信息中心软硬件平台信息安全工作执行标准(2015-V2版)
- 格式:xlsx
- 大小:82.11 KB
- 文档页数:2
(一)投标人资格要求1.1、参加本次政府采购活动的供应商应当具备政府采购法第二十二条规定的条件,具备以下资格并提供相应证明材料:1.1.1、必须为具有独立法人资格的生产商或经销商。
1.1.2、投标人需要具备ISO9001质量管理体系认证、职业健康安全管理体系认证、ISO14001管理体系认证(证书认证范围需包含系统集成,提供官网查询链接和截图)。
1.1.3、近三年(2013年-2015年)财务状况报告。
依法缴纳税收和社会保障资金的相关材料。
1.1.4、参加政府采购活动前3年内在经营活动中没有重大违法记录的书面声明。
(二)第一包评分办法综合评审打分表评分因素评分标准商务部分价格(40分)满足招标文件要求且投标价格最低的投标报价为评标基准价,其价格为满分40分,其他投标人的价格分按照下列公式计算:投标报价得分=(评标基准价/投标报价)×40。
(保留小数点后一位,小数点后第二位四舍五入)。
企业资信业绩部分公司信誉资质(4分)1.具有信息安全管理体系认证GB/T22080-2008 / ISO/IEC27001:2005、中国教育装备行业会员证书、教学装备行业售后服务先进单位的得2分,不提供或者提供不完全不得分。
2.具有信息系统集成及服务资质三级及以上、全国教学设备质量监督抽检合格单位资格的得2分,不提供或者提供不完全不得分。
以上证书需提供证书复印件以及官网查询链接和截图加盖投标单位公章。
公司业绩(3分)投标人近三年(自发标日起)完成的教育行业业绩:每提供一份金额在500万以上案例的得1分,最高得3分。
(投标人须现场提供案例中标通知书、合同、验收报告原件,没有不得分;投标文件中提供合同复印件加盖投标人公章)。
技术评审部分技术参数(20分)投标产品指标满足情况评审,共计20分。
全部满足招标文件要求得20分,技术要求中非★号指标每有1项负偏离扣2分,★号指标每有1项负偏离扣5分,扣完为止。
(要求提供相关证件、证书及其他证明资料的,审查资料。
国家标准《信息安全技术政府网站系统安全指南》(征求意见稿)修订编制说明一、工作简况1、任务来源《WG5工作组第 2 次会议(2018)工作组会议纪要》指出,为有效应对政府网站入云等新型运营模式,以及网站服务对象多元化、系统结构复杂化和数据集中化等应用新形势,切实保障政府网站系统安全运行,建议着力完善当前政府网站类安全标准。
经中国国家标准化管理委员会批准,全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过,研究修订GB/T 31506-2015《政府门户网站安全技术指南》国家标准。
根据《全国信息安全标准化技术委员会关于2019年网络安全标准项目立项的通知》(信安秘字[2019]050号),该项目由全国信息安全标准化技术委员会提出,全国信息安全标准化技术委员会归口,由北京信息安全测评中心负责主办。
2、起草单位在接到标准的任务后,北京信息安全测评中心立即与相关机构、厂商进行沟通,并得到了政府网站运营机构、高校、业内知名厂商及测评机构的积极参与和反馈。
经筛选,最后确定由中电数据服务有限公司、首都之窗运营管理中心、中电长城网际系统应用有限公司、黑龙江省测评中心、北京市城乡经济信息中心、杭州安恒信息技术有限公司、北京天融信网络安全技术有限公司、桂林电子科技大学、北京神州绿盟信息安全科技股份有限公司、新华三技术有限公司、深圳开源互联网安全技术有限公司、武汉网安教育科技有限公司、国家应用软件产品质量检测检验中心、北京数字认证股份有限公司、湖北省标准化与质量研究院、国家工业信息安全发展研究中心、北京北信源软件股份有限公司、江苏省信息安全测评中心、陕西省信息化工程研究院、国家计算机网络应急技术处理协调中心、江远盛邦(北京)网络安全科技有限公司、恒安嘉新(北京)科技股份公司、山谷网安科技股份有限公司、北京知道创宇信息技术股份有限公司和陕西省网络与信息安全测评中心等单位共同参与编制。
