等保测评基础知识(一)
1、时间类:
- 网络安全法: 2017年6月1日
- 等保2.0实施时间: 2019年12月1日
- 密码法: 2020年1月1日
- 个人信息保护法: 2021年11月1日,
- 数据安全法实施时间: 2021年9月1日
- 关键信息基础设施安全保护条例:2021年9月1日
- 信息安全等级保护管理办法(43号文)实施时间: 2007年6月22日
- 网络安全等级保护测评机构管理办法:2018年3月23日
- 信息安全等级保护备案实施细则 2007年10月26日
- 《网络安全等级保护大数据基本要求》实施:2021年5月30日。
2、标准名称类:
- GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求39
- GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南40
- GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求48
- GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南49
- GB/T 17859-1999 计算机信息系统安全保护等级划分准则17859
- GB/T 20984-2022 信息安全技术 信息安全风险评估方法20984
- GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求25070
- GB/T 36627-2018 信息安全技术 网络安全等级保护测试评估技术指南36627
- GB/T 25058-2019 《信息安全技术网络安全等级保护实施指南》
- GB/T20269-2006 《信息系统安全 管理要求》
- GB/T20282-2006 《信息系统安全 工程管理要求》
等级保护标准GB 17859主要是参考了_美国tcsec而提出。
关键信息基础设施的安全保护等级不低于三级
3、定级指南中针对二级、三级、四级所侵害的客体和影响程度判定。
“S”代表业务信息安全等级,•“A”代表系统服务安全等级
保护数据在存储、传输、处理过程中不被泄漏 、破坏和免受未授权的修改的信息安全类要求(简记为 S) ,
保护系统连续正常运行免受对系统授权修改破坏,导致系统不可用服务保证类要求(简记为 A) ,
全保护类要求(简记为 G),本标准中所有安全管理要求和安全扩展要求均标注为 G。
业务信息安全是指确保定级对象中信息的保密性、完整性和可用性等,
系统服务安全是指确保定级对象可以及时、有效地提供服务,以完成预定的业务目标。
测评申请单位应至少有15人获得测评师证书,高级测评师不少于1人,中级测评师不少于5人。
4、省级以上等保办在审核确认测评项目登记信息时,测评机构有情形之一,不审核通过。
(一)处于暂停测评业务期间;
(二)因违规被通报后,未反馈整改情况的;
(三)其他不符合本办法规定情形的。
- 测评机构名称、地址、测评人员、主要负责人和联系人发生变更的,测评机构应在变更后5个工作日内向等保办报告,并提交变更材料。
- 测评机构法人、股权结构发生变更或其他重大事项发生变更的,等保办应组织重新进行推荐审查并出具审查意见。
- 测评师每年培训时长累计不少于40学时。
- 等保办应于每年12月份对所推荐测评机构进行年审,省级以上等保办受理测评机构申请的时间为每年三月。
第三十三条
5、测评机构有下列情形之一的,年审不予通过。
(一)未及时、准确地填报测评项目信息;
(二)测评师培训时长不足;
(三)未定期报送测评业务开展情况和测评数据;
(四)能力验证未通过且整改方案落实不到位;
(五)其他有关情形。
年审未通过的,等保办责令测评机构限期整改。拒不整改或整改不符合要求的,应暂停测评机构开展等级测评业务。
测评机构推荐证书有效期为三年。测评机构应在推荐证书期满前30日内,向等保办申请期满复审。
测评机构违反本办法第十五、十六、十七、十八、十九、二十二、二十三、二十四、二十五、二十六、二十七、二十八、二十九、三十条规定,等保办应责令其限期整改;
拒不整改或情形严重的,约谈测评机构法人和主要负责人;
屡次违反上述规定或情形特别严重的,责令其暂停测评业务,并予通报。
再严重也是暂停测评业务,不会罚款。
6、测评机构有下列情形之一的,等保办责令其限期整改;严重的,整改期间暂停测评业务,并通报。
(一)未按照有关标准规范开展测评,或未按规定出具测评报告的:
(二)分包、转包、代理测评项目,或恶意竞争,扰乱测评工作正常开展的;
(三)擅自简化测评工作环节,或未按测评流程要求开展测评工作的:
(四)监督检查或抽查中发现问题突出的;
