全要求10.2 开发和支持过程中的安全10.3 测试数据11.供应商的安全11.1 供应商关系中的信息安全11.2 供应商服务交付管理12.信息安全事件管理*12.1 信息安全事件的管理和改进12.2 信息安全事件管理职责和规程12.3 信息安全事件的响应13.信息安全方面的业务连续性管理13.1 信息安全的连续性13.2 冗余14.符合性*14.1 符合性-符合法律和合同规定14.2 符合性-信息安全审核第三节社会工程学攻击*1.概念及危害2.防护措施:提高人的意识和认知水平。

CISP试题及答案-五套题

CISP试题及答案-五套题

1.人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是出于:A. 为了更好的完成组织机构的使命B. 针对信息系统的攻击方式发生重大变化C. 风险控制技术得到革命性的发展D. 除了保密性,信息的完整性和可用性也引起了人们的关注2.《GB/T 20274信息系统安全保障评估框架》中的信息系统安全保障级中的级别是指:A. 对抗级B. 防护级C. 能力级D. 监管级3.下面对信息安全特征和范畴的说法错误的是:A. 信息安全是一个系统性的问题,不仅要考虑信息系统本身的技术文件,还有考虑人员、管理、政策等众多因素B. 信息安全是一个动态的问题,他随着信息技术的发展普及,以及产业基础,用户认识、投入产出而发展C. 信息安全是无边界的安全,互联网使得网络边界越来越模糊,因此确定一个组织的信息安全责任是没有意义的D. 信息安全是非传统的安全,各种信息网络的互联互通和资源共享,决定了信息安全具有不同于传统安全的特点4. 美国国防部提出的《信息保障技术框架》(IATF)在描述信息系统的安全需求时,将信息技术系统分为:A. 内网和外网两个部分B. 本地计算机环境、区域边界、网络和基础设施、支撑性基础设施四个部分C. 用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分D. 信用户终端、服务器、系统软件、网络设备和通信线路、应用软件,安全防护措施六个部分5. 关于信息安全策略的说法中,下面说法正确的是:A. 信息安全策略的制定是以信息系统的规模为基础B. 信息安全策略的制定是以信息系统的网络???C. 信息安全策略是以信息系统风险管理为基础D. 在信息系统尚未建设完成之前,无法确定信息安全策略6. 下列对于信息安全保障深度防御模型的说法错误的是:A. 信息安全外部环境:信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。

B. 信息安全管理和工程:信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中,我们需要采用信息系统工程的方法来建设信息系统。

最新CISP试题及答案-一套题

最新CISP试题及答案-一套题

C I S P试题及答案-一套题1.下面关于信息安全保障的说法错误的是:A.信息安全保障的概念是与信息安全的概念同时产生的B.信息系统安全保障要素包括信息的完整性,可用性和保密性C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段D.信息安全保障是以业务目标的实现为最终目的,从风险和策略出发,实施各种保障要素,在系统的生命周期内确保信息的安全属性。