3、主要工作过程(一)标准制定的主要工作过程如下:1)工作启动2018年10月,北京信息安全测评中心联合政府网站运营单位、业内知名安全服务厂商、科研机构及测评机构等组建标准编制组,编制组成员具有丰富的标准编制经验、政务领域网络安全研究经验、信息系统安全控制研究等经验。
信息安全的国际标准与规范信息安全已经成为当今社会中一项至关重要的任务,它涉及到个人、组织和国家的利益。
为了确保信息的保密性、完整性和可用性,国际上制定了一系列标准与规范。
本文将介绍其中的一些主要标准与规范。
一、ISO/IEC 27001信息安全管理体系ISO/IEC 27001是一项被广泛接受和采用的国际标准,它为组织提供了建立、实施、监督和改进信息安全管理体系的指南。
这个标准涵盖了各个方面,包括组织安全管理、人员安全、物理与环境安全、通信与操作管理、访问控制等。
通过合规于ISO/IEC 27001标准,组织可以有效管理信息安全风险,提高信息系统和业务流程的安全性。
二、PCI DSS支付卡行业数据安全标准PCI DSS是由PCI安全标准理事会制定的,旨在确保支付卡数据的安全性。
该标准适用于接受、存储、处理或传输持卡人信息的任何组织或机构。
PCI DSS标准包含12个具体的安全要求,包括建立和维护防火墙配置、保护存储的卡片数据、加密传输敏感信息等。
通过遵守PCI DSS标准,组织可以保护客户的支付卡数据,减少数据泄露和支付卡欺诈的风险。
三、HIPAA健康保险可穿戴产品安全标准HIPAA(美国健康保险便携性与责任法案)是美国政府制定的一项法规,其目的是保护个人健康信息的安全与隐私。
HIPAA包含了一系列安全标准,适用于处理、存储和传输个人健康信息的各种组织和个人。
当涉及到健康保险可穿戴产品时,这些产品的制造商和开发者必须符合HIPAA的相关要求,以保障用户的健康信息不被泄露或滥用。
四、GDPR通用数据保护条例GDPR(General Data Protection Regulation)是一项针对欧洲联盟成员国的数据保护法规,目的是保护个人数据的隐私和安全。
该条例规定了组织和个人对于收集、存储、处理和传输个人数据的责任和义务。
GDPR要求组织必须事先获得个人数据的明确同意,并为其提供了一系列权利,如访问、更正和删除个人数据等。
国家标准《信息安全技术互联网信息服务安全通用要求》(草案)编制说明一、工作简况1.1任务来源《信息安全技术互联网信息服务安全通用要求》是全国信息安全技术标准化委员会2019年立项的信息安全国家标准制定项目,由中国科学院信息工程研究所主要牵头承担。
该标准参照国家针对网络安全与互联网信息服务出台的一系列法律法规政策,包括《中华人民共和国网络安全法》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《互联网新闻信息服务新技术新应用安全评估管理规定》《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》等。
该标准由全国信息安全标准化技术委员会归口管理。
1.2主要起草单位和工作组成员中国科学院信息工程研究所(以下简称“中科院信工所”)主要负责起草,公安部第三研究所、中国电子技术标准化研究院、中国信息通信研究院、中国电子科技集团公司第十五研究所、北京理工大学等单位共同参与该标准的起草工作。
工作组成员包括:孟丹、郭涛、张潇丹、顾健、周熙、胡静远、韩冀中、赵云霞、贺滢睿、姚相振、魏巍、霍珊珊、锁延锋、张媛媛、马庆栋、周薇、王宇航、张华平等。
1.3 主要工作过程1、2017年4月——2018年5月,中科院信工所作为《信息安全技术互联网新闻信息服务新技术新应用安全评估实施规范》研究项目参与单位之一,顺利项目完成结题验收。
2、2018年7月——2018年12月,与参与单位共同开展标准体系架构研讨,组织召开3次内部技术研讨会,修改10余次。
3、2018年12月——2019年2月,与参与单位共同完成标准草案,并组织召开专家研讨会,并根据专家意见对标准内容进行3轮次修改。
4、2019年2月——2019年4月,对标准内容进行修改和调整,并组织召开专家研讨会,根据专家意见对标准内容进行2轮次修改,形成标准草案。
