下载文档原格式
一、单选题(20分)1、以下关于信息系统安全建设整改工作方中说珐中不正确的是?()A、突出重要系统,涉及所有等级,试点示范,行业推广,国家强制执行.B、利用信息安全等圾保护综合工作平台使等级保护工作常态化。
C、管理制度建设和技术措施建设同步或分步实施。
D、加快改造,缺什么补什么,也可以进总体安全建设整改规划.2、以下关于定级工作说法不正确的是?()A、确定定级对象过程中,定级对象是指以下内容:起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。
B、确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。
C、在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低.D、新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施.3、测评单位开展工作的政策依据是?( )A、公通字[2004]66号。
B、公信安[2008]736。
C、公信安[2010]303号。
D、发改高技[2008]2071。
4、一般来说,二级信息系统,适用于?( )A、乡镇所属信息系统、县级某些单位中不重要的信息系统.小型个体、私营企业中的信息系统.中小学中的信息系统。
B、适用于地市级以上国家机关、企业、事业单位内部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官方网站;跨省(市)联接的信息网络等.C、适用于重要领域、重要部门三级信息系统中的部分重要系统。
例如全国铁路、民航、电力等调度系统,银行、证券、保险、税务、海关等部门中的核心系统.D、地市级以上国家机关、企业、事业单位内部一般的信息系统.例如小的局域网,非涉及秘密、敏感信息的办公系统等。
5、安全测评报告由()报地级以上市公安机关公共信息网络安全检查部门?A、安全服务机构。
信息系统安全情况总结报告三篇篇一:信息系统安全情况总结报告一、信息安全状况总体评价概述本单位信息安全工作情况,与上一年度相比信息安全工作取得的新进展,对本单位信息安全状况的总体评价。
二、信息安全自查情况对照《信息系统安全自查情况报告表》要求,逐项描述本单位在信息安全组织管理、日常信息安全管理、信息安全防护管理、信息安全应急管理、信息安全教育培训、信息安全检查等方面开展的工作情况。
三、检查发现的主要问题及整改情况(一)存在主要问题及其原因描述本单位安全检查特别是技术检测发现的主要问题和薄弱环节,分析其存在原因。
(二)下一步工作打算针对检查发现的问题提出整改计划或整改措施。
(二)四、对信息安全工作的意见和建议对信息安全工作特别是信息安全检查工作提出意见和建议。
一、单位基本情况(小计5分,得分)单位名称分管信息安全工作的领导(2分)信息安全责任处(科)室(1.5分)信息安全员(1.5分)姓名:职务:名称:负责人:职务:电话:姓名:职务:电话:二、信息系统基本情况(小计13分,得分)信息系统基本情况(3分)①信息系统总数:1个②面向社会公众提供服务的信息系统数:1个③委托社会第三方进行日常运维管理的信息系统数:个,其中签订运维外包服务合同的信息系统数:个互联网接入口总数:2个互联网接入情况其中:□联通接入口数量:1个接入带宽:100兆(此项为统计项,不计分1)□电信接入口数量:2个接入带宽:100兆□其他:接入口数量:个接入带宽:兆系统定级情况第一级:个第二级:1个第三级:个(2分)系统安全测评情况(8分)三、日常信息安全管理情况(小计8分,得分)人员管理第四级:个第五级:个未定级:个最近2年开展安全测评(含风险评估、等级测评)系统数:0个①岗位信息安全和保密责任制度:□已建立□未建立本报告表未列明分值的选项均为统计调查项,不设分值,不计入总分。
(5分)②重要岗位人员信息安全和保密协议:□全部签订□部分签订□均未签订③人员离岗离职安全管理规定:□已制定□未制定④外部人员访问机房等重要区域管理制度:□已建立□未建立①信息安全设备运维管理:□已明确专人负责□未明确□定期进行配置检查、日志审计等□未进行②设备维修维护和报废销毁管理:□已建立管理制度,且维修维护和报废销毁记录完整□已建立管理制度,但维修维护和报废销毁记录不完整□尚未建立管理制度资产管理(3分)四、信息安全防护管理情况(小计37分,得分)网络边界防护管理(6分)①网络区域划分是否合理:□合理□不合理②安全防护设备策略:□使用默认配置□根据应用自主配置③互联网访问控制:□有访问控制措施□无访问控制措施④互联网访问日志:□留存日志□未留