精华内容
下载资源
问答
  • 32个信息安全技术国家标准

    热门讨论 2013-09-22 22:19:20
    信息系统安全技术技术要求.pdf 信息系统安全等级保护体系框架.pdf 信息系统安全等级保护基本模型.pdf 信息系统安全等级保护基本配置.pdf 信息系统安全等级保护定级指南.pdf 信息系统安全等级保护实施指南.pdf 信息...
  • 无线网络安全技术基础

    千次阅读 2019-09-25 15:54:34
    无线网络安全技术基础 无线网络安全风险和隐患 随着无线网络技术广泛应用,其安全性越来越引起关注.无线网络的安全主要有访问控制和数据加密,访问控制保证机密数据只能由授权用户访问,而数据加密则要求发送的数据...

    无线网络安全技术基础

    无线网络安全风险和隐患

    随着无线网络技术广泛应用,其安全性越来越引起关注.无线网络的安全主要有访问控制和数据加密,访问控制保证机密数据只能由授权用户访问,而数据加密则要求发送的数据只能被授权用户所接受和使用。

    无线网络在数据传输时以微波进行辐射传播,只要在无线接入点AP(Access Point)覆盖范围内,所有无线终端都可能接收到无线信号。AP无法将无线信号定向到一个特定的接受设备,时常有无线网络用户被他人免费蹭网接入、盗号或泄密等,因此,无线网络的安全威胁、风险和隐患更加突出。

    无线网络安全风险及隐患,如图所示。
    在这里插入图片描述
    在这里插入图片描述
    国际安全机构的一次调查表明,有85%的企业网络经理认为无线网络安全防范意识和手段还需要进一步加强。由于IEEE 802.11规范安全协议设计与实现缺陷等原因,致使无线网络存在着一些安全漏洞和风险,黑客可进行中间人(Man-in-the-Middle)攻击、拒绝服务(DoS)攻击、封包破解攻击等。鉴于无线网络自身特性,黑客很容易搜寻到一个网络接口,利用窃取的有关信息接入客户网络,肆意盗取机密信息或进行破坏。另外,企业员工对无线设备不负责任地滥用也会造成安全隐患和风险,如随意开放AP或随意打开无线网卡的Ad hoc模式,或误上别人假冒的合法AP导致信息泄露等,无线网络安全性问题已经引发新技术研究和竞争。

    无线网络AP及路由安全

    无线接入点安全
    无线接入点AP用于实现无线客户端之间信号互联和中继,安全措施:
    (1) 修改admin密码
    无线AP与其他网络设备一样,也提供了初始的管理员用户名和密码,其默认用户名admin或空。如果不修改将给不法之徒以可乘之机。

    (2) WEP加密传输
    数据加密是实现网络安全一项重要技术,可通过协议WEP进行。WEP是IEEE 802.11b协议中最基本的无线安全加密措施,是所有经过WiFiTM认证的无线局域网产品所支持的一项标准功能,主要用途为:

    • 防止数据被黑客途中恶意篡改或伪造。
    • 用WEP加密算法对数据进行加密,防止数据被黑客窃听。
    • 利用接入控制,防止未授权用户对其网络进行访问。

    (3) 禁用DHCP服务
    启用无线AP的DHCP时,黑客可自动获取IP地址接入无线网络。若禁用此功能,则黑客将只能以猜测破译IP地址、子网掩码、默认网关等,以增加其安全性。

    (4) 修改SNMP字符串
    必要时应禁用无线AP支持的SNMP功能,特别对无专用网络管理软件且规模较小的网络。若确需SNMP进行远程管理,则须修改公开及专用的共用字符串。否则,黑客可能利用SNMP获得有关的重要信息,借助SNMP漏洞进行攻击破坏。

    (5) 禁止远程管理
    较小网络直接登录到无线AP管理,无需开启AP的远程管理功能。

    (6) 修改SSID标识
    无线AP厂商可利用SSID(初始化字符串),在默认状态下检验登录无线网络结点的连接请求,检验一通过即可连接到无线网络。由于同一厂商的产品都使用相同的SSID名称,从而给黑客提供了可乘之机,使之以非授权连接对无线网络带来威胁。所以,在安装无线局域网之初,就应尽快登录到结点的管理页面,修改默认的SSID。

    (7) 禁止SSID广播
    为了保证无线网络安全,应当禁用SSID通知客户端所采用的默认广播方式。可使非授权客户端无法通过广播获得SSID,即无法连接到无线网络。否则,再复杂的SSID设置也无安全可言。

    (8) 过滤MAC地址
    利用无线AP的访问列表功能可精确限制连接到结点工作站。对不在访问列表中的工作站,将无权访问无线网络。无线网卡都有各自的MAC地址,可在结点设备中创建一张“MAC访问控制列表”,将合法网卡的MAC地址输入到此列表中。使之只有“MAC访问控制列表”中显示的MAC地址才能进入到无线网络。

    (9) 合理放置无线AP
    将无线AP放置在一个合适的位置非常重要。由于无线AP的放置位置不仅能决定无线局域网的信号传输速度、通信信号强弱,还影响网络通信安全。另外,在放置天线前,应先确定无线信号覆盖范围,并根据范围大小将其到其他用户无法触及的位置,将AP放在房间正中间。

    (10) WPA用户认证
    WPA(Wi-Fi Protected Access)利用一种暂时密钥完整性协议TKIP处理WEP所不能解决的各设备共用一个密钥的安全问题。

    无线路由器安全
    无线路由器位于网络边缘,面临更多安全危险.不仅具有无线AP功能,还集成了宽带路由器的功能,因此,可实现小型网络的Internet连接共享。除了采用无线AP的安全策略外,还应采用如下安全策略。

    • 利用网络防火墙。充分利用无线路由器内置的防火墙功能,以加强防护能力.
    • IP地址过滤。启用IP地址过滤列表,进一步提高无线网络的安全性。

    IEEE802.1x身份认证

    IEEE 802.1x是一种基于端口的网络接入控制技术,以网络设备的物理接入级(交换机端口)对接入设备进行认证和控制。可提供一个可靠的用户认证和密钥分发的框架,控制用户只在认证通过后才可连接网络。本身并不提供实际的认证机制,需要和上层认证协议EAP配合实现用户认证和密钥分发。
    IEEE 802.1x认证过程
    1)无线客户端向AP发送请求,尝试与AP进行通信。
    2)AP将加密数据发送给验证服务器进行用户身份认证。
    3)验证服务器确认用户身份后,AP允许该用户接入。
    4)建立网络连接后授权用户通过AP访问网络资源。

    IEEE802.1x身份认证
    用IEEE 802.1x和EAP作为身份认证的无线网络,
    可分为如图2-6所示的3个主要部分。
    (1)请求者。运行在无线工作站上的软件客户端。
    (2)认证者。无线访问点。
    (3)认证服务器。作为一个认证数据库,通常是一个RADIUS服务器的形式,如微软公司的IAS等。
    远程用户拨号认证系统是应用最广泛的AAA协议(认证、授权、审计(计费))

