信息安全技术 信息安全保障指标体系及评价方法 第1部分：概念

I C S35.040

L80

中华人民共和国国家标准

G B/T31495.1 2015

信息安全技术信息安全保障指标体系

及评价方法

第1部分:概念和模型

I n f o r m a t i o n s e c u r i t y t e c h n o l o g y

I n d i c a t o r s y s t e mo f i n f o r m a t i o n s e c u r i t y a s s u r a n c e a n d e v a l u a t i o nm e t h o d s

P a r t1:C o n c e p t s a n dm o d e l

2015-05-15发布2016-01-01实施中华人民共和国国家质量监督检验检疫总局

目 次

前言Ⅲ 引言Ⅳ

1 范围1

2 规范性引用文件1

3 术语和定义1

4 信息安全保障模型1

5 信息安全保障评价模型2 参考文献4

前言

G B/T31495‘信息安全技术信息安全保障指标体系及评价方法“分为如下3部分:

第1部分:概念和模型;

第2部分:指标体系;

第3部分:实施指南三

本部分为G B/T31495的第1部分三

本部分按照G B/T1.1 2009给出的规则起草三

请注意本文件的某些内容可能涉及专利三本文件的发布机构不承担识别这些专利的责任三

本部分由全国信息安全标准化技术委员会(S A C/T C260)提出并归口三

本部分起草单位:国家信息中心二国家新闻出版广电总局监管中心二中国信息安全测评中心二中国电信集团二中国移动通信集团二大连理工大学二国家能源局信息中心二江苏省信息中心二中国民航大学二中国电力科学研究院三

本部分主要起草人:何德全二吕欣二王宪磊二王长胜二郭艳卿二杨月圆二李守鹏二吕汉阳二杜巍二肖英二张茉楠二罗程二吴志军二杨一曼二谢东晖二程露二胡红升二孙小红二徐浩二周智二陈敏时二雷缙二樊晖二高昆仑二李鹏二李慧三

G B/T31495.1 2015

引言

G B/T31495依据国家对信息安全保障工作的相关要求,提出了信息安全保障评价的概念和模型二指标体系及实施指南三

31495由3部分组成三第1部分描述了本标准各部分通用的基础性概念,给出了信息安全保障及信息安全保障评价的概念和模型,给出了指标的测量模型;第2部分在第1部分的模型指导下给出了信息安全保障指标体系和指标测量过程;第3部分给出了信息安全保障评价工作实施所应遵照的要求二流程和方法三

31495主要用于:为政府管理部门的信息安全态势判断和宏观决策提供支持;为基础信息网络和重要信息系统的管理部门及运营单位的信息安全管理工作提供支持三

G B/T31495.1 2015

信息安全技术信息安全保障指标体系

及评价方法

第1部分:概念和模型

1范围

G B/T31495的本部分界定了信息安全保障评价的基本概念,确立了信息安全保障评价的一般模型三

本部分适用于信息安全保障评价工作三

2规范性引用文件

下列文件对于本文件的应用是必不可少的三凡是注日期的引用文件,仅注日期的版本适用于本文件三凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件三

G B/T25069 2010信息安全技术术语

3术语和定义

G B/T25069 2010中界定的以及下列术语和定义适用于本文件三

3.1

信息安全保障i n f o r m a t i o n s e c u r i t y a s s u r a n c e

对信息和信息系统的安全属性及功能二效率进行保障的一系列适当行为或过程三

3.2

信息安全保障评价e v a l u a t i o no f i n f o r m a t i o n s e c u r i t y a s s u r a n c e

收集信息安全保障证据,并获得信息安全保障值的过程和途径三

3.3

信息安全保障措施m e a s u r e s f o r i n f o r m a t i o n s e c u r i t y a s s u r a n c e

为达到信息安全目的所采用的保障手段的集合三

3.4

信息安全保障能力c a p a b i l i t y o f i n f o r m a t i o n s e c u r i t y a s s u r a n c e

被保障实体安全防御二响应和恢复等特性的体现三

3.5

信息安全保障效果e f f e c t s o f i n f o r m a t i o n s e c u r i t y a s s u r a n c e

被保障实体的信息安全保障目标和属性的实现程度三

4信息安全保障模型

信息安全保障模型是采用过程方法建立的三

图1说明了信息安全保障是根据利益相关方的保障需求建立保障措施,形成保障能力,以实现保障效果的过程三根据利益相关方对保障效果的反馈,可以动态调整保障措施,以更好地满足保障需求三

《信息安全技术》习题及答案

精心整理连云港专业技术继续教育—网络信息安全总题库及答 案 信息安全技术试题及答案 1. 2. 3. 4. 5. 6. 7. 8. 9., 10. 11. 12. 1. 2. 3.对目前大量的数据备份来说，磁带是应用得最广的介质。√ 4.增量备份是备份从上次完全备份后更新的全部数据文件。× 5.容灾等级通用的国际标准SHARE78将容灾分成了六级。× 6.容灾就是数据备份。× 7.数据越重要，容灾等级越高。√ 8.容灾项目的实施过程是周而复始的。√ 9.如果系统在一段时间内没有出现问题，就可以不用再进行容灾了。×

