注册信息安全专业人员(渗透测试方向)
白皮书
发布日期:2018年9月
中国信息安全测评中心
网神信息技术(北京)股份有限公司?版权2018-攻防领域考试中心
CISP-PTE/CISP-PTS白皮书
咨询及索取
关于中国信息安全测评中心CISP-PTE/CISP-PTS考试相关的更多信息,请与注册信息安全专业人员攻防领域考试中心联系。
注册信息安全专业人员攻防领域考试中心联系方式
【邮箱】CISP@https://www.doczj.com/doc/4718436554.html,
【网址】https://www.doczj.com/doc/4718436554.html,/service/examcisp
【地址】北京市朝阳区来广营创远路36号院朝来高科技产业园7号楼【邮编】100015
网神信息技术(北京)股份有限公司是以“保护大数据时代的安全”为企业使命,以“数据驱动安全”为技术思想,专注于为政府和企业提供新一代网络安全产品和信息安全服务的提供商。公司与中国信息安全测评中心联合成立注册信息安全专业人员攻防领域考试中心,负责注册信息安全专业人员渗透测试工程师(CISP-PTE)、注册信息安全专业人员渗透测试专家(CISP-PTS)考试开发维护、业务推广、市场宣传及持证人员的服务。CISP-PTE/CISP-PTS专注于培养、考核高级实用型网络安全渗透测试安全人才,是业界首个理论与实践相结合的网络安全专项技能水平注册考试。
目录
引言 (1)
一、CISP-PTE/CISP-PTS考试要求 (2)
二、CISP-PTE/CISP-PTS考试方向 (2)
三、CISP-PTE/CISP-PTS注册流程 (4)
四、CISP-PTE/CISP-PTS职业准则 (4)
五、CISP-PTE/CISP-PTS考生申请资料要求 (5)
六、CISP-PTE/CISP-PTS收费标准 (6)
七、注册信息安全专业人员攻防领域考试中心联系方式 (7)
引言
21世纪是信息科学与技术飞速发展的时代,信息成为一种重要的战略资源。信息的获取、存储、处理及其安全保障能力成为一个国家综合国力的重要组成部分。目前,信息产业已成为世界第一大产业,信息科学与技术正处于空前繁荣的阶段。信息安全是信息的影子,哪里有信息,哪里就有信息安全问题。在信息科学与技术发展欣欣向荣的同时,危害信息安全的事件也不断发生。
面对严峻的网络空间安全形势,国内外多位信息安全领域资深专家、学者指出:不断增长的产业链式网络攻击虽然日趋严重,但是更让人担忧的是,网络安全人才的短缺致使各个层级的网络安全团队难以“扩军”,信息安全领域人才的储备量远远跟不上网络安全风险的增长量。
网络安全人才决定网络安全技术的交替、更迭,而人才的短缺直接影响政府事业机关网络防御能力,也导致中、小型企业很难组建自己的安全团队。网络安全防范能力堪忧,严重影响我国网络安全建设。
《网络安全法》第三条提出“国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。”因此,培养“高素质的网络安全和信息化人才队伍”的工作刻不容缓!
中国信息安全测评中心主导的注册信息安全专业人员攻防领域考试中心,通过举办“CISP-PTE / CISP-PTS”技能水平认证考试,锻炼考生实际解决网络安全问题的能力,发现人才,有效增强网络安全防御能力,促进国家企事业单位网络防御能力不断提高。同时引导广大网络安全工作者在推动信息安全工作中建功立业,引导广大信息安全工作者在建设信息化强国过程中发挥中坚作用,引导广大信息安全工作者在我国信息化建设与发展的征途中勇当先锋,团结动员广大网络安全从业者为我国网络安全建设又好又快地发展做出积极的贡献,为企、事业单位培养和选拔网络安全渗透测试相关岗位的优秀人才。
一、CISP-PTE/CISP-PTS考试要求
成为注册信息安全专业人员渗透测试工程师(CISP-PTE)、注册信息安全专业人员渗透测试专家(CISP-PTS),必须同时满足以下基本要求:
1、申请成为注册信息安全专业人员渗透测试工程师(CISP-PTE),要求具备一定渗透测试能力,或有意向从事渗透测试的人员,包含信息安全相关专业高校生;申请成为注册信息安全专业人员渗透测试专家(CISP-PTS),要求具备熟练的渗透测试能力;
2、申请成为注册信息安全专业人员渗透测试工程师(CISP-PTE)、注册信息安全专业人员渗透测试专家(CISP-PTS)无学历与工作经验的报考要求;
3、通过注册信息安全专业人员攻防领域考试中心组织的CISP-PTE/CISP-PTS考试;
4、同意并遵守CISP-PTE/CISP-PTS职业准则;
5、满足CISP-PTE/CISP-PTS注册要求并成功通过CISP-PTE/CISP-PTS审核;
注册信息安全专业人员渗透测试工程师/渗透测试专家资质证书有效期三年,证书失效后,需重新参加CISP-PTE/CISP-PTS注册考试;
二、CISP-PTE/CISP-PTS考试方向
该注册考试是为了锻炼考生实际解决网络安全问题的能力,有效增强我国网络安全防御能力,促进国家企事业单位网络防御能力不断提高,以发现人才,选拔优秀人才而设立的技能水平考试。
考试内容从多个角度出发,通过客观题与实际操作题相结合(CISP-PTE)或全部为实际操作题(CISP-PTS)的形式,来考核考生的能力,通过多个得分点,对考生全面的考核,考生需要了解最新的网络安全技术,跟踪最新的网络安全动态,能够在真实的网络环境中发现问题和解决问题。同时,也可以为网络安全专业的学生提高自身价值和自身影响力,提供更好的学习素材,为更多热爱网络安技术、有志于从事网络安全事业的人员提供了一个更加具有优势的平台。
考生应掌握Web安全基础知识,了解HTTP协议基础,以及一些常见的Web安
全漏洞,包括注入漏洞、XSS漏洞、CSRF漏洞、SSRF漏洞、文件处理漏洞、访问控制漏洞、会话管理漏洞。考生应该能够理解和发现这些漏洞,并且学会修复这些漏洞的方法,掌握更多的Web安全技术。
考生应了解中间件的安全知识,包括Apache、IIS、Tomcat,以及JAVA开发的中间件Weblogic、 Websphere、Jboss等(其中,Weblogic、Websphere、Jboss 相关知识仅要求参加CISP-PTS考试的学员掌握)。了解中间件的特性以及安全加固的方法,避免在安全设置上产生安全问题影响整个安全体系,了解最新的安全漏洞,能够对最新的漏洞做出响应,提高整体安全水平。
考生应了解操作系统的安全基础知识,包括Windows、Linux操作系统账户的分配与安全设置,文件系统权限的管理,日志审计的基本方法,以及第三方应用安全。由此可以加强考生对操作系统安全的理解,了解常见的攻击手段,以及操作系统安全加固的基础知识,通过日志审计进行安全事件分析,掌握最新的系统内核漏信息,能够及时修复漏洞,提高操作系统的安全性能。
