20150916中国电子信息行业联合会向首批获得信息系统运行维护分项一级、二级资质的十九家企业颁发证书

信息安全等级测评师模拟考试考试形式：闭卷考试时间：120分钟一、单选题（每题1.5分，共30分）1.以下关于等级保护的地位和作用的说法中不正确的是（ C ）A.是国家信息安全保障工作的基本制度、基本国策。

B.是开展信息安全工作的基本方法。

C.是提高国家综合竞争力的主要手段。

D.是促进信息化、维护国家信息安全的根本保障。

2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（ A ）A.突出重要系统，涉及所有等级, 试点示范，行业推广，国家强制执行。

B.利用信息安全等级保护综合工作平台使等级保护工作常态化。

C.管理制度建设和技术措施建设同步或分步实施。

D.加固改造缺什么补什么也可以进行总体安全建设整改规划。

3.以下关于定级工作说法不正确的是：（ A ）A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。

B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。

C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。

D.新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。

4. 安全建设整改的目的是（ D ）（1）探索信息安全工作的整体思路；（2）确定信息系统保护的基线要求；（3）了解信息系统的问题和差距；（4）明确信息系统安全建设的目标；（5）提升信息系统的安全保护能力；A.（1）、（2）、（3）、（5）B.（3）、（4）、（5）C.（2）、（3）、（4）、（5）D.全部5.下列说法中不正确的是（ B ）A. 定级/备案是信息安全等级保护的首要环节。

B. 等级测评是评价安全保护现状的关键。

C. 建设整改是等级保护工作落实的关键。

D. 监督检查是使信息系统保护能力不断提高的保障。

信息系统安全集成服务资质一级清单摘要：一、资质概述1.信息系统安全集成服务资质一级清单的背景和重要性2.资质等级划分及一级资质的要求二、一级资质要求1.企业规模和经营年限的要求2.技术人员的要求3.相关证书和荣誉的要求4.项目经验和业绩的要求三、一级资质的优势1.提高企业竞争力和信誉度2.增加业务范围和市场份额3.为企业提供更多发展机遇四、资质申请和评审流程1.申请前的准备工作2.申请过程中的注意事项3.评审过程及结果公示五、资质维护和管理1.定期进行资质复审和更新2.企业内部管理和技术人员培训3.符合相关法律法规和行业标准正文：信息系统安全集成服务资质一级清单是一种重要的行业资质认证，它对于提高企业的竞争力和信誉度具有重大意义。

