对氯苯甲醛的合成技术及产品应用
现行国家信息安全技术标准
现行国家信息安全技术标准 序号 标准号 Standard No. 中文标准名称 Standard Title in Chinese 英文标准名称 Standard Title in English 备注 Remark 1GB/T 33133.1-2016信息安全技术祖冲之序列密码算法第1部分:算法描述Information security technology—ZUC stream cipher algorithm— Part 1: Algorithm description 2GB/T 33134-2016信息安全技术公共域名服务系统安全要求Information security technology—Security requirement of public DNS service system 3GB/T 33131-2016信息安全技术基于IPSec的IP存储网络安全技术要求Information security technology—Specification for IP storage network security based on IPSec 4GB/T 25067-2016信息技术安全技术信息安全管理体系审核和认证机构要求Information technology—Security techniques—Requirements for bodies providing audit and certification of information security management systems 5GB/T 33132-2016信息安全技术信息安全风险处理实施指南Information security technology—Guide of implementation for information security risk treatment 6GB/T 32905-2016信息安全技术 SM3密码杂凑算法Information security techniques—SM3 crytographic hash algorithm 国标委计划[2006]81号 7GB/T 22186-2016信息安全技术具有中央处理器的IC卡芯片安全技术要求Information security techniques—Security technical requirements for IC card chip with CPU 8GB/T 32907-2016信息安全技术 SM4分组密码算法Information security technology—SM4 block cipher algorthm 国标委计划[2006]81号 9GB/T 32918.1-2016信息安全技术 SM2椭圆曲线公钥密码算法第1部分:总则Information security technology—Public key cryptographic algorithm SM2 based on elliptic curves—Part 1: General 国标委计划 [2006]81号
信息安全管理规范完整篇.doc
信息安全管理规范1 1.0目的 为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本规范。 2.0 适用范围 本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。 3.0 信息安全组织机构及职责: 根据集团公司关于信息安全组织的指导意见,为保证信息安全工作的有效组织与指挥,四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组,由公司分管网络的副总经理任组长,网络部分管信息安全副总经理任副组长,由省公司网络部归口进行职能管理,省公司各网络生产维护部门设置信息安全管理及技术人员,负责信息安全管理工作,省监控中心设置安全监控人员,各市州分公司及生产中心设置专职或兼职信息安全管理员,各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 3.1.1网络与信息安全工作管理组组长职责: 负责公司与相关领导之间的联系,跟踪重大网络信息安全事
件的处理过程,并负责与政府相关应急部门联络,汇报情况。 3.1.2网络与信息安全工作管理组副组长职责: 负责牵头制定网络信息安全相关管理规范,负责网络信息安全工作的安排与落实,协调网络信息安全事件的解决。 3.1.3省网络部信息安全职能管理职责: 省公司网络部设置信息安全管理员,负责组织贯彻和落实各项安全管理要求,制定安全工作计划;制订和审核网络与信息安全管理制度、相关工作流程及技术方案;组织检查和考核网络及信息安全工作的实施情况;定期组织对安全管理工作进行审计和评估;组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理 工作及后续的整改工作;汇总和分析安全事件情况和相关安全状况信息;组织安全教育和培训。 3.1.4信息安全技术管理职责: 各分公司、省网络部、省生产中心设置信息安全技术管理员,根据有限公司及省公司制定的技术规范和有关技术要求,制定实施细则。对各类网络、业务系统和支撑系统提出相应安全技术要求,牵头对各类网络和系统实施安全技术评估和工作;发布安全漏洞和安全威胁预警信息,并细化制定相应的技术解决方案;协助制定网络与信息安全的应急预案,参与应急演练;针对重大安全事件,组织实施应急处理,并定期对各类安全事件进行技术分析。