考生应了解数据库的安全基础知识,这里以MSsql、Mysql、Oracle、Redis 数据库为主(其中,Oracle、Redis相关知识仅要求参加CISP-PTS考试的学员掌握),了解数据库的使用方法和语法结构,掌握数据库的安全设置以及权限,角色的分配。了解常用的利用数据库来进行文件操作和权限提升的方法以及应对措施,控制数据库运行权限,保证数据库中的数据完整和安全运营。
通过以上内容的学习,要求考生可以发现和修复网络中的漏洞,掌握更多的安全技能,提高个人的技术能力。具备渗透测试工程师的素养。
具体考试内容、范围及考试形式请下载《CISP-PTE/CISP-PTS知识体系大纲》进行阅读了解。
三、CISP-PTE/CISP-PTS注册流程
四、CISP-PTE/CISP-PTS职业准则
作为国家注册信息安全专业人员应该遵循其应有的道德准则,中国信息安全测评中心为CISP认证人员设定了职业道德准则。
(1)维护国家、社会和公众的信息安全
自觉维护国家信息安全,拒绝并抵制泄露国家秘密和破坏国家信息基础设施的行为
自觉维护网络社会安全,拒绝并抵制通过计算机网络系统谋取非法利益和破坏社会和谐的行为;
自觉维护公众信息安全,拒绝并抵制通过计算机网络系统侵犯公众合法权益和泄露个人隐私的行为。
(2)诚实守信,遵纪守法
不通过计算机网络系统进行造谣、欺诈、诽谤、弄虚作假等违反诚信原则的行为;
不利用个人的信息安全技术能力实施或组织各种违法犯罪行为;
不在公众网络传播反动、暴力、黄色、低俗信息及非法软件。
(3)努力工作,尽职尽责
热爱信息安全工作岗位,充分认识信息安全专业工作的责任和使命
为发现和消除本单位或雇主的信息系统安全风险做出应有的努力和贡献
帮助和指导信息安全同行提升信息安全保障知识和能力,为有需要的人谨慎负责地提出应对信息安全问题的建议和帮助
(4)发展自身,维护荣誉
通过持续学习保持并提升自身的信息安全知识;
利用日常工作、学术交流等各种方式保持和提升信息安全实践能力;
以CISP身份为荣,积极参与各种证后活动,避免任何损害CISP声誉形象的行为。
五、CISP-PTE/CISP-PTS考生申请资料要求
1.学员需要填写如下申请资料:
《注册信息安全专业人员攻防领域考试及注册申请表》
填写申请表格时应注意:申请表格可采用电子模版录入填写,也可手写,填
写过程中应确保内容的真实准确,手写申请表格应用正楷字体,字迹要求清晰可
辨。
注:填写注册申请表第二部分时,需要由申请人所在单位(部门)领导签字
并加盖本单位公章。
2.申请(CISP-PTE/CISP-PTS)注册资质除了填写申请书外,还需要准备以
下资料:
?个人近期免冠2寸彩色白底证件照片3张(非白底照片为不合格
照片,将不予采用)
?身份证复印件1份
?学历学位复印件1份
3.资料的提交时间
学员应在报名同时将所有资料全部提交。
六、CISP-PTE/CISP-PTS收费标准
1、CISP-PTE收费标准
单位:(元)
考试中心收费部分由网神信息技术(北京)股份有限公司先行代收,然后与中国信息安全测评中心统一结算,并开据发票。
2、CISP-PTS收费标准
单位:(元)
考试中心收费部分由网神信息技术(北京)股份有限公司先行代收,然后与中国信息安全测评中心统一结算,并开据发票。
3、收款单位账号
开户行:招商银行股份有限公司北京上地支行
开户名:网神信息技术(北京)股份有限公司
账号:110902*********
七、注册信息安全专业人员攻防领域考试中心联系方式
咨询及索取
关于中国信息安全测评中心CISP-PTE/CISP-PTS考试相关的更多信息,请与注册信息安全专业人员攻防领域考试中心联系。
【邮箱】CISP@https://www.doczj.com/doc/4718436554.html,
【网址】https://www.doczj.com/doc/4718436554.html,/service/examcisp
【地址】北京市朝阳区来广营创远路36号院朝来高科技产业园7号楼【邮编】100015
信息安全测试检测 目录 1、概述 (2) 1.1信息安全风险评估的概念与依据 (2) 1.2信息安全等级保护的定义 (2) 1.3涉密系统测评的两种形式 .............................................. 错误!未定义书签。 2、信息安全测试检测的重要性 (4) 1.1信息安全风险评估的意义和作用。 (4) 1.2信息安全等级保护测评的意义 (4) 1.3涉密系统测评的意义 (5) 3、涉密信息系统测评要点分析 (5) 3.1应首先核实管理体系文件能否被执行 (5) 3.2应从全局角度确认管理体系的完整性 (6) 3.3采用风险分析的方法来确认具体 (6) 3.4应掌握评价管理制度可操作性的关键要素 (6) 3.5管理体系应能够自我改进 (7) 4. 信息安全等级保护测评中应关注的几项问题 (8) 5、信息安全风险评估策划阶段关键问题 (9) 5.1确定风险评估范围 (9) 5.2确定风险评估目标 (9) 5.3建立适当的组织机构 (10) 5.4建立系统性风险评估方法 (10) 5.5获得最高管理者对风险评估策划的批准 (11) 5.6总结 (11)
信息安全测试检测是一个统称的概念。用来概括信息系统风险评估、等级保护测评和涉密系统测评三项信息安全方面的测试检测工作。信息系统风险评估、等级保护测评和涉密系统测评这三种实现信息安全的方法都是当前我国进行信息安全保障工作的重要内容和手段,信息安全测试检测概念的提出对于规范和明确信息安全日常工作具有重要作用。 1、概述 通常来讲,信息安全测试检测包含风险评估、等级保护测评以及涉密系统测评。以上3种检测都需要相应的检测资质,例如风险评估工作需要风险评估资质,等级保护测评需要等级保护资质,资质不能混用,全国目前同时具备以上3种检测资质的单位并不多,具了解,山东省软件评测中心同时具备风险评估、等级保护、涉密系统3种检测资质。 1.1信息安全风险评估的概念与依据 风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程,即利用定性或定量的方法,借助于风险评估工具,确定信息资产的风险等级和优先风险控制。 风险评估是风险管理的最根本依据,是对现有网络的安全性进行分析的第一手资料,也是网络安全领域内最重要的内容之一。企业在进行网络安全设备选型、网络安全需求分析、网络建设、网络改造、应用系统试运行、内网与外网互联、与第三方业务伙伴进行网上业务数据传输、电子政务等业务之前,进行风险评估会帮助组织在一个安全的框架下进行组织活动。它通过风险评估来识别风险大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。 1.2信息安全等级保护的定义 信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上称为的一般指信息系统安全等级保护,是指对国