在我国，资质等级分为特级、一级、二级和三级，其中一级资质是最高等级。

本文将详细介绍一级资质的要求、优势、申请评审流程以及资质维护和管理。

首先，让我们了解一下一级资质的要求。

要想获得一级资质，企业需要满足一定的规模和经营年限要求，具备一定数量的专业技术人员，拥有相关证书和荣誉，以及具备良好的项目经验和业绩。

这些要求旨在确保企业具备较强的综合实力，能够为客户提供高质量的信息系统安全集成服务。

拥有一级资质的企业将具备诸多优势。

首先，一级资质有助于提高企业的竞争力和信誉度，为企业在市场中树立良好的品牌形象。

其次，一级资质使企业能够承接更广泛的业务范围，增加市场份额。

此外，一级资质还能为企业带来更多发展机遇，助力企业实现可持续发展。

在获得一级资质的过程中，企业需要遵循一定的申请和评审流程。

首先，企业需要做好申请前的准备工作，包括资料整理、人员培训等。

然后，企业需要按照相关规定提交申请材料，并接受评审委员会的审核。

最后，评审结果将在官方网站上进行公示。

获得一级资质后，企业还需进行资质维护和管理。

这包括定期进行资质复审和更新，对技术人员进行培训，以及确保企业内部管理和技术水平符合相关法律法规和行业标准。

一、单选题(共15题，每题3分)。

1.（统一）是标准的本质特征。

2.RFID是指（射频识别）。

3.（QaaS）不属于云计算服务。

4.（数据录入）不属于DBA工作。

5.（DSS）不属于事务处理型信息系统。

6.（Web数据库）不属于网络安全技术。

7.（国家标准）是我国标准体系中的主体。

8.（于扬）最先提出“互联网+”的名词。

9.ACWP是指（实际工作的实际成本）。

10.联想信息化战略全景图中不包括（BI）。

11.（系统运维日志）不是系统实施阶段的文档。

12.系统测（调）试是在（系统实施）阶段完成的。

13.与信息内涵相近的词有（音信、消息、情报）。

14.最高层面的信息化规划是（信息化战略规划）。

15.（项目收益管理）不属于PMBOK的知识领域。

16.（业务部门的信息人员）是CIO机制的组成部分。

17.信息化规划是信息化工作的（前瞻性）的全局安排。

18.以下哪个工作不属于风险监控的范围？（风险计划）19.（市场监控者）不属于波特五力模型所列的竞争力量。

20.组织的基础信息调研不包括（组织信息化投入调研）。

21.（系统外包与管理部）不是信息化组织机构的主要部门。

22.下列哪个部分不是CIO的基本职能？（战略的决策者）23.信息化绩效评价具有（间接性、长期性、互补性）等特征。

24.简单地理解，资源就是对人类有用的、创造（财富）的东西。

25.微软（MS）的（Project）是著名的项目管理软件。

26.项目范围管理是对项目的（工作内容）进行控制的管理过程。

27.移动互联网是传统互联网与（无线通信）技术结合的统一体。

28.我们将既具备信息需求又具有信息行为的人，称之为（客户）。

29.从循环使用角度看，资源可分为（可再生资源和不可再生资源）。

30.教材罗列了许多制定战略规划的方法，（层次分析法）不在其中。

31.项目收尾时要进行合同收尾，它要完成（采购审计）、文档整理。

32.信息论专家美国学者申农把信息看成是（减少不确定性的东西）。

一、单选题（题数：32，共64.0 分）1 信息安全等级保护工作直接作用的具体的信息和信息系统称为（2.0分）2.0 分A、客体B、客观方面C、等级保护对象D、系统服务正确答案：B2 根据等级保护相关管理文件,信息系统的安全保护等级分为几个级别: （2.0分）A、 3B、 4C、 5D、 6正确答案：C3 根据《信息安全等级保护管理办法》,( )应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。

（2.0分）A.公安机关B.国家保密工作部门C.国家密码管理部门D.信息系统的主管部门正确答案：D4 对社会秩序、公共利益造成特别严重损害,定义为几级（2.0分）A、第一级B、第二级C、第三级D、第四级正确答案：D5 对国家安全造成特别严重损害,定义为几级（2.0分）A、第二级B、第三级C、第四级D、第五级正确答案：D6 信息系统建设完成后,( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。

（2.0分）A.二级及以上B.三级及以上C.四级及以上D.五级正确答案：B7 计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由( )合同有关部门制定。

（2.0分）A、教育部B、国防部C、安全部D、公安部正确答案：B8 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 —1999,提出将信息系统的安全等级划分为______个等级,并提出每个级别的安全功能要求。

（2.0分）A、7B、8C、 6D、 5正确答案：D9 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益,在等保定义中应定义为第几级（2.0分）A、第一级B、第二级C、第三级D、第四级正确答案：A10 《信息系统安全等级保护实施指南》将______作为实施等级保护的第一项重要内容。

国网新一代系统题库配电自动化通信网络应满足实时性、可靠性等要求，因地制宜，宜采取多种通信方式互补，其通信通道可利用专网或公网。

配电网电缆通道建设时，应同步预留（）。

A、通信通道B、备用电缆C、备用间隔D、电源通道答案：A配电自动化系统信息交互应严格遵守电力二次安全防护要求，在管理信息大区部署的功能应符合电力企业整体信息集成交互构架体系，遵循（）、统一规范、数据源唯一、数据共享的原则。

A、纵向贯通、横向集成B、纵向加密、横向集成C、纵向贯通、横向隔离D、纵向集成、横向贯通答案：A配电自动化系统信息交互应严格遵守电力二次安全防护要求，在管理信息大区部署的功能应符合电力企业整体信息集成交互构架体系，遵循纵向贯通、横向集成、（）、数据共享的原则。

A、统一规范、数据源唯一B、统一标准、数据源唯一C、统一规范、数据源规范D、统一规范、数据源统一答案：A配电主站管理信息大区采集应用部分与配电终端的通信方式原则上以（）通信为主。

A、电力光纤B、电力载波C、无线公网D、无线专网答案：C（）是架构在配电主站系统基础平台上的配电网调度最核心的具体应用。

A、配电网监控B、配电终端C、配电子站D、数据通信答案：A（）是配电自动化系统的中间环节，数据传输的介质和纽带，是电力系统通信的组成部分。

A、配电通信B、配电终端C、配电主站D、前置服务器答案：A10：90不均匀分光型号的分光器（非链路上最后一级）一般10%一端是与哪个通信设备相连接（）。

A、ONUB、光配单元C、OLTD、以上都不是答案：A104规约应采用带有（）的无线路由器A、485口B、以太网口C、232口D、级联口答案：B104通讯规约中，T1时间参数的定义是（）。