    使用802.1x及EAP身份认证的无线网络
    在这里插入图片描述
    在这里插入图片描述

    无线网络安全技术应用

    无线网络在不同的应用环境对其安全性的需求各异,以AboveCable公司的无线网络安全技术作为实例。为了更好地发挥无线网络“有线速度无线自由”的特性,该公司根据长期积累的经验,针对各行业对无线网络的需求,
    制定了一系列的安全方案,最大程度上方便用户构建
    安全的无线网络,节省不必要的经费。

    1、小型企业及家庭用户
    小型企业和一般家庭用户使用的网络范围相对较小,且终端用户数量有限,AboveCable的初级安全方案可满足对网络安全需求,且投资成本低,配置方便效果显著。此方案建议使用传统的WEP认证与加密技术,各种型号AP和无线路由器都支持64位、128位WEP认证与加密,以保证无线链路中的数据安全,防止数据被盗用。同时,由于这些场合终端用户数量稳定且有限,手工配置WEP密钥也可行。

    2、仓库物流、医院、学校和餐饮娱乐行业
    在这些行业中,网络覆盖范围及终端用户的数量增大,AP和无线网卡的数量需要增多,同时安全风险及隐患也有所增加,仅依靠单一的WEP已无法满足其安全需求。AboveCable的中级安全方案使用IEEE802.1x认证技术作为无线网络的安全核心,并通过后台的RADIUS服务器进行用户身份验证,有效地阻止未经授权的接入。
    对多个AP的管理问题,若管理不当也会增加网络的安全隐患。为此,需要产品不仅支持IEEE 802.1x认证机制,同时还支持SNMP网络管理协议,在此基础上以AirPanel Pro AP集群管理系统,便于对AP的管理和监控。

    3、公共场所及网络运营商、大中型企业和金融机构
    在公共地区,如机场、火车站等,一些用户需要通过无线接入Internet、浏览web页面、接收e-mail,对此安全可靠地接入Internet很关键。这些区域通常由网络运营商提供网络设施,对用户认证问题至关重要。否则,可能造成盗用服务等危险,为提供商和用户造成损失。AboveCable提出使用IEEE 802.1x的认证方式,并通过后台RADIUS服务器进行认证计费。
    针对公共场所存在相邻用户互访引起的数据泄漏问题,设计了公共场所专用的AP— HotSpot AP。可将连接到其所有无线终端的MAC地址自动记录,在转发报文的同时,判断该段报文是否发送给MAC列表的某个地址,若在列表中则中断发送,实现用户隔离。
    对于大中型企业和金融机构,网络安全性是首选的至关重要问题。在使用IEEE 802.1x认证机制的基础上,为了更好地解决远程办公用户安全访问公司内部网络信息的要求,AboveCable建议利用现有的VPN设施,进一步完善网络的安全性能。

    WIFI的安全性和措施

    1、WIFI的概念及应用
    WiFi(Wireless Fidelity)又称IEEE802.11b标准,是一种可以将终端(电脑、PDA和手机)无线方式互连的技术。用于改善无线网路之间互通性。WiFi三个标准:较少使用的802.11a、低速的802.11b和高速的802.11g。WiFi工作模式:AD-HOC、无线接入点AP、点对多点路由P to MP、无线客户端AP Client和无线转发器Repeater。

    WiFi支持智能手机,平板电脑和新型相机等。将有线网络信号转成无线信号,使用无线路由器供支持其技术的相关电脑、手机、平板等接收上网节省流量费。WiFi信号也需要ADSL、宽带、无线路由器等,WiFi Phone的使用,如查询或转发信息、下载、看新闻、拨VOIP电话(语音及视频)、收发邮件、实时定位、游戏等,很多机构都提供免费服务的WiFi。

    2、WiFi特点及组成
    WiFi的特点可从八个方面体现:带宽、信号、功耗、便捷、节省、安全、融网、个人服务、移动特性。IEEE启动项目计划将802.11标准数据速率提高到千兆或几千兆,并通过802.11n标准将数据速率提高,以适应不同的功能和设备,通过802.11s标准将这些高端结点连接,形成类似互联网的具有冗余能力的WiFi网络。

    WIFI由AP和无线网卡组成无线网络,如图所示。一般架设无线网络的基本配备就是无线网卡及一个AP,便能以无线的模式配合既有的有线架构来分享网络资源,架设费用和复杂程序远远低于传统的有线网络。如果只是几台电脑的对等网,也可不用AP,只需要每台电脑配备无线网卡。AP可作为“无线访问结点”或“桥接器”。主要当作传统的有线局域网络与无线局域网络之间的桥梁,因此任何一台装有无线网卡的PC均可透过AP去分享有线局域网络甚至广域网络的资源,其工作原理相当于一个内置无线发射器的HUB或者是路由,而无线网卡则是负责接收由AP所发射信号的CLIENT端设备。有了AP就像有线网络的Hub,无线工作站可快速与网络相连.特别对宽带使用,WiFi更显优势,有线宽带到户后,连接到一个AP,然后在电脑中安装一个无线网卡即可。若机构或家庭有AP,用户获得授权后,就可以共享方式上网。
    在这里插入图片描述
    3、WiFi的认证种类
    WiFi联盟所公布的认证种类包括:
    1)WPA/WPA2:WPA/WPA2是基于IEEE802.11a、802.11b、802.11g的单模、双模或双频的产品所建立的测试程序。内容包含通讯协定的验证、无线网络安全性机制的验证,以及网络传输表现与相容性测试。

    2)WMM(WIFI MultiMedia):当影音多媒体透过无线网络传递时,验证其带宽保证的机制正常运作在不同的无线网络装置及不同的安全性设定上是WMM测试目的。

    3)WMM Power Save:在影音多媒体透过无线网络的传递时,透过管理无线网络装置的待命时间延长电池寿命且不影响其功能性,可透过WMM Power Save测试验证。

    4)WPS(WIFI Protected Setup):可让消费者透过更简单的方式设定无线网络装置,并保证一定的安全性。当前WPS允许透过Pin Input Config(PIN)、Push Button Config(PBC)、USB Flash Drive Config(UFD)、Near Field Communication和 Contactless Token Config(NFC)的方式设定无线网络装置。

    5)ASD(Application Specific Device):是针对除了无线网络存取点(AP)及站台之外有特殊应用的无线网络装置,如DVD播放器、投影机、打印机等。

    6)CWG(Converged Wireless Group):主要是针对WIFI mobile converged devices 的RF 部分测量的测试程序。

    4、增强WiFi的安全措施
    无线路由器密码破解的速度取决于软件和硬件,只要注意在密码设置时尽量复杂些,即可增强安全性。此外,采用以下几种设置方法。
    1)采用WPA/WPA2加密方式,不用有缺陷加密,这是最常用的加密方式。

    2)不用初始口令和密码,用长且复杂密码并定期更换,不用易猜密码。

    3)无线路由后台管理默认的用户名和密码一定尽快更改并定期更换。

    4)禁用WPS( 保护设置)功能。现有的WPS功能存在漏洞,使路由器的接入密码和后台管理密码有可能暴露。

    5)启用MAC地址过滤功能,绑定常用设备。

    6)关闭远程管理端口和路由器的DHCP功能,启用固定IP地址,不要让路由器自动分配IP地址。

    7)注意固件升级.及时修补漏洞升级或换成更安全的无线路由器。

    8)不管在手机端还是电脑端都应安装病毒检测安全软件。对于黑客常用的钓鱼网站等攻击手法,安全软件可以及时拦截提醒。

    展开全文
  • 硬件安全技术-硬件安全综述一

    万次阅读 2020-05-26 00:00:05
    硬件安全技术系列课程详细介绍硬件安全相关的攻击技术和抗攻击设计技术,包括芯片的安全架构设计和安全认证。 硬件安全是什么? 传统意义上的硬件安全是指密码芯片安全,智能卡、可信计算等多是安全芯片的独立形态...

