《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、
自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、
经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
信息系统的安全保护等级分为以下五级,一至五级等级逐级增高:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
详情可咨询郑州佳豪科技有限公司-等保测评专家
判断题(10×1=10分) 1、动态路由是网络管理员手工配置的路由信息,也可由路器自动地建立并且能够根据实际情况的变化适时地进行调整。(×) 2、星型网络拓扑结构中,对中心设备的性能要求比较高。(√ ) 3、访问控制就是防止未授权用户访问系统资源。(√ ) 4、考虑到经济成本,在机房安装过录像监控之后,可不再布置报警系统。(× ) 5、审计日志的主要功能是可以对安全事件进行追踪和发现入侵行为,降低安全事件的发生。(√ ) 6、在三级信息系统中,每个系统默认账户和口令原则上都是要进行修改的(√ ) 7、剩余信息保护是三级系统比二级系统新增内容。(√ ) 8、权限如果分配不合理,有可能会造成安全事件无从查找。(√ ) 9、三级信息系统中,为了数据的完整性,我们可以采用CRC的校验码措施(× ) 10、在进行信息安全测试中,我们一般不需要自己动手进行测试。(√ ) 二、单项选择题(15×2.5=30分) 1、测评单位开展工作的政策依据是( C ) A.公通字[2004] 66号 C.公信安[2010] 303号 B.公信安[2008] 736 D发改高技[2008]2071 2、当信息系统受到,破坏后我们首先要确定是否侵害客体。( B ) A.公民、法人其他组织的合法权益 B.国家安全 C.社会秩序、公共利益 3、cisco的配置通过什么协议备份( A )
A.ftp B.tftp C.telnet D.ssh 4、哪项不是开展主机工具测试所必须了解的信息(D ) A.操作系统 B.应用 C.ip D.物理位置 5、三级系统主机安全的访问控制有( B )个检查项。 A、6 B、7 C、8 D、9 6、某公司现有260台计算机,把子网掩码设计成多少最合适( A ) A.255.255.254.0 C. 255.255.0.0 B.255.255.168.0 D.255.255.255.0 7、数据传输过程中不被篡改和修改的特性,是( B ) A.保密性 B.完整性 C.可靠性 D.可用性 8、向有限的空间输入超长的字符串是哪一种攻击手段? ( A ) A、缓冲区溢出 B、网络监听 C、拒绝服务 D、IP欺骗 9、关于备份冗余以下说法错误的是( D ) A.三级信息系统应在异地建立备份站点 B.信息系统线路要有冗余 C.数据库服务器应冗余配置 D.应用软件应进行备份安装 10、下列不属于应用层的协议是( C ) A.FTP B.TELNET C.SSL D.POP3 三、多项选择题(10×2=20分) 1、常见的数据备份有哪些形式( ABC ) A、完全备份 B、差异备份 C、增量备份 D、日志备份 2、下列属于双因子认证的是( AD ) A.口令和虹膜扫描 B.令牌和门卡 C.两次输入密码 D. 门卡和笔记(迹)
信息安全等级测评师模拟试题(三) 一、判断(10×1=10) 1、三级信息系统应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时时自动退出等措施。(√) 2、口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信息,进而非法获得系统和资源访问权限。(√) 3、只要投资充足,技术措施完备,就能够保证百分之百的信息安全。(×) 4、特权用户设置口令时,应当使用enablepassword命令设定具有管理员权限的口令。(×) 5、Windows2000/xp系统提供了口令安全策略,以对帐户口令安全进行保护。(√) 6、脆弱性分析技术,也被通俗地称为漏洞扫描技术。该技术是检测远程或本地系统安全脆弱性的一种安全技术。(√) 7、结构安全是网络安全检查的重点,网络结构的安全关系到整体的安全。(√) 8、一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。(×) 9、不同vlan内的用户可以直接进行通信。(×) 10、三级系统应能够对非授权设备私自连到内部网络的行为进行检查并准确定位.(×)
二、单项选择题(15×2=30) 1、我国在1999年发布的国家标准()为信息安全等级保护奠定了基础。 A.GB17799B.GB15408 C.GB17859 D.GB14430 2、安全保障阶段中将信息安全体系归结为四个主要环节,下列______是正确的。 A.策略、保护、响应、恢复 B.加密、认证、保护、检测 C.策略、网络攻防、备份D保护、检测、响应、恢复 3、为了数据传输时不发生数据截获和信息泄密,采取了加密机制。这种做法体现了信息安全的______属性。 A.保密性 B.完整性 C.可靠性 D.可用性信 4、在使用复杂度不高的口令时,容易产生弱口令的安全脆弱性,被攻 击者利用,从而破解用户帐户,下列()具有最好的口令复杂度。 A.Morrison B.Wm.$*F2m5@ C. D.wangjing1977 5、息安全领域内最关键和最薄弱的环节是______。 A.技术 B.策略 C.管理制度 D.人 6、对于提高人员安全意识和安全操作技能来说,以下所列的安全管理最有效的是______。 A.安全检查B教育和培训C.责任追究D.制度约束 7、公安部网络违法案件举报网站的网址是______。 A.B.