A、建立连接的超时B、发送或测试APDU的超时C、无数据报文时确认的超时D、长期空闲状态下发送测试帧的超时答案：B104通讯规约中，服务器端TCP端口号默认采用（）端口号。

A、2404B、8080C、21D、80答案：A《中华人民共和国网络安全法》规定，（）、服务应当符合相关国家标准的强制性要求。

计算机网络安全知识竞赛试题及答案计算机网络安全知识竞赛试题及答案引导语：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

以下是店铺整理的计算机网络安全知识竞赛试题及答案，欢迎参考!单选题(2’*20)401. 我国出现第一例计算机病毒的时间是(C)A.1968 年B.1978 年C.1988 年D.1998 年2.国际电信联盟将每年的5月17日确立为世界电信日，今年已经是第38届。

今年世界电信日的主题为。

AA、“让全球网络更安全”B、“信息通信技术：实现可持续发展的途径”C、“行动起来创建公平的信息社会”3.信息产业部将以世界电信日主题纪念活动为契机，广泛进行宣传和引导，进一步增强电信行业和全社会的意识。

BA、国家安全B、网络与信息安全C、公共安全4.为了进一步净化网络环境，倡导网络文明，信息产业部于2006年2月21日启动了持续到年底的系列活动。

AA、阳光绿色网络工程B、绿色网络行动C、网络犯罪专项整治5. 关于网络游戏的经营规则,下列说法错误的是(D)A.网络游戏运营企业应当要求网络游戏用户使用有效身份证件进行实名注册B.网络游戏运营企业终止运营网络游戏应当提前 60 日予以公告C.我国对国产网络游戏实行备案制D.我国对进口网络游戏实行备案制6. 下列有关隐私权的表述,错误的是(C)A.网络时代,隐私权的保护受到较大冲击B.虽然网络世界不同于现实世界,但也需要保护个人隐私C.由于网络是虚拟世界,所以在网上不需要保护个人的隐私D.可以借助法律来保护网络隐私权7. 在设定网上交易流程方面,一个好的电子商务网站必须做到(B)A.对客户有所保留B.不论购物流程在网站的内部操作多么复杂,其面对用户的界面必须是简单和操作方便的C.使客户购物操作繁复但安全D.让客户感到在网上购物与在现实世界中的购物流程是有区别的8.“阳光绿色网络工程”的“阳光”寓意着光明和普惠万事万物，并要涤荡网络上的污浊;“绿色”代表要面向未来构建充满生机的和谐网络环境;“网络”代表活动的主要内容以网络信息服务为主;“工程”代表活动的系统性和长期性。

中国电子信息行业联合会向首批获得信息系统运行维护分项一级、二级资质的十九家企业颁发证书
2015-09-16 14:59
为适应信息系统集成技术和市场的发展要求，中国电子信息行业联合会（以下称电子联合会）信息系统集成资质工作委员会发布了《信息系统集成及服务资质运行维护分项资质认定实施办法（试行）》(中电联信委〔2015〕2号)。

依据文件要求，电子联合会信息系统集成资质工作办公室组织开展了信息系统集成及服务资质运行维护分项资质(以下称运维分项资质)认定试点工作。

2015年9月15日，在中国信息系统集成及服务行业2015年会上，电子联合会向首批获得运维分项一级、二级资质的十九家企业颁发了资质证书。

首批获得运维分项一级、二级资质的企业名单如下：
1、神州数码系统集成服务有限公司一级
2、长城计算机软件与系统有限公司一级
3、太极计算机股份有限公司一级
4、东软集团股份有限公司一级
5、首都信息发展股份有限公司一级
6、上海宝信软件股份有限公司一级
7、中国软件与技术服务股份有限公司一级
8、快威科技集团有限公司一级
9、深圳市紫金支点技术股份有限公司一级
10、广州华资软件技术有限公司一级
11、万达信息股份有限公司一级
12、北京华胜天成科技股份有限公司一级
13、中国民航信息网络股份有限公司一级
14、用友网络科技股份有限公司一级
15、大唐软件技术股份有限公司一级
16、浪潮软件集团有限公司二级
17、北京华宇信息技术有限公司二级
18、广州市金禧信息技术服务有限公司二级
19、中国普天信息产业北京通信规划设计院二级。