二、单选题 1.代表了当灾难发生后，数据的恢复程度的指标是 A.RPO B.RTO C.NRO D.SDO 2.代表了当灾难发生后，数据的恢复时间的指标是 A.RPO B.RTO C.NRO D.SD0 3.容灾的目的和实质是 A.数据备份 B.心理安慰 C.保持信息系统的业务持续性 D.系统的有益补充 4.容灾项目实施过程的分析阶段，需要进行 A. C. 5. 一。 A. 6. A. C. 7. A. 8、 A 9、 A 12、 A 1. A. C. E成本 2.系统数据备份包括的对象有一一一。 A.配置文件 B.日志文件 C.用户文档 D.系统设备文件 3.容灾等级越高，则一一一。 A.业务恢复时间越短C.所需要成本越高 B.所需人员越多D.保护的数据越重要 4、数据安全备份有几种策略（） A、全备份； B、增量备份； C、差异备份； D、手工备份 5、建立DisasterRecovery（容灾系统）的前提是什么（）多选

A、自然灾害（地震、火灾，水灾...)； B、人为灾害（错误操作、黑客攻击、病毒发作...) C、技术风险（设备失效、软件错误、电力失效...） 6、IBMTSMFastback可以支持数据库系统包括（）多选 A、MSSQL； B、Oracle； C、DB2； D、MYSQL 7、IBMTSMFastback可以支持的存储介质包括（） A、磁带介质； B、磁盘介质； C、磁带库； D、磁盘柜 基础安全技术 系统安全 1.× 2. (如 3. 5. 6. 7. A.本地帐号 B.域帐号 C.来宾帐号 D.局部帐号 3.计算机网络组织结构中有两种基本结构，分别是域和 A.用户组 B.工作组 C.本地组 D.全局组 4.某公司的工作时间是上午8点半至12点，下午1点至5点半，每次系统备份需要一个半小时，下列适合作为系统数据备份的时间是一一一。 A.上午8点 B.中午12点 C.下午3点 D.凌晨1点 5、.FTP(文件传输协议,FileTransferProtocol,简称HP)服务、SMTP(简单邮件传输协议,SimpleMailTransferProtocol,简称SMTP)服务、HTTP(超文本传输协

“信息安全技术”第一章概述的课后作业

“信息安全技术”第一章概述的课后作业 现代信息安全的内涵包括哪两个方面的内容？ 网络出现前，主要指面向数据的安全； 网络出现后，还涵盖了面向用户的安全。 ISO 所定义的5 种安全服务和8 种安全机制各是哪些？ ISO的5种安全服务：认证、访问控制、数据保密性、数据完整性、不可否认。 ISO的8种安全机制：加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、业务填充机制、路由控制机制、公证机制。 计算机病毒的定义是什么？其触发条件主要有哪些？ 广义上的定义：凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。 《中华人民共和国计算机信息系统安全保护条例》第28条规定：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据影响计算机使用并能自我复制的一组计算机指令或者程序代码。 其触发条件：时间、击键次数或者特定组合键、运行文件个数或感染文件的个数、启动次数、感染失败、CPU型号/主板型号等。 请列举计算机病毒的传播途径？ 通过不可移动的计算机硬件设备进行传播； 通过移动存储设备来传播： 通过计算机网络进行传播； 通过点对点通信系统和无线通道（如手机）来传播。 什么是安全策略？主要包含哪些方面的内容？ 在特定环境里，为保证提供一定级别的安全保护所必须遵守的规则，是网络安全技术集成的基础。 主要包括5个方面： 物理安全策略 访问控制策略 防火墙控制 信息加密策略 网络安全管理策略 网络信息安全的基本特征包括哪几个方面？各是什么含义？ 保密性信息不泄露给非授权的个人、实体和过程，或供其使用 完整性信息未经授权不能被修改、破坏、插入、延迟、乱序和丢失 可用性保证合法用户在需要时可以访问到信息及相关资产 可控性授权机构对信息的内容及传播具有控制能力，可以控制授权范围内的信息流向及其方法 可审查性在信息交流过程结束后，通过双方不能抵赖曾经做出的行为，也不能否认曾经接受到对方的信息 什么是P2DR 模型？ P2DR模型是动态的自适应网络模型，强调系统安全的动态性，以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全，特备考虑到人为管理的因素。 特点： 安全管理的持续性、安全策略的动态性。

信息安全技术 信息系统安全等级保护测评要求.doc

信息安全技术信息系统安全等级保护基本要求 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息系统安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号）等有关文件要求，制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南； ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求； ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。 一般来说，信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。本标准针对信息系统中的单项安全措施和多个安全措施的综合防范，对应地提出单元测评和整体测评的技术要求，用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。整体测评根据安全控制点间、层面间和区域 间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。本标准给出了等级测评结论中应包括的主要内容，未规定给出测评结论的具体方法和量化指标。 如果没有特殊指定，本标准中的信息系统主要指计算机信息系统。在本标准文本中，黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。 信息系统安全等级保护测评要求 1 范围 本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求，包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测 评要求。本标准略去对第五级信息系统进行单元测评的具体内容要求。 本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使 用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否 可使用这些文件的最新版本。不注日期的引用文件，其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分：安全 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 3 术语和定义 GB/T 5271.8和GB/T 22239-2008所确立的以及下列术语和定义适用于本标准。