    在这里插入图片描述
    硬件安全技术系列课程详细介绍硬件安全相关的攻击技术和抗攻击设计技术,包括芯片的安全架构设计和安全认证。

    硬件安全是什么?

    在这里插入图片描述
    传统意义上的硬件安全是指密码芯片安全,智能卡、可信计算等多是安全芯片的独立形态。这类的芯片架构比较类似,一般包括低功耗的MCU、BootROM、NVM还包括密码运算的单元,接口电路等等。整个芯片的核心功能就是密钥的存储,安全密码运算。一般功能比较单一,不能介入互联网。所以密码芯片是一种边界比较清楚的黑盒系统,作为一个可信组件置入计算机系统中,用于保护密钥、进行身份认证等。传统的硬件安全技术也是围绕密码芯片安全来展开的,包括侧信道,故障注入,探针等物理攻击的技术,也包括生命周期管理,供应链安全。密码芯片要通过行业的安全认证才能上市销售。

    智联时代

    在这里插入图片描述

    在这里插入图片描述
    硬件安全在安全系统的角色是什么?任何一个系统最底层都是硬件层,系统信任根都是根植该层。可以应用密码技术和软件技术构建从硬件根到软件的信任链。所以现在的硬件安全研究是超越了传统独立密码芯片的范畴。所以需要考虑在一个更复杂更开放的系统中,硬件安全研究能做什么。传统的硬件安全在于保护密钥,现在需要除了保护密钥,还需要保护软件。
    在这里插入图片描述
    在这里插入图片描述

    全生命周期安全设计

    在这里插入图片描述

    硬件安全技术

    在这里插入图片描述
    面向软件安全的硬件设计技术相对其他三个方面目前比较新颖。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    公钥密码算法

    在这里插入图片描述
    椭圆加密算法(ECC)是一种公钥加密体制,最初由Koblitz和Miller两人于1985年提出,其数学基础是利用椭圆曲线上的有理点构成Abel加法群上椭圆离散对数的计算困难性。公钥密码体制根据其所依据的难题一般分为三类:大素数分解问题类、离散对数问题类、椭圆曲线类。有时也把椭圆曲线类归为离散对数类。
    基于身份的加密IBE(Identity Based Encryption),在中国叫做IBC(Identity-Based Cryptograph)即基于身份的密码技术,已经通过中国国家密码管理局的认证并授权为SM9算法(商密9号算法)。
    全同态加密(Full Homomorphic Encryption,FHE)

    后量子密码学 基于格 (RLWE) 问题的密钥交换协议
    美国国家标准技术研究所(NIST)新一代公钥密码算法标准征集 csrc.nist.gov/Projects/Post-Quantum-Cryptography

    主要内容

    安全设计的内在挑战

    在这里插入图片描述

    在这里插入图片描述

    纽创信安 https://www.opsefy.com/
    深圳市纽创信安科技开发有限公司(Open Security Research Inc.,OSR),成立于2014年,总部在深圳,在北京设有研发中心。是一家专注于安全攻防技术的国家高新技术企业,为客户提供高安全IP和攻击测试服务。纽创信安以领先的硬件安全攻防技术和创新的硬件安全方法学,致力于把金融级别的安全攻击与防御技术自动化、智能化、产品化、可视化,形成开放的方法学,为万物智联的各垂直行业做安全赋能,并致力于成为新时代安全技术的领跑者。OSR产品和服务涵盖硬件安全检测设备、安全算法加速、硬件安全解决方案和安全咨询服务,典型客户与合作伙伴包括国家电网、南方电网、泰尔实验室、汇顶、泰凌微电子、得一微电子、云天励飞、C-Sky、Synopsys等。
    纽创信安CEO樊俊锋博士毕业于比利时鲁汶大学,师从比利时Ingrid Verbauwhede院士
    https://space.bilibili.com/556358812

    在这里插入图片描述

    展开全文
  • 信息安全技术(俞承杭)期末复习

    千次阅读 2021-01-15 14:13:08
    信息技术主要分为感测与识别技术、信息传递技术、信息处理与再生技术、信息的施用技术等四大类 信息系统是指基于计算机技术和网络通信技术的系统,是人、规程、数据库、硬件和软件等各种设备、工具的有机集合 在信息...

    第一章 信息安全概述

    1. 对于信息的功能特征,它的基本功能在于维持和强化世界的有序性动态性
    2. 对于信息的功能特征, 它的社会功能表现为维系社会的生存、 促进人类文明的进步和自身的发展
    3. 信息技术主要分为感测与识别技术、信息传递技术、信息处理与再生技术、信息的施用技术等四大类
    4. 信息系统是指基于计算机技术和网络通信技术的系统,是人、规程、数据库、硬件和软件等各种设备、工具的有机集合
    5. 在信息安全领域,重点关注的是与信息处理生活周期相关的各个环节
    6. .信息化社会发展三要素是物质、能源和信息
    7. 信息安全的基本目标应该是保护信息的机密性、完整性、可用性、可控性和不可抵赖性
    8. 机密性指保证信息不被非授权访问,即使非授权用户得到信息也无法知晓信息的内容,因
      而不能使用。
    9. 完整性指维护信息的一致性,即在信息生成、传输、存储和使用过程中不应发生人为或非
      人为的非授权篡改。
    10. 可用性指授权用户在需要时能不受其他因素的影响,方便地使用所需信息。这一目标是对
      信息系统的总体可靠性要求。
      11. 可控性指信息在整个生命周期内都可由合法拥有者加以安全的控制。
    11. 不可抵赖性指保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为。
    12. PDRR 模型,即“信息保障” 模型,作为信息安全的目标,是由信息的保护、信息使用中的检测、信息受影响或攻击时的响应和受损后的恢复组成的。
    13. 当前信息安全的整体解决方案是 PDRR 模型和安全管理的整合应用

    名词解释

    信息安全

    指信息在整个生命周期中需要保持机密性,完整性和可用性,即CIA特性。也包括了保证信息在网络环境中的安全性

    网络安全

    指的是通过各种技术或设备,保证网络环境的持续可靠安全的运行,为信息安全提供平台的保证,属于信息安全的一部分

    简答题

    请简述信息安全的“CIA”特性

    机密性:指保证信息不被非授权访问,即使非授权用户得到信息也无法知晓信息的内容,因而不能使用
    完整性:指维护信息的一致性,即在信息生成、传输、存储和使用过程中不应发生人为或非人为的非授权篡改。
    可用性:指授权用户在需要时能不受其他因素的影响,方便地使用所需信息。这一目标是对信息系统的总体可靠性要求。

