国家标准数据库管理系统安全评价准则-全国信息安全标准化技术

国家标准《数据安全技术数据安全风险评估方法》(报批稿)
试点启动会在京召开
佚名
【期刊名称】《信息技术与标准化》
【年(卷),期】2024()6
【摘要】全国网络安全标准化技术委员会(以下简称“网安标委”)秘书处近日在北京组织召开国家标准《数据安全技术数据安全风险评估方法》(报批稿)试点启动会。

本次试点工作旨在验证标准的科学性、合理性、可操作性和适用性,形成数据安全
风险评估典型案例和应用经验,为标准推广应用积累经验,为数据安全风险评估工作
提供标准支撑。

【总页数】1页(P69-69)
【正文语种】中文
【中图分类】TP3
【相关文献】
1.产业发展标准先行——第三次《工业机器人控制装置》国家标准工作组会及《数控机床电气设备及系统安全》国家标准制定启动会在京召开
2.强制性国家标
准《电动自行车安全技术规范》报批稿公示3.大数据安全技术和标准研讨会召开
聚焦大数据安全标准化需求4.《网络安全审查办法(征求意见稿)》、《数据安全管理办法(征求意见稿)》意见征求会在京召开5.国家标准《信息安全技术关键信息
基础设施安全检查评估指南》试点工作启动
因版权原因，仅展示原文概要，查看原文内容请购买。

信息安全技术数据库管理系统安全技术要求信息安全技术数据库管理系统安全技术要求1.引言本文档旨在确保信息安全技术数据库管理系统的安全性，保护数据库系统中的数据免受未经授权的访问、修改、泄露和破坏。

该系统用于存储和管理敏感信息和机密数据，因此需要严格的安全措施来保护其完整性和可信度。

2.范围该文档适用于信息安全技术数据库管理系统及其相关组件和设备，包括但不限于服务器、数据库软件、网络设备和存储设备等。

3.安全策略3.1 访问控制3.1.1 用户身份验证要求所有用户在访问系统前进行身份验证，采用强密码策略，并建议定期更换密码。

用户应仅获得所需权限，不得拥有超出其职责范围的权限。

3.1.2 多因素认证建议在用户身份验证中采用多因素认证，如使用密码配合生物特征识别、令牌和证书等。

3.1.3 访问授权用户应按照其职责和工作需求获得适当的访问权限。

不同层级的管理员应具有不同级别的权限，以控制其对系统的管理和配置。

3.2 数据保护3.2.1 数据加密对敏感和机密数据进行适当的加密，包括数据传输过程中和数据存储时的加密保护。

3.2.2 数据备份与恢复定期备份数据库中的数据，并确保备份数据的可用性和完整性。

测试备份和恢复过程，以验证其有效性。

3.2.3 数据传输安全要求在数据传输过程中使用安全的通信协议和加密技术，以防止数据被窃听、篡改或伪造。

3.3 系统安全3.3.1 操作系统安全确保操作系统的安全性和稳定性，包括及时安装补丁、限制操作系统权限和禁用不必要的服务和功能等。

3.3.2 应用程序安全对数据库管理系统及相关应用程序进行安全配置和安全测试，以防止应用程序漏洞被利用。

3.3.3 安全审计与监控建立日志记录和审计机制，记录用户访问、操作和系统事件。

监控系统的可疑活动，并及时报告、调查和采取相应的应对措施。

4.附件本文档附带以下附件：- 数据库管理系统安全配置指南- 用户权限分配表- 系统备份和恢复计划5.法律名词及注释- 信息安全法：指中华人民共和国于2016年6月1日实施的《中华人民共和国网络安全法》。

