网络安全等级保护2.0 定级、评测、实施与运维
①安全通用要求
| 基本要求 | 第三级 | |
|---|---|---|
| 安全物理环境 | 物理位置选择 | a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内;b) 机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施 |
| 物理访问控制 | a) 机房出入口应****配置电子门禁系统****,控制、鉴别和记录进入的人员 | |
| 防盗窃和防破坏 | a) 应将设备或主要部件进行固定,并设置明显的不易除去的标识;b) 应将通信线缆铺设在隐蔽安全处;*c)* *应设置机房防盗报警系统或设置有专人值守的视频监控系统* | |
| 防雷击 | a) 应将各类机柜、设施和设备等通过接地系统安全接地****b)**** *应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等* | |
| 防火 | a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料c) 应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。 | |
| 防水和防潮 | a) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透b) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透****c)**** *应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。* | |
| 防静电 | a) 应采用防静电地板或地面并采用必要的接地防静电措施;b) 应采用措施防止静电的产生,例如采用静电消除器、佩戴防静电手环等。 | |
| 温湿度控制 | *a) 应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内* | |
| 电力供应 | a) 应在机房供电线路上配置稳压器和过电压防护设备;b) 应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求;c) 应设置冗余或并行的电力电缆线路为计算机系统供电。 | |
| 电磁防护 | a) 电源线和通信线缆应隔离铺设,避免互相干扰;b) 应对关键设备实施电磁屏蔽。 | |
| 安全通信网络 | 网络架构 | *a)* *应保证网络设备的业务处理能力满足业务高峰期需要;**b)* *应保证网络各个部分的带宽满足业务高峰期需要;*c) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;d) 应避免将重要网络区域部署在网络边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;e) **应提供通信线路、关键网络设备和计算机设备**的硬件冗余,保证系统的可用性。** |
| 通信传输 | a) 应采用校验码技术或密码技术保证通信过程中数据的完整性;b) 应采用密码技术保证通信过程中数据的保密性。 | |
| 可信验证 | 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,**并在应用程序的关键执行环节进行动态可信验证,**在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | |
| 安全区域边界 | 边界****防护 | a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;b) **应能够对非授权设备私自联到内部网络的行为进行检查或限制;c) **应能够对内部用户非授权联到外部网络的行为进行检查或**限制;**d) 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。 |
| 访问控制 | a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;e) 应****对进出网络的数据流实现基于应用协议和应用内容的访问控制。 | |
| 入侵防范 | a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;b) 应在关键网络节点处检测和限制从内部发起的网络攻击行为;c) **应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击的检测和分析;d) **当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警 | |
| 恶意代码和垃圾邮件防范 | a) 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;b) 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新 | |
| 安全****审计 | a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 | |
| 可信验证 | 可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,**并在应用程序的关键执行环节进行动态可信验证,**在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | |
| 安全计算环境 | 身份鉴别 | a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;c) 当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别**,且其中一种鉴别技术至少应使用密码技术来实现****。** |
| 访问控制 | a) 应对登录的用户分配账户和权限;b) 应重命名或删除默认账户,修改默认账户的默认口令;c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在;d) 应授予管理用户所需的最小权限,实现管理用户的权限分离;e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;f) **访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;g) **应对重要主体和客体****设置安全标记,并控制主体对有安全标记信息资源的访问。 | |
| 安全审计 | a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;d) 应对审计进程进行保护,防止未经授权的中断**。** | |
| 入侵防范 | a) 应遵循最小安装的原则,仅安装需要的组件和应用程序;b) 应关闭不需要的系统服务、默认共享和高危端口;c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;d) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;e) 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 | |
| 恶意代码防范 | a) 应采用免受恶意代码攻击的技术措施或****主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。 | |
| 可信验证 | 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,**并在应用程序的关键执行环节进行动态可信验证,**在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | |
| 数据****完整性 | a) 应采用校验码技术或密码技术保证重要数据在传输过程中的完整性,*包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等**;****b) **应采用校验码技术或密码技术保证重要数据在存储过程中的完整性*,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等****;** | |