防火墙系统 信息安全产品自主原创证明(中国信息安全测评中心) IPv6产品测试认证 NGFW4000-软件着作权(国家版权局) TOS操作系统-软件着作权(国家版权局) 多核多平台并行安全操作系统-软件着作权(国家版权局)NGFW4000(百兆防火墙) NGFW4000-计算机信息系统安全专用产品销售许可证(公安部)NGFW4000-涉密信息系统产品检测证书(保密局) NGFW4000-军用信息安全产品认证证书(军队测评中心)NGFW4000-EAL3(测评中心) NGFW4000-入网许可证(工业和信息化部)
NGFWWARES/4000-ISCCC产品认证证书(中英文) 防火墙产品密码检测证书(国家密码管理局商用密码检测中心)
NGFW4000-UF(千兆防火墙) NGFW4000-UF计算机信息系统安全专用产品销售许可证(公安部)EAL3 NGFW4000-UF涉密信息系统产品检测证书(保密局) NGFW4000-UF军用信息安全产品认证证书(军队测评中心)NGFW4000-UF-ISCCC产品认证证书(中英文) 防火墙产品密码检测证书(国家密码管理局商用密码检测中心)
入侵检测系统 软件着作权(国家版权局)CVE证书
计算机信息系统安全专用产品销售许可证(公安部) 国家信息安全认证产品型号证书(测评中心) 涉密信息系统产品检测证书(保密局) 军用信息安全产品认证证书(军队测评中心) ISCCC产品认证证书(中英文) 安全审计系统 软件着作权-科技(国家版权局) ISCCC信息安全产品认证证书(中国信息安全认证中心)销售许可证(基本级)(公安部) 涉密信息系统产品检测证书(国家保密局) 软件着作权-科技(国家版权局) 军用信息安全产品认证证书(军队测评中心)
常见信息安全服务内容描述参考 服务名称内容简介单位数 量 备注 代 码审计 源代码安全 审计服务 通过源代码检测工具进行自动 化扫描并获取到自动化检测结果; 对自动化检测结果进行人工分析, 对误报问题进行标注和过滤,整理 源代码安全审计报告。将报告交付 给用户的研发人员,并给予相应的 问题修复建议和进行问题修复跟 踪。通过重新检测验证问题修复情 况。 次 /年 不 限 按采购人 实际需求 网 站 安全监测 ▲网站安全监 测云服务 实时短信和电话通知网站安全 监测的异常情况。 1.网站可用性状态监控,如: 网站访问速度异常、宕机或被非法 破坏而不能提供访问服务等。 2.监测网站页面是否被篡改和 被恢复,是否发生安全事件(网页 篡改、网页挂马、网页暗链、网页 敏感关键字等检测),准确定位网页 木马所在的位置。 3.监测网站是否存在当前流行 的Web应用漏洞,如:struts2框架漏 洞、SQL注入、跨网站脚本攻击、 缓存溢出等,定位Web应用漏洞所 在的位置。 实 时 不 限 包括但不 限于本次等保 测评的信息系 统 安 全通告 主流操作系 统、数据库、web 服务安全问题通 告 每月提供汇总安全通告。 次 /年不 限 邮件/电话 形式通告。 网络安全 问题通告 每月提供汇总安全通告。次
配置检查和日志分析安全配置和日志进行分析备份,指 出用户核心服务器群所存在的风险 和问题所在。 /季 ▲新系统上线安全检测 每季度对新拟上线的系统(含 重大修改的系统)进行漏洞扫描及 安全配置检查,找出不合规的配置 项,形成报告并提供整改方案,通 过安全检测后系统方可上线使用。 次 /年 4 网络架构分析 每季度对现有的网络架构进行 分析,对存在的故障隐患点、不合 理节点等进行建议整改。 次 /年 4 重大节假日和活动前安全巡检 在重大节假日和活动前对全网 进行全面的安全检测。 次 /年 不 限 根据实际 情况协商。 评估 加 固信息安全风 险评估和安全加固 根据每季度的系统安全巡检评 估结果,提供整改方案,指导用户 对存在安全威胁的服务器、网络设 备、数据库、Web应用等进行安全加 固,包括系统漏洞、配置、木马等 威胁加固。 次 /年 4 制度 制 订协助制订完 善用户信息安全相关的制度 按照等保标准和国家、省、市 有关电子政务信息安全制度,协助 招标单位制订符合本单位实际使用 情况的信息系统安全管理制度。 次 /年 1根据实际 情况协商。
申请编号: 信息安全风险评估服务资质 认证申请书 (第1版) 申请组织(盖章): 申请日期: 中国信息安全认证中心制
目录 填表须知 (1) 申请信息 (2) 1.申请组织基本情况 (3) 2.申请组织业绩要求 (3) 3.申请组织从事信息安全风险评估服务的人员情况 (3) 4.申请组织管理情况 (4) 5.申请组织设备、设施与环境情况 (4) 6.申请组织风险评估服务能力 (4) 7.信息安全风险评估服务过程要求 (5) 7.1 准备阶段 (5) 7.2 识别阶段 (5) 7.3 分析阶段 (5) 7.4 处置阶段 (5) 申请组织声明 (7) 附表1 (8) 附表2 (9)
填表须知 申请组织在正式填写本申请书前,须认真阅读并理解以下内容: 1.申请组织应仔细阅读ISO/IEC 27005:2008《信息技术安全技术信息安全风险评估管理》、GB/T 20984-2007《信息安全技术信息安全风险评估规范》、YD/T 2252-2011《网络与信息安全风险评估服务能力评估方法》,并按照其要求如实、详细地填写本申请书所有内容。 2.申请组织应按照本申请书规定格式进行填写。若表格空间不够,可另加附页。3.申请组织须提交《信息安全风险评估服务资质认证申请书》(含附件及证明材料)纸版一份,要求盖章的地方,必须加盖公章,同时提交一份对应的电子文档。
申请信息 1.申请组织的性质 □ A类(不含外资背景) □ B类(外资背景) 2.申请类型 □初次认证 □再认证 □变更认证 3.申请服务资质级别 □一级 □二级 □三级
1.申请组织基本情况 申请组织全称(中文): 申请组织全称(英文): 法定代表人姓名:职务: 联系人姓名:职务: 地址:邮政编码: 电子邮箱: 网址: 联系方式: 电话: 传真: 手机: 本项还需提交以下资料: 1)申请组织的营业执照/副本或上级主管部门批准成立的文件复印件; 2)法人机构代码证或副本的复印件; 3)从事信息安全风险评估服务的相关资质证书复印件; 4)符合国家保密管理部门要求的证明材料; 5)提供近两年的资产运营情况,财务审计报告;如有财务亏损或其他异常状况发生, 并提供相应的证明材料; 6)申请组织的固定办公场所证明材料; 7)申请组织部门职能(包括与信息安全风险评估服务相关的管理、研发、安全服务实 施、质量保证、客户服务、人力资源管理与培训、合同管理等部门的职能描述)。 2.申请组织业绩要求 本项应包括以下内容: 组织近三年内完成的风险评估项目规模、数量等方面证明符合相关资质级别要求的全部项目案例列表并注明完成状况,对于已完成的项目提供合同复印件及完成的证明材料。3.申请组织从事信息安全风险评估服务的人员情况 本项应包括以下内容:
信息安全等级测评师测试题
信息安全等级测评师测试 一、单选题(14分) 1、下列不属于网络安全测试范畴的是( C ) A. 结构安全 B. 边界完整性检查 C. 剩余信息保护 D. 网络设备防护 2、下列关于安全审计的内容说法中错误的是( D )。 A. 应对网络系统中的网络设备运行情况、网络流量、用户行为等进行 日志记录。 B. 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否 成功及其他与审计相关的信息。 C. 应能根据记录数据进行分析,并生成报表。 D. 为了节约存储空间,审计记录可以随意删除、修改或覆盖。 3、在思科路由器中,为实现超时10分钟后自动断开连接,实现的命令应 为下列哪一个。( A ) A. exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0 10 4、用于发现攻击目标。( A ) A. ping扫描 B. 操作系统扫描 C. 端口扫描 D. 漏洞扫描 5、防火墙提供的接入模式中包括。( ABCD ) A. 网关模式 B. 透明模式 C. 混合模式 D. 旁路接入模式 6、路由器工作在。( C ) A. 应用层 B. 链接层 C. 网络层 D. 传输层 7、防火墙通过__控制来阻塞邮件附件中的病毒。( A ) A.数据控制B.连接控制C.ACL控制D.协议控制 二、多选题(36分) 1、不同设VLAN之间要进行通信,可以通过__。( A B ) A交换机B路由器C网闸 D入侵检测 E入侵防御系统2、能够起到访问控制功能的设备有__。( ABD ) A网闸 B三层交换机 C入侵检测系统 D防火墙 3、路由器可以通过来限制带宽。( ABCD ) A.源地址 B.目的地址 C.用户 D.协议 4、IPSec通过实现密钥交换、管理及安全协商。(CD) A. AH B. ESP C. ISAKMP/Oakley D. SKIP 5、交换机可根据____来限制应用数据流的最大流量。( ACD ) A.IP地址 B.网络连接数 C.协议 D.端口 6、强制访问控制策略最显著的特征是_____。( BD ) A.局限性 B.全局性 C.时效性 D.永久性 7、防火墙管理中具有设定规则的权限。( CD ) A.用户 B.审计员 C.超级管理员 D.普通管理员 8、网络设备进行远程管理时,应采用协议的方式以防被窃听。 (AC) A. SSH B. HTTP C. HTTPS D. Telnet E.FTP 9、网络安全审计系统一般包括(ABC )。 A.网络探测引擎 B.数据管理中心C审计中心 D声光报警系统
信息安全的相关技术及产品 一、信息安全行业中的主流技术 信息安全行业中的主流技术如下: 1、病毒检测与清除技术 2、安全防护技术 包含网络防护技术(防火墙、UTM、入侵检测防御等);应用防护技术(如应用程序接口安全技术等);系统防护技术(如防篡改、系统备份与恢复技术等),防止外部网络用户以非法手段进入内部网络,访问内部资源,保护内部网络操作环境的相关技术。 3、安全审计技术 包含日志审计和行为审计,通过日志审计协助管理员在受到攻击后察看网络日志,从而评估网络配置的合理性、安全策略的有效性,追溯分析安全攻击轨迹,并能为实时防御提供手段。通过对员工或用户的网络行为审计,确认行为的合规性,确保信息及网络使用的合规性。 4、安全检测与监控技术 对信息系统中的流量以及应用内容进行二至七层的检测并适度监管和控制,避免网络流量的滥用、垃圾信息和有害信息的传播。 5、解密、加密技术 在信息系统的传输过程或存储过程中进行信息数据的加密和解密。 6、身份认证技术
用来确定访问或介入信息系统用户或者设备身份的合法性的技术,典型的手段有用户名口令、身份识别、PKI 证书和生物认证等。 二、信息安全服务及产品 信息安全服务是指为确保信息和信息系统的完整性、保密性和可用性所提供的信息技术专业服务,包括对信息系统安全的的咨询、集成、监理、测评、认证、运维、审计、培训和风险评估、容灾备份、应急响应等工作。 在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类: ◆用户身份认证:是安全的第一道大门,是各种安全措施可以发挥作用的前提,身份认证技术包括:静态密码、动态密码(短信密码、动态口令牌、手机令牌)、USB KEY、IC卡、数字证书、指纹虹膜等。 ◆防火墙:防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。主要技术有:包过滤技术,应用网关技术,代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。但它其本身可能存在安全问题,也可能会是一个潜在的瓶颈。 ◆网络安全隔离:网络隔离有两种方式,一种是采用隔离卡来实现的,一种是采用网络安全隔离网闸实现的。隔离卡主要用于对单台
信息安全测评和服务 1信息安全风险评估 对客户单位所有信息系统进行风险评估,每半年评估一次,评估后出具详细的评估报告。评估范围为所有业务系统及相关的网络安全资产,内容具体包括: (1)漏洞扫描:通过工具对网络系统内的操作系统、数据库和网站程序进行自动化扫描, 发现各种可能遭到黑客利用的各种隐患,包括:端口扫描,漏洞扫描,密码破解,攻击测试等。 (2)操作系统核查:核查操作系统补丁安装、进程、端口、服务、用户、策略、权限、审 计、内核、恶意程序等内容,对用户当前采取的风险控制措施和管理手段的效果进行评估,在针对性、有效性、集成特性、标准特性、可管理特性、可规划特性等六个方面进行评估。 (3)数据库核查:主要是对数据库管理系统的权限、口令、数据备份与恢复等方面进行核 查。 (4)网络及安全设备核查:网络及安全设备核查主要是针对网络及安全设备的访问控制策 略进行检查,确定是否开放了网站服务以外的多余服务。 (5)病毒木马检查:通过多种方式对机器内异常进程、端口进行分析,判断是