信息技术安全评估通用准则
《信息技术安全评估通用准则》
信息技术安全评估是企业和组织确保其信息系统和数据安全的重要步骤。

通过对系统、网络和软件的安全性进行全面评估，可以有效识别并解决潜在的安全风险，提高系统的可靠性和稳定性。

在进行信息技术安全评估时，需要遵循一系列通用准则，以确保评估的全面性和有效性。

首先，评估范围和目标需要明确。

在开始评估之前，需要确定评估的范围和目标，包括评估的对象、要求达到的安全标准以及评估的目的。

这有助于明确评估的重点和方向，确保评估的有效性。

其次，评估过程和方法需科学合理。

评估过程需要遵循科学的方法论，包括对系统结构和功能的详细了解、安全漏洞的识别和分析、安全风险的评估和等级划分等步骤。

评估方法需要综合运用技术手段和专业知识，以确保评估的全面性和准确性。

此外，评估结果需客观真实。

评估结果需要客观、准确地反映出系统的安全状况和存在的安全风险。

评估人员应该坚持客观公正的原则，不受外部因素的影响，确保评估结果的真实性和可信度。

最后，评估报告需清晰完整。

评估完成后，需要及时编制和提交评估报告，报告内容应该包括对评估范围和目标的描述、评估过程和方法的说明、评估结果的总结和分析、安全风险的建议措施等内容。

报告需清晰明了，让相关人员可以清晰地了解评估结果和建议措施，以便及时采取应对措施。

总之，《信息技术安全评估通用准则》是进行信息技术安全评估时的重要参考，遵循这些准则有助于提高评估的质量和效果，确保信息系统的安全性和可靠性。

安全评价标准安全评价标准是对安全性进行评估和衡量的指导方针和准则。

它是为了确保系统、组织或产品达到预期的安全目标而制定的。

安全评价标准的制定是为了保护信息系统和数据的完整性、可用性和保密性。

以下是关于安全评价标准的一些相关参考内容：1. 国家级安全评价标准：国家级安全评价标准是由政府或国家规定的，适用于特定行业或领域。

这些标准是为了确保国家的安全和稳定而制定的。

例如，中国信息安全评测中心（CNITSEC）发布的《信息安全产品评测管理规范》就是一个国家级的评价标准。

2. 国际标准化组织（ISO）标准：ISO制定了许多与安全评价相关的标准，如ISO 27001（信息安全管理体系要求）、ISO 27002（信息安全管理实践指南）等。

这些标准提供了一套综合的安全评估准则，适用于各种组织和行业。

3. 具体行业的安全评价标准：许多行业都有自己的安全评价标准，这些标准通常是根据该行业的特殊需求和风险制定的。

例如，金融行业有PCI DSS（支付卡行业数据安全标准），医疗行业有HIPAA（健康保险便携与责任法案）等。

4. 云计算安全评价标准：随着云计算的普及，确保云计算环境的安全已成为重要任务之一。

云计算安全评价标准包括云服务提供商的安全评估，以及云计算用户的安全要求和评估。

例如，云安全联盟（CSA）发布的《云计算安全指南》提供了一个综合的安全评价框架。

5. 安全评估方法：除了安全评价标准外，有许多安全评估方法可以用于评估系统、组织或产品的安全性。

例如，风险评估、威胁建模、脆弱性扫描等。

这些方法可以根据实际需求选择和组合使用。

总之，安全评价标准是确保系统、组织或产品达到预期的安全目标的指导方针和准则。

它们可以是国家级的、国际标准化组织制定的，也可以是特定行业的标准。

此外，安全评价方法也是评估安全性的重要手段之一。

大数据标准体系大数据标准体系包括数据处理、数据整理和数据分析三个基础标准。

其中，数据处理标准包括总则、术语和参考模型等一级分类和数据元素值格式记法等二级分类。

数据整理标准包括元数据注册系统(MDR)的框架、分类、注册系统元模型与基本属性、数据定义的形成、命名和标识原则以及注册等六个部分。

数据分析标准包括XML使用指南和信息技术实现元数据注册系统内容一致性的规程等。

其中，GB/T -2000是信息技术大数据标准化指南，GB/T .1-/T .6-2009是元数据注册系统(MDR)的六个部分标准，GB/T -2007是XML使用指南标准，GB/T .1-/T .3-2009是信息技术实现元数据注册系统内容一致性的规程的两个部分标准。