氯代苯甲醛的应用及合成工艺
氯代苯甲醛的应用及合成工艺 (江苏常州江东化工有限公司费平213014) The application and synthesis process of chloro-phenylaldehyde 1.前言 氯代苯甲醛的种类较多,主要是指以下几种,它们的合成方法有许多相似之处:Cl Cl Cl CHO CHO Cl—CHO CHO Cl Cl 邻氯苯甲醛对氯苯甲醛2,4—二氯苯甲醛2,6—二氯苯甲醛氯代苯甲醛在一些工业发达国家,早已形成了规模化的工业生产,工艺上也居于领先地位。我国氯代苯甲醛的开发起步较晚,但近几年随着市场需求量的增加和原料氯代甲苯质量的提高,我国氯代苯甲醛的研究开发工作也有了长足的发展,并逐步形成了工业化生产,工艺技术不断改进,质量不断提高,除满足国内市场的需求外,还大量出口创汇,取得了较好的经济和社会效益。 2.用途 氯代苯甲醛都是高附加值的精细化工产品,是农药、医药、染料、香料、颜料及其它有机合成的重要中间体。 目前国内生产应用最多的主要是:邻(对)氯苯甲醛,这里就仅介绍它们的工业应用。 邻氯苯甲醛的应用:邻氯苯甲醛与丙酮发生Claisen-Schmidt反应生成的双烯—酮衍生物,在医药上具有消炎作用;与盐酸羟胺缩合生成的邻氯苯甲肟,是合成药物的重要中间体;在农业上可用以合成除草剂、植物生长调节剂,高效杀螨剂螨死净;染料上用以制造邻磺基苯甲醛钠及荧光增白剂;某些记录材料的中间体。 对氯苯甲醛的应用:对氯苯甲醛在医药上用以合成芬那露,氨基氨络酸等;染料上用以制备酸性蓝(C.I.,酸性蓝83,90,100,109等);农业上用以生产新型除草剂麦敌散,植
信息安全等级保护标准规范
信息安全等级保护标准规范 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(以下简称《管理办法》),明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 (一)工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 (二)组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组,负责信息安全等级保护工作的组织部署,由省公安厅主管网监工作的领导任组长,省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队,负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组,组织本系统和行业
(完整)信息安全管理要求
********** 信息安全管理要求 为明确履行的安全管理责任,确保互联网络与信息安全,营造安全洁净的 网络环境,根据《全国人大常委会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网安全保护技术措施规定》等有关法律法规规定,本公司应落实 如下要求: 一、自觉遵守法律、行政法规和其他有关规定,接受公安机关监督、检查和 指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。 二、不利用国际联网危害国家安全、泄露国家秘密,不侵犯国家的、社会的、集体的利益和公民合法权益,不从事违法犯罪活动,不利用国际联网制作、复制、查阅和传播法律法规规定的各类有害信息。不从事危害计算机信息网络安全的活动。 三、在平台正式上线后的三十日内,或变更名称、住所、法定代表人或主要 负责人、网络资源或者经营活动发生变更,到公安机关办理备案或进行补充、变更备案登记; 四、建立和完善计算机网络安全组织: 1、建立信息网络安全领导小组,确定安全领导小组负责人和信息网络安全 管理责任人; 2、制定并落实安全领导小组负责人、安全管理责任人岗位责任制;
3、配备与经营规模相适应的计算机信息网络安全专业技术人员,必须经过 公安机关组织的安全技术培训,考核合格后持证上岗,并定期参加信息网络安全专业技术人员继续教育培训; 4、保持与公安机关联系渠道畅通,自觉接受公安机关网监部门业务监督检查; 5、制定网络安全事故应急处置措施。 五、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程, 建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。进一步强化组织领导,建立健全机制,切实转变职能,把加强应急管理摆上重要位置。成 立了突发事件应急领导小组,由技术总监担史渊任组长,各技术担任小组成员。 全面负责信息安全工作,形成统一指挥、反应灵敏、协调有序、运转高效的应急 管理工作机制。并指定郭志栋信息安全联络员。为安全责任人和联络员的联系方式: 姓名: 手机: 办公电话: 邮箱: 六、同步配套建设信息安全技术手段的实施进展情况 (一)日常信息安全管理。在人员管理上,认真落实信息安全工作领导小组、 安全管理工作的具体承办机构及信息安全员的职责,制定了较为完善的检查信
