当前位置:首页 > 签名 > 正文
文章正文

信息安全内容

签名 > :信息安全内容是由173资源网(www.mwopus.com)为您精心收集,如果觉得好,请把这篇文章复制到您的博客或告诉您的朋友,以下是信息安全内容的正文:

第一篇信息安全内容:信息安全的基本知识

信息安全的基本知识_电脑基础知识_IT/计算机_专业资料
暂无评价|0人阅读|0次下载|举报文档
信息安全的基本知识_电脑基础知识_IT/计算机_专业资料。信息安全概述 密码学 数字签名 信息隐藏 计算机病毒、木马、蠕虫 计算机网络 网络安全(防火墙,入侵检测系统,入侵防御系统,拒绝服务攻击/分布式拒绝服务攻击) 网络安全协议理论与技术(PKI,VPN,
信息安全概述 密码学 数字签名 信息隐藏 计算机病毒、木马、蠕虫 计算机网络 网络安全(防火墙,入侵检测系统,入侵防御系统,拒绝服务攻击/分布式拒绝服务攻击) 网络安全协议理论与技术(PKI,VPN,SSL) 操作系统安全 数据库系统 Web 安全防护
一、信息安全概述 信息安全的任务是保护信息财产,以防止偶然的故意为之的未授权者对信息的恶意修 改、破坏以及泄漏,从而导致信息无法处理,不完 整、不可靠。 信息安全具有以下基本属性: (1)保密性(Confindentialy) :保证未授权者无法享用信息,信息不会被非法泄漏而 扩散; (2)完整性(Integrity) :保证信息的来源、去向、内容真实无误; (3)可用性(Availability) :保证网络和信息系统随时可用; (4)可控性(Controllability) :保证信息管理者能对传播的信息及内容实施必要的控 制以及管理; (5)不可否认性(Non-Repudiation):又称不可抵赖性,保证每个信息参与者对各自 的信息行为负责; 其中,前三者又称为信息安全的目标——CIA。
信息安全所面临的危险可以分为自然威胁和人为威胁两方面: 自然威胁:各种自然灾害,恶劣的场地环境,电磁干扰,电磁辐射,网络设备自然老化等; 人为威胁:人为威胁又包含无意威胁(偶然事故)和恶意攻击。 偶然事故:
操作失误:未经允许使用,操作不当,误用存储媒介等; 意外损失:电力线路漏电、搭线等; 编程缺陷:经验、水平不足,检查疏忽等; 意外丢失:数据被盗、被非法复制,设备、传输媒介失窃等; 管理不善:维护不力,管理松懈等; 恶意攻击:又分为主动攻击和被动攻击。 主动攻击:有选择性的修改、删除、伪造、添加、重放、乱序信息,冒充以及制造病毒等; 被动攻击:在不干扰网络信息系统正常工作的情况下,进行侦收,截获,窃取,破译,业务 流量分析以及电磁泄漏等;
信息安全体系:包括信息安全服务与信息安全机制。 信息安全服务:实体鉴别,数据源鉴别,禁止抵赖,访问控制,数据完整性,数据机密性 信息安全机制:加密,访问控制,数字签名,交换鉴别,路由控制,公证机制
信息安全的主要技术包括:加密技术,认证技术,防伪技术,知识产权保护技术,网 络控制技术,反病毒技术,数据库安全技术和安全 审计技术等。
信息安全管理:在“安全方针政策,组织安全,资产分类与控制,人员安全,物理与 环境安全,通信与运营安全、访问控制、系统开发 与维护、业务持续性管理、符合法律法规要求”等十个领域建立管理控制措施,保证组织资 产安全与业务的连续性。
二、密码学 密码学作为信息安全的基础学科,是研究信息以及信息系统安全的传统科学。它又分为: 密码编码学:研究如何对信息编码,以实现信息机器通信保密的科学; 密码分析学:研究如何破解或攻击加密信息的科学。
密码学的发展经历了 4 个阶段: 1. 古典密码学:通过简单的替代、置换或者二者的简单组合实现对信息的加密,比较具有 代表性的有: (1)Caesar 密码:将明文信息中的每个字母,用它在字母表中位置的右边的第 k 个位置上 的字母代替,从而获得相应的密文。 计算公式: c = m + k mod 26 (2)Vigenere 密码:典型的多表代替密码。 ci = mi + ki mod 26 2. 机械密码学:加密的原理没有变化,只是由手工加密变为机械加密,加密手段变得越发 复杂,加解密效率得到很大的提高。最著名的是二战时期德国设计的 Enigma 加密机,它使 用了一系列复杂的替代变换来进行加密。 3. 对称密码学:又陈对称密码体制,是建立在强大的数学理论基础上,加解密均使用相同 密钥的密码算法。1974 年,由美国 IBM 公司提出的 DES(Data Encryption Standard)算 法,推动了对称密码算法的发展。除了 DES 外,还有 3DES,IDEA,RC5,AES 等对称密码 算法。 4. 公钥密码学:又称非对称密码体制,在这种体制下,可以拥有两个不同的密钥,一个可 以公开的密钥(简称公钥),用来对信息进行加密,另一个不可公开,必须保密的密钥(简 称私钥),用来解密。常见的公钥密码算法有:RSA,ElGamal,椭圆曲线等公钥密码体制。
一个密码体制或密码系统由明文空间、密文空间、密钥空间、加密算法和解密算法共 5 个 元素组成。对任何一个密码系统而言,决定其安全性的重要参数是密钥。
常见的密码算法及其原理: 1.DES DES 算法是最早提出的分组密码算法,它对输入数据(明文)划分为特定大小(64 位或者 64 比特)的分组,并对最后一个分组进行填充,以达到所要求大小的整数倍。密钥长度是 56 比特。整个加密过程分为三个阶段: (1)对输入的明文 P 执行一个初始置换 IP,生成 P0.然后将其划分为左右两半,左半部 L0 是 P0 的前 32 位,右半部分 R0 是后 32 位。 (2)对于 L0 和 R0 分别执行 16 轮转换操作,最后输出 L16 与 R16; (3)对于 L16 与 R16 的组合 L16R16 执行逆置换操作 IP-1,生成密文 C
优点:加密速率快 缺点: 固定密钥,密钥过短,才 56 比特,弱密钥(64 个)
2. 3DES 使用 2 个或 3 个密钥,用第一个进行加密,对加密的内容使用第二个密钥进行解密,再使 用第三个密钥进行加密。
3. AES AES 高级加密标准,基于 Rijdeal 算法,采用可变分组(128 比特,192 比特,256 比特) 与可变密钥(128 比特,192 比特,256 比特)。与 DES 类似,对每一组输入数据,完成 以下 3 步操作:
