信息系统安全评测与风险评估试题及答案
信息系统安全评测与风险评估试题
姓名分数
一:填空题(36 分)
1. 信息安全评测实际上蕴含着丰富的思想内涵,严肃的(),严谨的(),严格的()以及极具魅力的评测技巧,是一个科学和艺术圆满结合的领域。
2. 在评测一个信息系统的数据安全时,国家标准要求从数据完整性,数据()性和数据的()与恢复三个环节来考虑。
3. 资产分类的方法较多,大体归纳为2 种,一种是“自然形态” ,即按照系统组成成分和服务内容来分类,如分成“数据,软件(),服务(),其他”六大类,还可以按照“信息形态”将资产分
为“信息,()和()三大类。
4.资产识别包括资产分类和(
)两个环节。
5.威胁的识别可以分为重点识别和()
6.脆弱性识别分为脆弱性发现()脆弱性验证和()
7.风险的三个要素是资产()和()
8.应急响应计划应包含准则,()预防和预警机制()()和附件6 个基本要素。二:问答题:(64 分)
1. 什么是安全域目前中国划分安全域的方法大致有哪些(10 分)
2. 数据安全评测是主要应用哪三种方法进行评测你如何理解(10 分)
3. 国家标准中把主机评测分为哪八个环节你如何理解(10 分)
4. 什么是资产和资产价值什么是威胁和威胁识别什么是脆弱性
(14 分)
5. 什么是风险评估如何进行风险计算(20 分)
答案
一:填空题答案:
1. 科学精神工作作风
2. 保密性备份
3. 硬件人员信息载体和信息环境
4. 资产赋值
5. 全面识别
6. 脆弱性分类脆弱性赋值
7. 脆弱性威胁
8. 角色及职责应急响应流程
二:问答题答案:
1. 安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一起。目
前,中国划分安全域的方法大致归纳有资产价值相似性安全域,业务应用相似性安全域,安全需求相似性安全域和安全威胁相似性安全域。
2. 国家标准中要求信息安全评测工程师使用“访谈”,“检查” 和“测
试”这三种方法进行评测。
访谈:指评测人员通过与信息系统有关人员进行交流,讨论等活
动,获取证据以证明信息系统安全等级保护措施是否有效的一种方法。
检查:指评测人员通过对测评对象进行观察,检查和分析等活动,获取证据证明信息系统安全等级保护措施是否有效的一种方法。测试:指评测人员通过对测评对象按照预定的方法/ 工具使其产生特定的行为等活动,然后查看,分析输出结果,获取证据以证明信息系统安全等级保护措施是否有效的一种方法。
3. 身份鉴别自主访问控制强制访问控制安全审计剩余信息保护入侵防范
恶意代码防范
4. 资产是对组织具有价值的信息或资源,是安全策略保护的对象资产价值是
资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的租用内容。
威胁指可能导致对系统或组织危害的事故潜在的起因。脆弱性指可能被威胁利用的资产或若干资产的薄弱环节。脆弱性识别,指分析和度量可能被威胁利用的资产薄弱环节的过程
5. 风险评估指,依照国家有关标准对信息系统及由其处理,传输和存储的信
息的保密性,完整性和可用性等安全属性进行分析和评价的过程。它要分析资产面临的威胁及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一但发生对组织造成的影响。
风险计算的形式化表示为:
风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))
R 表示风险计算函数
T 表示威胁
V 表示脆弱性
计算事件发生的可能性=L (威胁出现的频率,脆弱性) =L (T,V) 安全事件造成的损失=F ( 资产价值,脆弱性严重程度)=F(Ia,Va)
信息系统建设方案风险评估方法
信息系统建设项目风险评估方法 作者:齐建伟齐润婷,PMU会员 评估这个词并不陌生,但项目风险评估在我国的应用还不太广泛,信息系统建设项目的风险评估的应用就更少了。实际上,几乎干什么事情都或多或少地存在着风险,对于我们已经顺利完成了的项目,只不过是我们在不知不觉中克服了风险而已,而那些没有进行到底而流产的项目,则是典型的风险发作。项目中途流产,一般要造成很大的经济损失,这时,我们往往把原因归咎于客观,而不从自身的管理、技术条件等方面查找原因。风险评估和天气预测相类似,是 预测项目风险的。 有了风险评估才能更的进行风险跟踪与控制,是现代化项目管理中的重要手段,也是使公司在市场竞争中立于不败之地的重要保障。经过风险评估,可以找到项目的中主要风险所在,如果风险过大,没有能力回避,那么我们就可以提前放弃该项目,如果风险在可以控制的范围内,我们就可以承接该项目,并制定相应的风险控制措施。风险评估不只 是简单的凭空想象,必须进行量化后才能方便操作。 对信息系统建设项目来说,项目风险的类型可分为项目的大小与范围、数据处理能力、技术能力与经验、管理模式、项目运作环境几大类。风险评估的模型不是固定的,还没有统一的固定模式,计算机公司可根据自身条件制定适合本公司的模式。下面是根据本人的经验并参考国外的经验制作的一套评估模型,供读者参考。 表中提及的“数据处理”是指系统模块开发与代码编写;“公司”是指项目组所属公司;“用户”是指项目完成后的系统用户;“供货商”是指向项目组提供软硬件设备的经销商。 每一项问答都有几个选择答案,答案的后面是风险要素因子,将此因子与该项的系数相乘即可得到该项的风险值。回答完所有问题之后,分别得到各项的风险总和,用分项的合计值所占总数的百分比来衡量项目风险的大小。风险有分项风险和总体风险,一般认为,百分比在40%以下为低风险,40-70%为中风险,70%以上为高风险,各公司可根据自己 的承受风险的能力,来确定具体控制指标。 1、项目大小与范围的风险