    什么是PDRR模型?请说明它在信息安全整体解决方案中的作用

    PDRR模型是保护(Protect)、检测(Detect)、响应(React)及恢复(RestorE.的有机结合,称之为PDRR模型。PDRR模型把信息的安全保护作为基础,将保护视为活动过程,要用检测手段来发现安全漏洞,及时更改、同时采用应急响应措施对付各种入侵;在系统被入侵后,要采取响应的措施将系统恢复到正常状态,这样使信息的安全得到全方位的保障。该模型强调的是自动故障恢复能力。

    第二章 攻击信息安全的行为分析

    1. 漏洞是指硬件、软件或策略上存在的安全缺陷,从而使得攻击者能够在未授权的情况下访问、控制系统
    2. 典型的拒绝服务攻击有资源耗尽和资源过载两种形式
    3. 扫描是采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查, 利用各种工具在
      攻击目标的 IP 地址或地址段的主机上寻找漏洞
    4. 零日攻击就是指漏洞信息公布后、还没有对应的安全补丁就出现相应的攻击手段
    5. 一个开放的网络端口就是一条与计算机进行通信的信道
    6. 互联网的“无序、无界和匿名” 三大基本特征决定了网络与信息的不安全
    7. 计算机网络系统所面临的威胁大体可分为对网络中信息的威胁和针对网络中设备**的威胁
    8. 网络攻击的途径有针对端口攻击,针对服务攻击,针对第三方软件攻击,DoS 攻击,针对系统攻击,口令攻击,欺骗等
    9. 第一层攻击基于应用层的操作,这些攻击的目的只是为了干扰目标的正常工作
    10. 第二层攻击指本地用户获得不应获得的文件(或目录)读权限
    11. 第三层攻击指的是使用户获得不应获得的文件(或目录)写权限
    12. 第四层攻击主要指外部用户获得访问内部文件的权利
    13. 第五层攻击指非授权用户获得特权文件的写权限
    14. 第六层攻击指非授权用户获得系统管理员的权限或根权限

    名词解释

    缓冲区溢出攻击

    向缓冲区写入超过缓冲区长度的内容,造成缓冲区溢出,破坏程序的堆栈,使程序转而执行其他的指令,达到攻击的目的。

    社会工程学

    是一种通过受害者心理弱点、本能反应、好奇心、信任、贪婪等心理缺陷进行诸如欺骗、伤害等危害手段,获得自身利益的手法

    简答题

    网络安全威胁有哪些表现形式?

    ①伪装 ②非法连接 ③非授权访问 ④拒绝服务 ⑤抵赖 ⑥信息泄露 ⑦业务流分析 ⑧改动信息流 ⑨篡改或破坏数据 ⑩推断或演绎信息 ⑪非法篡改程序

    网络攻击的途径有哪些?

    ①针对端口攻击 ②针对服务攻击 ③针对第三方软件攻击 ④DoS攻击 ⑤针对系统攻击 ⑥口令攻击⑦欺骗

    第三章 信息安全体系结构

    1. 系统安全与功能实现的方便性是矛盾的对立。必须牺牲方便性求得安全,我们必须在这两者之间找出
      平衡
    2. 现实系统的安全一般要求是根据安全需求,建立安全模型,使信息安全风险被控制在可接受的最小限度内,并渐近于零风险
    3. 信息安全的最终任务是保护信息资源被合法用户安全使用,并禁止非法用户、入侵者、攻击者和黑客非法偷盗、使用信息资源
    4. 安全机制是指用来保护系统免受侦听、阻止安全攻击及恢复系统的机制
    5. 安全服务就是加强数据处理系统和信息传输的安全性的一类服务,其目的在于利用一种或多
      种安全机制阻止安全攻击
    6. 访问控制策略的目的是保证对资源访问加以限制的策略的机制
    7. 完整的信息系统安全体系框架由技术体系、组织体系和管理体系共同构建。
    8. 组织机构体系是信息系统安全的组织保障系统,由机构、岗位和人事三个模块构成一个体系。
    9. 信息系统安全的管理体系由法律管理、 风险评估、制度管理和培训管理四个部分组成。
    10. 安全防范技术体系划分为物理层安全、系统层安全、网络层安全、应用层安全和管理层安全等五个层次
    11. 信息安全等级保护与分级认证主要包含产品认证、人员认证和服务、系统认证四大类。
    12. 对信息系统的安全提供技术保障的专业岗位人员的认证称为注册信息安全专业人员资质认证

    名词解释

    安全策略

    指有关管理、保护和发布敏感信息的法律、规定和实施细则

    风险评估

    风险评估就是量化测评某一事件或事务带来的影响或损失的可能程度

    简答题

    什么是安全机制?什么是安全服务?请简述两者之间的关系

    安全机制:指用来保护系统免受侦听、阻止安全攻击及恢复系统的机制,可分为特定的安全机制和通过的安全机制。
    安全服务确保该系统或数据传送具有足够的安全性。安全服务是功能性的,具有可操作性。
    安全机制是服务得到实现的保证。

    解释五大安全服务

    ①鉴别服务:这种服务提供对通信中的对等实体和数据来源的鉴别
    ②访问控制:这种服务提供保护以对抗开发系统互连可访问资源的非授权使用
    ③数据完整性:可以针对有连接或无连接的条件下对数据进行完整性检验。在连接状态下,当数据遭到任何篡改、插入、删除时还可进行补救或回复
    ④数据保密性:这种服务对数据提供保护使之不被非授权的泄露
    ⑤抗抵赖:对发送者来说,数据发送将被证据保留,并将这一证据提供给接受者,以此证明发送者的发送行为。同样,接受者接收数据后将产生交付证据并送回原发送者,接受者不能否认收到过这些数据。

    第四章 物理安全技术

    1. 信息系统的物理安全涉及整个系统的配套部件、设备和设施的安全性能、所处的环境安全以及整个系统可靠运行等三个方面,是信息系统安全运行的基本保障。
    2. 硬件设备的安全性能直接决定了信息系统的保密性、完整性、可用性。
    3. 信息系统所处物理环境的优劣直接影响了信息系统的可靠性
    4. 物理安全威胁总是要利用信息系统物理资产的脆弱性造成危害。
    5. 设备安全指的是为保证信息系统的安全可靠运行,降低或阻止人为或自然因素对硬件设备带来的风险。
    6. 环境安全指的是为保证信息系统安全可靠运行所提供的安全运行环境,使信息系统得到物理上的严密保护,从而降低或避免各种风险
    7. 系统物理安全指的是为保证信息系统的安全可靠运行,降低或阻止人为或自然因素从物理层对信息系统的保密性、可用性、完整性带来的安全威胁

    名词解释

    物理安全

    又称实体安全,是为了保证信息系统安全可靠运行,确保信息系统在对信息进行采集、处理、传输、存储过程中,不致受到人为或自然因素的危害而使信息丢失、泄露或破坏,对计算机设备、设施、环境人员、系统等采取适应的安全措施

    简答题

    简述物理安全在计算机信息系统安全中的意义

    信息系统的物理安全涉及到整个系统的配套部件、设备和设施的安全性能、所处的环境安全以及整个系统可靠运行等方面,是信息系统安全运行的基本保障。物理安全在整个计算机网络信息系统安全体系中占有重要地位,也是其他安全措施得以实施并发挥正常作用的基础和前提条件。