(1) 将分组与一个子密钥进行 XOR 运算; (2) 多次执行标准轮,迭代次数有密钥长度决定; (3) 执行一个规则轮,这一轮没有标准轮中的列混合变换。
经过以上 3 步之后,128 位的明文分组就产生了一个 128 位的密文分组。 轮数的规定如下:128 位的密钥要求进行 9 轮;192 位的密钥要求进行 11 轮;256 位的密 钥则要求进行 13 轮。
而每一轮中又分为以下几个步骤: (1) 字节代替:每个字节通过 S-盒进行代替; (2) 行移位:字节被排列在一个矩形中并进行移位; (3) 列混合:在排好的矩形的基础上进行矩阵乘法; (4) 圈密钥加:叠加本轮的字密钥。
4.RSA RSA 算法是以它的发明者 Ron Rivest、Adi Shamir 和 Leonard Adleman 的名字命名的。它 是基于大数因子分解困难性而设计的。算法如下: (1) 随机选择 2 个大素数(长度最好在 100-200 位之间)P 和 Q,并计算 N=P*Q 与 M=(P-1)*(Q-1); (2) 随机选取正整数 E(1<E<M),使得 gcd(E,M)=1,即 E 与 M 互素; (3) 求解同余式 Ex = 1 mod M,求解出一正整数 D;
(4) 将(N,E)作为公钥公开,(P,Q,D)或者(N,M,D)作为私钥保密; (5) 加密:s=mD mod N;解密:m=sE mod N (6) 用于数字签名时: 签名函数:sig(x,D) = x D mod N; 验证签名:ver(x,E) = x E mod N。
优点:算法简单,安全 缺点:速度慢,硬件实现复杂
密码学比较复杂,是建立在某个数学难题的基础之上的,尤其是非对称密码体制。强大的算 法和足够长的密钥能有效的保证其安全性。
三、入侵检测 入侵检测是指通过从计算机网络或计算机系统中的若干关键点搜集信息,并对其进行分析, 从中发现网络或系统中是否有违反预定安全策略的行为以及被攻击的迹象。
入侵检测系统是一系列软件与硬件的组合,它是一个智能的系统,具有审计,学习、分析数 据的能力。它具备实时性,动态检测和主动防御的特点。
入侵检测系统的工作原理主要包含 4 个方面: 数据收集:收集的数据包括主机日志、防火墙日志、数据库日志、应用程序数据以及网络数 据包等; 数据处理:由于之前收集到的数据过于庞大和繁杂,需要对其进行相应的处理(去除冗余、 噪声,并且进行数据标准化及格式化处理) ; 数据分析:采用、智能算法能方法分析数据是否正常,显示是否存在入侵;行为 响应处理:当发现入侵行为时,采取预案措施进行防护(如切断网络,记录日志) 、并保留 入侵证据以作他日调查所用,同时向管理员报警。 根据入侵检测系统常用的检测技术可将其分为以下几种类型:
误用入侵检测系统:基于特征的模式匹配检测,它只能对已有的入侵模式检测出来,但对新 的入侵模式无能为力,它对预定义的特征库依赖很大。 异常入侵检测系统:根据预设主体的正常“活动简档” ,将当前主体的活动状况与“活动简 挡”作比较,看其是否为违反规律。 协议分析入侵检测系统。 根据数据来源又可分为: 基于主机的 IDS(HIDS): 这类 IDS 一般安装到被保护的主机上。 主要是功能是对该主机的网 络实时连接以及对系统审计日志进行分析和检查, 当发现可疑行为和安全违规事件时, 系统 就会像管理员报警,并采取相应的预案措施; 基于网络的 IDS(NIDS): 这类 IDS 就像网络中的监视摄像头一样, 在网络旁路上监视着通过 网络的各种数据包,并对其进行分析和检测,如果发现入侵行为或可疑事件,IDS 就会作出 相应的警报,严重的还会切断网络连接; 混合式 IDS:以上两种互补。 完整性检查: 文件完整性检查系统检查计算机中自上次检查后文件变化情况。 文件完整性检 查系统保存有每个文件的数字文摘数据库, 每次检查时, 它重新计算文件的数字文摘并将它 与数据库中的值相比较,如不同,则文件已被修改,若相同,文件则未发生变化。文件的数 字文摘通过 Hash 函数计算得到。不管文件长度如何,它的 Hash 函数计算结果是一个固定 长度的数字。与加密算法不同,Hash 算法是一个不可逆的单向函数。采用安全性高的 Hash 算法,如 MD5、SHA 时,两个不同的文件几乎不可能得到相同的 Hash 结果。从而,当文 件一被修改,就可检测出来。在文件完整性检查中功能最全面的当属 Tripwire。 入侵检测方法: 误用检测:特征检测对已知的攻击或入侵的方式作出确定性的描述,形成相应的事件模式。 当被审计的事件与已知的入侵事件模式相匹配时,即报警。原理上与专家系统相仿。其检测 方法上与计算机病毒的检测方式类似。 目前基于对包特征描述的模式匹配应用较为广泛。 该 方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。 检测: 方法的最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但 是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的规 律,从而透过入侵检测系统。
操作模型: 该模型假设异常可通过测量结果与一些固定指标相比较得到, 固定指标可以根据 经验值或一段时间内的平均得到, 举例来说, 在短时间内的多次失败的登录很有可能是 口令尝试攻击; 方差模型:计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能 是异常; 多元模型:操作模型的扩展,通过同时分析多个参数实现检测;
马尔柯夫过程模型: 将每种类型的事件定义为系统状态, 用状态转移矩阵来表示状态的变化, 当一个事件发生时,或状态矩阵该转移的概率较小则可能是异常事件; 时间序列分析模型: 将事件计数与资源耗用根据时间排成序列, 如果一个新事件在该时间发 生的概率较低,则该事件可能是入侵。