5、2019年4月,在全国信息安全标准化技术委员会2019年第一次工作组“会议周”上进行立项申请。
6、2019年5月——2019年9月,对标准草案进行讨论和完善。
注册信息安全专业人员(CSIP)考试模拟测试题(G)1. CC 标准是目前系统安全认证方面最权威的标准,以下哪一项没有体现CC 标准的先进性:A. 结构的开放性B. 表达方式的通用性C. 独立性D. 实用性答案:C2. 根据《信息安全等级保护管理办法》、《关于开展信息安全等级保护测评体系建设试点工作的通知》(公信安[2009]812 号),关于推动信息安全等级保护()建设和开展( )工作的通知(公信安[2010]303号)等文件,由公安部( )对等级保护测评机构管理,接受测评机构的申请、考核和定期(),对不具备能力的测评机构则()A.等级测评;测评体系;等级保护评估中心;能力验证;取消授权B.测评体系;等级保护评估中心;等级测评;能力验证;取消授权C.测评体系;等级测评;等级保护评估中心;能力验证;取消授权D.测评体系;等级保护评估中心;能力验证;等级测评;取消授权答案:C3. 以下哪个现象较好的印证了信息安全特征中的动态性( )A.经过数十年的发展,互联网上已经接入了数亿台各种电子设备B 刚刚经过风险评估并针对风险采取处理措施后仅一周,新的系统漏洞使得信息系统面临新的风险C 某公司的信息系统面临了来自美国的“匿名者”黑客组织的攻击D.某公司尽管部署了防火墙、防病毒等安全产品,但服务器中数据仍然产生了泄露答案:B4. 老王是某政府信息中心主任。
以下哪项项目是符合《保守国家秘密法》要求的( )A.老王安排下属小李将损害的涉密计算机某国外品牌硬盘送到该品牌中国区维修中心修理B.老王要求下属小张把中心所有计算机贴上密级标志C.老王每天晚上12 点将涉密计算机连接上互联网更新杀毒软件病毒库D.老王提出对加密机和红黑电源插座应该与涉密信息系统同步投入使用答案:D5. 关于计算机取征描述不正确的是()A.计算机取证是使用先进的技术和工具,按照标准规程全面的检查计算机系统以提取和保护有关计算机犯罪的相关证据的活动B.取证的目的包括通过证据,查找肇事者,通过证据推断犯罪过程,通过证据判断受害者损失程度及涉及证据提供法律支持C.电子证据是计算机系统运行过程中产生的各种信息记录及存储的电子化资料及物品,对于电子证据取证工作主要围绕两方面进行证据的获取和证据的保护D.计算机取证的过程,可以分为准备,保护,提取,分析和提交五个步骤答案:C 解释:CISP 4.1 版本(2018.10)教材的第156 页。
信息安全技术信息系统物理安全技术要求引言信息系统的物理安全涉及到整个系统的配套部件、设备和设施的安全性能、所处的环境安全以及整个系统可靠运行等方面,是信息系统安全运行的基本保障。
本标准提出的技术要求包括三方面:1)信息系统的配套部件、设备安全技术要求;2)信息系统所处物理环境的安全技术要求;3)保障信息系统可靠运行的物理安全技术要求。
设备物理安全、环境物理安全及系统物理安全的安全等级技术要求,确定了为保护信息系统安全运行所必须满足的基本的物理技术要求。
?本标准以GB17859-1999对于五个安全等级的划分为基础,依据GB/T20271-2006五个安全等级中对于物理安全技术的不同要求,结合当前我国计算机、网络和信息安全技术发展的具体情况,根据适度保护的原则,将物理安全技术等级分为五个不同级别,并对信息系统安全提出了物理安全技术方面的要求。
不同安全等级的物理安全平台为相对应安全等级的信息系统提供应有的物理安全保护能力。
第一级物理安全平台为第一级用户自主保护级提供基本的物理安全保护,第二级物理安全平台为第二级系统审计保护级提供适当的物理安全保护,第三级物理安全平台为第三级安全标记保护级提供较高程度的物理安全保护,第四级物理安全平台为第四级结构化保护级提供更高程度的物理安全保护,第五级物理安全平台为第五级访问验证保护级提供最高程度的物理安全保护。
随着物理安全等级的依次提高,信息系统物理安全的可信度也随之增加,信息系统所面对的物理安全风险也逐渐减少。