信息安全技术 信息系统安全等级保护测评要求.doc
信息安全技术信息系统安全等级保护基本要求 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)等有关文件要求,制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南; ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求; ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。 一般来说,信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。本标准针对信息系统中的单项安全措施和多个安全措施的综合防范,对应地提出单元测评和整体测评的技术要求,用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。整体测评根据安全控制点间、层面间和区域 间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。本标准给出了等级测评结论中应包括的主要内容,未规定给出测评结论的具体方法和量化指标。 如果没有特殊指定,本标准中的信息系统主要指计算机信息系统。在本标准文本中,黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。 信息系统安全等级保护测评要求 1 范围 本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求,包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测 评要求。本标准略去对第五级信息系统进行单元测评的具体内容要求。 本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使 用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否 可使用这些文件的最新版本。不注日期的引用文件,其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分:安全 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 3 术语和定义 GB/T 5271.8和GB/T 22239-2008所确立的以及下列术语和定义适用于本标准。
信息安全测评服务简介
信息安全测评和服务 1信息安全风险评估 对客户单位所有信息系统进行风险评估,每半年评估一次,评估后出具详细的评估报告。评估范围为所有业务系统及相关的网络安全资产,内容具体包括: (1)漏洞扫描:通过工具对网络系统内的操作系统、数据库和网站程序进行自动化扫描, 发现各种可能遭到黑客利用的各种隐患,包括:端口扫描,漏洞扫描,密码破解,攻击测试等。 (2)操作系统核查:核查操作系统补丁安装、进程、端口、服务、用户、策略、权限、审 计、内核、恶意程序等内容,对用户当前采取的风险控制措施和管理手段的效果进行评估,在针对性、有效性、集成特性、标准特性、可管理特性、可规划特性等六个方面进行评估。 (3)数据库核查:主要是对数据库管理系统的权限、口令、数据备份与恢复等方面进行核 查。 (4)网络及安全设备核查:网络及安全设备核查主要是针对网络及安全设备的访问控制策 略进行检查,确定是否开放了网站服务以外的多余服务。 (5)病毒木马检查:通过多种方式对机器内异常进程、端口进行分析,判断是
否是木马或病毒,研究相关行为,并进行查杀。 (6)渗透测试:模拟黑客的各种攻击手段,对评估过程中发现的漏洞安全隐患进行攻击测 试,评估其危害程度,主要有:弱口令、本地权限提升、远程溢出、数据库查询等。 测评次数不低于两次,在有重大安全漏洞或隐患出现时,及时采取有针对性的渗透测试。 2、信息安全加固 针对评估的结果,协助客户单位对应用系统中存在的安全隐患进行安全加固。加固内容包括: 操作系统安全加固; 基本安全配置检测和优化 密码系统安全检测和增强 系统后门检测 提供访问控制策略和安全工具 增强远程维护的安全性 文件系统完整性审计 增强的系统日志分析 系统升级与补丁安装 (1)网络设备安全加固; 严格的防控控制措施 安全审计 合理的vlan划分 不必要的IOS服务或潜在的安全问题 路由安全 抵抗拒绝服务的网络攻击和流量控制 广播限制 (2)网络安全设备安全加固; 防火墙的部署位置、区域划分 IDS、漏洞扫描系统的部署、VPN网关部署 安全设备的安全防护措施配置加固
社会稳定风险评估合同模板
社会稳定风险评估 同 合同书编号:TSXX 项目名称:XX项目社会稳定风险评估 委托方:XX公司
受托方:XX公司
委托方与受托方基本信息 委托方(甲方):XX公司 法定代表人: 项目联系人: 地址: 公司电话号码: 联系人电话号码: 受托方(乙方):XX公司 法定代表人:XXX 项目联系人:XXX 开户银行:XXX 帐号:XXX 公司电话:XXX 联系人电话:XXX E-m ail: XXX 地址:XXX 签约地点:
签约时间: 根据《中华人民共和国合同法》和《贵阳市重大事项社会稳定风险评估办法(试行)》有关规定,本着意思自愿原则,经双方协商一致,由甲方委托乙方开展社会稳定风险评估工作。为使双方恪守约定,特订立本合同。 第一条项目名称:XX项目 第二条社会稳定风险评估工作主要内容 项目社会稳定风险评估工作主要涉及《项目社会稳定风 险报告》(以下简称《报告》)编制和《报告》风险等级评价,实行分别计价。 第三条委托工作内容 甲方自愿委托乙方就双方在第XX条中约定的项目开展社会稳定风险评估工作。自本合同签字之日起,视为甲方正式授权委托乙方开展社会稳定风险评估工作,具体委托工作内容为下列第XX项。 1.项目《报告》编制工作; 2.项目《报告》风险评价及报审复核工作。 第四条甲方提交材料及时限 甲方在合同签订之日起XX个工作日内,向乙方提供所有与该项目有关的数据和资料,并对资料的准确性、真实性负责。具体为以下:XX项。 1.项目申请报告、项目报建书等;(纸质及原件扫描件) 2.项目相关立项批复和附件,包括发改、规划、环保等部门,
相关的文件和会议纪要; 3.环境影响评价报告,初步环境影响评价的主要情况和结 论; 4.项目所在地周边区域社情民意及重大不稳定隐患情况; 5?该工程设计总图,施工图根据自愿原则由甲方决定是否提供; 6.其它按照国家和地方相关法律、法规和政策要求与社会稳定风险 评估工作相关的资料。 第五条甲方配合开展的工作 1.协助开展宣传公示、民意查工作; 2.协助组织有关会务工作; 3.提供与社会稳定风险评估相关的其他工作便利。 第六条工作成果交付 1.乙方在甲方提交完第四条所约定的材料之日起XX个工作 日内开展调研工作并提交《报告》初稿在《报告》编制后 XX个工作日内完成报告修改、评价与报审复核工作; 2.乙方在完成初稿后向甲方提供以乙方名义编制的《报告》 XX份(仅用于审阅);在完成风险等级评价及报审复核后, 乙方最终向甲方提供经行政主管部门复核的《报告》5份。第七条商业保密 1.甲、乙双方对对方提供的所有材料(文件)均应该做到绝
信息系统安全风险评估案例分析
信息系统安全风险评估案例分析 某公司信息系统风险评估项目案例介绍 介绍内容:项目相关信息、项目实施、项目结论及安全建议。 一、项目相关信息 项目背景:随着某公司信息化建设的迅速发展,特别是面向全国、面向社会公众服务的业务系统陆续投入使用,对该公司的网络和信息系统安全防护都提出了新的要求。为满足上述安全需求,需对该公司的网络和信息系统的安全进行一次系统全面的评估,以便更加有效保护该公司各项目业务应用的安全。 项目目标:第一通过对该公司的网络和信息系统进行全面的信息安全风险评估,找出系统目前存在的安全风险,提供风险评估报告。并依据该报告,实现对信息系统进行新的安全建设规划。构建安全的信息化应用平台,提高企业的信息安全技术保障能力。第二通过本次风险评估,找出公司内信息安全管理制度的缺陷,并需协助该公司建立完善的信息安全管理制度、安全事件处置流程、应急服务机制等。提高核心系统的信息安全管理保障能力。 项目评估范围:总部数据中心、分公司、灾备中心。项目业务系统:核心业务系统、财务系统、销售管理统计系统、内部信息门户、外部信息门户、邮件系统、辅助办公系统等。灾备中心,应急响应体系,应急演练核查。
评估对象:网络系统:17个设备,抽样率40%。主机系统:9台,抽样率50%。数据库系统:4个业务数据库,抽样率100%。 应用系统:3个(核心业务、财务、内部信息门户)安全管理:11个安全管理目标。 二、评估项目实施 评估实施流程图:
项目实施团队:(分工) 现场工作内容: 项目启动会、系统与业务介绍、系统与业务现场调查、信息资产调查统计、威胁调查统计、安全管理问卷的发放回收、网络与信息系统评估信息获取、机房物理环境现场勘察、系统漏洞扫描、系统运行状况核查。 评估工作内容: 资产统计赋值、威胁统计分析并赋值、各系统脆弱性分析、系统漏洞扫描结果分析、已有安全措施分析、业务资产安全风险的计算与分析、编写评估报告。 资产统计样例(图表)
信息安全测评工具
信息安全等级保护测评工具选用指引 一、必须配置测试工具 (一)漏洞扫描探测工具。 1.网络安全漏洞扫描系统。 2.数据库安全扫描系统。 (二)木马检查工具。 1.专用木马检查工具。 2.进程查看与分析工具。 二、选用配置测试工具 (一)漏洞扫描探测工具。 应用安全漏洞扫描工具。 (二)软件代码安全分析类。 软件代码安全分析工具。 (三)安全攻击仿真工具 (四)网络协议分析工具 (五)系统性能压力测试工具 1.网络性能压力测试工具 2.应用软件性能压力测试工具 (六)网络拓扑生成工具 (七)物理安全测试工具 1.接地电阻测试仪 2.电磁屏蔽性能测试仪 (八)渗透测试工具集 (九)安全配置检查工具集 (十)等级保护测评管理工具 综合工具: 漏洞扫描器:极光、Nessus、SSS等; 安全基线检测工具(配置审计等):能够检查信息系统中的主机操作系统、数据库、网络设备等; 渗透测试相关工具:踩点、扫描、入侵涉及到的工具等; 主机:sysinspector、Metasploit、木马查杀工具、操作系统信息采集与分析工具(Win,Unix)、日志分析工具、数据取证工具(涉密); 网络:Nipper(网络设备配置分析)、SolarWinds、Omnipeek、laptop(无线检测工具); 应用:AppScan、Webinspect、FotifySCA、Sql injection tools、挂马检测工具、webravor等。
