信息安全标准和法律法规复习知识点

知识点复习
1. 根据《信息安全等级保护管理方法》，信息系统的主管部门应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。

2. 我国在信息系统安全保护方面《中华人民共和国计算机信息系统安全保护条例》是最早制定的一部法规，也是最基本的一部法规。

3. 二级信息系统，适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。

例如小的局域网，非涉及秘密、敏感信息的办公系统等。

4. 等级保护是国家信息安全保障工作的基本制度、基本国策；是开展信息安全工作的基本方法；是促进信息化、维护国家信息安全的根本保障。

5. 防火墙可以检查进出内部网的通信量；可以使用应用网关技术在应用层上建立协议过滤和转发功能；可以使用过滤技术在网络层对数据包进行选择；可以防范通过它的恶意连接。

6. 信息安全等级保护工作直接作用的具体的信息和信息系统称为等级保护对象。

7. 信息系统建设完成后，二级以上的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。

8. 信息安全经历了通信保密阶段、信息安全阶段、安全保障阶段三个发展阶段。

9. 安全保障阶段中将信息安全体系归结为保护、检测、响应、恢复四个主要环节。

实用文档
10. 网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为，这破坏了信息安全的完整性属性。

11. 《计算机信息系统安全保护条例》是由中华人民共和国国务院令第147号发布的。

12. 计算机病毒最本质的特性是破坏性。

13. 安全管理中采用的―职位轮换或者―强制休假办法是为了发现特定的岗位人员是否存在违规操作行为，属于检测控制措施。

14. 等级保护标准GB l7859主要是参考了美国TCSEC而提出。

15. 信息安全等级保护的5个级别中，专控保护级是最高级别，属于关系到国计民生的最关键信息系统的保护。

16. 公钥密码基础设施PKI解决了信息系统中的身份信任问题。

17. 数字签名、应用代理、应用审计机制都属于应用层安全。

18. 《计算机信息系统安全等级保护网络技术要求》(GA/T387-2002)属于公共安全行业标准。

19. 环境安全策略应该简单而全面。

20. 新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地区的市级以上公安机关办理备案手续。

21. 信息安全工作的风险主要来自信息系统中存在的脆弱点。

22. 计算机信息系统保护应采取的各项通用技术要求包括安全功能技术要求和安全保实用文档
证技术要求两个方面。

23. 密码系统包括以下4个方面：明文空间、密文空间、密钥空间和密码算法。

24. 密码攻击方法有三种：穷举攻击、统计分析攻击、数字分析攻击。

25. 对网络层数据包进行过滤和控制的信息安全技术机制是防火墙。

26. 风险管理的首要任务是风险识别和评估。

27.PKI所管理的基本元素是数字证书。

28.网络安全主要关注的方面包括：结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护七个控制点。

29.安全管理制度包括：管理制度、制定和发布、评审和修订三个控制点。

30.等级保护不仅是对信息安全产品或系统的检测、评估以及定级，更重要的，它是围绕信息安全保障全过程的一项基础性的管理制度，是一项基础性和制度性的工作。

31. 安全扫描可以弥补防火墙对内网安全威胁检测不足的问题。

32. 1994年2月18日国务院发布《计算机信息系统安全保护条例》。

33. 在目前的信息网络中，网络蠕虫病毒是最主要的病毒类型。

34. 《计算机信息系统安全保护条例》规定，计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。

35. 有一信息系统其适用范围为涉及国家安全、社会秩序和公共利益，其损害会对国家安全、社会秩序和公共利益造成损害，则该信息系统的安全等级为第三级。

实用文档
36. 《互联网上网服务营业场所管理条例》规定，互联网上网服务营业场所经营单位不得接纳未成年人进入营业场所。

37. 在一个企业网中，防火墙应该是全局安全策略的一部分，构建防火墙时首先要考虑其保护的范围。

38. RSA是最常用的公钥密码算法。

39. 当信息系统中包含多个业务子系统时，对每个业务子系统进行安全等级确定，最终信息系统的安全等级应当由业务子系统的最高安全等级所确定。

40. 安全威胁是产生安全事件的外因。

41. 如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利用造成较大损害；本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。

