等级保护三级管理类测评

一、单选题1、下列不属于网络安全测试范畴的是（C）A．结构安全 B.便捷完整性检查 C.剩余信息保护 D.网络设备防护2、下列关于安全审计的内容说法中错误的是（D）A．应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录B．审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息C．应能够根据记录数据进行分析，并生成审计报表D．为了节约存储空间，审计记录可以随意删除、修改或覆盖3、在思科路由器中，为实现超时10分钟后自动断开连接，实现的命令应为下列哪一个（A）A．exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0104、用于发现攻击目标（A）A.ping扫描B.操作系统扫描C.端口扫描D.漏洞扫描ping扫描：用于发现攻击目标操作系统识别扫描：对目标主机运行的操作系统进行识别端口扫描：用于查看攻击目标处于监听或运行状态的。

5、路由器工作在（C）A.应用层B.链接层C.网络层D.传输层6、防火墙通过____控制来阻塞邮件附件中的病毒。

（A）A.数据控制B.连接控制C.ACL控制D.协议控制7、与10.110.12.29 mask 255.255.255.224属于同一网段的主机IP地址是（B）A.10.110.12.0B.10.110.12.30C.10.110.12.31D.10.110.12.328、查看路由器上所有保存在flash中的配置数据应在特权模式下输入命令：（A）A.show running-configB.show buffersC. show starup-configD.show memory9、路由器命令“Router（config）#access-list 1 permit 192.168.1.1”的含义是：（B）A．不允许源地址为192.168.1.1的分组通过，如果分组不匹配，则结束B．允许源地址为192.168.1.1的分组通过，如果分组不匹配，则结束C．不允许目的地址为192.168.1.1的分组通过，如果分组不匹配，则结束D．允许目的地址为192.168.1.1的分组通过，如果分组不匹配，则检查下一条语句。

一、等级保护测评方案（一）测评范围与方法《基本要求》中对不同等级信息系统的安全功能和措施作出具体要求，信息安全等级测评要根据信息系统的等级从中选取相应等级的安全测评指标，并根据《测评要求》的要求，对信息系统实施安全现状测评。

因此，本次测评将根据信息系统的等级选取相应级别的测评指标。

1.测评指标三级基本指标依据定级结果，甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的3级通用指标类（G3），3级业务信息安全性指标类（S3）和3级业务服务保证类（A3）。

所包括的安全控制指标类型情况具体如下表：系统测评指标统计列表二级基本指标依据定级结果，甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的2级通用指标类（G2），2级业务信息安全性指标类（S2）和2级业务服务保证类（A2）。

所包括的安全控制指标类型情况具体如下表特殊指标无。

（二）测评对象1.测评对象选择方法测评对象包括网络互联与安全设备操作系统、应用软件系统、主机操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档。

选择过程中综合考虑了信息系统的安全保护等级、业务应用特点和对象所在具体设备的重要情况等要素，并兼顾了工作投入与结果产出两者的平衡关系。

2.测评对象选择结果2.1.物理机房测评对象-物理机房列表2.2.网络设备测评对象-网络设备列表3.安全设备测评对象-安全设备列表4.服务器或存储设备测评对象-服务器或存储设备列表5.终端或现场设备测评对象-终端或现场设备列表6.系统管理软件或平台测评对象-系统管理软件或平台列表7.业务应用系统或平台测评对象-业务应用系统或平台列表8.关键数据类型测评对象-关键数据类型列表测评对象-数据类型列表9.安全相关人员测评对象-安全相关人员列表10.安全管理文档测评对象-安全管理文档列表（三）测评方法本次等级测评现场实施过程中将综合采用访谈、检查和测试等测评方法。

1.访谈访谈是指测评人员通过与被测系统有关人员（个人/群体）进行交流、询问等活动，获取证据以证明信息系统安全保护措施是否有效的一类方法。

三级等保测评具体标准
三级等保测评的具体标准包括以下几个方面：
1. 安全物理环境：包括机房和场地的选择、建筑安全、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电等方面。