信息安全测评工具 五大网络安全评估工具 1.Wireshark Wireshark(原名Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。 工作流程 (1)确定Wireshark的位置。如果没有一个正确的位置,启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。 (2)选择捕获接口。一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获到的其它数据对自己也没有任何帮助。 (3)使用捕获过滤器。通过设置捕获过滤器,可以避免产生过大的捕获文件。这样用户在分析数据时,也不会受其它数据干扰。而且,还可以为用户节约大量的时间。 (4)使用显示过滤器。通常使用捕获过滤器过滤后的数据,往往还是很复杂。为了使过滤的数据包再更细致,此时使用显示过滤器进行过滤。 (5)使用着色规则。通常使用显示过滤器过滤后的数据,都是有用的数据包。如果想更加突出的显示某个会话,可以使用着色规则高亮显示。 (6)构建图表。如果用户想要更明显的看出一个网络中数据的变化情况,使用图表的形式可以很方便的展现数据分布情况。 (7)重组数据。Wireshark的重组功能,可以重组一个会话中不同数据包的信息,或者是一个重组一个完整的图片或文件。由于传输的文件往往较大,所以信息分布在多个数据包中。为了能够查看到整个图片或文件,这时候就需要使用重组数据的方法来实现。 Wireshark特性: ?支持UNIX和Windows平台 ?在接口实时捕捉包 ?能详细显示包的详细协议信息 ?可以打开/保存捕捉的包 ?可以导入导出其他捕捉程序支持的包数据格式 ?可以通过多种方式过滤包 ?多种方式查找包 ?通过过滤以多种色彩显示包 ?创建多种统计分析 Wireshark不是入侵侦测系统(Intrusion Detection System,IDS)。对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。然而,仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark 不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。 Wireshark不能提供如下功能: ?Wireshark不是入侵检测系统。如果他/她在您的网络做了一些他/她们不被允许的奇怪的事情,Wireshark不会警告您。但是如果发生了奇怪的事情,Wireshark可能对察看发生了什么会有所帮助。 ?Wireshark不会处理网络事务,它仅仅是“测量”(监视)网络。Wireshark
信息系统风险评估服务合同
信息系统风险评估服务合同 XXXXX XM牛科技有限公 司 二?一二年三月九日
甲方:XXXXXXXXXXXXXXXXXXXXXXXXXX 乙方:XXXXX X^科技有限公司__________________________________ 地址:_____ 地址_____ 电话:_4 _________________________ 电话:____________________________ 传真:____________________________ 传真:____________________________ 根据《中华人民共和国合同法》,经甲乙双方友好协商,甲方决定请具有风险评估服务资格的第三方对其计算机信息系统提供安全检查服务,乙方是具有风险评估检查资格的服务商,并愿意按照国家等级保护相关法规、国家标准及其它评估要求提供服务。双方就具体细节达成一致意见,特签署本合同。 一、产品标的 本合同项下,甲方同意向乙方购买、乙方同意售于甲方下列服务产品: 报价包含人工、运输、项目管理、调试等费用。 、服务周期、地点、方式 服务周期:_10—个工作日。 服务地点:甲方机房甲方技术对接人:秦城
服务方式:上门咨询评估服务。 三、付款方式 1?本次咨询评估的费用以人民币支付。 2?信息系统风险评估服务费用总金额元。自合同签订之日起5个工作日甲方凭乙方 提交的有效票据向乙方支付合同总金额的 四、双方的权利和义务 甲方的权利和义务 1?甲方须向为乙方提供相关人员询问的便利,并提供专门人员配合评估; 2?甲方须为乙方提供有关风险评估活动其他便利; 3?甲方应在合同签订后,评估工作开始前三个工作日,向乙方提供进行风险评估活动范围内相关的文档资料、图纸、技术资料和相关设备的登陆方式等; 4?本合同期内,若甲方安排第三方对本合同约定范围内硬件设备实施改造、修理、调试、更换及系统变更的,应在实施前书面通知乙方并征得乙方的同意,并在实施结束时通知乙方对设备进行检查测评。 5.在遇到突发事件时,有权要求乙方的技术人员协助工作,乙方亦有义务配合甲方工作; 6?可随时以各种形式就乙方提供的服务向乙方提出建议,乙方应认真听取并及时纠正其服务中 存在的问题; 7?有权阻止乙方技术人员进入与本合同约定服务无关的甲方设备机房; 8?甲方要求提供超越本合同所列的服务内容时,所发生的费用由甲方承担,乙方以书面报价单的形式报甲方同意后实施服务; 9?乙方保证不擅自将甲方提供的纸质及电子文档复制给其他单位或个人; 10?甲方保证按时付清款项。 乙方的权利和义务 1?根据甲方的要求和本合同的约定,乙方于________________ 年__________ 月_____________ 日起组织评估工作的技术人员针对甲方的信息系统进行为期匹个工作日的网站等级保护评估与信息系统风险 评估服务活动; 2?乙方应在合同签订后3个工作日内拟定风险评估实施方案,经甲方同意后,乙方按照实施方 案进行评估检查活动;
信息安全等级测评师测试题
信息安全等级测评师测试题