此外，还有信息技术元模型互操作性框架的四个部分标准、信息技术元数据模块(MM)的框架标准、信息技术技术标准及规范文件的元数据标准、信息技术通用逻辑基于逻辑的语系的框架标准、跨平台的元数据检索、提取与汇交协议标准、信息技术异构媒体数据统一语义描述标准以及信息技术大数据分析总体技术要求标准。

大数据标准体系的建立有助于促进大数据的开发和应用，并提高数据的可靠性和安全性。

各个标准的制定和实施，需要不断完善和更新，以适应不断发展的大数据行业需求。

数据访问和安全标准数据访问和安全是信息技术领域中非常重要的方面。

以下是一些相关的标准和指南。

GB/T -2008：该标准规定了数据元和数据元组的定义和表示方法。

GB/T -2005：该标准规定了数据交换格式。

GB/T -2006：该标准规定了数据元和数据元组的命名规则。

GB/T -2008：该标准规定了数据元和数据元组的元数据。

GB/T -2008：该标准规定了数据元和数据元组的元数据管理。

信息技术大数据分析过程模型参考指南：该指南提供了大数据分析过程模型的参考，并提供了一些实用的指导原则。

信息技术数据库语言SQL第1部分：框架：该标准规定了SQL语言的框架和基本规则。

数据安全评估标准
数据安全评估标准是用于确定和评估组织或系统的数据安全性的基准和指导原则。

以下是一些常见的数据安全评估标准：
1. ISO 27001：这是国际标准化组织制定的信息安全管理系统（ISMS）的国际标准。

它提供了一个框架，用于建立、实施、操作、监控、审查、维护和改进信息安全管理系统。

2. NIST SP 800-53：这是美国国家标准与技术研究所（NIST）发布的一系列安全控制的目录，适用于联邦信息处理标准（FIPS）。

3. GDPR：通用数据保护法规是欧洲颁布的一项数据保护和隐
私法规，适用于所有处理和存储欧洲公民个人数据的组织。

4. HIPAA：医疗保险便携与隐私法案是美国联邦法律，旨在
保护个人的医疗信息和隐私。

5. PCI DSS：支付卡行业数据安全标准是一个强制性的数据安
全标准，适用于处理信用卡信息的组织。

6. CSA CCM：云安全联盟云控制矛盾矩阵是一个云计算安全
标准，提供了一套云计算环境中的控制要求。

这些标准提供了一个参考框架，帮助组织评估其数据安全性，并采取适当的措施来保护数据免受潜在的威胁。

全国信息安全标准化技术委员会关于印发《信息安全技术信息系统安全等级保护基本要求》国家标准报批稿的通知文章属性•【制定机关】全国信息安全标准化技术委员会•【公布日期】2007.06.27•【文号】信安字[2007]12号•【施行日期】2007.06.27•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】标准化正文全国信息安全标准化技术委员会关于印发《信息安全技术信息系统安全等级保护基本要求》国家标准报批稿的通知（信安字〔2007〕12号）各有关单位：《信息安全技术信息系统安全等级保护基本要求》国家标准基本成熟，通过了全国信息安全标准化技术委员会的审查，已形成国家标准报批稿，正在报批过程中。

为推动正在进行的全国信息系统安全等级保护工作，经信安标委主任办公会议同意，现将该国家标准报批稿先印发给你们，供在工作中参考。

特此通知。

全国信息安全标准化技术委员会二00七年六月二十七日附件：《信息安全技术信息系统安全等级保护基本要求》信息安全技术信息系统安全等级保护基本要求GB/T 0000-0000Information security technology-Baseline for classified protection of information system前言本标准的附录A和附录B是规范性附录。