专家系统: 用专家系统对入侵进行检测,经常是针对有特征入侵行为。所谓的规则,即是 知识,不同的系统与设置具有不同的规则,且规则之间往往无通用性。专家系统的建立依赖 于知识库的完备性, 知识库的完备性又取决于审计记录的完备性与实时性。 入侵的特征抽取 与表达,是入侵检测专家系统的关键。在系统实现中,将有关入侵的知识转化为 if-then 结 构(也可以是复合结构) ,条件部分为入侵特征,then 部分是系统防范措施。运用专家系统 防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。 四、基于应用的安全体系 所谓应用是在硬件平台上运行业务服务的软件系统。 通常可以划分成表示层、 业务逻辑层和 数据层为首的三层体系结构。应用主要包括以下组件: 硬件体系结构 所有应用设备、内存、磁盘、外设、控制台、网卡等方面的物理特性描述。 进程体系结构 所有主动处理服务或执行任务的程序、可执行文件、shell 脚本、服务和端口监控程序等。 软件通信体系结构 IPC 机制、消息队列、中间件,涉及记录消息流模式、每个通信链路上的预期数据量、通信 链路的特性(是否安全、加密、本地、主机之间的、不可信网络等) 。 数据体系结构 关系数据库状态(存储过程或功能) 。 网络体系结构 包括网络接口、每个主机所在的子网、流量类型。 配置体系结构 包括文件和目录的布局、系统配置文件的内容、环境变量的定义、文件和目录的访问权限。 操作管理维护体系结构 启动和停止应用、执行备份或恢复操作、用户管理、主机管理、系统和错误日志处理。 当前安全行业的可用技术中, 主要以解决网络体系结构组件为目的, 这样只能解决应用安全 的部分问题,通常称之为网络安全。网络安全面临的技术瓶颈在于安全控制粒度多寡,网络 途径的单一性便于网络安全技术可靠的执行, 网络协议的标准化便于网络安全技术有效的审
核。但是安全风险一旦延伸到应用,便出现风险发散、可用技术手段匮乏的状况。

第二篇信息安全内容:2017年计算机等级考试三级信息安全技术考试大纲

  基本要求
  1. 了解信息安全保障工作的总体思路和基本实践方法
  2. 掌握信息安全技术的基本概念、原理、方法和技术
  3. 熟练掌握计算机网络安全、系统软件安全和应用软件安全的基本知识和实践技能
  4. 掌握信息安全设备的安装、配置和使用的基本方法
  5. 了解信息系统安全设施部署与管理基本技术
  6. 了解信息安全风险评估和等级保护原理与方法
  7. 了解信息安全相关的标准、法律法规和道德规范
  考试内容
  一、信息安全保障概述
  1. 信息安全保障的内涵和意义
  2. 信息安全保障的总体思路和基本实践方法
  二、信息安全基础技术与原理
  1. 密码技术
  (1) 对称密码与非对称密码
  (2) 哈希函数
  (3) 数字签名
  (4) 密钥管理
  2. 认证技术
  (1)消息认证
  (2)身份认证
  3. 访问控制技术
  (1) 访问控制模型
  (2) 访问控制技术
  4. 审计和监控技术
  (1) 审计和监控基础
  (2) 审计和监控技术
  三、系统安全
  1. 操作系统安全
  (1) 操作系统安全基础
  (2) 操作系统安全实践
  2. 数据库安全
  (1) 数据库安全基础
  (2) 数据库安全实践
  四、网络安全
  1. 网络安全基础
  2. 网络安全威胁技术
  3. 网络安全防护技术
  (1) 防火墙
  (2) 入侵检测系统与入侵防御系统
  (3) PKI
  (4) VPN
  (5) 网络安全协议
  五、应用安全
  1. 软件漏洞概念与原理
  2. 软件安全开发
  3. 软件安全检测
  4. 软件安全保护
  5. 恶意程序
  6. Web 应用系统安全
  六、信息安全管理
  1. 信息安全管理体系
  2. 信息安全风险评估
  3. 信息安全管理措施
  七、信息安全标准与法规
  1. 信息安全标准
  2. 信息安全法律法规与国家政策
  3. 信息安全从业人员道德规范
  考试方式
  上机考试,考试时长120 分钟,满分100 分。
  包含:选择题(40 分)、填空题(30 分)、综合应用题(30 分)。
  

第三篇信息安全内容:个人信息安全规范(GB/T 35273-2017)——正文

 知识
案例
其他
随笔
声音
编者按
个人信息安全规范,集成了众多大咖智慧,着重解决司法实践、企业合规审查、个人信息保护意识等诸方面棘手问题。在洪延青博士的指导下,本号全文登载一下。因内容较多,本期将采用“多图文”方式进行刊发。本篇仅包含:正文。
前  言
本标准按照GB/T 1.1—2009《标准化工作导则 第1部分:标准的结构和编写》给出的规则起草。
请注意本文件的其他内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:北京信息安全测评中心、中国电子技术标准化研究院、颐信科技有限公司、四川大学、北京大学、清华大学、中国信息安全研究院有限公司、公安部第一研究所、上海国际问题研究院、阿里巴巴(北京)软件服务有限公司、深圳腾讯计算机系统有限公司、中电长城网际系统应用有限公司、阿里云计算有限公司、华为技术有限公司、强韵数据科技有限公司。
本标准主要起草人:洪延青、钱秀槟、何延哲、左晓栋、陈兴蜀、高磊、刘贤刚、邵华、蔡晓丹、黄晓林、顾伟、黄劲、上官晓丽、赵章界、范红、杜跃进、杨思磊、张亚男、金涛、叶晓俊、郑斌、闵京华、鲁传颖、周亚超、杨露、王海舟、王建民、秦颂、姚相振、葛小宇、王道奎、赵冉冉、沈锡镛。
引言
近年,随着信息技术的快速发展和互联网应用的普及,越来越多的组织大量收集、使用个人信息,给人们生活带来便利的同时,也出现了对个人信息的非法收集、滥用、泄露等问题,个人信息安全面临严重威胁。
本标准针对个人信息面临的安全问题,规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄漏等乱象,最大程度地保障个人的合法权益和社会公共利益。
对标准中的具体事项,法律法规另有规定的,需遵照其规定执行。
 
 
信息安全技术 个人信息安全规范
1 范围
本标准规范了开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动应遵循的原则和安全要求。
本标准适用于规范各类组织个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069—2010 信息安全技术 术语
3 术语和定义
GB/T 25069—2010中界定的以及下列术语和定义适用于本文件。
3.1 个人信息personal information