信息安全等级测评师测试 一、单选题(14分) 1、下列不属于网络安全测试范畴的是( C ) A. 结构安全 B. 边界完整性检查 C. 剩余信息保护 D. 网络设备防护 2、下列关于安全审计的内容说法中错误的是( D )。 A. 应对网络系统中的网络设备运行情况、网络流量、用户行为等进行 日志记录。 B. 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否 成功及其他与审计相关的信息。 C. 应能根据记录数据进行分析,并生成报表。 D. 为了节约存储空间,审计记录可以随意删除、修改或覆盖。 3、在思科路由器中,为实现超时10分钟后自动断开连接,实现的命令应 为下列哪一个。( A ) A. exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0 10 4、用于发现攻击目标。( A ) A. ping扫描 B. 操作系统扫描 C. 端口扫描 D. 漏洞扫描 5、防火墙提供的接入模式中包括。( ABCD ) A. 网关模式 B. 透明模式 C. 混合模式 D. 旁路接入模式 6、路由器工作在。( C ) A. 应用层 B. 链接层 C. 网络层 D. 传输层 7、防火墙通过__控制来阻塞邮件附件中的病毒。( A ) A.数据控制B.连接控制C.ACL控制D.协议控制 二、多选题(36分) 1、不同设VLAN之间要进行通信,可以通过__。( A B ) A交换机B路由器C网闸 D入侵检测 E入侵防御系统2、能够起到访问控制功能的设备有__。( ABD ) A网闸 B三层交换机 C入侵检测系统 D防火墙 3、路由器可以通过来限制带宽。( ABCD ) A.源地址 B.目的地址 C.用户 D.协议 4、IPSec通过实现密钥交换、管理及安全协商。(CD) A. AH B. ESP C. ISAKMP/Oakley D. SKIP 5、交换机可根据____来限制应用数据流的最大流量。( ACD ) A.IP地址 B.网络连接数 C.协议 D.端口 6、强制访问控制策略最显著的特征是_____。( BD ) A.局限性 B.全局性 C.时效性 D.永久性 7、防火墙管理中具有设定规则的权限。( CD ) A.用户 B.审计员 C.超级管理员 D.普通管理员 8、网络设备进行远程管理时,应采用协议的方式以防被窃听。 (AC) A. SSH B. HTTP C. HTTPS D. Telnet E.FTP 9、网络安全审计系统一般包括(ABC )。 A.网络探测引擎 B.数据管理中心C审计中心 D声光报警系统
信息安全等级保护测评自查
信息系统安全等级保护测评自查 (三级) 单位全称:XXX 项目联系人:XX X :XXX :XXX 1被测信息系统情况 1.1承载的业务情况 市XXX系统,XX年投入使用,包括X台服务器、X台网络设备和X台安全设备。市XXX系统是为市XXX(系统简介)。 1.2网络结构 给出被测信息系统的拓扑结构示意图,并基于示意图说明被测信息系统的网络结构基本情况,包括功能/安全区域划分、隔离与防护情况、关键网络和主机设备的部署情况和功能简介、与其他信息系统的互联情况和边界设备以及本地备份和灾备中心的情况。 市XXX系统由边界安全域、核心安全域和服务器安全域等三个功能区域组成,主要有XXX功能。各功能区都位于XX机房。具体拓扑如下:
图2-1 市XXX系统拓扑图 备注:需注明网络出口(电信,电子资源政务中心、XXX等) 1.3系统备案情况 市XXX系统备案为X级,系统备案编号为X,备案软件显示系统防护为SXAXGX 2系统构成 2.1机房 2.2网络设备 以列表形式给出被测信息系统中的网络设备。
2.3安全设备 以列表形式给出被测信息系统中的安全设备。 2.4服务器/存储设备 以列表形式给出被测信息系统中的服务器和存储设备,描述服务器和存储设备的项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。 1设备名称在本报告中应唯一,如xx业务主数据库服务器或xx-svr-db-1。
2.5终端 以列表形式给出被测信息系统中的终端,包括业务管理终端、业务终端和运维终端等。 2.6 业务应用软件 以列表的形式给出被测信息系统中的业务应用软件(包括含中间件等应用平台软件),描述项目包括软件名称、主要功能简介。
信息系统安全风险评估的形式
信息系统安全风险评估的形式 本文介绍了信息安全风险评估的基本概述,信息安全风险评估基本要素、原则、模型、方法以及通用的信息安全风险评估过程。提出在实际工作中结合实际情况进行剪裁,完成自己的风险评估实践。 随着我国经济发展及社会信息化程度不断加快,信息技术得到了迅速的发展。信息在人们的生产、生活中扮演着越来越重要的角色,人类越来越依赖基于信息技术所创造出来的产品。然而人们在尽情享受信息技术带给人类巨大进步的同时,也逐渐意识到它是一把双刃剑,在该领域“潘多拉盒子”已经不止一次被打开。由于信息系统安全问题所产生的损失、影响不断加剧,信息安全问题也日益引起人们的关注、重视。 信息安全问题单凭技术是无法得到彻底解决的,它的解决涉及到政策法规、管理、标准、技术等方方面面,任何单一层次上的安全措施都不可能提供真正的全方位的安全,信息安全问题的解决更应该站在系统工程的角度来考虑。在这项工作中,信息安全风险评估占有重要的地位,它是信息系统安全的基础和前提。 1.信息安全风险评估概述 信息安全风险评估所指的是信息系统资产因为自身存在着安全弱点,当在自然或者自然的威胁之下发生安全问题的可能性,安全风险是指安全事件发生可能性及事件会造成的影响来进行综合衡量,在信息安全的管理环节中,每个环节都存在着安全风险。信息安全的风险评估所指的是从风险管理的角度看,采用科学的手段及方法,对网络信息系统存在的脆弱性及面临的威胁进行系统地分析,对安全事件发生可能带来的危害程度进行评估,同时提出有针对的防护对策及整改措