本标准按照GB17859-1999的五个安全等级的划分,对每一级物理安全技术要求做详细的描述。
因第五级物理安全技术要求涉及最高程度物理安全技术,本标准略去相关内容。
附录A对物理安全相关概念进行了描述,并对物理安全技术等级划分进行了说明。
为清晰表示每一个安全等级比较低一级安全等级的物理安全技术要求的增加和增强,每一级的新增部分用“宋体加粗字”表示。
信息安全技术?信息系统物理安全技术要求1范围本标准规定了信息系统物理安全的分等级技术要求。
2023年南京职称继续教育数字经济工程(1)题库单选题1、根据本讲,目前数字平台是以(D)为基础的服务中心。
A、制度B、电商C、网络D、数字技术2、工信部为了推进先进制造业集群发展,开展了先进制造业集群(A)。
A、竞赛B、竞标C、交流D、合作3、根据本讲,(D)是工业互联网的保障。
A、APPB、网络C、平台D、安全4、按照5G国际标准不同版本阶段性特征,(C)聚焦中高速大连接应用,分阶段开展技术、产业化和应用导入。
A、R15版本B、R16版本C、R17版本D、R18版本5、(A)被称为打开第四次工业革命之门的钥匙。
A、数字经济B、开放经济C、共享经济D、绿色经济6、自(B)年《国家集成电路产业发展推进纲要》出台以来,我国集成电路产业良好的政策环境和投融资环境效果持续显现。
A、2013B、2014C、2017D、20187、在(B)落地了中国第一个区块链产业园。
A、贵州B、浙江C、深圳D、上海8、(A)是一种新型的数字货币方式,采取一种真实的资产担保加上独立协会治理的新架构、新模式,是双重架构。
A、LibraB、以太坊C、比特币D、摩根币9、根据本讲,(D)成为产业数字化发展的血动脉。
A、数据资源B、数据整合C、数据内容D、数据要素10、我国电子信息产业创新能力比较薄弱,有三个(B)的深层次矛盾非常突出。
A、不相沟通B、不相适应C、不相了解D、不相发展11、(C)是人类通过大数据的识别-选择-过滤-存储-使用,引导、实现资源的快速优化配置与再生、实现经济高质量发展的经济形态。
A、再生经济B、规模经济C、数字经济D、实体经济12、(D)是“新基建”的网络信息基础设施和驱动力。
A、5GB、IPv6C、云计算D、大数据13、根据本讲,要利用先进科技推动企业技术、经验、原理等知识的(C)。
A、流程化B、软件化C、智能化D、简便化14、《5G应用“扬帆”行动计划(2021-2023年)》结合当前5G应用现状和未来趋势,确立了2021-2023年我国5G发展目标。
1、信息安全标准组织简介国际组织国际上信息安全标准化工作兴起于20世纪70年代中期,80年代有了较快的发展,90年代引起了世界各国的普遍关注。
目前世界上有近300个国际和区域性组织制定标准或技术规则,与信息安全标准化有关的组织主要有以下4个:国内组织国内的安全标准组织主要有信息技术安全标准化技术委员会(CITS)以及中国通信标准化协会(CCSA)下辖的网络与信息安全技术工作委员会。
2、IETF PKIX (“PKI 使用X.509”)标准PKI on X.509:包含一系列协议,主要定义基于X.509的PKI模型框架,定义X.509证书在Internet上的使用。
包括证书的生成、发布和获取,各种产生和分发密钥的机制,以及怎样实现这些协议的轮廓结构等。
制订基于X.509的PKI标准支持各种应用,包括Web、email、IPSec等,已提交10多个RFC文档,含盖PKI的方方面面。
具体见/html.charters/pkix-charter.html。