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
注1:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
注2:关于个人信息的范围和类型可参见附录A。
3.2 个人敏感信息personal sensitive information
一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
注1:个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。
注2:关于个人敏感信息的范围和类型可参见附录B。
3.3 个人信息主体personal data subject
个人信息所标识的自然人。
3.4 个人信息控制者personal data controller
有权决定个人信息处理目的、方式等的组织或个人。
3.5 收集 collect
获得对个人信息的控制权的行为,包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集,以及通过共享、转让、搜集公开信息间接获取等方式。
注:如果产品或服务的提供者提供工具供个人信息主体使用,提供者不对个人信息进行访问的,则不属于本标准所称的收集行为。例如,离线导航软件在终端获取用户位置信息后,如不回传至软件提供者,则不属于个人信息收集行为。
3.6 明示同意explicit consent
个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。
注:肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”等。
3.7 用户画像user profiling
通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如其职业、经济、健康、教育、个人喜好、信用、行为等方面做出分析或预测,形成其个人特征模型的过程。
注:直接使用特定自然人的个人信息,形成该自然人的特征模型,称为直接用户画像。使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型,称为间接用户画像。
3.8 个人信息安全影响评估 personal information security impact assessment
针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。
3.9 删除delete
在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。
3.10 公开披露 public disclosure
向社会或不特定人群发布信息的行为。
3.11 转让transfer of control
将个人信息控制权由一个控制者向另一个控制者转移的过程。
3.12 共享sharing
个人信息控制者向其他控制者提供个人信息,且双方分别对个人信息拥有独立控制权的过程。
3.13 匿名化anonymization
通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的过程。
注:个人信息经匿名化处理后所得的信息不属于个人信息。
3.14 去标识化de-identification
通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别个人信息主体的过程。
注:去标识化建立在个体基础之上,保留了个体颗粒度,采用假名、加密、哈希函数等技术手段替代对个人信息的标识。
4 个人信息安全基本原则
个人信息控制者开展个人信息处理活动,应遵循以下基本原则:
a) 权责一致原则——对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任。
b) 目的明确原则——具有合法、正当、必要、明确的个人信息处理目的。
c) 选择同意原则——向个人信息主体明示个人信息处理目的、方式、范围、规则等,征求其授权同意。
d) 最少够用原则——除与个人信息主体另有约定外,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时根据约定删除个人信息。
e) 公开透明原则——以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督。
f) 确保安全原则——具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性。
g) 主体参与原则——向个人信息主体提供能够访问、更正、删除其个人信息,以及撤回同意、注销账户等方法。
5 个人信息的收集
5.1 收集个人信息的合法性要求
对个人信息控制者的要求包括:
a) 不得欺诈、诱骗、强迫个人信息主体提供其个人信息;
b) 不得隐瞒产品或服务所具有的收集个人信息的功能;
c) 不得从非法渠道获取个人信息;
d) 不得收集法律法规明令禁止收集的个人信息。
5.2 收集个人信息的最小化要求
对个人信息控制者的要求包括:
a) 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联。直接关联是指没有该信息的参与,产品或服务的功能无法实现;
b) 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;
c) 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。
5.3 收集个人信息时的授权同意
对个人信息控制者的要求包括:
a) 收集个人信息前,应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型,以及收集、使用个人信息的规则(例如收集和使用个人信息的目的、收集方式和频率、存放地域、存储期限、自身的数据安全能力、对外共享、转让、公开披露的有关情况等),并获得个人信息主体的授权同意;
b) 间接获取个人信息时:
1) 应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;