这应当属于等级保护的监督保护级。

42. 在安全评估过程中，采取渗透性测试手段，可以模拟黑客入侵过程，检测系统安全脆弱性。

43. 信息系统安全等级保护实施的基本过程包括系统定级、安全规划、安全实施、安全运维、系统终止。

44. 简述等级保护实施过程的基本原则包括自主保护原则、同步建设原则、重点保护原则、适当调整原则。

实用文档
45. 进行等级保护定义的最后一个环节是信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。

46. 信息安全评测标准CC是国际标准
47. 网闸的工作原理是工作在OSI模型的二层以上。

48. 基于通信双方共同拥有的但是不为别人知道的秘密，利用计算机强大的计算能力，以该秘密作为加密和解密的密钥的认证是共享密钥认证。

49. 传输层保护的网络采用的主要技术是建立在可靠的传输服务基础上的安全套接字层SSL协议。

50. 计算机病毒的5个特征是：主动传染性、破坏性、寄生性、隐蔽性、潜伏性、多态性。

52．数字签名是笔迹签名的模拟，是一种包括防止源点或终点否认的认证技术。

53．1976年，美国两位密码学者Diffe和Hellman在该年度的美国计算机会议上提交了一篇论文，提出了公钥密码体制的新思想，它为解决传统密码中的诸多难题提出了一种新思路。

54．《信息系统安全等级保护测评准则》将测评分为安全控制测评和系统整体测评两方面。

55．信息系统是进行等级确定和等级保护管理的最终对象。

56．《中华人民共和国计算机信息系统安全保护条例》中明确了我国计算机信息系统安实用文档
全保护工作的重点是维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。

57．《基本要求》分为技术要求和管理要求，其中技术要求包括物理安全、网络安全、主机系统安全、应用安全和数据安全。

58．《信息安全国家学说》是俄罗斯的信息安全基本纲领性文件。

59．我国刑法第285条规定了非法侵入计算机信息系统罪。

60．公安机关在信息安全等级保护工作中的职责是监督、检查、指导。

61. 根据《信息安全等级保护管理办法》信息系统的主管部门应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。