2. 安全通信网络：包括网络架构、通信传输、可信设备、边界安全防护等方面。

3. 安全区域边界：包括区域隔离和访问控制、入侵防范、恶意代码和垃圾邮件防范等方面。

4. 安全计算环境：包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等方面。

5. 安全管理中心：包括安全集中管理、安全审计管理、配置管理等方面。

此外，三级等保测评还要求建立完善的安全管理制度，包括安全事件处置、应急预案、安全审计等。

同时，应配备足够的安全管理专业人员，负责网络安全管理、安全监测、安全审计等工作。

以上信息仅供参考，如需获取更多详细信息，建议咨询网络安全专业人士。

等级保护测评考试（简答题部分）应用：1、基本要求中，在应用安全层面的访问控制要求中，三级系统较二级系统增加的措施有哪些？答：三级比二级增加的要求项有：应提供对重要信息资源设置敏感标记的功能；应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。

2、在应用安全测评中，如何理解安全审计的“a）应该覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计”？主机：1、在主机测评前期调研活动中，收集信息的内容（至少写出六项）？在选择主机测评对象时应该注意哪些要点？（10分）答：至少需要收集服务器主机的设备名称、型号、操作系统、IP地址、安装的应用软件情况、主要的业务情况、重要程度、是否热备等信息。

测评对象选择时应该注意重要性、代表性、完整性、安全性、共享性五大原则。

2、主机常见评测的问题？答：①检测用户的安全防范意识，检查主机的管理文档。

②网络服务的配置。

③安装有漏洞的软件包。

④缺省配置。

⑤不打补丁或补丁不全。

⑥网络安全敏感信息的泄露。

7缺乏安全防范体系。

⑧信息资产不明，缺乏分类的处理。

⑨安全管理信息单一，缺乏单一的分析和管理平台。

3、数据库常见威胁有哪些？针对于工具测试需要注意哪些内容？答：①非授权访问、特权提升、SQL注入针对漏洞进行攻击、绕过访问控制进行非授权访问等。

②工具测试接入测试设备之前，首先要有被测系统人员确定测试条件是否具备。

测试条件包括被测网络设备、主机、安全设备等是否都在正常运行，测试时间段是否为可测试时间段等等。

接入系统的设备、工具和IP地址等配置要经过被测系统相关人员确认。

对于测试过程可能造成的对目标系统的网络流量及主机性能等方面的影响，要事先告知被测系统相关人员对于测试过程中的关键步骤、重要证据要及时利用抓图工具取证。

对于测试过程中出现的异常情况要及时记录，需要被测方人员确认被测系统状态正常并签字后离场。

4、主机按照其规模或系统功能来区分为哪些类？主机安全在测评时会遇到哪些类型操作系统？网络安全三级信息系统的安全子类是什么？三级网络安全的安全审计的内容是什么？答：①巨型、大型、中型、小型、微型计算机和单片机。

等级保护测评一般流程
1.测评目标设定：首先，确定测评的目标和目的。

这可以是为了选拔人才、评估培训效果、制定薪酬政策等等。

2.测评设计：然后，根据目标设定，设计测评的内容和形式。

这包括确定测评项目的类型（如问卷调查、笔试、面试等）、时间安排、注意事项等。

3.测评工具选择：根据测评目标和设计，选择适合的测评工具。

这可能包括已有的标准化测评工具，或者根据特定需求定制的测评工具。

4.测评实施：在确定测评工具后，开始实施测评。

根据测评项目的类型，可能需要组织调查、安排笔试、进行面试等。

确保测评的过程中公正客观，遵循相应的指导原则和流程。

5.数据收集与分析：在测评实施完毕后，收集测评的数据。

这可能包括问卷、答卷、面试记录等。

然后，对数据进行分析，根据设定的等级标准，将个体归类为不同的等级。

6.等级划定与反馈：一旦数据分析完毕，根据设定的等级标准，划定个体的等级。

然后，向个体提供测评反馈，解释其等级划定的理由，并提供改进建议。

7.结果应用：最后，利用测评结果进行相应的人力资源管理决策。

这可能包括选拔、晋升、培训计划等。

确保测评结果的合理运用，有效提升组织绩效。

需要注意的是，等级保护测评的流程可能会根据不同的目标和需求而有所变化。

此外，测评过程中应该确保所选用的测评工具具有良好的信度
和效度，以保证测评结果的准确性和可靠性。

同时还需要遵守相关的法律法规，保护被测评个体的权益。

等级保护测评考试（简答题部分）应用：1、基本要求中，在应用安全层面的访问控制要求中，三级系统较二级系统增加的措施有哪些？答：三级比二级增加的要求项有：应提供对重要信息资源设置敏感标记的功能；应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。