2) 应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露等。如本组织开展业务需进行的个人信息处理活动超出该授权同意范围,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意。
5.4 征得授权同意的例外
以下情形中,个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意:
a) 与国家安全、国防安全直接相关的;
b) 与公共安全、公共卫生、重大公共利益直接相关的;
c) 与犯罪侦查、起诉、审判和判决执行等直接相关的;
d) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;
e) 所收集的个人信息是个人信息主体自行向社会公众公开的;
f) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;
g) 根据个人信息主体要求签订和履行合同所必需的; 
h) 用于维护所提供的产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障;
i) 个人信息控制者为新闻单位且其在开展合法的新闻报道所必需的;
j) 个人信息控制者为学术研究机构,出于公共利益开展或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的;
k) 法律法规规定的其他情形。
5.5 收集个人敏感信息时的明示同意
对个人信息控制者的要求包括:
a) 收集个人敏感信息时,应取得个人信息主体的明示同意。应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示;
b) 通过主动提供或自动采集方式收集个人敏感信息前,应:
1) 向个人信息主体告知所提供产品或服务的核心业务功能及所必需收集的个人敏感信息,并明确告知拒绝提供或拒绝同意将带来的影响。应允许个人信息主体选择是否提供或同意自动采集;
2) 产品或服务如提供其他附加功能,需要收集个人敏感信息时,收集前应向个人信息主体逐一说明个人敏感信息为完成何种附加功能所必需,并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息。当个人信息主体拒绝时,可不提供相应的附加功能,但不应以此为理由停止提供核心业务功能,并应保障相应的服务质量。   
注:上述要求的实现方法可参考附录C。
c) 收集年满14的未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。
5.6 隐私政策的内容和发布
对个人信息控制者的要求包括:
a) 个人信息控制者应制定隐私政策,内容应包括但不限于:
1) 个人信息控制者的基本情况,包括注册名称、注册地址、常用办公地点和相关负责人的联系方式等;
2) 收集、使用个人信息的目的,以及目的所涵盖的各个业务功能,例如将个人信息用于推送商业,将个人信息用于形成直接用户画像及其用途等;
3) 各业务功能分别收集的个人信息,以及收集方式和频率、存放地域、存储期限等个人信息处理规则和实际收集的个人信息范围;
4) 对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型,以及所承担的相应法律责任;
5) 遵循的个人信息安全基本原则,具备的数据安全能力,以及采取的个人信息安全保护措施;
6) 个人信息主体的权利和实现机制,如访问方法、更正方法、删除方法、注销账户的方法、撤回同意的方法、获取个人信息副本的方法、约束信息系统自动决策的方法等;
7) 提供个人信息后可能存在的安全风险,及不提供个人信息可能产生的影响;
8) 处理个人信息主体询问、投诉的渠道和机制,以及外部纠纷解决机构及联络方式。
b) 隐私政策所告知的信息应真实、准确、完整;
c) 隐私政策的内容应清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义的语言,并在起始部分提供摘要,简述告知内容的重点;
d) 隐私政策应公开发布且易于访问,例如,在网站主页、移动应用程序安装页、社交媒体首页等显著位置设置链接;
e) 隐私政策应逐一送达个人信息主体。当成本过高或有显著困难时,可以公告的形式发布;
f) 在本条a)所载事项发生变化时,应及时更新隐私政策并重新告知个人信息主体。
注:隐私政策的内容可参考附录D。
6 个人信息的保存
6.1 个人信息保存时间最小化
对个人信息控制者的要求包括:
a) 个人信息保存期限应为实现目的所必需的最短时间;
b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。
6.2 去标识化处理
收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。
6.3 个人敏感信息的传输和存储
对个人信息控制者的要求包括:
a) 传输和存储个人敏感信息时,应采用加密等安全措施;
b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。
6.4 个人信息控制者停止运营
当个人信息控制者停止运营其产品或服务时,应:
a) 及时停止继续收集个人信息的活动;
b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;
c) 对其所持有的个人信息进行删除或匿名化处理。
7 个人信息的使用
7.1 个人信息访问控制措施
对个人信息控制者的要求包括:
a) 对被授权访问个人信息的内部数据操作人员,应按照最小授权的原则,使其只能访问职责所需的最少够用的个人信息,且仅具备完成职责所需的最少的数据操作权限;
b) 宜对个人信息的重要操作应设置内部审批流程,如批量修改、拷贝、下载等;
c) 应对安全管理人员、数据操作人员、审计人员的角色进行分离设置;
d) 如确因工作需要,需授权特定人员超权限处理个人信息的,应由个人信息保护责任人或个人信息保护工作机构进行审批,并记录在册;
注:个人信息保护责任人或个人信息保护工作机构的确定见本标准10.1。