以下哪一项是数据完整性得到保护的例子?A.某网站在访问量突然增加时对用户连接数量进行了限制,保证已登录的用户可以完成操作B.在提款过程中ATM终端发生故障,银行业务系统及时对该用户的账户余额进行了冲正操作C.某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作D.李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看注重安全管理体系建设,人员意识的培训和教育,是信息安全发展哪一个阶段的特点?A.通信安全B.计算机安全C.信息安全D.信息安全保障以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一?A.提高信息技术产品的国产化率B.保证信息安全资金注入C.加快信息安全人才培养D.重视信息安全应急处理工作以下关于置换密码的说法正确的是:A.明文根据密钥被不同的密文字母代替B.明文字母不变,仅仅是位置根据密钥发生改变C.明文和密钥的每个bit异或D.明文根据密钥作了移位以下关于代替密码的说法正确的是:A.明文根据密钥被不同的密文字母代替B.明文字母不变,仅仅是位置根据密钥发生改变C.明文和密钥的每个bit异或D.明文根据密钥作了移位7常见密码系统包含的元素是:A.明文、密文、信道、加密算法、解密算法B.明文、摘要、信道、加密算法、解密算C.明文、密文、密钥、加密算法、解密算法D.消息、密文、信道、加密算法、解密算法8在密码学的Kerchhoff假设中,密码系统的安全性仅依赖于____________________A.明文B.密文C.密钥D.信道9PKI在验证一个数字证书时需要查看_________来确认该证书是否已经作废A.ARLB.CSSC.KMSD.CRL10、一项功能可以不由认证中心CA完成?A.撤销和中止用户的证书B.产生并分布CA的公钥C.在请求实体和它的公钥间建立链接D.发放并分发用户的证书11、一项是虚拟专用网络(VPN)的安全功能?A.验证,访问控制盒密码B.隧道,防火墙和拨号C.加密,鉴别和密钥管理D.压缩,解密和密码12、为了防止授权用户不会对数据进行未经授权的修改,需要实施对数据的完整性保护,列哪一项最好地描述了星或(*-)完整性原则?A.Bell-LaPadula模型中的不允许向下写B.Bell-LaPadula模型中的不允许向上度C.Biba模型中的不允许向上写D.Biba模型中的不允许向下读13、下面哪一个情景属于身份鉴别(Authentication)过程?A.用户依照系统提示输入用户名和口令B.用户在网络上共享了自己编写的一份Office文档,并设定哪些用户可以阅读,哪些用户可以修改C.用户使用加密软件对自己编写的office文档进行加密,以阻止其他人得到这份拷贝后看到文档中的内容D.某个人尝试登录到你的计算机中,但是口令输入的不对,系统提示口令错误,并将这次失败的登录过程记录在系统日志中14、下列对Kerberos协议特点描述不正确的是:A.协议采用单点登录技术,无法实现分布式网络环境下的认证B.协议与授权机制相结合,支持双向的身份认证C.只要用户拿到了TGT并且该TGT没有过期,就可以使用该TGT通过TGS完成到任一个服务器的认证而不必重新输入密码D.AS和TGS是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS和TGS的性能和安全15、TACACS+协议提供了下列哪一种访问控制机制?A.强制访问控制B.自主访问控制C.分布式访问控制D.集中式访问控制16、下列对蜜网功能描述不正确的是:A.可以吸引或转移攻击者的注意力,延缓他们对真正目标的攻击B.吸引入侵者来嗅探、攻击,同时不被觉察地将入侵者的活动记录下来C.可以进行攻击检测和实时报警D.可以对攻击活动进行监视、检测和分析17、下列对审计系统基本组成描述正确的是:A.审计系统一般包括三个部分:日志记录、日志分析和日志处理B.审计系统一般包含两个部分:日志记录和日志处理C.审计系统一般包含两个部分:日志记录和日志分析D.审计系统一般包含三个部分:日志记录、日志分析和日志报告18、在ISO的OSI安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务?A.加密B.数字签名C.访问控制D.路由控制19、在OSI参考模型中有7个层次,提供了相应的安全服务来加强信息系统的安全性,以下哪一层提供了保密性、身份鉴别、数据完整性服务?A.网络层B.表示层C会话层D.物理层20、WAPI采用的是什么加密算法?A.我国自主研发的公开密钥体制的椭圆曲线密码算法B.国际上通行的商用加密标准C.国家密码管理委员会办公室批准的流加密标准D.国际通行的哈希算法21、通常在VLAN时,以下哪一项不是VLAN的规划方法?A.基于交换机端口B.基于网络层协议C.基于MAC地址D.基于数字证书22、某个客户的网络现在可以正常访问Internet互联网,共有200台终端PC但此客户从ISP(互联网络服务提供商)里只获得了16个公有的IPv4地址,最多也只有16台PC可以访问互联网,要想让全部200台终端PC访问Internet互联网最好采取什么方法或技术:A、花更多的钱向ISP申请更多的IP地址B、在网络的出口路由器上做源NATC、在网络的出口路由器上做目的NATD、在网络出口处增加一定数量的路由器23、以下哪一个数据传输方式难以通过网络窃听获取信息?A.FTP传输文件B.TELNET进行远程管理C.URL以HTTPS开头的网页内容D.经过TACACS+认证和授权后建立的连接24、桥接或透明模式是目前比较流行的防火墙部署方式,这种方式的优点不包括:A.不需要对原有的网络配置进行修改B.性能比较高C.防火墙本身不容易受到攻击D.易于在防火墙上实现NAT25、下面哪一项是对IDS的正确描述?A、基于特征(Signature-based)的系统可以检测新的攻击类型B、基于特征(Signature-based)的系统化基于行为(behavior-based)的系统产生更多的误报C、基于行为(behavior-based)的系统维护状态数据库来与数据包和攻击相匹配D、基于行为(behavior-based)的系统比基于特征(Signature-based)的系统有更高的误报26、下列哪些选项不属于NIDS的常见技术?A.协议分析B.零拷贝C.SYN CookieD.IP碎片重组27、在UNIX系统中输入命令“IS-AL TEST”显示如下:“-rwxr-xr-x 3 root root 1024 Sep 13 11:58 test”对它的含义解释错误的是:A.这是一个文件,而不是目录B.文件的拥有者可以对这个文件进行读、写和执行的操作C.文件所属组的成员有可以读它,也可以执行它D.其它所有用户只可以执行它28、在Unix系统中,/etc/service文件记录了什么内容?A、记录一些常用的接口及其所提供的服务的对应关系B、决定inetd启动网络服务时,启动那些服务C、定义了系统缺省运行级别,系统进入新运行级别需要做什么D、包含了系统的一些启动脚本29、以下对windows账号的描述,正确的是:A、windows系统是采用SID(安全标识符)来标识用户对文件或文件夹的权限B、windows系统是采用用户名来标识用户对文件或文件夹的权限C、windows系统默认会生成administration和guest两个账号,两个账号都不允许改名和删除D、windows系统默认生成administration和guest两个账号,两个账号都可以改名和删除30、以下对于Windows系统的服务描述,正确的是:A、windows服务必须是一个独立的可执行程序B、windows服务的运行不需要用户的交互登录C、windows服务都是随系统的启动而启动,无需用户进行干预D、windows服务都需要用户进行登录后,以登录用户的权限进行启动31、以下哪一项不是IIS服务器支持的访问控制过滤类型?A.网络地址访问控制B.WEB服务器许可C.NTFS许可D.异常行为过滤32、为了实现数据库的完整性控制,数据库管理员应向DBMS提出一组完整性规则来检查数据库中的数据,完整性规则主要由3部分组成,以下哪一个不是完整性规则的内容?A.完整性约束条件B.完整性检查机制C.完整性修复机制D.违约处理机制33、数据库事务日志的用途是什么?A.事务处理B.数据恢复C.完整性约束D.保密性控制34、下列哪一项与数据库的安全有直接关系?A.访问控制的粒度B.数据库的大小C.关系表中属性的数量D.关系表中元组的数量35、下面对于cookie的说法错误的是:A、cookie是一小段存储在浏览器端文本信息,web应用程序可以读取cookie包含的信息B、cookie可以存储一些敏感的用户信息,从而造成一定的安全风险C、通过cookie提交精妙构造的移动代码,绕过身份验证的攻击叫做cookie欺骗D、防范cookie欺骗的一个有效方法是不使用cookie验证方法,而使用session 验证方法36、以下哪一项是和电子邮件系统无关的?A、PEMB、PGPC、X500D、X40037、Apache Web 服务器的配置文件一般位于/usr/local/apache/conf目录,其中用来控制用户访问Apache目录的配置文件是:A、httpd.confB、srm.confC、access.confD、inetd.conf38、Java安全模型(JSM)是在设计虚拟机(JVN)时,引入沙箱(sandbox)机制,其主要目的是:A、为服务器提供针对恶意客户端代码的保护B、为客户端程序提供针对用户输入恶意代码的保护C、为用户提供针对恶意网络移动代码的保护D、提供事件的可追查性39、恶意代码采用加密技术的目的是:A.加密技术是恶意代码自身保护的重要机制B.加密技术可以保证恶意代码不被发现C.加密技术可以保证恶意代码不被破坏D.以上都不正确40、恶意代码反跟踪技术描述正确的是:A反跟踪技术可以减少被发现的可能性B.反跟踪技术可以避免所有杀毒软件的查杀C.反跟踪技术可以避免恶意代码被消除D.以上都不是41、下列关于计算机病毒感染能力的说法不正确的是:A.能将自身代码注入到引导区B.能将自身代码注入到扇区中的文件镜像C.能将自身代码注入文本文件中并执行D.能将自身代码注入到文档或模板的宏中代码42、当用户输入的数据被一个解释器当作命令或查询语句的一部分执行时,就会产生哪种类型的漏洞?A.缓冲区溢出B.设计错误C.信息泄露D.代码注入43、完整性检查和控制的防范对象是________,防止它们进入数据库。