一、单选题(20分) 1、《基本要求》中管理要求中,下面那一个不是其中的内容?() A、安全管理机构。 B、安全管理制度。 C、人员安全管理。 D、病毒安全管 理。 2、应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的 恶意攻击、一般的自然灾难,所造成的重要资源损害,能够发现重要的安 全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能 是几级要求?() A、一级。 B、二级。 C、三级。 D、四级。 3、三级系统基本要求中管理要求控制类共有()项? A、32。 B、36。 C、37。 D、38。 4、《测评要求》和哪一个文件是对用户系统测评的依据? A、《信息系统安全等级保护实施指南》。 B、《信息系统安全保护等级定级指 南》。C、《信息系统安全等级保护基本要求》。D、《信息系统安全等级保护 管理办法》。 5、安全运维阶段的主要活动包括运行管理和控制、变更管理和控制、安全状 态监控、()、安全检查和持续改进、监督检查? A、安全事件处置和应急预案。 B、安全服务。 C、网络评估。 D、安全加固。 6、如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重 要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家 安全、社会秩序和公共利益造成较大损害;本级系统依照国家管理规范和 技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。这
应当属于等级保护的什么级别?() A、强制保护级。 B、监督保护级。 C、指导保护级。 D、自主保护级。 7、《信息系统安全等级保护实施指南》将()作为实施等级保护的第一项重 要内容? A、安全定级。 B、安全评估。 C、安全规划。 D、安全实施。 8、人员管理主要是对人员的录用、人员的离岗、()、安全意识教育和培训、 第三方人员访问管理5各方面。 A、人员教育。 B、人员裁减。 C、人员考核。 D、人员审核。 9、根据《信息安全等级保护管理办法》,由以下哪个部门应当依照相关规范和 标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作? A、公安机关。 B、国家保密工作部门。 C、国家密码管理部门。 D、信息系 统的主管部门。 10、计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、 社会生活中的_______,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。() A、经济价值经济损失。 B、重要程度危害程度。 C、经济价值危害程度。 D、重要程度经济损失。 11、新建_______信息系统,应当在投入运行后_______,由其运营、使用单位 到所在地设区的市级以上公安机关办理备案手续。() A、第一级以上30日内。 B、第二级以上60日内。 C、第一级以上60日内。 D、第二级以上30日内。
信息安全等级测评师测试题
信息安全等级测评师测试 一、单选题(14分) 1、下列不属于网络安全测试范畴的是( C ) A. 结构安全 B. 边界完整性检查 C. 剩余信息保护 D. 网络设备防护 2、下列关于安全审计的内容说法中错误的是( D )。 A. 应对网络系统中的网络设备运行情况、网络流量、用户行为等进行 日志记录。 B. 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否 成功及其他与审计相关的信息。 C. 应能根据记录数据进行分析,并生成报表。 D. 为了节约存储空间,审计记录可以随意删除、修改或覆盖。 3、在思科路由器中,为实现超时10分钟后自动断开连接,实现的命令应 为下列哪一个。( A ) A. exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0 10 4、用于发现攻击目标。( A ) A. ping扫描 B. 操作系统扫描 C. 端口扫描 D. 漏洞扫描 5、防火墙提供的接入模式中包括。( ABCD ) A. 网关模式 B. 透明模式 C. 混合模式 D. 旁路接入模式 6、路由器工作在。( C ) A. 应用层 B. 链接层 C. 网络层 D. 传输层 7、防火墙通过__控制来阻塞邮件附件中的病毒。( A ) A.数据控制B.连接控制C.ACL控制D.协议控制 二、多选题(36分) 1、不同设VLAN之间要进行通信,可以通过__。