对氯苯甲醛资料讲解
中文 名称: 4-氯苯甲醛 中文 同义 词: 对氯苯甲醛;氨气;4-氯苯甲醛;环丙沙星杂质B对照品;氫氧化銨;對氯苯 甲醛;4-氯苯甲醛,98%;氧化 英文 名称: 4-Chlorobenzaldehyde 英文 同义 词: p-chlorobenzenecarboxaldehyde;P-CHLOROBENZALDEHYDE;PCA D;4-Chlorobenzoic aldehyde;4-CHLOROBENZALDEHYDE;AMMONIA WATER;AMMONIA SOLUTION, STRONG;AMMONIA NO 1 CAS 号: 104-88-1 分子 式: C7H5ClO 分子 量: 140.57 EINE CS号: 203-247-4 相关 类别: FINE Chemical & INTERMEDIATES;Aromatic Aldehydes & Derivatives (substituted);Benzaldehyde;Aldehydes;C7;Carbonyl Compounds;农药中间体;三唑类杀菌剂;杀菌剂中间体 Mol 文件: 104-88-1.mol 4-氯苯甲醛性质 熔点46 °C 沸点60 °C 密度 1.196 蒸气密度0.6 (vs air) 蒸气压8.75 atm ( 21 °C) 闪点52 °F 水溶解性935 mg/L (20 oC) 敏感性Air Sensitive BRN 385858 稳定性Stable, but air and light-sensitive. Incompatible with strong bases, strong reducing agents, strong oxidizing agents. CAS 数据库104-88-1(CAS DataBase Reference) NIST化学物质信息Benzaldehyde, 4-chloro-(104-88-1)
对氯苯甲醛项目可行性研究报告
对氯苯甲醛项目可行性研究报告 泓域咨询丨WORD格式可编辑
目录 第一章项目绪论 (1) 第二章项目建设背景及必要性 (9) 第三章项目选址科学性分析 (13) 第四章总图布置 (17) 第五章工程设计总体方案 (23) 第六章工艺技术设计及设备选型方案 (29) 第七章环境保护 (37) 第八章清洁生产 (54) 第九章劳动保护和安全卫生及消防 (58) 第十章节能分析 (67) 第十一章组织机构及人力资源配置 (74) 第十二章项目实施进度计划 (78) 第十三章投资估算与资金筹措 (84) 第十四章经济评价 (97) 第十五章综合评价结论 (110)
第一章项目绪论 一、项目名称及投资主体 (一)项目名称 对氯苯甲醛项目 (二)项目投资主体 某某有限公司 二、项目拟建地址及用地指标 (一)项目拟建地址 该项目选址在宿迁市xxxx工业园区。 (二)项目用地性质及用地规模 1、该项目计划在宿迁市xxxx工业园区建设,用地性质为工业用地。 2、项目拟定建设区域属于工业项目建设占地规划区,建设区总用地面积20000.1 平方米(折合约30.0 亩),代征地面积180.0 平方米,净用地面积19820.1 平方米(折合约29.7 亩),土地综合利用率100.0%;项目建设遵循“合理和集约用地”的原则,按照对氯苯甲醛行业生产规范和要求进行科学设计、合理布局,符合对氯苯甲醛制造和经营的规划建设需要。
(三)项目用地控制指标 1、该项目实际用地面积19820.1 平方米,建筑物基底占地面积13596.5 平方米,计容建筑面积22376.8 平方米,其中:规划建设生产车间18194.9 平方米,仓储设施面积2497.3 平方米(其中:原辅材料库房1506.3 平方米,成品仓库991.0 平方米),办公用房872.0 平方米,职工宿舍495.5 平方米,其他建筑面积(含部分公用工程和辅助工程)317.1 平方米;绿化面积1308.1 平方米,场区道路及场地占地面积4915.4 平方米,土地综合利用面积19820.0 平方米;土地综合利用率100.0%。 2、该工程规划建筑系数68.6%,建筑容积率1.1 ,绿化覆盖率6.6%,办公及生活用地所占比重5.2%,固定资产投资强度3357.0 万元/公顷,场区土地综合利用率100.0%;根据测算,该项目建设完全符合《工业项目建设用地控制指标》(国土资发【2008】24号)文件规定的具体要求。 三、项目建设的理由 当前,中国正处于经济结构调整转型升级的关键期,而“中国制造2025”则是助力中国经济转型、迈向创新社会的重要举措。“中国制造2025”指出,要把结构调整作为建设制造强国的关键