否是木马或病毒,研究相关行为,并进行查杀。 (6)渗透测试:模拟黑客的各种攻击手段,对评估过程中发现的漏洞安全隐患进行攻击测 试,评估其危害程度,主要有:弱口令、本地权限提升、远程溢出、数据库查询等。 测评次数不低于两次,在有重大安全漏洞或隐患出现时,及时采取有针对性的渗透测试。 2、信息安全加固 针对评估的结果,协助客户单位对应用系统中存在的安全隐患进行安全加固。加固内容包括: 操作系统安全加固; 基本安全配置检测和优化 密码系统安全检测和增强 系统后门检测 提供访问控制策略和安全工具 增强远程维护的安全性 文件系统完整性审计 增强的系统日志分析 系统升级与补丁安装 (1)网络设备安全加固; 严格的防控控制措施 安全审计 合理的vlan划分 不必要的IOS服务或潜在的安全问题 路由安全 抵抗拒绝服务的网络攻击和流量控制 广播限制 (2)网络安全设备安全加固; 防火墙的部署位置、区域划分 IDS、漏洞扫描系统的部署、VPN网关部署 安全设备的安全防护措施配置加固
信息安全试题 姓名:地区:分数: 一、单项选择题(每题3分,共10题30分) 1.DES和RSA是分别属于什么类型的加密算法(D) A、非对称加密算法和对称加密算法 B、都是非对称加密算法 C、都是对称加密算法 D、对称加密算法和非对称加密算法 2.入侵检测系统与防火墙的关系是(c ) A、有了入侵检测就不需要防火墙了 B、有了防火墙不需要入侵检测 C、入侵检测是防火墙的合理补充 D、入侵检测和防火墙都是防止外来入侵 3.入侵检测互操作的标准是(d ) A、CIDF B、TCP/IP C、OSI D、PKI 4.IDS系统中哪个部件是对分析结果作出反应的功能单元(B) A、事件产生器 B、事件分析器 C、响应单元 D、事件数据库 5.下列哪个技术不属于防火墙技术(c) A、地址转换技术 B、负载平衡技术 C、神经网络技术 D、代理技术 6.在UNIX系统中,当用ls命令列出文件属性时,如果显示-rwx rwx rwx,意思是(A ) A、前三位rwx表示文件属主的访问权限;中间三位rwx表示文件同组用户的访问权限; 后三位rwx表示其他用户的访问权限 B、前三位rwx表示文件同组用户的访问权限;中间三位rwx表示文件属主的访问权限; 后三位rwx表示其他用户的访问权限 C、前三位rwx:表示文件同域用户的访问权限;中间三位rwx表示文件属主的访问权限; 后三位rwx:表示其他用户的访问权限 D、前三位rwx表示文件属主的访问权限;第二个rwx表示文件同组用户的访问权限;后 三位rwx表示同域用户的访问权限 7.防火墙是一种( c )技术,是在内部网络和不安全的网络之间设置障碍,阻止对信息资源的 非法访问 A、信息管理 B、检测响应 C、访问控制 D、防病毒技术 8.如果有个5个节点的网络,使用对称密钥机制,则需要的密钥总数为( B ) A、8 B、10 C、15 D、20 9.下列哪个进程是win2K系统第一个创建的进程(A ) A、SMSS.exe B、Svchost.exe C、services.exe D、csrss.exe 10.MD5哈希算法的作用在于保证信息的(D) A、保密性 B、可用性 C、完整性 D、以上都可以 二、填空题(每空1分,共10分) 1.在安全风险评估中增加风险的因素有环境因素、设备因素、媒体因素组成。 2.常见的防火墙芯片类型有___TTS FWTK___、___AXENT Raptor__、__SECUreZone_. 3.TCP/IP协议的4层概念模型是应用层、传输层、网络层、链路层。 三、简答题(每题15分,共4题60分) 1.在信息安全中密码学实现的安全目标有哪些? 完整性,可用性,可控性,保密性
信息安全产品测试管理系统的设计与实现在信息技术高速发展的今天,信息系统在社会活动中发挥着越来越重要的作用,已经成为社会活动的支柱、国家机构运转的命脉。但是,信息系统安全威胁无处不在,应对信息系统的安全技术也在不断探索和进步中,信息系统安全的脆弱性比较明显。因此,对信息系统安全的研究具有重要的现实意义和社会意义。信息安全产品是用于保护计算机信息系统的专用产品。 由于重要信息系统的安全性会进一步影响到个人、社会乃至国家的利益与安全,因此信息安全产品质量尤为重要,国家已将其列入了强制性认证(CCC认证)目录中。因此,研究信息安全产品检测技术具有重要的意义。为实现对信息安全产品的半自动化测试,判断被测试的信息安全产品的功能、性能及安全性是否满足要求,本文设计和实现了信息安全产品测试管理系统。研究内容和成果主要有以下几个方面:(1)进行了信息安全产品测试管理系统的需求分析,提出了该系统主要功能需求,并根据需求进行了主要开发技术与工具的选型。 (2)进行了系统的设计与实现。系统主要实现两大功能:信息安全产品的技术要求、测试评价方法、法律法规、典型案例、典型样本等维护和管理的功能,以及实施信息安全产品测试的功能。每种安全产品都有相应的技术要求和测试方法,因此对技术要求和测试方法的管理是一个庞大的工程。另外,对产品进行测试实质上是一一判断技术要求的符合情况,并且测试过程复杂。 所以,采用两个业务子系统来实现这两大功能。由于系统涉及到的数据繁多,为了将数据处理和业务逻辑实现分开,采用Hibernate技术来持久化数据,用面向对象的思想来处理数据。由于采用两个业务子系统实现功能需求,数据同步问题是个难题,综合考虑各种数据同步方法,本文采用WebService技术实现业务子系统之间的数据同步和更新。(3)在实现信息安全产品测试管理系统的基础上,分析了该系统的应用场景,以及系统中存在的不足之处,利于下一步的研究和改善。 本文在Hibernate技术和WebService技术支撑下,实现了信息安全产品测试管理系统。该系统能管理信息安全产品检测所依据的技术要求、测试方法,通过检测产品技术要求的符合性判断其功能、性能和安全性能是否符合要求。本文设计和实现的信息安全产品测试管理系统具有重要的现实意义和应用价值。
编号: 国家信息安全测评 信息安全服务资质申请书 (风险评估一级) 申请单位(公章): 填表日期: ?版权2014—中国信息安全测评中心 2014年5月1日
目录 填表须知 (3) 申请表 (4) 一、申请单位基本情况 (5) 二、申请单位概况 (6) 三、申请单位近三年资产运营情况 (7) 四、申请单位人员情况 (9) 五、申请单位技术能力基本情况 (14) 六、申请单位的安全风险评估服务过程能力 (17) 6.1 风险评估的准备 (18) 6.2 评估系统安全威胁的能力 (20) 6.3 评估系统脆弱性的能力 (22) 6.4 评估安全对系统的影响的能力 (24) 6.5 评估已有安全措施的能力 (26) 6.6 评估系统安全风险的能力 (28) 七、申请单位的项目和组织过程能力 (30) 7.1 实现质量保证的能力 (31) 7.2 管理项目风险的能力 (33) 7.3 规划项目技术活动的能力 (35) 7.4 监控技术活动的能力 (37) 7.5 提供不断发展的知识和技能的能力 (39) 7.6 与供应商协调的能力 (41) 八、申请单位安全服务项目汇总 (43) 九、申请单位获奖、资格授权情况 (45) 十、申请单位在安全服务方面的发展规划 (46) 十一、申请单位其他说明情况 (47) 十二、申请单位附加信息 (48) 申请单位声明 (49)
