机房等级保护差距测评报告
机房等级保护差距测评报告
信息系统等级测评基本信息表
信息系统基本情况
系统名称安全保护等级第二级机房位置
机房
灾备中心
委托单位
单位名称
单位地址
联系人
测评单位
单位名称
通信地址邮政编码
联系人姓名职务/职称工程师所属部门办公电话
移动电话电子邮件
审核批准编制人编制日期审核人审核日期批准人批准日期
声明
本报告是××单位平台的等级保护差距测评报告。
本报告结论的有效性建立在用户提供材料的真实性基础上。
本报告中给出的结论仅对被测信息系统当时的安全状态有效,当测评工作完成后,由于信息系统发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。
本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品)的测评结论。
在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。
**机构
二O一四年六月
目录错误!未找到引用源。
报告摘要
一、系统概述
$$部门于2014年5月委托**机构对其建设的××单位平台进行差距测评。
××单位平台是是社会公众了解××单位工作、是社会公众了解政府工作、开展服务事项网上办理工作重要工具,是高栏港区向社会公众发布政府信息、进行网络申办与审批工作的重要平台。
二、测评范围和主要内容
本次测评是按照GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》内第二级信息系统的安全要求进行差距测评。测试范围包括:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,此次测评总共测评项为175项。
三、等级测评结果
通过对××单位平台的测评,发现系统存在的主要问题有:
物理安全:
1、物理访问控制:机房内未部署视频监控系统。
2、防盗窃和防破坏:网络设备、安全设备、通信线缆均没有黏贴相应的且不易除去的标签;机房内未部署防盗报警系统。
3、防火:机房内未部署消防自动报警系统和灭火器。
4、温湿度控制:更换普通空调,采用精密空调,同时部署机房环境监控系统。
网络安全:
1、结构安全:未按照业务功能以及部门办公划分多个vlan,需要部署防火墙、WAF防火墙、入侵检测设备和安全审计系统。
2、网络设备防护:汇聚交换机均未限制管理员的登录地址;汇聚交换机现有用户口令由字母组成,不符合复杂度要求,未定期更换;交换机虽开启的日志审计功能,但未对用户的行为进行审计。日常执行远程管理时,汇集交换机未配置登录失败处理策略,未能有效阻止非法登陆。
主机安全:
身份鉴别:未启用密码复杂度检查功能,未启用定期更换密码功能;未启用登录失败处理功能。
安全审计:服务器仅开启了默认的审核策略(用户登录信息),日志信息没有定期保存,易受到未预期的删除、修改或覆盖等。数据库缺少第三方审计系统保证无法保证数据不受篡改。
资源控制:未限制可远程管理服务器的终端登录地址。
应用安全:
身份鉴别:未启用密码复杂度检查功能,未启用定期更换密码功能;未启用登录失败处理功能。
安全审计:服务器仅开启了默认的审核策略(用户登录信息),审计信息不完整,且未部署第三方审计系统保证审计信息不受篡改。
数据完整性:应用系统通信过程中应采用校验码技术保证通信过程中数据的完整性。
资源控制:未限制可远程管理服务器的终端登录地址。
数据备份与恢复:
数据保密性:应用系统未采用加密技术,网络、主机配置的备份未采用加密技术实现保存。
备份和恢复:关键网络设备、通信线路和服务器设备没有提供硬件冗余。
安全管理制度:
1、管理制度:目前建立的日常管理操作的操作规程不够全面。
安全管理机构:
1、授权和审批:关键活动建立审批流程,同时需要有相关文件记录。
人员安全管理:
1、安全意识教育和培训:未定期对相关人员进行安全知识培训,同时未明确告知相关人员的安全责任和惩戒措施内容。
系统建设管理:
1、系统定级:信息系统的定级结果未递交市网监并得到批准和定级回执。
2、外包软件开发:第三方公司未提供源代码,同时未审查开发单位提供的软件源代码中可能存在的后门。
3、测试验收:未组织对信息系统进行验收。
系统运维管理:
1、网络安全管理:缺少安全审计系统和网管系统,无法对网络设备及服务器运行日志进行信息分析、报警及审计;没有定期对网络设备进行系统版本升级及修补漏洞;
2、系统安全管理:缺少访问控制设备无法对业务进行访问控制,业务系统补丁前未在测试环境中进行测试验证并备份重要文件,直接在实际系统环境中进行补丁升级;未建立系统安全管理制度;系统管理员未定期对运行日志和审计数据进行分析。
3、恶意代码防范管理:对防恶意代码软件的授权使用、恶意代码库升级,但未定期汇报等作出书面规定。
4、应急预案管理:未制定应急预案、培训及演练。
四、系统安全建设、整改建议
参见《××单位平台整改建议》
测评项目概述
1.1测评目的
通过等级保护安全测评发现××单位平台存在的安全隐患、漏洞等,针对存在的问题提出有效的整改建议,从而使得信息系统达到相应等级的安全标准,进而提高信息系统的安全指数,使其安全、正常、稳定的运行。
1.2测评依据
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令);
《中共中央办公厅国务院办公厅转发<国家信息化领导小组关于加强信息处理
安全保障工作的意见>的通知》(中办发[2003]27号);
《关于印发<关于信息安全等级保护工作的实施意见>的通知》(公通字[2004]66号文);
《关于印发<信息安全等级保护管理办法>的通知》(公通字[2007]43号文);
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号文);
《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008);
《信息安全技术信息安全风险评估规范》(GB/T 20984-2007);
《信息安全技术信息系统安全等级保护测评过程指南》(国标送审稿);
《信息安全技术信息系统安全等级保护实施指南》(国标报批稿);
《信息安全技术信息系统安全等级保护测评要求》(国标报批稿);
《信息安全技术信息系统安全等级保护安全设计技术要求》(信安秘字[2009]059号);
《广东省计算机信息系统安全保护条例》(2007年12月20日通过);
《关于印发<广东省公安厅关于计算机信息系统安全保护的实施办法>的通知》(粤公通字[2008]228号文)。
《关于印发<广东省深化信息安全等级保护工作方案>的通知》(粤公通字[2009]45号文);
……
1.3测评过程
图1 测评流程图
项目实施过程分为 3 个阶段:
1、资料审查阶段:测评方发放等级保护测评调查表,由委托单位填写完整并提交给测评方,测评方对提交资料的完整性进行审查;
2、核查测试阶段:测评方根据调查资料,形成针对性的等级保护测评方案,并实施现场测评,该阶段完成后,形成现场测评记录表;
3、综合评估阶段:核查测试阶段结束后,测评方对结果记录进行整理。在差距评估阶段,综合评估是对标准的各条要求进行符合性判断,并形成等级保护测评报告。
1.4报告分发范围
本报告一式两份,其中一份提交测评委托单位,一份由测评单位留存。
被测系统情况2.1基本信息
系统名称××单位平台主管机构$$部门
系统承载业务情况业务类型