信息安全技术-信息系统安全等级保护实施指南
信息安全技术信息系统安全等级保护实施指南 前言 本标准的附录 A 是规范性附录。 本标准由公安部和全国信息安全标准化技术委员会提出。 本标准由全国信息安全标准化技术委员会归口。 本标准起草单位:公安部信息安全等级保护评估中心。 本标准主要起草人:毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、 刘静、罗峥。 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147 号令)、《国家信息化领导小 组关于加强信息安全保障工作的意见》(中办发 [2003]27 号)、《关于信息安全等级保护工作的实施意见》(公通字 [2004]66 号)和《信息安全等级保护管理办法》(公通字[2007]43 号),制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南;— — GB/T BBBB-BBBB 信息安全技术信息系统安全等级保护基本要求。 在对信息系统实施信息安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有关 信息安全等级保护的标准开展工作。 在信息系统定级阶段,应按照GB/T AAAA-AAAA介绍的方法,确定信息系统安全保护等级。 在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照 GB17859-1999 、 GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作。 GB17859-1999、 GB/T BBBB-BBBB、 GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准,其中GB17859-1999是基础性标准, GB/T20269-2006、 GB/T20270-2006和 GB/T20271-2006等是对GB17859-1999的进一步细化和扩展,GB/T BBBB-BBBB是以GB17859-1999为基础,根据现有技术发展水平提出的对不同安全保护等级信息 系统的最基本安全要求,是其他标准的一个底线子集。 对信息系统的安全等级保护应从GB/T BBBB-BBBB出发,在保证信息系统满足基本安全要求的基础 上,逐步提高对信息系统的保护水平,最终满足GB17859-1999、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006 等标准的要求。 除本标准和上述提到的标准外,在信息系统安全等级保护实施过程中,还可参照和使用 GB/T20272-2006和GB/T20273-2006等其它等级保护相关技术标准。 信息系统安全等级保护实施指南 1范围 本标准规定了信息系统安全等级保护实施的过程,适用于指导信息系统安全等级保护的实施。
信息安全管理规范 通用版
信息安全管理规范及保密制度(通用版) ****年**月**日 *****部制定 第一章总则 第1条为明确岗位职责,规范操作流程,确保公司信息资产的安全,特制订本制度。 第2条本制度适用于公司所有员工。 第二章电子邮件管理制度 第3条行政人力部必须在员工入职三天内,向员工分配企业邮箱的个人用户名和密码。 第4条公司邮箱账户限本人使用,禁止将本人账户转借或借用他人账户。员工必须及时修改初始密码,并且在使用中定期(最多3个月)修改邮箱的密码,以防他人利用。密码至少为8位,且需是字母、数字、特殊符号等至少两个的组合。因邮箱密码泄露造成的损失,由用户自行承担责任。 第5条员工的对外往来的公务邮件,原则上必须使用公司统一后缀的邮箱;对外往来的私人邮件则不允许使用公司统一后缀的邮箱。禁止非工作用途将邮箱账户公布在外部INTERNET网上。公务用邮件时,必须使用含有以下字样的个人签名: 声明:您有义务对本邮件内容进行保密,未经书面允许不可私自复制、转发、散布。 第6条收到危害社会安定的邮件,应及时删除,严禁转发或点击相应链接,若因此造成不良影响或损失的,由用户个人承担责任,管理员发现类似现象的有权封锁相关邮件账户。发现邮件感染病毒,立刻将计算机断开公司网络,并使用相应软件进行杀毒。 第7条发送带有公司涉密信息的邮件,发件人必须先经部门领导同意,(若是绝密级别,需经公司领导同意),并将涉密信息加密处理后方可发送;否则视情节严重程度予以处理。 第8条员工离职时,根据需要交由部门专人监管一个月,后由行政人