信息系统集成及服务资质运行维护分项资质认定实施办法（试行）第一章总则第一条为做好信息系统集成及服务资质运行维护分项资质（以下称运维资质）认定工作，依据《信息系统集成及服务资质认定管理办法（暂行）》（中电联字〔2015〕1号），制定本实施办法。

第二条本办法所称信息系统运行维护（以下称运维）服务是指采用信息技术手段及方法，依据需方提出的服务级别要求，对其所使用的信息系统运行环境、业务系统等提供的运维服务。

第三条本办法所称运维资质认定是指中国电子信息行业联合会（以下称电子联合会）依据本实施办法对从事运维企业的整体实力、运维服务的能力和水平所进行的评价和认定。

第四条本办法所称运维项目管理人员是指由运维服务企业正式聘用，熟悉运维技术和项目管理专业知识，具备一定运维项目管理工作经验和能力，具有较好的信誉，并受所属企业委托对运维项目进行全面管理的项目负责人。

运维项目管理人员包括运维项目经理和运维高级项目经理两个等级。

电子联合会对运维项目管理人员实施登记管理。

第五条电子联合会信息系统集成资质工作委员会（以下称电子联合会资质工作委员会）负责运维资质认定和运维项目管理人员登记的管理工作。

电子联合会信息系统集成资质工作办公室（以下称电子联合会资质办）作为电子联合会资质工作委员会的日常办事机构，负责运维资质认定和运维项目管理人员登记的具体组织实施工作。

运维资质认定及监督管理一、运维资质的申请与认定、证书管理及监督管理除本办法另有规定的事项外，按《信息系统集成及服务资质认定管理办法（暂行）》（中电联字〔2015〕1号）相关要求执行。

二、运维项目管理人员的聘用和登记、监督管理除本办法另有规定的事项外，按《信息系统集成及服务项目管理人员登记管理办法（暂行）》（中电联信委〔2015〕1号）相关要求执行。

国电系统--江苏省--2024年《信息安规》科目单选题+多选题+判断题+简答题真题冲刺卷上半年A卷一、【单选题】1. 依据《网络产品和服务安全审查办法（试行）》的规定，不得采购（）的网络安全产品。

A、非国产B、审查未通过C、未经测试2. 《国家电网公司电力安全工作规程（信息部分）》的一般安全要求中规定，信息系统的（）账号及其权限应及时注销或调整。

A、过期B、冗余C、临时D、在用3. 单位领导人员按照（）的原则，建立健全分管工作范围内的安全生产保证体系。

A、谁使用、谁负责B、谁主管、谁负责C、谁运行、谁负责D、谁监督、谁负责4. 巡视时不得改变信息系统或设备的运行状态（）A、机房动力环境B、机房电源C、机房监控D、机房空调5. 拒绝服务攻击的后果是（）。

A、信息不可用B、应用程序不可用C、系统宕机D、阻止通信E、上面几项都是6. 网络隔离技术，根据公认的说法，迄今已经发展了（）个阶段。

A、六B、五C、四D、三7. SF6配电装置室与其下方电缆层、电缆隧道相通的孔洞都应封堵，SF6配电装置室及下方电缆层隧道的门上，应设置“（）”的标志。

A、注意危险B、严禁烟火C、注意通风D、禁止吸烟8. 双机热备是一种典型的事先预防和保护措施，用于保证关键设备和服务的（）属性。

A、保密性B、可用性C、完整性D、第三方人员9. 需停电更换主机设备或存储设备的（）等配件的工作，应断开外部电源连接线，并做好防静电措施。

A、电源模块B、内部板卡C、硬盘D、连接线缆10. 禁止泄露、篡改、恶意损毁用户（）A、密码B、账号C、数据D、信息11. 检修宜通过具备（）功能的设备开展。

A、日志查询B、操作录屏C、远程监控D、运维审计12. 根据《互联网电子公告服务管理规定》规定，（）发现电子公告服务系统中出现明显属于该办法第九条所列的禁止信息内容之一的，应当立即删除，保存有关记录，并向国家有关机关报告。

A、电子公告用户B、电子公告浏览者C、互联单位D、电子公告服务提供者13. 要解决信任问题，使用（）A、公钥B、自签名证书C、数字证书D、数字签名14. 电子公告服务提供者应当记录在电子公告服务系统中发布的信息内容及其发布时间、互联网地址或者域名。

