等保测评基础知识(一)
1、时间类:
- 网络安全法: 2017年6月1日
- 等保2.0实施时间: 2019年12月1日
- 密码法: 2020年1月1日
- 个人信息保护法: 2021年11月1日,
- 数据安全法实施时间: 2021年9月1日
- 关键信息基础设施安全保护条例:2021年9月1日
- 信息安全等级保护管理办法(43号文)实施时间: 2007年6月22日
- 网络安全等级保护测评机构管理办法:2018年3月23日
- 信息安全等级保护备案实施细则 2007年10月26日
- 《网络安全等级保护大数据基本要求》实施:2021年5月30日。
2、标准名称类:
- GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求39
- GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南40
- GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求48
- GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南49
- GB/T 17859-1999 计算机信息系统安全保护等级划分准则17859
- GB/T 20984-2022 信息安全技术 信息安全风险评估方法20984
- GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求25070
- GB/T 36627-2018 信息安全技术 网络安全等级保护测试评估技术指南36627
- GB/T 25058-2019 《信息安全技术网络安全等级保护实施指南》
- GB/T20269-2006 《信息系统安全 管理要求》
- GB/T20282-2006 《信息系统安全 工程管理要求》
等级保护标准GB 17859主要是参考了_美国tcsec而提出。
关键信息基础设施的安全保护等级不低于三级
3、定级指南中针对二级、三级、四级所侵害的客体和影响程度判定。
“S”代表业务信息安全等级,•“A”代表系统服务安全等级
保护数据在存储、传输、处理过程中不被泄漏 、破坏和免受未授权的修改的信息安全类要求(简记为 S) ,
保护系统连续正常运行免受对系统授权修改破坏,导致系统不可用服务保证类要求(简记为 A) ,
全保护类要求(简记为 G),本标准中所有安全管理要求和安全扩展要求均标注为 G。
业务信息安全是指确保定级对象中信息的保密性、完整性和可用性等,
系统服务安全是指确保定级对象可以及时、有效地提供服务,以完成预定的业务目标。
测评申请单位应至少有15人获得测评师证书,高级测评师不少于1人,中级测评师不少于5人。
4、省级以上等保办在审核确认测评项目登记信息时,测评机构有情形之一,不审核通过。
(一)处于暂停测评业务期间;
(二)因违规被通报后,未反馈整改情况的;
(三)其他不符合本办法规定情形的。
- 测评机构名称、地址、测评人员、主要负责人和联系人发生变更的,测评机构应在变更后5个工作日内向等保办报告,并提交变更材料。
- 测评机构法人、股权结构发生变更或其他重大事项发生变更的,等保办应组织重新进行推荐审查并出具审查意见。
- 测评师每年培训时长累计不少于40学时。
- 等保办应于每年12月份对所推荐测评机构进行年审,省级以上等保办受理测评机构申请的时间为每年三月。
第三十三条
5、测评机构有下列情形之一的,年审不予通过。
(一)未及时、准确地填报测评项目信息;
(二)测评师培训时长不足;
(三)未定期报送测评业务开展情况和测评数据;
(四)能力验证未通过且整改方案落实不到位;
(五)其他有关情形。
年审未通过的,等保办责令测评机构限期整改。拒不整改或整改不符合要求的,应暂停测评机构开展等级测评业务。
测评机构推荐证书有效期为三年。测评机构应在推荐证书期满前30日内,向等保办申请期满复审。
测评机构违反本办法第十五、十六、十七、十八、十九、二十二、二十三、二十四、二十五、二十六、二十七、二十八、二十九、三十条规定,等保办应责令其限期整改;
拒不整改或情形严重的,约谈测评机构法人和主要负责人;
屡次违反上述规定或情形特别严重的,责令其暂停测评业务,并予通报。
再严重也是暂停测评业务,不会罚款。
6、测评机构有下列情形之一的,等保办责令其限期整改;严重的,整改期间暂停测评业务,并通报。
(一)未按照有关标准规范开展测评,或未按规定出具测评报告的:
(二)分包、转包、代理测评项目,或恶意竞争,扰乱测评工作正常开展的;
(三)擅自简化测评工作环节,或未按测评流程要求开展测评工作的:
(四)监督检查或抽查中发现问题突出的;