2018年CISP练习试题

2018年CISP练习试题

1.美国的关键信息基础设施(critical Information Infrastructure,CII)包括商用核设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等,美国政府强调重点保障这些基础设施信息安全,其主要原因不包括:A.这些行业都关系到国计民生,对经济运行和国家安全影响深远B.这些行业都是信息化应用广泛的领域C. 这些行业信息系统普遍存在安全隐患,而且信息安全专业人才缺乏的现象比其他行业更突出D.这些行业发生信息安全事件,会造成广泛而严重的损失答案:C2.关于我国信息安全保障工作发展的几个阶段,下列哪个说法不正确:A.2001-2002年是启动阶段,标志性事件是成立了网络与信息安全协调小组,该机构是我国信息安全保障工作的最高领导机构B.2003-2005年是逐步展开和积极推进阶段,标志性事件是发布了指导性文件《关于加强信息安全保障工作的意见》(中办发27号文件)并颁布了国家信息安全战略C.2005-至今是深化落实阶段,标志性事件是奥运会和世博会信息安全保障取得圆满成功D.2005-至今是深化落实阶段,信息安全保障体系建设取得实质性进展,各项信息安全保障工作迈出了坚实步伐答案:C3.依据国家标准/T20274《信息系统安全保障评估框架》,信息系统安全目标(ISST)中,安全保障目的指的是:A、信息系统安全保障目的B、环境安全保障目的C、信息系统安全保障目的和环境安全保障目的D.信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的答案:D*4.以下哪一项是数据完整性得到保护的例子?A.某网站在访问量突然增加时对用户连接数量进行了限制,保证已登录的用户可以完成操作B.在提款过程中ATM终端发生故障,银行业务系统及时对该用户的账户余额进行了冲正操作C.某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作D.李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看答案:B*5.公司甲做了很多政府网站安全项目,在为网游公司乙的网站设计安全保障方案时,借鉴以前项目经验,为乙设计了多重数据加密安全措施,但用户提出不需要这些加密措施,理由是影响了网站性能,使用户访问量受限,双方引起争议。

CISP-V4.0-02-《法律法规标准》知识点复习总结

CISP-V4.0-02-《法律法规标准》知识点复习总结

CISP01-信息安全法律法规和标准第一节信息安全法律法规1.立法体系:1.1分工:全国人大立法机构、国务院和地方人大是法规制定机构、地方地方是规章制度。

1.2法律:宪法—基本法(民法、行政法、刑法)—专门法—法规——规章制度。

1.3专门法:《网络安全法》、《保守国家秘密法》、《国家安全法》、《国家反间谍法》、《反恐怖主义法》、《治安管理处罚法》、《合同法》、《劳动合同法》、《人民警察法》。