| 数据****保密性 | a) 应采用密码技术保证重要数据在传输过程中的保密性,*包括但不限于鉴别数据、重要业务数据和重要个人信息等*;b) **应采用密码**技术保证重要数据在存储过程中的保密性,*包括但不限于鉴别数据、重要业务数据和重要个人信息等*。 | |
| 数据****备份恢复 | a) 应提供重要数据的本地数据备份与恢复功能;b) 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;c) 应提供重要数据处理系统的热冗余,保证系统的高可用性。 | |
| 剩余****信息保护 | a) 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;b) 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。 | |
| 个****人信息保护 | a) 应仅采集和保存业务必需的用户个人信息;b) 应禁止未授权访问和非法使用用户个人信息 | |
| 安全管理中心 | 系统管理 | a) 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。 |
| 审计管理 | a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;b) 应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。 | |
| 安全管理 | a) 应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计;b) **应**通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。 | |
| 集中管控 | **a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;****b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;****c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;****d) 应对分散在各个设备上的审计数据进行汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;****e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;**f) 应能对网络中发生的各类安全事件进行识别、报警和分析。 | |
| 安全管理制度 | 安全策略 | a) 应制定信息安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。 |
| 管理制度 | a) 应对安全管理活动中的各类管理内容建立安全管理制度;b) 应对管理人员或操作人员执行的日常管理操作建立操作规程;c) 应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系。 | |
| 制定和发布 | a) 应指定或授权专门的部门或人员负责安全管理制度的制定;b) 安全管理制度应通过正式、有效的方式发布,并进行版本控制 | |
| 评审和修订 | 应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订 | |
| 安全管理机构 | 岗位设置 | a) 应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权;b) 应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;c) 应设立系统管理员、网络管理员、安全管理员等岗位,并定义部门及各个工作岗位的职责 |
| 人员配备 | a) 应配备一定数量的系统管理员、网络管理员、安全管理员等b) 应配备专职安全管理员,不可兼任。 | |
| 授权和审批 | a) 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等b) 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,**对重要活动建立逐级审批制度;**c) 应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。 | |
| 沟通和合作 | a) 应加强各类管理人员之间、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题;b) 应加强与网络安全智能部门、各类供应商、业界专家及安全组织的合作与沟通;c) 应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息 | |
| 审核和检查 | a) 应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况b) **应定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;**c) 应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。 | |
| 安全管理人员 | 人员录用 | a) 应指定或授权专门的部门或人员负责人员录用b) 对被录用人员的身份、安全背景、专业资格和资质等进行审查**,对其所具有的技术技能进行考核;**c) 应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议。 |
| 人员离岗 | a) 应及时终止离岗员工的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备b) 应办理严格的调离手续,并承诺调离后的保密义务后方可离开。 | |
| 安全意识教育和培训 | a) 应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施;b) 应针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训**;**c) 应定期对不同岗位的人员进行技能考核。 | |
| 外部人员访问管理 | a) 应确保在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案;b) 应确保在外部人员接入网络访问系统前先提出书面申请,批准后由专人开设账号、分配权限,并登记备案;c) 外部人员离场后应及时清除其所有的访问权限d) 获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息。 | |
| 安全建设管理 | 定级和备案 | a) 应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由;b) 应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定;c) 应保证定级结果经过相关部门的批准;d) 应将备案材料报主管部门和相应公安机关备案。 |
| 安全方案设计 | a) 应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施****b)**** *应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,并形成配套文件;**c)* *应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定,经过批准后才能正式实施。* | |
| 产品采购和使用 | a) 应确保网络安全产品采购和使用符合国家的有关规定b) 应确保密码产品采购和使用符合国家密码管理主管部门的要求c) 应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。 | |