施,从而有效地化解及防范信息安全的风险,或把风险控制在能够接受的范围内,这样能够最大限度地为信息安全及网络保障提供相关的科学依据。 2.信息安全风险评估的作用 信息安全风险评估是信息安全工作的基本保障措施之一。风险评估工作是预防为主方针的充分体现,它能够把信息化工作的安全控制关口前移,超前防范。 针对信息系统规划、设计、建设、运行、使用、维护等不同阶段实行不同的信息安全风险评估,这样能够在第一时间发现各种所存在的安全隐患,然后再运用科学的方法对风险进行分析,从而解决信息化过程中不同层次和阶段的安全问题。在信息系统的规划设计阶段,信息安全风险评估工作的实行,可以使企业在充分考虑经营管理目标的条件下,对信息系统的各个结构进行完善从而满足企业业务发展和系统发展的安全需求,有效的避免事后的安全事故。这种信息安全风险评估是必不可少的,它很好地体现了“预防为主”方针的具体体现,可以有效降低整个信息系统的总体拥有成本。信息安全风险评估作为整个信息安全保障体系建设的基础、它确保了信息系统安全、业务安全、数据安全的基础性、预防性工作。因此企业信息安全风险评估工作需要落到实处,从而促进其进一步又好又快发展。 3.信息安全风险评估的基本要素 3.1 使命
信息安全风险评估方案学习资料
第一章网络安全现状与问题 1.1目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而
信息系统风险评估服务合同
信息系统风险评估服务合同 XXXXXX软件科技有限公司 二〇一二年三月九日
甲方: XXXXXXXXXXXXXXXXXXXXXXXXXX 乙方:XXXXXX件科技有限公司 地址:地址 电话: 4 电话: 传真:传真: 根据《中华人民共和国合同法》,经甲乙双方友好协商,甲方决定请具有风险评估服务资格的第三方对其计算机信息系统提供安全检查服务,乙方是具有风险评估检查资格的服务商,并愿意按照国家等级保护相关法规、国家标准及其它评估要求提供服务。双方就具体细节达成一致意见,特签署本合同。 一、产品标的 本合同项下,甲方同意向乙方购买、乙方同意售于甲方下列服务产品: 注:以上报价为人民币含税价。 报价包含人工、运输、项目管理、调试等费用。 二、服务周期、地点、方式 服务周期: 10 个工作日。 服务地点:甲方机房甲方技术对接人:秦城。
服务方式:上门咨询评估服务。 三、付款方式 1.本次咨询评估的费用以人民币支付。 2.信息系统风险评估服务费用总金额元。自合同签订之日起5个工作日甲方凭乙方提交的有效票据向乙方支付合同总金额的 . 四、双方的权利和义务 甲方的权利和义务 1.甲方须向为乙方提供相关人员询问的便利,并提供专门人员配合评估; 2.甲方须为乙方提供有关风险评估活动其他便利; 3.甲方应在合同签订后,评估工作开始前三个工作日,向乙方提供进行风险评估活动范围内相关的文档资料、图纸、技术资料和相关设备的登陆方式等; 4.本合同期内,若甲方安排第三方对本合同约定范围内硬件设备实施改造、修理、调试、更换及系统变更的,应在实施前书面通知乙方并征得乙方的同意,并在实施结束时通知乙方对设备进行检查测评。 5.在遇到突发事件时,有权要求乙方的技术人员协助工作,乙方亦有义务配合甲方工作; 6.可随时以各种形式就乙方提供的服务向乙方提出建议,乙方应认真听取并及时纠正其服务中存在的问题; 7.有权阻止乙方技术人员进入与本合同约定服务无关的甲方设备机房; 8.甲方要求提供超越本合同所列的服务内容时,所发生的费用由甲方承担,乙方以书面报价单的形式报甲方同意后实施服务; 9.乙方保证不擅自将甲方提供的纸质及电子文档复制给其他单位或个人; 10.甲方保证按时付清款项。 乙方的权利和义务 1.根据甲方的要求和本合同的约定,乙方于年月日起组织评估工作的技术人员针对甲方的信息系统进行为期 10个工作日的网站等级保护评估与信息系统风险评估服务活动; 2.乙方应在合同签订后3个工作日内拟定风险评估实施方案,经甲方同意后,乙方按照实施方案进行评估检查活动;
信息安全等级保护初级测评师模拟试题
信息安全等级保护初级测评师模拟试题 集团档案编码:[YTTR-YTPT28-YTNTL98-UYTYNN08]
信息安全等级测评师模拟考试 考试形式:闭卷考试时间:120分钟 一、单选题(每题1.5分,共30分) 1.以下关于等级保护的地位和作用的说法中不正确的是(c) A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2.以下关于信息系统安全建设整改工作工作方法说法中不正确的是:(A) A.突出重要系统,涉及所有等级,试点示范,行业推广,国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是:(B)A A.确定定级对象过程中,定级对象是指以下内容:起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4.安全建设整改的目的是(D) (1)探索信息安全工作的整体思路;(2)确定信息系统保护的基线要求;(3)了解信息系统的问题和差距;(4)明确信息系统安全建设的目标;(5)提升信息系统的安全保护能力; A.(1)、(2)、(3)、(5) B.(3)、(4)、(5)
IT信息管理风险评估及应急预案