网络信息安全保障体系建设

附件3 网络信息安全保障体系建设方案 目录 网络信息安全保障体系建设方案 (1) 1、建立完善安全管理体系 (1) 1.1成立安全保障机构 (1) 2、可靠性保证 (2) 2.1操作系统的安全 (3) 2.2系统架构的安全 (3) 2.3设备安全 (4) 2.4网络安全 (4) 2.5物理安全 (5) 2.6网络设备安全加固 (5) 2.7网络安全边界保护 (6) 2.8拒绝服务攻击防范 (6) 2.9信源安全/组播路由安全 (7) 网络信息安全保障体系建设方案 1、建立完善安全管理体系 1.1成立安全保障机构 山东联通以及莱芜联通均成立以总经理为首的安全管理委员会，以及分管副总经理为组长的网络运行维护部、电视宽带支撑中心、网络维护中心等相关部门为成员的互联网网络信息安全应急小组，负责全省网络信息安全的总体管理工作。 山东联通以及莱芜联通两个层面都建立了完善的内部安全保障 工作制度和互联网网络信息安全应急预案，通过管理考核机制，严格执行网络信息安全技术标准，接受管理部门的监督检查。同时针对三网融合对网络信息安全的特殊要求，已将IPTV等宽带增值业务的安

全保障工作纳入到统一的制度、考核及应急预案当中。内容涵盖事前防范、事中阻断、事后追溯的信息安全技术保障体系，域名信息登记管理制度IP地址溯源和上网日志留存等。并将根据国家规范要求，对三网融合下防黑客攻击、防信息篡改、防节目插播、防网络瘫痪技术方案进行建立和完善。 2、可靠性保证 IPTV是电信级业务，对承载网可靠性有很高的要求。可靠性分为设备级别的可靠性和网络级别的可靠性。 （1）设备级可靠性 核心设备需要99.999%的高可靠性，对关键网络节点，需要采用双机冗余备份。此外还需要支持不间断电源系统（含电池、油机系统）以保证核心设备24小时无间断运行。 （2）网络级可靠性 关键节点采用冗余备份和双链路备份以提供高可靠性。网络可靠性包括以下几方面： ?接入层：接入层交换机主要利用STP/RSTP协议在OSI二层实现网络收敛自愈。 ?汇聚层：在OSI第三层上使用双机VRRP备份保护机制，使用BFD、Ethernet OAM、MPlS OAM来对链路故障进行探测，然 后通过使用快速路由协议收敛来完成链路快速切换。

信息安全技术与云运维专业国内培训方案

信息安全技术与云运维专业国内培训方案为了贯彻《教育部财政部关于实施职业院校教师素质提高计划的意见》要求，根据《关于做好2014年度高等职业学校专业骨干教师国家级培训项目申报工作的通知》（教职成司函〔2013〕228号）精神，南京富士通南大软件技术有限公司等3家企业与南京工业职业技术学院协商研讨，共同制订本培训方案。 一、机构背景与培训能力 南京工业职业技术学院是一所具有九十多年办学历程的全日制公办普通高校，为我国首批国家示范性高等职业院校。学院的基本情况可以用“五个一”概括：一是我国第一所专门从事职业教育并以“职业”冠名的学校；二是江苏省第一所获得教育部高职高专人才培养工作水平评估“优秀”的学校；三是“国家示范性高职院校建设计划”首批立项建设和首批通过验收的学校；四是高中后招生录取分数线连续3年江苏省同类院校最高；五是江苏省首批人才强校试点单位。计算机与软件学院信息安全管理专业是我院重点建设专业，代表江苏省参加两届全国职业院校技能大赛“信息安全管理”赛项获二等奖、一等奖，为江苏省最好成绩。 南京工业职业技术学院在师资顶岗培训、学生订单培养、顶岗实习、就业等方面与南京神州数码网络技术有限公司进行了多层面的深度合作，签署了校企合作框架协议、师资培养协议以及学生顶岗实习就业协议等一系列合作协议。学院2位教师具有信息安全管理与评估的工程经验，评估与加固许多企业安全项目。 二、培训能力 南京工业职业技术学院网络信息安全管理专业现有师资队伍中有教授1人，副教授4人，92%研究生以上学历，均为“双师型”教师，教师累计在信息安全领域对企业服务次数达数十次，涉及信息安全评估、信息安全加固等方向，累计到账金额约5万元。另聘请了网监处2名行业专家，及信息安全相关企业的技术人员7人为本专业兼职教师。本专业拥有150平方米校内“网络与信息安全实训中心”，拥有信息安全技术工作室一个，积累行业知识与案例达5G容量。校外有神州数码等十家大中型信息安全服务企业作为实训基地。2012年承担信息安全专业教师培训，完成省级以上高校教师培训50余人次。2012年南京工业职业技术学院与南京富士通南大软件技术有限公司合作，共建南工院云计算中心，中心占地面积130平米。具备了提供云计算技术培训、云计算教学环境构建与运行的能力。 三、培训专业范围 依据南京工业职业技术在信息安全技术领域的专业积累，结合神州数码网络技术有限公司、南京富士通南大软件技术有限公司企业研发与生产领域，本次培训涉及网络安全管理、信息安全监查、安全评估、等级保护评测、云计算平台的构建与运维等知识与实践领域，对引导各职业进行信息安全专业建设、云计算技术普及与推广有促进作用。 四、培训目标 信息安全技术与云运维骨干教师培训班，旨在实现对职业院校信息安全专业骨干教师职业能力的一次强化，通过培训学习，使学员了解信息安全知识与技能体系，用现代职业教育理念与方法承载信息安全领域实战能力；掌握信息安全管理与评估行业主轴；了解和掌握当前云计算技术的主流技术、平台构建和运维管理。通过学习培训，掌握相关专业建设和课程开发能力、教学方法设计能力和实践教学能力；共同探讨新形势下信息安全与云计算技术应用与管理相关专业人才培养模式的创新以及“双师结构”专业教学团队的建设问题。同时扩大职业院校间的交流与合作，发挥国家示范性院校引领和辐射作用。 五、培训内容 本培训内容突出专业领域新理论、前沿技术及关键技能的培养，基于信息安全管理与评估职业领域的发展及对人才技能的需求，以“项目教学、实境训练”为特征的理论、实践相融合作为切入点，引导教学内容和教学方法改革。 主要培训内容如下：