1.4法规:《计算机信息系统保护条例》(2017年以前有效)、《商用密码管理条例》(2018年以前有效)、《个人信息保护管理规定》。

2.网络安全法:2.1 总则:网络空间的主权的理解。

2.2 发展与促进:产业、标准、人才、产品与服务。

2.3 网络运行安全:1)一般规定:—实行等级保护—网络运营者的义务—网络产品、服务提供者的安全义务—一般性安全保护义务2)关键信息基础设施的保护—范围—机制(分工)—国务院负责条例制定—运营者义务2.4 网络信息安全1)个人信息保护2)规范信息安全的管理2.5 监测预警和应急处置2.6 法律责任:民事、行政、刑事责任。

3.有关法律3.1 保守国家秘密法:绝密30年、机密20年、秘密10年3.2 刑法的要求3.3 国家安全法的要求。

4.网络安全职业道德第二节网络安全政策1.国家网络空间安全战略2.中央办公厅2003年27号文件2.1 方针:积极防御、综合防范。

2.2 原则:立足国情和以我为主;技管并重;安全保发展和发展求安全。

2.3 内容:等保、密码、监控、应急、产业、法制标准、人才培养、资金保障、工作领导。

3. 十三五规划与网络安全实现以下四个主要目标:1)加强数据资源安全保护2)科学实施网络空间治理3)全面保障重要信息系统安全4)实施网络安全保障方面的重大工程第三节网络安全标准1.标准化组织国际标准化组织(ISO)国际电工委员会(IEC)Internet工程任务组(IETF)国际电信联盟(ITU)及国际电信联盟远程通信标准化组织(ITU-T)2.ISO/IEC JTC1 SC27信息技术安全技术2.1 工作组分工:WG1安全管理标准;WG3安全评估标准;及其他。

CISP2018_信息安全保障_V41

CISP2018_信息安全保障_V41


操作控制
人员安全、物理和环境保护、意外防范计划、配置 管理、维护、系统和信息完整性、媒体保护、事件 响应、意识和培训
技术控制
识别和认证、访问控制、审计和追责、系统和通信 保护
26
云计算的安全风险
数据管理和访问失控的风险
数据存储位置对用户失控 云计算服务商对数据权限高于用户 用户不能有效监管云计算厂商内部人员对数据的非 授权访问
传输
移动网络
互联网
无线网络
卫星
Post-IP 网络
感知
射频识别
二维码
传感器网络
短距离无线 通信
实时定位
30
物联网安全威胁及安全架构
感知层安全
网关节点被控制,拒绝服务 接入节点标识、识别、认证和控制
传输层安全
拒绝服务、欺骗
支撑层安全
来自终端的虚假数据识别和处理、可用性保护、人 为干预
利用大数据和高性能计算为支撑,综合如IDS、IPS 、防火墙、防病毒等提供的数据,对相关的形式化 及非形式化数据(已知的攻击行为、可能的攻击行 为、进行中的攻击行为、漏洞等)进行分析,并形 成对未来网络威胁状态进行预判以便调整安全策略 ,实现“御敌于国门之外”的策略
9
知识子域:信息安全保障基础
20世纪,70-90年代 主要关注于数据处理和存储时的数据保护 安全威胁:非法访问、恶意代码、脆弱口令等 核心思想:预防、检测和减小计算机系统(包括 软件和硬件)用户(授权和未授权用户)执行的 未授权活动所造成的后果。 安全措施:通过操作系统的访问控制技术来防止 非授权用户的访问
10
信息安全属性
基本属性
保密性 完整性 可用性
cisp试题及答案

cisp试题及答案

cisp试题及答案在本文中,我们将提供CISP试题及答案,帮助读者更好地了解和准备CISP考试。

CISP(Certified Information Security Professional)是一个国际认可的信息安全专业资格认证,通过该认证可以证明个人在信息安全领域具备专业的知识与技能。