| 自行软件开发 | a) 应确保开发环境与实际运行环境物理分开,测试数据和测试结果受到控制;b) **应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;**c) **应制定代码编写安全规范,要求开发人员参照规范编写代码;**d) **应确保具备软件设计的相关文档和使用指南,并对文档使用进行控制;**e) 应确保在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测。f) **应确保对程序资源库的修改、更新、发布进行授权和批准,并严格进行版本控制;**g) 应确保开发人员为专职人员,开发人员的开发活动受到控制、监视和审查。 | |
| 外包软件开发 | a) 应在软件交付前检测其中可能存在的恶意代码;b) 应保证开发单位提供软件设计文档和使用指南c) 应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。 | |
| 工程实施 | a) 应指定或授权专门的部门或人员负责工程实施过程的管理b) 应制定工程实施方案控制工程实施过程c) 应通过第三方工程监理控制项目的实施过程。 | |
| 测试验收 | a) 在制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告;b) 应进行上线前的安全性测试,并出具安全测试报告****,安全测试报告应包含密码应用安全性测试相关内容。**** | |
| 系统交付 | a) 应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; b) 应对负责运行维护的技术人员进行相应的技能培训c) 应提供建设过程文档和运行维护文档。 | |
| 等级测评 | a) 应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改;b) 应在发生重大变更或级别发生变化时进行等级测评;c) 应确保测评机构的选择符合国家有关规定。 | |
| 服务供应商选择 | a) 应确保服务供应商的选择符合国家的有关规定;b) 应与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的信息安全相关义务c) 应定期监督、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制。 | |
| 安全运维管理 | 环境管理 | a) 应指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理;*b)* *应建立机房安全管理制度,对有关机房物理访问,物品带**进**出**和*****环境安全等方面的管理作出规定****c) 应不在重要区域接待来访人员,不要对弈放置含有敏感信息的纸档文件和移动介质等 |
| 资产管理 | a) 应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容b) **应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施;**c) 应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。 | |
| 介质管理 | a) 应确保介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点b) 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录 | |
| 设备维护管理 | a) 应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理b) 应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等c) **信息处理设备应经过审批才能带离机房或办公地点,含有存储介质的设备带出工作环境时其中重要数据应加密;**d) 含有存储介质的设备在报废或重用前,应进行完全清除或被安全覆盖,确保该设备上的敏感数据和授权软件无法被恢复重用。 | |
| 漏洞和风险管理 | a) 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补b) 应定期开展安全测评,形成安全测评报告,采取措施应对发现的安全问题。 | |
| 网络和系统安全管理 | a) 应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限;b) 应指定专门的部门或人员进行账号管理,对申请账户、建立账户、删除账户等进行控制c) 应建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定;d) 应制定重要设备的配置和操作手册,依据手册对设备进行安全配置和优化配置等;e) 应详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容。f) 应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计,及时发现可疑行为;g) **应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后同步更新配置信息库;h)** 应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据;i) 应严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道;j) 应保证所有与外部的连接均得到授权和批准, 应定期检查违反规定无线上网及其他违反网络安全策略的行为。 | |
| 恶意代码防范管理 | a) 应提高所有用户的防恶意代码意识,告知对外来计算机或存储设备接入系统前进行恶意代码检查等;*b)* *应**定期验证防范恶意代码攻击的技术措施的有效性。* | |
| 配置管理 | a) 应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等b) 应将基本配置信息改变纳入变更范畴,实施对配置信息改变的控制,并及时更新基本配置信息库。 | |
| 密码管理 | a) 应遵循密码相关国家标准和行业标准;b) 应使用国家密码管理主管部门认证审核的密码技术和产品。 | |
| 变更管理 | a) 应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施。b) **应建立变更的申报和审批控制程序,依据程序控制所有的变更,记录变更实施过程;**c) 应建立中止变更并从失败变更中恢复的程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。 | |
| 备份与恢复管理 | a) 应识别需要定期备份的重要业务信息、系统数据及软件系统等;b) 应规定备份信息的备份方式、备份频度、存储介质、保存期等c) 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等 | |
| 安全事件处置 | a) 应及时向安全管理部门报告所发现的安全弱点和可疑事件;b) 应制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等;c) 应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训d) 对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序。 | |
| 应急预案管理 | a) 应规定统一的应急预案框架,包括启动预案的条件、应急****组织构成、应急资源保障、事后教育和培训等内容;b) 应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容;c) 应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练d) 应定期对原有的应急预案重新评估,修订完善。 | |
| 外包运维管理 | a) 应确保外包运维服务商的选择符合国家的有关规定;b) 应与选定的外包运维服务商签订相关的协议,明确约定外包运维的范围、工作内容c) **应保证选择的外包运维服务商在技术和管理方面均具有按照等级保护要求开展安全运维工作的能力,并将能力要求在签订的协议中明确;**d) 应在与外包运维服务商签订的协议中明确所有相关的安全要求。如可能涉及对敏感信息的访问、处理、存储要求,对IT基础设施中断服务的应急保障要求等。 | **** |
②相关问题汇总
1、ARP地址欺骗的分类、原理是什么?可采取什么措施进行有效控制?