e) 对个人敏感信息的访问、修改等行为,宜在对角色的权限控制的基础上,根据业务流程的需求触发操作授权。例如,因收到客户投诉,投诉处理人员才可访问该用户的相关信息。
7.2 个人信息的展示限制
涉及通过界面展示个人信息的(如显示屏幕、纸面),个人信息控制者宜对需展示的个人信息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险。例如,在个人信息展示时,防止内部非授权人员及个人信息主体之外的其他人员未经授权获取个人信息。
7.3 个人信息的使用限制
对个人信息控制者的要求包括:
a) 除目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业目的时,则宜使用间接用户画像;
b) 对所收集的个人信息进行加工处理而产生的信息,能够单独或与其他信息结合识别自然人个人身份,或者反映自然人个人活动情况的,应将其认定为个人信息。对其处理应遵循收集个人信息时获得的授权同意范围;
注:加工处理而产生的个人信息属于个人敏感信息的,对其处理应符合本标准对个人敏感信息的要求。
c) 使用个人信息时,不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意。
注:将所收集的个人信息用于学术研究或得出对自然、科学、社会、经济等现象总体状态的描述,属于与收集目的具有合理关联的范围之内。但对外提供学术研究或描述的结果时,应对结果中所包含的个人信息进行去标识化处理。
7.4 个人信息访问
个人信息控制者应向个人信息主体提供访问下列信息的方法:
a) 其所持有的关于该主体的个人信息或类型;
b) 上述个人信息的来源、所用于的目的;
c) 已经获得上述个人信息的第三方身份或类型。
注:个人信息主体提出访问非其主动提供的个人信息时,个人信息控制者可在综合考虑不响应请求可能对个人信息主体合法权益带来的风险和损害,以及技术可行性、实现请求的成本等因素后,做出是否响应的决定,并给出解释说明。
7.5 个人信息更正
个人信息主体发现个人信息控制者所持有的该主体的个人信息有错误或不完整的,个人信息控制者应为其提供请求更正或补充信息的方法。
7.6 个人信息删除
对个人信息控制者的要求包括:
a) 符合以下情形的,个人信息主体要求删除的,应及时删除个人信息:
1) 个人信息控制者违反法律法规规定,收集、使用个人信息的;
2) 个人信息控制者违反了与个人信息主体的约定,收集、使用个人信息的。       
b) 个人信息控制者违反法律法规规定或违反与个人信息主体的约定向第三方共享、转让个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止共享、转让的行为,并通知第三方及时删除;
c) 个人信息控制者违反法律法规规定或与个人信息主体的约定,公开披露个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止公开披露的行为,并发布通知要求相关接收方删除相应的信息。
7.7 个人信息主体撤回同意
对个人信息控制者的要求包括:
a) 应向个人信息主体提供方法撤回收集、使用其个人信息的同意授权。撤回同意后,个人信息控制者后续不得再处理相应的个人信息;
b) 应保障个人信息主体拒绝接收基于其个人信息推送的商业的权利。对外共享、转让、公开披露个人信息,应向个人信息主体提供撤回同意的方法。
注:撤回同意不影响撤回前基于同意的个人信息处理。
7.8 个人信息主体注销账户 
对个人信息控制者的要求包括:
a) 通过注册账户提供服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且该方法应简便易操作;
b) 个人信息主体注销账户后,应删除其个人信息或做匿名化处理。
7.9 个人信息主体获取个人信息副本
根据个人信息主体的请求,个人信息控制者应为个人信息主体提供获取以下类型个人信息副本的方法,或在技术可行的前提下直接将以下个人信息的副本传输给第三方:
a) 个人基本资料、个人身份信息;
b) 个人健康生理信息、个人教育工作信息。
7.10 约束信息系统自动决策
当仅依据信息系统的自动决策而做出显著影响个人信息主体权益的决定时(例如基于用户画像决定个人信用及贷款额度,或将用户画像用于面试筛选),个人信息控制者应向个人信息主体提供申诉方法。
7.11 响应个人信息主体的请求
对个人信息控制者的要求包括:
a) 在验证个人信息主体身份后,应及时响应个人信息主体基于本标准第7.4至7.10提出的请求,应在三十天内或法律法规规定的期限内做出答复及合理解释,并告知个人信息主体向外部提出纠纷解决的途径;
b) 对合理的请求原则上不收取费用,但对一定时期内多次重复的请求,可视情收取一定成本费用;
c) 如直接实现个人信息主体的请求需要付出高额的成本或存在其他显著的困难,个人信息控制者应向个人信息主体提供其他替代性方法,以保护个人信息主体的合法权益;
d) 以下情况可不响应个人信息主体基于本标准7.4至7.10提出的请求,包括但不限于:
1) 与国家安全、国防安全直接相关的;
2) 与公共安全、公共卫生、重大公共利益直接相关的;
3) 与犯罪侦查、起诉、审判和执行判决等直接相关的;
4) 个人信息控制者有充分证据表明个人信息主体存在主观恶意或滥用权利的;
5) 响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的;
6) 涉及商业秘密的。
7.12 申诉管理
个人信息控制者应建立申诉管理机制,包括跟踪流程,并在合理的时间内,对申诉进行响应。
8 个人信息的委托处理、共享、转让、公开披露
8.1 委托处理
委托处理个人信息时,应遵守以下要求:
a) 个人信息控制者作出委托行为,不得超出已征得个人信息主体授权同意的范围或遵守本标准5.4规定的情形;
b) 个人信息控制者应对委托行为进行个人信息安全影响评估,确保受委托者具备足够的数据安全能力,提供了足够的安全保护水平;
c) 受委托者应:
1) 严格按照个人信息控制者的要求处理个人信息。如受委托者因特殊原因未按照个人信息控制者的要求处理个人信息,应及时向个人信息控制者反馈;
2) 如受委托者确需再次委托时,应事先征得个人信息控制者的授权;
3) 协助个人信息控制者响应个人信息主体基于本标准7.4至7.10提出的请求;