生产作业 2指挥调度 3管理控制
4内部办公 5公众服务
9其他
业务描述
该系统是以民众与企业网上办事为主要目的为主要目的的业务
支撑评估,是社会公众了解政府工作、开展服务事项网上办理工
作重要工具,是高栏港区向社会公众发布政府信息、进行网络申
办与审批工作的重要平台。
系统服务情况服务范围
10全国 11跨省(区、市)跨个
20全省(区、市) 21跨地(市、区)跨个
30地(市、区)内
99其它
服务对象
1单位内部人员 2社会公众人员 3两者均包括
9其他
系统网络平台覆盖范围
1局域网 2城域网 3广域网
9其他
网络性质
1业务专网 2互联网
9其它
系统互联情况□1与其他行业系统连接□2与本行业其他单位系统连接□3与本单位其他系统连接 4其它(与其他系统无互联)
业务信息安全保护等级第二级
系统服务安全保护等级第二级
信息系统安全保护等级第二级
表2-1 网络系统情况表
2.2网络结构
××单位平台的基础网络设施、承载系统的服务器及存储设施均部署在信息中心机房,其所在的珠海市高栏港行政服务中心电子政务外网。系统所在珠海市高栏港行政服务中心电子政务外网出口(网络带宽为100 M),系统网络由3台服务器直接接入1台汇聚交换机后接入行政服务中心网络。其简要拓扑如下:
图2 网络拓扑图
2.3系统构成
2.3.1业务应用软件
序号软件名称主要功能(功能模块) 重要程度
××单位平台政务信息网上公开,投资项目网
上审批,社会事务网上办理,公
共决策网上互动,政府效能网上
监察
重要
2.3.2关键数据类别
序号数据类型所属业务应用重要程度各类业务信息××单位平台重要
2.3.3主机/存储设备
序号设备名称操作系统/数据库管理系统业务应用
信息系统服务器
操作系统 windows 2008
/数据库系统 oracle
××单位平台
数据库服务器
操作系统 windows 2008
/数据库系统 oracle
数据库
防病毒服务器操作系统 windows 2008 MCAFEE杀毒软件(企业版)
2.3.4网络互联与安全设备
序号设备名称用途重要程度汇聚交换机网络交换重要
2.3.5安全相关人员
序号姓名岗位/角色
网络管理员
主机系统管理员
安全管理员
数据库管理员
应用管理员
2.3.6安全管理文档
序号文档名称
统筹发展局机房管理制度
信息机房设备运行管理制度
序号文档名称
2.4安全环境
信息系统可能面临的威胁如下列表:
序号威胁分(子)类描述威胁赋值网络攻击
利用工具和技术通过网络对信息系统进
行攻击和入侵
高
软硬件故障对业务实施或系统运行产生影响的设备
硬件故障、通讯链路中断、系统本身或软
件缺陷等问题
中
物理环境影响
对信息系统正常运行造成影响的物理环
境问题和自然灾害
低无作为或操作失误
应该执行而没有执行相应的操作,或无意
执行了错误的操作
中管理不到位
安全管理无法落实或不到位,从而破坏信
息系统正常有序运行
低恶意代码
故意在计算机系统上执行恶意任务的程
序代码
高
越权或滥用通过采用一些措施,超越自己的权限访问
了本来无权访问的资源,或者滥用自己的
权限,做出破坏信息系统的行为
高
物理攻击
通过物理的接触造成对软件、硬件、数据
的破坏
低泄密信息泄露给不应了解的他人中篡改
非法修改信息,破坏信息的完整性使系统
的安全性降低或信息不可用
高抵赖不承认收到的信息和所作的操作和交易中
等级测评范围与方法
3.1测评指标
基本指标
分类子类基本要求测评项数
物理安全物理位置的选
择(G2)
机房和办公场地应选择在具有防震、防风和防雨等能
力的建筑内
1
物理访问控制
(G2)
机房出入口应安排专人值守,控制、鉴别和记录进入
的人员
2 需进入机房的来访人员应经过申请和审批流程,并限
制和监控其活动范围
防盗窃和防破
坏(G2)
应将主要设备放置在机房内
5 应将设备或主要部件进行固定,并设置明显的不易除
去的标记
应将通信线缆铺设在隐蔽处,可铺设在地下或管道中
应对介质分类标识,存储在介质库或档案室中
主机房应安装必要的防盗报警设施
防雷击(G2)
机房建筑应设置避雷装置
2 机房应设置交流电源地线
防火(G2)机房应设置灭火设备和火灾自动报警系统。 1
防水和防潮
(G2)
水管安装,不得穿过机房屋顶和活动地板下
3 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透
应采取措施防止机房内水蒸气结露和地下积水的转移
与渗透
防静电(G2)关键设备应采用必要的接地防静电措施 1 温湿度控制
(G2)
机房应设置温、湿度自动调节设施,使机房温、湿度
的变化在设备运行所允许的范围之内
1
电力供应(A2)应在机房供电线路上配置稳压器和过电压防护设备
2 应提供短期的备用电力供应,至少满足关键设备在断
电情况下的正常运行要求
电磁防护(S2)电源线和通信线缆应隔离铺设,避免互相干扰 1
网络安全结构安全(G2)
应保证关键网络设备的业务处理能力具备冗余空间,
满足业务高峰期需要
4 应保证接入网络和核心网络的带宽满足业务高峰期需
要
应绘制与当前运行情况相符的网络拓扑结构图
应根据各部门的工作职能、重要性和所涉及信息的重
要程度等因素,划分不同的子网或网段,并按照方便
管理和控制的原则为各子网、网段分配地址段
访问控制(G2)
应在网络边界部署访问控制设备,启用访问控制功能
4 应能根据会话状态信息为数据流提供明确的允许/拒
绝访问的能力,控制粒度为网段级
应按用户和系统之间的允许访问规则,决定允许或拒
绝用户对受控系统进行资源访问,控制粒度为单个用
户
应限制具有拨号访问权限的用户数量
安全审计(G2)
应对网络系统中的网络设备运行状况、网络流量、用
户行为等进行日志记录
2 审计记录应包括事件的日期和时间、用户、事件类型、
事件是否成功及其他与审计相关的信息
边界完整性检
查(S2)
应能够对内部网络中出现的内部用户未通过准许私自
联到外部网络的行为进行检查
1 入侵防范(G2)
应在网络边界处监视以下攻击行为:端口扫描、强力
攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻
击、IP碎片攻击和网络蠕虫攻击等
1
网络设备防护(G2)应对登录网络设备的用户进行身份鉴别
6 应对网络设备的管理员登录地址进行限制
网络设备用户的标识应唯一
身份鉴别信息应具有不易被冒用的特点,口令应有复
杂度要求并定期更换
应具有登录失败处理功能,可采取结束会话、限制非
法登录次数和当网络登录连接超时自动退出等措施
当对网络设备进行远程管理时,应采取必要措施防止
鉴别信息在网络传输过程中被窃听
主机安全身份鉴别(S2)
应对登录操作系统和数据库系统的用户进行身份标识
和鉴别
5 操作系统和数据库系统管理用户身份标识应具有不易
被冒用的特点,口令应有复杂度要求并定期更换
应启用登录失败处理功能,可采取结束会话、限制非
法登录次数和自动退出等措施
当对服务器进行远程管理时,应采取必要措施,防止
鉴别信息在网络传输过程中被窃听
应为操作系统和数据库系统的不同用户分配不同的用
户名,确保用户名具有唯一性
访问控制(S2)
应启用访问控制功能,依据安全策略控制用户对资源
的访问
4 应实现操作系统和数据库系统特权用户的权限分离
应限制默认账户的访问权限,重命名系统默认账户,
修改这些账户的默认口令
应及时删除多余的、过期的账户、避免共享账户的存
在
安全审计(G2)