本标准由公安部和全国信息安全标准化技术委员会提出。

本标准由全国信息安全标准化技术委员会归口。

本标准起草单位：公安部信息安全等级保护评估中心。

本标准主要起草人：马力、任卫红、李明、袁静、谢朝海、曲洁、李升、陈雪秀、朱建平、黄洪、刘静、罗峥、毕马宁。

引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。

ICS 35.040L 80中华人民共和国国家标准GB/T ××××—××××信息安全技术信息安全风险评估规范Information security technology-Risk assessment specification for information security（报批稿）××××-××-××发布××××-××-××实施国家质量监督检验检疫总局发布目次前言 (II)引言 (III)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 风险评估框架及流程 (4)4.1 风险要素关系 (4)4.2 风险分析原理 (5)4.3 实施流程 (5)5 风险评估实施 (6)5.1 风险评估准备 (6)5.2 资产识别 (8)5.3 威胁识别 (12)5.4 脆弱性识别 (14)5.5 已有安全措施确认 (16)5.6 风险分析 (17)5.7 风险评估文档记录 (19)6 信息系统生命周期各阶段的风险评估 (20)6.1 信息系统生命周期概述 (20)6.2 规划阶段的风险评估 (20)6.3 设计阶段的风险评估 (21)6.4 实施阶段的风险评估 (22)6.5 运行维护阶段的风险评估 (23)6.6 废弃阶段的风险评估 (23)7 风险评估的工作形式 (24)7.1 概述 (24)7.2 自评估 (24)7.3 检查评估 (24)附录A (资料性附录) 风险的计算方法 (27)A.1 使用矩阵法计算风险 (26)A.2 使用相乘法计算风险 (31)附录B (资料性附录)风险评估的工具 (35)B.1 风险评估与管理工具 (35)B.2 系统基础平台风险评估工具 (36)B.3 风险评估辅助工具 (37)参考文献 (37)前言本标准附录A和附录B是资料性附录。

信息安全技术单选模拟习题（附参考答案）1、将电子邮件发送到邮件服务器的简单邮件传输协议是A、POP3B、SMTPC、DNSD、V答案：B本题考查的是电子邮件发送的协议，根据常识和网络知识，我们知道电子邮件发送的协议是SMTP（Simple Mail Transfer Protocol），因此答案为B。

A选项POP3（Post Office Protocol 3）是接收邮件的协议，C选项DNS （Domain Name System）是域名解析系统，D选项V无法确定其含义，因此都不是正确答案。

2、信息安全的目标是( )。

A、通过权威安全机构的评测B、无明显风险存在C、将残留风险保护在机构可以随时控制的范围内D、将残留风险降低为0答案：C信息安全的目标是保护信息系统的机密性、完整性和可用性，同时确保信息系统的合规性和可靠性。

在实际应用中，完全消除风险是不可能的，因此信息安全的目标是将残留风险保护在机构可以随时控制的范围内，以最大程度地保护信息系统的安全。

因此，选项C是正确答案。

选项A和B都没有涉及到信息安全的目标，选项D则过于理想化，不符合实际情况。

3、使用Caesar密码，k取值为3,则对明文"meet me after the toga party" 加密得到的密文是A、phhw ph diwhu wkh wrjd sduwbB、phhp hd iwhuw khw rjds ouwbwC、phop hd iwhuw khw rjds ouwwbD、phow ph diwhu wkh wrjd souwb答案：A4、在Windows系统中，查看当前已经启动的服务列表的命令是( )。