答:一种是对网络设备ARP表的欺骗,其原理是截获网关数据。它通知网络设备一 系列错误的内网MAC地址,并按照一定的的频率不断进行,使真实的的地址信息无 法通过更新保存在网络设备中,结果网络设备的所有的数据只能发给错误的MAC地 址,造成正常PC无法收到信息。 另一种是对内网PC的网关欺骗。其原理是建立假网关,让被它欺骗的PC向假网 关发数据,而不是通过正常的途径上网。
措施:
一、在网络设备中把所有pc的ip-mac输入到一个静态表中,这叫ip-mac绑定;
二、在内网所有pc上设置网关的静态arp信息,这叫pc ip-mac绑定。一般要求两个工作都要做,称为ip-mac双向绑定。
2、三级信息系统中,网络安全中的设备安全有哪些检查项?
分别是:
a)应对登录网络设备的用户进行身份鉴别;
b)应对网络设备的管理员登录地址进行限制;
c)网络设备用户的标识应唯一;
d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
f)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登 录连接超时自动退出等措施;
g)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过 程中被窃听;
h)应实现设备特权用户的权限分离。
3、回答工具测试接入点的原则,及注意事项?
答:工具测试接入点的原则: 首要原则是不影响目标系统正常运行的前提下严格按照方案选定范围进行测试。
1)由低级别系统向高级别系统探测;
2)同一系统同等重要程度功能区域之间要相互探测;
3)有较低重要程度区域向较高重要程度区域探测;
4)由外链接口向系统内部探测;
5)跨网络隔离设备(包括网络设备和安全设备)要分段探测。
注意事项:
1)工具测试介入测试设备之前,首先要有被测系统人员确定测试条件是否具备。测试条件包括被测网络设备、主机、安全设备等是否都在正常运行,测试时间段是否为可测试时间段,等等。
2)接入系统的设备、工具的ip地址等配置要经过被测系统相关人员确认。
3)对于测试过程中可能造成的对目标系统的网络流量及主机性能方面的影响(例如口令探测可能会造成的账号锁定等情况,要事先告知被测系统相关人员。
4)对于测试过程中的关键步骤、重要证据,要及时利用抓图等取证。
5)对于测试过程中出现的异常情况(服务器出现故障、网络中断)要及时记录。
6)测试结束后,需要被测方人员确认被测系统状态正常并签字后退场。
4、入侵检测系统分为哪几种,各有什么特点?
答:主机型入侵检测系统(HIDS),网络型入侵检测系统(NIDS)。
HIDS一般部署在下述四种情况下:
1 )网络带宽高太高无法进行网络监控
2 )网络带宽太低不能承受网络IDS的开销
3 )网络环境是高度交换且交换机上没有镜像端口
4 )不需要广泛的入侵检测 HIDS往往以系统日志、应用程序日志作为数据源;检测主机上的命令序列比检测 网络流更简单,系统的复杂性也少得多,所以主机检测系统误报率比网络入侵检测系统的误报率要低;他除了检测自身的主机以外,根本不检测网络上的情况,而且对入侵行为分析的工作量将随着主机数量的增加而增加,因此全面部署主机入侵检测系统代价比较大,企业很难将所有主机用主机入侵检测系统保护,只能选择部分主机进行保护,那些未安装主机入侵检测系统的机器将成为保护的忙点,入侵者可利用这些机器达到攻击的目标。依赖于服务器固有的日志和监视能力,。如果服务器上没有配置日志功能,则必须重新配置,这将给运行中的业务系统带来不可预见的性能影响。
NIDS一般部署在比较重要的网段内,它不需要改变服务器等主机的配置,由于他 不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。NIDS的数据源是网络上的数据包。通过线路窃听的手段对捕获的网络分组进行处理,从中获取有用的信息。一个网段上只需要安装一个或几个这样的系统,便可以检测整个网络的情况,比较容易实现。由于现在网络的日趋复杂和高速网络的普及,这种结构正接受者越来越大的挑战。
5、安全审计按对象不同,可分为哪些类?各类审计的内容又是什么?