( A B ) A交换机B路由器C网闸 D入侵检测 E入侵防御系统2、能够起到访问控制功能的设备有__。( ABD ) A网闸 B三层交换机 C入侵检测系统 D防火墙 3、路由器可以通过来限制带宽。( ABCD ) A.源地址 B.目的地址 C.用户 D.协议 4、IPSec通过实现密钥交换、管理及安全协商。(CD) A. AH B. ESP C. ISAKMP/Oakley D. SKIP 5、交换机可根据____来限制应用数据流的最大流量。( ACD ) A.IP地址 B.网络连接数 C.协议 D.端口 6、强制访问控制策略最显著的特征是_____。( BD ) A.局限性 B.全局性 C.时效性 D.永久性 7、防火墙管理中具有设定规则的权限。( CD ) A.用户 B.审计员 C.超级管理员 D.普通管理员 8、网络设备进行远程管理时,应采用协议的方式以防被窃听。 (AC) A. SSH B. HTTP C. HTTPS D. Telnet E.FTP 9、网络安全审计系统一般包括(ABC )。 A.网络探测引擎 B.数据管理中心C审计中心 D声光报警系统
信息系统安全等级保护测评自查 (三级) 单位全称:XXX 项目联系人:XX X :XXX :XXX 1被测信息系统情况 1.1承载的业务情况 市XXX系统,XX年投入使用,包括X台服务器、X台网络设备和X台安全设备。市XXX系统是为市XXX(系统简介)。 1.2网络结构 给出被测信息系统的拓扑结构示意图,并基于示意图说明被测信息系统的网络结构基本情况,包括功能/安全区域划分、隔离与防护情况、关键网络和主机设备的部署情况和功能简介、与其他信息系统的互联情况和边界设备以及本地备份和灾备中心的情况。 市XXX系统由边界安全域、核心安全域和服务器安全域等三个功能区域组成,主要有XXX功能。各功能区都位于XX机房。具体拓扑如下:
图2-1 市XXX系统拓扑图 备注:需注明网络出口(电信,电子资源政务中心、XXX等) 1.3系统备案情况 市XXX系统备案为X级,系统备案编号为X,备案软件显示系统防护为SXAXGX 2系统构成 2.1机房 2.2网络设备 以列表形式给出被测信息系统中的网络设备。
2.3安全设备 以列表形式给出被测信息系统中的安全设备。 2.4服务器/存储设备 以列表形式给出被测信息系统中的服务器和存储设备,描述服务器和存储设备的项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。 1设备名称在本报告中应唯一,如xx业务主数据库服务器或xx-svr-db-1。
2.5终端 以列表形式给出被测信息系统中的终端,包括业务管理终端、业务终端和运维终端等。 2.6 业务应用软件 以列表的形式给出被测信息系统中的业务应用软件(包括含中间件等应用平台软件),描述项目包括软件名称、主要功能简介。
信息安全等级保护初级测评师模拟试题 集团档案编码:[YTTR-YTPT28-YTNTL98-UYTYNN08]
信息安全等级测评师模拟考试 考试形式:闭卷考试时间:120分钟 一、单选题(每题1.5分,共30分) 1.以下关于等级保护的地位和作用的说法中不正确的是(c) A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2.以下关于信息系统安全建设整改工作工作方法说法中不正确的是:(A) A.突出重要系统,涉及所有等级,试点示范,行业推广,国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是:(B)A A.确定定级对象过程中,定级对象是指以下内容:起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4.安全建设整改的目的是(D) (1)探索信息安全工作的整体思路;(2)确定信息系统保护的基线要求;(3)了解信息系统的问题和差距;(4)明确信息系统安全建设的目标;(5)提升信息系统的安全保护能力; A.(1)、(2)、(3)、(5) B.(3)、(4)、(5)