存日志①服务器安全防护:□已关闭不必要的应用、服务、端口□未关闭□帐户口令满足8位,包含数字、字母或符号□不满足□定期更新帐户口令□未能定期更新□定期进行漏洞扫描、病毒木马检测□未进行信息系统安全管理(6分)②网络设备防护:□安全策略配置有效□无效□帐户口令满足8位,包含数字、字母或符号□不满足□定期更新帐户口令□未能定期更新□定期进行漏洞扫描、病毒木马检测□未进行③信息安全设备部署及使用:□已部署有防病毒、防火墙、入侵检测、安全审计等功能的设备□未部署□安全策略配置有效□无效网站域名:_______________IP地址:_____________是否申请中文域名:□是_______________□否①网站是否备案:□是□否门户网站管理(3分)②门户网站账户安全管理:□已清理无关帐户□未清理□无空口令、弱口令和默认口令□有③清理网站临时文件、关闭网站目录遍历功能等情况:口已清理口未清理④门户网站信息发布管理:□已建立审核制度,且审核记录完整□已建立审核制度,但审核记录不完整□尚未建立审核制度①电子邮件功能(□开设□未开设)□已作清理,仅限本部门或有关人员使用□未作清理□有技术措施用于控制和管理口令强度□无技术措施其他应用管理(4分)□无空口令、弱口令和默认口令□有②留言板功能(□开设□未开设)□留言内容经审核后发布□未经审核即可发布③论坛功能(□开设□未开设)□已备案2□未备案□论坛内容经审核后发布□未经审核即可发布④博客功能(□开设□未开设)□已作清理,仅限本部门或有关人员使用□未作清理□博客内容经审核后发布□未经审核即可发布门户网站应用管理(15分)日常安全保障(8分)根据《互联网电子公告服务管理规定》,拟开展电子论坛等电子公告服务的,应当向所在地电信管理机构进行专项备案。
一、等级保护测评方案(一)测评范围与方法《基本要求》中对不同等级信息系统的安全功能和措施作出具体要求,信息安全等级测评要根据信息系统的等级从中选取相应等级的安全测评指标,并根据《测评要求》的要求,对信息系统实施安全现状测评。
因此,本次测评将根据信息系统的等级选取相应级别的测评指标。
1.测评指标三级基本指标依据定级结果,甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的3级通用指标类(G3),3级业务信息安全性指标类(S3)和3级业务服务保证类(A3)。
所包括的安全控制指标类型情况具体如下表:系统测评指标统计列表二级基本指标依据定级结果,甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的2级通用指标类(G2),2级业务信息安全性指标类(S2)和2级业务服务保证类(A2)。
所包括的安全控制指标类型情况具体如下表特殊指标无。
(二)测评对象1.测评对象选择方法测评对象包括网络互联与安全设备操作系统、应用软件系统、主机操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档。
选择过程中综合考虑了信息系统的安全保护等级、业务应用特点和对象所在具体设备的重要情况等要素,并兼顾了工作投入与结果产出两者的平衡关系。
2.测评对象选择结果2.1.物理机房测评对象-物理机房列表2.2.网络设备测评对象-网络设备列表3.安全设备测评对象-安全设备列表4.服务器或存储设备测评对象-服务器或存储设备列表5.终端或现场设备测评对象-终端或现场设备列表6.系统管理软件或平台测评对象-系统管理软件或平台列表7.业务应用系统或平台测评对象-业务应用系统或平台列表8.关键数据类型测评对象-关键数据类型列表测评对象-数据类型列表9.安全相关人员测评对象-安全相关人员列表10.安全管理文档测评对象-安全管理文档列表(三)测评方法本次等级测评现场实施过程中将综合采用访谈、检查和测试等测评方法。
1.访谈访谈是指测评人员通过与被测系统有关人员(个人/群体)进行交流、询问等活动,获取证据以证明信息系统安全保护措施是否有效的一类方法。
技术测评要求(S3A3G3) 等级保护三级技术类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N物理安全物理位置的选择1.机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
(G2)访谈,检查。
物理安全负责人,机房,办公场地,机房场地设计/验收文档。
2.机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
(G3)物理访问控制3.机房出入口应安排专人值守,控制、鉴别和记录进入的人员。
