信息安全等级保护技术培训
信息安全等级保护培训试题集
信息安全等级保护培训试题集一、法律法规一、单选题1.根据信息安全等级保护管理办法,A负责信息安全等级保护工作的监督、检查、指导;A.公安机关B.国家保密工作部门C.国家密码管理部门2.根据信息安全等级保护管理办法,D应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作;A.公安机关B.国家保密工作部门C.国家密码管理部门D.信息系统的主管部门3.计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定;B A.经济价值经济损失B.重要程度危害程度C.经济价值危害程度D.重要程度经济损失4.对拟确定为D以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审;A.第一级B.第二级C.第三级D.第四级5.一般来说,二级信息系统,适用于DA.乡镇所属信息系统、县级某些单位中不重要的信息系统;小型个体、私营企业中的信息系统;中小学中的信息系统;B.适用于地市级以上国家机关、企业、事业单位内部重要的信息系统;重要领域、重要部门跨省、跨市或全国省联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官方网站;跨省市联接的信息网络等;C.适用于重要领域、重要部门三级信息系统中的部分重要系统;例如全国铁路、民航、电力等调度系统,银行、证券、保险、税务、海关等部门中的核心系统;D.地市级以上国家机关、企业、事业单位内部一般的信息系统;例如小的局域网,非涉及秘密、敏感信息的办公系统等;6.信息系统建设完成后,A的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用;A.二级以上B.三级以上C.四级以上D.五级以上7.安全测评报告由D报地级以上市公安机关公共信息网络安全监察部门;A.安全服务机构B.县级公安机关公共信息网络安全监察部门C.测评机构D.计算机信息系统运营、使用单位8.新建信息系统,应当在投入运行后 ,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续;DA.第一级以上30日内B.第二级以上60日内C.第一级以上60日内D.第二级以上30日内9.根据广东省计算机信息系统安全保护条例规定,计算机信息系统的运营、使用单位没有向地级市以上人民政府公安机关备案的,由公安机关处以D A.警告B.拘留15日C.罚款1500元D.警告或者停机整顿二、多选题1.根据关于信息安全等级保护的实施意见,信息系统安全等级保护应当遵循什么原则ABCDA.明确责任,共同保护B.依照标准,自行保护C.同步建设,动态调整D.指导监督,保护重点2.根据信息安全等级保护管理办法,关于信息系统安全保护等级的划分,下列表述正确的是ABCDE;A.第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益B.第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全C.第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害D.第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害E.第五级,信息系统受到破坏后,会对国家安全造成特别严重损害3.根据广东省计算机信息系统安全保护条例,计算机信息系统ABCD应当同步落实相应的安全措施;A.规划B.设计C.建设D.维护4.经测评,计算机信息系统安全状况未达到国家有关规定和标准的要求的,ABA.委托单位应当根据测评报告的建议,完善计算机信息系统安全建设B.重新提出安全测评委托C.另行委托其他测评机构进行测评D.自行进行安全测评5.根据广东省信息安全等级测评工作细则,关于测评和自查工作,以下表述正确的是ABCD;A.第三级计算机信息系统应当每年至少进行一次安全自查和安全测评B.第四级计算机信息系统应当每半年至少进行一次安全自查和安全测评C.第五级计算机信息系统应当依据特殊安全要求进行安全自查和安全测评D.自查报告连同测评报告应当由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门6.根据广东省公安厅关于计算机信息系统安全保护的实施办法,关于公安机关的进行安全检查的要求,下列表述正确的是ABCD;A.对第三级计算机信息系统每年至少检查一次B.对第四级计算机信息系统每半年至少检查一次C.对第五级计算机信息系统,应当会同国家指定的专门部门进行检查D.对其他计算机信息系统应当不定期开展检查7.根据广东省计算机信息系统安全保护条例,计算机信息系统的运营、使用单位接到公安机关要求整改的通知后拒不按要求整改的,由公安机关处以CD;A.罚款5000元B.拘留15日C.警告D.停机整顿8.根据广东省计算机信息系统安全保护条例规定,第二级以上计算机信息系统的运营、使用单位计算机信息系统投入使用前未经符合国家规定的安全等级测评机构测评合格的 ,由公安机关ABCDE;A.责令限期改正,给予警告B.逾期不改的,对单位的主管人员、其他直接责任人员可以处五千元以下罚款,对单位可以处一万五千元以下罚款C.有违法所得的,没收违法所得D.情节严重的,并给予六个月以内的停止联网、停机整顿的处罚E.必要时公安机关可以建议原许可机构撤销许可或者取消联网资格9.根据广东省公安厅关于计算机信息系统安全保护的实施办法,信息安全等级测评机构申请备案ABA.一般应当向地级以上市公安机关公共信息网络安全监察部门提出申请B.承担省直和中央驻粤单位信息安全等级测评工作的机构,直接向省公安厅公共信息网络安全监察部门提出申请C.一般应当向公安部公共信息网络安全监察部门提出申请D.一般应当向县级以上市公安机关公共信息网络安全监察部门提出申请10.根据信息安全等级保护管理办法,安全保护等级为第三级以上的计算机信息系统应当选用符合下列条件的安全专用产品:ABCDEA.产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格B.产品的核心技术、关键部件具有我国自主知识产权C.产品研制、生产单位及其主要业务、技术人员无犯罪记录D.产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能E.对国家安全、社会秩序、公共利益不构成危害三、判断题1.根据信息安全等级保护管理办法,第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查;×2.