A、netB、net startC、net start serviceD、net stop本题考查的是Windows系统中查看已启动服务列表的命令。

根据常识和经验，我们可以知道，Windows系统中查看已启动服务列表的命令应该是“net start”，因此选项B为正确答案。

信息安全技术数据库管理系统安全评估准则随着大数据时代的到来，数据库管理系统在企业信息化建设中扮演着至关重要的角色。

然而，随之而来的是数据库管理系统面临的信息安全风险与挑战。

为了保障数据库管理系统的安全，进行数据库管理系统安全评估就显得尤为重要。

本文将从评估准则的角度探讨数据库管理系统安全评估的相关内容。

一、信息安全技术概述1. 信息安全技术的重要性信息安全技术是指为保护信息系统中的数据和信息安全而采取的一系列技术手段和措施。

信息安全技术的重要性不言而喻，它直接关系到企业的核心利益和国家安全。

随着信息化建设的飞速发展，信息安全问题日益突出，信息安全技术也越来越受到重视。

2. 信息安全技术的内容信息安全技术包括网络安全、数据安全、应用安全等多个方面。

其中，数据库管理系统的安全评估作为信息安全技术的重要组成部分，具有着不可替代的地位。

二、数据库管理系统安全评估的意义1. 保障数据的完整性和保密性数据库管理系统存储着企业的重要数据，这些数据对企业的运营和发展起着至关重要的作用。

数据库管理系统安全评估能够发现系统中存在的安全漏洞和风险，及时采取相应的措施进行修复，有效保障数据的完整性和保密性。

2. 防范内部外部威胁数据库管理系统安全评估能够及时发现数据库系统中存在的安全隐患和风险，有效防范内部和外部的威胁。

避免因为数据库系统的安全漏洞导致的数据泄露、损坏等风险。

3. 提升系统运行效率通过数据库管理系统安全评估，可以及时清理系统中存在的垃圾数据、无效数据，优化数据库系统的结构和性能，提升系统的运行效率和稳定性。

三、数据库管理系统安全评估准则1. 合规性评估合规性评估是数据库管理系统安全评估的重要内容之一。

通过对数据库管理系统相关法律法规、行业标准的遵循情况进行评估，确保数据库系统的合法合规运行。

2. 安全性评估安全性评估是数据库管理系统安全评估的核心内容。

包括对系统的身份认证、访问控制、加密技术、审计等安全机制的有效性和完善性进行评估，发现系统中的安全风险和漏洞，及时采取相应的措施予以修复。

151.信息收集与分析的防范措施包括（）。

A、部署网络安全B、减少攻击面C、修改默认配置D、设置安全设备应对信息收集152.对于信息安全的特征，下列说法正确的有（）。

A、信息安全是一个系统的安全B、信息安全是一个动态的安全C、信息安全是一个无边界的安全D、信息安全是一个非传统的安全153.应用层安全服务系统包括（）等。

A、系统安全B、应用软件安全C、数据存储安全D、大数据处理安154.主动防护根据采用的技术可以分为两种，分别为（）。

B、信息拦截过滤C、数字加密155.计算机病毒可能造成的危害有哪些（）。

abcd156.身份认证一般依据以下几种基本情况的组合来鉴别用户身份，包括（）。

A、用户所知道的东西，如口令，密钥等。

B、用户所拥有的东西，如印章，U盾等C、用户所具有的生物特征，如指纹，声音，虹膜，人脸等157.下列选项中，属于社会工程学在安全意识培训方面进行防御的措施是（?）。

B、知道什么是社会工程学攻击C、知道社会工程学攻击利用什么158.计算机后门的作用包括（）。

abcd159.数据安全有以下哪几种（）潜在的安全问题。

abcd160.DIC体系主要由哪三个基础平台构成（）。

A、数字版权登记平台B、数字版权费用结算平台D、数字版权检测取证平台161.无线网络协议存在许多安全漏洞，给攻击者（）等机会。

abcd162.数据内容面临的常见安全威胁有以下三个方面（）。

A、数字内容盗版B、隐私保护D、网络舆情监控163.电脑病毒特点有哪些（）。

A、寄生性B、传染性C、潜伏性164.管理风险的方法，具体包括（）。

abcd165.防火墙的主要功能包括（）等。

A、审计和报警B、网络地址转换，代理，流量控制与统计分C、包过滤166.《网络安全法》第二次审议时提出的制度有（）C、明确重要数据境内存储D、建立数据跨境安全评估制度167.大数据技术包括数据()分析和可视化，是挖掘并展示数据中信息的系列技术和手段。

abcd168.大数据的发展将改变经济社会管理方式，促进行业融合发展，以及（）。

一、单项选择题在下列各题的四个选项中，只有一个答案是符合题目要求的。

【单选题】第（1）题对于常见的广告型垃圾邮件，可以采用（）技术。

【2 分】A. 智能内容过滤B. 黑白名单过滤C. 电子邮件加密D. 电子邮件签名本题答案：ABCD【单选题】第（2）题（）是最常用的一类访问控制机制，用来决定一个用户是否有权访问一些特定客体的访问约束机制。

【2 分】A. 自主访问控制B. 强制访问控制C. 角色访问控制D. 身份访问控制本题答案：ABCD【单选题】第（3）题密码学中的 ()技术是将实际生活中的手写签名移植到数字世界中的技术，可以防止伪造、篡改和否认等威胁。