(五)影响被测评网络正常运行,或因测评不到位,未发现网络中存在相关漏洞隐患,导致被测评网络发生重大网络安全事件的;
(六)非授权占有、使用,以及未妥善保管等级测评相关资料及数据文件的;
(七)限定被测评单位购买、使用指定网络安全产品,或与产品和服务商存在利益勾结行为的;
(八)非本机构测评师或测评人员未取得等级测评师证书和上岗证从事等级测评活动的;
(九)未通过测评项目管理系统及时填报项目登记信息或未通过审核开展等级测评项目的;
(十)未按本办法规定向等保办提交材料或弄虚作假的;
(十一)其他违反本办法有关规定行为的。
第四十四条
7、测评机构有下列情形之一的,等保办应取消其推荐证书,并向社会公告,三年内不得再次申请。
(一)运营管理不规范,屡次被责令整改,严重影响测评服务质量的;
(二)因单位股权、人员等情况发生变动,不符合测评机构基本条件的;
(三)有网络安全产品开发、销售或系统安全集成等影响测评结果公正性行为;与产品提供商、服务商或被测评方存在利益勾结,扰乱测评业务正常开展的;
(四)泄露被测评单位工作秘密、重要数据信息的;
(五)隐瞒测评过程中发现的重大安全问题,或测评中弄虚作假未如实出具等级测评报告的;
(六)一年内未开展测评业务(除暂停开展测评业务)或自愿放弃测评机构推荐资格的;
(七)连续两年年审未通过或未通过期满复审的;
(八)测评实施期间,导致被测评网络发生宕机等严重网络安全事件的;
(九)有第四十二条、第四十三条情形,造成特别严重后果或影响特别恶劣的;
(十)其他违反法律法规或严重违反本办法规定情形的。
第四十五条
8、测评师有下列行为之一的,等保办责令测评机构督促其限期改正;情节严重的,责令测评机构暂停其参与测评业务;情形特别严重的,应注销其测评师证书,责令其所在测评机构进行限期整改。
(一)未经允许擅自使用、泄露或出售等级测评活动中收集的数据信息、资料或测评报告的;
(二)违反本办法规定,有涂改、出借、出租和转让测评师证书、上岗证等行为的;
(三)测评行为失误或不当,严重影响网络安全或造成被测评单位利益重大损失的;
(四)其他违反本办法有关规定行为的。
9、等级保护的五个动作。
定级、备案、建设整改、等级测评、监督检查
应从通信网络、网络边界、局域网络内部、各种业务应用平台等各个层次落实各种安全措施形成纵深防御体系
10、数据库删除
drop命令
drop table 表名;
例如:删除学生表(student)
drop table student;
注意:
1、用drop删除表数据,不但会删除表中的数据,连结构也被删除了!
truncate table 表名;
例如:删除学生表(student)
truncate table student;
注意:
1、用truncate删除表数据,只是删除表中的数据,表结构不会被删除!
2、删除整个表的数据时,过程是系统一次性删除数据,效率比较高
3、truncate删除释放空间
delete from 表名;
例如:删除学生表(student)
delete from student;
注意:
1、用delete删除表数据,只是删除表中的数据,表结构不会被删除!
2、虽然也是删除整个表的数据,但是过程是系统一行一行的删,效率比truncate低
3、delete删除是不释放空间的
相关文章:
)
等保测评基础知识(一)
1、时间类: 网络安全法: 2017年6月1日等保2.0实施时间: 2019年12月1日密码法: 2020年1月1日个人信息保护法: 2021年11月1日,数据安全法实施时间: 2021年9月1日关键信息基础…...
股指期货套期保值中的展期管理有哪些?
在复杂的金融市场环境中,展期作为一种重要的风险管理工具,被广泛应用于期货交易中,特别是当投资者需要对长期资产进行套期保值时。展期的核心思想在于,通过连续替换高流动性的近月期货合约来替代流动性较差的远月合约,…...
如何通过参考文献找到原文
当只有参考文献想要获取原文时,通常会用到以下方法: 举例参考文献1. 杨忠华,周勃,宁宝宽,等.面向新能源产业的专业研究生研创能力培养实践探索——基于“政产学研用”融合驱动[J].高教学刊,2024,10(23):19-22.DOI:10.19980/j.CN23-1593/G4.2024.23.004…...
春秋云境 | SQL | CVE-2022-4230
目录 靶标介绍 开启靶场 wpscan漏洞介绍 查询数据库表名 查询表中字段名 查询字段下数据 靶标介绍 WP Statistics WordPress 插件13.2.9之前的版本不会转义参数,这可能允许经过身份验证的用户执行 SQL 注入攻击。默认情况下,具有管理选项功能 (ad…...