1、《基本要求》,在应用安全层面的访问控制要求中,三级系统较二级系统增加的措施有哪些? 答:三级比二级增加的要求项有: 应提供对重要信息资源设置敏感标记的功能; 应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。 2、在主机测试前期调研活动中,收集信息的内容(至少写出六项)?在选择主机测评对象时应该注意哪些要点? 答:至少需要收集服务器主机的设备名称、型号、所属网络区域、操作系统版本、IP地址、安装的应用软件名称、主要业务应用、涉及数据、是否热备、重要程度、责任部门。 测评对象选择时应该注意重要性、代表性、完整性、安全性、共享性五大原则。 3、《基本要求》中,对于三级信息系统,网络安全层面应采取哪些安全技术措施?画出图并进行描述(不考虑安全加固)。 答:网络层面需要考虑结构安全、访问控制、安全审计、边界完整性、入侵防范、恶意代码防范、网络设备防护、数据备份与恢复。 4、主机按照其规模或系统功能来区分为哪些类?主机安全在测评时会遇到哪些类型操作系统?网络安全三级信息系统的安全子类是什么?三级网络安全的安全审计内容是什么?答:1、巨型、大型、中型、小型、微型计算机及单片机。 2、Windows,Linux,Sun Solaris,IBM AIX,HP-UX等等。 3、结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。 4、a、应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。 b、审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他
与审计相关的信息。 c、应能够根据记录数据进行分析,并生成审计报表。 d、应对审计记录进行保护、避免受到未预期的删除、修改或覆盖等。 5、数据库常见威胁有哪些?针对于工具测试需要注意哪些内容? 答:(1)非授权访问、特权提升、SQL注入、针对漏洞进行攻击、绕过访问控制进行非授权访问等。 (2) 工具测试接入测试设备前,首先要有被测系统人员确定测试条件是否具备。 测试条件包括被测网络设备、主机、安全设备等是否都在正常运行,测试时间段是否为可测试时间段等等。 接入系统的设备、工具的IP地址等配置要经过被测系统相关人员确认。 对于测试过程中可能造成的对目标系统的网络流量及主机性能等等方面的影响(例如口令探测可能会造成的账号锁定等情况),要事先告知被测系统相关人员。 对于测试过程中的关键步骤、重要证据,要及时利用抓图等取证工具进行取证。 对于测试过程中出现的异常情况(服务器出现故障、网络中断等等)要及时记录。 测试结束后,需要被测方人员确认被测系统状态正常并签字后离场。 6、规划工具测试接入点原则是什么? 答:1、由低级别系统向高级别系统探测; 2、同一系统同等重要程度功能区域之间要相互探测; 3、由较低重要程度区域向较高重要程度区域探测; 4、由外联接口向系统内部探测; 5、跨网络隔离设备(包括网络设备和安全设备)要分段探测; 7、采取什么措施可以帮助检测到入侵行为? 答:部署IDS/IPS,使用主机防火墙(软件)、硬件防火墙、在路由交换设备上设置策略、采用审计设备等。 8、请根据《基本要求》中对于主机的相关要求,按照你的理解,写出由问题可能导致的安全风险,并给出相应的解决方案。 或给出一张(主机测评)检查表,有8条不符合项目,请结合等级保护要求,及你的理解,描述存在的风险,并给出解决建议。 答:
信息安全技术信息系统安全等级保护测评过程指南 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南; ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求; ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南; ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。 信息安全技术 信息系统安全等级保护测评过程指南 1范围
本标准规定了信息系统安全等级保护测评(以下简称等级测评)工作的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。 2规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件, 其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分:安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》(公通字[2007]43号) 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1
第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术 标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条
信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