PKIX标准清单标准草案Internet X.509公开密钥基础设施时间戳协议(TSP)Internet X.509公开密钥基础设施Internet X.509公开密钥基础设施身份验证用Internet属性证书结构Internet X.509公开密钥基础设施操作协议-LDAPv3简单证书有效性协议Internet X.509公开密钥基础设施证书和CRL结构Internet X.509公开密钥基础设施抗抵赖服务的技术要求Internet X.509公开密钥基础设施证书管理协议Internet X.509公开密钥基础设施永久识别符CMP传输协议Internet X.509公开密钥基础设施PKI和PMI的附加LDAP构架Internet X.509公开密钥基础设施证书和CRL算法和标识符授权路径有效性在线证书状态协议第2版在线证书状态协议PostScript版OCSP授权路径的发现Internet X.509公开密钥基础设施证书请求报文格式(CRMF)PKIX用户组名和通用名类型Internet X.509公开密钥基础设施扮演证书结构CMS的证书管理报文RFC标准Internet X.509公开密钥基础设施证书和CRL结构(RFC 2459)Internet X.509公开密钥基础设施证书管理协议(RFC 2510)Internet X.509证书请求报文格式(RFC 2511)Internet X.509公开密钥基础设施证书策略和证书作业框架(RFC 2527)Internet X.509公开密钥基础设施密钥交换算法表述(RFC 2528)Internet X.509公开密钥基础设施操作协议LDAPv2(RFC 2559)Internet X.509公开密钥基础设施操作协议FTP和HTTP(RFC 2585)Internet X.509公开密钥基础设施LDAPv2构架(RFC 2587)Internet X.509公开密钥基础设施在线证书状态协议OCSP(RFC 2560)CMS的证书管理报文(RFC 2797)Diffie-Hellman Proof-of-Possession 算法(RFC 2875)Internet X.509公开密钥基础设施合格证书结构(RFC 3039)Internet X.509公开密钥基础设施数据有效性和认证服务协议(RFC 3029)3、PKCS系列标准PKCS是由美国RSA数据安全公司及其合作伙伴制定的一组公钥密码学标准,其中包括证书申请、证书更新、证书作废表发布、扩展证书内容以及数字签名、数字信封的格式等方面的一系列相关协议。
信息安全的国际标准与合规要求随着科技的迅猛发展和全球互联网的普及,信息安全问题变得尤为重要。
无论是个人还是组织,都需要遵守国际标准和合规要求来保护信息的安全。
本文将介绍一些重要的国际标准和合规要求,以帮助读者更好地了解和应对信息安全风险。
一、国际标准1. ISO/IEC 27001ISO/IEC 27001是信息安全管理体系的国际标准,为组织提供了一套完整的框架,用于制定、实施、维护和持续改进信息安全管理。
它包括安全策略、组织安全、人员安全、物理安全、通信和运营管理、访问控制、信息系统获取、开发和维护、信息安全事件管理等方面的要求。
2. PCI DSSPCI DSS(Payment Card Industry Data Security Standard)是由信用卡行业制定的安全标准,旨在保护持卡人的支付信息。
该标准涵盖了网络安全管理、卡片数据保护、强身份验证、访问控制、网络监控和测试等方面。
3. SOXSOX(Sarbanes-Oxley Act)是美国一项重要的法律法规,要求上市公司和注册会计师事务所制定和遵守相关的信息披露和内部控制规则,以确保公司财务报告的准确性和可靠性。
信息安全在SOX法规中占据重要位置,组织需要采取必要的安全措施来保护财务数据和交易信息。
二、合规要求1. GDPRGDPR(General Data Protection Regulation)是欧盟制定的数据保护法规,于2018年5月生效。
它适用于任何处理欧盟公民个人数据的组织,包括数据收集、储存、处理和处理者之间的数据传输。
组织需要明确个人数据的用途、法律依据和用户权利,并采取适当的安全措施来保护这些数据。
2. HIPAAHIPAA(Health Insurance Portability and Accountability Act)是美国一项重要的医疗信息保护法规,旨在保护个人的医疗信息和隐私。
根据HIPAA的要求,医疗机构和相关组织需要建立合适的安全措施来保护电子医疗记录等敏感信息。