3.串口(UART)
串口理论部分可看51部分:链接 数据帧 帧头(2字节,例如AA、BB) 数据长度(2字节) 数据 CRC16校验(2字节) 帧尾(2字节) 代码编写 串口一发送命令控制LED灯(PB5、PE5) LED灯、串口、…...
macOS Sonoma 14.6.1 (23G93) Boot ISO 原版可引导镜像下载
macOS Sonoma 14.6.1 (23G93) Boot ISO 原版可引导镜像下载 2024 年 8 月 8 日凌晨,macOS Sonoma 14.6.1 发布,本更新包含了重要的错误修复,并解决了导致高级数据保护无法启用或停用的问题。同时带来了 macOS Ventura 13.6.9 安全更新。 本…...
论企业私域流量运营中的玩法创新与开源 AI 智能名片 O2O 商城小程序的应用
摘要:本文旨在探讨企业在构建私域流量池时的多种玩法策略,并着重分析如何针对不同类型客户制定个性化方案。同时,引入开源 AI 智能名片 O2O 商城小程序这一工具,阐述其在私域流量运营中的重要作用和价值,为企业提升运营…...
nginx.conf alias 静态资源 别名 nginx配置
Linux系统Bug 报权限不足错误 user root; 解决server_name太长时报错的问题 #解决server_name太长时报错的问题server_names_hash_bucket_size 64; 解决文件上传默认限制1M的问题 #解决文件上传默认限制1M的问题client_max_body_size 100m; 监听所有端口 server_name _; a…...
pve虚拟机使用
文章目录 1.pve 直通硬盘 1.pve 直通硬盘 查看硬盘号: ls /dev/disk/by-id -lqm set 101 --virtio1 /dev/disk/by-id/usb-HIKSEMI__93963907-0:0挂载sata类型: qm set 101 --sata1 /dev/disk/by-id/ata-ST4000DM004-2U9104_WFN7TMVV可以将一个硬盘挂…...
Linux:进程概念详解
1. 冯诺依曼体系结构 截至目前,我们所认识的计算机,都是有一个个的硬件组件组成 。 【注意】: a. 这里的存储器指的是内存 b. 不考虑缓存情况,这里的CPU能且只能对内存进行读写,不能访问外设(输入或输出设备) c.外…...
cms框架cookice注入漏洞
目录 一、环境 二、开始分析 2.1代码审计(未授权访问) 一、环境 环境私聊获取 二、开始分析 2.1代码审计(未授权访问) 我们可以看到构造函数ip是通过X_FORWARDED_FOR来获取的,而这个刚好可以伪造,那我…...
)
RabbitMQ高级特性 - 非持久化 / 持久化(交换机、队列、消息)
文章目录 RabbitMQ 持久化机制概述实现非持久化(交换机、队列、消息)实现持久化(交换机、队列、消息)RabbitMQ 持久化机制 概述 前面讲到了 生产者消息确认机制 和 消费者消息确认机制,保证了消息传输的可靠性,但是这还不够,试想如果 Broker 突然崩溃,那么所有的 交换…...
OpenGL ES->工作机制
渲染流程 渲染目的:输入3D立体坐标,输出绘制后的2D平面像素工作流程:顶点着色器->图元装配->几何着色器->光栅化->片段着色器->测试与混合,整个工作流程被封装在GPU内部,无法改变。运行在CPU的代码调用…...
ue4.27 C++ 解析内容为json的字符串
json字符串为 R"({"x": -1870.0, "y": -11400.0})",里面内容是个json对象。 const FString& Message R"({"x": -1870.0, "y": -11400.0})"; TSharedRef<TJsonReader<>> Reader TJs…...
图论③ | Java | 孤岛的总面积、沉没孤岛、水流问题 、建造最大岛屿
101. 孤岛的总面积 卡玛 101. 孤岛的总面积 https://kamacoder.com/problempage.php?pid1173 孤岛是那些位于矩阵内部、所有单元格都不接触边缘的岛屿。 本题要求找到不靠边的陆地面积,那么我们只要从周边找到陆地然后 通过 dfs或者bfs 将周边靠陆地且相邻的陆地都…...
基于VEH的无痕HOOK
这里的无痕HOOK指的是不破坏程序机器码,这样就可以绕过CRC或MD5的校验。 VEH利用了Windows的调试机制和异常处理,人为抛出异常,从异常的上下文中获取寄存器信息。 DLL入口 // dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "pch.h" #include "CHoo…...
芯片内部如何实现过欠压功能?
