精华内容
下载资源
问答
  • 计算机信息安全知识点

    万次阅读 2021-03-26 19:23:04
    信息安全的五基本属性 机密 可用 可控 不可否认 完整性 信息系统安全可以划分以下四层次:设备安全,数据安全(要素),内容安全,行为安全 保护、检测、响应(PDR)策略是确保信息系统和网络系统安全的基本策略 ...

    Heap Spary技术是在 shellcode 的前面加上大量的滑板指令,非常占用内存,系统开启 DEP 进行防范

    DEP 数据执行保护,数据不能执行

    ASLR 地址随机化

    信息安全的五个基本属性 机密 可用 可控 不可否认 完整性

    信息系统安全可以划分以下四个层次:设备安全,数据安全(三要素),内容安全,行为安全

    保护、检测、响应(PDR)策略是确保信息系统和网络系统安全的基本策略

    进程与cpu的通信是通过共享存储器系统、消息传递系统、管道通信完成。

    Windows有3个环境子系统POSIX、OS/2、win32

    P2DR模型:Policy(策略)、Protection(防护)、Detection(检测)、Response(响应),核心是策略

    S/MIME可为电子邮件提供数字签名和数据加密功能

    Owasp十大威胁第一为sql注入

    系统开发五个阶段:规划、分析、设计、实现和运行

    基本安全要求:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复

    应急计划三元素:事件响应、灾难恢复、业务持续性计划

    信息安全的发展大致经历了三个阶段:通信保密阶段、计算机安全阶段、信息安全保障阶段

    强制访问控制系统通过比较主体和客体的安全标签来决定一个主体是否能够访问某个客体

    根据加壳原理的不同,软件加壳技术包括压缩保护壳和加密保护壳

    计算机系统安全评估的第一个正式标准是:可信计算机评估标准 tcsec

    保护、检测、响应(PDR)、策略是确保信息系统和网络系统安全的基本策略

    2005年4月《中华人民共和国电子签名法》正式施行

    密码

    对称密码:常考的算法DES(64位)、IDE(64位)、AES(128位),其中对称密码又分为分组密码和序列密码

    DES:分组密码,数据分组长度为64位,密文分组长度也是64位,密钥长度也是64位,其中有效密钥长度为56位(这个常考),其余8位作为奇偶校验

    AES算法:分组密码,分组长度为128位

    序列密码:祖冲之算法

    对称密钥最大的缺点是密钥管理困难

    非对称密码:RSA算法(重点,要理解它是怎么加密和解密的,提示mod是求余的意思,肯定会考,出现在综合题,一般考,建议在RSA中使用1024位的n,密文中尽量少出现1,答案一般就是1024和1)

    Diffie-Hellman算法:仅限于密钥交换的用途

    还有DSA、ElGamal算法

    数字签名

    MD5算法

    MD5算法首先将任意长度的消息填充为512的倍数,然后进行处理

    消息摘要算法md5可以对任意长度的明文,产生128位的消息摘要

    SHA与md5算法最大区别在于其摘要长32bit,产生160位的消息摘要,故耗时要比md5长

    我国居民二代身份证正在使用256位的椭圆曲线密码

    电子商务系统正在使用1024位的RSA密码

    目前可用于密码破译的量子计算算法主要有Grover算法和shor

    密码攻击类型:1.惟密文攻击 2.已知明文攻击 3.选择明文攻击 4.选择密文攻击

    数字证书的内容:证书颁发机构的名称、证书本身的数字签名、证书持有者公钥、证书签名用到的Hash算法

    Vpn主要采用4项关键技术:1.隧道技术 2.加解密技术 3.密钥管理技术 4.用户与设备身份认证技术

    Vpn隧道协议主要分为第二、第三层隧道协议

    第二层隧道协议有L2F、PPTP、L2TP等

    第三层隧道协议有IPsec、GRE等

    IPsec是在网络层提供通信安全的一组协议

    在IPsec协议族中,有两个主要的协议:认证报头(AH)协议和封装安全负载(ESP)协议

    AH协议提供了身份认证和数据完整性校验功能,没有提供数据加密

    ESP协议提供了身份认证、数据完整性校验和数据加密功能(这两个协议经常考,他们的区别就是一个提供加密一个没有提供)