一、信息安全管理1. 信息安全管理是指对信息资产进行全面管理和保护的过程。

请简要介绍信息安全管理的目标和重要性。

信息安全管理的目标是保护信息资产的机密性、完整性和可用性,防止信息遭受未经授权的访问、损坏和泄露,并确保信息系统的可靠性和稳定性。

信息安全管理对于组织来说至关重要,可以降低信息安全风险,保护客户数据和企业敏感信息,维护业务连续性并遵守法律法规。

2. 请列举并简要介绍ISO/IEC 27001标准中的信息安全管理体系(ISMS)要素。

ISO/IEC 27001标准中的信息安全管理体系包括以下要素:- 上下文分析:了解和评估组织内外部环境,明确信息安全管理体系的范围和目标。

- 领导力承诺:组织领导层需对信息安全提供明确的承诺和支持,并制定相关政策和目标。

- 风险评估:全面识别、评估和管理信息资产的风险,制定相应的风险处理计划。

- 资产管理:对信息资产进行明确定义、分类和管理,包括信息的获取、使用、存储和销毁。

- 安全控制:通过采取适当的技术和管理措施,确保信息资产的安全性、完整性和可用性。

- 人员安全:建立适当的人员安全政策,包括招聘、培训和意识教育,以及离职员工信息的处理。

- 通信与运营管理:确保信息传输和处理的安全性,包括网络安全、供应商管理和监控措施。

- 环境安全:评估和管理物理环境的安全性,包括设备的安全维护和灾难恢复。

- 合规性管理:遵守法律法规和适用的信息安全要求,包括隐私保护和知识产权保护。

二、网络安全1. 阐述网络安全的概念,并列举常见的网络安全威胁。

网络安全主要涉及保护计算机网络和网络连接的安全性,防止网络系统遭受未经授权的访问、攻击和滥用。

CISP2018_物理与网络通信安全_V4.1


其他:消防、交通便利
5
抗震及承重
抗震:国标 《结构抗震设计规范》)
特殊设防类 重点设防类 标准设防类
承重
考虑设计(建筑的设计是否考虑了应对可能的偶然 事件) 考虑时间因素(建筑有效期一般为50年) 考虑使用因素(正常使用、正常维护)
6
火灾
预防:防火设计及阻燃材料 检测:火灾探测器
我缓存中有记录,我告诉你!
32
基于TCP/IP协议簇的安全架构
网络用户
E-MAIL E-MAIL SNMP 应用层 应用层 SET S-HTTP SSL 传输层 传输层 TCP IPSEC(AH) IP PPTP L2TP PPP L2F IKE SFTP TLS UDP IPSEC(ESP) PGP S/MIME SSH X.509 PEM
共享密钥认证
弱密钥问题 不能防篡改ຫໍສະໝຸດ 没有提供抵抗重放攻击机制
35
无线局域网安全协议-WPA、WPA2
802.11i
WPA(802.11i草案) WPA2(802.11i正式)
Authentication Server(AS)
802.11i运行四阶段
发现AP阶段 802.11i认证阶段 密钥管理阶段 安全传输阶段
使要冒充主机 无法响应目标 主机
确认攻击目标
猜正确的序数
冒充受信主机
进行会话
24
IP欺骗实现
B
伪造B进行系列会话
A
连接请求
SYN flood攻击
A的序数规则
C
25
传输层协议-TCP(传输控制协议)
提供面向连接的、可靠的字节流服务 提供可靠性服务

CISP信息安全标准与法律法规

CISP 信息安全标准与法律法规介绍CISP(China Information Security Evaluation Standard)是由中国信息安全测评中心(CISE)制订的信息安全测评标准。

CISP分为5个等级,分别是CISP-1、CISP-2、CISP-3、CISP-4和CISP-5,其中CISP-5是最高等级。

CISP主要用于评估企业的信息安全水平,并根据评估结果给出相应的建议和改进措施。

除了CISP标准,中国还有其他一些相关的信息安全标准和法律法规。

CISP信息安全标准CISP-1CISP-1是最低安全等级,适用于对信息安全要求不高的小型企业。

CISP-1要求企业建立基本的信息安全管理制度,确保开展信息处理活动的合法性、正确性和安全性。

此外,CISP-1还要求企业对重要的信息资产进行分类和保护,并建立基本的安全防护措施,如防火墙、反病毒软件等。

CISP-2CISP-2适用于对信息安全要求较高的中小型企业。

CISP-2包括CISP-1的所有要求,并增加了一些额外要求,如完善的安全管理制度、信息安全培训和考核、网络安全事件的应急处理等。

CISP-3CISP-3适用于对信息安全要求较高的大型企业和政府机构。

CISP-3包括CISP-2的所有要求,并增加了一些更高级别的安全措施,如网络边界控制、网络入侵检测、流量监控等。

CISP-4CISP-4适用于对信息安全要求非常高的特定行业和组织,如金融机构、国家机密单位等。

CISP-4包括CISP-3的所有要求,并增加了一些更严格的安全措施,如网络隔离、异地备份、安全审计等。

CISP-5CISP-5是最高等级,适用于对信息安全要求极高的行业和组织,如核电站、军事领域等。

CISP-5包括CISP-4的所有要求,并增加了更加高级别的安全措施,如身份认证、权限控制、加密等。

法律法规《网络安全法》《网络安全法》是中国首部全面、系统的网络安全立法,于2016年11月7日正式施行。

CISP试题及答案-三套题

1.人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是由于:A.为了更好地完成组织机构的使命B.针对信息系统的攻击方式发生重大变化C.风险控制技术得到革命性的发展D.除了保密性,信息的完整性和可用性也引起人们的关注2.信息安全保障的最终目标是:A.掌握系统的风险,制定正确的策略B.确保系统的保密性、完整性和可用性C.使系统的技术、管理、工程过程和人员等安全保障要素达到要求D.保障信息系统实现组织机构的使命3.关于信息保障技术框架(IATF),下列哪种说法是错误的?A.IATF强调深度防御(Defense-in-Depth),关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的安全保障;B. IATF强调深度防御(Defense-in-Depth),即对信息系统采用多层防护,实现组织的业务安全运作C. IATF强调从技术、管理和人等多个角度来保障信息系统的安全;D. IATF强调的是以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全4.依据国家标准GB/T20274《信息系统安全保障评估框架》,信息系统安全目标(ISST)是从信息系统安全保障____的角度来描述的信息系统安全保障方案。