信息风险评估及应急预案 一、风险评估: (一)一级风险 1.重要信息系统遭到黑客攻击; 2.计算机病毒破坏信息系统; 3.重要信息系统遭性破坏; 4.系统数据库崩溃或者损坏; 5.重要信息信息系统瘫痪、崩溃,影响生产过程。(二)二级风险 1.集团网站或者OA出现非法信息和不和谐言论等; 2.服务器、数据库账号、密码安全风险; 3.各类信息系统及OA账号、密码安全风险,被盗用等。 二、应急预案: (一)应急流程: 1.相关人员发现信息类风险事件发生,第一时间汇报部门负责人和信息中心负责人; 2.相关技术人员和负责人及时赶到现场、并根据风险及故障发生严重情况,及时向集团相关部门及领导通报实情; 3.信息技术人员针对故障和风险情况,及时开展修复和重建工作;
4.故障恢复或风险解除后,系统使用恢复正常,记录故障处理单; 5. 对于故障发生原因进行分析调查,对责任人进行考核和问责(严重故障及风险事件); (二)具体措施: 1. 一级风险:黑客攻击时的紧急处置措施 (1)相关人员发现业务系统或网站内容被纂改,或通过入侵监测系统发现有黑客正在进行攻击时,应立即向部门、信息中心负责人通报情况。 (2)信息系统技术人员应在三十分钟内响应,并首先应将被攻击的服务器等设备从信息系统中隔离出来,保护现场,并同时向相关部门负责人及领导通报情况。 (3)信息系统技术人员负责被攻击或破坏系统的恢复与重建工作。 (4)信息系统技术人员会同相关调查人员追查非法信息来源。 (5)信息系统技术人员组织相关调查人员会商后,经领导同意,如认为事态严重,则立即向公安部门或上级机关报警。 2. 一级风险:计算机病毒处置措施 (1)当发现有重要系统计算机被感染上病毒后,应立即
信息系统安全等级保护测评过程指南
信息安全技术信息系统安全等级保护测评过程指南 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南; ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求; ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南; ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。 信息安全技术 信息系统安全等级保护测评过程指南 1范围
本标准规定了信息系统安全等级保护测评(以下简称等级测评)工作的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。 2规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件, 其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分:安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》(公通字[2007]43号) 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1
信息系统安全测评工具
信息系统安全测评工具 一、测评工具分类 一)安全测试工具 1、脆弱性扫描工具 脆弱性扫描工具又称安全扫描器或漏洞扫描仪,是目前应用比较广泛的安全测试工具之一,主要用于识别网络、操作系统、数据库、应用的脆弱性,给出修补建议。 1)基于网络的扫描工具:通过网络实现扫描,可以看作是一钟漏洞信息收集工具,根据不同漏洞的特征,构造网络数据包,发给网络中的一个或多个目标,以判断某个特定的漏洞是否存在,能够检测防火墙、IDS等网络层设备的错误配置或者链接到网络中的网络服务器的关键漏洞。 常用工具:天镜脆弱性扫描与管理系统、极光远程安全评估系统、榕基网络隐患扫描系统、Nessus和Nmap等。 2)基于主机的扫描工具:通常在目标系统上安装一个代理(Agent)或者是服务(Services),以便能够访问所有的主机文件与进程,这也使得基于主机的漏洞扫描器能够扫描更多系统层面的漏洞。 常用工具:微软基线安全分析器、日志分析工具和木马查杀工具等。 3)数据库安全扫描工具:通过授权或非授权模式,自动、深入地识别数据库系统中存在的多种安全隐患,包括数据库的鉴别、授权、认证、配置等一系列安全问题,也可识别数据库系统中潜在的弱点,并依据内置的知识库对违背和不遵循数据库安全性策略的做法推荐修正措施。 常用工具:安信通数据库安全扫描工具、明鉴数据库弱点扫描器等商业产品,还有oscanner、Mysqlweak等专项审核工具。 4)Web应用安全扫描工具:通过构造多种形式的Web访问请求,远程访问目标应用特定端口的服务,记录反馈信息,并与内置的漏洞库进行匹配,判断确认Web应用程序中的安全缺陷,确认Web应用程序遭受恶意攻击的危险。 常用工具:AppScan、WebRavor、WebInspect、Acunetix Web Vulnerability Scanner、N-Stealth 等。 2、渗透测试工具 渗透测试需要以脆弱性扫描工具扫描的结果为基础信息,结合专用的渗透测试工具开展模拟探测和入侵,判断被非法访问者利用的可能性,从而进一步判断已知的脆弱性是否真正会给系统或网络带来影响。 常用工具:流光(Fluxay)、Pangolin、Canvas、SQLMap、SQLIer、SQL Power Injector和SQLNinja等。 3、静态分析工具 静态程序分析是指使用自动化或半自动化工具软件对程序源代码进行检查,以分析程序行为的技术,广泛应用于程序的正确性检查、安全缺陷检测、程序优化等。 常用工具:FortifySCA、Checkmark CxSuite、IBM Rational AppScan Source Edition、PC-Lint、KlocWork公司的K7,以及其他的开源软件及商业软件。 二)测评辅助工具 测评辅助工具主要实现对原始数据的采集、现状分析和趋势分析等单项功能,其输出结果可作为了解被测系统某方面特性或现状、进一步开展相关安全测试的输入,也可以直接作为系统安全评估的技术依据。 1、性能测试工具 性能测试工具是通过自动化手段模拟多种正常、峰值以及异常负载条件来对系统或网络