信息安全等级保护测评体系建设与测评工作规范性文件 信息安全等级测评机构 能力要求使用说明 (试行) 200×-××-××发布200×-××-××实施公安部信息安全等级保护评估中心
信息安全等级测评机构能力要求使用说明 目录 1范围 (3) 2名词解释 (3) 3基本条件 (3) 4组织管理能力 (4) 5测评实施能力 (6) 6设施和设备安全与保障能力 (10) 7质量管理能力 (12) 8规范性保证能力 (13) 9风险控制能力 (16) 10可持续性发展能力 (17) 11测评机构能力约束性要求 (18)
信息安全等级测评机构能力要求使用说明 前言 公安部颁布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号),决定加快等级保护测评体系建设工作。信息安全等级测评机构的建设是测评体系建设的重要内容,为确保有效指导测评机构的能力建设,规范其测评活动,满足信息安全等级保护工作要求,特制定本规范。 《信息安全等级测评机构能力要求》(以下简称《能力要求》)是等级保护测评体系建设指导性文件之一。本规范吸取国际、国内测评与检查机构能力评定的相关内容,结合信息安全等级测评工作的特点,对测评机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力、风险控制能力、可持续性发展能力等提出基本能力要求,为规范等级测评机构的建设和管理,及其能力评估工作的开展提供依据。
信息安全等级测评机构能力要求使用说明 信息安全等级测评机构能力要求使用说明 1范围 本规范规定了测评机构的能力要求。 本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。 2名词解释 2.1等级测评 等级测评是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 2.2等级测评机构 等级测评机构,是指具备测评机构基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室推荐,从事等级测评工作的机构。 3基本条件 依据《信息安全等级保护测评工作管理规范》(试行),信息安全等级测评机构(以下简称测评机构)应当具备以下基本条件: a)在中华人民共和国境内注册成立(港澳台地区除外); b)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);(具 体要求参见8.2.1) c)产权关系明晰,注册资金100万元以上;(具体要求参见8.2.2) d)从事信息系统检测评估相关工作两年以上,无违法记录;(具体要求参见5.2.1) e)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(具体要求参见 8.2.1) f)具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人; g)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等 级保护管理办法》对信息安全产品的要求;(具体要求参见6.1) h)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度; (具体要求参见4.5) i)对国家安全、社会秩序、公共利益不构成威胁;
目录 等级保护政策和相关标准应用部分 (1) 网络安全测评部分 (3) 主机安全部分 (4) 应用测评部分 (6) 数据库 (7) 工具测试 (13) 等级保护政策和相关标准应用部分 《中华人民共和国计算机信息系统安全保护条例》国务院令 147号 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定 《国家信息化领导小组关于加强信息安全保障工作的意见》中发办[2003] 27号 要加强信息安全标准化工作,抓紧制定急需的信息安全管理和技术标准,形成与国际标准相衔接的中国特色的信息安全标准体系 什么是等级保护工作 信息安全等级保护工作是一项由信息系统主管部门、运营单位、使用单位、安全产品提供方、安全服务提供方、检测评估机构、信息安全监督管理部门等多方参与,涉及技术与管理两个领域的复杂系统工程 等级保护制度的地位和作用 是国家信息安全保障工作的基本制度、基本国策 是促进信息化、维护国家信息安全的根本保障 是开展信息安全工作的基本方法,有效抓手 等级保护的主要目的 明确重点、突出重点、保护重点 优化信息安全资源的配置 明确信息安全责任 拖动信息安全产业发展 公安机关组织开展等级保护工作的依据 1.《警察法》规定:警察履行“监督管理计算机信息系统的安全保护工作”的职责 2.国务院令147号“公安部主管全国计算机信息系统安全保护工作”,“等级保护的具体办法,由公安部会同有关部门制定” 3.2008年国务院三定方案,公安部新增职能:“监督、检查、指导信息安全等级保护工作”机构 公安部网络安全保卫局