答:系统级审计,应用级审计,用户级审计。
系统级审计:要求至少能够记录登陆结果、登录标识、登陆尝试的日期和时间、退出的日期和时间、所使用的设备、登陆后运行的内容、修改配置文件的请求等。
应用级审计:跟踪监控和记录诸如打开和关闭数据文件,读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。
用户级审计:跟踪通常记录用户直接启动的所有命令、所有的标识和鉴别尝试的所有访问的文件和资源。
6、解释SQL注入攻击的原理,以及它产生的不利影响。
答:SQL注入攻击的原理是从客户端提交特殊的代码,Web应用程序如果没做严格的
检查就将其形成SQL命令发送给数据库,从数据库返回的信息中,攻击者可以获得程
序及服务器的信息,从而进一步获得其他资料。
SQL注入攻击可以获取Web应用程序和数据库系统的信息,还可以通过SQL注入
攻击窃取敏感数据,篡改数据,破坏数据,甚至以数据库系统为桥梁进一步入侵服务器
操作系统,从而带来更为巨大的破坏。
7、系统定级的一般流程是什么?
答:
1、确定作为定级对象的信息系统;
2、确定业务信息安全受到破坏时所侵害的客体;根据不同的受害客体,
从各个方面综合评定业务信息安全被破坏对课题的侵害程度。根据业
务信息的重要性和受到破坏后的危害性确定业务信息安全等级。
3、确定系统服务安全受到破坏时所侵害的客体;根据不同的受害客体,
从各个方面综合评定系统服务安全被破坏对课题的侵害程度。根据系
统服务的重要性和受到破坏后的危害性确定业务信息安全等级。
4、定级对象的等级由业务信息安全等级和系统服务安全等级的较高者
决定。
8、身份认证的信息主要有哪几类?并每项列举不少于2个的事例。
答:身份认证的信息可分为以下几类:
1)用户知道的信息,如个人标识、口令等。
2)用户所持有的证件,如门卡、智能卡、硬件令牌等。
3)用户所特有的特征,指纹、虹膜、视网膜扫描结果等。
9、数字证书的含义,分类和主要用途,所采用的密码体制?
答:
1)数字证书是由认证中心生成并经认证中心数字签名的,标志网络用户
身份信息的一系列数据,用来在网络通信中识别通信各方的身份。
2)从证书的用途来看,数字证书可分为签名证书和加密证书。
3)签名证书主要用于对用户信息进行签名,以保证信息的不可否认性;
加密证书主要用于对用户传送信息进行加密,以保证信息的真实性和完整性。
4)数字证书采用非对称密钥体制。即利用一对互相匹配的私钥/公钥进行
加密、解密。其中私钥用于进行解密和签名;公钥用于加密和验证签名。
10、网络架构是满足业务运行的重要组成部分,如何根据业务系统的特点构建网联是关键的。首先应该关注整个网络的资源分布,架构是否合理。只有架构安全才能在其设备上实现各种技术功能,达到通信网络保护的目的。网络架构安全需满足那些需求?