社会稳定风险评估合同
社会稳定风险评估 委 托 合 同 合同书编号:TSXX 项目名称:XX项目社会稳定风险评(古 委托方:XX公司
受托方:XX公司
委托方与受托方基本信息 委托方(甲方):XX公司 法定代表人: 项目联系人: 地址: 公司电话号码: 联系人电话号码: 受托方(乙方):XX公司 法定代表人:XXX 项目联系人:XXX 开户银行:XXX 帐号:XXX 公司电话:XXX 联系人电话:XXX E-ma 订:XXX 地址:XXX 签约地点: 签约时间: 根据《中华人民共和国合同法》和《贵阳市重大事项社会稳定风险评估办法(试行)》有关规定,本着意思自愿原则,经双方协商一
致,由甲方委托乙方开展社会稳定风险评估工作。为使双方恪守约定,特订立本合同。 第一条项目名称:XX项目 第二条社会稳定风险评估工作主要内容 项目社会稳定风险评估工作主要涉及《项目社会稳定风险报告》(以下简称《报告》)编制和《报告》风险等级评价,实行分别计价。 第三条委托工作内容 甲方自愿委托乙方就双方在第XX条中约定的项目开展社会稳定风险评{古工作。自本合同签字之日起,视为甲方正磁权委托乙方开展社会稳定风险评{古工作,具体委H工作内容为下列第XX项。 1.项目《报告》编制工作; 2.项目《报告》风险评价及报审复核工作。 第四条甲方提交材料及时限 甲方在合同签订之日起XX个工作日内,向乙方提供所有与该项目有关的数据和资料,并对资料的准确性、真实性负责。具体为以下:XX项。 1.项目申请报告、项目报建书等;(纸质及原件扫描件) 2.项目相关立项批复和附件,包括发改、规划、环保等部门, 相关的文件和会议纪要; 3.环境影响评价报告,初步环境影响评价的主要情况和结论; 4.项目所在地周边区域社情民意及重大不稳定隐患情况;
信息安全等级测评机构能力要求使用说明(试 行)
信息安全等级保护测评体系建设与测评工作规范性文件 信息安全等级测评机构 能力要求使用说明 (试行) 200×-××-××发布200×-××-××实施公安部信息安全等级保护评估中心
信息安全等级测评机构能力要求使用说明 目录 1范围 (3) 2名词解释 (3) 3基本条件 (3) 4组织管理能力 (4) 5测评实施能力 (6) 6设施和设备安全与保障能力 (10) 7质量管理能力 (12) 8规范性保证能力 (13) 9风险控制能力 (16) 10可持续性发展能力 (17) 11测评机构能力约束性要求 (18)
信息安全等级测评机构能力要求使用说明 前言 公安部颁布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号),决定加快等级保护测评体系建设工作。信息安全等级测评机构的建设是测评体系建设的重要内容,为确保有效指导测评机构的能力建设,规范其测评活动,满足信息安全等级保护工作要求,特制定本规范。 《信息安全等级测评机构能力要求》(以下简称《能力要求》)是等级保护测评体系建设指导性文件之一。本规范吸取国际、国内测评与检查机构能力评定的相关内容,结合信息安全等级测评工作的特点,对测评机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力、风险控制能力、可持续性发展能力等提出基本能力要求,为规范等级测评机构的建设和管理,及其能力评估工作的开展提供依据。
信息安全等级测评机构能力要求使用说明 信息安全等级测评机构能力要求使用说明 1范围 本规范规定了测评机构的能力要求。 本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。 2名词解释 2.1等级测评 等级测评是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 2.2等级测评机构 等级测评机构,是指具备测评机构基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室推荐,从事等级测评工作的机构。 3基本条件 依据《信息安全等级保护测评工作管理规范》(试行),信息安全等级测评机构(以下简称测评机构)应当具备以下基本条件: a)在中华人民共和国境内注册成立(港澳台地区除外); b)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);(具 体要求参见8.2.1) c)产权关系明晰,注册资金100万元以上;(具体要求参见8.2.2) d)从事信息系统检测评估相关工作两年以上,无违法记录;(具体要求参见5.2.1) e)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(具体要求参见 8.2.1) f)具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人; g)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等 级保护管理办法》对信息安全产品的要求;(具体要求参见6.1) h)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度; (具体要求参见4.5) i)对国家安全、社会秩序、公共利益不构成威胁;