力部注销。 第9条违反以上电子邮件管理规定,视情节轻重,最低经济处罚50元,并交行政人力部处理;情节特别严重的将移交国家司法机关,追究法律责任。 第三章数据安全管理制度 第10条为保证存储商业机密的计算机、文件、光盘等不会轻易泄露,公司对涉及技术及商业机密的文件、光盘等实行专人管理、借阅登记的制度;同时储存涉及技术及商业机密的计算机均应进行CMOS加密及屏幕保护加密。此两项密码除使用者本人拥有外,应向本部门经理备份,不得泄密给其它部门或个人。离开原工作岗位的员工由所在部门负责人将其所有工作资料收回并保存。如有因密码泄露而导致严重后果者,其行为等同于故意泄密,公司将按照人力资源奖惩制度予以严肃查处。 第11条计算机终端用户务必将重要数据存放在计算机硬盘中除系统盘以外的的硬盘分区。计算机系统发生故障时,应及时与管理员联系并采取保护数据安全的措施。 第12条计算机终端用户未做好备份前不得删除任何硬盘数据,对重要的数据应保存双份,存放在不同位置,并进行定期检查,防止数据丢失。 第13条计算机、服务器或存储设备,停止使用或使用前须进行低级格式化。第四章网络安全管理 第14条未进行安全配置、未装防火墙或杀毒软件的计算机终端,不得连接公司网络和服务器。公司员工应定期对所配备的计算机终端的操作系统、杀毒软件进行升级、更新,并定期进行病毒查杀。 第15条计算机终端用户应使用开机密码,屏保密码等。并定期更改。员工应妥善保管所掌握的各类办公账号和密码,严禁随意向他人泄露、借用自己的账号密码。 第16条 IP地址为计算机网络的重要资源,公司员工应在管理员的规划下使用这些资源,不得擅自更改。对于影响网络安全的系统服务,员工应在管理员的知道下使用,禁止随意开启关闭计算机中的系统服务,保证计算机的网络畅通运行。 第17条禁止未授权用户接入公司网络及访问网络中的资源。
《信息安全技术安全处理器技术规范》(征求意见稿)
《信息安全技术安全处理器技术规范》(征求意见稿) 编制说明 一、工作简况 根据国家标准化管理委员会2014年下达的国家标准制订计划:《信息安全技术安全处理器技术规范》(国标计划号:20152006-T-469),该标准由北京多思科技工业园股份有限公司负责承办。该标准由全国信息安全标准化技术委员会归口管理。 标准编制单位由北京多思科技工业园股份有限公司作为承担单位,中国信息安全测评中心、国家密码管理局商用密码检测中心、华北电力大学、公安部第三研究所、中国电子信息产业发展研究院、杭州华澜微电子股份有限公司等作为参与单位。 二、目的意义 信息化的极速发展使信息安全问题日趋显著。为了适用网络安全、大数据、人工智能的未来发展需要,从安全角度考虑,“安全在片”设计是解决安全问题的有效途径,是伴随信息化发展解决安全问题的趋势。制定安全处理器标准,使其作为安全产品的核心部件,并规范和要求安全处理器具有更强的安全保护和安全功能服务能力是本标准制定的目的。 《安全处理器技术规范》具有很好地规范和引领作用,可以在产品的开发和测评方面指导产品设计与测评。实现行业内安全处理器产品的统一,确保产品有严格的、可控制的、规范的安全特性,提升我国安全处理器产品应用的总体安全水平。 三、标准编制原则 本标准结合我国现有政策、法规与标准,以“参照国际、立足国情、服务应用、开放合作、严谨科学”为基本原则,以核心技术为基础,从保护资产,结构模型,安全目的出发,构建安全处理器技术规范内容。 四、主要工作过程 2014年12月-2015年4月,多思公司受中央网信办网络安全协调局委托承担
了此标准的制定工作,成立了“安全处理器专项工作小组”,在之前标准研究课题的基础上,进一步调研整理思路; 2015年6月11日,工作组召开了第一次会议。在该次会议上,工作组成员讨论了本规范的编制目的、意义和原则,制定了工作计划并做了任务分工; 2015年9月11日,工作组召开了第二次会议。成员单位就各自的研究情况作了汇报。工作组在此基础上明确了规范的定义范围,讨论并确定了整体思路,并对下一阶段工作进行了安排; 2016年2月17日,工作组召开了第三次会议,对功能要求进行了充分论证,对文档框架进行了完善,形成了安全处理器技术规范草案; 2016年6月11日,征求专家意见; 2016年7月-9月,工作组针对专家意见进行讨论修改标准草案; 2016年10月25日,工作组召开了第四次会议,根据修改后的标准草案进行讨论,进一步完善标准草案; 2017年3月-2017年7月,多次邀请相关专家对本标准草案进行征求意见,并针对专家意见和建议进行集中讨论和修改; 2017年9月25日,工作组召开了第五次会议,根据专家征求意见表修改相关内容完善标准草案; 2018年3月,工作组召开了第六次会议,讨论标准内容及编制说明,汇总意见处理表; 2018年4月,工作组在武汉参加TC260会议并在WG5工作组做了标准草案汇报,通过投票获得多数专家的同意,进入征求意见稿阶段; 2018年5月-2018年9月,工作组根据WG5武汉会议专家提出的意见,汇总意见处理表,细化标准内容; 2018年10月16日,WG5工作组在北京召开了国家标准《信息安全技术安全处理器技术规范》组内专家评审会,与会专家包括崔书昆、顾健、李斌、李娜、郭晓蕾、许玉娜、钟力。 2018年11月-12月,标准工作组成员针对专家意见进行沟通交流确定修改思路,针对文本参与单位各自仔细研究,分别进行了通稿修改; 2018年12月19日,与国家密码管理局相关领导进行沟通讨论标准文本关于
信息安全技术信息系统安全管理要求GBT20269—2006