A.建设者B.所有者C.评估者D.制定者5.以下关于信息系统安全保障是主观和客观的结合说法错误的是:A.通过在技术、管理、工程和人员方面客观地评估安全保障措施,向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心。

B.信息系统安全保障不仅涉及安全技术,还应综合考虑安全管理、安全工程和人员安全等,以全面保障信息系统安全C.是一种通过客观证据向信息系统所有者提供主观信心的活动D.是主观和客观综合评估的结果;6.信息系统保护轮廓(ISPP)定义了__.A.某种类型信息系统的与实现无关的一组系统级安全保障要求B.某种类型信息系统的与实现相关的一组系统级安全保障要求C.某种类型信息系统的与实现无关的一组系统级安全保障目的D.某种类型信息系统的与实现相关的一组系统级安全保障目的7.以下对PPDR模型的解释错误的是:A.该模型提出以安全策略为核心,防护、检测和恢复组成一个完整的,B.该模型的一个重要贡献是加进了时间因素,而且对如何实现系统安全状态给出了操作的描述C.该模型提出的公式1:Pt>Dt+Rt,代表防护时间大于检测时间加响应时间D.该模型提出的公式1:Pt=Dt+Rt,代表防护时间为0时,系统检测时间等于检测时间加响应时间8.以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项作内容之一?A.提高信息技术产品的国产化率B.保证信息安全资金投入&C.加快信息安全人才培养D.重视信息安全应急处理工作9.谁首先提出了扩散-混淆的概念并应用于密码学领域?A.香农B.ShamirC.HellmanD.图灵10.以下哪些问题、概念不是公钥密码体制中经常使用到的困难问题?A.大整数分解B.离散对数问题C.背包问题D.伪随机数发生器11.下列关于kerckhofff准则的合理性阐述中,哪一项是正确的?A.保持算法的秘密比保持密钥的秘密性要困难得多B.密钥一旦泄漏,也可以方便地更换C.在一个密码系统中,密码算法是可以公开的,密钥应保证安全D.公开的算法能够经过更严格的安全性分析12.以下关于RSA算法的说法,正确的是:A.RSA不能用于数据加密B.RSA只能用于数字签名C.RSA只能用于密钥交换D.RSA可用于加密,数字签名和密钥交换体制13.Hash算法的碰撞是指:A.两个不同的消息,得到相同的消息摘要B.两个相同的消息,得到不同的消息摘要C.消息摘要和消息的长度相同D.消息摘要比消息的长度更长14.下列哪种算法通常不被用于保证机密性?A.AESB.RC4C.RSAD.MD515.数字证书的功能不包括:A.加密B.数字签名C.身份认证D.消息摘要16.下列哪一项是注册机构(RA)的职责?A.证书发放B.证书注销C.提供目录服务让用户查询D.审核申请人信息17.IPsec工作模式分别是:A.一种工作模式:加密模式B.三种工作模式:机密模式、传输模式、认证模式C.两种工作模式:隧道模式、传输模式D.两种工作模式:隧道模式、加密模式18.下列哪些描述同SSL相关?A.公钥使用户可以交换会话密钥,解密会话密钥并验证数字签名的真实性B.公钥使用户可以交换会话密钥,验证数字签名的真实性以及加密数据C.私钥使用户可以创建数字签名,加密数据和解密会话密钥。

CISP-V4.0-01-《信息安全保障》知识点复习总结

CISP-信息安全保障第一节信息安全保障基础1.信息安全保障基础1.1信息安全的定义:狭义和广义之分。

1.2信息安全的特点:系统、动态、无边界、非传统。

1.3信息安全的属性:保密性、完整性、可用性;真实性、不可否认、可追责、可靠性。

1.4信息安全问题根源:内因和外因,外因包括自然和人为威胁;人为威胁包括故意威胁和非故意威胁。

1.5信息安全的视角:国家、商业(企业)和个人视角的内容。

2.信息安全发展阶段2.1 通信安全:采用加密的措施解决信息窃听、密码分析问题。

2.2 计算机系统安全:采用计算机防护的系列手段,提高系统安全性。

2.3 网络安全:通过防火墙等成熟的措施解决网络信息系统安全问题。

2.4 网络空间安全:防御措施、威慑措施以及情报利用。

3. 了解《国家网络空间安全发展战略》。

第二节信息安全保障模型1.P2DR1.1P2DR:策略-防护-检测-响应1.2P2DR思想:基于时间的防护与安全的有效性1.3P2DR公式:Pt>Dt+Rt 那么系统是安全的。