"信息技术安全技术信息技术安全评估准则第2部分:安全功能组件" 是中国国家标准体系下关于信息技术产品或系统安全评估的一个细分标准,主要针对的是信息系统的安全功能要求和实现。
这一部分通常会详细规定信息系统在设计和实现时应具备的安全功能模块及其具体要求,确保这些功能能够有效保护信息系统免受各类威胁、攻击和风险。
GB/T 18336系列标准是中国参照国际通用的信息技术安全性评估准则(Common Criteria, CC)制定的,并结合了中国的国情和实际需求。
根据提供的最新资料,GB/T 18336.2-2015是该系列标准的2015版,它并非强制性国家标准,但对信息安全领域的产品开发和采购具有重要的指导意义,相关机构和个人可以免费下载预览该标准的部分内容。
随着时间推移,标准可能会有新的修订版本发布以适应不断发展的信息技术环境和技术进步带来的新挑战。
如果您需要了解最新的标准状态或者获取具体内容,请查阅国家标准化管理委员会等官方渠道发布的最新版国家标准文档。
文件制修订记录1、总则为了规范本部门的信息系统安全集成管理工作,使得相关工作具有持续改善性及相互协作性,能够支撑公司系统的健康可靠的运行,由此制定本规范。
本规范适用于产品中心所有岗位人员。
2、部门职能产品中心:(1)负责信息化基础设施安装、调试、维护,包括网络、机房、服务器系统、数据安全等技术支持;(2)负责所有服务器系统的技术服务工作(3)负责核心数据库的性能调优及技术服务工作(4)负责各种网络设施、线路的技术运维保障工作(5)负责其他设施的运维保障工作,如机房设施、一卡通、考勤机等智能化设施。
(6)负责信息化安全的建设与执行;3、岗位职责(1)部门经理:负责信息化基础设施的技术保障,包括,电脑终端、网络、机房、服务器系统、数据安全等技术支持;负责信息化安全的建设与执行;负责本部门的组织管理,包括,修订组织职责、架构编制、岗位职级、分工授权等;负责本部业务制度流程规范的制定和监督执行;负责本部团队建设,包括,新员工入职、员工培训、绩效考核、员工心政、团队活动等;负责本部门工作管理,包括,预算编制与管控、计划管理、汇报管理、会议管理等;(2)系统技术师:负责所有服务器系统的技术服务工作负责核心数据库的性能调优及技术服务工作(3)网络技术师:负责各种网络设施、线路的技术运维保障工作负责其他设施的运维保障工作,如机房设施、一卡通、考勤机等智能化设施。
(4)安全技术师:负责信息化安全的建设与执行;(5)其他说明事项:系统技术师、DBA、网络技术师、安全技术师,以下统称运维技术师;权限控制:除负责基础设施的网络技术师,其余技术师不得拥有进入数据中心机房的权限。
网络技术师不得拥有系统技术师的管理权限。
4、服务操作规范4.1 行为规范(1)遵守用户的各项规章制度,严格按照用户相应的规章制度办事。
(2)与用户运行维护体系其他部门和环节协同工作,密切配合,共同开展技术支持工作。
(3)出现疑难技术、业务问题和重大紧急情况时,及时向负责人报告。
国家标准《信息安全技术工业互联网平台安全要求及评估规范》(征求意见稿)编制说明一、工作简况1.1任务来源《信息安全技术工业互联网平台安全要求及评估规范》是全国信息安全标准化技术委员会2018年下达的信息安全国家标准制定项目,由树根互联技术有限公司负责承担。
1.2主要起草单位和工作组成员由树根互联技术有限公司负责起草,中国电子技术标准化研究院、国家工业信息安全发展研究中心、华为技术有限公司、阿里巴巴网络技术有限公司、青岛海尔股份有限公司、北京天融信科技有限公司、深信服科技股份有限公司等单位共同参与了该标准的起草工作。
1.3主要工作过程1.2018年5-7月,项目组承接项目后,联系各个参与单位,进行任务分工和任务组织;研究现有国内外工业互联网平台安全相关标准,分析各自特点,学习借鉴。
2.2018年8月,调研国内工业互联网平台安全现状,学习、研究、讨论国内外相关的标准及研究成果, 确定并编写总体框架。
3.2018年9月,根据各参与单位优势领域,确定标准编写任务分工,开展标准草案初稿编写工作。