信息安全技术试题答案A

信息安全技术教程习题及答案 第一章概述 一、判断题 1。信息网络的物理安全要从环境安全和设备安全两个角度来考虑。√ 2。计算机场地可以选择在公共区域人流量比较大的地方。× 3。计算机场地可以选择在化工厂生产车间附近.× 4。计算机场地在正常情况下温度保持在 18~28 摄氏度。√ 5. 机房供电线路和动力、照明用电可以用同一线路。× 6。只要手干净就可以直接触摸或者擦拔电路组件，不必有进一步的措施。× 7. 备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内,使用时要远离静电敏感器件。√ 8. 屏蔽室是一个导电的金属材料制成的大型六面体，能够抑制和阻挡电磁波在空气中传播.√ 9。屏蔽室的拼接、焊接工艺对电磁防护没有影响.× 10. 由于传输的内容不同，电力线可以与网络线同槽铺设。× 11. 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管，钢管应与接地线做电气连通.√ 12。新添设备时应该先给设备或者部件做上明显标记，最好是明显的无法除去的标记 ,以防更换和方便查找赃物。√ 13.TEMPEST 技术，是指在设计和生产计算机设备时，就对可能产生电磁辐射的元器件、集成电路、连接线、显示器 等采取防辐射措施于从而达到减少计算机信息泄露的最终目的。√ 14. 机房内的环境对粉尘含量没有要求.× 15. 防电磁辐射的干扰技术,是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起，以掩盖原泄露信 息的内容和特征等,使窃密者即使截获这一混合信号也无法提取其中的信息。√ 16。有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。√ 17. 纸介质资料废弃应用碎纸机粉碎或焚毁。√ 二、单选题 1. 以下不符合防静电要求的是 A。穿合适的防静电衣服和防静电鞋 B. 在机房内直接更衣梳理 C。用表面光滑平整的办公家具 D. 经常用湿拖布拖地 2。布置电子信息系统信号线缆的路由走向时,以下做法错误的是 A. 可以随意弯折 B. 转弯时,弯曲半径应大于导线直径的 10 倍 C。尽量直线、平整 D. 尽量减小由线缆自身形成的感应环路面积 3。对电磁兼容性 (Electromagnetic Compatibility，简称 EMC）标准的描述正确的是 A. 同一个国家的是恒定不变的 B. 不是强制的 C。各个国家不相同 D. 以上均错误 4。物理安全的管理应做到 A. 所有相关人员都必须进行相应的培训，明确个人工作职责 B。制定严格的值班和考勤制度，安排人员定期检查各种设备的运行情况 C。在重要场所的迸出口安装监视器，并对进出情况进行录像

信息安全保障措施

服务与质量保障措施

一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置防火墙（硬件防火墙正在采购中）,做好安全策略,拒绝外来的恶意攻击，保障网站正常运行。 2、在网站的服务器及工作站上均安装了相应的防病毒软件，对计算机病毒、有害电子邮件有整套的防范措施，防止有害信息对网站系统的干扰和破坏。 3、做好访问日志的留存。网站具有保存六月以上的系统运行日志和用户使用日志记录功能，内容包括IP地址及使用情况，主页维护者、对应的IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能，对非法贴子或留言能做到及时删除并进行重要信息向相关部门汇报。 5、网站信息服务系统建立多机备份机制，一旦主系统遇到故障或受到攻击导致不能正常运行，可以在最短的时间内替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理，针对不同的应用系统、终端、操作人员，由网站系统管理员设置共享数据库信息的访问权限，并设置相应的密码及口令。不同的操作人员设定不同的用户名，且定期更换，严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定，并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设，内有必备的独立UPS不间断电源，能定期进行电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度，实现信息安全保密责任制，切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则，落实责任制，明确责任人和职责，细化工作措施和流程，建立完善管理制度和实施办法，确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成或管理,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站相关信息发布之前有一定的审核程序。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司