根据信息安全等级保护管理办法,国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导√3.根据信息安全等级保护管理办法,信息系统的运营、使用单位应当根据本办法和有关标准,确定信息系统的安全保护等级并报公安机关审核批准;×4.根据信息安全等级保护管理办法,信息系统的运营、使用单位应当根据已确定的安全保护等级,依照本办法和有关技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,进行信息系统建设;√5.根据信息安全等级保护管理办法,第十五条已运营运行的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续√6.根据信息安全等级保护管理办法,公安机关应当掌握信息系统运营、使用单位的备案情况,发现不符合本办法及有关标准的,应建议其予以纠正;×7.根据信息安全等级保护管理办法,公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知√8.信息系统运营、使用单位应当依照相关规定和标准和行业指导意见自主确定信息系统的安全保护等级;即使有主管部门的,也不必经主管部门审核批准;×二、实施指南一、单选题:1.1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 — 1999,提出将信息系统的安全等级划分为______个等级,并提出每个级别的安全功能要求;A.7B.8C.6D.52.等级保护标准GB 17859主要是参考了______而提出;A.欧洲ITSECB.美国TCSECD.BS 77993.信息安全等级保护的5个级别中,______是最高级别,属于关系到国计民生的最关键信息系统的保护;A.强制保护级B.专控保护级C.监督保护级D.指导保护级E.自主保护级4.信息系统安全等级保护实施指南将______作为实施等级保护的第一项重要内容;A.安全定级B.安全评估C.安全规划D.安全实施5.______是进行等级确定和等级保护管理的最终对象;A.业务系统B.功能模块C.信息系统D.网络系统6.当信息系统中包含多个业务子系统时,对每个业务子系统进行安全等级确定,最终信息系统的安全等级应当由______所确定;A.业务子系统的安全等级平均值B.业务子系统的最高安全等级C.业务子系统的最低安全等级D.以上说法都错误7.关于资产价值的评估,______说法是正确的;A.资产的价值指采购费用B.资产的价值无法估计C.资产价值的定量评估要比定性评估简单容易D.资产的价值与其重要性密切相关8.安全威胁是产生安全事件的______;A.内因B.外因C.根本原因D.不相关因素9.安全脆弱性是产生安全事件的______;A.内因B.外因C.根本原因D.不相关因素10.下列关于用户口令说法错误的是______;A.口令不能设置为空B.口令长度越长,安全性越高C.复杂口令安全性足够高,不需要定期修改D.口令认证是最常见的认证机制11.如果一个信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对社会秩序和公共利益造成一定损害,但不损害国家安全;本级系统依照国家管理规范和技术标准进行自主保护,必要时,信息安全监管职能部门对其进行指导;那么该信息系统属于等级保护中的______;A.强制保护级B.监督保护级C.指导保护级D.自主保护级12.如果一个信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益;本级系统依照国家管理规范和技术标准进行自主保护;那么其在等级保护中属于______;A.强制保护级B.监督保护级C.指导保护级D.自主保护级13.如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成较大损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查;这应当属于等级保护的______;A.强制保护级B.监督保护级C.指导保护级D.自主保护级14.如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查;这应当属于等级保护的______;A.强制保护级B.监督保护级C.指导保护级D.自主保护级15.如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害;本级系统依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督、检查;这应当属于等级保护的______;A.专控保护级B.监督保护级C.指导保护级D.自主保护级16.在安全评估过程中,采取______手段,可以模拟黑客入侵过程,检测系统安全脆弱性;A.问卷调查B.人员访谈C.渗透性测试D.手工检查17.在需要保护的信息资产中,______是最重要的;A.环境B.硬件C.数据D.软件18.GB 17859与目前等级保护所规定的安全等级的含义不同,GB 17859中等级划分为现在的等级保护奠定了基础;A.正确B.错误19.虽然在安全评估过程中采取定量评估能获得准确的分析结果,但是由于参数确定较为困难,往往实际评估多采取定性评估,或者定性和定量评估相结合的方法;A.正确B.错误20.定性安全风险评估结果中,级别较高的安全风险应当优先采取控制措施予以应对;A.正确B.错误21.通常在风险评估的实践中,综合利用基线评估和详细评估的优点,将二者结合起来;A.正确B.错误22.脆弱性分析技术,也被通俗地称为漏洞扫描技术;该技术是检测远程或本地系统安全脆弱性的一种安全技术;A.正确B.错误23.信息系统安全等级保护实施的基本过程包括系统定级、、安全实施、安全运维、系统终止;A.风险评估B.安全规划C.安全加固D.安全应急24.安全规划设计基本过程包括、安全总体设计、安全建设规划;A.项目调研B.概要设计C.需求分析D.产品设计25.信息系统安全实施阶段的主要活动包括、等级保护管理实施、等级保护技术实施、等级保护安全测评;A.安全方案详细设计B.系统定级核定C.安全需求分析D.产品设计26.安全运维阶段的主要活动包括运行管理和控制、变更管理和控制、安全状态监控、、安全检查和持续改进、监督检查;A.安全事件处置和应急预案B.安全服务C.网络评估D.安全加固27.简述等级保护实施过程的基本原则包括, ,同步建设原则,重点保护原则,适当调整原则;A.自主保护原则B.整体保护原则C.一致性原则D.稳定性原则二、多选题:28.计算机信息网络国际联网安全保护管理办法规定,任何单位和个人不得从事下列危害计算机信息网络安全的活动:______;A.