4.2018年10月,编写标准初稿,在工作组内征求意见,根据组内意见进行修改。
5.2018年12月,标准编制组召开第一次研讨会,根据专家在会上提出的修改意见,对标准进行修改。
6.2019年1月,在“工业信息安全产业发展联盟信息安全标准工作组闭门会”上介绍了标准草案,听取了来自轨交、石化、电力、冶金、制造业、汽车等行业专家对标准草案的意见并根据专家在会上和会后提出的修改意见,对标准进行修改。
7.2019年4月,在北京召开了《信息安全技术工业互联网平台安全要求及评估规范》(草案)评审会,听取了来自中国软件评测中心、北京和利时系统工程有限公司、启明星辰信息技术集团股份有限公司、百度在线网络技术(北京)有限公司、北京东方国信科技股份有限公司、联想(北京)有限公司等单位专家对标准草案的意见,并根据专家在会上和会后提出的修改意见,对标准进行修改。
附件:
辽宁省现代远程教育市级平台配置标准
一、硬件设备配置要求
1、服务器
2、存储系统(用于存储教育资源)
4、千兆三层交换机
6、24小时不间断电源。
二、软件配置要求
1、Windows 2003企业版1套。
2、SQL Server 2000企业版1套。
3、网络版杀毒软件1套。
4、网络管理软件1套
5、智能过滤软件1套。
6、与省平台相配套的流媒体点播系统1套(浙大网络)。
流媒体点播平台包括:视频点播;课件点播和直播;全自动镜像服务器选择功能;数据自动分发功能;实时监控;资源管理;用户管理;权限管理;安全管理;系统管理;存储管理;流量负载均衡管理;统计管理。
预留与省平台流媒体系统对接接口。
三、网络带宽的要求
市级平台的网络带宽必须是100M以上,才能够满足流媒体点播的需要。
同时,还有一个固定的公网IP地址供市平台使用。
四、设备扩展要求
各市可以根据具体情况,在省里提出配置标准的基础上再增加相应的服务器、存储及采编播设备等设备,以利于以后省、市平台同步升级。
第28卷 第1期2021年1月仪器仪表用户INSTRUMENTATIONVol.282021 No.1核电站非安全级DCS网络和主机信息安全防护薛文俊,韩新宇,徐 勇(国核自仪系统工程有限公司,上海 200241)摘 要:随着工业4.0的浪潮滚滚而来,核电站控制系统已经普遍改造为SCADA、DCS 等数字化控制系统。
工业以太网、工业现场总线,以及大量标准互联网技术已经被应用于核电站控制系统。
本文将聚焦于网络安全和主机安全,探讨核电站非安全级DCS 的信息安全防护。
DCS 网络安全防护将主要涉及3个方面,包括区域划分、边界防护和网络入侵防护。
DCS 主机安全防护将主要涉及集中管理,用于给出一种核电站非安全级DCS 的信息安全防护方案,着重通过网络安全防护措施和主机安全防护措施,有效提高核电站非安全级DCS 的信息安全防护能力。
关键词:核电站非安全级DCS ;网络安全;主机安全中图分类号:TK08 文献标志码:ACyber Security Protection of Non-safety DCS Networkand Host of NPPXue Wenjun ,Han Xinyu ,Xu Yong(State Nuclear Power Automation System Engineering Company, Shanghai, 200241, China)Abstract:With the arrival of industry 4.0, NPP control system has been generally upgraded to digital control system such as SCADA or DCS. Industry Ethernet, industry field bus, and a large number of standard internet technologies have been applied to NPP control system. This article will focus on network security and host security to explore the