信息安全保障体系服务白皮书

信息安全保障体系咨询服务 技术白皮书 杭州安恒信息技术有限公司 二〇二〇年六月

目录 1. 公司简介....................................................................................................错误!未定义书签。 2. 信息安全保障体系咨询服务....................................................................错误!未定义书签。 . 概述................................................................................................错误!未定义书签。 . 参考标准........................................................................................错误!未定义书签。 . 信息安全保障体系建设的指导思想............................................错误!未定义书签。 . 信息安全保障体系建设的基本原则............................................错误!未定义书签。 3. 信息安全保障体系的内容........................................................................错误!未定义书签。 . 信息安全的四个领域....................................................................错误!未定义书签。 . 信息安全策略体系........................................................................错误!未定义书签。 信息安全战略....................................................................错误!未定义书签。 信息安全政策标准体系框架............................................错误!未定义书签。 . 信息安全管理体系........................................................................错误!未定义书签。 . 信息安全技术体系框架................................................................错误!未定义书签。 . 信息安全运营体系........................................................................错误!未定义书签。 4. 信息安全保障体系的建设过程................................................................错误!未定义书签。 . 信息安全保障体系的总体建设方法............................................错误!未定义书签。 . 信息安全策略的定义....................................................................错误!未定义书签。 信息安全策略的通用性特征............................................错误!未定义书签。 信息安全策略的建立过程................................................错误!未定义书签。 . 企业信息安全管理体系的建设....................................................错误!未定义书签。 安全管理体系总体框架....................................................错误!未定义书签。 信息安全环境和标准体系框架........................................错误!未定义书签。 信息安全意识培养............................................................错误!未定义书签。 信息安全组织....................................................................错误!未定义书签。 信息安全审计监督............................................................错误!未定义书签。

信息安全技术 IPSec VPN安全接入基本要求与实施指南(标准状态：现行)

I C S35.040 L80 中华人民共和国国家标准 G B/T32922 2016 信息安全技术I P S e cV P N安全接入 基本要求与实施指南 I n f o r m a t i o n s e c u r i t y t e c h n o l o g y B a s e l i n e a n d i m p l e m e n t a t i o n g u i d e o f I P S e cV P Ns e c u r i n g a c c e s s 2016-08-29发布2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布

目 次 前言Ⅰ 引言Ⅱ 1 范围1 2 规范性引用文件1 3 术语和定义1 4 缩略语2 5 I P S e cV P N 安全接入场景3 5.1 网关到网关的安全接入场景3 5.2 终端到网关的安全接入场景3 6 I P S e cV P N 安全接入基本要求3 6.1 I P S e cV P N 网关技术要求3 6.2 I P S e cV P N 客户端技术要求5 6.3 安全管理要求5 7 实施指南6 7.1 概述6 7.2 需求分析7 7.3 方案设计7 7.4 配置实施7 7.5 测试与备案8 7.6 运行管理8 附录A (资料性附录) 典型应用案例9 附录B (资料性附录) I P v 6过渡技术12 参考文献14 G B /T 32922 2016

G B/T32922 2016 前言 本标准按照G B/T1.1 2009给出的规则起草三 本标准由全国信息安全标准化技术委员会(S A C/T C260)提出并归口三 本标准起草单位:国家信息中心二华为技术有限公司二中安网脉(北京)技术股份有限公司二网神信息技术(北京)股份有限公司二北京天融信科技股份有限公司二迈普通信技术股份有限公司三本标准主要起草人:罗海宁二周民二吕品二冷默二黄敏二徐浩二张锐卿二任献永二徐惠清二邵国安三 Ⅰ

信息安全技术 个人信息安全影响评估指南-编制说明

国家标准《信息安全技术个人信息安全影响评估指南》 （征求意见稿）编制说明 一、工作简况 1.1任务来源 GB/T 35273《信息安全技术个人信息安全规范》标准一经发布就得到了广泛应用，其中，《个人信息安全规范》标准强调展开个人信息安全影响影响评估工作，旨在发现、处置和持续监控个人信息处理过程中的安全风险。2017年3月，在信安标委会议周，云计算及大数据特别工作组讨论会议上，一致同意编制《个人信息安全影响评估指南》。本标准为自主制定标准，标准任务编号为：20180840-T-469。 1.2主要起草单位和工作组成员 标准由颐信科技有限公司牵头，中国电子技术标准化研究院、四川大学、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技（杭州）有限责任公司、北京腾云天下科技有限公司、国家金融IC卡安全检测中心、强韵数据科技有限公司、中国信息通信研究院、北京信息安全测评中心、联想（北京）有限公司、清华大学、阿里巴巴（北京）软件服务有限公司、中国软件评测中心、浙江蚂蚁小微金融服务集团股份有限公司、陕西省网络与信息安全测评中心等参与编制，归口单位为全国信息安全标准化技术委员会（简称信息安全标委会，TC260）。 本标准主要起草人：洪延青、何延哲、胡影、高强裔、陈湉、赵冉冉、刘贤刚、皮山杉、黄劲、葛梦莹、范为、宁华、葛鑫、周顿科、高磊、李汝鑫、秦颂、兰晓、陈舒、陈兴蜀、金涛、秦博阳、高志民、顾伟、白利芳、白晓媛、张谦、王伟光、贾雪飞、冯坚坚、朱信铭、王艳红、李怡等。 1.3 主要工作过程 1、2017年3月，在云计算及大数据特别工作组讨论会议上，一致同意编制《个人信息安全影响评估指南》，对个人信息安全影响评估方法、应用、政策和标准进行调研分析，确定标准化需求。 2、2017年5月初，成立正式的个人信息安全影响评估指南标准编制组，标