(五)影响被测评网络正常运行,或因测评不到位,未发现网络中存在相关漏洞隐患,导致被测评网络发生重大网络安全事件的;
(六)非授权占有、使用,以及未妥善保管等级测评相关资料及数据文件的;
(七)限定被测评单位购买、使用指定网络安全产品,或与产品和服务商存在利益勾结行为的;
(八)非本机构测评师或测评人员未取得等级测评师证书和上岗证从事等级测评活动的;
(九)未通过测评项目管理系统及时填报项目登记信息或未通过审核开展等级测评项目的;
(十)未按本办法规定向等保办提交材料或弄虚作假的;
(十一)其他违反本办法有关规定行为的。
第四十四条
7、测评机构有下列情形之一的,等保办应取消其推荐证书,并向社会公告,三年内不得再次申请。
(一)运营管理不规范,屡次被责令整改,严重影响测评服务质量的;
(二)因单位股权、人员等情况发生变动,不符合测评机构基本条件的;
(三)有网络安全产品开发、销售或系统安全集成等影响测评结果公正性行为;与产品提供商、服务商或被测评方存在利益勾结,扰乱测评业务正常开展的;
(四)泄露被测评单位工作秘密、重要数据信息的;
(五)隐瞒测评过程中发现的重大安全问题,或测评中弄虚作假未如实出具等级测评报告的;
(六)一年内未开展测评业务(除暂停开展测评业务)或自愿放弃测评机构推荐资格的;
(七)连续两年年审未通过或未通过期满复审的;
(八)测评实施期间,导致被测评网络发生宕机等严重网络安全事件的;
(九)有第四十二条、第四十三条情形,造成特别严重后果或影响特别恶劣的;
(十)其他违反法律法规或严重违反本办法规定情形的。
第四十五条
8、测评师有下列行为之一的,等保办责令测评机构督促其限期改正;情节严重的,责令测评机构暂停其参与测评业务;情形特别严重的,应注销其测评师证书,责令其所在测评机构进行限期整改。
(一)未经允许擅自使用、泄露或出售等级测评活动中收集的数据信息、资料或测评报告的;
(二)违反本办法规定,有涂改、出借、出租和转让测评师证书、上岗证等行为的;
(三)测评行为失误或不当,严重影响网络安全或造成被测评单位利益重大损失的;
(四)其他违反本办法有关规定行为的。
9、等级保护的五个动作。
定级、备案、建设整改、等级测评、监督检查
应从通信网络、网络边界、局域网络内部、各种业务应用平台等各个层次落实各种安全措施形成纵深防御体系
10、数据库删除
drop命令
drop table 表名;
例如:删除学生表(student)
drop table student;
注意:
1、用drop删除表数据,不但会删除表中的数据,连结构也被删除了!
truncate table 表名;
例如:删除学生表(student)
truncate table student;
注意:
1、用truncate删除表数据,只是删除表中的数据,表结构不会被删除!
2、删除整个表的数据时,过程是系统一次性删除数据,效率比较高
3、truncate删除释放空间
delete from 表名;
例如:删除学生表(student)
delete from student;
注意:
1、用delete删除表数据,只是删除表中的数据,表结构不会被删除!
2、虽然也是删除整个表的数据,但是过程是系统一行一行的删,效率比truncate低
3、delete删除是不释放空间的
相关文章:
)
等保测评基础知识(一)
1、时间类: 网络安全法: 2017年6月1日等保2.0实施时间: 2019年12月1日密码法: 2020年1月1日个人信息保护法: 2021年11月1日,数据安全法实施时间: 2021年9月1日关键信息基础…...
股指期货套期保值中的展期管理有哪些?
在复杂的金融市场环境中,展期作为一种重要的风险管理工具,被广泛应用于期货交易中,特别是当投资者需要对长期资产进行套期保值时。展期的核心思想在于,通过连续替换高流动性的近月期货合约来替代流动性较差的远月合约,…...
如何通过参考文献找到原文
当只有参考文献想要获取原文时,通常会用到以下方法: 举例参考文献1. 杨忠华,周勃,宁宝宽,等.面向新能源产业的专业研究生研创能力培养实践探索——基于“政产学研用”融合驱动[J].高教学刊,2024,10(23):19-22.DOI:10.19980/j.CN23-1593/G4.2024.23.004…...
春秋云境 | SQL | CVE-2022-4230
目录 靶标介绍 开启靶场 wpscan漏洞介绍 查询数据库表名 查询表中字段名 查询字段下数据 靶标介绍 WP Statistics WordPress 插件13.2.9之前的版本不会转义参数,这可能允许经过身份验证的用户执行 SQL 注入攻击。默认情况下,具有管理选项功能 (ad…...