审计范围应覆盖到服务器上的每个操作系统用户和数
据库用户
4
审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等
应保护审计记录,避免受到未预期的删除、修改或覆盖等
入侵防范(G2)操作系统应遵循最小安装的原则,仅安装需要的组件
和应用程序,并通过设置升级服务器等方式保持系统
补丁及时得到更新
1
恶意代码防范(G2)应安装防恶意代码软件,并及时更新防恶意代码软件
版本和恶意代码库 2 应支持防恶意代码软件的统一管理
资源控制(A2)应通过设定终端接入方式、网络地址范围等条件限制
终端登录
3 应根据安全策略设置登录终端的操作超时锁定
应限制单个用户对系统资源的最大或最小使用限度
应
用安全身份鉴别(S2)
应提供专用的登录控制模块对登录用户进行身份标识
和鉴别
4 应提供用户身份标识唯一和鉴别信息复杂度检查功
能,保证应用系统中不存在重复用户身份标识,身份
鉴别信息不易被冒用
应提供登录失败处理功能,可采取结束会话、限制非
法登录次数和自动退出等措施
应启用身份鉴别、用户身份标识唯一性检查、用户身
份鉴别信息复杂度检查以及登录失败处理功能,并根
据安全策略配置相关参数
访问控制(S2)
应提供访问控制功能,依据安全策略控制用户对文件、
数据库表等客体的访问
4
访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作
应由授权主体配置访问控制策略,并严格限制默认账户的访问权限
应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系
安全审计(G2)应提供覆盖到每个用户的安全审计功能,对应用系统
重要安全事件进行审计
3 应保证无法删除、修改或覆盖审计记录
审计记录的内容至少应包括事件日期、时间、发起者
信息、类型、描述和结果等
通信完整性
(S2)
应采用校验码技术保证通信过程中数据的完整性 1
通信保密性(S2)在通信双方建立连接之前,应用系统应利用密码技术
进行会话初始化验证 2 应对通信过程中的敏感信息字段进行加密
软件容错(A2)应提供数据有效性检验功能,保证通过人机接口输入
或通过通信接口输入的数据格式或长度符合系统设定
要求 2 在故障发生时,应用系统应能够继续提供一部分功能,
确保能够实施必要的措施
资源控制(A2)当应用系统的通信双方中的一方在一段时间内未作任
何响应,另一方应能够自动结束会话
3 应能够对应用系统的最大并发会话连接数进行限制
应能够对单个账户的多重并发会话进行限制
数据安全数据完整性
(S2)
应能够检测到鉴别信息和重要业务数据在传输过程中
完整性受到破坏
1 数据保密性应采用加密或其他保护措施实现鉴别信息的存储保密 1
及备份恢复
(S2)性
备份和恢复
(A2)
应能够对重要信息进行备份和恢复
2 应提供关键网络设备、通信线路和数据处理系统的硬
件冗余,保证系统的可用性
安全管理制度管理制度(G2)
应制定信息安全工作的总体方针和安全策略,说明机
构安全工作的总体目标、范围、原则和安全框架等
3 应对安全管理活动中重要的管理内容建立安全管理制
度
应对安全管理人员或操作人员执行的重要管理操作建
立操作规程
制定和发布
(G2)
应指定或授权专门的部门或人员负责安全管理制度的
制定
3 应组织相关人员对制定的安全管理制度进行论证和审
定
应将安全管理制度以某种方式发布到相关人员手中
评审和修订
(G2)
应定期对安全管理制度进行评审,对存在不足或需要
改进的安全管理制度进行修订
1
安全管理机构岗位设置(G2)
应设立安全主管、安全管理各个方面的负责人岗位,
并定义各负责人的职责
2 应设立系统管理员、网络管理员、安全管理员等岗位,
并定义各个工作岗位的职责
人员配备(G2)
应配备一定数量的系统管理员、网络管理员、安全管
理员等
2 安全管理员不能兼任网络管理员、系统管理员、数据
库管理员等
授权和审批
(G2)
应根据各个部门和岗位的职责明确授权审批部门及批
准人,对系统投入运行、网络系统接入和重要资源的
访问等关键活动进行审批
2
应针对关键活动建立审批流程,并由批准人签字确认
沟通和合作(G2)应加强各类管理人员之间、组织内部机构之间以及信
息安全职能部门内部的合作与沟通
2 应加强与兄弟单位、公安机关、电信公司的合作与沟
通
审核和检查(G2)安全管理员应负责定期进行安全检查,检查内容包括
系统日常运行、系统漏洞和数据备份等情况
1
人员安全管理人员录用(G2)
应指定或授权专门的部门或人员负责人员录用
3 应规范人员录用过程,对被录用人员的身份、背景和
专业资格等进行审查,对其所具有的技术技能进行考
核
应与从事关键岗位的人员签署保密协议
人员离岗(G2)
应规范人员离岗过程,及时终止离岗员工的所有访问
权限
3 应取回各种身份证件、钥匙、徽章等以及机构提供的
软硬件设备
应办理严格的调离手续
人员考核(G2)
应定期对各个岗位的人员进行安全技能及安全认知的
考核
1
安全意识教育
和培训(G2)
应对各类人员进行安全意识教育、岗位技能培训和相
关安全技术培训
3 应告知人员相关的安全责任和惩戒措施,并对违反违
背安全策略和规定的人员进行惩戒
应制定安全教育和培训计划,对信息安全基础知识、
岗位操作规程等进行培训
外部人员访问
管理(G2)
应确保在外部人员访问受控区域前得到授权或审批,
批准后由专人全程陪同或监督,并登记备案
1
系系统定级(G2)应明确信息系统的边界和安全保护等级 3
等级保护测评报告模板
信息系统安全等级测评 报告模板 项目名称: 委托单位: 测评单位: 年月日
报告摘要 一、测评工作概述 概要描述被测信息系统的基本情况(可参考信息系统安全等级保护备案表),包括但不限于:系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。(见附件:信息系统安全等级保护备案表) 描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程,包括投入测评人员与设备情况、完成的具体工作内容统计(涉及的测评分类与项目数量,检查的网络互联与安全设备、主机、应用系统、管理文档数量,访谈人员次数)。 二、等级测评结果 依据第4、5章的结果对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出等级测评结论(结论为达标、基本达标、不达标)。 三、系统存在的主要问题 依据6.3章节的分析结果,列出被测信息系统中存在的主要问题以及可能造成的后果(如,未部署DDos防御措施,易遭受DDos攻击,导致系统无法提供正常服务)。
公安部信息安全等级保护评估中心 四、系统安全建设、整改建议 针对系统存在的主要问题提出安全建设、整改建议,是对第七章内容的提炼和简要描述。
报告基本信息
声明 声明是测评单位对于测评报告内容以及用途等有关事项做出的约定性陈述,包含但不限于以下内容: 本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用。 本报告中给出的结论不能作为对系统内相关产品的测评结论。 本报告结论的有效性建立在用户提供材料的真实性基础上。 在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。 测评单位机构名称 年月
等级保护测评试题