健全信息安全保障体系的几大关键

“信息安全无小事”，信息安全本身包括的范围很大，大到国家军事政治等机密安全，小范围的包括如防范商业企业机密泄露，防范青少年对不良信息的浏览，个人信息的泄露等。因此“健全信息安全保障体系”是一项系统性的工程，可以从以下几方面入手： 1、认识上，立足国情，以我为主，共同合作，逐步提高 “健全信息安全保障体系”的总体方向就是要继续贯彻执行“坚持积极防御、综合防范的方针，全面提高信息安全防护能力；重点保障基础信息网络和重要信息系统安全；创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。”的既定方针。要落实这一方针，既要坚持立足国情，以我为主，同时又要坚持改革开放和国际合作。信息安全保障能力的提高，不能仅仅依靠一国力量，而是需要世界范围的共同合作，需要政府与企业、全社会每个人的互动，才能在互联网这样一个复杂的巨系统中，逐步建立、完善和提高信息安全保障以及应急响应的处理水平。同时，加强国际信息安全交流，积极参与国际规则制定，增强在国际信息安全领域的影响力，推动我国信息安全保障体系的建设与完善，在我国的信息化建设中主动出击、保障安全。 2、战略上，做好信息安全顶层设计 信息安全是一个关乎全局、动态、多变、多层次、长期的复杂问题，它涉及因素多，关系复杂，单靠几项信息安全技术或管理措施无法解决，这就要求我们在处理安全问题时不能头痛医头、脚痛医脚，要从信息安全的本质出发，需要站在战略的高度统筹考虑，这就要站在全局高度进行信息安全的顶层设计，以顶层设计来指导信息安全保障体系的构建和信息安全管理能力的提升。同时，要加强党和政府对信息安全的领导，充分发挥各级党政机关、职能部门的作用，广泛动员和组织社会各方面的力量，调整管理方式，从组织领导、政策、法律、标准、

全国计算机等级考试三级信息安全技术知识点总结71766

第一章信息安全保障概述 1.1信息安全保障背景 1.什么是信息？ 事物运行的状态和状态变化的方式。 2.信息技术发展的各个阶段？ a.电讯技术的发明 b.计算机技术发展 c.互联网的使用 3.信息技术的消极影响？ 信息泛滥、信息污染、信息犯罪。 4.信息安全发展阶段？ a.信息保密 b.计算机安全 c.信息安全保障 5.信息安全保障的含义？ 运行系统的安全、系统信息的安全6.信息安全的基本属性？

机密性、完整性、可用性、可控性、不可否认性 7信息安全保障体系框架？ 保障因素：技术、管理、工程、人员 安全特征：保密性、完整性、可用性 生命周期：规划组织、开发采购、实施交付、运行维护、废弃8.P2DR模型？ 策略(核心)、防护、监测、响应 9.IATF信息保障的指导性文件？ 核心要素：人员、技术(重点)、操作 10.IATF中4个技术框架焦点域？ a.保护本地计算环境 b.保护区域边界 c.保护网络及基础设施 d.保护支持性基础设施 11.信息安全保障工作的内容？ a.确定安全需要 b.设计实施安全方案

d.实施信息安全监控和维护 12.信息安全评测的流程？ 见课本p19图1.4 受理申请、静态评测、现场评测、风险分析 13.信息监控的流程？ 见课本p20图1.5 受理申请、非现场准备、现场准备、现场监控、综合分析 1.1.1信息技术及其发展阶段 信息技术两个方面：生产：信息技术产业；应用：信息技术扩散 信息技术核心：微电子技术，通信技术，计算机技术，网络技术 第一阶段，电讯技术的发明；第二阶段，计算机技术的发展；第三阶段，互联网的使用 1.1.2信息技术的影响 积极：社会发展，科技进步，人类生活 消极：信息泛滥，信息污染，信息犯罪 1.2信息安全保障基础

信息安全技术与实践习题答案第3章

1、 消息认证是验证消息的完整性，当接收方收到发送方的报文时，接收方能够验证收到的报文是真实的和未被篡改，即验证消息的发送者是真正的而非假冒的（数据起源认证）；同时验证信息在传送过程中未被篡改、重放或延迟等。消息认证和信息保密是构成信息系统安全的两个方面，二者是两个不同属性上的问题：即消息认证不能自动提供保密性，保密性也不能自然提供消息认证功能。 2、 消息鉴别码（Message Authentication Code ）MAC是用公开函数和密钥产生一个固定长度的值作为认证标识，并用该标识鉴别信息的完整性。 MAC是消息和密钥的函数，即MAC = C K（M），其中M是可变长的消息，C 是认证函数，K是收发双方共享的密钥，函数值C K（M）是定长的认证码。认证码被附加到消息后以M方式一并发送给接收方，接收方通过重新计算MAC以实现对M的认证。 3、 数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，并与解密的摘要信息进行对比，若相同则说明收到的信息完整，在传输过程中未被修改；否则说明信息被修改。 1）签名应与文件是一个不可分割的整体，可以防止签名被分割后替换文件，替换签名等形式的伪造。 2）签名者事后不能否认自己的签名。 3）接收者能够验证签名，签名可唯一地生成，可防止其他任何人的伪造。 4）当双方关于签名的真伪发生争执时，一个仲裁者能够解决这种争执。 4、 身份认证是指证实主体的真实身份与其所声称的身份是否相符的过程。它通过特定的协议和算法来实现身份认证。身份认证的目的是防止非法用户进入系统； 访问控制机制将根据预先设定的规则对用户访问某项资源进行控制，只有规则允许才能访问，违反预定安全规则的访问将被拒绝。访问控制是为了防止合法用户对系统资源的非法使用。 5、 1）基于口令的认证技术：当被认证对象要求访问提供服务的系统时，提供服务的认证方要求被认证对象提交口令信息，认证方收到口令后，将其与系统中存储的用户口令进行比较，以确认被认证对象是否为合法访问者。 2）双因子认证（Two-factor Authentication）：一个因子是只有用户本身知道的密码，可以是默记的个人认证号（PIN）或口令；另一个因子是只有该用户拥有的外部物理实体—