4) 如受委托者在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件,应及时向个人信息控制者反馈;
5) 在委托关系解除时不再保存个人信息。
d) 个人信息控制者应对受委托者进行监督,方式包括但不限于:
1) 通过合同等方式规定受委托者的责任和义务;
2) 对受委托者进行审计。
e) 个人信息控制者应准确记录和保存委托处理个人信息的情况。
8.2 个人信息共享、转让
个人信息原则上不得共享、转让。个人信息控制者确需共享、转让时,应充分重视风险。共享、转让个人信息,非因收购、兼并、重组原因的,应遵守以下要求:
a) 事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
b) 向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别个人信息主体的除外;
c) 共享、转让个人敏感信息前,除8.2 b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;
d) 准确记录和保存个人信息的共享、转让的情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等;
e) 承担因共享、转让个人信息对个人信息主体合法权益造成损害的相应责任;
f) 帮助个人信息主体了解数据接收方对个人信息的保存、使用等情况,以及个人信息主体的权利,例如,访问、更正、删除、注销账户等。
8.3 收购、兼并、重组时的个人信息转让
当个人信息控制者发生收购、兼并、重组等变更时,个人信息控制者应:
a) 向个人信息主体告知有关情况;
b) 变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意。
8.4 个人信息公开披露
个人信息原则上不得公开披露。个人信息控制者经法律授权或具备合理事由确需公开披露时,应充分重视风险,遵守以下要求:
a) 事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
b) 向个人信息主体告知公开披露个人信息的目的、类型,并事先征得个人信息主体明示同意;
c) 公开披露个人敏感信息前,除8.4 b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的内容;
d) 准确记录和保存个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等;
e) 承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任;
f) 不得公开披露个人生物识别信息。
8.5 共享、转让、公开披露个人信息时事先征得授权同意的例外
以下情形中,个人信息控制者共享、转让、公开披露个人信息无需事先征得个人信息主体的授权同意:
a) 与国家安全、国防安全直接相关的;
b) 与公共安全、公共卫生、重大公共利益直接相关的;
c) 与犯罪侦查、起诉、审判和判决执行等直接相关的;
d) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;
e) 个人信息主体自行向社会公众公开的个人信息;
f) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。
8.6 共同个人信息控制者
当个人信息控制者与第三方为共同个人信息控制者时(例如服务平台与平台上的签约商家),个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知。
注:个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件(例如网站经营者与在其网页或应用程序中部署分析工具、软件开发工具包SDK、调用地图API接口),且该第三方并未单独向个人信息主体征得收集、使用个人信息的授权同意,则个人信息控制者与该第三方为共同个人信息控制者。
8.7 个人信息跨境传输要求
在中华人民共和国境内运营中收集和产生的个人信息向境外提供的,个人信息控制者应当按照国家网信部门会同国务院有关部门制定的办法和相关标准进行安全评估,并符合其要求。
9 个人信息安全事件处置
9.1 安全事件应急处置和报告
对个人信息控制者的要求包括:
a) 应制定个人信息安全事件应急预案;
b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;
c) 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置:
1) 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;
2) 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;
3) 按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;
4) 按照本标准9.2的要求实施安全事件的告知。
d) 根据相关法律法规变化情况,以及事件处置情况,及时更新应急预案。
9.2 安全事件告知
对个人信息控制者的要求包括:
a) 应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息;
b) 告知内容应包括但不限于:
1) 安全事件的内容和影响;
2) 已采取或将要采取的处置措施;
3) 个人信息主体自主防范和降低风险的建议;
4) 针对个人信息主体提供的补救措施;
5) 个人信息保护负责人和个人信息保护工作机构的联系方式。
10 组织的管理要求
10.1 明确责任部门与人员
对个人信息控制者的要求包括:
a) 应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等;
b) 应任命个人信息保护负责人和个人信息保护工作机构;
c) 满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:
1) 主要业务涉及个人信息处理,且从业人员规模大于200人;
2) 处理超过50万人的个人信息,或在12个月内预计处理超过50万人的个人信息。