一、单选题 1、下列不属于网络安全测试范畴的是(C) A.结构安全B.便捷完整性检查C.剩余信息保护D.网络设备防护 2、下列关于安全审计的内容说法中错误的是(D) A.应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录 B.审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 C.应能够根据记录数据进行分析,并生成审计报表 D.为了节约存储空间,审计记录可以随意删除、修改或覆盖 3、在思科路由器中,为实现超时10分钟后自动断开连接,实现的命令应为下列哪一个(A) A.exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0 10 4、用于发现攻击目标(A) A.ping扫描 B.操作系统扫描 C.端口扫描 D.漏洞扫描 ping扫描:用于发现攻击目标 操作系统识别扫描:对目标主机运行的操作系统进行识别 端口扫描:用于查看攻击目标处于监听或运行状态的。。。。。。 5、路由器工作在(C) A.应用层 B.链接层 C.网络层 D.传输层 6、防火墙通过____控制来阻塞邮件附件中的病毒。(A) A.数据控制 B.连接控制 C.ACL控制 D.协议控制 7、与10.110.12.29 mask 255.255.255.224属于同一网段的主机IP地址是(B) A.10.110.12.0 B.10.110.12.30 C.10.110.12.31 D.10.110.12.32 8、查看路由器上所有保存在flash中的配置数据应在特权模式下输入命令:(A) A.show running-config B.show buffers C. show starup-config D.show memory 9、路由器命令“Router(config)#access-list 1 permit 192.168.1.1”的含义是:(B) A.不允许源地址为192.168.1.1的分组通过,如果分组不匹配,则结束 B.允许源地址为192.168.1.1的分组通过,如果分组不匹配,则结束 C.不允许目的地址为192.168.1.1的分组通过,如果分组不匹配,则结束 D.允许目的地址为192.168.1.1的分组通过,如果分组不匹配,则检查下一条语句。 10、配置如下两条访问控制列表:
信息系统等级保护测评工作方案
XX安全服务公司 2018-2019年XXX项目等级保护差距测评实施方案 XXXXXXXXX信息安全 201X年X月
目录 目录 (1) 1.项目概述 (2) 1.1.项目背景 (2) 1.2.项目目标 (3) 1.3.项目原则 (4) 1.4.项目依据 (4) 2.测评实施容 (6) 2.1.测评分析 (6) 2.1.1.测评围 (6) 2.1.2.测评对象 (6) 2.1.3.测评容 (7) 2.1.4.测评对象 (9) 2.1.5.测评指标 (10) 2.2.测评流程 (12) 2.2.1.测评准备阶段 (13) 2.2.2.方案编制阶段 (14) 2.2.3.现场测评阶段 (14) 2.2.4.分析与报告编制阶段 (17) 2.3.测评方法 (17) 2.3.1.工具测试 (17) 2.3.2.配置检查 (18) 2.3.3.人员访谈 (19) 2.3.4.文档审查 (19) 2.3.5.实地查看 (20)
2.4.测评工具 (21) 2.5.输出文档 (21) 2.5.1.等级保护测评差距报告................................................... 错误!未定义书签。 2.5.2.等级测评报告 ................................................................... 错误!未定义书签。 2.5. 3.安全整改建议 ................................................................... 错误!未定义书签。 3.时间安排 (22) 4.人员安排 (22) 4.1.组织结构及分工 (23) 4.2.人员配置表 (24) 4.3.工作配合 (25) 5.其他相关事项 (27) 5.1.风险规避 (27) 5.2.项目信息管理 (29) 5.2.1.责任法律保证 (30) 5.2.2.现场安全管理 (30) 5.2.3.文档安全管理 (30) 5.2.4.离场安全管理 (31) 5.2.5.其他情况说明 (31) 1.项目概述 1.1.项目背景 为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意 见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理 办法》的精神,2015年XXXXXXXXXXXXXXXXXXX需要按照国家《信息安全技术信息系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准
《GB∕T28448-2019信息安全技术网络安全等级保护测评要求》试卷答案
《GB∕T28448-2019信息安全技术网络安全等级保护测评 要求》试卷 姓名:分数: 一、填空题(每空3分,共30分) 1.安全测评通用要求中安全物理环境的测评对象是__________和__________。 2.机房__________设在地下室。 3.二级测评通用要求对机房设置防盗报警系统或有专人值守的视频监控系统__________ (有或没有)作要求。 4.三级测评通用要求机房电力供应设置__________电力电缆线路。 5.三级测评通用要求网络设备的业务处理能力满足业务高峰期的要求,可通过查看网络设 备的__________使用率和__________使用率。 6.边界防护中,__________级测评要求内外网的非法互联进行检测和限制。 7.云计算安全测评扩展要求云计算基础设施位于__________。 8.工业控制系统与企业其他系统之间应划分为__________个区域。 二、不定项选择(每题5分,共30分) 1.三级测评通用要求机房出入口应__________。 A.安排专人值守B.放置灭火器 C.安装玻璃门D.配置电子门禁系统 2.三级测评通用要求防雷击除了将各类机柜、设施和设备等通过接地系统安全接地,还要 求设置__________。
A.照明灯具B.过压保护器 C.防雷保安器D.空气清新剂 9.身份鉴别要求采用__________等两种或两种以上的鉴别技术。 A.动态口令B.数字证书 C.生物技术D.设备指纹 10.三级测评通用要求安全计算环境中,访问控制的粒度应达到主体为__________。A.端口级B.用户级 C.进程级D.应用级 11.安全管理中心是《GB∕T28448-2019信息安全技术网络安全等级保护测评要求》新增加 的内容,三级测评通用要求安全管理中心内容包括__________。 A.系统管理B.审计管理 C.安全管理D.集中管控 12.工业控制系统内使用广域网进行进行控制指令或相关数据交换的应采用加密认证技术 手段实现__________加密传输。 A.身份认证B.访问控制 C.数据D.以上都不是 三、简答题(共40分) 3.三级测评通用要求数据备份恢复有哪些内容?(8分)
安全等级保护2级和3级等保要求-蓝色为区别2.