2019信息网络安全专业技术人员继续教育(信息安全技术)习题及答案

信息安全技术 第一章概述 第二章基础技术 一、判断题 1.加密技术和数字签名技术是实现所有安全服务的重要基础。（对） 2.对称密码体制的特征是:加密密钥和解密密钥完全相同,或者一个密钥很容易从另ー个密钥中导出。（对） 3.对称密钥体制的对称中心服务结构解决了体制中未知实体通信困难的问题。（错） 4.公钥密码体制算法用一个密钥进行加密,!而用另一个不同但是有关的密钥进行解密。（对） 5.公钥密码体制有两种基本的模型:一种是加密模型,另一种是解密模型（错） 6.Rabin体制是基于大整数因子分解问题的,是公钥系统最具典型意义的方法。（错） 7.对称密码体制较之于公钥密码体制具有密钥分发役有安全信道的限制,可实现数字签名和认证的优点。（错） 8.国密算法包括 SM2,SM3和SM4. （对）

9.信息的防篡改、防删除、防插入的特性称为数据完整性保护。（对） 10.Hash函数的输人可以是任意大小的消息，其输出是一个长度随输入变化的消息摘要。（错） 11.数字签名要求签名只能由签名者自己产生。（对） 12、自主访问控制(DAC)是基于对客体安全级别与主体安全级别的比较来进行访问控制的。（错） 13.基于角色的访问控制(RBAC)是基于主体在系统中承担的角色进行访问控制，而不是基于主体的身份。（对） 二、多选题 1.公钥密码体制与以前方法的区别在于()。 A.基于数学函数而不是替代和置换B、基于替代和置换 C.是非对称的，有两个不同密钥 D.是对称的，使用一个密钥 2.公钥密码的优势体现在()方面。 A.密钥交换 B.未知实体间通信 C.保密服务 D.认证服务 3.以下属于非对称算法的是()。 A.RSA B.DSA C.AES D.ECC 4.密钥生命周期过程包括( )

信息安全技术课后习题答案 俞承杭版

信息安全技术复习资料 第一章 1.对于信息的功能特征，它的____基本功能_____在于维持和强化世界的有序性 动态性。 2.对于信息的功能特征，它的____社会功能____表现为维系社会的生存、促进人类文明的进步和自身的发展。 3.信息技术主要分为感测与识别技术、__信息传递技术__、信息处理与再生技术、信息的施用技术等四大类。 4.信息系统是指基于计算机技术和网络通信技术的系统，是人、____规程_________、数据库、硬件和软件等各种设备、工具的有机集合。 5.在信息安全领域，重点关注的是与____信息处理生活周期________相关的各个环节。 6.信息化社会发展三要素是物质、能源和____信息________。 7.信息安全的基本目标应该是保护信息的机密性、____完整性________、可用性、可控性和不可抵赖性。 8.____机密性________指保证信息不被非授权访问，即使非授权用户得到信息也无法知晓信息的内容，因而不能使用。 9.____完整性________指维护信息的一致性，即在信息生成、传输、存储和使用过程中不应发生人为或非人为的非授权篡改。 10._____可用性_______指授权用户在需要时能不受其他因素的影响，方便地使用所需信息。这一目标是对信息系统的总体可靠性要求。 11.____可控性________指信息在整个生命周期内都可由合法拥有者加以安全的控制。 12.____不可抵赖性________指保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为。 13.PDRR模型，即“信息保障”模型，作为信息安全的目标，是由信息的____保护____、信息使用中的___检测____、信息受影响或攻击时的____响应____和受损后的___恢复____组成的。 14.当前信息安全的整体解决方案是PDRR模型和___安全管理_________的整合