Pt<Dt+Rt,那么(Dt+Rt)- Pt =Et,要求Et<=01.4P2DR作用:实现系统在时间上的防护是有效的。

2.IATF2.1 IATF核心:人、技术、操作。

2.2 IATF保护方面:本地计算环境、网络基础设施、区域边界,支撑性基础设施。

2.3 IATF思想:深度防护的思想。

2.4 IATF作用:实现被保护的网络系统在空间上每个节点安全有效性。

3.系统安全保护评估框架3.1 原理:1)实现全生命周期的安全。

2)通过人员要素、技术要素、管理要素和工程要素来综合实现安全。

3)实现目的是保密性、完整性、可用性,以及最终的业务使命。

3.2 评估框架1)ISPP:标准化信息系统的安全需求。

2)ISST:标准化信息系统的安全方案。

3)评估:技术TCML1-5级;管理MCML1-5级;工程ECML1-5级。

4.商业应用安全架构4.1 常用的参考:舍伍德的商业应用安全架构(Sherwood Applied Business Security Architecture,SABSA)、Zachman框架、开放群组架构框架(The Open Group Architecture Framework,TOGAF)。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

31
知识子域:网络安全道德准则
道德约束
了解道德的概念、道德与法律的差异; 理解道德约束相关概念。
职业道德准则
理解信息安全从业人员遵守职业道德的重要性; 了解目前国际团体和组织制作的职业道德规范文件; 理解《CISP职业道德准则》的要求;
32
道德约束
道德的概念
一定社会或阶级用以调整人们之间利益关系的行为 准则,也是评价人们行为善恶的标准
3
计算机犯罪
计算机犯罪的概念 计算机犯罪的特点
多样化 复杂化 国际化
计算机犯罪的趋势
从无意识到有组织 从个体侵害到国家威胁 跨越计算机本身的实施能力 低龄化成为法律制约难题
4
我国立法体系
立法是网络空间治理的基础工作 我国采取多级立法机制
全国人大及其常委会 国务院 地方人大及其常委会 地方人民政府
我国信息安全标准
了解我国信息安全标准体系分类及基础标准、技术 与机制、管理与服务标准、测评标准构成;
35
标准
标准
为了在一定范围内获得最佳秩序,经协商一致制定 并由公认机构批准,共同使用的和重复使用的一种 规范性文件
标准类型
国际标准 国家标准 行业标准 地方标准
36
机构职责和管理制度 监测预警及应急处置机制
对近几年涌现的新问题进行应对
关键基础设施保护 数据安全防护(跨境数据流动、数据泄露处置等) 云计算等新技术、新业务引发的安全问题等
网络安全立法演变为全球范围内的 利益协调与国家主权斗争
7
网络安全法出台背景
8
《网络安全法》基本概念
网络、网络安全 网络空间安全 关键信息基础设施 网络运营者 个人信息 网络数据 ……
45
测评标准
密码产品 通用产品 安全保密产品 通用系统 涉密信息系统 通信安全 政府安全检查 安全能力评估
46
知识子域:信息安全标准
等级保护标准族
了解网络安全等级保护标准体系; 掌握等级保护实施流程中定级、备案的工作要求并 了解等级保护整改、测评相关要求; 了解等级保护2.0的相关变化。
网络空间
已成为领土、领海、领空、太空之外的“第五
空间”或人类“第二类生存空间”成为国
家主权延伸的新疆域
9
网络安全法主要结构
七章79条
10
第一章 总则
明确网络空间主权原则
11
第二章 网络安全支持与促进
建立和完善网络安全标准体系建设 统筹规划,扶持网络安全产业(产品、服务等) 推动社会化网络安全服务体系建设 鼓励开发数据安全保护和利用技术、创新网络安 全管理方式 开展经常性网络安全宣传教育 支持企业和高等学校、职业学校等教育培训机构 开展网络安全相关教育与培训,采取多种方式培 养网络安全人才,促进网络安全人才交流
37
标准化组织
主要国际标准化组织 国际标准化组织(ISO) 国际电工委员会(IEC) Internet工程任务组(IETF) 国际电信联盟(ITU)及国际电信联盟远程通 信标准化组织(ITU-T) 国家标准化组织(美国) 美国国家标准化协会(ANSI) 美国国家标准技术研究院(NIST)
国家网络安全等保政策
了解我国网络安全等级保护相关政策。
29
国家网络空间安全战略
七种新机遇 六大严峻挑战 发展战略目标 四项原则 九大任务
30
网络安全等级保护政策
《中华人民共和国计算机信息系统安全保护条例 》规定了计算机系统实现安全等级保护 GB 17859正式细化等级保护要求,划分五个级别 《关于信息安全等级保护工作的实施意见的通知 》规定等级保护指导思想、原则和要求。定级从 信息和信息系统的业务重要性及遭受破坏后的影 响出发 网络安全法明确我国实行网络安全等级保护制度
标准化
标准化:为了在一定范围内获得最佳秩序,对现 实问题或潜在问题制定共同使用和重复使用的条 款的活动 标准化的基本特点
标准化是一项活动 标准化的对象:物、事、人 标准化是一个动态的概念 标准化是一个相对的概念 标准化的效益只有应用后才能体现
标准化工作原则:简化、统一、协调、优化
法律 行政法规 地方性法规 地方政府规章