故意制作、传播计算机病毒等破坏性程序的B.未经允许,对计算机信息网络功能进行删除、修改或者增加的C.未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的D.未经允许,进入计算机信息网络或者使用计算机信息网络资源的29.我国信息安全等级保护的内容包括______;A.对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护B.对信息系统中使用的信息安全产品实行按等级管理C.对信息安全从业人员实行按等级管理D.对信息系统中发生的信息安全事件按照等级进行响应和处置E.对信息安全违反行为实行按等级惩处30.目前,我国在对信息系统进行安全等级保护时,划分了5个级别,包括______;A.专控保护级B.强制保护级C.监督保护级D.指导保护级E.自主保护级答案三、定级指南1、根据等级保护相关管理文件,信息系统的安全保护等级分为几个级别:cA.3B.4C.5D.62、等级保护对象受到破坏时所侵害的客体包括的三个方面为:a b c A.公民、法人和其他组织的合法权益B. 社会秩序、公共利益C. 国家安全D. 个人利益3、等级保护对象受到破坏后对客体造成侵害的程度归结为哪三种b c dA. 造成轻微损害B. 造成一般损害C. 造成严重损害D. 造成特别严重损害4、根据定级指南,信息系统安全包括哪两个方面的安全:a bA、业务信息安全B、系统服务安全C、系统运维安全D、系统建设安全5、作为定级对象的信息系统应具有如下基本特征:a b cA、具有唯一确定的安全责任单位B、具有信息系统的基本要素C、承载单一或相对独立的业务应用D、单位具有独立的法人6、以下哪一项不属于侵害国家安全的事项dA、影响国家政权稳固和国防实力B、影响国家统一、民族团结和社会安定C、影响国家对外活动中的政治、经济利益D、影响各种类型的经济活动秩序7、以下哪一项不属于侵害社会秩序的事项aA、影响国家经济竞争力和科技实力B、影响各种类型的经济活动秩序C、影响各行业的科研、生产秩序D、影响公众在法律约束和道德规范下的正常生活秩序等8、以下哪一项不属于影响公共利益的事项dA、影响社会成员使用公共设施B、影响社会成员获取公开信息资源C、影响社会成员接受公共服务等方面D、影响国家重要的安全保卫工作9、信息安全和系统服务安全受到破坏后,可能产生以下危害后果a b c dA、影响行使工作职能B.导致业务能力下降C.引起法律纠纷D.导致财产损失10、进行等级保护定义的最后一个环节是:bA、信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较低者决定B、信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定C、信息系统的安全保护等级由业务信息安全保护等级决定D、信息系统的安全保护等级由系统服务安全保护等级决定11、信息安全等级保护工作直接作用的具体的信息和信息系统称为cA、客体B、客观方面C、等级保护对象D、系统服务12、受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益,称为aA、客体B、客观方面C、等级保护对象D、系统服务13、对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等,称为bA、客体B、客观方面C、等级保护对象D、系统服务14、信息系统为支撑其所承载业务而提供的程序化过程,称为dA、客体B、客观方面C、等级保护对象D、系统服务15、信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害,在等保定义中应定义为第几级dA、第一级B、第二级C、第三级D、第四级E、第五级16、信息系统受到破坏后,会对国家安全造成特别严重损害,在等保定义中应定义为第几级eA、第一级B、第二级C、第三级D、第四级E、第五级17、信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益,在等保定义中应定义为第几级aA、第一级B、第二级C、第三级D、第四级E、第五级18、信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全,在等保定义中应定义为第几级bA、第一级B、第二级C、第三级D、第四级E、第五级19、信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,在等保定义中应定义为第几级cA、第一级B、第二级C、第三级D、第四级E、第五级20、对公民、法人和其他组织的合法权益造成一般损害,定义为几级aA、第一级B、第二级C、第三级D、第四级E、第五级21、对公民、法人和其他组织的合法权益造成特别严重损害,定义为几级bA、第一级B、第二级C、第三级D、第四级E、第五级22、对社会秩序、公共利益造成一般损害,定义为几级bA、第一级B、第二级C、第三级D、第四级E、第五级23、对社会秩序、公共利益造成特别严重损害,定义为几级dA、第一级B、第二级C、第三级D、第四级E、第五级24、对国家安全造成一般损害,定义为几级cA、第一级B、第二级C、第三级D、第四级E、第五级25、对国家安全造成特别严重损害,定义为几级eA、第一级B、第二级C、第三级D、第四级E、第五级26、从业务信息安全角度反映的信息系统安全保护等级称dA、安全等级保护B、信息系统等级保护C、系统服务安全保护等级D、业务信息安全保护等级27、从系统服务安全角度反映的信息系统安全保护等级称cA、安全等级保护B、信息系统等级保护C、系统服务安全保护等级D、业务信息安全保护等级28、一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可采取什么样的定级措施aA、可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象B、作为一个信息系统来定级29、确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全aA、国家安全B、社会秩序或公众利益C、公民、法人和其他组织的合法权益30、在信息系统的运行过程中,安全保护等级是否需要随着信息系统所处理的信息和业务状态的变化进行适当的变更;aA、需要B、不需要四、基本要求一、选择题1、基本要求分为技术要求和管理要求,其中技术要求包括物理安全、网络安全、主机系统安全、应用安全和A、整体安全B、数据安全C、操作系统安全D、数据库安全2、基本要求中管理要求中,下面那一个不是其中的内容A、安全管理机构B、安全管理制度C、人员安全管理D、病毒安全管理3、技术类安全要求按其保护的测重点不同,将依据三类控制点进行分类,其中S 