    SSL协议包括两个子协议:SSL记录协议和SSL握手协议

    SSL记录协议建立在可靠的传输协议之上(如TCP),为高层协议提供数据封装、压缩、加密等

    SSL握手协议建立在SSL记录协议之上,用于在实际的数据传输开始前,通信双方进行身份认证,协商加密算法,交换密钥

    考点

    不属于哈希函数应用的是数据加密

    RBAC不属于强制访问控制模型,BLP、Biba、Chinese wall属于,Chinese wall模型也属于混合策略模型

    Biba模型利用下读/上写的原则来保证数据的完整性

    Biba模型改正了BLP模型所忽略的信息完整性问题,但在一定程度上忽略了保密性

    Unix\Linux超级用户账号可以有多个,在unix系统中,只要将用户的UID和GID设置为0就可以将其变为超级用户,但并不是所有的超级用户可以很容易登录到unix系统中,这是因为unix系统使用了可插入认证模块(PAM)进行认证登录,PAM要求超级用户只能在指定的终端上访问

    在windows系统中,查看当前已经启动的服务列表的命令是net start

    可为电子邮件提供数字签名和数据加密功能的是S/MIME

    SMTP:简单邮件传输协议,它是一组用于由源地址到目的地址传送邮件的规则,由它来控制信件的中转方式。

    POP3:邮局协议的第三个版本,它是规定个人计算机如何连接到互联网的邮件服务器进行收发邮件的协议。

    SET:安全电子交易协议

    NIDS的探测器要连接的设备是交换机

    私有ip地址范围

    A:10.0.0.0~10.255.255.255即10.0.0.0/18

    B:172.16.0.0~172.31.255.255即172.16.0.0/12

    C:192.168.0.0~192.168.255.255即192.168.0.0/16

    微软公司漏洞分为四级:第一级:紧急 第二级:重要 第三级:警告 第四级:注意

    《计算机信息系统安全保护等级划分准则》将信息系统安全分为自主保护级,系统审计保护级,安全标记保护级,结构化保护级和访问验证保护级五个等级。

    访问矩阵中的每行表示一个主体,每一列则表示一个受保护的客体,而矩阵的元素则表示主体可以对客体的访问模式(考试时可能行列互换)

    RADIUS属于集中式访问控制

    电子签名法被称为“中国首部真正意义上的信息化法律”

    填空题 括号里的是空

    计算机系统安全评估的第一个正式标准是可信计算机评估标准(可信计算机评估标准)

    1949年,香农(shannon)发表的《保密系统的通信理论》是现代通信安全的代表作,是信息安全发展的重要里程碑(香农)

    LATF提出的信息保障的核心思想是纵深防御战略(纵深防御)

    自主访问控制模型的实现机制是通过访问控制矩阵实施的(访问控制矩形)

    恶意行为的监测方式主要分为两类:主机监测和网络监测(主机或网络)

    进程与cpu通信是通过中断信号来完成的(中断)

    在unix/linux系统中,服务是通过inetd进程或启动脚本来启动(inetd 经常考,重点)

    在unix/linux系统中,主要的审计工具是syslogd守护进程(syslogd 重点)

    在unix系统中,改变文件拥有权的命令是chown

    lastlog列出用户最后登录的时间和登录终端的地址(lastlog)

    CA通过发布证书黑名单,公开发布已经废除的证书(证书黑名单 重点)

    代理防火墙在应用层进行过滤,包过滤技术主要在网络层和传输层(应用层、网络层、传输层)

    要实现消息认证,产生认证码的函数类型有三类:消息加密、消息认证和哈希函数(三个都可能考)

    国家信息安全漏洞库CNNVD(CNNVD)

    访问控制方法实现方法:1.行政性访问控制,2.逻辑性访问控制 3.技术性访问控制 4.物理性访问控制

    基于USB KEY的身份认证系统主要有两种认证模式,挑战/应答和基于PKI体系的认证模式

    对于数据库的安全防护分三个阶段:事前检查、事中监控和事后审计

    证书的起始端被称为信任锚(信任锚)