(G2)访谈,检查。
物理安全负责人,机房值守人员,机房,机房安全管理制度,值守记录,进入机房的登记记录,来访人员进入机房的审批记录。
4.需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
(G2)5.应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域。
(G3)6.重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
(G3)防盗窃和防破坏7.应将主要设备放置在机房内。
(G2)访谈,检查。
物理安全负责人,机房维护人员,资产管理员,机房设施,设备管理制度文档,通信线路布线文档,报警设施的安装测试/验收报告。
8.应将设备或主要部件进行固定,并设置明显的不易除去的标记。
(G2)9.应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。
(G2)10.应对介质分类标识,存储在介质库或档案室中。
(G2)11.应利用光、电等技术设置机房防盗报警系统。
1 / 13等级保护三级技术类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N(G3)12.应对机房设置监控报警系统。
(G3)防雷击13.机房建筑应设置避雷装置。
(G2)访谈,检查。
物理安全负责人,机房维护人员,机房设施(避雷装置,交流电源地线),建筑防雷设计/验收文档。
14.应设置防雷保安器,防止感应雷。
(G3)15.机房应设置交流电源地线。
(G2)防火16.机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。
报告编号:XXXXXXXXXXX-XXXXX-XX-XXXXXX-XX网络安全等级保护[被测对象名称]等级测评报告等保2.0委托单位:测评单位:报告时间:年月网络安全等级测评基本信息表声明【填写说明:声明是测评机构对测评报告的有效性前提、测评结论的适用范围以及使用方式等有关事项的陈述。
针对特殊情况下的测评工作,测评机构可在以下建议内容的基础上增加特殊声明。
】本报告是[被测对象名称]的等级测评报告。
本报告是对[被测对象名称]的整体安全性进行检测分析,针对等级测评过程中发现的安全问题,结合风险分析,提出合理化建议。
本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。
本报告中给出的测评结论仅对被测对象当时的安全状态有效。
当测评工作完成后,由于被测对象发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。
本报告中给出的测评结论不能作为对被测对象内部部署的相关系统构成组件(或产品)的测评结论。
在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。
单位名称(加盖单位公章)年月日等级测评结论【填写说明:此表描述等级保护对象及等级测评活动中的一般属性。
包括被测对象名称、安全保护等级、被测对象描述、测评工作描述、等级测评结论及综合得分。
如被测对象为云计算(包括平台/系统)或大数据(包括平台/应用/资源),则需要增加云计算安全扩展表或大数据安全扩展表。
】等级测评结论扩展表(云计算安全)【填写说明:此表描述与云计算(包括平台/系统)相关的扩展信息。
云计算形态用于明确被测对象为云计算平台还是云服务客户业务应用系统,此处为单选。
运维所在地用于明确云计算服务的后台技术管理者所在位置,方便公安机关监管。
云服务模式用于明确被测对象所采用的服务模式,此处为单选。
注意,一个云计算平台可能有多种服务模式,每种服务模式单独构成一个定级系统,对应一份定级报告及一份等级测评报告。
考生综合测评答题记录返回[综合测试] 列表本套测试试卷共47 题,共100 分。
答题得分:0 分【题型:单选】【分数:1分】得分:0分[1]下列不属于可行性分析的内容是哪一个?A技术可行性B经济可行性C社会可行性D维护可行性答:答案:D【题型:单选】【分数:1分】得分:0分[2]下列不属于系统的技术评价的是哪一个?A功能评价B性能评价C经济效益评价D目标评价答:答案:C【题型:单选】【分数:1分】得分:0分[3]系统分析之后系统开发进入哪个阶段?A系统规划B系统设计C系统运行D系统维护答:答案:B【题型:单选】【分数:1分】得分:0分[4]系统规划的主要任务包括()。