信息系统运行维护及网络安全攻防竞赛（笔试）1、对于涉密信息系统实行分级保护，确定涉密信息系统安全等级，主要考虑的因素包括涉密信息的涉密等级、涉密信息系统的重要性、到破坏后对国计民生造成的危害性和涉密信息系统必须达到的安全保护水平。

［判断题］*对（正确答案）错2、完整性是指保证信息及信息系统不会被非授权更改或破坏的特性，包括数据完整性和系统完整性。

［判断题］*对（正确答案）错3、新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地市级以上公安机关办理备案手续。

［判断题］*对错（正确答案）4、设备设施故障是指信息系统自身故障而导致的信息安全事件。

因市政供电线路意外中断而导致信息系统无法正常工作，鉴于市政供电线路不属于信息系统保护范围，因此该事件分类不属于设备设施故障。

［判断题］*对错（正确答案）5、公司办公区域内信息外网办公计算机应通过本单位统一互联网出口接入互联网；严禁将公司办公区域内信息外网办公计算机作为无线共享网络节点，为其它网络设备提供接入互联网服务，如通过随身Wifi等为手机等移动设备提供接入互联网服务。

［判断题］* 对（正确答案）错6、《国家电网公司应用软件通用安全要求》中规定，应用软件部署后，应该对操作系统、数据库等基础系统进行针对性的加固，在保证应用软件正常运行的情况下，关闭存在风险的无关服务和端口。

［判断题］*对（正确答案）错7、涉及二级与三级系统间共用的网络设备、安全设备，采用“就低不就高”的原则，按二级要求进行防护。

［判断题］*对错（正确答案）8、严禁通过互联网远程运维方式进行设备和系统的维护工作，内网远程运维要履行审批程序，并对各项操作进行监控、记录和审计。

［判断题］*对（正确答案）错9、信息系统运行机构应建立账号休眠、激活和注销制度，定期对临时、长期不使用的账号进行清理，业务应用账号清理需经业务主管部门同意后方可执行。

［判断题］*对（正确答案）错10、根据《信息安全等级保护管理办法》，信息系统的运营、使用单位应当根据本办法和有关标准，确定信息系统的安全保护等级并报公安机关审核批准。

信息安全保护条例第一章总则第一条根据XX、XX和XX的要求，为了保护计算机信息系统的安全，促进计算机的应用和发展，保障公司信息的安全，特制定本条例。

第二条计算机信息系统的安全保护工作，重点在于保护行政机密和商业机密及公司日常办公事务、经营营销、信息和计算机等终端设备的安全。

第三条XX部负责公司信息系统安全保护工作，纪检监察部负责上报和处理危害国家利益、公司利益和员工合法利益的案件，其他职能部门在XX部履行规定的职责范围内做好计算机信息系统安全保护的协助工作。

第四条公司任何部门或个人，不得利用计算机信息系统从事危害国家利益、公司利益和员工合法利益的活动，不得危害计算机信息系统的安全。

第二章安全保护制度第一条计算机信息系统的建设和应用，应当遵守法律、行政法规和国家其他有关规定。

第二条计算机信息系统实行安全等级保护(一)特级：危害国家利益、公司利益和公民合法利益的行为一经查出由公司XX主办，上报公安机关备案处理；(二)一级：危害公司利益和个人权益的行为，一经查出由公司XX主办，XX部协办，上报至局层面和总公司层面；(三)二级：恶意散播严重危害公司信息化安全的言论和活动，一经查出由公司XX进行批评教育并要求严查严改；(四)三级：非主观意识形态下危害公司信息化安全的言论和活动，一经查出由XX部进行批评教育并要求严查严改；第三条计算机机房应当符合安全第一的原则。

在计算机机房附近施工时，不得危害计算机机房的安全。

第四条对计算机信息系统中发生的危害国家利益、公司利益和员工合法利益的案件，有关使用部门或个人应当在X小时内向XX部报告，由XX部和公司XX讨论解决；在特殊紧急情况下由XX部进行上报和处理。

第五条对计算机病毒和危害社会公共安全的其他有害数据的预防工作，由XX部和使用者个人共同管理。

第三章安全监督第一条公司XX部对计算机信息系统保护工作行使下列监督职权：(一)监督、检查、指导计算机信息系统安全保护工作；(二)查处危害计算机信息系统安全的违法犯罪案件和举报处理工作；(三)履行计算机信息系统安全保护工作的其他监督职责；(四)履行有关上市公司披露数据的保密职责；(五)监督和处理危害国家利益、公司利益和公民合法利益的案件职责；(六)严格执行自查自纠、严肃处理的原则。