    证书链由两个环节组成:信任锚和已签名证书环节

    IDS可以分为NIDS和HIDS

    IDS的异常检测技术主要通过统计分析方法和神经网络方法实现(考两个方法)

    IDS入侵检测可根据入侵行为的方式和原理分为基于统计分析原理的异常检测和基于模式匹配原理的误用检测(异常检测和误用检测)

    IDS包括控制台和探测器两部分

    每个事务均以BEGIN TRANSACTION语句显式开始,以COMMIT或ROLLBACK语句结束

    IATF提出了三个主要核心要素:人员、技术和操作

    AAA是指认证、授权和审计

    渗透测试的对象主要是数据库的身份验证系统和服务监听系统

    事故响应阶段有:计划、检测、反应、恢复

    用户使用的端口一般介于1023和65535之间。(综合题里的防火墙也会用到这个知识点)

    P2DR核心是策略

    Windows有3种类型的事件日志:系统日志,应用程序日志、安全日志

    系统安全维护的步骤为报告错误,处理错误、处理错误报告

    EIP存放的指针始终指向返回地址(返回地址)

    信息安全的内因是信息系统的复杂性,外因是人为的和环境的威胁(复杂性,人为的和环境的)

    信息安全技术的核心是密码(密码)

    基于角色的访问控制模型的要素包括用户、角色、许可等基本定义(用户,角色,许可)

    公共密钥基础设施(PKI),使用公钥密码学技术,核心机构是数字签发机构,数字证书存储格式中 X.509 是最基本的证书存储格式

    如果所有外键参考现有的主键,则说明一个数据库具有参照完整性(参照)

    数据流分析技术,污点传播分析技术

    展开全文
  • 信息安全三要素CIA

    万次阅读 2019-07-18 15:01:58
    保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)是信息安全大基石。 1)保密性:保证信息不泄露给未经授权的用户。 2)完整性:保证信息从真实的发信者传送到真实的收信者手中,传送...

    保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)是信息安全的三大基石。

    1)保密性:保证信息不泄露给未经授权的用户。

    2)完整性:保证信息从真实的发信者传送到真实的收信者手中,传送过程中没有被非法用户添加、删除、替换等。

    3)可用性:保证授权用户能对数据进行及时可靠的访问

    除CIA外,还有一些属性也是要求达到的,如可控性(Controllability)和不可否认性(Non-Repudiation)。

    展开全文
  • 计算机信息安全技术题库——选择题1

    万次阅读 多人点赞 2018-09-10 23:54:22
    <------------纯手打内容并不能保证百分百没错字------------> 更新:考试过啦 虽然只是及格( 感觉单靠买的题库的的话 良好应该没什么...计算机四级信息安全工程师部分更新啦 四级全是选择题 直接看我的博客...

           <------------纯手打内容并不能保证百分百没错字------------>

    更新:考试过啦 虽然只是及格( 感觉单靠买的题库的的话 良好应该没什么问题 但是优秀可能比较困难,感觉考试的题目也还是有挺多变动的 不过亲测四五天保证每天有四个小时的学习时间及格还是可以的 当然学习的时候一定要好好学哇。计算机四级信息安全工程师部分更新啦 四级全是选择题 直接看我的博客就可以了✌ 戳个人分类即可看见

    PS:应用题题目太长所以当时没有留存截图 感觉应用题分数还挺重要的 所以还是建议大家自己淘宝买题 淘宝的题大概是30多吧 一般都可以两个人用 一般是电脑端两个验证号+手机端一个验证号 因为几乎也是一次性用品 所以觉得也没必要一个人买 如果有意拼 在这篇博客下面评论一下 留个QQ小号? 无利益相关 单纯随便一想

    1.信息技术的发展,大致分为电讯技术的发明,19世纪30年代开始  , 计算机技术的发展,20世纪50年代开始   ,和互联网的使用 20世纪60年代开始三个阶段。

     

    2.同时具有强制访问控制和自主访问控制属性的访问控制模型是Chinese wall

     

    3.信息安全的五个基本属性是可用性,可靠性,完整性,保密性,不可抵赖性

     

    4.MD5算法首先将任意长度的消息填充为512的倍数然后进行处理

     

    5.数字签名是非对称密钥加密技术与数字摘要技术的综合应用

     

    6.对称加密最大的缺点在于其秘钥管理困难

     

    7.消息认证目的是为了防止传输和存储的消息被有意无意的篡改,包括消息内容认证(消息完整性认证),消息的源和宿认证(身份认证),及消息和序号和操作时间认证等,但是发送方否认将无法保证

     

    8.