3.串口(UART)
串口理论部分可看51部分:链接 数据帧 帧头(2字节,例如AA、BB) 数据长度(2字节) 数据 CRC16校验(2字节) 帧尾(2字节) 代码编写 串口一发送命令控制LED灯(PB5、PE5) LED灯、串口、…...
macOS Sonoma 14.6.1 (23G93) Boot ISO 原版可引导镜像下载
macOS Sonoma 14.6.1 (23G93) Boot ISO 原版可引导镜像下载 2024 年 8 月 8 日凌晨,macOS Sonoma 14.6.1 发布,本更新包含了重要的错误修复,并解决了导致高级数据保护无法启用或停用的问题。同时带来了 macOS Ventura 13.6.9 安全更新。 本…...
论企业私域流量运营中的玩法创新与开源 AI 智能名片 O2O 商城小程序的应用
摘要:本文旨在探讨企业在构建私域流量池时的多种玩法策略,并着重分析如何针对不同类型客户制定个性化方案。同时,引入开源 AI 智能名片 O2O 商城小程序这一工具,阐述其在私域流量运营中的重要作用和价值,为企业提升运营…...
nginx.conf alias 静态资源 别名 nginx配置
Linux系统Bug 报权限不足错误 user root; 解决server_name太长时报错的问题 #解决server_name太长时报错的问题server_names_hash_bucket_size 64; 解决文件上传默认限制1M的问题 #解决文件上传默认限制1M的问题client_max_body_size 100m; 监听所有端口 server_name _; a…...
pve虚拟机使用
文章目录 1.pve 直通硬盘 1.pve 直通硬盘 查看硬盘号: ls /dev/disk/by-id -lqm set 101 --virtio1 /dev/disk/by-id/usb-HIKSEMI__93963907-0:0挂载sata类型: qm set 101 --sata1 /dev/disk/by-id/ata-ST4000DM004-2U9104_WFN7TMVV可以将一个硬盘挂…...
Linux:进程概念详解
1. 冯诺依曼体系结构 截至目前,我们所认识的计算机,都是有一个个的硬件组件组成 。 【注意】: a. 这里的存储器指的是内存 b. 不考虑缓存情况,这里的CPU能且只能对内存进行读写,不能访问外设(输入或输出设备) c.外…...
cms框架cookice注入漏洞
目录 一、环境 二、开始分析 2.1代码审计(未授权访问) 一、环境 环境私聊获取 二、开始分析 2.1代码审计(未授权访问) 我们可以看到构造函数ip是通过X_FORWARDED_FOR来获取的,而这个刚好可以伪造,那我…...
)
RabbitMQ高级特性 - 非持久化 / 持久化(交换机、队列、消息)
文章目录 RabbitMQ 持久化机制概述实现非持久化(交换机、队列、消息)实现持久化(交换机、队列、消息)RabbitMQ 持久化机制 概述 前面讲到了 生产者消息确认机制 和 消费者消息确认机制,保证了消息传输的可靠性,但是这还不够,试想如果 Broker 突然崩溃,那么所有的 交换…...
OpenGL ES->工作机制
渲染流程 渲染目的:输入3D立体坐标,输出绘制后的2D平面像素工作流程:顶点着色器->图元装配->几何着色器->光栅化->片段着色器->测试与混合,整个工作流程被封装在GPU内部,无法改变。运行在CPU的代码调用…...
ue4.27 C++ 解析内容为json的字符串
json字符串为 R"({"x": -1870.0, "y": -11400.0})",里面内容是个json对象。 const FString& Message R"({"x": -1870.0, "y": -11400.0})"; TSharedRef<TJsonReader<>> Reader TJs…...
图论③ | Java | 孤岛的总面积、沉没孤岛、水流问题 、建造最大岛屿
101. 孤岛的总面积 卡玛 101. 孤岛的总面积 https://kamacoder.com/problempage.php?pid1173 孤岛是那些位于矩阵内部、所有单元格都不接触边缘的岛屿。 本题要求找到不靠边的陆地面积,那么我们只要从周边找到陆地然后 通过 dfs或者bfs 将周边靠陆地且相邻的陆地都…...
基于VEH的无痕HOOK
这里的无痕HOOK指的是不破坏程序机器码,这样就可以绕过CRC或MD5的校验。 VEH利用了Windows的调试机制和异常处理,人为抛出异常,从异常的上下文中获取寄存器信息。 DLL入口 // dllmain.cpp : 定义 DLL 应用程序的入口点。 #include "pch.h" #include "CHoo…...
芯片内部如何实现过欠压功能?
大家好,这里是大话硬件。 在前面通过推送《芯片内部如何实现VREF参考稳压源?》实现了芯片内部VREF功能,今天分享一下芯片内部是如何实现过欠压保护。 UC3842芯片系列的数据手册如下: 从上面的描述可知,芯片在工作时,需要电压达到16V,但是电压跌落到10V后,芯片就不能工…...