A明确组织的信息需求、制定系统总体结构方案B对系统进行经济、技术和使用方面的可行性研究C选择计算机和网络系统的方案D确定软件系统的模块结构答:答案:A【题型:单选】【分数:1分】得分:0分[5]下列不属于管理信息系统安全的是哪一个?A文档的安全B软件的安全C数据的安全D运行的安全答:答案:A【题型:单选】【分数:1分】得分:0分[6]下列不属于不修改程序的副作用的是哪一个()。
A修改代码的副作用B修改数据的副作用C对文档的影响D对硬件、设备的副作用答:答案:D【题型:单选】【分数:1分】得分:0分[7]下面不属于系统特性是哪一个?A整体性B层次性C稳定性D关联性答:答案:D【题型:单选】【分数:1分】得分:0分[8]下列不属于信息系统分析工作是哪一个?A业务分析B属性分析C用例分析D概念类分析答:答案:B【题型:单选】【分数:1分】得分:0分[9]Beta测试属于拿种测试?A单元测试B集成测试C确认测试D系统测试答:答案:C【题型:单选】【分数:1分】得分:0分[10]下列哪个不属于用例图的基本图元?A参与者B用例C属性D关系答:答案:C【题型:单选】【分数:1分】得分:0分[11]信息系统建设的结构化方法中用户必须参与的原则是用户必须参与()。
网络安全评估表调研及汇总网络安全风险咨询调研表表1:基本信息调查1.单位基本情况单位名称。
单位地址。
联系人。
联系电话。
Email。
填表时间。
信息安全主管领导(签字)。
职务。
检查工作负责人(签字)。
职务。
2.硬件资产情况2.1.网络设备情况网络设备名称型号物理位置所属网络区域 IP地址/掩码/网关系统软件及版本端口类型及数量主要用途是否热备重要程度2.2.安全设备情况安全设备名称型号(软件/硬件) 物理位置所属网络区域 IP 地址/掩码/网关系统及运行平台端口类型及数量主要用途是否热备重要程度2.3.服务器设备情况设备名称型号物理位置所属网络区域 IP地址/掩码/网关操作系统版本/补丁安装应用系统软件名称主要业务应用涉及数据是否热备终端设备名称型号物理位置所属网络区域设备数量 IP 地址/掩码/网关操作系统安装应用系统软件名称注:网络设备包括路由器、网关、交换机等;安全设备包括防火墙、入侵检测系统、身份鉴别等;服务器设备包括大型机、小型机、服务器、工作站、台式计算机、便携计算机等;终端设备包括办公计算机、移动存储设备。
重要程度:依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。
3.软件资产情况3.1.系统软件情况系统软件名称版本软件厂商硬件平台涉及应用系统3.2.应用软件情况应用系统软件名称开发商硬件/软件平台 C/S或B/S模式填写说明注:系统软件包括操作系统、系统服务、中间件、数据库管理系统、开发系统等;应用软件包括项目管理软件、网管软件、办公软件等。
涉及数据现有用户数量主要用户角色4.服务资产情况4.1.本年度信息安全服务情况服务类型服务方单位名称服务内容服务方式(现场、非现场) 填写说明注:服务类型包括:1.网络服务;2.安全工程;3.灾难恢复;4.安全运维服务;5.安全应急响应;6.安全培训;7.安全咨询;8.安全风险评估;9.安全审计;10.安全研发。
5.人员资产情况5.1.信息系统人员情况岗位名称岗位描述人数兼任人数填写说明作制定了相应的操作规程,并有明确的执行程序和记录。
一、单选题(20分)1、《基本要求》中管理要求中,下面那一个不是其中的内容?()A、安全管理机构。
B、安全管理制度。
C、人员安全管理。
D、病毒安全管理。
2、应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能是几级要求?()A、一级。
B、二级。
C、三级。
D、四级。
3、三级系统基本要求中管理要求控制类共有()项?A、32。
B、36。
C、37。
D、38。
4、《测评要求》和哪一个文件是对用户系统测评的依据?A、《信息系统安全等级保护实施指南》。
B、《信息系统安全保护等级定级指南》。
C、《信息系统安全等级保护基本要求》。
D、《信息系统安全等级保护管理办法》。
5、安全运维阶段的主要活动包括运行管理和控制、变更管理和控制、安全状态监控、()、安全检查和持续改进、监督检查?A、安全事件处置和应急预案。
B、安全服务。
C、网络评估。
D、安全加固。
6、如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成较大损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。
这应当属于等级保护的什么级别?()A、强制保护级。
B、监督保护级。
C、指导保护级。
D、自主保护级。