各省网络警察总队 地市网络警察支队 区县网络警察大队 部分职责 制定信息安全政策 打击网络违法犯罪 互联网安全管理 重要信息系统安全监督 网络与信息安全信息通报 国家信息安全职能部门职责分工 公安机关牵头部门,监督、检查、指导信息安全等级保护工作 国家保密部门负责等级保护工作中有关保密工作的监督、检查、指导。并负责涉及国家秘密信息系统分级保护 国家密码管理部门:负责等级保护工作中有关密码工作的监督、检查、指导 工业和信息化部门:负责等级保护工作中部门间的协调 定级备案建设整改测评监督检查 《关于信息安全等级保护工作的实施意见》公通字[2004] 66号 《计算机信息系统安全保护等级划分准则》 GB17859-1999 简称《划分准则》 《信息安全等级保护管理办法》公通字[2007] 43号简称《管理办法》 《信息系统安全等级保护实施指南》简称《实施指南》 《信息系统安全保护等级定级指南》 GB/T 22240-2008 简称《定级指南》 《信息系统安全等级保护基本要求》 GB/T22239-2008 简称《基本要求》 《信息系统安全等级保护测评要求》简称《测评要求》 《信息系统安全等级保护测评过程指南》简称《测评过程指南》 测评主要参照标准 信息系统安全等级保护基本要求 信息系统安全等级保护测评要求 信息系统安全等级保护测评过程指南 等级保护工作中用到的主要标准 基础 17859 实施指南 定级环节 定级指南 整改建设环节 基本要求 等级测评环节 测评要求 测评过程指南 定级方法PPT61 确定定级对象 确定业务信息安全受到破坏时所侵害的客体 综合评定业务信息系统安全被破坏对客体的侵害程度
信息安全等级保护测评机构管理办法 第一条为加强信息安全等级保护测评机构管理,规范等级测评行为,提高测评技术能力和服务水平,根据《信息安全等级保护管理办法》等有关规定,制定本办法。 第二条等级测评工作,是指等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构,是指依据国家信息安全等级保护制度规定,具备本办法规定的基本条件,经审核推荐,从事等级测评等信息安全服务的机构。 第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针,按照“谁推荐、谁负责,谁审核、谁负责”的原则有序开展。 第四条等级测评机构应以提供等级测评服务为主,可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。 第五条国家信息安全等级保护工作协调小组办公室(以下简称“国家等保办”)负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请,并对其推荐 1的等级测评机构进行监督管理。 省级信息安全等级保护工作协调(领导)小组办公室(以下简称“省级等保办”)负责受理本省(区、直辖市)申请单位提出的申请,并对其推荐的等级测评机构进行监督管理。 第六条申请成为等级测评机构的单位(以下简称“申请单位”)应具备以下基本条件: (一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;
(二)产权关系明晰,注册资金100万元以上;(三)从事信息系统安全相关工作两年以上,无违法记录; (四)测评人员仅限于中华人民共和国境内的中国公民,且无犯罪记录; (五)具有信息系统安全相关工作经验的技术人员,不少于10人; (六)具备必要的办公环境、设备、设施,使用的技术装备、设施应满足测评工作需求; (七)具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度; (八)自觉接受等保办的监督、检查和指导,对国家安全、社会秩序、公共利益不构成威胁; (九)不涉及信息安全产品开发、销售或信息系统安全 2集成等业务; (十)应具备的其他条件。 第七条申请时,申请单位应向等保办提交以下材料:(一)《信息安全等级保护测评机构申请表》; (二)从事信息系统安全相关工作情况; (三)检测评估工作所需软硬件及其他服务保障设施配备情况; (四)有关管理制度建设情况; (五)申请单位及其测评人员基本情况; (六)应提交的其他材料。 等保办收到申请材料后,应在10个工作日内组织初审,并出具初审结果告知书。