62. 计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

63. 对拟确定为第四级以上信息系统的运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

64. 一般来说二级信息系统适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。

例如小的局域网非涉及秘密、敏感信息的办公系统等。

65. 信息系统建设完成后二级以上的信息系统的运营使用单位应当选择符合国家规定实用文档
的测评机构进行测评合格方可投入使用。

66. 安全测评报告由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门。

67.根据《广东省计算机信息系统安全保护条例》规定计算机信息系统的运营、使用单位
没有向地级市以上人民政府公安机关备案的由公安机关处以警告或者停机整顿。

68. 美国的立法、行政、司法分别由国会、总统、法院掌管。

69. 我国司法组织中的两大系统人民法院、人民检察院。

70. 互联网信息服务分为经营性互联网信息服务和非经营性互联网信息服务两类。

71. 信息系统安全专用产品是指用于保护计算机信息系统安全的专用硬件和软件。

72. 安全专用产品在进入市场销售之前必须申领《计算机信息系统安全专用产品销售许可证》。

73. 我国的标准分为国家标准、行业标准、地方标准、企业标准四个级别。

74. 计算机信息系统保护应采取的各项通用技术要求包括安全功能技术要求和安全保证技术要求两个方面。

75. 有一信息系统其适用范围为涉及国家安全、社会秩序和公共利益其损害会对国家安全、社会秩序和公共利益造成损害则该信息系统的安全等级为第三级。

76. 安全性不属于信息安全的基本属性。

实用文档
77. 黑客诱骗技术和信息安全管理制度不属于信息安全的三大支柱。

78. 全国人大及其常委会是我国的最高立法组织。

79. 美国最高立法机关是美国国会。

80. 我国的执法组织包括人民法院、人民检察院、公安部、安全部、工商行政管理局、税务局。

81. 我国在信息系统安全保护方面最早制定的一部法规也是最基本的一部法规是《中华人民共和国计算机信息系统安全保护条例》。

82. 中华人民共和国境内的计算机、任何组织和个人属于《中华人民共和国计算机信息系统安全保护条例》适用的范围。

83. 在信息系统安全保护的五个等级中第一级、第二级适用范围为一般的信息系统；第三级、第四级的适用范围为涉及国家安全、社会秩序和公共利益。

84. 中国教育和科研计算机网、中国科学技术网属于为公益性互联网络。

85. 专业计算机信息网络、企业计算机信息网络、通过专线进行国际联网的计算机信息网络不能经营国际互联网络业务。

86. 用于学校图书馆资料查询的计算机场所、联通营业厅里缴费的计算机场所不属于互联网上网服务营业场所。

87. 直辖市、省会城市和计划单列市的每一互联网上网服务营业场所的计算机设备台数不得少于60台。

实用文档
88. 直辖市、省会城市和计划单列市的每一互联网上网服务营业场所的计算机每台占地面积不得少于2平方米。

89. 《互联网上网服务营业场所管理条例》中规定中小学校园周围200米范围内不能设立互联网上网服务营业场所。

90. 互联网上网服务营业场所经营单位变更名称、住所、法定代表人或者主要负责人、注册资本、网络地址或者终止经营活动的应当向工商行政管理部门办理变更登记或者注销登记。

91. 互联网上网服务营业场所经营单位和上网消费者不得利用互联网上网服务营业场所制作、下载、复制、查阅、发布、传播或者以其他方式使用含有煽动新疆独立、发布他人裸照、公布对他人造成伤害的个人隐私、法律、法规禁止的内容。

92. 互联网上网服务营业场所每日营业时间限于8时至24时。

93. 互联网上网服务营业场所经营单位接纳10岁小学生进入营业场所、停止实施经营管理技术措施、没有对上网消费者的身份进行核对等行为是违反《互联网上网服务营业场所管理条例》的。

94. 互联网电子邮件服务提供者应当记录经其电子邮件服务器发送或者接收的互联网电子邮件的发送或者接收时间和发送者和接收者的互联网电子邮件地址及IP地址。

95. 发送包含商业广告内容的互联网电子邮件时要求在互联网电子邮件标题信息前部注明“AD”、“广告”字样。

实用文档
96. 传播计算机病毒的行为包括故意输入计算机病毒危害计算机信息系统安全、向他人提供含有计算机病毒的文件、软件、媒体、销售、出租、附赠含有计算机病毒的媒体。

“熊猫烧香”病毒属于蠕虫病毒。

97. 重点单位是组织中的一部分、一个组织中的重点单位可以是一个也可以是多个、要害部位属于重点单位、掌管信息系统的单位或部门就是重点单位。

98. 信息系统控制管理中心、数据存储中心、系统电源管理部门、运行系统的主机属于重点单位。

99. GB17859-1999、GB9361-88S属于强制性国家标准。

100. 《计算机信息系统安全等级保护网络技术要求》GA/T387-2002属于公共安全行业标准。

101. 监督保护级不属于计算机信息系统安全保护能力划分的等级。

102. 计算机信息系统保护应采取的各项通用技术要求中物理安全、信息安全属于安全功能技术要求。

103. 根据《信息安全等级保护管理办法》信息系统的运营、使用单位应当根据本办法和有关标准确定信息系统的安全保护等级并报公安机关备案。

104. 根据《信息安全等级保护管理办法》信息系统的运营、使用单位应当根据已确定的安全保护等级依照本办法和有关技术标准使用符合国家有关规定满足信息系统安全保护等级需求的信息技术产品进行信息系统建设。

实用文档
105. 信息系统安全保护等级的第一级、第二级适用范围为一般信息系统。

106. 根据《信息安全等级保护管理办法》公安机关应当掌握信息系统运营、使用单位的备案情况发现的应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正，发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。

107. 根据《信息安全等级保护管理办法》公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的应当向运营、使用单位发出整改通知。