信息安全技术信息系统安全管理要求 引言 信息安全等级保护从与信息系统安全相关的物理层面、网络层面、系统层面、应用层面和管理层面对信息和信息系统实施分等级安全保护。管理层面贯穿于其他层面之中,是其他层面实施分等级安全保护的保证。本标准对信息和信息系统的安全保护提出了分等级安全管理的要求,阐述了安全管理要素及其强度,并将管理要求落实到信息安全等级保护所规定的五个等级上,有利于对安全管理的实施、评估和检查。GB17859-1999中安全保护等级的划分是根据对安全技术和安全风险控制的关系确定的,公通字[2004]66号文件中安全等级的划分是根据信息和信息系统受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成损害的程度确定的。两者的共同点是:安全等级越高,发生的安全技术费用和管理成本越高,从而预期能够抵御的安全威胁越大,建立起安全信心越强,使用信息系统的风险越小。本标准以安全管理要素作为描述安全管理要求的基本组件。安全管理要素是指,为实现信息系统安全等级保护所规定的安全要求,从管理角度应采取的主要控制方法和措施。根据GB17859-1999对安全 保护等级的划分,不同的安全保护等级会有不同的安全管理要求,可以体现在管理要素的增加和管理强度的增强两方面。对于每个管理要素,根据特定情况分别列出不同的管理强度,最多分为5级,最少可不分级。在具体描述中,除特别声明之外,一般高级别管理强度的描述都是在对低级别描述基础之上进行的。信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。本标准涉及信息系统的管理者包括国家机关、事业单位、厂矿企业、公司、集团等各种类型和不同规模的组织机构,以下统称为“组织机构”。 信息系统在技术上采取何种安全机制应根据相关技术标准确定,本标准仅提出保证这些安全机制实施的管理要求。与技术密切的管理是技术实现的组成部分,如果信息系统根据具体业务及其安全需求未采用该技术,则不需要相应的安全管理要求。对与管理描述难以分开的技术要求会出现在管理要求中,具体执行需要参照相关技术标准。对于涉及国家秘密的信息和信息系统的保密管理,应按照国家有关保密的管理规定和相关标准执行。 本标准中有关信息系统安全管理要素及其强度与信息系统安全管理分等级要求的对应关系的说明参见附录A。为了帮助读者从安全管理概念角度理解和运用这些信息系统的安全管理要求,附录B给出了信息系统安全管理概念说明。 信息安全技术信息系统安全管理要求 1 范围 本标准依据GB17859-1999的五个安全保护等级的划分,规定了信息系统安全所需要的各个安全等级的管理要求。 本标准适用于按等级化要求进行的信息系统安全的管理。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 20271-2006 信息安全技术信息系统通用安全技术要求
信息安全产品认证技术规范
备案号:CNCA/CTS 0051-2007 中国信息安全认证中心发布
目 次 前 言 (1) 1范围 (2) 2规范性引用文件 (2) 3术语和定义 (2) 4技术要求 (4) 4.1功能要求 (4) 4.1.1备份对象 (4) 4.1.2运行平台 (4) 4.1.3备份模式 (4) 4.1.4存储介质 (5) 4.1.5系统管理功能 (5) 4.1.6中文化支持 (5) 4.1.7增强功能 (5) 4.2性能评价 (6) 4.2.1备份速度 (6) 4.2.2恢复速度 (6) 4.2.3占用资源 (6) 4.2.4最大驱动器数 (6) 4.2.5最大磁带槽位 (6) 4.2.6最大磁带数 (6) 4.3安全要求 (7) 4.3.1安全审计 (7) 4.3.2用户数据保护 (7) 4.3.3标识和鉴别 (7) 4.3.4功能保护 (7) 4.4保证要求 (8) 5数据备份与恢复产品技术要求的等级划分 (8) 6测试要求 (9) 6.1概述 (9) 6.1.1测试环境 (9) 6.1.2标准测试步骤 (10) 6.2功能测试 (10) 6.2.1备份对象 (10) 6.2.2运行平台 (11) 6.2.3备份模式 (11) 6.2.4存储介质 (12) 6.2.5系统管理功能 (12) 6.2.6中文化支持 (13) 6.2.7增强功能 (13) 6.3性能测试 (14) 6.3.1备份速度 (14)
6.3.2恢复速度 (14) 6.3.3占用资源 (15) 6.3.4最大驱动器数 (15) 6.3.5最大磁带槽位 (15) 6.3.6最大磁带数 (15) 6.4安全测试 (15) 6.4.1安全审计 (15) 6.4.2用户数据保护 (16) 6.4.3标识和鉴别 (16) 6.4.4功能保护 (16)
信息安全技术 证书认证系统密码及其相关安全技术规范(标准状态:现行)
I C S35.040 L80 中华人民共和国国家标准 G B/T25056 2018 代替G B/T25056 2010 信息安全技术证书认证系统密码 及其相关安全技术规范 I n f o r m a t i o n s e c u r i t y t e c h n o l o g y S p e c i f i c a t i o n s o f c r y p t o g r a p ha n d r e l a t e d s e c u r i t y t e c h n o l o g y f o r c e r t i f i c a t e a u t h e n t i c a t i o n s y s t e m 2018-06-07发布2019-01-01实施 国家市场监督管理总局