信息安全等级测评师测试 一、单选题(14分) 1、下列不属于网络安全测试畴的是(C ) A. 结构安全 B. 边界完整性检查 C. 剩余信息保护 D. 网络设备防护 2、下列关于安全审计的容说法中错误的是( D )。 A. 应对网络系统中的网络设备运行情况、网络流量、用户行为等进行 日志记录。 B. 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否 成功及其他与审计相关的信息。 C. 应能根据记录数据进行分析,并生成报表。 D. 为了节约存储空间,审计记录可以随意删除、修改或覆盖。 3、在思科路由器中,为实现超时10分钟后自动断开连接,实现的命令应 为下列哪一个。( A ) A. exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0 10 4、用于发现攻击目标。( A ) A. ping扫描 B. 操作系统扫描 C. 端口扫描 D. 漏洞扫描 5、防火墙提供的接入模式中包括。(ABCD ) A. 网关模式 B. 透明模式 C. 混合模式 D. 旁路接入模式 6、路由器工作在。( C ) A. 应用层 B. 层 C. 网络层 D. 传输层
7、防火墙通过__控制来阻塞附件中的病毒。( A) A.数据控制B.连接控制C.ACL控制D.协议控制 二、多选题(36分) 1、不同设VLAN之间要进行通信,可以通过__。( A B ) A交换机 B路由器 C网闸D入侵检测E入侵防御系统 2、能够起到访问控制功能的设备有__。( ABD ) A网闸B三层交换机C入侵检测系统D防火墙 3、路由器可以通过来限制带宽。(ABCD ) A.源地址 B.目的地址 C.用户 D.协议 4、IPSec通过实现密钥交换、管理及安全协商。(CD) A. AH B. ESP C. ISAKMP/Oakley D. SKIP 5、交换机可根据____来限制应用数据流的最大流量。(ACD ) A.IP地址 B.网络连接数 C.协议 D.端口 6、强制访问控制策略最显著的特征是_____。(BD ) A.局限性 B.全局性 C.时效性 D.永久性 7、防火墙管理中具有设定规则的权限。(CD ) A.用户 B.审计员 C.超级管理员 D.普通管理员 8、网络设备进行远程管理时,应采用协议的方式以防被窃听。 (AC) A. SSH B. HTTP C. HTTPS D. Telnet E.FTP 9、网络安全审计系统一般包括( ABC )。 A.网络探测引擎 B.数据管理中心 C审计中心D声光报警系统
成都农业科技职业学院 信息系统安全等级保护测评及服务要求 一、投标人资质要求 1.在中华人民共和国境内注册成立(港澳台地区除外),具有独立承担民事责任的能力;由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外)。(提供营业执照副本、组织机构代码证副本、税务登记证副本复印件); 2.测评机构应为成都市本地机构或在成都有常驻服务机构; 3. 参选人必须具有四川省公安厅颁发的《信息安全等级保护测评机构推荐证书》; 4. 参选人必须具有近3年内1例以上,市级以上企事业单位信息安全等级保护测评项目的实施业绩(以合同或协议为准); 5. 参选人须具有良好的商业信誉和健全的财务会计制度;具有履行合同所必需的设备和专业技术能力;具有依法缴纳税收和社会保障资金的良好记录;有良好的财务状况和商业信誉。没有处于被责令停产、财产被接管、冻结或破产状态,有足够的流动资金来履行本项目合同。 6. 参与项目实施人员中应至少具备3名以上通过公安部信息安全等级保护测评师资格证书的测评工程师。 7.本包不接受联合体参加。 二、信息系统安全等级保护测评目标 本项目将按照《信息系统安全等级保护基本要求》、《信息系统安全
等级保护测评准则》和有关规定及要求,对我单位的重要业务信息系统开展信息安全等级保护测评工作,通过开展测评,了解与《信息系统安全等级保护基本要求》的差距,出具相应的测评报告、整改建议,根据测评结果,协助招标方完成信息安全等级保护后期整改工作,落实等级保护的各项要求,提高信息安全水平和安全防范能力,并配合完成公安系统等级保护备案。 等级保护测评主要是基于《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)和《信息系统安全等级保护测评准则》中的相关内容和要求进行测评。测评主要包括安全技术和安全管理两个方面的内容,其中安全技术方面主要涉及物理安全、网络安全、主机安全、应用安全与数据安全等方面的内容;安全管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的内容,配合相应等级的安全技术措施,提供相应的安全管理措施和安全保障。 三、测评内容及要求 1.完成上述信息系统的等级保护定级工作,协助学院编写相应的《信息系统安全等级保护定级报告》; 2.完成上述信息系统安全等级测评工作,测评后经用户方确认,出具符合信息系统等级测评要求的测评报告; 3.协助完成上述信息系统安全等级保护备案工作; 4.对上述信息系统不符合信息安全等级保护有关管理规范和技术