关键点网络安全测评1)结构安全●应该保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；●应该保证网络的各个部分的带宽满足业务高峰期需要；●应在业务终端与服务器之间进行路由控制，简历安全的访问路径；●绘制与当前运行状况相符合的网络拓扑结构图；●根据各个部门工作智能，重要性和所涉及信息的重要程度等一些因素，划分不同的子网或者网段，并按照方便管理和控制的原则为各子网，网段分配地址段；●避免将重要的网段不是在网络边界处且直接连接到外部信息系统，重要网段与其他网段之间采取可靠的技术手段隔离；●按照对业务的重要次序来指定带宽的分配优先级别，保证在网络发生拥堵时优先保护重要主机；2)边界完整性检查●能够应对非授权的设备私自连接到内部网络的行为进行检查，能够做到准确定位，并能够对其进行有效阻断；●应该能够对内部网络用户私自连接到外部网络的行为进行检查，能够做到准确定位，并对其进行有效的阻断；3)入侵防范●应该在网络边界处监视以下行为的攻击：端口扫描，强力攻击，木马后门攻击，拒绝服务攻击，缓冲区溢出攻击，IP碎片攻击和网络蠕虫攻击●当检测到攻击行为时，能够记录攻击源IP，攻击类型，攻击目的，攻击时间，在发生严重入侵事件时应该提供报警；4)恶意代码防范●应该在网络边界处对恶意代码进行检查和清除；●维护恶意代码库的升级和检测系统升级；5)访问控制●应在网络边界部署访问控制设备，启用访问控制功能；●应能根据会话状态的信息为数据流提供明确的允许/拒绝访问的能力，控制力度为端口级；●应对进出网络的信息内容进行过滤，实现对应用层HTTP，FTP，TELNET，SMTP，POP3等协议命令级的控制；●应该在会话处于非活跃一段时间后自动终止连接；●应该限制网络最大流量数及网络连接数；●重要网络应该采取技术手段防止地址欺骗；●应该按照用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；●应该限制具有拨号访问权限的用户数量；6)安全审计●应对网络系统中的网络设备运行状况，网络流量，用户行为等进行日志记录；●审计记录应该包括：事件的日期和时间，用户，事件类型，事件是否成功等相关信息；●应能够根据记录数据进行分析，并生成审计报表；●应对审计记录进行保护，避免受到未预期的删除，修改或者覆盖；7)网络设备保护●应该对登录网络设备的用户进行身份鉴别；●应对网络设备的管理员登录地址进行限制；●网络设备用户的表示应该唯一；●主要网络设备应对同一用户选择两种或者两种以上组合鉴别技术来进行身份鉴别；●身份鉴别信息应该具有不易被冒用的特点，口令应该具有复杂度要求并且定期更换；●应该具有登录失败处理的能力，可采取结束会话，限制非法登录次数和当网络登录连接超时的时候自动退出等措施；●当网络设备进行远程管理时，应该采取必要措施防止鉴别信息在网络传输的过程中被窃听；●应该实现设备特权用户的权限分离；主机安全测评1)身份鉴别●应对登录操作系统和数据库系统的用户进行身份表示和鉴别；●操作系统和数据库系统管理用户身份鉴别信息应该具有不易被冒用的特点，口令应该具有复杂度要求并且定期更换；●启用登录失败处理功能，可采取结束会话，限制非法登录次数和自动退出等措施；●当对服务器进行远程管理时，应该采取必要措施，防止信息在网络传输过程中被窃听；●应为操作系统和数据库的不同用户分配不同的用户名，确保用户名具有唯一性；●应采取两种或者两种以上的认证对管理员用户进行鉴别；2)访问控制●实现操作系统和数据库系统特权用户的权限分离；●应该启用访问控制功能，依据安全策略控制用户对资源的访问；●应该严格限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令；●及时删除多余的，过期的账户，避免共享账户的存在；●应对重要的资源设置敏感标记；●应该根据安全策略严格控制用户对有敏感标记重要信息资源的操作；3)安全审计●审计范围应覆盖到服务器和重要客户端上的每个操作系统和数据库用户；●审计内容应该包括重要的用户行为，系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；●审计的记录应该包括时间的日期，时间，类型。