    9.Kerberos是一种网络认证协议,其认证过程的实现不依赖于主机操作系统的认证,其身份认证采用的是传统的密码技术(对称加密机制)

     

    10.IKL属于一种混合型协议,由Internet安全关联和密钥管理协议(ISAKMP)和两种密钥交换协议OAKLEY与SKEME

     

    11.一个简单的PKI系统包括证书机构CA,注册机构RA,和相应的PKI存储库。PKI存储库包括LDAP目录服务器和普通数据库

     

    12.状态检测防火墙技术能够对其动态连接状态进行有效检测和防护的是TCP

     

    13.CCB(密码块链接)没有分组工作模式

     

    14.主体是某一操作动作的发起者,但不一定是动作的执行者,可能是某一用户,也可以是用户启动的进程,服务和设备等。可以是另一个客体

     

    15.进程与CPU的通信是通过共享存储器系统,消息传递系统,管道通信来完成的。而不是通过系统调用来完成的。

     

    16.守护进程是脱离于终端并且在后台运行的进程。守护进程还能完成很多系统任务

     

    17.在unix系统中,chmod 文件/目录权限设置命令,chown 改变文件的拥有者,chgrp 变更文件与目录的所属群组。who 显示系统登录者。改变文件分组的命令是chgrp

     

    18.Windows有三个环境子系统,Win32,POSIX,OS/2。win32子系统必须始终处于运行状态

     

    19.视图不存储数据

     

    20.COMMIT语句用于告诉DBMS,事务处理中的语句被成功执行完成了,ROLLBACK也是告诉DBMS事务处理中的语句不能被成功执行,不能回退SELECT语句,因此该语句在事务中必然成功执行

     

    21.P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型,该模型的四个组成部分,policy策略,protection防护,detective检测和response响应,核心是策略

     

    22.ESP协议可以对应用层协议,传输层协议,网络层协议进行封装,但是不能对链路层协议进行封装

     

    23.HTTPS是以安全为目标的HTTP通道,即HTTP下加入SSL层,SSL是HTTPS的安全基础。用户认证的请求通过加密信道进行传输的是HTTPS

     

    24.AH协议用于保证数据包的完整性和真实性,考虑到计算效率,AH没有采用数字签名而是采用了安全哈希算法来对数据包进行保护。它具有的功能是数据完整性鉴别

     

    25.

    26.SMTP 简单邮件传输协议,由他控制信件的中转方式。SET 安全电子交易协议。POP3 邮局协议的第三个版本。S/MIME为多用途网络邮件扩充协议,可以把MIME实体,比如数字签名和加密信息等封装成安全对象,S/MIME可为电子邮件提供数字签名和数据加密功能

     

    27.NIDS网络入侵检测系统,。在计算机网络系统中,NIDS的探测器要连接的设备是交换机

     

    28.

    29.软件漏洞网络攻击框架性工具是Metasploit

     

    30.OWASP的十大安全威胁排名,第一位是注入式风险,第二位跨站脚本攻击,第三位无限的认证及会话管理功能,第十位是未经验证的重新指向及转发

     

    31.提出软件安全开发生命周期SDL模型的公司是微软

     

    32.代码混淆技术包括词法转换,控制流转换,数据转换。不属于代码混淆技术的是语法转换

     

    33.漏洞转换三要素,漏洞是计算机系统本身存在的缺陷,漏洞的存在和利用都有一定的环境要求,漏洞存在的本身是没有危害的。漏洞在计算机系统中不可避免不属于漏洞定位三要素

     

    34.堆的生长方向是向上,也就是向内存增加的方向。栈相反

     

    35.操作系统所使用的缓冲区又被称为 堆栈 。不属于缓冲区溢出的是整数溢出

     