    简述物理安全主要包括哪些方面的内容

    ①机房环境安全 ②通信线路安全 ③设备安全 ④电源安全

    第五章 灾难备份与恢复技术

    1. 系统防护技术是网络安全的课题,而系统保护技术主要是指数据备份和恢复技术
    2. 常用的备份方式有全备份、增量备份和差分备份
    3. 灾难恢复是一项既包括技术,也包括业务、管理的周密的系统工程
    4. 全备份的是指对整个系统进行包括系统和数据的完全备份.
    5. 增量备份是指每次备份数据只是相当于上一次备份后增加的和修改过的数据
    6. 差分备份就是每次备份的数据时相对于上次全备份之后新增的和修改过的数据
    7. 常用的存储优化技术有直接连接存储DAS、网络连接存储 NAS和存储区域存储SAN
    8. 业务持续计划是一套用来降低组织的重要营运功能遭受未料的中断风险的作业程序
    9. 灾难备份方案可以分为七个等级,其中的第 5 级是实时数据备份

    名词解释

    灾难备份

    是指利用技术、管理手段以及相关资源,确保已有的关键数据和关键业务在灾难发生后在确定的时间内可以恢复和继续运营的过程

    灾难恢复

    是指将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的活动和流程

    简答题

    请简要说明灾难备份三要素的含义

    系统中的部件、数据都具有冗余性,即一个系统发生故障,另一系统能够保持数据传送的顺畅。
    具有长距离性,因为灾害总是在一定范围内发生,因而保持足够长的距离才能保证数据不会被同一个灾害全部破坏。
    灾难备份系统追求全方位的数据复制

    第六章 操作系统安全技术

    1. 访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。
    2. 访问控制的资源可以是信息资源、处理资源、通信资源或者物理资源
    3. 访问控制的访问方式可以是获取信息、修改信息或者完成某种功能,一般情况可以理解为读、写或者执行
    4. 访问控制的目的是为了限制访问主体对访问客体的访问权限,从而使计算机系统在合法范围内使用。 这里所指的主体一般为用户,进程和服务,客体一般为文件(夹)资源
    5. 访问控制一般包括自主访问控制、 强制访问控制和基于角色的访问控制等三种类型。
    6. 自主访问控制基于对主体或主体所属的主体组的识别来限制对客体的访问,这种控制是自主的,即完全由客体的拥有者授予或取消
    7. 系统中的访问控制一般由访问控制矩阵来表示
    8. 访问控制矩阵中的一行表示一个主体的所有权限,也称访问能力表
    9. 访问控制矩阵中的一列则是关于一个客体的所有权限,也称访问控制表
    10. 访问控制矩阵中的元素是该元素所在行对应的主体对该元素所在列对应的客体的访问权限
    11. 可以改变文件(夹)访问控制列表的命令是CACLS
    12. 审计系统是追踪、恢复的直接依据,甚至是司法依据。Windows中的审计事件可以通过审计查阅
    13. Windows 的审计日志由一系列的事件记录组成。 每一个事件记录又可分为头、事件描述和可选的附加数据项三个功能部分

    名词解释

    访问控制

    访问控制是建立在身份认证基础上的,通过限制对关键资源的访问,防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏。

    访问控制表

    访问控制从客体(列)出发,表达矩阵某一列的信息,这就是访问控制表。它可以对某一特定资源指定任意一个用户的访问权限,还可以将有相同权限的用户分组,并授予组的访问权

    简答题

    访问控制有几种常用的实现方法?

    ①访问控制矩阵 ②访问能力表 ③访问控制表 ④授权关系表

    第七章 计算机病毒与木马防范技术

    1. 计算机病毒防范技术的工作原理主要有签名扫描和启发式扫描两种。
    2. 网络反病毒技术包括预防病毒、检测病毒和杀毒
    3. 计算机病毒的基本特性有可执行性、传染性 、潜伏性、可触发性 、针对性和隐秘性
    4. 计算机病毒的完整工作过程包括传染源、传染媒介、病毒激活、病毒触发、病毒表现和传染等过程
    5. 计算机病毒的传染是以计算机的运行及磁盘读写为基础。
    6. 触发模块的目的是调节病毒的攻击性和潜伏性之间的平衡。
    7. 木马由服务端程序和控制程序组成,并通过木马配置程序完成参数配置。
    8. 与简单的病毒和蠕虫、通常意义的木马不同,Botnet 在执行恶意行为的时候可以充当一个攻击平台
      的角色。

    名词解释

    蠕虫病毒

    一种使用自行传播恶意代码的恶意软件,它可以通过网络连接,自动将其自身从一台计算机分到另一台计算机

    计算机病毒

    编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

    简答题

    请简述计算机病毒的工作过程

    ①传染源:病毒总是依附于某些存储价质, 例如软盘、硬盘等构成传染源。
    ②传染媒介:病毒传染的媒介由工作的环境来定, 可能是计算机网, 也可能是可移动的存储介质, 例如软磁盘等。
    ③病毒激活:是指将病毒装入内存, 并设置触发条件, 一旦触发条件成熟, 病毒就开始作用,自我复制到传染对象中, 进行各种破坏活动等。
    ④病毒触发:计算机病毒一旦被激活, 立刻就发生作用, 触发的条件是多样化的, 可以是内部时钟, 系统的日期, 用户 标识符,也可能是系统一次通信等等。
    ⑤病毒表现:表现是病毒的主要目的之一, 有时在屏幕显示出来, 有时则表现为破坏系统数据。可以这样说, 凡是软件技术能够触发到的地方, 都在其表现范围内。
    ⑥传染:病毒的传染是病毒性能的一个重要标志。在传染环节中, 病毒复制一个自身副本到传染对象中去。

    第八章 系统风险评估与脆弱性分析

    1. CVE 的中文名称为公共漏洞和暴露
    2. 主机扫描器又称本地扫描器,它与待检查系统运行于同一结点,执行对自身的检查。
    3. 主机扫描器的主要功能为分析各种系统文件内容,查找可能存在的对系统安全造成威胁的漏洞或 配置错误
    4. 网络扫描器,一般和待检查系统运行于不同的节点上,通过网络远程探测目标结点, 检查安全漏洞。
    5. 扫描器由以下几个模块组成:用户界面、扫描引擎、扫描方法集、漏洞数据库、 扫描输出报告等。
    6. 风险综合分析系统在基础数据基础上,定量综合分析系统的风险
    7. 风险评估的要素包括资产及价值、威胁、脆弱性

    名词解释

    漏洞

    指硬件、软件或策略上存在的安全缺陷,从而使得攻击者能够在未授权的情况下访问、控制系统

    简答题

    请简述风险评估的目的

    ①了解组织的安全现状
    ②分析组织的安全需求
    ③建立信息安全管理体系的要求
    ④制订安全策略和实施安防措施的依据
    ⑤组织实现信息安全的必要的、重要的步骤

    请说明漏洞扫描的作用

    漏洞扫描的作用是检测Internet上的计算机当前是否是活动的、提供了什么样的服务,以及更多的相关信息。比如标识主机上运行的TCP/UDP服务系统的结构,经由Internet可以到达主机的详细IP地址信息,操作系统的类型等。