d) 个人信息保护负责人和个人信息保护工作机构应履行的职责包括但不限于:
1) 全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;
2) 制定、签发、实施、定期更新隐私政策和相关规程;
3) 应建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;
4) 开展个人信息安全影响评估;
5) 组织开展个人信息安全培训;
6) 在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;
7) 进行安全审计。
10.2 开展个人信息安全影响评估
对个人信息控制者的要求包括:
a) 建立个人信息安全影响评估制度,定期(至少每年一次)开展个人信息安全影响评估;
b) 个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响,内容包括但不限于:
1) 个人信息收集环节是否遵循目的明确、选择同意、最少够用等原则;
2) 个人信息处理是否可能对个人信息主体合法权益造成不利影响,包括处理是否会危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等;
3) 个人信息安全措施的有效性;
4) 匿名化或去标识化处理后的数据集重新识别出个人信息主体的风险;
5) 共享、转让、公开披露个人信息对个人信息主体合法权益可能产生的不利影响;
6) 如发生安全事件,对个人信息主体合法权益可能产生的不利影响。
c) 在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生重大个人信息安全事件时,应重新进行个人信息安全影响评估;
d) 形成个人信息安全影响评估报告,并以此采取保护个人信息主体的措施,使风险降低到可接受的水平;
e) 妥善留存个人信息安全影响评估报告,确保可供相关方查阅,并以适宜的形式对外公开。
10.3 数据安全能力
个人信息控制者应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失。
10.4 人员管理与培训
对个人信息控制者的要求包括:
a) 应与从事个人信息处理岗位上的相关人员签署保密协议,对大量接触个人敏感信息的人员进行背景审查;
b) 应明确内部涉及个人信息处理不同岗位的安全职责,以及发生安全事件的处罚机制;
c) 应要求个人信息处理岗位上的相关人员在调离岗位或终止劳动合同时,继续履行保密义务;
d) 应明确可能访问个人信息的外部服务人员应遵守的个人信息安全要求,与其签署保密协议,并进行监督;
e) 应定期(至少每年一次)或在隐私政策发生重大变化时,对个人信息处理岗位上的相关人员开展个人信息安全专业化培训和考核,确保相关人员熟练掌握隐私政策和相关规程。
10.5 安全审计
对个人信息控制者的要求包括:
a) 应对隐私政策和相关规程,以及安全措施的有效性进行审计;
b) 应建立自动化审计系统,监测记录个人信息处理活动;
c) 审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑;
d) 应防止非授权访问、篡改或删除审计记录;
e) 应及时处理审计过程中发现的个人信息违规使用、滥用等情况。

  • [香菇青菜肉馅馄饨]香菇青菜肉馅饺的做法大全_香菇青菜肉馅饺
  • [平菇怎么做好吃]【油炸平菇的做法油炸平菇怎么做好吃】油炸平
  • [蘑菇炒油菜家常菜做法]白蘑菇做法大全家常菜_蘑菇的做法大全
  • [干锅茶树菇腊肉的做法]【干茶树菇炒腊肉的做法大全】干茶树菇
  • [猴头菇做汤的家常做法]猴头菇汤的家常做法|家常猴头菇汤怎么
  • [凉拌粉丝金针菇的视频]凉拌金针菇粉丝的做法大全_凉拌金针菇
  • [海参香菇粥的家常做法][腐竹香菇焖海参的家常做法大全]腐竹香
  • [猴头菇做汤的家常做法][花胶海底椰炖鸡汤]猴头菇海底椰炖鸡汤
  • [猴头菇饼干做法][全麦猴头菇苏打饼干的做法大全]全麦猴头菇苏
  • [鸡蛋炒金针菇的做法]鸡蛋炒金针菇的做法大全|香肠鸡蛋炒金针
  • [香菇豆腐汤][香菇豆腐汤怎么做好喝]香菇豆腐汤的好喝制作方法
  • [香菇青菜包的做法]香菇青菜包的做法_青菜香菇包的制作方法图解
  • [香菇排骨汤的做法]家常香菇酱的制作方法_家常香菇排骨汤的制
  • [新鲜茶树菇的做法][茶树菇饺子的做法大全]茶树菇饺子的做法教程
  • [豆腐鱼头汤的做法]【豆腐鱼头汤的做法大全】海带豆腐鱼头汤的
  • [韭菜涨鸡蛋的家常做法]韭菜鸡蛋炒豆腐的家常做法大全|韭菜鸡
  • [豆腐皮怎么凉拌好吃]凉拌豆腐皮的好吃做法大全_凉拌豆腐皮的
  • [日本豆腐做法大全家常]日本豆腐烧青椒木耳的家常做法大全|日
  • [尖椒干豆腐的家常做法]【尖椒炒干豆腐的家常做法】尖椒干豆腐
  • [客家酿豆腐做法图解]蒸酿豆腐的家常做法_蒸酿豆腐的做法图解
  • [茄子简单好吃的做法]茄子烧豆腐的好吃做法大全|茄子烧豆腐的
  • [水果气泡水饮品的制作]水果气泡水怎样制作水果气泡水的做法大
  • [酿豆腐的家常做法]东江酿豆腐是什么菜系_东江酿豆腐的做法步骤
  • [红豆酸奶冰激凌的做法][芒果酸奶冰沙的做法]红豆酸奶冰沙的家
  • [银耳薏米红豆粥做法][莲子银耳红豆粥的家常做法大全]莲子银耳
  • [葡萄干可以打豆浆吗]【枸杞葡萄干豆浆的做法大全】枸杞葡萄干
  • [黑豆黄豆花生豆浆做法]花生豆浆的家常做法视频|花生豆浆的家
  • [干蚕豆的做法大全]新鲜蚕豆的做法大全|嫩蚕豆的做法大全
  • [炸豆腐片的做法大全]炸豆腐炒肉的做法大全|炸豆腐的做法大全
  • [泡豇豆炒鸡蛋]豇豆炒鸡蛋的做法大全|豇豆炒鸡蛋的做法
  • 信息安全内容由173资源网(www.mwopus.com)收集整理,转载请注明出处!原文地址http://www.mwopus.com/qianming/435429.html

    文章评论
    Copyright © 2006 - 2018 www.mwopus.com All Rights Reserved
    173资源网 版权所有

    游戏娱乐平台注册就送25