    36.在信息安全事故响应中,必须采取的措施中包括 建立清晰的优先次序。清晰的指派工作和责任,对灾难进行归档。不包括保护物理资产。

     

    37.系统开发分为五个阶段 ,规划,分析,设计,实现和运行。

     

    38.任何系统都会经历一个发生,发展和消亡的过程

     

    39.在信息安全管理中的控制策略实现后就应该对控制效果进行监控和衡量,从而来确定安全控制的有效性,并估计残留风险的准确性,整个安全控制是一个循环过程不会终止,并不能减少这方面的预算

     

    40.并不是所有的组织都需要进行认证。认证可以建立信任度而已

     

    41.涉密信息系统建设使用单位将保密级别分为三级,秘密,机密和绝密

     

    42.基本安全要求中基本技术要求从五个方面提出,物理安全,网络安全,主机安全,应用安全,数据安全及备份恢复。没有路由安全

     

    43.应急三要素是事件响应,灾难恢复,业务持续性计划。基本风险评估预防风险,而应急计划是当风险发生时采取的措施

     

    44.

    45.

    46.

    47.电子签名是一种电子代码,利用他收件人可以在网上轻松验证发件人的身份和签名,它还能验证出文件的原文在传输过程中有无变动。公用事业服务信息无需进行验证

     

    48.签署电子签名时电子签名制作数据仅有电子签名人控制

     

    49.TCSEC将计算机系统的安全划分为四个等级七个级别

     

    50.除了纵深防御这个核心思想外,IATF还提出了其他一些信息安全原则。LATF将信息系统和信息保障技术层面划分为四个技术框架焦点域,分别为保护网络和基础设施、保护区域边界、保护计算环境以及支撑性基础设施

     

    51.计算机系统安全评估的第一个正式标准是TCSEC

     

    52.数据加密又称密码学,指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。

     

    53.消息认证,数字签名和口令保护均属于哈希函数的应用

     

    54.目前的认证技术有用对用户的认证和对消息的认证两种方式。数字签名,又称公钥数字签名,电子签章,是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领悟的技术实现,用于鉴别数字信息的方法,数字签名不能用于产生认证码

     

    55.

    56.

    57.RADIUS是一个客户端/服务器端协议,它运行在应用层,使用UDP协议,它的审计独立于身份验证和授权服务,审计服务使用一个独立的UDP端口进行通讯,不能很好的提供完备的丢包处理及数据重传机制。

     

    58.EBC模式是分组密码的基本工作模式。CBC模式的初始密码不需要保密,可以明文形式与密文一起传送

     

    59.非对称加密算法又名为公开密钥加密算法,对称加密算法名为非公开密钥加密算法。非对称密钥加密算法复杂,在实际应用中不适合数据加密

     

    60.SHA所产生的摘要比MD5长32位,耗时要更长,更加安全

     

    61.TCP,ICMP,UDP均会被DoS攻击,IPSec无法被DoS攻击

     

    62.文件系统是一种数据链表,用来描述磁盘上的信息结构,并支持磁盘文件的取出和写回,在安装系统之前总是会先将存储盘格式化成某种文件系统格式

     

    63.Linux系统启动后运行的第一个进程是init,初始化进程,boot是在Linux启动之前运行的进程,sysini进程和login进程是后续部分的进程

     

    64.可执行文件(exe)不属于Unix/Linux文件类型

     

    65.在Windows系统中,查看当前已经启动的服务列表的命令是net start

     

    66.SQL命令中,删除表的命令是DROP,删除记录的命令是delete,建立视图的命令是CREATE view,更新记录的命令是update

     

    67.

    68.ARP欺骗分为两种,一种是对路由器ARP表的欺骗,另一种是对内网PC的网关欺骗。路由器ARP欺骗的原理是截获网关数据,第二种ARP欺骗的原理是伪造网关。网站挂马,网站钓鱼,社会工程都属于诱骗式攻击

     

    69.SSO,Kerberos,SESAME都属于分布式访问控制方法,RADIUS属于集中式

     

    70.Internet安全协议(IPsec)是由互联网工程任务组提供的用于保障Internet安全通信的一系列规范。支持IPv4协议和IPv6协议

     

    71.SSL协议为应用层提供了加密,身份认证和完整性验证的保护

     

    72.网状信任模型,层次信任模型,桥证书认证机构信任模型都属于PKI信任模型。链状信任模型不属于PKI信任模型

     

    73.特征检测又称误用检测,主要有五种方法,基于专家系统,模型推荐,状态转换,条件概率,键盘监控

     

    74.木马不会刻意的去感染其他文件,不具备感染性

     

    75.