    第九章 加密与认证技术

    1. 数据安全采用现代密码技术对数据进行保护,是主动的安全技术,如数据保密、数据完整性、身份认证等技术
    2. 密码学是研究数据的信息加密和解密转变的学科, 涵盖数学、 计算机科学、 电子与通信学科。
    3. 加密技术的基本思想就是伪装信息,使非法接入者无法理解信息的真正含义。
    4. 在有5个用户的单位中,若采用对称密钥密码体制,为保证加密的可靠性,必须采用互不相同的密码用作信息的加解密,这样的系统至少需要10个密钥。
    5. 如果一个登录处理系统允许一个特定的用户识别码,通过该识别码可以绕过通常的口令检查,这种安
      全威胁称为陷门或非授权访问
    6. 在电子政务建设中,网络是基础,安全是关键,应用是目的
    7. 特洛伊木马攻击的威胁类型属于植入威胁
    8. 如果发送方使用的加密密钥和接收方使用的解密密钥不相同,从其中一个密钥难以推出另一个密钥,这样的系统称为公钥加密系统
    9. 用户A通过计算机网络向用户B发消息,表示自己同意签订某个合同,随后用户A反悔,不承认自己发过该条消息。为了防止这种情况,应采用:数字签名技术
    10. 有一种原则是对信息进行均衡、全面的防护,提高整个系统的“安全最低点”的安全性能,该原则称为木桶原则

    名词解释

    数字签名

    数字签名是笔迹签名的模拟,是一种包括防止源点或终点否认的认证技术

    身份认证

    指用户必须提供他是谁的证明,这种证实客户的真实身份与其所声称的身份是否相符的过程是为了限制非法用户访问网络资源,它是其他安全机制的基础。

    简答题

    简述对称密钥密码体系的概念与优缺点

    对称密钥密码体制,对于大多数算法,解密算法是加密算法的逆运算,加密密钥和解密密钥相同,同属一类的加密体制。它保密强度高但开放性差,要求发送者和接收者在安全通信之前,需要有可靠的密钥信道传递密钥,而此密钥也必须妥善保管

    数字证书的原理

    数字证书采用公开密钥体制(例如RSA)。每个用户设定一仅为本人所知的私有密钥,用它进行解密和签名;同时设定一公开密钥,为一组用户所共享,用于加密和验证签名。采用数字证书,能够确认以下两点:
    ①保证信息是由签名者自己签名发送的,签名者不能否认或难以否认。
    ②保证信息自签发后到收到为止未曾做过任何修改,签发的信息是真实信息。

    第十章 防火墙技术

    1. 防火墙是位于两个(或多个)网络间,实施访问控制的一组组件的集合。
    2. 防火墙可以实现对基于地址、用户、时间、方向、流量、内容等方面的访问控制。
    3. 防火墙的体系结构有双重宿主主机体系结构、屏蔽主机体系结构和屏蔽子网体系结构等三种
    4. 网关模式不是防火墙的工作模式
    5. 根据网络防火墙的功能,要求设备最少必须具备3个网络接口
    6. 只有符合安全策略的数据流才能通过防火墙
    7. 根据数据包的 IP 地址来判断是否放行,这样的防火墙称为包过滤防火墙

    名词解释

    防火墙

    防火墙指的是隔离在本地网络与外界网络之间执行访问控制策略的一道防御系统,包括硬件和软件,目的是保护网络不被他人侵扰。防火墙可以使企业内部局域网网络与Internet之间或与其他外部网络互相隔离、限制网络互访用来保护内部网络。

    DMZ

    是一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,外网用户可方便访问DMZ的资源。

    简答题

    简述防火墙作用和基本特征

    ①限定内部用户访问特殊站点;
    ②防止未授权用户访问内部网络;
    ③允许内部网络中的用户访问外部网络的服务和资源而不泄露内部网络的数据和资源;
    ④记录通过防火墙的信息内容和活动;
    ⑤对网络攻击进行监测和报警

    防火墙三个基本特征

    ①内部网络和外部网络之间的所有网络数据流都必须经过防火墙;
    ②只有符合安全策略的数据流才能通过防火墙;
    ③防火墙自身应具有非常强的抗攻击免疫力。

    第十一章 入侵检测与防御技术

    1. 入侵检测系统一般由引擎和控制中心两部分构成。
    2. 在入侵检测系统中,控制中心主要用于显示和分析事件以及策略定制等工作。
    3. 入侵检测系统探测引擎的主要功能有:原始数据读取、数据分析、产生事件、策略匹配 、事件处理和通信等。
    4. 系统主体行为特征轮廓可分为统计性特征轮廓和基于规则描述得特征轮廓两种类型。
    5. 无用检测技术通过检测用户行为与已知入侵行为模式的相似性来检测系统中的入侵活动,是一种基于 已有知识的检测。
    6. 入侵防御系统不但能检测入侵的发生,而且能实时地中止入侵行为的发生和发展, 实时地保护系统。
    7. 入侵检测系统包含了收集信息、分析信息、给出结论和作出反应四个过程。
    8. 入侵检测系统由事件产生器、事件分析器、相映单元、和事件数据库等四个组件构成

    名词解释

    入侵检测

    通过从计算机网络完成计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象,并对此做出适当反应的过程。

    第十二章 虚拟专用网络技术

    1. 隧道协议利用附加的报头封装帧,附加的报头提供了路由信息,封装后的包所途径的公网的逻辑路径称为隧道
    2. IPSec 的传输模式只对 IP 数据包的负载进行加密或认证
    3. IPSec 的隧道模式对IP包进行加密或认证。
    4. SA(security association 安全关联)是指安全服务与它服务的载体之间的一个“连接”
    5. 一个 VPN 系统由 VPN 服务器、传输介质和VPN 客户端三部分组成
    6. VPN的基本功能包括加密数据、信息验证和身份识别、提供访问控制
    7. SSL协议、L2TP、PPTP工作在数据链路层
    8. IPSec中的AH协议完成认证功能
    9. IPSec中的ESP协议完成加密功能
    10. IPSec中的IKE协议完成密钥交换功能
    11. 企业的远程用户要使用企业内部网络资源,应该使用accessVPN
    12. 企业的总部与分支机构要实现业务上的联网,应该使用哪种InternetVPN

    名词解释

    VPN

    指的是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商),在公用网络中建立虚拟的专用数据通信网络技术;被定义为通过一个公用网络建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道,他不是真的专用网络,但是能够实现专用网络的功能

    隧道

    是一种利用公共设施,在一个网络之中的“网络”上传输数据的方法,被传输的数据可以是另一种协议的数据帧

    展开全文
  • 2020年3月6日,国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第1号),全国信息安全标准化技术委员会归口的GB/T 35273-2020《信息安全技术 个人信息安全规范》正式发布,并...