2、在应用安全测评中，如何理解安全审计的“a）应该覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计”？主机：1、在主机测评前期调研活动中，收集信息的内容（至少写出六项）？在选择主机测评对象时应该注意哪些要点？（10分）答：至少需要收集服务器主机的设备名称、型号、操作系统、IP地址、安装的应用软件情况、主要的业务情况、重要程度、是否热备等信息。

测评对象选择时应该注意重要性、代表性、完整性、安全性、共享性五大原则。

2、主机常见评测的问题？答：①检测用户的安全防范意识，检查主机的管理文档。

②网络服务的配置。

③安装有漏洞的软件包。

④缺省配置。

⑤不打补丁或补丁不全。

⑥网络安全敏感信息的泄露。

7缺乏安全防范体系。

⑧信息资产不明，缺乏分类的处理。

⑨安全管理信息单一，缺乏单一的分析和管理平台。

3、数据库常见威胁有哪些？针对于工具测试需要注意哪些内容？答：①非授权访问、特权提升、SQL注入针对漏洞进行攻击、绕过访问控制进行非授权访问等。

②工具测试接入测试设备之前，首先要有被测系统人员确定测试条件是否具备。

测试条件包括被测网络设备、主机、安全设备等是否都在正常运行，测试时间段是否为可测试时间段等等。

接入系统的设备、工具和IP地址等配置要经过被测系统相关人员确认。

对于测试过程可能造成的对目标系统的网络流量及主机性能等方面的影响，要事先告知被测系统相关人员对于测试过程中的关键步骤、重要证据要及时利用抓图工具取证。

对于测试过程中出现的异常情况要及时记录，需要被测方人员确认被测系统状态正常并签字后离场。

4、主机按照其规模或系统功能来区分为哪些类？主机安全在测评时会遇到哪些类型操作系统？网络安全三级信息系统的安全子类是什么？三级网络安全的安全审计的内容是什么？答：①巨型、大型、中型、小型、微型计算机和单片机。

信息系统安全等级保护测评表单-三级技术类
d) 应检查主要设备是否放置在机房内或其它不易被盗窃和破坏的可控范围
内；检查主要设备或设备的主要部件的固定情况，查看其是否不易被移动
c) 应访谈资产管理员，介质是否进行了分类标识管理，介质是否存放在介象，机房及其环境是否不存在明显的漏水和返潮的威胁；如果出现漏水、
渗透和返潮现象，则查看是否能够及时修复解决；
7.1.1物理安全
潮
护措施；b) 应检查机房设备外壳是否有安全接地；
电磁防护7.1.1.6。

信息系统安全等级保护测评表单-三级技术类
控制敏感标记是否以默认方式生成或由安全员建立、维护和管理；
g) 应检查主要应用系统，查看是否依据安全策略严格控制用户对有敏感标
应用系统和数据
信息保护d) 应测试主要应用系统，用某用户登录系统并进行操作后，在该用户退出后用另一用户登录，试图操作（读取、修改或删除等）其他用户产生的文件、目录和数据库记录等资源，查看操作是否成功，验证系统提供的剩余
7.1.4应用安全所需的最小权限，特权用户的权限是否分离，权限之间是否相互制约；
施有哪些；
b) 应检查主要应用系统，查看是否限制单个帐户的多重并发会话；系统是
.4
c) 应检查设计/验收文档，查看其是否有关于释放或重新分配系统内文件
保密性业务数据是否采用加密或其他有效措施实现传输保密性，是否采用加密或其他有效措施实现存储保密性；
e) 应检查主要主机操作系统、主要网络设备操作系统、主要数据库管理系统和主要应用系统，查看其管理数据、鉴别信息和重要业务数据是否采用加密或其他有效措施实现传输和存储保密性；
息和重要业务数据是否采用加密或其他有效措施实现传输保密性，是否采.2。

信息安全等级保护三级系统测评标准好的，以下是为您生成的一篇关于【信息安全等级保护三级系统测评标准】的文章：---# 信息安全等级保护三级系统测评标准## 前言嘿，朋友们！在当今这个数字化的时代，信息就像我们生活中的宝贝一样重要。