类代表是业务信息安全类,A类代表是什么A、通用安全保护等级B、业务服务保证类应为系统服务保证类C、用户服务保证类D业务安全保证类4、物理层面安全要求包括物理位置、物理访问控制、防盗窃和防破坏等,其中不是物理安全范围的是什么A、防静电B、防火C、防水和防潮D、防攻击5、应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能是几级要求;A、一级B、二级C、三级D、四级6、网络安全主要关注的方面包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、等七个控制点;A、网络设备防护B、网络设备自身安全C、网络边界D、网络数据7、管理要求包括项应为基本要求包括多少类A、10B、11C、12D、138、测评准则和是对用户系统测评的依据测评准则现已被测评要求替代A、信息系统安全等级保护实施指南。
信息安全等级保护培训
八、定级工作完成后需要开展哪 些工作
一是开展安全建设和整改。 二是开展等级测评。 三是开展自查。
24
九、开展安全等级保护工作依据的主
要标准有哪些
1、基础标准-划分准则(GB17859) 2、基线标准- 《信息系统安全等级保护基本要求》 3、辅助标准-定级指南、实施指南、测评准则 4、目标标准- 《信息系统通用安全技术要求》(GB/T20271) 《网络基础安全技术要求》(GB/T20270) 《操作系统安全技术要求》(GB/T20272) 《数据库管理系统安全技术要求》(GB/T20273) 《终端计算机系统安全等级技术要求》(GA/T671) 《信息系统安全管理要求》(GB/T20269) 《信息系统安全工程管理要求》(GB/T20282) 5、产品标准-防火墙、入侵检测、终端设备隔离部件等
20
第六步,备案
第二级以上信息系统,在安全保护等级确定后 30日内,由其运营、使用单位到所在地设区的市级 以上公安机关办理备案手续。隶属于中央的在京单 位,其跨省或者全国统一联网运行并由主管部门统 一定级的信息系统,由主管部门向公安部办理备案 手续。跨省或者全国统一联网运行的信息系统在各 地运行、应用的分支系统,应当向当地设区的市级 以上公安机关备案。定级工作的结果是以备案完成 为标志。基础信息网络和重要信息系统的定级、备 案工作9月底前完成。
15
安全保护等级的划分
对相应客体的侵害程度
业务信息安全被破坏时所侵害的客
体
一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级 第二级 第二级
社会秩序、公共利益 国家安全
第二级 第三级
第三级 第四级 第四级 第五级
16
五级监管
信息系统安全等级保护培训课件(PPT 36页)
区域边界保护
保护计算环境
保护计算环境
实现集中安全管理
落实安全管理措施
三级系统安全管理措施
- 建立全面的安全管理制度,并安排专人负责并监控执行情况; - 建立全面的人员管理体系,制定严格的考核标准 - 建设过程的各项活动都要求进行制度化规范,按照制度要求进行 活动的开展 - 实现严格的保密性管理 - 成立安全运维小组,对安全维护的责任落实到具体的人 - 引入第三方专业安全服务
物理安 • 需要到物理机房实地检查,请提前申请进入机房的相关手续,并协调查看机房管理相关管理记录 全
网络安 • 需要登录网络设备、安全设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址,提供配置文件
全 主机安 • 需要登录相关主机设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址 全 应用安 • 请提供应用系统访问地址,以及访问该应用所需的网络地址,帐户名称、口令以及其它鉴别方式所需软硬件设备 全
分级保护系列标准规范
《涉及国家秘密的计算机信息系统分级保 护技术要求》BMB17-2006 《涉及国家秘密计算机信息系统安全保密 方案设计指南》 BMB23-2008 涉密信息系统安全保障建设 《涉及国家秘密计算机信息系统分级保护 指南 管理规范》BMB20-2007 《涉及国家秘密的信息系统分级保护测评 指南》BMB22—2007 《涉及国家秘密计算机信息系统分级保护 管理办法 》国家保密局16号
管理制 • 请提供安全管理制度电子档或纸质版本,以及相关记录文件
度
1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、勇猛、大胆和坚定的决心能够抵得上武器的精良。——达· 芬奇 4、与肝胆人共事,无字句处读书。——周恩来 5、一个人即使已登上顶峰,也仍要自强不息。——罗素· 贝克 6、一切节省,归根到底都归结为时间的节省。——马克思 7、自知之明是最难得的知识。——西班牙 8、勇气通往天堂,怯懦通往地狱。——塞内加 9、有时候读书是一种巧妙地避开思考的方法。——赫尔普斯 10、阅读一切好书如同和过去最杰出的人谈话。——笛卡儿 11、有勇气承担命运这才是英雄好汉。——黑塞 12、只有把抱怨环境的心情,化为上进的力量,才是成功的保证。——罗曼· 罗兰 13、知人者智,自知者明。胜人者有力,自胜者强。——老子 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。——歌德 15、最具挑战性的挑战莫过于提升自我。——迈克尔· F· 斯特利 16、业余生活要有意义,不要越轨。——华盛顿 17、意志是一个强壮的盲人,倚靠在明眼的跛子肩上。——叔本华 18、最大的挑战和突破在于用人,而用人最大的突破在于信任人。——马云 19、我这个人走得很慢,但是我从不后退。——亚伯拉罕· 林肯 20、要掌握书,莫被书掌握;要为生而读,莫为读而生。——布尔沃 21、要知道对好事的称颂过于夸大,也会招来人们的反感轻蔑和嫉妒。——培根 22、业精于勤,荒于嬉;行成于思,毁于随。——韩愈 23、最大的骄傲于最大的自卑都表示心灵的最软弱无力。——斯宾诺莎 24、知之者不如好之者,好之者不如乐之者。——孔子 25、学习是劳动,是充满思想的劳动。——乌申斯基 26、要使整个人生都过得舒适、愉快,这是不可能的,因为人类必须具备一种能应付逆境的态度。——卢梭 27、越是无能的人,越喜欢挑剔别人的错儿。——爱尔兰 28、意志命运往往背道而驰,决心到最后会全部推倒。——莎士比亚 29、越是没有本领的就越加自命不凡。——邓拓 30、阅读使人充实,会谈使人敏捷,写作使人精确。——培根
信息安全等级保护培训