1)应保证网络设备的业务处理能力满足业务高峰期需药;
2)应保证网络各个部分的带宽满足业务高峰期需要;
3)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
4)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间采取可靠的技术隔离手段;
5)应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
③选择题-1
一、单选题:
1.1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 — 1999,提出将信息系统的安全等级划分为______个等级,并提出每个级别的安全功能要求。
A.7
B.8
C.6
D.5
2.等级保护标准GB 17859主要是参考了______而提出。
A.欧洲ITSEC
B.美国TCSEC
C.CC
D.BS 7799
3.信息安全等级保护的5个级别中,______是最高级别,属于关系到国计民生的最关键信息系统的保护。
A.强制保护级
B.专控保护级
C.监督保护级
D.指导保护级
E.自主保护级
4.《信息系统安全等级保护实施指南》将______作为实施等级保护的第一项重要内容。
A.安全定级
B.安全评估
C.安全规划
D.安全实施
5.______是进行等级确定和等级保护管理的最终对象。
A.业务系统
B.功能模块
C.信息系统
D.网络系统
6.当信息系统中包含多个业务子系统时,对每个业务子系统进行安全等级确定,最终信息系统的安全等级应当由______所确定。
A.业务子系统的安全等级平均值
B.业务子系统的最高安全等级
C.业务子系统的最低安全等级
D.以上说法都错误
7.关于资产价值的评估,______说法是正确的。
A.资产的价值指采购费用
B.资产的价值无法估计
C.资产价值的定量评估要比定性评估简单容易
D.资产的价值与其重要性密切相关
8.安全威胁是产生安全事件的______。
A.内因
B.外因
C.根本原因
D.不相关因素
9.安全脆弱性是产生安全事件的______。
A.内因
B.外因
C.根本原因
D.不相关因素
10.下列关于用户口令说法错误的是______。
A.口令不能设置为空
B.口令长度越长,安全性越高
C.复杂口令安全性足够高,不需要定期修改
D.口令认证是最常见的认证机制
11.如果一个信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对社会秩序和公共利益造成一定损害,但不损害国家安全;本级系统依照国家管理规范和技术标准进行自主保护,必要时,信息安全监管职能部门对其进行指导。那么该信息系统属于等级保护中的______。
A.强制保护级
B.监督保护级
C.指导保护级
D.自主保护级
12.如果一个信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益;本级系统依照国家管理规范和技术标准进行自主保护。那么其在等级保护中属于______。
A.强制保护级
B.监督保护级
C.指导保护级
D.自主保护级
13.如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成较大损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。这应当属于等级保护的______。
A.强制保护级
B.监督保护级
C.指导保护级
D.自主保护级
14.如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查。这应当属于等级保护的______。
A.强制保护级
B.监督保护级
C.指导保护级
D.自主保护级
15.如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害;本级系统依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督、检查。这应当属于等级保护的______。
A.专控保护级
B.监督保护级
C.指导保护级
D.自主保护级
16.在安全评估过程中,采取______手段,可以模拟黑客入侵过程,检测系统安全脆弱性。
A.问卷调查
B.人员访谈
C.渗透性测试
D.手工检查
17.在需要保护的信息资产中,______是最重要的。
A.环境
B.硬件
C.数据
D.软件
18.GB 17859与目前等级保护所规定的安全等级的含义不同,GB 17859中等级划分为现在的等级保护奠定了基础。
A.正确
B.错误
19.虽然在安全评估过程中采取定量评估能获得准确的分析结果,但是由于参数确定较为困难,往往实际评估多采取定性评估,或者定性和定量评估相结合的方法。
A.正确
B.错误
20.定性安全风险评估结果中,级别较高的安全风险应当优先采取控制措施予以应对。
A.正确
B.错误
21.通常在风险评估的实践中,综合利用基线评估和详细评估的优点,将二者结合起来。
A.正确
B.错误
22.脆弱性分析技术,也被通俗地称为漏洞扫描技术。该技术是检测远程或本地系统安全脆弱性的一种安全技术。
A.正确
B.错误
23.信息系统安全等级保护实施的基本过程包括系统定级、 、安全实施、安全运维、系统终止。
A.风险评估
B.安全规划
C.安全加固
D.安全应急
24.安全规划设计基本过程包括 、安全总体设计、安全建设规划。
A.项目调研
B.概要设计
C.需求分析
D.产品设计
25.信息系统安全实施阶段的主要活动包括 、等级保护管理实施、等级保护技术实施、等级保护安全测评。