【2 分】A. 非对称密码B. 对称密码C. 哈希函数D. 数字签名本题答案：ABCD【单选题】第（4）题下列对安全超文本传输协议的描述，错误的是（）。

【2 分】A. 安全超文本传输协议是HTTP 协议的安全版B. 广泛用于因特网上安全敏感的通信C. 是用于网上电子银行签名和数字认证的工具D. 安全超文本传输协议是以安全为目标的本题答案：ABCD【单选题】第（5）题( )是黑客攻击和垃圾邮件制造者常用的方法。

【2 分】A. 邮件地址欺骗B. 垃圾邮件C. 邮件病毒D. 邮件炸弹本题答案：ABCD【单选题】第（6）题随着云计算和云技术的发展，越来越多的人使用( )的方式来保存重要资料。

【2 分】A. 数据加密B. 电子邮箱C. 云备份D. 磁盘拷贝本题答案：ABCD【单选题】第（7）题可以融合多种认证技术，提供接入多元化、核心架构统一化、应用服务综合化的智能认证技术是（）。

【2 分】A. 行为认证技术B. 自动认证技术C. 访问控制技术D. 生物认证技术本题答案：ABCD【单选题】第（8）题通信保密阶段重点是通过（）解决通信保密问题，保证数据的机密性和可靠性。

【2 分】A. 加密算法B. 公钥技术C. 信息系统安全模型D. 密码技术本题答案：ABCD【单选题】第（9）题根据已知入侵攻击的信息来检测系统中的入侵和攻击行为，对现有的各种攻击手段进行分析，建立特征集合，操作时将当前数据与特征集合进行比对的检测是（）。

信息安全通用评估准则
信息安全通用评估准则（Common Criteria for Information Technology Security Evaluation，简称CC）是一种国际标准，
用于评估计算机系统和产品的信息安全性能。

CC由国际标准
化组织（ISO）和国际电工委员会（IEC）共同制定。

以下是CC的一些通用评估准则：
1. 安全功能：评估系统或产品是否具备适当的安全功能，如用户身份认证、访问控制、数据保护等。

2. 安全保证：评估系统或产品的安全设计和实施是否符合标准，是否有适当的安全措施来防护安全威胁。

3. 安全目标：评估系统或产品是否具备定义明确的安全目标，如机密性、完整性和可用性等。

4. 安全等级：评估系统或产品的安全等级，根据其对不同威胁和攻击的防护能力来划分。

5. 安全功能需求：评估系统或产品是否满足特定的安全功能需求，如使用密码学算法、安全通信协议等。

6. 安全测试与验证：评估系统或产品的安全功能是否经过测试和验证，以确保其符合预期的安全性能。

7. 安全文档：评估系统或产品的相关文档是否清晰明确地记录了安全设计和实施的细节。

8. 安全审计与监控：评估系统或产品是否具备适当的安全审计和监控功能，以便检测和响应安全事件。

通过CC的评估准则，可以对计算机系统和产品的安全性能进行全面评估，帮助用户选购和使用具有较高信息安全性能的产品。

老规矩：多选题没有答案就选ABCD，判断题没有答案就答对，保过2019辽宁省干部在线学习网络安全知识读本考试题及参考答案【单选题】第（1）题访问控制安全策略实施遵循（）原则。

【2分】A. 最小特权B. 最大化C. 灵活性D. 安全性【单选题】第（2）题数字版权管理不具有的功能（）。

【2分】A. 数字媒体加密B. 个人隐私保护C. 用户环境检测D. 用户行为监控【单选题】第（3）题通过观察系统运行过程中的异常现象，将用户当前行为与正常行为进行比对，当二者行为相差超出预设阈值时，就认为存在攻击行为的方法是（）。

【2分】A. 异常入侵检测B. 特征检测C. 防火墙检测D. 密码学检测【单选题】第（4）题根据已知入侵攻击的信息来检测系统中的入侵和攻击行为，对现有的各种攻击手段进行分析，建立特征集合，操作时将当前数据与特征集合进行比对的检测是（）。