    76.动态污点分析,模糊测试,智能模糊测试都属于软件动态安全检测技术。对源代码的检测,模型检验属于软件静态安全检测技术。词法分析是计算机科学中将字符序列转换为单词序列的过程

     

    77.BitBlaze采用软件动静结合安全检测技术

     

    78.加壳欺骗不属于恶意程序传播方法

     

    79.微软公司漏洞分为,第一级:紧急,第二级:重要,第三级:警告,第四级:注意

     

    80.UAF(Use After Free)类漏洞,即引用了已经释放的内存,例如,内存地址对象破坏性调用的漏洞

     

    展开全文
  • 2020年3月6日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第1号),全国信息安全标准化技术委员会归口的GB/T 35273-2020《信息安全技术 个人信息安全规范》(以下简称...

    2020年3月6日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第1号),全国信息安全标准化技术委员会归口的GB/T 35273-2020《信息安全技术 个人信息安全规范》(以下简称“新版规范”)正式发布,并将于2020年10月1日实施。

    新版规范以《GBT 35273-2017信息安全技术 个人信息安全规范》(以下简称“旧版规范”)为基础,同时结合或参考了《App违法违规收集使用个人信息行为认定方法》《信息安全技术-个人信息告知同意指南(征求意见稿)》《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》等文件。

    首先 个人生物识别信息:个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等; 生物特征是明确属于个人敏感信息;

    区别个人敏感信息一般个人信息
    收集明示同意授权同意
    个人隐私保护政策涉及个人敏感信息的,需明确标识或突出显示无特别要求
    传输存储应采用加密等安全措施无特别要求
    权限控制宜在对角色权限控制的基础上,按照业务流程的需求触发操作授权。重要操作才需授权
    共享明示同意;告知内容增加了的个人敏感信息类型、数据接收方的身份和数据安全能力;授权同意
    公开披露告知内容增加个人敏感信息的内容无需告知信息内容
    信息安全事件泄露即需告知严重危害的才需告知

    其次如存在多项业务功能,无论是基本业务功能还是扩展业务功能,即使全部是基本业务功能,也要进行拆分,在用户实际开始使用特定业务功能时,才能索取用户授权并开始收集相应的个人信息,不能预先一次性索取授权。

    适用新规则的后果就是,隐私政策在告知同意中的作用被进一步削弱,当前主要依赖用户注册时通过隐私政策一揽子获得用户同意的做法难以为继,企业不得不越来越多地依赖弹窗等多层次、碎片化的告知同意机制,产品设计更加复杂。

    关键点: 收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;

    明示同意 explicit consent
    个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。

    新版规范5.3规定的逐项告知是以业务功能为维度的。存在多项业务功能时,需在用户开启各项具体业务功能时逐项告知。而本条针对生物识别信息规定的单独告知则是以信息类型为维度的,即只要涉及个人生物识别信息,则需单独告知。如果控制者收集的个人生物识别信息同时涉及多项业务功能,则应该在单独告知之后再按业务功能逐项告知。

    在实践中,个人信息保护政策通常将信息存储时间表述为“实现目的所必需的最短时间”。对生物识别信息而言,这种写法曾遭到监管机构的质疑。APP治理工作组在《观察 | 没有了选择权和知情权,人脸识别还值得信任吗?》一文中提到,“核验发现,绝大部分相关App只在隐私政策中笼统提及‘个人信息的保存将在法律法规要求的最短保存限期内,当超出上述保存期限,会对其进行匿名化处理’,对于用户关心的人脸信息是否会留存原始图像信息,留存多长时间,使用范围如何,是否向第三方提供,采取了何种安全措施等均是只字不提。”