大家好,这里是大话硬件。 在前面通过推送《芯片内部如何实现VREF参考稳压源?》实现了芯片内部VREF功能,今天分享一下芯片内部是如何实现过欠压保护。 UC3842芯片系列的数据手册如下: 从上面的描述可知,芯片在工作时,需要电压达到16V,但是电压跌落到10V后,芯片就不能工…...
Basic‘ attribute type should not be a container解决方法
在使用Spring Data JPA的时候,实体类中定义一个用List修饰的成员ip,IDEA会提示Basic‘ attribute type should not be a container错误,导致编译不通过。 查阅一些博客和文档说是Spring Data JPA这个框架会把实体类的属性当做是MySQL数据库中…...
Linkis-RPC的设计思想
我的技术网站 java-broke.site,有大厂完整面经,工作技术,架构师成长之路,等经验分享 Linkis-RPC的设计目标是提供一种灵活、可扩展的微服务间通信机制,支持以下功能: 异步请求与响应:支持请求方…...
31 - memmove()函数
文章目录 1 函数原型2 参数3 返回值4 示例 1 函数原型 memmove():移动内存块,函数原型如下: void * memmove ( void * destination, const void * source, size_t num );cstring库描述如下: Move block of memory 1. Copies th…...
Linux应用开发之网络套接字编程(实例篇)
服务端与客户端单连接 服务端代码 #include <sys/socket.h> #include <sys/types.h> #include <netinet/in.h> #include <stdio.h> #include <stdlib.h> #include <string.h> #include <arpa/inet.h> #include <pthread.h> …...
黑马Mybatis
Mybatis 表现层:页面展示 业务层:逻辑处理 持久层:持久数据化保存 在这里插入图片描述 Mybatis快速入门 
关于iview组件中使用 table , 绑定序号分页后序号从1开始的解决方案
问题描述:iview使用table 中type: "index",分页之后 ,索引还是从1开始,试过绑定后台返回数据的id, 这种方法可行,就是后台返回数据的每个页面id都不完全是按照从1开始的升序,因此百度了下,找到了…...
条件运算符
C中的三目运算符(也称条件运算符,英文:ternary operator)是一种简洁的条件选择语句,语法如下: 条件表达式 ? 表达式1 : 表达式2• 如果“条件表达式”为true,则整个表达式的结果为“表达式1”…...
JUC笔记(上)-复习 涉及死锁 volatile synchronized CAS 原子操作
一、上下文切换 即使单核CPU也可以进行多线程执行代码,CPU会给每个线程分配CPU时间片来实现这个机制。时间片非常短,所以CPU会不断地切换线程执行,从而让我们感觉多个线程是同时执行的。时间片一般是十几毫秒(ms)。通过时间片分配算法执行。…...
2025季度云服务器排行榜
在全球云服务器市场,各厂商的排名和地位并非一成不变,而是由其独特的优势、战略布局和市场适应性共同决定的。以下是根据2025年市场趋势,对主要云服务器厂商在排行榜中占据重要位置的原因和优势进行深度分析: 一、全球“三巨头”…...
【Redis】笔记|第8节|大厂高并发缓存架构实战与优化
缓存架构 代码结构 代码详情 功能点: 多级缓存,先查本地缓存,再查Redis,最后才查数据库热点数据重建逻辑使用分布式锁,二次查询更新缓存采用读写锁提升性能采用Redis的发布订阅机制通知所有实例更新本地缓存适用读多…...
【 java 虚拟机知识 第一篇 】
目录 1.内存模型 1.1.JVM内存模型的介绍 1.2.堆和栈的区别 1.3.栈的存储细节 1.4.堆的部分 1.5.程序计数器的作用 1.6.方法区的内容 1.7.字符串池 1.8.引用类型 1.9.内存泄漏与内存溢出 1.10.会出现内存溢出的结构 1.内存模型 1.1.JVM内存模型的介绍 内存模型主要分…...
MinIO Docker 部署:仅开放一个端口
MinIO Docker 部署:仅开放一个端口 在实际的服务器部署中,出于安全和管理的考虑,我们可能只能开放一个端口。MinIO 是一个高性能的对象存储服务,支持 Docker 部署,但默认情况下它需要两个端口:一个是 API 端口(用于存储和访问数据),另一个是控制台端口(用于管理界面…...
LOOI机器人的技术实现解析:从手势识别到边缘检测
LOOI机器人作为一款创新的AI硬件产品,通过将智能手机转变为具有情感交互能力的桌面机器人,展示了前沿AI技术与传统硬件设计的完美结合。作为AI与玩具领域的专家,我将全面解析LOOI的技术实现架构,特别是其手势识别、物体识别和环境…...