信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以 及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护。
背景
随着信息化的发展,信息安全问题日益突出,等级保护制度应运而生,成为保 障国家信息安全的重要手段。
2024/1/30
4
等级保护的意义
01
02
03
保障信息安全
会话管理
对用户会话进行管理和控 制,包括会话超时、会话 中断等处理措施,确保会 话安全。
17
安全审计与监控
安全审计
记录和分析系统安全相关事件,如用 户登录、操作、资源访问等,以便事 后追踪和审计。
日志管理
对系统日志进行统一管理和存储,确 保日志的完整性和可用性,为安全审 计提供数据支持。
实时监控
对系统运行状态、网络流量、安全事 件等进行实时监控,及时发现和处理 潜在的安全威胁。
14
监督检查与持续改进
定期监督检查
持续改进
相关主管部门定期对已备案的信息系统进 行监督检查,确保其安全保护措施的有效 性。
针对监督检查中发现的问题和不足,及时 进行整改和改进,提高信息系统的安全防 护能力。
变更管理
应急响应
对于信息系统的重大变更,如业务调整、 技术升级等,应及时进行安全评估和调整 安全保护措施。
选择具有相应资质的测评机构进行等 级测评。
提交测评申请
向测评机构提交测评申请,并提供相 关材料,如定级报告、安全建设方案 等。
2024/1/30
现场测评
测评机构对信息系统进行现场测评, 包括技术和管理两个方面的检查。
出具测评报告
测评机构根据现场测评结果,出具详 细的测评报告,明确信息系统的安全 保护等级。
《等级保护培训》课件
通过实施等级保护,可以有效地 保障国家安全、社会秩序和公共 利益,维护公民、法人和其他组 织的合法权益。
等级保护的重要性
保障国家安全
等级保护制度能够确保关键信息 基础设施的安全,防止敌对势力 、间谍机构等对国家安全造成威
胁。
维护社会秩序
通过实施等级保护,可以防止网络 犯罪、网络攻击等行为,维护社会 秩序的稳定。
提出了加强宣传教育、开展培训等措施,以提高全社会的等级保护意识和能力。
完善法律法规和标准体系,加强监督检查和评估
提出了完善相关法律法规和标准体系、加强监督检查和评估等措施,以保障等级保护工作 的有效实施。
加强技术研发和创新,提高安全防护能力
提出了加强技术研发和创新、推广新技术应用等措施,以提高安全防护能力和应对新威胁 的能力。
THANKS
谢谢
等级保护标准的实施
等级保护标准的实施需要采取一系列的安全措施和技术手段,包括 物理安全、网络安全、应用安全等方面的防护措施。
等级保护政策
等级保护政策定义
01
等级保护政策是国家为了保障信息安全而制定的一系列政策,
用于规范不同等级的信息系统安全保护工作。
等级保护政策的主要内容
02
包括信息系统定级、备案、安全监测、通报预警等方面的政策
安全体系实施
按照安全体系设计的要求,实施安全设备和安全控制措施。 对实施过程进行监督和检查,确保安全设备和控制措施的有效性和合规性。
安全体系运行与维护
对信息系统的安全体系进行日常运行 和维护,包括安全监控、日志审计、 漏洞扫描等方面的操作。
对发现的安全问题和隐患进行及时处 理和修复,确保信息系统的安全性得 到持续保障。
安全策略制定
信息系统安全等级保护培训证书
信息系统安全等级保护培训证书信息系统安全等级保护培训证书在当今数字化时代,信息安全成为了一个备受关注的话题。
随着网络技术的不断发展,信息系统的安全性保护显得尤为重要。
为了加强信息系统安全保护,许多国家都出台了相应的政策和法规,而信息系统安全等级保护培训证书便是在此背景下应运而生。
1. 信息系统安全等级保护培训证书的重要性信息系统安全等级保护培训证书作为一种专业资质认证,对于相关岗位的人员来说至关重要。
持有这样的证书意味着个人在信息系统安全等级保护方面有着深厚的理论基础和实践经验,能够更好地应对各类安全风险和威胁。
在就业市场上,持证人往往能够获得更多的机会和更高的待遇。
2. 信息系统安全等级保护培训证书的培训内容获得信息系统安全等级保护培训证书需要经历一定的培训和考核。
培训内容主要包括信息系统安全等级保护的基本概念、安全管理、风险评估、安全策略与控制、安全技术、安全事件处理等方面的知识。
通过系统的学习和实践训练,学员能够全面掌握信息系统安全等级保护的理论与实践,为日后的工作打下坚实的基础。
3. 信息系统安全等级保护培训证书的考试要求获得信息系统安全等级保护培训证书需要参加相应的考试。
考试内容包括理论知识的笔试和实际操作能力的考核,考试难度较大。
通过考试的学员将获得权威机构颁发的证书,这不仅是对个人能力的认可,也是对所在单位信息系统安全保护能力的一种保障。
4. 信息系统安全等级保护培训证书的未来发展随着互联网的普及和信息系统的不断发展,信息系统安全等级保护培训证书的重要性将逐渐凸显。
未来,这样的证书将成为企业招聘信息安全人员的标配条件,从业人员群体也会呈现出不断扩大的趋势。
及早获取这样的证书将对个人职业发展产生积极的影响。
总结信息系统安全等级保护培训证书不仅是对从业人员能力的认可,也是对信息系统安全保护的一种保障。
持有此证书的人员将更容易获得就业机会,并且有望在职业发展中获得更好的发展前景。
对于希望从事信息安全相关工作的人员来说,及早获取此证书将是一个明智的选择。
A100 等级保护2.0专题培训
管理类 信息系统安全管理要求 信息系统安全工程管理要求
其他管理类标准
产品类 操作系统安全技术要求 数据库管理系统安全技术要求 网络和终端设备隔离部件技术要求
其他产品类标准
计算机信息系统安全保护等级划分准则(GB17859)
网络 安全 等级 保护
2.0 系列 标准
《网络安全等级保护定级指南》
《网络安全等级保护实施指南》
1) 造成1000万元以上的直接经济损失; 2) 直接影响超过1000万人工作、生活; 3) 造成超过100万人个人信息泄露; 4) 造成大量机构、企业敏感信息泄露; 5) 造成大量地理、人口、资源等国家基础数据泄露; 6) 严重损害社会和经济秩序,或危害国家安全。
1) 影响单个地市级行政区30%以上人口的工作、生活; 2) 影响10万人用水、用电、用气、用油、取暖或交通出行等; 3) 导致5人以上死亡或50人以上重伤; 4) 直接造成5000万元以上经济损失; 5) 造成超过100万人个人信息泄露; 6) 造成大量机构、企业敏感信息泄露; 7) 造成大量地理、人口、资源等国家基础数据泄露; 8) 严重损害社会和经济秩序,或危害国家安全。
基线要求
信息系统安全等级保护基本要求的行业细则
信息系统安全等级保护基本要求(GB/T 22239-2008)
GBT 25070-2010
指保安信 南护全息
实等系 施级统
技安等信 术全级息 要设保系 求计护统