A.安全方案详细设计
B.系统定级核定
C.安全需求分析
D.产品设计
26.安全运维阶段的主要活动包括运行管理和控制、变更管理和控制、安全状态监控、 、安全检查和持续改进、监督检查。
A.安全事件处置和应急预案
B.安全服务
C.网络评估
D.安全加固
27.简述等级保护实施过程的基本原则包括, ,同步建设原则,重点保护原则,适当调整原则。
A.自主保护原则
B.整体保护原则
C.一致性原则
D.稳定性原则
二、多选题:
28.《计算机信息网络国际联网安全保护管理办法》规定,任何单位和个人不得从事下列危害计算机信息网络安全的活动:______。
A.故意制作、传播计算机病毒等破坏性程序的
B.未经允许,对计算机信息网络功能进行删除、修改或者增加的
C.未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的
D.未经允许,进入计算机信息网络或者使用计算机信息网络资源的
29.我国信息安全等级保护的内容包括______。 (除E)
A.对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护
B.对信息系统中使用的信息安全产品实行按等级管理
C.对信息安全从业人员实行按等级管理
D.对信息系统中发生的信息安全事件按照等级进行响应和处置
E.对信息安全违反行为实行按等级惩处
30.目前,我国在对信息系统进行安全等级保护时,划分了5个级别,包括______。
A.专控保护级
B.强制保护级
C.监督保护级
D.指导保护级
E.自主保护级
序号 1 2 3 4 5 6 7 8 9 10
答案 D B B A C B D B A C
序号 11 12 13 14 15 16 17 18 19 20
答案 C D B A A C C A A A
序号 21 22 23 24 25 26 27 28 29 30
答案 A A B C A A A ABCD ABCD ABCDE
④选择题-2
单选题
1.根据《信息安全等级保护管理办法》,(A)负责信息安全等级保护工作的监督、检查、指导。
A.公安机关
B.国家保密工作部门
C.国家密码管理部门
2.根据《信息安全等级保护管理办法》,(D)应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。
A.公安机关
B.国家保密工作部门
C.国家密码管理部门
D.信息系统的主管部门
3.计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。(B)
A.经济价值 经济损失
B.重要程度 危害程度
C.经济价值 危害程度
D.重要程度 经济损失
4.对拟确定为(D)以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
A.第一级
B.第二级
C.第三级
D.第四级
5.一般来说,二级信息系统,适用于(D)
A.乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。
B.适用于地市级以上国家机关、企业、事业单位内部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官方网站;跨省(市)联接的信息网络等。
C.适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统,银行、证券、保险、税务、海关等部门中的核心系统。
D.地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网,非涉及秘密、敏感信息的办公系统等。
6.信息系统建设完成后,(A)的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。
A.二级以上
B.三级以上
C.四级以上
D.五级以上
7.安全测评报告由(D)报地级以上市公安机关公共信息网络安全监察部门。
A.安全服务机构
B.县级公安机关公共信息网络安全监察部门
C.测评机构
D.计算机信息系统运营、使用单位
8.新建( )信息系统,应当在投入运行后( ),由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。(D)
A.第一级以上30日内
B.第二级以上60日内
C.第一级以上60日内
D.第二级以上30日内
9.根据《广东省计算机信息系统安全保护条例》规定,计算机信息系统的运营、使用单位没有向地级市以上人民政府公安机关备案的,由公安机关处以(D)
A.警告
B.拘留15日
C.罚款1500元
D.警告或者停机整顿
二、多选题
1.根据《关于信息安全等级保护的实施意见》,信息系统安全等级保护应当遵循什么原则?(ABCD)
A.明确责任,共同保护
B.依照标准,自行保护
C.同步建设,动态调整
D.指导监督,保护重点
2.根据《信息安全等级保护管理办法》,关于信息系统安全保护等级的划分,下列表述正确的是(ABCDE)。
A.第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益
B.第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全
C.第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害
D.第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害
E.第五级,信息系统受到破坏后,会对国家安全造成特别严重损害