填表须知 用户在正式填写本申请书前,须认真阅读并理解以下内容: 1.中国信息安全测评中心对下列对象进行测评: ●信息技术产品 ●信息系统 ●提供信息安全服务的组织和单位 ●信息安全专业人员 2.申请单位应仔细阅读《信息安全服务资质申请指南(风险评估一级)》,并按照其要求如实、详细地填写本申请书所有项目。 3.申请单位应按照申请书原有格式进行填写。如填写内容较多,可另加附页。 4.提交申请书之前,请仔细查验申请书填写是否有误,须提供的附件以及证明材料是否完整。 5.申请单位须提交本申请书(含附件及证明材料)纸版一份,要求盖章的地方,必须加盖公章,同时提交一份对应的电子文档。 6.本申请书要求提供的附件及证明材料须单独装订成册并编目。提供的资料须客观、真实和完整,不要编辑、修改和摘录,但可以进行脱密处理。 7.如有疑问,请与中国信息安全测评中心联系。 中国信息安全测评中心 地址:北京市海淀区上地西路8号院1号楼 邮编:100085 电话:(010)82341582或82341568 传真:82341100 网址:https://www.doczj.com/doc/4718436554.html, 电子邮箱:cnitsec@https://www.doczj.com/doc/4718436554.html,
成都网络信息安全管理考试答案 1.信息安全的主要属性有保密性、完整性、可用性。【对】 错 对√ 2.信息安全管理体系由若干信息安全管理类组成。【对】 错 对√ 3.集中监控的网状部署结构的节点监控中心之间的通讯需要与管理中心协调调度方可进行。【错】错√ 对 4.为了安全起见,网络安全员与报警处置中心联系的只使用网络这条唯一通道。【错】 错√ 对 5.黑色星期四"是因有人通过BELL实验室与Internet连接的有漏洞的机器上放置了一个蠕虫程序而引起网 络灾难得名的。【错】 错√ 对 6.信息战的军事目标是指一个国家军队的网络系统、信息系统、数据资源。【错】 错√ 对 7.网络物理隔离是指两个网络间链路层、网络层在任何时刻都不能直接通讯。【错】 错√ 对 8.对 二、单选题:(共8小题,共32分) 1.关于实现信息安全过程的描述,以下哪一项论述不正确。【 D】 A.信息安全的实现是一个大的过程,其中包含许多小的可细分过程 B.组织应该是别信息安全实现中的每一个过程 C.对每一个分解后的信息安全的过程实施监控和测量 D.信息安全的实现是一个技术的过程√ 2. 建立和实施信息安全管理体系的重要原则是。【D】 A.领导重视 B.全员参与 C.持续改进 D.以上各项都是√ 3. 组织在建立和实施信息安全管理体系的过程中,领导重视可以。【D】 A.指明方向和目标 B.提供组织保障 C.提供资源保障 D.以上各项都是√ 4. 你认为建立信息安全管理体系时,首先因该:【B】 A.风险评估 B.建立信息安全方针和目标√
C.风险管理 D.制定安全策略 5.《计算机信息系统安全专用产品检测和销售许可证管理办法》是由那个部门颁布的:【B】A.保密局 B.公安部√ C.密码办 D.以上都不是 6. 计算机信息系统安全专用产品,是指。【C】 A.用于保护计算机信息系统安全的专用硬件产品 B.用于保护计算机信息系统安全的专用软件产品 C.用于保护计算机信息系统安全的专用硬件和软件产品√ D.以上都不是 7.涉及国家秘密的计算机信息系统,必须:【A】 A.实行物理隔离√ B.实行逻辑隔离 C.实行单向隔离 D.以上都不是 8. 计算机信息系统安全等级保护的等级是由那几个因素确定。【B】 A.根据计算机信息系统面临的风险 B.根据计算机信息系统资源的经济和社会价值及其面临的风险√ C.根据计算机信息系统价值 D.以上都不是 三、多选题:(共8小题,共40分) 1. 信息安全方针和策略的流程是()。【 ABC】 A.安全方针和策略 B.资金投入管理 C.信息安全规划 D.以上都不是 2. 从系统整体看,下述那些问题属于系统安全漏洞。【ABC】 A、产品缺少安全功能 B、产品有Bugs C、缺少足够的安全知识 D、人为错误 3. 应对操作系统安全漏洞的基本方法是什么?。【 AB】 A、对默认安装进行必要的调整 B、给所有用户设置严格的口令 C、及时安装最新的安全补丁 D、更换到另一种操作系统 4. 计算机安全事故包括以下几个方面()。【ABCD】 A.因自然因素,导致发生危害计算机信息系统安全的事件 B.因自然因素,进入可能导致危害计算机信息系统安全的非正常运行状态的事件 C.因人为原因,导致发生危害计算机信息系统安全的事件 D.因人为原因,进入可能导致危害计算机信息系统安全的非正常运行状态的事件 5. 病毒防护必须具备哪些准则。【ABCD】 A、拒绝访问能力 B、病毒检测能力 C、控制病毒传播的能力
信息安全等级保护测评工具选用指引 一、必须配置测试工具 (一)漏洞扫描探测工具。 1.网络安全漏洞扫描系统。 2.数据库安全扫描系统。 (二)木马检查工具。 1.专用木马检查工具。 2.进程查看与分析工具。 二、选用配置测试工具 (一)漏洞扫描探测工具。 应用安全漏洞扫描工具。 (二)软件代码安全分析类。 软件代码安全分析工具。 (三)安全攻击仿真工具 (四)网络协议分析工具 (五)系统性能压力测试工具 1.网络性能压力测试工具 2.应用软件性能压力测试工具 (六)网络拓扑生成工具 (七)物理安全测试工具 1.接地电阻测试仪 2.电磁屏蔽性能测试仪 (八)渗透测试工具集 (九)安全配置检查工具集 (十)等级保护测评管理工具 综合工具: 漏洞扫描器:极光、Nessus、SSS等; 安全基线检测工具(配置审计等):能够检查信息系统中的主机操作系统、数据库、网络设备等; 渗透测试相关工具:踩点、扫描、入侵涉及到的工具等; 主机:sysinspector、Metasploit、木马查杀工具、操作系统信息采集与分析工具(Win,Unix)、日志分析工具、数据取证工具(涉密); 网络:Nipper(网络设备配置分析)、SolarWinds、Omnipeek、laptop(无线检测工具); 应用:AppScan、Webinspect、FotifySCA、Sql injection tools、挂马检测工具、webravor等。