GBT 25058-2010
技术类 信息系统通用安全技术要求 信息系统物理安全技术要求
网络基础安全技术要求 其他技术类标准
等级保护2.0的调整
等级保护1.0标准体系
信息系统安全等级保护定级指南(GB/T 22240-2008)
【等保培训PPT】信息安全等级保护制度的主要内容
目录
第二章、等级保护政策体系和标准体系
① ② 信息安全等级保护政策体系 信息安全等级保护标准体系
2.1、信息安全等级保护政策体系
2.2、信息安全等级保护标准体系
在 安 等全 级建 保设 护整 有改 关工 标作 准的 作 用
目录
第三章、等级保护工作的具体内容和要求
① ② ③ ④ ⑤ 信息安全等级保护定级工作 信息安全等级保护备案工作 信息系统安全建设整改工作 信息安全等级保护测评工作 安全自查和监督检查
1.3、国家等级保护制度的要求
1、《中华人民共和国计算机信息系公统安全保护条例》( 国务院147号令) “计算机信息系统实行安全等级保护,安 全等级的划分标准和安全等级保护的具体办法,由公安部会 同有关部门制定” 。 2.《国家信息化领导小组关于加强信息安全保障工作的意见 》(中公办发[2003]27号)规定:要重点保护基础信息网络 和关系国家安全、经济命脉、社会稳定等方面的重要信息系 统,抓紧建立信息安全等级保护制度,制定信息安全等级保 护的管理办法和技术指南。
信息安全等级保护制度 的主要内容和要求
苏阳浪 信息安全等级保护高级测评师 海南省信息安全等级保护专家组委员会技术组成员 邮箱:suyanglang@
目 录
• 一、信息安全等级保护工作概述 • 二、等级保护政策体系和标准体系 • 三、信息安全等级保护工作的具体内容与要求
目录
3.1、信息安全等级保护定级工作
• 是信息安全等级保护的首要环节 • 定级原则:“自主定级、专家评审、主管部门审批、公安 机关审核”。具体可按照《关于开展全国重要信息系统安 全等级保护定级工作的通知》 (公通字[2007]861号) 要求执行。 • 在等级保护工作中,信息系统运营使用单位和主管部门按 照“谁主管谁负责,谁运营谁负责”的原则开展工作,并 接受信息安全监管部门对开展等级保护工作的监管。 • 定级工作流程:确定定级对象、确定信息系统安全保护等 级、组织专家评审、主管部门审批、公安机关审核。
信息安全等级保护业务培训
信息安全等级保护业务培训信息安全等级保护业务培训是为了提高企业员工的信息安全意识和综合能力,培养信息安全保护业务人员的技能和知识。
以下是一个可能的培训计划:1. 信息安全基础知识:介绍信息安全的基本概念、原则和重要性,讲解常见的信息安全威胁和漏洞。
2. 信息安全法律法规:讲解国家相关的信息安全法律法规,使员工了解企业在信息安全方面的法律义务和责任。
3. 信息安全等级保护制度:介绍信息安全等级保护制度的基本框架、等级划分和评估流程,使员工了解企业的信息安全等级管理体系。
4. 信息资产分类与保护:讲解企业信息资产的分类和重要性,介绍常见的信息安全保护措施,如加密技术、访问控制、备份与恢复等。
5. 信息安全意识培养:通过实例和案例分析,增强员工的信息安全意识,引导员工养成良好的信息安全习惯和行为。
6. 信息安全事件应急处理:介绍信息安全事件的分类和处理流程,培养员工的信息安全事件应急处理能力,提高应对突发事件的能力。
7. 信息安全管理制度和规范:讲解企业内部的信息安全管理制度和规范,如员工的责任与义务、信息安全培训要求等,确保员工遵守信息安全相关规定。
8. 信息安全保护技术:介绍信息安全保护的技术手段和产品,如防火墙、入侵检测系统、安全审计系统等,使员工了解常用的信息安全技术。
9. 实际操作和演练:组织实际的操作和演练,模拟真实的信息安全场景,培养员工的信息安全应对能力和技能。
10. 考核和评估:进行培训结束后的考核和评估,以检验员工掌握的知识和技能,并为接下来的培训提供参考。
以上是一个具体的培训计划,具体的内容和安排可以根据企业的实际情况和需求进行调整。
培训应当注重理论与实践相结合,通过培训提升员工的信息安全意识和能力,确保企业的信息安全。
信息安全等级保护培训课程(PDF 99页)
方 法 指 导
基线要求
信息系统安全等级保护基本要求的行业细则
信
信
息
息
系
系
统
统
等
安
级
全
保
等
护
级
安
保
全
护
设
实
计
施
技
指
术
南
要
求
信息系统安全等级保护基本要求
技术类
信息系统通用安全
管理类
信息系统安全
产品类
操作系统安全技术
目录
有关的概念、政策和标准回顾 安全建设整改的具体要求和工作流程 安全建设整改的内容和方法
第四级 S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,
S4A2G4,S4A1G4
第五级 S1A5G5,S2A5G5,S3A5G5,S4A5G5,S5A5G5,
S5A4G5,S5A3G5,S5A2G5,S5A1G5
安全保护能力
系统能够抵御威胁、发现安全事件以及在系 统遭到损害后能够恢复先前状态等的程度
2008
信息安全技术
信息系安全统技安术全等级信保息护系基统本通要用求安全技术要求
3 GB/T 21052-2006 信息安全技术 信息系统物理安全技术要求
6
GB/T 244856-GB/T 2009
2信02息7安0-全20技0术6
信息系安全统技等术级保护网安络全基设础计安技全术技要术求要求
5 GB/T 20272-2006 信息安全技术 操作系统安全技术要求
指对国家秘密信息、法人和其他组织及公民的专有 信息以及公开信息和存储、传输、处理这些信息的 信息系统分等级实行安全保护;
CISP培训和等级保护介绍
CISP培训和等级保护介绍CISP(Certified Information Security Professional)是一项为从事信息安全管理工作的人员提供认证的国际标准。
这个认证标志着持有人在信息安全领域的专业素养和技能。
CISP培训和等级保护旨在帮助个人和机构提高信息安全意识,并能够应对不断变化的信息安全威胁和挑战。
一、CISP培训概述CISP培训旨在通过系统、全面的教育和培训帮助学员掌握信息安全的基本知识和技能。
培训内容包括但不限于安全风险管理、网络和系统安全、身份认证、加密技术以及物理安全措施等。
培训过程结合理论教学和实践操作,通过案例分析和模拟演练培养学员的解决问题和应对挑战的能力。
培训持续时间根据学习进度和难度级别而定,通常为数周至数月不等。
二、CISP等级保护介绍CISP等级保护是一种根据信息系统的安全等级划分,对采取相应安全措施的系统进行认证和评估的过程。
等级保护的目标是确保信息系统在各个等级具备相应的安全性和保护措施。
CISP等级保护的等级划分根据信息系统的重要性和敏感性,分为1-4级,其中1级为最低,4级为最高。