二级、三级等级保护要求比较一、技术要求 技术要求项二级等保三级等保 物理 安全 物理 位置 的选 择1)机房和办公场地应选择 在具有防震、防风和防雨 等能力的建筑内。 1)机房和办公场地应选择在具有防震、防 风和防雨等能力的建筑内; 2)机房场地应避免设在建筑物的高层或地 下室,以及用水设备的下层或隔壁; 3)机房场地应当避开强电场、强磁场、强 震动源、强噪声源、重度环境污染、易 发生火灾、水灾、易遭受雷击的地区。 物理访问控制1)机房出入口应有专人值 守,鉴别进入的人员身份 并登记在案; 2)应批准进入机房的来访 人员,限制和监控其活动 范围。 1)机房出入口应有专人值守,鉴别进入的 人员身份并登记在案; 2)应批准进入机房的来访人员,限制和监 控其活动范围; 3)应对机房划分区域进行管理,区域和区 域之间设置物理隔离装置,在重要区域 前设置交付或安装等过度区域; 4)应对重要区域配置电子门禁系统,鉴别 和记录进入的人员身份并监控其活动。 防盗窃和防破坏1)应将主要设备放置在物 理受限的范围内; 2)应对设备或主要部件进 行固定,并设置明显的不 易除去的标记; 3)应将通信线缆铺设在隐 蔽处,如铺设在地下或管 道中等; 4)应对介质分类标识,存储 在介质库或档案室中; 5)应安装必要的防盗报警 设施,以防进入机房的盗 窃和破坏行为。 1)应将主要设备放置在物理受限的范围 内; 2)应对设备或主要部件进行固定,并设置 明显的无法除去的标记; 3)应将通信线缆铺设在隐蔽处,如铺设在 地下或管道中等; 4)应对介质分类标识,存储在介质库或档 案室中; 5)设备或存储介质携带出工作环境时,应 受到监控和内容加密; 6)应利用光、电等技术设置机房的防盗报 警系统,以防进入机房的盗窃和破坏行 为;
《信息系统安全等级保护定级报告》.doc
《信息系统安全等级保护定级报告》 一、潜江新闻网信息系统描述 (一)该信息系统于年月由潜江新闻网自主研发。目前该系统由潜江新闻网技术部负责运行维护。潜江市委宣传部是该信息系统的主管部门,潜江新闻网为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备,设施构成的,是按照一定的应用目标和新闻信息进行采集,加工,存储,发布,检索等处理的人机系统。同时在潜江新闻网技术部建立了独立机房,数据中心的核心设备部署了交换机,配置了两台与外部网络互联的浪潮服务器、专业级防火墙和路由器等…… (三)该信息系统业务主要包含:新闻发布,采集系统,网友报料,论坛,视频发布系统等模块功能。 二、信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 、业务信息描述 潜江新闻网新闻信息系统主要以发布潜江市域内对内外宣传新闻,发布潜江市各项政府公告及政策,收集网上百姓心声等各项信息业务。 、业务信息受到破坏时所侵害客体的确定
侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵,修改,增加,删除等不明侵害(形式可以包括丢失,破坏,损坏等),会对公民,法人和其他组织的合法权益造成影响和损害,可以表现为:影响正常工作的开展,导致社公不安,造成不良影响,引起法律纠纷等. 、信息受到破坏后对侵害客体的侵害程度的确定 说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。 (二)系统服务安全保护等级的确定 、系统服务描述 描述信息系统的服务范围、服务对象等。 、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 、系统服务安全等级的确定
等级保护测评题型及考题
1.cisco的配置通过什么协议备份: A.ftp B.tftp C.telnet D.ssh 2.交换机收到未知源地址的帧时: A.广播所有相连的设备 B.丢弃 C.修改源地址转发 D..... 3.功能测试不能实现以下哪个功能: A.漏洞 B.补丁 C.口令策略 D.全网访问控制策略 4.等保3级别中,而已代码应该在___进行检测和清除 A.内网 B.网络边界 C.主机 D..... 5.____是作为抵抗外部人员攻击的最后防线 A.主机安全 B.网络安全 C... D... 6.按照等保要求,第几级开始增加“抗抵赖性”要求: A.一 B.二 C.三 D.四 7.哪项不是开展主机工具测试所必须了解的信息: A.操作系统 B.应用 C.ip D.物理位置 8.查询sql server中是否存在弱口令的sql语句是: A.select name from xx_logins where password is null B.... C..... D.... 9.Oracle查看是否开启审计功能的sql语句是: 10.linux查看目录权限的命令: A. ls -a B.ls -l C. dir -a D. dir -l 不定项: 1.应用的审计日志应包括: A.日期 B.时间 C.时间描述 D.事件结果 E... 2.鉴别信息描述正确的是:
A.鉴别信息就是用户名 B.鉴别信息时明文的 C.鉴别信息时加密的 D.xxx 3.鉴别信息一般包括: A.知道什么 B.具有什么 C.第三方信息 D... 4.以下哪些可以用来对oracle数据库进行配置管理: A.sqlplus B.手工修改实例名_init.ora C... D... 5.按照等保3级要求,应实现对网络上html,_______,pop3,smtp等协议命名级控制 A.ftp B.TELNET C.ssh D.tftp 6.一段cisco的命令信息,结合日志输出,给出4个选项的描述判定 判断题: 1.按三级要求,应对非法接入客户端进行检查、定位。 2.按三级要求,并对重要数据、鉴别信息等实现存储保密性。 3.sybase数据库中,未启用xxx则不具备审计功能 4.oracle数据库不能对密码进行复杂度进行设置 5.windows 的power users组具有对事件日志的删除权限 6. 给主机动态分配IP的协议是ARP协议 简答题: 1.给出一张检查表,有8条不符合项目,请结合等级保护要求,及你的理解,描述存在的风险,并给出解决建议 2.回答工具测试接入点的原则,及注意事项 3.回答你对安全审计的理解,并结合实际案例说明安全审计的部署(必要时可画图)
机房安全管理制度
机房安全管理规章制度 一、机房安全管理 1、机房安全管理实行总校长领导下的主管副总校长负责制,日常安全工作由安全设备部直接管理。成立机房安全保护领导小组,总校长为组
长、主管副总校长为副组长、各部门经理为成员,并设专职计算机安全管理员若干名。安全管理小组全面负责机房安全管理工作。机房安全保护领导小组要服从西外学校信息安全保护领导小组的领导。 2、要定期对职工进行法制教育,安全意识教育和防范技能训练。要定期或不定期地组织有关人员对机房进行全面的安全检查。 3、要经常组织学习掌握最新的安全管理法律、法规和技术防范技能,更好地做好本部门的安全管理工作。 4、要建立安全管理岗位责任制,并与其他工作同时进行检查考核。 二、机房环境设施与实体设备管理制度 1、环境设施:指机房内保证主机系统及外设安全可靠运行的技术防护设施,包括供电系统、电气系统、空调系统、消防系统、安防及场地监控系统、消防系统等。 2、实体设备:指用来处理数据信息的计算机设备及其外设,包括主机、存储、网络设备、服务器、PC机、打印机等。 3、环境设施是保障实体设备安全可靠运行的重要基础设施,要指定若干名专职人员专职负责,重要复杂的岗位要有两名以上管理员。 4、各种设施要建立完善的技术档案,以便管理人员、检查人员能方便地对有关设施进行管理、维护、检修。 5、设施或设备管理人员要负责对有关机房工作人员进行机房设施或设备常规培训,防止误操作造成的事故。 6、设施或设备要实行定人定岗管理,不得随意乱动不属于自己职责范围的设备操作。 7、设施与设备要按统一规划、定置安放(即各种设备或设施必须按
