信息安全等级保护制度定级 → 备案 → 建设整改 → 等级测评（由具备资质的第三方机构执行） → 监督检查

一、网络安全防护技术防火墙Firewall部署在网络边界如企业出口基于预设规则IP/端口/协议/应用层策略控制进出流量实现访问过滤与网络隔离。分为包过滤、状态检测、应用代理和下一代防火墙NGFW集成IPS、AV、URL过滤等。入侵检测系统IDS被动监控网络或主机行为通过特征匹配签名检测或异常建模行为分析识别潜在攻击生成告警但不主动阻断常见类型有网络型NIDS和主机型HIDS。病毒防治技术包括终端杀毒软件基于特征码、启发式引擎、沙箱动态分析、邮件网关防病毒、云查杀与威胁情报联动强调“防-检-清-溯”闭环需定期更新病毒库与行为规则。访问控制Access Control依据主体身份与权限策略限制资源访问主流模型包括• DAC自主访问控制如Linux文件权限• MAC强制访问控制如SELinux基于安全标签• RBAC基于角色如管理员/普通用户• ABAC基于属性动态策略适用于云环境二、信息安全等级保护制度等保2.0中国《网络安全法》《数据安全法》明确要求关键信息基础设施及重要信息系统实行等级保护。定级对象网络系统、平台、数据处理活动等。五级划分标准GB/T 22239–2019•第一级受破坏后对公民权益有轻微影响如小型网站→ 自主保护•第二级对社会秩序或公共利益造成一般损害如县级政务系统→ 指导保护•第三级对社会秩序、公共利益造成严重损害或对国家安全造成一般损害如地市级政务云、金融核心业务系统→ 监督保护等保合规强制要求起点•第四级对国家安全造成严重损害如国家能源调度系统→ 强制保护•第五级对国家安全造成特别严重损害如国家级指挥系统→ 专控保护。实施流程定级 → 备案 → 建设整改 → 等级测评由具备资质的第三方机构执行 → 监督检查。三、知识产权种类及软件著作权三大基本类型•著作权版权自动产生保护原创表达文字、代码、图像、音乐等不保护思想、算法、功能•专利权需向国家知识产权局申请并审查授权保护技术方案如新型加密算法硬件实现、独特UI交互逻辑强调新颖性、创造性、实用性•商标权注册取得保护品牌标识名称、Logo、Slogan防止混淆与不正当竞争。软件著作权•保护内容源代码、目标代码、用户手册、设计文档等具有独创性的表达形式不保护开发思想、处理过程、操作方法、数学概念或算法本身。•保护期限– 自然人作者终生 死亡后50年2021年《著作权法》修订后已统一为70年自2021年6月1日起施行– 法人/组织软件首次发表后50年修订后亦同步延长至70年– 未发表软件创作完成后50年修订后为70年。• 注中国实行“自动保护原则”无需登记但著作权登记证书是维权时的重要初步证据。四、标准化组织与软件工程规范组织全称主要作用典型标准示例ISO国际标准化组织协调全球标准制定推动技术互操作与质量保障ISO/IEC 27001信息安全管理体系、ISO/IEC 12207软件生命周期过程、ISO/IEC 25010软件产品质量模型IEEE电气电子工程师学会聚焦信息技术、通信、软硬件工程前沿标准IEEE 802系列以太网/WiFi、IEEE 1012软件验证与确认、IEEE 1074软件开发过程标准ANSI美国国家标准学会协调美国国内标准代表美国参与ISO/IECANSI/ISO/IEC 15504SPICE软件过程评估软件文档标准• GB/T 8567–2006《计算机软件文档编制规范》中国国标• IEEE 830–1998《软件需求规格说明书推荐实践》已更新为IEEE Std 29148• ISO/IEC/IEEE 24765:2017《系统与软件工程——术语》。开发规范• 编码规范如Google Java Style、PEP 8• 安全开发生命周期SDL、DevSecOps流程• 静态/动态代码扫描SAST/DAST集成要求如OWASP ASVS。五、主流开源协议对比与选型指南协议核心条款传染性商业友好度典型代表项目GPL v3修改分发必须开源全部衍生作品禁止Tivo化即硬件锁定含专利授权与反规避条款强传染性修改后分发即需GPL⚠️ 限制商业闭源集成Linux内核、GIMPMIT仅要求保留原始版权声明免责条款允许闭源、商用、修改、 sublicense无传染性✅ 极高最宽松React2017年前、jQueryApache 2.0允许商用/修改/分发明确授予专利许可要求修改文件声明禁止使用贡献者商标弱传染性仅要求修改文件标注不强制整体开源✅ 高兼顾专利保护与商业自由Kubernetes、AndroidAOSP如何选择✓ 若希望生态开放且确保下游持续开源 → 选GPL✓ 若面向商业产品集成、需最大灵活性 → 选MIT✓ 若涉及专利风险如AI/通信领域、需明确专利授权与免责 → 选Apache 2.0✗ 避免混用冲突协议如GPLv2项目中引入Apache 2.0代码可能不兼容建议使用FOSS许可证兼容性矩阵如FSF、OSI官网工具校验。