CISP等级保护的评估过程涉及对系统结构、安全策略、技术措施和管理程序的全面审查。
评估包括对系统漏洞和安全隐患的检测、安全配置的评估以及对安全策略和控制措施的合规性审查。
评估结果将根据安全等级要求进行等级认证,并提供相应的改进建议。
三、CISP培训和等级保护的重要性1. 提高信息安全水平:CISP培训和等级保护将帮助个人和机构建立起全面的信息安全意识,并提供一套可行的安全管理框架和措施,以应对日益严峻的信息安全威胁。
2. 资质认可和专业发展:持有CISP认证将成为个人在信息安全领域良好职业发展的敲门砖。
对于企业来说,CISP认证也是雇佣信息安全专业人员的重要参考。
3. 保护敏感信息和数据:培训和等级保护将帮助机构加强对敏感信息和数据的保护,有效防范信息泄露、网络攻击和恶意行为,维护用户数据安全和业务运营的可持续性。
信息安全技术-网络安全等级保护基本要求
信息安全技术-网络安全等级保护基本要求一、网络安全等级保护基本要求1. 基础架构(1)建立安全架构:建立一套完整的安全架构,包括人、机械、软件、技术和组织等六大要素,确保网络系统的安全。
(2)建立网络安全策略:建立安全策略旨在强化网络安全和控制系统风险。
安全策略要适合系统规模,明确不允许使用系统资源,明确用户访问控制,明确网络安全防护措施,明确病毒防护措施等。
(3)安全服务:安全服务是对系统安全加以控制的一种有效手段,包括身份验证、审计、网络安全和数据加密等方面的内容。
2. 用户访问控制(1)定制安全引擎:安全引擎是实施用户访问控制的核心部件。
它可以应用安全认证、封装、过滤、防护等安全服务,在网络中建立策略以限制对数据、软件、网络设备等的访问和使用。
(2)定制加密技术:网络安全中的加密技术是确保用户和系统信息通信的安全性的基础,要求支持SSL/TLS协议。
(3)定制认证服务:网络安全中的认证服务是实施用户访问控制的基础,可以实现对用户的用户名/密码认证、角色管理等。
3. 安全策略和数据安全(1)安全日志:安全日志可以记录系统内部状态,有助于安全管理。
安全日志要包括系统资源使用情况、安全策略、认证角色管理、日志审计、配置变更等。
(2)防火墙:网络安全中的防火墙是阻止未经授权的外部使用进入网络系统的一种安全技术,可以按照应用设定访问策略,禁止未经授权的访问,并过滤那些不符合安全策略的数据。
(3)数据加密:数据加密是给信息系统加上一把安全锁,使信息不被未经授权的第三方访问。
4. 网络安全和安全评估(1)开发安全检查:安全检查是就安全技术要求,检查系统安全策略、安全技术和管理诸多细分点实行衡量检查,找出系统存在的安全性问题及防范措施的工具。
(2)建立安全评估机制:安全评估是对网络安全状态的定期评估,可以检测网络系统未来的发展趋势,并根据分析结果建立切实可行的安全管理体系。
(3)开发安全审计:安全审计是对网络安全个技术和管理状况进行审计,评价安全技术和管理实施情况,找出安全性存在的缺陷,建立及时有效的网络安全防护机制。
等级保护培训课程
等级保护培训课程导语:随着社会的不断发展,安全保障问题日益凸显,等级保护成为了保护国家安全的重要措施。
为了提高等级保护工作的效率和质量,培训课程成为了必不可少的一环。
本文将从等级保护培训课程的意义、目标、内容和方法等方面进行探讨。
一、等级保护培训课程的意义等级保护培训课程的意义在于提高员工的安全意识和技能,使其能够更好地履行等级保护工作职责,确保国家安全。
通过培训,员工将了解等级保护的重要性,掌握相关法律法规和政策要求,提高自己的工作能力和素质,增强应对突发事件的能力。
二、等级保护培训课程的目标1. 提高员工的安全意识:通过课程的宣传教育,让员工深刻认识到等级保护工作的重要性,增强安全意识,遵守保密规定,保护国家机密信息。
2. 熟悉相关法律法规和政策要求:培训课程将重点介绍等级保护的法律法规和政策要求,使员工能够正确理解和遵守,做到合规操作。
3. 掌握等级保护工作的基本知识和技能:培训课程将详细介绍等级保护的基本知识和技能,包括信息安全、保密管理、突发事件应急处置等方面的内容,提高员工的工作能力。
4. 增强突发事件处理能力:课程将针对突发事件的处理方法和应急处置流程进行培训,提高员工的应急反应能力和处置能力。
三、等级保护培训课程的内容等级保护培训课程的内容通常包括以下几个方面:1. 等级保护的基本概念和原则:介绍等级保护的定义、等级划分标准、保密原则等内容,让员工对等级保护有一个全面的了解。
2. 等级保护的法律法规和政策要求:详细介绍相关的法律法规和政策文件,包括《保密法》、《国家秘密条例》等,使员工能够正确理解和遵守。
3. 信息安全和保密管理:介绍信息安全的基本概念、保密管理的原则和方法,包括密码学、防火墙、安全审计等内容,提高员工的信息安全意识和保密管理能力。
4. 突发事件应急处置:培训员工应对突发事件的基本方法和流程,包括突发事件的分类、报警流程、应急预案制定等,提高员工的应急处理能力。
5. 等级保护工作中的常见问题和案例分析:通过案例分析,让员工了解等级保护工作中常见的问题和处理方法,提高工作中的应变能力。
CIIPT国家重要信息系统安全保护人员认证培训
CIIPT国家重要信息系统安全保护人员认证培训ciipt国家重要信息系统安全保护人员认证培训【ciipt认证介绍】Ciipt(critical information infrastructure protection training,关键信息基础设施保护培训)是针对中国重要信息系统安全保护人员的培训项目,更好地服务于分层保护系统的深入开发,满足相关人员的培训需求。
培训具有以下特点:1)对我国信息安全政策、法规、标准的权威性解读Ciipt是在国家信息安全等级保护系统政策和标准指导下进行的培训。
目前,全国各行业、各部门正在实施信息安全等级保护制度。
迫切需要全面准确地把握中国信息安全的相关政策和标准。
Ciipt培训教师是相关政策和标准的制定者和参与者,对制定过程和内容有深刻的理解和准确的把握。
2)重视信息安全规划、设计和评估技术的培训缺乏安全规划设计的信息系统必然会造成安全保障体系建设的先天不足,缺少定期安全测评的信息系统安全隐患就不能被及时发现,规划设计、等级测评与自查是影响我国重要信息系统安全保障工作的两个重要环节。
ciipt加强了对信息系统规划设计、等级测评与自查阶段相关技术和方法的培训。
3)注意指导重要系统安全防护相关人员的实际工作ciipt根据不同培训对象进行了分类,并设计了相应的培训课程,培训目标明确,培训内容紧密结合工作实际,把国家信息安全政策、标准与实际工作有效地结合起来,有助于学员更好地参与到我国重要信息系统安全保障建设工作中来。