信息安全测评工具 五大网络安全评估工具 1.Wireshark Wireshark(原名Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。 工作流程 (1)确定Wireshark的位置。如果没有一个正确的位置,启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。 (2)选择捕获接口。一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获到的其它数据对自己也没有任何帮助。 (3)使用捕获过滤器。通过设置捕获过滤器,可以避免产生过大的捕获文件。这样用户在分析数据时,也不会受其它数据干扰。而且,还可以为用户节约大量的时间。 (4)使用显示过滤器。通常使用捕获过滤器过滤后的数据,往往还是很复杂。为了使过滤的数据包再更细致,此时使用显示过滤器进行过滤。 (5)使用着色规则。通常使用显示过滤器过滤后的数据,都是有用的数据包。如果想更加突出的显示某个会话,可以使用着色规则高亮显示。 (6)构建图表。如果用户想要更明显的看出一个网络中数据的变化情况,使用图表的形式可以很方便的展现数据分布情况。 (7)重组数据。Wireshark的重组功能,可以重组一个会话中不同数据包的信息,或者是一个重组一个完整的图片或文件。由于传输的文件往往较大,所以信息分布在多个数据包中。为了能够查看到整个图片或文件,这时候就需要使用重组数据的方法来实现。 Wireshark特性: ?支持UNIX和Windows平台 ?在接口实时捕捉包 ?能详细显示包的详细协议信息 ?可以打开/保存捕捉的包 ?可以导入导出其他捕捉程序支持的包数据格式 ?可以通过多种方式过滤包 ?多种方式查找包 ?通过过滤以多种色彩显示包 ?创建多种统计分析 Wireshark不是入侵侦测系统(Intrusion Detection System,IDS)。对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。然而,仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark 不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。 Wireshark不能提供如下功能: ?Wireshark不是入侵检测系统。如果他/她在您的网络做了一些他/她们不被允许的奇怪的事情,Wireshark不会警告您。但是如果发生了奇怪的事情,Wireshark可能对察看发生了什么会有所帮助。 ?Wireshark不会处理网络事务,它仅仅是“测量”(监视)网络。Wireshark
信息安全产品测试方法介绍 摘要介绍了常见的IPSec网关,SSL VPN,防火墙,IDS,IPS和反垃圾邮件网关等信息安全产品的测试方法和测试步骤,并对IXIA在这方面的特点和优势进行了总结。 关键词 IPSec网关 SSL VPN 防火墙 IDS IPS 反垃圾邮件网关测试 1 引言 IP网络的最大优势是它的开放性,并最大限度地支持终端的智能,这使得IP网络中存在着各种各样丰富多彩的业务与应用。但与此同时,IP网络的开放性与终端的智能化也使得IP网络面临着前所未有的安全威胁;在IP网络中进行的信息通信和传输也显得不太安全。 IP网络的安全威胁有两个方面,一是主机(包括用户主机和应用服务器等)的安全,二是网络自身(要紧是网络设备,包括路由器、交换机等)的安全。用户主机所感知的安全威胁要紧是针对特定操作系统(要紧是Windows系统)的攻击,即所谓病毒。网络设备要紧面对的是基于TCP/IP协议的攻击。信息通信和交换的泄密要紧来自信息在交换和传输过程中没有加密而被窃取或 盗听。
为了防范各种各样的安全威胁和进行安全不泄密的通信,个人终端、企业网络和运营商都安装或者部署了各种各样的安全软件和设备来防范来自主机和网络的威胁或者实现安全加密的通信,这些安全设备包括防火墙,IDS,IPS,垃圾邮件网关,代理服务器,IPSec网关和SSL VPN网关等。 然而这些设备地引入,会对网络的性能造成一定地阻碍。多个厂家设备地引入,产品的互通性也对网络部署是一个考验。因此,假如评估测试这些安全设备的性能(Performance)和一致性(Conformance)就显得尤其重要,全球领先的IP测试方案供应商美国IXIA公司的测试方案能够全面满足信息安全产品的性能、一致性和功能的测试需求。 2 实现安全通信的设备测试 目前,实现安全通信的最要紧方式是采纳VPN技术,VPN技术从实现上要紧有三大类,基于MPLS技术的VPN,基于IP技术的VPN和基于应用层技术的SSL VPN等。这些VPN技术和设备的测试都能够专门方便地通过IXIA公司的工具来实现。基于MPLS技术的VPN包括L2 VPN,L3 VPN和Multicast VPN等;基于IP技术的VPN包括二层的L2TP技术,PPTP技术和三层的IPSec技术与GRE技术等。本文要紧对目前比较流行的基于三层IP技术的IPSec VPN以及基于应用层技术的SSL VPN测试进行介绍。
信息安全等级保护测评体系建设与测评工作规范性文件 信息安全等级测评机构 能力要求使用说明 (试行) 200×-××-××发布200×-××-××实施公安部信息安全等级保护评估中心
信息安全等级测评机构能力要求使用说明 目录 1范围 (3) 2名词解释 (3) 3基本条件 (3) 4组织管理能力 (4) 5测评实施能力 (6) 6设施和设备安全与保障能力 (10) 7质量管理能力 (12) 8规范性保证能力 (13) 9风险控制能力 (16) 10可持续性发展能力 (17) 11测评机构能力约束性要求 (18)
信息安全等级测评机构能力要求使用说明 前言 公安部颁布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号),决定加快等级保护测评体系建设工作。信息安全等级测评机构的建设是测评体系建设的重要内容,为确保有效指导测评机构的能力建设,规范其测评活动,满足信息安全等级保护工作要求,特制定本规范。 《信息安全等级测评机构能力要求》(以下简称《能力要求》)是等级保护测评体系建设指导性文件之一。本规范吸取国际、国内测评与检查机构能力评定的相关内容,结合信息安全等级测评工作的特点,对测评机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力、风险控制能力、可持续性发展能力等提出基本能力要求,为规范等级测评机构的建设和管理,及其能力评估工作的开展提供依据。