【2分】A. 异常入侵检测B. 特征检测C. 防火墙检测D. 密码学检测【单选题】第（5）题对Cookie的描述，错误的是（）。

【2分】A. 指网站放置在个人计算机上的小程序B. 用于存储用户信息和用户偏好的资料C. 可以记录用户访问某个网站的账户和口令D. Cookie保存的信息中常含有一些个人隐私信息【单选题】第（6）题( )年，“棱镜门”事件在全球持续发酵。

【2分】A. 2013B. 2014C. 2015D. 2016【单选题】第（7）题对于技术截获（泄露信息）的攻击威胁，解决问题的密码学技术是（）。

【2分】A. 对称密码和非对称密码B. 哈希函数C. 数字签名D. 其他【单选题】第（8）题随着云计算和云技术的发展，越来越多的人使用( )的方式来保存重要资料。

【2分】A. 数据加密B. 电子邮箱C. 云备份D. 磁盘拷贝【单选题】第（9）题网络空间安全的发展历程经历了（）个阶段。

【2分】A. 3B. 2C. 4D. 5【单选题】第（10）题RBAC是目前国际上流行的先进的安全访问控制方法，中文名字称为（）。

信息安全技术国标信息安全技术国标（GB/T）是我国在信息安全领域的技术标准，对于规范和指导信息安全技术的发展具有重要意义。

信息安全技术国标主要包括信息安全管理、密码技术、网络安全、应用安全、安全评估等多个方面，下面就信息安全技术国标展开详细介绍。

一、信息安全管理信息安全管理是信息安全工作的基础，也是国标中一个重要的领域。

信息安全管理国标主要围绕着信息安全体系建设、安全管理机制和安全管理要求等方面进行规范。

信息安全体系建设要求建立完整的信息安全管理体系，并结合实际情况，制定有效的信息安全政策和流程。

而安全管理机制要求规范组织机构安全架构、安全培训和管理流程等内容，确保信息资产得到有效管理和保护。

安全管理要求还包括了安全检查、安全事件处理和安全改进等方面的规范，以应对信息安全管理过程中出现的问题和风险。

二、密码技术密码技术是信息安全领域的核心技术之一，国标中也对密码技术进行了相关规范。

包括了密码算法的选择、密码产品的设计和开发、密码产品测试和安全评估等多个方面。

密码算法的选择要求采用国家规定的安全密码算法，并指导密码算法在各个领域的具体应用。

而密码产品的设计和开发要求规范密码产品的安全设计和实现，并对密码产品的开发过程进行详细的说明。

密码产品测试和安全评估则是确保密码产品的安全性和可靠性的重要环节，需要满足国家相关的测试要求和标准。

三、网络安全网络安全国标涵盖了网络安全基本要求、网络防护技术和网络安全事件处理等内容。

其中网络安全基本要求要求对网络安全的基本概念和基本框架进行详细规范，为网络安全工作提供了基本依据。

而网络防护技术则是对网络安全防护的技术手段和方法进行了规范，包括了网络边界防护、入侵检测、网络安全监控等多方面内容。

网络安全事件处理要求也对网络安全事件的分类、处理流程和信息报送等方面进行了详细规范，以确保网络安全事件得到及时、有效的处理。

四、应用安全应用安全主要包括了应用系统安全要求、安全设计和开发、应用系统安全测试等方面内容。

信息安全等级保护（二级）建设方案目录1.项目概述 (5)1.1. 项目建设目标 (5)1.2. 项目参考标准 (6)1.3. 方案设计原则 (9)2. 系统现状分析 (10)2.1. 系统定级情况说明 (10)2.2. 业务系统说明 (11)2.3. 网络结构说明 (11)3. 安全需求分析 (12)3.1. 物理安全需求分析 (12)3.2. 网络安全需求分析 (12)3.3. 主机安全需求分析 (13)3.4. 应用安全需求分析 (13)3.5. 数据安全需求分析 (13)3.6. 安全管理制度需求分析 (14)4. 总体方案设计 (14)4.1. 总体设计目标 (14)4.2. 总体安全体系设计 (14)4.3. 总体网络架构设计 (18)4.4. 安全域划分说明 (18)5. 详细方案设计技术部分 (19)5.1. 