哈尔滨等保测评知识分享（六）

11.系统定级的一般流程是什么？

（1）确定作为定级对象的信息系统  

（2）确定业务信息安全受到破坏时所侵害的客体，根据不同的受害客体，从各个方面综合评定业务信息安全被破坏对客体的侵害程度，根据业务信息的重要性和受到破坏后的危害性确定业务信息安全等级。  

（3）确定系统服务安全受到破坏时所侵害的客体，根据不同的受害客体，从各个方面综合评定系统服务安全被破坏对客体的侵害程度，根据系统服务的重要性和受到破坏后的危害性确定系统服务安全等级。  

（4）定级对象的等级由业务信息安全等级和系统服务安全等级的较高者决定。

12.编制测评报告活动包含哪几项内容？

（1）单项测评结果符合程度及判定；

（2）判定单元测评结果；

（3）整体测评；

（4）系统安全保障评估；

（5）安全问题风险评估；

（6）形成等级测评结论；

（7）编制测评报告。

13.访问控制的三要素是什么？按访问控制策略划分，可分为哪几类？按层面划分，可分为哪几类？

访问控制的三要素是：主体、客体、操作。

（1）按访问控制策略划分可分为：

·自主访问控制

·强制访问控制

·基于角色的访问控制

（2）按层面划分可分为：

·网络访问控制

·主机访问控制

·应用访问控制

·物理访问控制

14.工具测试流程

收集信息--规划接入点--编制《工具测试作业指导书》—现场测试—结果整理。

15.NIST对云计算的定义包括五个基本特征、三种云服务器模式、四个云部署模型。

（1）五个基本特征

·按需自助

·无所不在的网络访问

·资源池化

·快速弹性

·可度量的服务

（2）三种云服务器模式

·软件即服务(Software as a Service,SaaS):通过网络为最终用户提供应用服务。绝大多数SaaS应用是直接在浏览器中运行的，不需要用户下载和安装任何程序。SaaS是由服务商管理和托管的完整应用软件，用户可以通过Web浏览器、移动应用或轻量级客户端应用访问它。

·平台即服务(Platfrom as a Service,PaaS):主要作用是将一个开发和运行平台作为服务提供给用户。PaaS能够提供开发或应用平台，例如数据库、应用平台(如运行Python、PHP或其他代码的地方)、文件存储和协作，甚至专有的应用处理(如机器学习、大数据处理或通过API直接访问完整的SaaS应用的特性)。

·基础设施即服务(Infrastructure as a Service,IaaS):主要提供一些基础资源，包括服务器、网络、存储等服务。IaaS由自动化的、可靠的、可扩展性强的动态计算资源构成，用户能够在其上部署和运行任意软件(包括操作系统和应用程序),无须管理或控制任何云计算基础设施，能够控制操作系统的选择、存储空间及部署的应用，还有可能获得网络组件的控制权。

（3）四个云部署模型

·公有云：云基础设施为公众或大型行业团体提供服务，由销售云计算服务的云平台所有。

·私有云：云基础设施为单一的云平台专门运作，可以由该云平台或第三方管理并可以位于该云平台内部或外部。

·社区云：云基础设施由若干个云平台共享，支持特定的、有共同关注点的社区(例如使命、安全要求、政策或合规性考虑等),可以由该云平台或第三方管理并可以位于该云平台内部或外部。

·混合云：云基础设施由两个或多个云(私有云、社区云或公共云)组成，以独立实体的形式存在(通过标准的或专有的技术绑定在一起，这些技术促进了数据和应用的可移植性，例如云间的负载平衡),通常用于描述非云化数据中心与云服务提供商的互联。

16. 测评的流程

分为测评准备、方案制定、现场测评、报告编制四个步骤。

（1）测评准备活动包括工作启动、信息收集和分析、工具和表单准备三项主要任务；

（2）方案制定活动包括被测对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制等六项主要任务。

（3）现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三个主要任务，测评的方式为访问、核查和测试；

（4）在现场测评工作后，测评机构应对现场测评获得的测评测评结果根据单项测评结果判定、单元测评结果判定、整体测评、系统安全保障评估、安全问题风险分析、等级测评结论形成、测评报告编制等步骤撰写报告。

17.安全管理定义：

安全管理是指在“测评对象”中对需要人员来参与的活动采取必要的管理控制措施，对其生命周期全过程实施科学管理。

18.安全管理测评的定位：

依据标准要求对被测对象从制度、机构、人员、建设和运维等方面进行测评，核查被测对象在各方面与标准之间的差距，根据组织的特定管理要求和业务需求提出参考性改进意见或建议。

19.技术和管理的区别与联系：（常考点）

（1）技术和管理的区别

·安全技术主要通过在信息系统中合理部署软硬件并正确配置其安全功能实现;

·安全管理主要通过控制与测评对象相关各类人员的活动，采取文档化管理体系，从政策、制度、规范、流程以及记录等方面做出规定实现。

（2）技术和管理的联系

·两者之间既互相独立，又互相关联;

·确保测评对象安全不可分割的两个部分。

（3）举例

恶意代码防范，在技术与管理中都有相关要求，在技术测评关注是否部署防病毒服务器，是否正确配置恶意代码防护并及时更新病毒库，管理测评关注是否有人管理维护管理防病毒服务器，并且对恶意代码扫描结果进行分析。

20.网络安全等级保护标准体系包含哪几类依据？具体依据文件都是哪些?

（1）基础标准GB/T 17859-1999《计算机信息系统安全保护等级划分准则》

（2）安全要求GB/T 22239-2019《信息系统安全等级保护基本要求》及行业规范

（3）系统定级GB/T 22240-2018《信息系统安全等级保护定级指南》及行业定级细则

（4）方法指导GB/T 25058-2010《信息系统安全等级保护实施指南》GB/T 25070-2019《信息系统等级保护安全设计技术要求》

（5）现状分析GB/T 28448-2019《信息系统安全等级保护测评要求》GB/T 28449-2018《信息系统安全等级保护测评过程指南》