    鉴于上述意见,对于个人生物识别信息的存储期限,可适当细化表述为“在实现XXX功能之后便立即删除”,其法律内涵与“实现个人信息主体授权使用的目的所必需的最短时间”一致,但应更加具体明确。

    什么情况是不违规的利用指纹人脸等生物特征呢?

    c) 原则上不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但不限于:

    1. 仅存储个人生物识别信息的摘要信息;

    2) 在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;

    依据新版规范3.5注2,如果产品或服务的提供者提供工具供个人信息主体使用,提供者不对个人信息进行访问的,则不属于收集。因该种处理方式下,个人信息未曾传至产品或服务提供者服务器,不构成收集行为。据此,如在终端本地使用个人生物识别信息实现身份识别、认证等功能,不属于收集行为,不承担控制者责任

    展开全文
  • 3、基础篇————信息安全三要素

    万次阅读 2018-02-26 13:28:10
    无意中发现了一巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家...
  • 信息安全的 CIA 要素

    万次阅读 2012-11-15 16:02:48
    在它诞生的初期,互联网的应用相对简单,使用互联网的人数较少,人们对安全的设计与考虑都比较少。经过几十年的发展和普及,现在互联网已经深入到我们生活的每方面。从电子邮件,信息搜索,到IP电话,网上购物,订...
  • 信息安全建设部曲

    千次阅读 2018-03-20 17:54:15
    从那些刷爆朋友圈的事故说起随着社会、科技等的快速发展,信息、数据逐渐凸显重要位置,并且一跃成为企业...信息和数据的关键重要性,决定了信息安全在企业中的重要性。如何保障信息和数据的安全,也将逐渐成为企业...
  • 面向对象的三个基本特征 和 五种设计原则

    万次阅读 多人点赞 2012-10-10 16:40:08
    一、三个基本特征 面向对象的三个基本特征是:封装、继承、多态。 封装 封装最好理解了。封装是面向对象的特征之一,是对象和类概念的主要特性。 封装,也就是把客观事物封装成抽象的类,并且类可以把自己的...
  • 级计算机信息安全基础知识

    千次阅读 多人点赞 2019-05-17 09:11:01
    2.1999年9月13日,由国家公安部提出并组织制定,国家质量技术监督局发布了《计算机信息系统安全保护等级划分准则》,并定于2001年1月1日实施其中把计算机信息安全划分为了5等级: 第一级:用户自主保护级; 第二级:...
  • 信息安全基础知识理论总结 信息安全概述 密码学 数字签名 信息隐藏 计算机病毒、木马、蠕虫 计算机网络 网络安全(防火墙,入侵检测系统,入侵防御系统,拒绝服务攻击/分布式拒绝服务攻击) 网络安全协议理论与技术...
  • 智慧安全三个方向

    千次阅读 2019-03-01 14:33:47
    早在2016年,《智能电厂技术发展纲要》中就对智能电厂给出了定义:智能电厂是指在广泛采用现代数字信息处理技术和通信技术基础上,集成智能的传感与执行、控制和管理等技术,达到更安全、高效、环保运行,与智能电网...
  • 第1章:信息安全基础 1.1 信息安全概念 欢迎加入最棒的信息安全工程师社群,分享信息安全工程师备考干货资料。 备考交流QQ群:39460595 https://www.moondream.cn/?p=517 一.大纲要求 1.1 了解网络空间的...
  • 信息安全期末复习整理

    万次阅读 多人点赞 2019-10-18 19:45:02
    信息安全期末复习整理。适用于韦老师2019《信息安全期末考试》。
  • 信息安全简答题

    千次阅读 2020-12-28 11:57:49
    一、区块链技术在网络与信息安全领域的应用 1.1区块链概念 在2008年由署名为中本聪的作者在《比特币:一种点对点的电子现金系统》一文提出,指的是一种在对等网络环境下,通过透明和可信规则,构建防伪造、防篡改...
  • 信息安全技术(俞承杭)期末复习

    千次阅读 2021-01-15 14:13:08
    第一章 信息安全概述 对于信息的功能特征,它的基本功能在于维持和强化世界的有序性动态性 对于信息的功能特征, 它的社会功能表现为维系社会的生存、 促进人类文明的进步和自身的发展 信息技术主要分为感测与识别...
  • 物联网信息安全概述