法律解释 司法解释
两高
部门 规章
国务院 各部委
5
知识子域:网络安全法律体系建设
网络安全法
了解网络安全法出台背景; 了解网络安全法中定义的网络、网络安全等基本概 念及网络空间主权原则; 理解网络运行安全制度、关键基础设施保护制度、 等级保护制度、网络安全审查制度的相关要求。
12
第三章 网络运行安全
明确要求落实网络安全等级保护制度
第二十一条 国家实行网络安全等级保护制度。网络运营者应当 按照网络安全等级保护制度的要求,履行下列安全保护义务, 保障网络免受干扰、破坏或者未经授权的访问,防止网络数据 泄露或者被窃取、篡改: (一)制定内部安全管理制度和操作规程,确定网络安全负责 人,落实网络安全保护责任; (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络 安全行为的技术措施; (三)采取监测、记录网络运行状态、网络安全事件的技术措 施,并按照规定留存相关的网络日志不少于六个月; (四)采取数据分类、重要数据备份和加密等措施; (五)法律、行政法规规定的其他义务。
信息安全监管
版本:4.1
讲师姓名
机构名称
课程内容
网络安全法律体系建设
国家网络安全政策 网络安全监管 网络安全道德准则
信息安全标准
知识域
2
知识子域
知识子域:网络安全法律体系建设
计算机犯罪
了解计算机犯罪的概念、特征及计算机犯罪的发展 趋势。
我国立法体系
了解我国多级立法机制及相关职能; 了解立法分类(法律、行政法规及地方性法规)。
美国计算机学会职业伦理守则、英国计算机学会伦 理守则、计算机伦理十诫
CISP职业道德准则
维护国家、社会和公众的信息安全 诚实守信、遵纪守法 努力工作,尽职尽责 发展自身,维护荣誉
34
知识子域:信息安全标准
信息安全标准基础
了解标准的基本概念及标准的作用、标准化的特点 及原则等; 了解国际信息安全标准化组织和我国信息安全标准 化组织; 了解我国标准分类及信息安全标准体系。
20
第四章 网络信息安全
重视对个人信息保护
21
第四章 网络信息安全
规范信息管理
22
第四章 网络信息安全
确定信息管理中相关职责
23
第四章 网络信息安全
2017年05月02日国家互联网信息办公室正式发 布《互联网新闻信息服务管理规定》(国信办1 号令),于6月1日同《网络安全法》一起实施。 规范了:
38
我国标准化组织
中国国家标准化管理委员会
是我国最高级别的国家标准机构 全国信息安全标准化技术委员会(TC260)
1984年,成立数据加密技术分委员,后来改为信息技术安全分技 术委员会 2002年4月,为加强信息安全标准的协调工作,国家标准委决定成 立全国信息安全标准化技术委员会(信安标委,TC260),由国家 标准委直接领导,对口ISO/IEC JTC1 SC27 国家标准化管理委员会高新函[2004]1号文决定:自2004年1月起 ,各有关部门在申报信息安全国家标准计划项目时,必须经信息 安全标委会提出工作意见,协调一致后由信息安全标委会组织申 报;在国家标准制定过程中,标准工作组或主要起草单位要与信 息安全标委会积极合作,并由信息安全标委会完成国家标准送审 、报批工作
互联网新闻信息服务的范围 互联网新闻信息服务的6项许可条件 互联网新闻信息服务提供者的责任义务 网信部门对互联网新闻信息服务的监督检查要求 相关法律责任
24
第四章 网络信息安全
同日国家互联网信息办公室一并发布《互联网信 息内容管理行政执法程序规定》 (国信办2号令 ),于6月1日同《网络安全法》一起实施。规范 了:
行政法相关法规 民法相关法规 刑法相关法规
出售或者提供公民个人信息罪、非法侵入计算机信 息系统罪、网络服务渎职罪等
其他网络安全相关法规及条款
国家安全法 保密法 电子签名法 反恐怖主义法 密码法
28
知识子域:国家网络安全政策
国家网络空间安全战略
了解国家网络空间安全战略中总结的七种新机遇、 六大严峻挑战及网络空间“和平、安全、开放、合 作、有序”的发展战略目标 ; 了解国家网络空间战略提出的四项基本原则和九大 任务;
13
第三章 网络运行安全
明确网络运营者的安全义务
14
第三章 网络运行安全
明确网络产品、服务提供者的安全义务
15
第三章 网络运行安全
明确一般性安全保护义务
16
第三章 网络运行安全
关键信息基础设施保护
17
第三章 网络运行安全
关键信息基础设施保护
18
第三章 网络运行安全
关键基础设施运营中产生的数据必须境内存储 2017年04月10日国家互联网信息办公室发布关于 《个人信息和重要数据出境安全评估办法(征求 意见稿)》公开征求意见的通知。明确了
个人信息和重要数据出境的范围
• 有50万人以上的个人信息 • 数据量超过1000GB • 7大重要领域数据等
数据出境评估原则 评估7个方面主要内容
19
第三章 网络运行安全
明确我国实行网络安全审查制度
2017年05月02日中央网信办正式发布《网络产品 和服务安全审查办法(试行)》。其中就审查的 目的、需要审查的网络产品和服务的范围、网络 安全审查的管理部门(网络安全审查委员会)、 审查的机构(国家统一认定网络安全审查第三方 机构)和对党政机关和重点行业的审查工作提出 要求。并于2017年6月1日同《网络安全法》一同 实施。