3.根据《广东省计算机信息系统安全保护条例》,计算机信息系统(ABCD)应当同步落实相应的安全措施。
A.规划
B.设计
C.建设
D.维护
4.经测评,计算机信息系统安全状况未达到国家有关规定和标准的要求的,(AB)
A.委托单位应当根据测评报告的建议,完善计算机信息系统安全建设
B.重新提出安全测评委托
C.另行委托其他测评机构进行测评
D.自行进行安全测评
5.根据《广东省信息安全等级测评工作细则》,关于测评和自查工作,以下表述正确的是(ABCD)。
A.第三级计算机信息系统应当每年至少进行一次安全自查和安全测评
B.第四级计算机信息系统应当每半年至少进行一次安全自查和安全测评
C.第五级计算机信息系统应当依据特殊安全要求进行安全自查和安全测评
D.自查报告连同测评报告应当由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门
6.根据《广东省公安厅关于计算机信息系统安全保护的实施办法》,关于公安机关的进行安全检查的要求,下列表述正确的是(ABCD)。
A.对第三级计算机信息系统每年至少检查一次
B.对第四级计算机信息系统每半年至少检查一次
C.对第五级计算机信息系统,应当会同国家指定的专门部门进行检查
D.对其他计算机信息系统应当不定期开展检查
7.根据《广东省计算机信息系统安全保护条例》,计算机信息系统的运营、使用单位接到公安机关要求整改的通知后拒不按要求整改的,由公安机关处以(CD)。
A.罚款5000元
B.拘留15日
C.警告
D.停机整顿
8.根据《广东省计算机信息系统安全保护条例》规定,第二级以上计算机信息系统的运营、使用单位计算机信息系统投入使用前未经符合国家规定的安全等级测评机构测评合格的 ,由公安机关(ABCDE)。
A.责令限期改正,给予警告
B.逾期不改的,对单位的主管人员、其他直接责任人员可以处五千元以下罚款,对单位可以处一万五千元以下罚款
C.有违法所得的,没收违法所得
D.情节严重的,并给予六个月以内的停止联网、停机整顿的处罚
E.必要时公安机关可以建议原许可机构撤销许可或者取消联网资格
9.根据《广东省公安厅关于计算机信息系统安全保护的实施办法》,信息安全等级测评机构申请备案(AB)
A.一般应当向地级以上市公安机关公共信息网络安全监察部门提出申请
B.承担省直和中央驻粤单位信息安全等级测评工作的机构,直接向省公安厅公共信息网络安全监察部门提出申请
C.一般应当向公安部公共信息网络安全监察部门提出申请
D.一般应当向县级以上市公安机关公共信息网络安全监察部门提出申请
10.根据《信息安全等级保护管理办法》,安全保护等级为第三级以上的计算机信息系统应当选用符合下列条件的安全专用产品:(ABCDE)
A.产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格
B.产品的核心技术、关键部件具有我国自主知识产权
C.产品研制、生产单位及其主要业务、技术人员无犯罪记录
D.产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能
E.对国家安全、社会秩序、公共利益不构成危害
⑤判断题
1.根据《信息安全等级保护管理办法》,第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查。(×) (监督 不是强制)
2.根据《信息安全等级保护管理办法》,国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导(√)
3.根据《信息安全等级保护管理办法》,信息系统的运营、使用单位应当根据本办法和有关标准,确定信息系统的安全保护等级并报公安机关审核批准。(×) (备案)
4.根据《信息安全等级保护管理办法》,信息系统的运营、使用单位应当根据已确定的安全保护等级,依照本办法和有关技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,进行信息系统建设。(√)
5.根据《信息安全等级保护管理办法》,第十五条 已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续(√)
6.根据《信息安全等级保护管理办法》,公安机关应当掌握信息系统运营、使用单位的备案情况,发现不符合本办法及有关标准的,应建议其予以纠正。(×)
7.根据《信息安全等级保护管理办法》,公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知(√)
8.信息系统运营、使用单位应当依照相关规定和标准和行业指导意见自主确定信息系统的安全保护等级。即使有主管部门的,也不必经主管部门审核批准。(×)
9、双因子鉴别不仅要求访问者知道一些鉴别信息,还需要访问者拥有鉴别特征。(√)
10、口令复杂度应有要求,所以复杂的口令可以不用修改。(X)
11、为特权用户设置口令时,应当使用enablepassword命令,该命令用于设定具有管理权限的口令。(X)
12、在SSL握手信息中,采用了RSA、MD5等加密技术来实现机密性和数据完整性。(X)
利用数据加密、身份验证和消息完整性验证机制,为网络上数据的传输提供安全性保证
消息传输过程中使用MAC算法来检验消息的完整性
目前主要支持的算法有DES、3DES、AES等
13、VLAN技术是基于应用层和网络层之间的隔离技术。(X)
14、标准访问控制列表通过网络地址和传输中的数据类型进行信息流控制,且只允许过滤目的地址。(X)
扫一扫
2021
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