    千次阅读 2019-04-16 17:26:15
    据《硅谷》杂志2012年第22期刊文称,物联网在各个领域的推广应用也把原来的网络安全威胁扩大到物质世界,增加防范和管理难度,根据物联网的三个层次,分析物联网的安全特性,特别对感知层的安全问题进行分析。...
  • 企业信息安全建设工作可以从多方面来建设与完善,我在这里就介绍信息安全等级保护的基本要求加上自己从事多年的安全工作经验,与各位共勉,干货在后面。 等级保护包含哪些方面 根据GB/T22239-2008 《...
  • 信息安全意识培训非常重要

    千次阅读 2017-11-03 11:49:35
    安全意识就是人们头脑中建立起来的信息化...而数据泄露的三个主要原因为恶意或犯罪攻击、系统故障和人为错误。员工由于缺少足够的信息安全意识和防范观念,往往因为自己的便利或失误而违反信息安全规章,或成为网络犯
  • 近年来,随着互联网应用的普及和大数据产业的发展,确实给生活带来很多便利,与此同时,个人信息安全也面临着严重威胁,个人信息被非法收集、泄露与滥用等。 2020年3月6日,国家市场监督管理总局、国家标准化管理...
  • 信息安全概论知识点

    千次阅读 多人点赞 2017-05-24 23:59:09
    信息安全概论知识点
  • 企业信息安全建设小记

    千次阅读 2019-09-02 02:40:45
    企业信息安全建设是一个由外到内,由粗到细,由合规到自主的过程,企业安全建设一般也都伴随合规驱动、业务驱动、风险驱动三个过程,最终使企业人员形成认同安全的意识以及主动安全的意愿。企业安全是由...
  • ISO27001信息安全管理体系

    万次阅读 2018-11-05 18:59:00
    初入甲方,刚开始接触的应该就是ISO27001信息安全管理体系,你拿到的应该就是一整套安全管理类的文档。在甲方,稍微有点规模的公司很注重制度和流程,岗位职责分工明细,那么这些安全管理制度,就是你所能掌控的...
  • 网络信息安全的重要性

    万次阅读 2018-08-15 11:39:01
    一、信息安全技术概论 1.网络安全的重要作用 在互联网普及的初期,人们更关注单纯的连接性,以不受任何限制地建立互联网为最终目的。正如事情都具有两面性,互联网的便捷性给人们带来了负面问题,计算机病毒的...
  • 信息安全工程师参考资料(一)

    万次阅读 2018-09-04 18:05:50
    第一章 信息安全基础知识 1.1 信息安全研究方向 目前信息安全的研究包括密码学、网络安全、信息系统安全、信息内容安全、信息对抗等方向 网络空间是所有信息系统的集合,网络空间安全的核心是信息安全。网络...
  • 物联网信息安全心得

    千次阅读 2019-04-19 15:38:25
    物联网产业的热潮正在席卷全球,它被誉为继计算机、互联网、移动通信网之后的又一次信息产业浪潮。早在1999年,物联网(The Internet of things)的概念就被提出来,它是指通过射频识别(RFID)、红外感应器、全球...
  • 网络信息安全知识框架

    万次阅读 多人点赞 2018-12-30 22:10:32
    如需要下列知识的详细内容,欢迎评论或私信联系我。 第0章 基础概述 1.网络信息安全的原则(包括...1.1 网络安全的概念 (信息安全的4层面、信息安全所涉及学科、研究信息安全的重要性、网络安全的概念) 1.2 ...
  • 内容安全 信息内容安全包括两部分:合法信息的保护和非法信息的监管; 信息隐藏和信息加密: ...隐匿标记:利用文字和图像的格式特征隐藏信息,将标记信息隐藏在格式中,而不改变内容; 数字水印...
  • 由于互联网早期并没有考虑到数据... 而往往计算机网络安全维护者和那些恶意攻击者玩的就是一类似猫鼠游戏,网络安全维护者处处考虑对计算机的安全负责,而恶意攻击者处处找安全的漏洞。而对于那些恶意攻击方式大体...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,226,181
精华内容 490,472
关键字:

信息安全的三个主要特征