7、《信息系统安全等级保护实施指南》将()作为实施等级保护的第一项重要内容?A、安全定级。
B、安全评估。
C、安全规划。
D、安全实施。
8、人员管理主要是对人员的录用、人员的离岗、()、安全意识教育和培训、第三方人员访问管理5各方面。
A、人员教育。
B、人员裁减。
C、人员考核。
D、人员审核。
9、根据《信息安全等级保护管理办法》,由以下哪个部门应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作?A、公安机关。
信息安全等级测评师模拟试题(三)一、判断(10×1=10)1、三级信息系统应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时时自动退出等措施。
(√)2、口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信息,进而非法获得系统和资源访问权限。
(√)3、只要投资充足,技术措施完备,就能够保证百分之百的信息安全。
(×)4、特权用户设置口令时,应当使用enablepassword命令设定具有管理员权限的口令。
(×)5、Windows2000/xp系统提供了口令安全策略,以对帐户口令安全进行保护。
(√)6、脆弱性分析技术,也被通俗地称为漏洞扫描技术。
该技术是检测远程或本地系统安全脆弱性的一种安全技术。
(√)7、结构安全是网络安全检查的重点,网络结构的安全关系到整体的安全。
(√)8、一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。
(×)9、不同vlan内的用户可以直接进行通信。
(×)10、三级系统应能够对非授权设备私自连到内部网络的行为进行检查并准确定位.(×)二、单项选择题(15×2=30)1、我国在1999年发布的国家标准()为信息安全等级保护奠定了基础。
A.GB17799B.GB15408C.GB17859D.GB144302、安全保障阶段中将信息安全体系归结为四个主要环节,下列______是正确的。
A.策略、保护、响应、恢复B.加密、认证、保护、检测C.策略、网络攻防、备份D保护、检测、响应、恢复3、为了数据传输时不发生数据截获和信息泄密,采取了加密机制。
这种做法体现了信息安全的______属性。
A.保密性B.完整性C.可靠性D.可用性信4、在使用复杂度不高的口令时,容易产生弱口令的安全脆弱性,被攻击者利用,从而破解用户帐户,下列()具有最好的口令复杂度。
报告编号:()信息系统安全等级测评报告系统名称:X XXX系统平台委托单位:X XXX单位测评单位:X XXX测评单位报告时间:X XXX年XX月XX日说明:一、每个备案信息系统单独出具测评报告。
二、测评报告编号为四组数据。
各组含义和编码规则如下:第一组为信息系统备案表编号,由2段16位数字组成,可以从公安机关颁发的信息系统备案证明(或备案回执)上获得。
第1段即备案证明编号的前11位(前6位为受理备案公安机关代码,后5位为受理备案的公安机关给出的备案单位的顺序编号);第2段即备案证明编号的后5位(系统编号)。
第二组为年份,由2位数字组成。
例如09代表2009年。
第三组为测评机构代码,由6位数字组成,与机构推荐证书编号最后6位一致。
第四组为本年度信息系统测评次数,由两位构成。
例如02表示该信息系统本年度测评2次。
信息系统等级测评基本信息表注:单位代码由受理测评机构备案的公安机关给出。
声明本报告是XXXX单位的XXXX系统平台的等级测评报告。
本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。
本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。
当测评工作完成后,由于信息系统发生变更而涉及到的系统构成组件(或子系统)都应重新进行等级测评,本报告不再适用。
本报告中给出的测评结论不能作为对信息系统内部署的相关系统构成组件(或产品)的测评结论。
在任何情况下,若需引用本报告中的测评结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。
本机构根据特定标准出具的系统安全测评基本符合的结论,仅表明该系统基本达到了标准所规定的要求,并不保证该系统是绝对安全的。
XXXX测评单位(加盖单位公章)XXXX年XX月XX日等级测评结论总体评价通过对信息系统基本安全保护状态的分析,XXXX单位针对XXXX系统平台面临的主要安全威胁采取了相应的安全机制,基本达到保护信息系统重要资产的作用。