[训练对象]我国信息安全等级保护制度是我国信息安全工作的基本制度,目前已经全面部署和实施,各行业、各部门正在积极落实等级保护各项工作,重要信息系统相关人员需要接受国家信息安培训和评估全面防护体系的相关内容和要求。
重要信息系统保护人员主要包括信息系统规划设计、咨询服务、开发建设、安全评估、运营管理、维护使用、监督检查人员。
【培训课程分类】中国重要信息系统的规划、设计、建设、运行和维护需要大量的专业技术人员。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
11
三、等级保护实施流程
系统定级 系统备案 建设整改 等级测评 监督检查
系统备案产出物: 《信息系统安全等级保护备案表》 《XXX—信息系统基本情况调查表》
12
三、等级保护实施流程
现状分析 方案编写 建设整改 等级测评 监督检查
信息安全等级保护基本要求:
物理安全 主机安全 网络安全 应用安全 数据安全及备份恢复 安全管理
信息安全等级保护培训
2019.09.15
内容:
1 2 3 4
等级保护概述 等级保护标准 等级保护实施流程 项目案例介绍
1
一、等级保护概述
1.1 定义
信息安全等级保护:
是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信 息和储存、传输、处理这些信息的信息系统分等级实行安全保护,对 信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生 的信息安全事件分等级响应、处置。
Windows安全加固报告
网络安全加固
路由器加固:系统登录账户密文加密、关闭未使用的端口、 Cisco路由器安全策略加固
开启NTP、设置远程SSH。防火墙加固:特权账户分离、 Web防火墙安全策略加固
https加密管理、邮箱告警、IP-MAC绑定、入侵防护、抗 交换机安全策略加固
攻击设置…交换机加固:关闭未使用端口、设置telnet访 出口防火墙安全策略加固
5
二、等级保护标准
6
三、等级保护实施流程
系统定级 系统备案 建设、整改 等级测评 监督检查
7
三、等级保护实施流程
系统定级 系统备案 建设整改 等级测评 监督检查
根据保护的侧重点不同分为: 第一级 S1A1G1 第二级 S1A2G2,S2A2G2,S2A1G2 第三级 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3 第四级 S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4, S4A2G4,S4A1G4
源代码检测 网站日志分析
检测内容:跨站脚本攻击、恶意文件执行、不安全的目录 对象、信息泄露等。
问控制、设置账户密码加密和登录超时…
接入交换机策略加固
网站漏洞检测 主机漏洞检测 源代码检测
检测内容:SQL注入、XSS跨站脚本攻击、网页挂马、缓 冲区溢出…根据检测结果分析评估网站安全。
检测内容:CGI攻击测试、信息获取测试、数据库测试、 web服务器测试、后门测试等。
检测内容:跨站脚本攻击、恶意文件执行、不安全的目录 对象、信息泄露等。
检测内容:SQL注入、XSS跨站脚本攻击、网页挂马、缓 冲区溢出…根据检测结果分析评估网站安全。
操作记录存档
Windows主机安全加固
门户网站安全检测报告(xxx) 门户网站安全检测报告(xxx)
主机漏洞检测 检测内容:CGI攻击测试、信息获取测试、数据库测试、 网站服务器安全漏洞评估 web服务器测试、后门测试等。
系统定级 系统备案 建设整改 等级测评 监督检查
系统定级产出物: 《信息系统等级报告》 《信息系统安全等级测评申请书》
10
三、等级保护实施流程
系统定级 系统备案 建设整改 等级测评
基本情况调查:
参、地址、邮政、负责人email电话、联系 人email电话)
最新网络拓扑图 资产调研(包括服务器、终端、系统软件、业务类型、业务处理流程图
等) 项目参与的相关维护商及联系方式,大致包括用户方、网站运维商、监
理方、网络运维商等(以便后期工作开展) 用户组织架构图及部门联系表(提前说明,我方有保密协议) 明确用户方项目负责人,以便后期项目事宜沟通及协助。
2
一、等级保护概述
1.2 为什么要实施等级保护
信息安全形势严峻
敌对势力的入侵攻击破坏 针对基础信息网络和重要信息系统的违法犯罪持续上升 基础信息网络和重要信息系统安全隐患严重
国家信息安全建设需求
基础信息网络与重要信息系统已成为国家关键基础设施 信息安全是国家安全的重要组成部分 信息安全是非传统安全,信息安全本质是信息对抗、技术对抗
8
三、等级保护实施流程
系统定级 系统备案 建设整改 等级测评 监督检查
S:保护数据在存储、传输、处理过程中不被泄露、 破坏和免受未授权的修改的信息安全类要求。 A:保护系统连续性正常的运行,免受对系统的未授 权修改、破坏而导致系统不可用的服务保证类要求。 G:通用安全保护类要求。
9
三、等级保护实施流程
13
三、 项目建设内容
现状分析 方案编写 建设整改 等级测评 监督检查
14
三、等级保护实施流程
现状分析 方案编写 建设整改 等级测评 监督检查
系统名称
XXX网站系统
实施项目
加固内容
操作记录存档
主机安全加固
账号、密码策略修改,日志审核增强,安全性增强,磁盘 配额限制,网络与服务加固,系统补丁更新,管理账户重 命名,网络与服务加固,远程端口修改,默认共享关闭…
15
三、等级保护实施流程
现状分析 方案编写 建设整改 等级测评 监督检查
系统名称
XXX网站系统 XXX
实施项目
主机安全加固 网站漏洞检测
加固内容
账号、密码策略修改,日志审核增强,安全性增强,磁盘 配额限制,网络与服务加固,系统补丁更新,管理账户重 命名,网络与服务加固,远程端口修改,默认共享关闭…
门户网站安全检测报告(20121023) 门户网站安全检测报告(20121228) 网站服务器安全漏洞评估
网站源代码检测
恶意代码检测 检测网站页面篡改、恶意软件传播、内部信息窃取、木马 网络恶意行为分析 攻击、僵尸网络等恶意行为,并分析安全风险。
网站日志分析 分析网站日志,分析网站安全事件
网站日志分析
3
一、等级保护概述
1.3 实施等级保护目的
• 明确重点、突出重点、保护重点 • 有利于同步建设、协调发展 • 优化信息安全资源的配置 • 明确信息安全责任 • 推动信息安全产业发展
4
一、等级保护概述
1.4 等级保护主要工作内容
根据《信息安全等级保护管理办法》的规定,等级保护工作主要 分为5个环节。 • 信息系统定级 信息系统等级保护的首要环节 • 信息系统备案 • 安全建设整改 等级保护工作落实的关键所在 • 系统等级测评 评价安全现状的重要方法 • 系统监督检查 安全保护能力不断提高的保障