108. 信息系统运营、使用单位应当依照相关规定和标准和行业指导意见自主确定信息系统的安全保护等级。

有主管部门的需要经过主管部门审核批准。

109. 监督保护级不属于计算机信息系统安全保护能力划分的等级。

110. 防攻击不是物理安全的范围。

111. 国家实施信息安全等级保护制度的原因是形式所需。

112. 行为人利用计算机实施危害计算机信息系统全属于计算机犯罪。

113. 风险管理主要是主动寻找系统弱点，识别威胁，采取有效的主动防御。

114. 计算机病毒属于有害数据，有害数据部一定是计算机病毒。

115. 有害数据的定义是指计算机信息系统及其存储介质中存在、出现的以计算机程序、图像、文字、声音等多种形式表示的含有攻击人民民主专政、社会主义制度、攻击党和实用文档
国家领导人破坏民族团结等危害国家安全内容；含有宣扬封建迷信、淫秽色情、凶杀、教唆犯罪等危害社会治安秩序内容；危害计算机信息系统运行和功能发挥应用软件、数据可靠性、完整性和保密性用于违法活动的计算机程序。

计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据影响计算机使用并能自我复制的一组计算机指令或者程序代码。

计算机病毒属于有害数据有害数据不一定是计算机病毒。

116. 信息安全是指保护信息系统的硬件、软件及相关数据使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露保证信息系统能够连续、可靠、正常地运行。

117. 《中华人民共和国刑法》中关于计算机犯罪的规定有哪些条款请简单陈述各条款内容：刑法第285条:违反国家规定侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的处三年以下有期徒刑或拘役；刑法第286条:违反国家规定对计算机信息系统功能进行删除、修改、增加、干扰造成计算机信息系统不能正常运行后果严重的处五年以下有期徒刑或者拘役后果特别严重的处五年以上有期徒刑。

；刑法第287条:利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的依照本法有关规定定罪处罚。

118. 计算机信息系统是指由计算机及其相关的和配套的设备、设施构成的按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

119. TCB是指计算机信息系统可信计算基是计算机系统内保护装置的总体包括硬件、固件、软件和负责执行安全策略的组合体。

它建立了一个基本的保护环境并提供一个可实用文档
信计算系统所要求的附加用户服务。

120. 三级信息系统的恶意代码防范管理包括：
（1）、应提高所有用户的防病毒意识，及时告知防病毒软件版本，在读取移动存储设备上的数据以及网络上接收文件或邮件之前，先进行病毒检查，对外来计算机或存储设备接入网络系统之前也应进行病毒检查。

（2）、应指定专人对网络和主机进行恶意代码检测并保存检测记录。

（3）、应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定。

（4）、应定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录，对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理，并形成书面的报表和总结汇报。

121. 信息是指我们认为所谓信息Information“就是客观世界中各种事物的变化和特征的最新反映是客观事物之间联系的表征也是客观事物状态经过传递后的再现。

”122. 等级评测实施过程中可能存在的风险。

（1）、验证测试影响系统正常运行；（2）、工具测试影响凶正常运行；（3）、敏感信息泄漏；
123. 定级工作的主要步骤是：
（1）、第一步：开展摸底调查
（2）、第二步：确定定级对象
（3）、第三步：初步确定信息系统等级
实用文档
（4）、第四步：信息系统等级评审
（5）、第五步：信息系统等级的最终确定和审批
（6）、第六步：备案
（7）、第七步：备案审核
（8）、第八步：及时总结并提交总结报告
124. 我国的立法程序四大步骤：法律方案提出、法律草案的审议、法律草案的表决、通过法律的公布。

125. 计算机犯罪是指行为人利用计算机实施危害计算机信息系统安全和其他严重危害社会的犯罪行为。

126. 风险管理的主要工作：主动寻找系统的脆弱点识别出威胁采取有效的主动防御当威胁出现或受到攻击后对系统所遭受的损失及时进行评估制定防范措施避免风险再次发生研究制定风险应对策略从容应对各种可能发生的风险。

127. 等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

128. 等级保护划分的五个等级是：
第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

实用文档
第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

129. 办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应当同时提供以下材料：
（一）系统拓扑结构及说明；
（二）系统安全组织机构和管理制度；
（三）系统安全保护设施设计实施方案或者改建实施方案；
（四）系统使用的信息安全产品清单及其认证、销售许可证明；
（五）测评后符合系统安全保护等级的技术检测评估报告；
（六）信息系统安全保护等级专家评审意见；
（七）主管部门审核批准信息系统安全保护等级的意见。

实用文档。