信息安全保障指标体系及评价方法第1部分概念和模型

国家标准《信息安全保障指标体系及评价方法第1部分 概念和模型》（送审稿）编制说明 1.工作简况 1.1. 任务来源 根据国家标准化管理委员会2009年下达的国家标准制修订计划，国家标准《信息安全技术信息安全保障指标体系及评价方法》由国家信息中心负责主办，标准计划号为20090326-T-469。 为回答“中办27号[2003] 文件”《国家信息化领导小组关于加强信息安全保障工作的意见》提出的各项任务的建设情况，包括所建设的信息安全保障体系处于什么水平，是否达到了预期的目标，基础信息网络和重要信息系统的综合保障态势等内容。原国务院信息办、国家信息化专家委提出开展“信息安全保障评价指标体系”研究的构想。2005年7月，原国务院信息办、国家信息化专家咨询委员会成立了“信息安全保障评价指标体系研究”课题组，开始着手对这一问题开展研究。总体组设在国家信息中心，另设有广电、电信、移动、电力、金融、互联网、涉密信息系统、电子政务门户网站等八个子课题组。2009年，项目在全国信息安全标准化委员会立项编制成国家标准。2011年，标准研制工作得到了国家发改委信息安全专项《国家信息安全保障评价指标标准体系建设项目》的支持。 1.2. 编制目的 本标准主要解决国家信息安全保障工作的评价问题。 1.3. 主要工作过程 1、2005年6月-2008年2月，国家信息化专家咨询委员会对“信息安全保障评价指标体系”进行立项研究，开始信息安全保障评价指标体系的研究和标准的建设工作。在前期研究过程中，项目组研究人员团结协作，为标准体系建设奠定了坚实的基础： ①为基础信息网络和重要信息系统评价提出了一个理论框架，各系统在此框架下展开具体指标的设计工作； ②给出了国家宏观指标的设计方案； ③各系统根据自身特点，在统一框架下初步完成各自的指标设计，完成了

5步构建信息安全保障体系

5步构建信息安全保障体系 随着信息化的发展，政府或企业对信息资源的依赖程度越来越大，没有各种信息系统的支持，很多政府或企业其核心的业务和职能几乎无法正常运行。这无疑说明信息系统比传统的实物资产更加脆弱，更容易受到损害，更应该加以妥善保护。而目前，随着互联网和网络技术的发展，对于政府或企业的信息系统来讲，更是面临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系，来有效的保障信息系统的全面安全。于是，信息安全保障体系应运而生，其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设，让政府或企业的信息系统面临的风险能够达到一个可以控制的标准，进一步保障信息系统的运行效率。 通常所指的信息安全保障体系包含了信息安全的管理体系、技术体系以及运维体系。本文将重点介绍信息安全管理体系的建设方法。 构建第一步确定信息安全管理体系建设具体目标 信息安全管理体系建设是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分，通过信息安全治理来达到具体的建设目标。 信息安全的组织体系：是指为了在某个组织内部为了完成信息安全的方针和目标而组成 的特定的组织结构，其中包括：决策、管理、执行和监管机构四部分组成。

信息安全的策略体系：是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。策略体系从上而下分为三个层次： 第一层策略总纲 策略总纲是该团体组织内信息安全方面的基本制度，是组织内任何部门和人不能违反的，说明了信息安全工作的总体要求。 第二层技术指南和管理规定 遵循策略总纲的原则，结合具体部门、应用和实际情况而制定的较专业要求和方法以及技术手段。包括以下两个部分： 技术指南：从技术角度提出要求和方法； 管理规定：侧重组织和管理，明确职责和要求，并提供考核依据。 第三层操作手册、工作细则、实施流程 遵循策略总纲的原则和技术指南和管理规定，结合实际工作，针对具体系统，对第二层的技术指南和管理规定进行细化，形成可指导和规范具体工作的操作手册及工作流程，保证安全工作的制度化、日常化。 构建第二步确定适合的信息安全建设方法论 太极多年信息安全建设积累的信息安全保障体系建设方法论，也称 “1-5-4-3-4”。即：运用1个基础理论，参照5个标准，围绕4个体系，形成3道防线，最终实现4个目标。

全国计算机等级考试三级信息安全技术知识点总结

第一章信息安全保障概述 1、1信息安全保障背景 1.什么就是信息？ 事物运行的状态与状态变化的方式。 2.信息技术发展的各个阶段？ a、电讯技术的发明 b、计算机技术发展 c、互联网的使用 3.信息技术的消极影响？ 信息泛滥、信息污染、信息犯罪。 4.信息安全发展阶段？ a、信息保密 b、计算机安全 c、信息安全保障 5.信息安全保障的含义？ 运行系统的安全、系统信息的安全 6.信息安全的基本属性？ 机密性、完整性、可用性、可控性、不可否认性 7信息安全保障体系框架？ 保障因素:技术、管理、工程、人员 安全特征:保密性、完整性、可用性 生命周期:规划组织、开发采购、实施交付、运行维护、废弃8.P2DR模型？ 策略(核心)、防护、监测、响应 9.IATF信息保障的指导性文件？

核心要素:人员、技术(重点)、操作 10、IATF中4个技术框架焦点域？ a、保护本地计算环境 b、保护区域边界 c、保护网络及基础设施 d、保护支持性基础设施 11.信息安全保障工作的内容？ a、确定安全需要 b、设计实施安全方案 c、进行信息安全评测 d、实施信息安全监控与维护 12.信息安全评测的流程？ 见课本p19图1、4 受理申请、静态评测、现场评测、风险分析 13.信息监控的流程？ 见课本p20图1、5 受理申请、非现场准备、现场准备、现场监控、综合分析 1、1、1信息技术及其发展阶段 信息技术两个方面:生产:信息技术产业;应用:信息技术扩散 信息技术核心:微电子技术,通信技术,计算机技术,网络技术 第一阶段,电讯技术的发明;第二阶段,计算机技术的发展;第三阶段,互联网的使用1、1、2信息技术的影响 积极:社会发展,科技进步,人类生活 消极:信息泛滥,信息污染,信息犯罪 1、2信息安全保障基础