不管是企业的商业机密，还是咱们个人的隐私信息，都得好好保护起来。

那要怎么保护呢？这就有了信息安全等级保护三级系统测评标准。

这个标准啊，就像是给我们的信息穿上了一层坚固的铠甲，让那些可能的威胁和风险都没法轻易靠近。

今天咱们就来好好聊聊这个标准，弄清楚它到底是怎么保护咱们的信息安全的！## 适用范围这个信息安全等级保护三级系统测评标准适用的场景那可多了去了。

比如说，像银行、证券、保险这些金融机构的重要业务系统，还有政府部门的关键信息系统，比如税务、社保啥的。

说白了，只要是那些涉及到大量敏感信息、对社会或经济运行有着重要影响的信息系统，都得按照这个标准来进行保护。

给您举个例子，一家大型电商平台，它有成千上万的用户信息，包括姓名、地址、银行卡号等等。

如果这些信息泄露了，那后果不堪设想。

所以，这样的系统就必须得符合信息安全等级保护三级系统的测评标准，从技术到管理，全方位保障用户信息的安全。

再比如，一家医院的电子病历系统，里面有患者的各种诊疗信息，这也是极其敏感和重要的数据，同样得遵循这个标准来进行防护。

## 术语定义在了解这个标准之前，咱们先得弄清楚几个关键的术语。

**信息系统**：你可以想象成是一个专门处理和存储信息的“大盒子”，它有各种软件、硬件、网络啥的，共同完成信息的收集、处理、存储和传输。

**等级保护**：这就像是给信息系统划分“等级”，根据重要程度和受到威胁后的影响程度来分，不同等级有不同的保护要求，咱们说的三级就是比较重要的一个等级。

**安全测评**：简单来说，就是对信息系统的安全性进行“检查”，看看它是不是符合规定的标准和要求。

## 正文### 一、物理安全1. 物理位置的选择- 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。

安全管理人员1人员录用1.1应指定或授权专门的部门或人员负责人员录用1.1.1对象选择被测单位信息/网络安全主管，以及人员录用的制度类文档和记录表单类文档。

1.1.2实施要点1)应访谈被测单位信息/网络安全主管，了解部门人员招聘、录用的流程。

为保证人员录用过程的规范，应明确专门的部门或人员负责。

2)应核查人员录用相关制度类文档，是否明确体现人员录用过程的相关人员职责，以及录用的流程等内容。

3)应核查在岗信息/网络安全部门员工合同，以及招聘、录用的相关材料，无论是长期聘用的员工还是合同员工、临时员工。

4)员工的聘用合同中，是否明确说明员工在网络安全方面应遵守的规定和应承担的安全责任，并在员工的聘用期内实施监督机制。

1.2应对被录用人员的身份，安全背景，专业资格或资质等进行审查，对其所具有的技术技能进行考核1.2.1对象选择被测单位信息/网络安全主管，负责人力资源管理相关人员，以及人员录用的制度类文档和记录表单类文档。

1.2.2实施要点1)应核查人员录用相关制度类文档，是否明确体现人员录用身份、安全背景、专业资格或资质审查的要求；2)应核查人员录用时对录用人身份、背景、专业资格和审查的相关记录表单类文档。

3)应核查人员录用时的技能考核文档或记录，考核是否形成记录并保留。

1.3应与被录用人员签署保密协议，与关键岗位人员签署岗位责任协议1.3.1对象选择被测单位人员招聘、录用工作的负责人，人员录用的制度类文档和记录表单类文档。

1.3.2实施要点1）应访谈被测单位人员招聘、录用工作负责人，了解人员招聘和录用的流程。

2）应检查人员招聘、录用相关制度类文档，是否明确体现人员在录用前与组织签署保密协议、关键岗位人员签署岗位责任协议等安全要求。

3）应抽查被测单位录用人员的保密协议，是否明确体现员工的保密范围、保密责任、违约责任、协议的有效期限和责任人签字等。

4）抽查关键岗位（如部门负责人、系统管理员或数据库管理员等涉及组织重要敏感信息的岗位）安全协议，关键岗位安全协议是否明确体现该岗位的安全职责、协议有效期限和责任人签字等内容。

信息系统安全等级测评报告模板项目名称：委托单位：测评单位：年月日报告摘要一、测评工作概述概要描述被测信息系统的基本情况（可参考信息系统安全等级保护备案表），包括但不限于：系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。

（见附件：信息系统安全等级保护备案表）描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程，包括投入测评人员与设备情况、完成的具体工作容统计（涉及的测评分类与项目数量，检查的网络互联与安全设备、主机、应用系统、管理文档数量，访谈人员次数）。