    近年来,随着互联网应用的普及和大数据产业的发展,确实给生活带来很多便利,与此同时,个人信息安全也面临着严重威胁,个人信息被非法收集、泄露与滥用等。

    2020年3月6日,国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第1号),全国信息安全标准化技术委员会归口的GB/T 35273-2020《信息安全技术 个人信息安全规范》正式发布,并将于2020年10月1日实施。

    21.png

    本标准针对个人信息面临的安全问题,根据《中华人民共和国网络安全法》等相关法律,严格规范个人信息在收集、存储、使用、共享、转让与公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄露等乱象,最大程度的保护个人的合法权益和社会公众利益。

    本标准适用于规范各类组织的个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。

    本标准按照GB/T1.1—2009给出的规则起草,代替GB/T35273—2017《信息安全技术 个人信息安全规范》。相比GB/T35273—2017,此标准除了授权同意、账户注销、实现个人信息主体自主意愿的方法等内容的修改外,还新增了多项业务功能的自主选择、用户画像、个性化展示、个人信息汇聚融合、个人信息安全工程、第三方接入管理等相关要求。主要变化如下:

    1、删除了原有的“不得收集法律法规明令禁止收集的个人信息”的要求(见5.1);。

    2、选择同意原则下,新增要求“多项业务功能的自主选择”(见5.3)

    当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不应违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求”。

    3、新增“关于收集人生物识别信息的要求”:

    《规范》规定在收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。

    而对于生物识别信息的存储,《规范》也提出了具体的解决措施。

    1)个人生物识别信息要与个人身份信息分开存储;

    2)原则上不应存储原始个人生物识别信息,可采取的措施包括但不限于:仅存储个人生别信息的摘要信息;在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;在使用面部识别特征、 指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。

    4、在目的明确原则下,新增要求“如产品或服务仅提供一项收集、使用个人信息的业务功能时,个人信息控制者可通过隐私政策的形式,实现向个人信息主体的告知;产品或服务提供多项收集、使用个人信息的业务功能的,除隐私政策外,个人信息控制者宜在实际开始收集特定个人信息时,向个人信息主体提供收集、使用该个人信息的目的、方式和范围,以便个人信息主体在作出具体的授权同意前,能充分考虑对其的具体影响”。

    5、在选择同意原则下,强调了“隐私政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不应将其视为个人信息主体要求签订的合同”。

    6、确保安全原则下,新增的要求较多,分别是:

    1)“将个人生物识别信息的原始信息和摘要分开存储”的技术要求”(见5.4)。

    2)在信息系统自动决策机制的使用中定期(至少每年一次)开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施、向个人信息主体提供针对自动决策结果的申诉渠道,并对自动决策结果进行人工复核。

    3)明确组织应为个人信息保护负责人和个人信息保护工作机构提供必要的资源,保障其独立履行职责。如采用公布投诉、举报方式等信息并及时受理投诉举报、与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况等。

    4)要求组织记录的内容包括:所涉及个人信息的类型、数量、来源(例如从个人信息主体直接收集或通过间接获取方式获得);根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况。

    7、在最少够用的原则下,新增的要求较多,分别是:

    1)要求了用户个人画像的特征描述不能为“淫秽、色情、赌博、迷信、恐怖、暴力”;业务运营或对外业务合作中使用用户画像不能侵害保护公民、法人和其他组织的合法权益,不能危害国家安全、荣誉和利益。

    2)除为达到主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。

    3)在向主体推送新闻信息服务的过程中使用个性化展示时应:显著区分个性化推送服务,如标明“个性化展示”或“定推”等字样,为主体提供简单直观的退出或关闭个性化展示模式的选项。

    4)电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项。

    5)在向主体提供业务功能的过程中,如使用个性化展示时,建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关程度的能力。

    6)当个人信息主体选择退出个性化展示模式时,应向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。

    8、在公开透明原则的原则下,新增要求应向主体提供查询方法,能让主体知晓持有的个人信息的类型;上述个人信息的来源、所用于的目的;已经获得上述个人信息的第三方身份或类型;宜直接在产品或服务提供的功能界面中(例如应用程序可设置专门的选项、功能、界面等)设置相应的机制,便于个人信息主体在线行使其访问、更正、删除、撤回授权同意、注销账户等权利。

    9、新增的其他要求包括:

    1)应承担第三方接入管理

    2)收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。

    关于企业的合规说明

    (一) 关于个人信息优化

    1. 建议企业根据现有业务中涉及个人生物识别信息收集的项目,在启动个人生物识别信息采集功能之前,设置个人生物识别信息采集声明,向用户告知采集的目的、方式和范围,并取得用户的明示同意;如业务中需要重复或多次采集个人生物识别信息的,应每次单独向用户进行告知,并取得用户的明示同意;

    2. 建议企业在实践中可采取如下相应措施,确保原则上不存储原始个人生物识别信息:仅存储个人生物识别信息的摘要信息、在采集终端直接使用个人生物识别信息实现身份识别、认证等功能、在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像等。

    3. 建议企业在实践中确保原则上不共享、转让个人生物识别信息,根据现有业务中涉及个人生物识别信息,如存在确需共享、转让个人生物识别信息的项目,在进行个人生物识别信息共享、转让之前,应事先对个人信息安全影响进行评估,设置个人生物识别信息共享或转让声明,向用户告知采集或共享、转让的目的、方式和范围,并取得用户的明示同意;如业务中需要重复或多次共享、转让个人生物识别信息的,应每次单独向用户进行告知,并取得用户的明示同意。

    (二) 关于用户对个人信息的管理能力

    1. 建议企业通过不同形式向用户告知存在需收集个人信息的业务功能及需要收集的个人信息类型和用户拒绝提供将造成的影响,确保能够获取用户的授权同意,保障用户的自主意愿和选择权;同时保障关闭或重启相应业务功能的便捷性;

    2. 设置简便易操作的注销账户方法,不设置不合理的条件或提出额外要求增加用户的义务,在承诺时限内及时响应用户的注销请求并完成核查和处理,确保用户注销后的个人信息及时删除或做匿名化处理;

    3. 若注销某个通用账户,会导致其他产品或服务的基本功能无法实现或者质量下降的,应向用户进行详细说明;

    4. 在个人信息收集环节对法律法规规定需要留存的数据进行筛查,以便在用户注销账户并对完成个人信息的删除或匿名化处理之后,对法律规定需要留存的数据妥善保管,并确保其不被再次用于日常业务活动。

    (三) 关于个人信息汇聚融合

    建议企业通过不同形式告知用户关于汇聚融合不同业务的个人信息的目的、方式和范围,在超出原有授权同意范围使用个人信息时,再次征得用户的明示同意,并根据要求开展个人信息安全影响评估以及采取个人信息保护措施。

    (四) 关于个人信息商业化

    1. 建议企业在运营或对外业务合作中对用户画像的使用进行严格的核查和限制,如核查业务中是否存在使用大数据分析技术等对个人信息进行分析,以形成特征标签、用户画像的情形。使用用户画像时应消除明确身份指向性,避免用户被精确定位;

    2. 建议企业在用户提供个性化展示功能与内容时对相应功能和内容进行显著标识;同时保障用户退出或关闭个性化展示服务的权利;建立删除或匿名化定向推送活动中基于个人信息的选项。

    (五) 关于第三方接入管理

    建议企业对自身产品或服务中的第三方产品或服务进行核查,及时删除或停止接入不必要或存在隐秘收集或滥用个人信息以及存在信息安全隐患的第三方产品或服务;若必须接入第三方产品或服务,应当向用户明确标识该产品或服务由第三方提供并详细披露第三方个人信息处理活动的具体情况。

     