物理安全 (19)5.2. 网络安全 (19)5.2.1.安全域边界隔离技术 (19)5.2.2.入侵防范技术 (20)5.2.3.网页防篡改技术 (20)5.2.4.链路负载均衡技术 (20)5.2.5.网络安全审计 (20)5.3. 主机安全 (21)5.3.1.数据库安全审计 (21)5.3.2.运维堡垒主机 (22)5.3.3.主机防病毒技术 (23)5.4. 应用安全 (23)6. 详细方案设计管理部分 (24)6.1. 总体安全方针与安全策略 (24)6.2. 信息安全管理制度 (25)6.3. 安全管理机构 (26)6.4. 人员安全管理 (26)6.5. 系统建设管理 (27)6.6. 系统运维管理 (27)6.7. 安全管理制度汇总 (30)7. 咨询服务和系统测评 (31)7.1. 系统定级服务 (31)7.2. 风险评估和安全加固服务 (32)7.2.1.漏洞扫描 (32)7.2.2.渗透测试 (32)7.2.3.配置核查 (32)7.2.4.安全加固 (32)7.2.5.安全管理制度编写 (35)7.2.6.安全培训 (35)7.3. 系统测评服务 (35)8. 项目预算与配置清单 (35)8.1. 项目预算一期（等保二级基本要求） (35)8.2. 利旧安全设备使用说明 (37)1.项目概述1.1.项目建设目标为了进一步贯彻落实教育行业信息安全等级保护制度，推进学校信息安全等级保护工作，依照国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准，对学校的网络和信息系统进行等级保护定级，按信息系统逐个编制定级报告和定级备案表，并指导学校信息化人员将定级材料提交当地公安机关备案。

"信息技术安全技术信息技术安全评估准则第2部分：安全功能组件" 是中国国家标准体系下关于信息技术产品或系统安全评估的一个细分标准，主要针对的是信息系统的安全功能要求和实现。

这一部分通常会详细规定信息系统在设计和实现时应具备的安全功能模块及其具体要求，确保这些功能能够有效保护信息系统免受各类威胁、攻击和风险。

GB/T 18336系列标准是中国参照国际通用的信息技术安全性评估准则（Common Criteria, CC）制定的，并结合了中国的国情和实际需求。

根据提供的最新资料，GB/T 18336.2-2015是该系列标准的2015版，它并非强制性国家标准，但对信息安全领域的产品开发和采购具有重要的指导意义，相关机构和个人可以免费下载预览该标准的部分内容。

随着时间推移，标准可能会有新的修订版本发布以适应不断发展的信息技术环境和技术进步带来的新挑战。

如果您需要了解最新的标准状态或者获取具体内容，请查阅国家标准化管理委员会等官方渠道发布的最新版国家标准文档。

数据安全相关国标
以下是一些与数据安全相关的国家标准：
1. GB/T 22239-2017 个人信息安全技术规范：该标准规定了个
人信息安全管理的基本要求，包括个人信息的归类与分级、个人信息处理的安全控制等内容。

2. GB/T 35273-2017 个人信息安全规范：该标准规定了个人信
息安全保护的基本要求，包括个人信息采集、存储和使用的限制，个人信息安全事件的响应与处置等内容。

3. GB/T 50311-2018 信息安全技术网络安全等级保护管理规范：该标准规定了网络安全等级保护的管理要求，包括信息系统安全等级划分、安全保护措施的要求等内容。

4. GB/T 32918-2016 大数据安全能力评估规范：该标准规定了
对大数据安全能力的评估方法和指标体系，包括大数据安全管理、大数据安全技术等方面的评估要求。

5. GB/T 31117-2014 信息安全技术个人身份信息使用规范：该
标准规定了个人身份信息的合法使用和保护要求，包括个人身份识别、个人身份信息采集和使用等方面的规范。

这些国家标准旨在规范和指导数据安全领域的工作，帮助组织和个人有效保护数据安全，防范数据泄露和滥用的风险。