统一规定的位置要求设置,不得任意移动位置,或随意增减),损坏的设备报告信息技术管理部领导后,由维修人员统一维修,并做好维修记录。 8、机房内需要添置设备或设施时,其配备型号、规格、数量须报请部领导批准后办理。 9、设备的进出和消耗品的领用由管理人员统一登记,造册管理。 三、机房值班制度 1、机房值班分安全值班和运行值班。 2、安全值班实行24小时不断人值班,其主要工作职责是安全保卫、出入机房登记、机房环境设施安全监控、主机设备运行情况监控等。 3、运行值班是指确保全行整个计算机系统正常运行的有关岗位值班,各岗位根据工作特点,每个工作日都指定值班人员负责处理相关业务。 4、值班人员要认真履行职责、坚守岗位、做好值班记录、严格交接班制度,不得中间脱岗,遇到重大问题,要及时向上汇报。交接班时,交接双方必须当面交接并签字。 四、出入机房与门禁管理制度 1、机房是我行生产经营、安全保卫和保密的要害部门,进入机房的人员要求着装整洁、举止文明、自觉遵守信息技术管理部机房管理制度。 2、机房工作人员要通过机房门禁系统进入机房,在规定的工作时间、工作岗位上工作,未经许可,不得随意进入其他工作区域。 3、因工作需要,需在机房开展工作的非信息技术管理部工作人员,须填写《省农行信息技术管理部机房出入审批单》,并经有权审批人批准后,由机房内部保安开门进入,在值班台登记后方可到相关区域进行工作。 4、参观人员必须经信息技术管理部领导批准,在值班台登记后,由
机房等级保护第二级基本要求
1 第二级基本要求 1.1 技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G2) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。 1.1.1.2 物理访问控制(G2) 本项要求包括: a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。 1.1.1.3 防盗窃和防破坏(G2) 本项要求包括: a)应将主要设备放置在机房内; b)应将设备或主要部件进行固定,并设置明显的不易除去的标记; c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d)应对介质分类标识,存储在介质库或档案室中; e)主机房应安装必要的防盗报警设施。 1.1.1.4 防雷击(G2) 本项要求包括: a)机房建筑应设置避雷装置; b)机房应设置交流电源地线。 1.1.1.5 防火(G2) 机房应设置灭火设备和火灾自动报警系统。 1.1.1.6 防水和防潮(G2) 本项要求包括: a)水管安装,不得穿过机房屋顶和活动地板下; b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。 1.1.1.7 防静电(G2) 关键设备应采用必要的接地防静电措施。 1.1.1.8 温湿度控制(G2) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A2) 本项要求包括: a)应在机房供电线路上配置稳压器和过电压防护设备; b)应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。 1.1.1.10 电磁防护(S2)
《信息系统安全等级保护定级报告》
《信息系统安全等级保护定级报告》 一、马尔康县人民检察院门户网站信息系统描述 (一)该信息系统于2014年4月上线。目前该系统由马尔康县人民检察院办信息股负责运行维护。九龙县县政府办是该信息系统业务的主管部门,信息股为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。 服务器托管在九龙县电信公司机房 (三)该信息系统业务主要包含:等业务。 二、马尔康县人民检察院门户网站信息系统安全保护等级确定 (一)业务信息安全保护等级的确定 1、业务信息描述 该信息系统业务主要包含:九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是社会秩序和公众利 —9 —
益。 侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对社会秩序和公众利益造成影响和损害,可以表现为:发布虚假信息,影响公共利益,造成不良影响,引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为严重损害,即工作职能受到严重影响,造成较大范围的不良影响等。 4、业务信息安全等级的确定 业务信息安全保护等级为第二级。 (二)系统服务安全保护等级的确定 1、系统服务描述 该系统属于为民生、经济、建设等提供信息服务的信息系统,其服务范围为全国范围内的普通公民、法人等。 2、系统服务受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益。客观方面表现得侵害结果为:一可以对公民、法人和其他组织的合法权益造成侵害(影响正常工作的开展,造成不良影响,引起法律纠纷等);—10 —
信息系统安全等级保护测评过程指南
信息安全技术信息系统安全等级保护测评过程指南 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南; ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求; ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南; ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。 信息安全技术 信息系统安全等级保护测评过程指南 1范围
本标准规定了信息系统安全等级保护测评(以下简称等级测评)工作的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。 2规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件, 其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分:安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》(公通字[2007]43号) 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1
机房安全管理制度
机房安全管理规章制度一、机房安全管理
1、机房安全管理实行总校长领导下的主管副总校长负责制,日常安全工作由安全设备部直接管理。成立机房安全保护领导小组,总校长为组长、主管副总校长为副组长、各部门经理为成员,并设专职计算机安全管理员若干名。安全管理小组全面负责机房安全管理工作。机房安全保护领导小组要服从西外学校信息安全保护领导小组的领导。 2、要定期对职工进行法制教育,安全意识教育和防范技能训练。要定期或不定期地组织有关人员对机房进行全面的安全检查。 3、要经常组织学习掌握最新的安全管理法律、法规和技术防范技能,更好地做好本部门的安全管理工作。 4、要建立安全管理岗位责任制,并与其他工作同时进行检查考核。 二、机房环境设施与实体设备管理制度 1、环境设施:指机房内保证主机系统及外设安全可靠运行的技术防护设施,包括供电系统、电气系统、空调系统、消防系统、安防及场地监控系统、消防系统等。 2、实体设备:指用来处理数据信息的计算机设备及其外设,包括主机、存储、网络设备、服务器、PC机、打印机等。 3、环境设施是保障实体设备安全可靠运行的重要基础设施,要指定若干名专职人员专职负责,重要复杂的岗位要有两名以上管理员。 4、各种设施要建立完善的技术档案,以便管理人员、检查人员能方便地对有关设施进行管理、维护、检修。