信息安全等级测评机构能力要求使用说明 信息安全等级测评机构能力要求使用说明 1范围 本规范规定了测评机构的能力要求。 本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。 2名词解释 2.1等级测评 等级测评是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 2.2等级测评机构 等级测评机构,是指具备测评机构基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室推荐,从事等级测评工作的机构。 3基本条件 依据《信息安全等级保护测评工作管理规范》(试行),信息安全等级测评机构(以下简称测评机构)应当具备以下基本条件: a)在中华人民共和国境内注册成立(港澳台地区除外); b)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);(具 体要求参见8.2.1) c)产权关系明晰,注册资金100万元以上;(具体要求参见8.2.2) d)从事信息系统检测评估相关工作两年以上,无违法记录;(具体要求参见5.2.1) e)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(具体要求参见 8.2.1) f)具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人; g)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等 级保护管理办法》对信息安全产品的要求;(具体要求参见6.1) h)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度; (具体要求参见4.5) i)对国家安全、社会秩序、公共利益不构成威胁;
信息安全等级保护培训试题集 二、多选题 1.根据《关于信息安全等级保护的实施意见》,信息系统安全等级保护应当遵循什么原则?() A.明确责任,共同保护 B.依照标准,自行保护 C.同步建设,动态调整 D.指导监督,保护重点 2.根据《信息安全等级保护管理办法》,关于信息系统安全保护等级的划分,下列表述正确的是()。 A.第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益 B.第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全 C.第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害 D.第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害 E.第五级,信息系统受到破坏后,会对国家安全造成特别严重损害 3.根据《广东省计算机信息系统安全保护条例》,计算机信息系统()应当同步落实相应的安全措施。 A.规划 B.设计 C.建设 D.维护 4.经测评,计算机信息系统安全状况未达到国家有关规定和标准的要求的,() A.委托单位应当根据测评报告的建议,完善计算机信息系统安全建设 B.重新提出安全测评委托 C.另行委托其他测评机构进行测评 D.自行进行安全测评
是()。 A.第三级计算机信息系统应当每年至少进行一次安全自查和安全测评 B.第四级计算机信息系统应当每半年至少进行一次安全自查和安全测评 C.第五级计算机信息系统应当依据特殊安全要求进行安全自查和安全测评 D.自查报告连同测评报告应当由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门 6.根据《广东省公安厅关于计算机信息系统安全保护的实施办法》,关于公安机关的进行安全检查的要求,下列表述正确的是()。 A.对第三级计算机信息系统每年至少检查一次 B.对第四级计算机信息系统每半年至少检查一次 C.对第五级计算机信息系统,应当会同国家指定的专门部门进行检查 D.对其他计算机信息系统应当不定期开展检查 7.根据《广东省计算机信息系统安全保护条例》,计算机信息系统的运营、使用单位接到公安机关要求整改的通知后拒不按要求整改的,由公安机关处以()。 A.罚款5000元 B.拘留15日 C.警告 D.停机整顿 8.根据《广东省计算机信息系统安全保护条例》规定,第二级以上计算机信息系统的运营、使用单位计算机信息系统投入使用前未经符合国家规定的安全等级测评机构测评合格的,由公安机关()。 A.责令限期改正,给予警告 B.逾期不改的,对单位的主管人员、其他直接责任人员可以处五千元以下罚款,对单位可以处一万五千元以下罚款 C.有违法所得的,没收违法所得 D.情节严重的,并给予六个月以内的停止联网、停机整顿的处罚 E.必要时公安机关可以建议原许可机构撤销许可或者取消联网资格 9.根据《广东省公安厅关于计算机信息系统安全保护的实施办法》,信息安全等级测评机构申请备案() A.一般应当向地级以上市公安机关公共信息网络安全监察部门提出申请 B.承担省直和中央驻粤单位信息安全等级测评工作的机构,直接向省公安厅公共信息网
判断题 信息安全定义 3. 只要投资充足,技术措施完备,就能够保证百分之百的信息安全。 27. 信息在使用中不仅不会被消耗掉,还可以加以复制。 43. 防止静态信息被非授权访问和防止动态信息被截取解密是____。 A:数据完整性B:数据可用性C:数据可靠性D:数据保密性 69. 在ISO/IEC 17799中,防止恶意软件的目的就是为了保护软件和信息的____。 A:安全性B:完整性C:稳定性D:有效性 78. 关于信息安全,下列说法中正确的是____。 A:信息安全等同于网络安全B:信息安全由技术措施实现 C:信息安全应当技术与管理并重D:管理措施在信息安全中不重要 41. 信息安全在通信保密阶段中主要应用于____领域。 A:军事B: 商业C:科研D:教育 69. 确保信息在存储、使用、传输过程中不会泄露给非授权的用户或者实体的特性是____。A:完整性B:可用性C:可靠性D:保密性 管理学 14. 实现信息安全的途径要借助两方面的控制措施、技术措施和管理措施,从这里就能看出技术和管理并重的基本思想,重技术轻管理,或者重管理轻技术,都是不科学,并且有局限性的错误观点。 36. 网络和信息系统的关节岗位人选不得出现在其他关键岗位兼职的情况。 66. 下述关于安全扫描和安全扫描系统的描述错误的是____。 A:安全扫描在企业部署安全策略中处于非常重要的地位 B:安全扫描系统可用于管理和维护信息安全设备的安全 C:安全扫描系统对防火墙在某些安全功能上的不足不具有弥补性 D:安全扫描系统是把双刃剑 71. 策略应该清晰,无须借助过多的特殊一通用需求文档描述,并且还要有具体的____。A:管理支持B:技术细节C:补充内容D:实施计划 47. 在PDR安全模型中最核心的组件是____。 A:策略B:保护措施C:检测措施D:响应措施 79. 在PPDRR安全模型中,____是属于安全事件发生后的补救措施。