目 次 前言Ⅲ 1 范围1 2 规范性引用文件1 3 术语和定义1 4 缩略语3 5 证书认证系统3 5.1 概述3 5.2 功能描述4 5.3 系统设计6 5.4 数字证书11 5.5 证书撤销列表11 6 密钥管理系统11 6.1 结构描述11 6.2 功能描述11 6.3 系统设计12 6.4 KM C 与C A 的安全通信协议15 7 密码算法二密码设备及接口15 7.1 密码算法15 7.2 密码设备15 7.3 密码服务接口16 8 证书认证中心16 8.1 系统16 8.2 安全17 8.3 数据备份20 8.4 可靠性20 8.5 物理安全20 8.6 人事管理制度22 9 密钥管理中心22 9.1 建设原则22 9.2 系统22 9.3 安全23 9.4 数据备份23 9.5 可靠性23 9.6 物理安全23 9.7 人事管理制度23 10 证书认证中心运行管理要求23 G B /T 25056 2018
IMS信息安全技术规范
IMS信息安全技术规范 类别1: 中国移动防火墙部署总体技术要求: 要求内容: 一、集中防护原则 以各网络系统核心节点如省公司网管中心的所有网管系统为基本单位、或者以某核心节点机房的所有数据业务系统等作为基本单位,统一考虑节点内所有网络系统的边界访问控制。节点内部,划分核心生产区、日常维护区、停火区(DMZ 区)等等,通过VLAN划分实现不同区域系统间的隔离。从而彻底改变分系统防护的传统模式,实现集中化防护。 二、等级保护原则 不同保护级别的系统应采取不同的防火墙部署模式进行边界防护。在国家等级保 护标准当中,除考虑系统的实际等级以外,还考虑了相关部门的监管需求。此外,由于系统防护技术的等级差别有限,部分安全手段如防病毒、账号集中管理、日志审计系统既满足安全防护要求、也要满足集中管理要求,各受保护系统都需要。因此在实际实践中,我们并不需要进行过于理论化的计算,能够区分高中低三种不同的防护需求即可。 根据系统划分的等级,高等级的系统应采用防护能力较强的安全设备进行防护。 对于等级较低的系统在视其边界复杂程度,网络路由设备性能等条件下使用访问控制列表或防火墙进行安全防护。 三、与业务特殊需求一致原则 对防火墙功能有特殊需求的业务系统,如GPRS BG接口防火墙需要支持GTP 协议,可以在边界集中防火墙内部署第二层防火墙、IDS系统,实现深度保护。四、与边界威胁一致原则 由于不同系统的开放性、可控性等方面各不相同,它们的可信度也有明显区别。 与不同威胁等级、可信度的系统互联时,面对的威胁是不同的,因此,必须针对不同的威胁等级选择不同防护强度的防护技术。 五、异构原则 对于需要进行双层防火墙进行防护的系统,为避免因同品牌或同种类防火墙弱点被利用导致双重防护措施全部失效的风险,需要实现双重异构防火墙防护。在防火墙策略设置上,外层防火墙侧重实施粗粒度访问控制,内层防火墙侧重针对特定系统施细粒度访问控制。 五、防火墙种类最小化原则 为便于防火墙设备的日常维护和安全策略的管理,在满足双重异构前提下,应尽 量减少防火墙的种类和品牌数量。 检测步骤: 分析系统网络拓扑、设备及IP地址列表等资料,检查以下内容: 1、被查业务系统所有设备是否均已纳入防护范围,并实现集中化防护; 2是否针对业务系统不同等级的防护需求部署不同强度的防护手段; 3、若业务系统存在特殊需求,是否有针对性措施进行深度防护; 4、对于已部署双层防火墙防护的系统,是否满足双重异构防火墙防护方式对防
解读国标GBT35273_2017年《信息安全技术个人信息安全规范》
解读国标GBT 35273-2017《信息安全技术个人信息安全规范》 发布时间:2018-01-28浏览:578 按照国家标准化管理委员会2017年第32号中国国家标准公告,全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布,将于2018年5月1日实施。 本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容,解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。 一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”,对个人信息控制者对个人信息的保存提出具体要求,包括以下内容: 6.1 个人信息保存时间最小化 对个人信息控制者的要求包括: a) 个人信息保存期限应为实现目的所必需的最短时间; b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。 6.2 去标识化处理 收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。 