5、设施或设备管理人员要负责对有关机房工作人员进行机房设施或设备常规培训,防止误操作造成的事故。 6、设施或设备要实行定人定岗管理,不得随意乱动不属于自己职责范围的设备操作。 7、设施与设备要按统一规划、定置安放(即各种设备或设施必须按统一规定的位置要求设置,不得任意移动位置,或随意增减),损坏的设备报告信息技术管理部领导后,由维修人员统一维修,并做好维修记录。 8、机房内需要添置设备或设施时,其配备型号、规格、数量须报请部领导批准后办理。 9、设备的进出和消耗品的领用由管理人员统一登记,造册管理。 三、机房值班制度 1、机房值班分安全值班和运行值班。 2、安全值班实行24小时不断人值班,其主要工作职责是安全保卫、出入机房登记、机房环境设施安全监控、主机设备运行情况监控等。 3、运行值班是指确保全行整个计算机系统正常运行的有关岗位值班,各岗位根据工作特点,每个工作日都指定值班人员负责处理相关业务。 4、值班人员要认真履行职责、坚守岗位、做好值班记录、严格交接班制度,不得中间脱岗,遇到重大问题,要及时向上汇报。交接班时,交接双方必须当面交接并签字。
信息系统安全等级保护定级报告示例
信息系统安全等级保护定级报告 一、XX平台系统描述 (一)2014年8月,XX正式上线,XX隶属于北京XX科技有限公司,该公司是从事网络借贷信息中介业务活动的金融信息服务企业。主要是通过线上XX平台,将出借人和借款人衔接,为二者提供中介服务进而实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务解决借款人和出借人的投融资难的问题。目前该XX平台系统由公司运维部负责维护。我公司是该平台系统业务的主要负责机构,也是为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对该系统金融业务数据信息进行存储、传输、检索等处理的人机机制。 该系统相关的用户数据中心网络,资金管理等边界部分都是等级保护定级的范围和对象。在此次定级过程中,将该系统的网络设备和数据中心连同业务数据作为一个定级对象加以考虑,统一进行定级、备案。该系统的网络设备和数据中心还要作为整个系统的分系统分别进行定级、备案。 (三)该系统业务主要包含:用户身份安全信息、业务平台数据、购买服务等业务,并新增加了法务审核,风险控制等等业
务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中:通过网络与第三方支付平台的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。 业务处理系统以内部财务结算模式,负责各类买入转让还款的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。系统结构拓扑图如下: 二、XX平台系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 北京XX科技有限公司是从事网络借贷信息中介业务活动的金融信息服务企业,XX为旗下借贷平台主要是通过线上平台,将出借人和借款人衔接,为二者提供中介服务实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务,解决借款人和出借人的投融资难的问题。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。 侵害的客观方面表现为:一旦信息系统的业务信息遭到入侵、
《GB∕T 28448-信息安全技术网络安全等级保护测评要求》试卷答案
《GB∕T 28448-2019信息安全技术网络安全等级保护测评 要求》试卷 姓名:分数: 一、填空题(每空3分,共30分) 1.安全测评通用要求中安全物理环境的测评对象是__________和__________。 2.机房__________设在地下室。 3.二级测评通用要求对机房设置防盗报警系统或有专人值守的视频监控系统__________ (有或没有)作要求。 4.三级测评通用要求机房电力供应设置__________电力电缆线路。 5.三级测评通用要求网络设备的业务处理能力满足业务高峰期的要求,可通过查看网络设 备的__________使用率和__________使用率。 6.边界防护中,__________级测评要求内外网的非法互联进行检测和限制。 7.云计算安全测评扩展要求云计算基础设施位于__________。 8.工业控制系统与企业其他系统之间应划分为__________个区域。 二、不定项选择(每题5分,共30分) 1.三级测评通用要求机房出入口应__________。 A.安排专人值守B.放置灭火器
C.安装玻璃门D.配置电子门禁系统 2.三级测评通用要求防雷击除了将各类机柜、设施和设备等通过接地系统安全接地,还要 求设置__________。 A.照明灯具B.过压保护器 C.防雷保安器D.空气清新剂 3.身份鉴别要求采用__________等两种或两种以上的鉴别技术。 A.动态口令B.数字证书 C.生物技术D.设备指纹 4.三级测评通用要求安全计算环境中,访问控制的粒度应达到主体为__________。A.端口级B.用户级 C.进程级D.应用级 5.安全管理中心是《GB∕T 28448-2019信息安全技术网络安全等级保护测评要求》新增加 的内容,三级测评通用要求安全管理中心内容包括__________。 A.系统管理B.审计管理 C.安全管理D.集中管控 6.工业控制系统内使用广域网进行进行控制指令或相关数据交换的应采用加密认证技术 手段实现__________加密传输。 A.身份认证B.访问控制 C.数据D.以上都不是
等级保护测评项目测评方案-2级和3级标准
信息安全等级保护测评项目 测 评 方 案 广州华南信息安全测评中心 二〇一六年
目录 第一章概述 (3) 第二章测评基本原则 (4) 一、客观性和公正性原则 (4) 二、经济性和可重用性原则 (4) 三、可重复性和可再现性原则 (4) 四、结果完善性原则 (4) 第三章测评安全目标(2级) (5) 一、技术目标 (5) 二、管理目标 (6) 第四章测评内容 (9) 一、资料审查 (10) 二、核查测试 (10) 三、综合评估 (10) 第五章项目实施 (12) 一、实施流程 (12) 二、测评工具 (13) 2.1 调查问卷 (13) 2.2 系统安全性技术检查工具 (13) 2.3 测评工具使用原则 (13) 三、测评方法 (14) 第六章项目管理 (15) 一、项目组织计划 (15) 二、项目成员组成与职责划分 (15) 三、项目沟通 (16) 3.1 日常沟通,记录和备忘录 (16) 3.2 报告 (16) 3.3 正式会议 (16) 第七章附录:等级保护评测准则 (19) 一、信息系统安全等级保护 2 级测评准则 (19) 1.1 基本要求 (19) 1.2 评估测评准则 (31) 二、信息系统安全等级保护 3 级测评准则 (88) 基本要求 (88) 评估测评准则 (108)
第一章概述 2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件 明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。” 2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出,“通过深化信息安全等级保护,全面推动重要信息系统安全整改和测评工作,增强信息系统安全保护的整体性、针对性和实效性,使信息系统安全 建设更加突出重点、统一规范、科学合理,提高信息安全保障能力,维护国家安全、社会稳定和公共利益,保障和促进信息化建设”。由此可见,等级保护测评和等级保护安全整改工作已经迫在眉睫。
信息安全等级保护初级测评师模拟试题
信息安全等级保护初级测评师模拟试题 集团档案编码:[YTTR-YTPT28-YTNTL98-UYTYNN08]