    展开全文
  • 网络安全技术复习资料

    千次阅读 2019-06-28 12:30:06
    一、填空题: 网络安全的目标是在计算机网络的信息传输、存储与处理的整个... TCP/IP网络安全管理体系结构,包括 分层安全管理 、 安全服务与机制 和系统安全管理3个方面。 入侵检测的一般步骤有 信息收集 、数据...
  • 安全技术岗位的高薪有目共睹,很多企业都愿意不惜成本地聘请专业人才。 无论你正在找工作、期望加薪或寻求更大的发展空间,下面所提到的这些网络安全岗位也许可以成为你的职业发展方向。 注:每个公司的岗位名称...
  • 涉及七大类关键技术,分别为数据集成和边缘处理技术、IaaS 技术、平台使能技术、数据管理技术、应用开发和微服务技术、工业数据建模与分析技术、安全技术。 这七项技术散见于以前的文章之中,本篇主要谈谈安全...
  • 终端安全技术

    千次阅读 2019-01-15 18:18:25
    终端安全概述 什么是终端安全 终端安全,是采用立体防御理念形成体系化产品与解决方案。它体现了立体架构和主动防御思想,并通过PDCA模型(P规划方案、D实施维护、C检查评估、A处理整改)来持续提升企业终端的安全...
  • 学习信息安全技术心得

    千次阅读 2019-04-21 21:57:56
    通过学习信息安全,我了解到信息化是社会发展的趋势。随着我国信息化的不断推进,信息技术的应用已经渗透到工作与生活的各个方面。尤其是密码学,在我们的生活中无处不在。例如银行卡,现在几乎人手一张,那么所对应...
  • 虚拟专用网络安全技术

    万次阅读 2020-03-03 14:35:16
    当不同的远程网络通过Internet连接时,网络之间直接通过私有地址进行互访只是需求之一,除此之外,还有个非常重要的需求,那就是数据安全。所以在穿越Internet的远程网络之间只实现隧道传输还不够,还必须让数据包...
  • 近年,随着信息技术的快速发展和互联网应用的普及,越来越多的组织大量收集、使用个人信息,给人们生活带来便利的同时,也出现了对个人信息的非法收集、滥用、泄露等问题,个人信息安全面临严重威胁。本标准针对个人...
  • 中国信息安全技术标准体系框架

    万次阅读 2017-07-09 10:50:29
    本文部分内容来自《中国电子...信息技术安全标准化技术委员会(CITS) 成立于1984年,在国家标准化管理委员会和信息产业部的共同领导下负责全国信息技术领域以及ISO/IEC JTC1相对应的标准化工作,是国内最大的标准化
  • 应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等;     8.1.6.2 管理制度 a) 应对安全管理活动中的各类管理内容建立安全管理制度;     b...
  • 计算机三级 信息安全技术题库——选择题1

    万次阅读 多人点赞 2018-09-10 23:54:22
    <------------纯手打内容并不能保证百分百没错字------------> 更新:考试过啦 虽然只是及格( 感觉单靠买的题库的的话 良好应该没什么...计算机四级信息安全工程师部分更新啦 四级全是选择题 直接看我的博客...
  • iOS app安全技术总结

    万次阅读 2018-02-14 09:54:33
    iOS app安全技术总结 很多开发者认为,iOS系统的封闭性使APP更加安全。事实上,根据国外某安全服务商的最新调查显示:iOS前100名的付费应用中有87%均遭黑客破解。内购破解、源代码破解、本地数据窃取等,为iOS应用...
  • 一、安全扫描技术1.1 安全扫描技术概念1、安全扫描技术指手工或使用特定的软件工具(安全扫描器),对系统脆弱性进行评估,寻找可能对系统造成损害的安全漏洞。2、安全扫描技术分为系统扫描和网络扫描两大类。 (1)...
  • 计算机三级信息安全技术

    万次阅读 多人点赞 2020-09-08 22:13:46
    2. 掌握信息安全技术的基本概念、原理、方法和技术 3. 熟练掌握计算机网络安全、系统软件安全和应用软件安全的基本知识和实践技能 4. 掌握信息安全设备的安装、配置和使用的基本方法 5. 了解信息系统安全设施部署与...
  • 8.1.1 安全物理环境 8.1.1.1 物理位置的选择 a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内;     b) 机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。   ...
  • 数据中心解决方案安全技术

    万次阅读 2016-04-14 16:00:20
    技术特色 在这种咄咄逼人的安全形势下,数据中心需要一个全方位一体化的安全部署方式。H3C数据中心安全解决方案秉承了H3C一贯...H3C数据中心安全解决方案的技术特色可用十二个字概括:三重保护、多层防御;分区规划
  • 资源名称:JGJ162-2014 建筑施工模板安全技术规范 免费下载 资源分类: 建筑工程标准规范 其他简介:JGJ162-2014 建筑施工模板安全技术规范 免费下载 【资源下载】 链接:...
  • 我们知道使用RSA加密,增强了数据的安全性,但是加密效率低,作为一个接入服务器,对接着大量的互联网用户,如果全部采用RSA加密保证数据安全,将大大地降低了服务器的处理效率,无法支持更大的用户并发量。...
  • 「信息安全技术」期末复习宝典 【整理完毕】

    万次阅读 多人点赞 2020-10-19 13:48:44
    密码与隐藏技术 1、在RSA算法中,求 C^sk mod r ,需要哪种运算 (C) A、Gcd B、乘逆算法 C、平方-乘算法 D、求素数算法 ...A、鲁棒性 B、安全性 C、自恢复性 D、不可见性 5、AES算法的密
  • 计算机安全技术(第2版)

    千次阅读 2016-04-02 09:45:32
    计算机安全技术(第2版) 主编:张同光 清华大学出版社 ISBN:9787302429654 出版日期:2016.03.01 印刷日期:2016.03.16http://www.tup.com.cn/booksCenter/book_06791501.html   (课件 PPT)计算机安全...
  • 答:机械设计本质安全技术定义是指机械的设计者,在设计阶段采取措施来消除 安全隐患的一种机械安全方法。包括在设计中排除危险部件,减少或避 免在危险区处理工作需求,提供自动反馈设备并使运动的部件处于密封 ...
  • [标准]GBT22239-2019信息安全技术网络安全等级保护基本要求 标准状态: 即将实施 替代情况: 替代GB/T 22239-2008 中标分类: 电子元器件与信息技术>>信息处理技术>>L80数据加密 ICS...
  • 2小时学会前后端接口安全技术-JWT

    千人学习 2020-02-04 20:27:20
    采用现在互联网流行的微服务架构SpringBoot+SpringCloud+JPA, 同时也使用了互联网的高并发中间件redis,ElasticSearch,RabbitMQ,MongoDB数据库,springSecurity安全框架,还会涉及到一些后期运维的相关技术如jenkins...
  • 高校安全漏洞管理流程:你必须知道的几个要素 | Web安全 2017-07-21 09:42 高校信息安全管理是当前高校信息化工作的重点和难点。经过十余年的发展,各高校都基本完成了信息化建设的“原始积累”,拥有了相当数量的...
  • https://download.csdn.net/psearch/0/10/0/2/1/GB35114+GB35114-2017
  • 网络安全技术

    千次阅读 2021-09-26 17:47:05
    5. 云计算安全技术体系框架 6. 可信云计算 二、大数据安全 1. 大数据的定义 2. 大数据的特征 3. 大数据安全威胁 4. 大数据生命周期安全 5. 大数据安全防护管理要求 6. 大数据安全防护技术 三、移动互联网...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,447,543
精华内容 579,017
关键字:

安全技术