如对你有帮助,请购买下载打赏,谢谢!信息安全等级测评师模拟考试 考试形式:闭卷考试时间:120分钟 一、单选题(每题1.5分,共30分) 1.以下关于等级保护的地位和作用的说法中不正确的是(C ) A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是:(A ) A.突出重要系统,涉及所有等级, 试点示范,行业推广,国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是:(A ) A.确定定级对象过程中,定级对象是指以下内容:起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4. 安全建设整改的目的是(D ) (1)探索信息安全工作的整体思路;(2)确定信息系统保护的基线要求;(3)了解信息系统的问题和差距;(4)明确信息系统安全建设的目标;(5)提升信息系统的安全保护能力; A.(1)、(2)、(3)、(5) B.(3)、(4)、(5) C.(2)、(3)、(4)、(5) D.全部
国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
信息安全等级保护测评及服务技术参数 一、资质要求 1.投标人必须是全国等级保护测评机构推荐目录中的推荐机构。非本地机构参与投标时,必须提供湖北省公安厅认定的《等级测评机构异地测评项目备案表》。 2.投标人至少有1名高级测评师,委派参与工程实施的测评人员必须具有公安部颁发的测评资格证(投标时须提供相关的证明材料)。 3.投标方使用的技术装备、设施须符合《信息安全等级保护管理办法》中对信息安全产品的要求。 4.投标人必须拥有ISCCC信息安全服务资质或其他信息安全服务资质(投标时须提供相关的证明材料)。 二、测评系统目录 投标方须按照国家有关技术规范要求,完成表1和表2所列信息系统的等级保护测评及技术服务工作。其中表1所列的三级系统,需要在2016年11月20日之前完成所有的测评,并配合校方完成整改、复测评和备案工作。 表1 三级系统目录 表2 二级系统目录 特别说明:招标方可以根据学校实际情况,对表2中所列系统名称、安全保护等级级别做适当调整。
三、项目任务 投标人在本项目中,须完成以下工作: 1.协助完成定级备案的相关工作 协助完成测评范围所列信息系统的定级备案工作。按照信息安全等级保护要求,提供定级、备案相关的信息安全技术服务,协助校方完成等级保护定级及备案阶段的相关工作,包括但不限于:撰写备案材料和定级相关报告、协助组织定级评审、办理备案相关手续等。 2. 完成测评范围中所有信息系统的测评工作 依据《GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》、《GB/T 20984-2007 信息安全技术信息安全风险评估规范》、《GB/T 22080-2008 信息技术安全技术信息安全管理体系要求》、《GB/T 22081-2008 信息技术安全技术信息安全管理实用规则》等标准的要求,完成表1和表2所列信息系统的现场测评工作。 测评内容应包括但不限于以下内容: (1)安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评; (2)安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评; (3)系统整体测评:控制间测评、层面间测评、区域间测评、系统结构安全测评。 3.完成测评服务相关文档 出具的测评服务记录或报告文档包括:测评记录、系统风险评估报告、系统整改加固建议、信息系统等级保护测评报告等。 4.完成安全隐患整改指导与复测评工作 提供安全隐患整改指导与安全加固服务,并协助建立和完善相关制度。 在校方完成相应的整改工作后,对整改项进行复测评,出具复测报告,确保信息系统备案工作的完成。 5.为学校相关人员提供与测评工作相关的培训服务。 6. 完成其他相关的工作。 四、其他要求 1.投标人须在投标之前做充分的现场调研工作,对拟测评的信息系统现状有足够的了