信息安全等级测评师模拟考试 考试形式:闭卷考试时间:120分钟 一、单选题(每题1.5分,共30分) 1.以下关于等级保护的地位和作用的说法中不正确的是(c) A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2.以下关于信息系统安全建设整改工作工作方法说法中不正确的是:(A) A.突出重要系统,涉及所有等级,试点示范,行业推广,国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是:(B)A A.确定定级对象过程中,定级对象是指以下内容:起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4.安全建设整改的目的是(D) (1)探索信息安全工作的整体思路;(2)确定信息系统保护的基线要求;(3)了解信息系统的问题和差距;(4)明确信息系统安全建设的目标;(5)提升信息系统的安全保护能力; A.(1)、(2)、(3)、(5) B.(3)、(4)、(5)
信息系统安全等级保护定级报告实例
信息系统安全等级保护定级报告 (起草参考实例) 一、支付通网上支付服务系统描述 (一)该中间业务于*年*月*日由*省邮政局科技立项,省邮政信息技术局自主研发。目前该系统由技术局运行维护部负责运行维护。省邮政局是该信息系统业务的主管部门,省邮政局委托技术局为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对邮储金融中间业务信息进行采集、加工、存储、传输、检索等处理的人机系统。整个网络分为两部分,(图略),第一部分为省数据中心,第二部分为市局局域网。 在省数据中心的核心设备部署了华为的S**三层交换机,…… 在省数据中心的网络中配置了两台与外部网络互联的边界设备:天融信 NGFW 4**防火墙和Cisco 2**路由器…… 省数据中心网络中剩下的一部分就是与下面各个地市的互联。其中主要设备部署的是……整个省数据中心网络中的所有设备系统都按照统一的设备管理策略,只能现场配置,不可远程拨号登录。 整个信息系统的网络系统边界设备可定为NGFW 4** 与 Cisco 2**。Cisco 2** 外联的其它系统都划分为外部网络部分,而NGFW 4** 以内的部分包括与各地市互联的部分都可归为中心的内部网络,与中间业务系统相关的省数据中心网络边界部分和内部网络部分都是等级保护定级的范围和对象。在此次定级过程中,将各市的网络和数据中心连同省中心统一作为一个定级对象加以考虑,统一进行定级、备案。各市的网络和数据中心还要作
为整个系统的分系统分别进行定级、备案。 (三)该支付服务系统业务主要包含:网络表够电、IC卡购电、抄表购电等便民缴费服务。用户不必受网点营业时间限制,足不出户在线完成各类行业IC卡的充值及信用卡还款、手机充值、游戏点卡、航空客票购买等增值服务。支付宝账号充值和订单支付服务。为银行和银行卡用户提供服务通道,借助支付通平台和支付通终端提供的通路,银行卡用户可在线办理银行卡余额查询、转账等银行卡业务。信息订阅:针对支付通平台用户提供各类信息订阅,为用户提供合作商户及支付通的各类优惠打折信息订阅,主要是通过手机短信或彩信、网页显示方式推送给用户。支付宝账号充值和订单支付服务。后续还会有诸如歌华宽带、速通卡业务、各类手机账单缴费业务、账单支付业务等。 涵盖了网上购物、保险、教育、旅游、交通等行业的电子商务业务的网络支付服务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中:通过网络与第三方机构的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。 业务处理系统以省集中结构模式,负责各类中间业务的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。 二、X省邮政金融网中间业务系统安全保护等级的确定 (一)业务信息安全保护等级的确定 1、业务信息描述 金融网中间业务信息包括:代收费情况信息,缴费公民、法人和其他组织的的个人(单位)信息,欠费情况,以及代收费的银行、电信、燃气、税务、保险等部门的信息等。属于公民、法人和其他组织的专有信息。
信息系统安全等级保护测评报告
报告编号:( -16-1303-01)信息系统安全等级测评报告
说明: 一、每个备案信息系统单独出具测评报告。 二、测评报告编号为四组数据。各组含义和编码规则如下: 第一组为信息系统备案表编号,由2段16位数字组成,可以从公 +安机关颁发的信息系统备案证明(或备案回执)上获得。第1段即备案证明编号的前11位(前6位为受理备案公安机关代码,后5位为受理备案的公安机关给出的备案单位的顺序编号);第2段即备案证明编号的后5位(系统编号)。 第二组为年份,由2位数字组成。例如09代表2009年。 第三组为测评机构代码,由四位数字组成。前两位为省级行政区划数字代码的前两位或行业主管部门编号:00为公安部,11为,12为,13为,14为,15为,21为,22为,23为,31为,32为,33为,34为,35为,36为,37为,41为,42为,43为,44为,45为,46为,50为,51为,52为,53为,54为,61为,62为,63为,64为,65为,66为兵团。90为国防科工局,91为电监会,92为教育部。后两位为公安机关或行业主管部门推荐的测评机构顺序号。 第四组为本年度信息系统测评次数,由两位构成。例如02表示该信息系统本年度测评2次。
信息系统等级测评基本信息表 注:单位代码由受理测评机构备案的公安机关给出。
声明 本报告是票务系统的安全等级测评报告。 本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。 本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后,由于信息系统发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。 本报告中给出的测评结论不能作为对信息系统部署的相关系统构成组件(或产品)的测评结论。 在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关容擅自进行增加、修改和伪造或掩盖事实。
等级保护考试试题集
信息安全等级保护培训试题集 一、法律法规 一、单选题 1.根据《信息安全等级保护管理办法》,(A)负责信息安全等级保护工作的监督、检查、指导。 A.公安机关 B.国家保密工作部门 C.国家密码管理部门 2.根据《信息安全等级保护管理办法》,(D)应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。 A.公安机关 B.国家保密工作部门 C.国家密码管理部门 D.信息系统的主管部门 3.计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。(B) A.经济价值经济损失 B.重要程度危害程度 C.经济价值危害程度 D.重要程度经济损失 4.对拟确定为(D)以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 A.第一级 B.第二级 C.第三级 D.第四级 5.一般来说,二级信息系统,适用于(D) A.乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。 B.适用于地市级以上国家机关、企业、事业单位内部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官方网站;跨省(市)联接的信息网络等。 C.适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统,银行、证券、保险、税务、海关等部门中的核心系统。 D.地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网,非涉及秘密、敏感信息的办公系统等。