二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计（测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果）；通过对信息系统基本安全保护状态的分析给出等级测评结论（结论为达标、基本达标、不达标）。

三、系统存在的主要问题依据6.3章节的分析结果，列出被测信息系统中存在的主要问题以及可能造成的后果（如，未部署DDos防御措施，易遭受DDos攻击，导致系统无法提供正常服务）。

四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议，是对第七章容的提炼和简要描述。

报告基本信息声明声明是测评单位对于测评报告容以及用途等有关事项做出的约定性述，包含但不限于以下容：本报告中给出的结论仅对目标系统的当时状况有效，当测评工作完成后系统出现任何变更，涉及到的模块（或子系统）都应重新进行测评，本报告不再适用。

本报告中给出的结论不能作为对系统相关产品的测评结论。

本报告结论的有效性建立在用户提供材料的真实性基础上。

在任何情况下，若需引用本报告中的结果或数据都应保持其本来的意义，不得擅自进行增加、修改、伪造或掩盖事实。

测评单位机构名称年月报告目录1测评项目概述 (1)1.1测评目的 (1)1.2测评依据 (1)1.3测评过程 (1)1.4报告分发围 (2)2被测系统情况 (3)2.1基本信息 (3)2.2业务应用 (4)2.3网络结构 (4)2.4系统构成 (4)2.4.1业务应用软件 (4)2.4.2关键数据类别 (4)2.4.3主机/存储设备 (5)2.4.4网络互联与安全设备 (5)2.4.5安全相关人员 (5)2.4.6安全管理文档 (6)2.5安全环境 (6)3等级测评围与方法 (7)3.1测评指标 (7)3.1.1基本指标 (7)3.1.2附加指标 (9)3.2测评对象 (9)3.2.1选择方法 (9)3.2.2选择结果 (9)3.3测评方法 (11)3.3.1现场测评方法 (11)3.3.2风险分析方法 (11)4等级测评容 (12)4.1物理安全 (12)4.1.1结果记录 (12)4.1.2问题分析 (12)4.1.3单元测评结果 (12)4.2网络安全 (12)4.2.1结果记录 (12)4.2.2问题分析 (14)4.2.3单元测评结果 (14)4.3主机安全 (14)4.3.1结果记录 (14)4.3.2问题分析 (15)4.3.3单元测评结果 (15)4.4应用安全 (15)4.4.1结果记录 (15)4.4.2问题分析 (15)4.4.3单元测评结果 (15)4.5数据安全及备份恢复 (15)4.5.1结果记录 (15)4.5.2问题分析 (15)4.5.3单元测评结果 (15)4.6安全管理制度 (15)4.6.1结果记录 (15)4.6.2问题分析 (16)4.6.3单元测评结果 (16)4.7安全管理机构 (16)4.7.1结果记录 (16)4.7.2问题分析 (16)4.7.3单元测评结果 (16)4.8人员安全管理 (16)4.8.1结果记录 (16)4.8.2问题分析 (16)4.8.3单元测评结果 (16)4.9系统建设管理 (16)4.9.1结果记录 (16)4.9.2问题分析 (17)4.9.3单元测评结果 (17)4.10系统运维管理 (17)4.10.1结果记录 (17)4.10.2问题分析 (17)4.10.3单元测评结果 (17)4.11工具测试 (17)4.11.1结果记录 (17)4.11.2问题分析 (17)5等级测评结果 (17)5.1整体测评 (17)5.1.1安全控制间安全测评 (17)5.1.2层面间安全测评 (18)5.1.3区域间安全测评 (18)5.1.4系统结构安全测评 (18)5.2测评结果 (18)5.3统计图表 (22)6风险分析和评价 (22)6.1安全事件可能性分析 (22)6.2安全事件后果分析 (23)6.3风险分析和评价 (23)7系统安全建设、整改建议 (25)7.1物理安全 (25)7.2网络安全 (25)7.3主机安全 (25)7.4应用安全 (25)7.5数据安全及备份恢复 (25)7.6安全管理制度 (25)7.7安全管理机构 (26)7.8人员安全管理 (26)7.9系统建设管理 (26)7.10系统运维管理 (26)附：信息系统安全等级保护备案表... ...1测评项目概述1.1测评目的描述信息系统的重要性：通过描述信息系统的基本情况，包括运营使用单位的性质，承载的主要业务和系统服务情况，进一步阐明其在国家安全、经济建设、社会生活中的重要程度，受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。