cyber security protection of Non-safety DCS. DCS network security protection will mainly involve three aspects, including regional division, boundary pro-tection and network intrusion prevention. DCS host security protection will mainly involve centralized management. The article is used to give an cyber security protection plan for nuclear power plant Non-safety DCS, focusing on network security protection measures and host security protection measures to effectively improve the cyber security protection capability of nuclear power plant Non-safety DCS.Key words:non-safety DCS of NPP;network security;host securityDOI:10.3969/j.issn.1671-1041.2021.01.020文章编号:1671-1041(2021)1-0081-040 引言在传统观念中,核电站控制系统一般部署专用设备,运行专用协议,并且与互联网完全隔离。
注册信息安全专业人员(CSIP)考试模拟测试题(G)1. CC 标准是目前系统安全认证方面最权威的标准,以下哪一项没有体现CC 标准的先进性:A. 结构的开放性B. 表达方式的通用性C. 独立性D. 实用性答案:C2. 根据《信息安全等级保护管理办法》、《关于开展信息安全等级保护测评体系建设试点工作的通知》(公信安[2009]812 号),关于推动信息安全等级保护()建设和开展( )工作的通知(公信安[2010]303号)等文件,由公安部( )对等级保护测评机构管理,接受测评机构的申请、考核和定期(),对不具备能力的测评机构则()A.等级测评;测评体系;等级保护评估中心;能力验证;取消授权B.测评体系;等级保护评估中心;等级测评;能力验证;取消授权C.测评体系;等级测评;等级保护评估中心;能力验证;取消授权D.测评体系;等级保护评估中心;能力验证;等级测评;取消授权答案:C3. 以下哪个现象较好的印证了信息安全特征中的动态性( )A.经过数十年的发展,互联网上已经接入了数亿台各种电子设备B 刚刚经过风险评估并针对风险采取处理措施后仅一周,新的系统漏洞使得信息系统面临新的风险C 某公司的信息系统面临了来自美国的“匿名者”黑客组织的攻击D.某公司尽管部署了防火墙、防病毒等安全产品,但服务器中数据仍然产生了泄露答案:B4. 老王是某政府信息中心主任。
以下哪项项目是符合《保守国家秘密法》要求的( )A.老王安排下属小李将损害的涉密计算机某国外品牌硬盘送到该品牌中国区维修中心修理B.老王要求下属小张把中心所有计算机贴上密级标志C.老王每天晚上12 点将涉密计算机连接上互联网更新杀毒软件病毒库D.老王提出对加密机和红黑电源插座应该与涉密信息系统同步投入使用答案:D5. 关于计算机取征描述不正确的是()A.计算机取证是使用先进的技术和工具,按照标准规程全面的检查计算机系统以提取和保护有关计算机犯罪的相关证据的活动B.取证的目的包括通过证据,查找肇事者,通过证据推断犯罪过程,通过证据判断受害者损失程度及涉及证据提供法律支持C.电子证据是计算机系统运行过程中产生的各种信息记录及存储的电子化资料及物品,对于电子证据取证工作主要围绕两方面进行证据的获取和证据的保护D.计算机取证的过程,可以分为准备,保护,提取,分析和提交五个步骤答案:C 解释:CISP 4.1 版本(2018.10)教材的第156 页。