6.3 个人敏感信息的传输和存储 对个人信息控制者的要求包括: a) 传输和存储个人敏感信息时,应采用加密等安全措施; b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。 6.4 个人信息控制者停止运营 当个人信息控制者停止运营其产品或服务时,应: a) 及时停止继续收集个人信息的活动; b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体; c) 对其所持有的个人信息进行删除或匿名化处理。 二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容: 9.1 安全事件应急处置和报告 对个人信息控制者的要求包括: a) 应制定个人信息安全事件应急预案; b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程; c) 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置: 1) 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门; 2) 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患; 3) 按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或
企业信息安全规范
信息安全管理规范 第一章总则 第一条为规范企业信息系统及所承担维护服务的用户信息系统的信息安全管理,促进信息安全管理工作体系化、规范化,提高信息系统和网络服务质量,提高信息系统管理人员、维护人员以及使用人员的整体安全素质和水平,特制定本管理规范。本管理规范目标是为公司信息安全管理提供清晰的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全的所需支持和承诺。 第二条本规范是指导公司信息安全工作的基本依据,信息安全相关人员必须认真执行本规程,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全维护管理工作。 第三条信息安全是公司及所承担的用户信息系统系统运维服务工作的重要内容。公司管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源。 第四条本规范的适用范围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员,它适用于本公司全部员工,集成商,软件开发商,产品提供商,商务伙伴和使用公司信息系统的其他第三方。 第五条本规范适用于公司所承担服务支撑的外部各单位的信息系统的安全工作范围。 第六条本规范主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、电信行业规范和相关标准。 第二章安全管理的主要原则 第七条管理与技术并重的原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,应重视管理,不断积累完善各个信息安全管理章程与规定,全面提高信息安全管理水平。
第八条全过程原则:信息安全是一个系统工程,应将它落实在系统建设、运行、维护、管理的全过程中,安全系统应遵循与信息系统同步规划、同步建设、同步运行的原则,在任何一个环节的疏忽都可能给信息系统带来危害。 第九条风险管理和风险控制原则:应进行安全风险管理和风险控制,以可以接受的成本或最小成本,确认、控制、排除可能影响公司信息系统的安全风险,并将其带来的危害最小化。 第十条分级保护原则:应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。制订各类网络系统和信息资产的安全保护等级表,在表中明确资产类别,同时确定对何种资产应达到何种级别的安全。 第十一条统一规划、分级管理实施原则:信息安全管理遵循统一规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规划,负责信息安全管理办法的制定和监督实施。各级部门在信息安全领导小组指导与监督下,负责具体实施。 第十二条平衡原则:在公司信息安全管理过程中,应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。 第十三条动态管理原则:在公司信息安全管理过程中,应遵循动态管理原则,要针对信息系统环境的变动情况及时调整管理办法。 第三章安全组织和职责 第十四条建立和健全信息安全组织,设立由高层领导组成的信息安全领导小组,对于信息安全方面的重大问题做出决策,协调信息安全相关各部门之间的关系,并支持和推动信息安全工作在整个信息系统范围内的实施。 第十五条公司应设置相应的信息安全管理机构,负责信息系统的信息安全管理工作,配备专职安全管理员,由安全管理员具体执行本公司信息安全方面的相关工作。 第十六条公司信息系统的安全管理机构职责如下: 根据本规范制定信息系统的信息安全管理制度、标准规范和执行程序;