Basic‘ attribute type should not be a container解决方法
在使用Spring Data JPA的时候,实体类中定义一个用List修饰的成员ip,IDEA会提示Basic‘ attribute type should not be a container错误,导致编译不通过。 查阅一些博客和文档说是Spring Data JPA这个框架会把实体类的属性当做是MySQL数据库中…...
Linkis-RPC的设计思想
我的技术网站 java-broke.site,有大厂完整面经,工作技术,架构师成长之路,等经验分享 Linkis-RPC的设计目标是提供一种灵活、可扩展的微服务间通信机制,支持以下功能: 异步请求与响应:支持请求方…...
31 - memmove()函数
文章目录 1 函数原型2 参数3 返回值4 示例 1 函数原型 memmove():移动内存块,函数原型如下: void * memmove ( void * destination, const void * source, size_t num );cstring库描述如下: Move block of memory 1. Copies th…...
:OpenBCI_GUI:从环境搭建到数据可视化(下))
脑机新手指南(八):OpenBCI_GUI:从环境搭建到数据可视化(下)
一、数据处理与分析实战 (一)实时滤波与参数调整 基础滤波操作 60Hz 工频滤波:勾选界面右侧 “60Hz” 复选框,可有效抑制电网干扰(适用于北美地区,欧洲用户可调整为 50Hz)。 平滑处理&…...
基于ASP.NET+ SQL Server实现(Web)医院信息管理系统
医院信息管理系统 1. 课程设计内容 在 visual studio 2017 平台上,开发一个“医院信息管理系统”Web 程序。 2. 课程设计目的 综合运用 c#.net 知识,在 vs 2017 平台上,进行 ASP.NET 应用程序和简易网站的开发;初步熟悉开发一…...
QMC5883L的驱动
简介 本篇文章的代码已经上传到了github上面,开源代码 作为一个电子罗盘模块,我们可以通过I2C从中获取偏航角yaw,相对于六轴陀螺仪的yaw,qmc5883l几乎不会零飘并且成本较低。 参考资料 QMC5883L磁场传感器驱动 QMC5883L磁力计…...
)
postgresql|数据库|只读用户的创建和删除(备忘)
CREATE USER read_only WITH PASSWORD 密码 -- 连接到xxx数据库 \c xxx -- 授予对xxx数据库的只读权限 GRANT CONNECT ON DATABASE xxx TO read_only; GRANT USAGE ON SCHEMA public TO read_only; GRANT SELECT ON ALL TABLES IN SCHEMA public TO read_only; GRANT EXECUTE O…...
页面渲染流程与性能优化
页面渲染流程与性能优化详解(完整版) 一、现代浏览器渲染流程(详细说明) 1. 构建DOM树 浏览器接收到HTML文档后,会逐步解析并构建DOM(Document Object Model)树。具体过程如下: (…...
【C语言练习】080. 使用C语言实现简单的数据库操作
080. 使用C语言实现简单的数据库操作 080. 使用C语言实现简单的数据库操作使用原生APIODBC接口第三方库ORM框架文件模拟1. 安装SQLite2. 示例代码:使用SQLite创建数据库、表和插入数据3. 编译和运行4. 示例运行输出:5. 注意事项6. 总结080. 使用C语言实现简单的数据库操作 在…...
3403. 从盒子中找出字典序最大的字符串 I
3403. 从盒子中找出字典序最大的字符串 I 题目链接:3403. 从盒子中找出字典序最大的字符串 I 代码如下: class Solution { public:string answerString(string word, int numFriends) {if (numFriends 1) {return word;}string res;for (int i 0;i &…...
Linux --进程控制
本文从以下五个方面来初步认识进程控制: 目录 进程创建 进程终止 进程等待 进程替换 模拟实现一个微型shell 进程创建 在Linux系统中我们可以在一个进程使用系统调用fork()来创建子进程,创建出来的进程就是子进程,原来的进程为父进程。…...
【SpringBoot自动化部署】
SpringBoot自动化部署方法 使用Jenkins进行持续集成与部署 Jenkins是最常用的自动化部署工具之一,能够实现代码拉取、构建、测试和部署的全流程自动化。 配置Jenkins任务时,需要添加Git仓库地址和凭证,设置构建触发器(如GitHub…...
自然语言处理——文本分类
文本分类 传统机器学习方法文本表示向量空间模型 特征选择文档频率互信息信息增益(IG) 分类器设计贝叶斯理论:线性判别函数 文本分类性能评估P-R曲线ROC曲线 将文本文档或句子分类为预定义的类或类别, 有单标签多类别文本分类和多…...