有关等级保护现场测评时的一些体会

现场测评是开展等保保护测评一项重要工作过程，目的是跟客户当面沟通，现场检查，获取系统真实安全信息，查找安全问题。

很多同事，尤其是刚参加现场测评的，总感觉难度很大，碰到现场一些问题，不好处理，工作起来顾虑重重，畏手畏脚，总觉得咱是去做服务的，低人一等。

总结来说，现场测评时经常遇到的问题主要有：

一、客户不愿意配合，可能真是是对方很忙，没时间；

二、对等保测评工作轻视，认为是走过程，没啥用；怕被发现

有问题被领导批评；

三、认为我们技术水平不行，弄不出个啥来；

四、担心把我们系统号坏了，出啥问题了。

针对现场中可能遇到的上述这些问题，其中几点我觉的可以从以下两个个方面来应对。

一是，要抱着一种我们是去提供服务的心态去测评，是去帮助他们查找问题，解决问题，防范安全风险的。

二是，要处处为对方着想，站在对方得角度去想事情。不管是跟对方交流还是做事，你只要表现的是为他好为他想，我想，是没有人不会不愿意的。

举例，某被测评公司的人，公司驻场的同事都觉得很可恶，比较难对付，尤其是一个管事的叫xx的家伙，我去现场也多听到其他公

司驻场人员的不满、诉说和抱怨，当时我因为当天工作上要找这个XX沟通，我通过电话事先联系他，在电话中我就一直把他当做领导（实际是小兵一个），始终是说要跟他当面汇报工作，捧着他，我想没有人不享受这种尊重和得意。

在汇报沟通过程中，当我了解到他们公司就两个人在负责做信息系统方面的事，我就说“你们xx公司也太抠了，你们公司领导应该多配点人，像你们现在的工作，管真多，又是机房装修，又是设备安装，还要软件开发部署测试，起码不得招十个八个人才行，这啥都得你们俩干，还不把人累死？！”一番话，立刻引起对方的共鸣，说“哎呀，没办法，要求了，领导不给增加人，我们就是这辛苦命，要不为啥叫你们来驻场帮忙。”

当我听到他说最近整天加班，快累死了，立马就说，“那你这可得注意身体呀，注意休息，别累坏了。”并且我又顺势说，“工作上你别操心恁多，能让其他人干的就让其他人干，你们作为甲方，最主要的是把整个任务计划好，分工好，督促检查好。”听的他连连点头说是。整个沟通聊天过程，我始终为他考虑为他想，他自然很是开心，愉快，整个现场测评工作也就顺顺利利，开心开心搞定。

人心都是肉长的，人和人交往，咱们中国人最看中的就是交情，自古以来都是熟人好办事，你关心他，为他想，话再说的好听点，他自然就会领你的情，乐意跟你配合，合作。正所谓，你敬我一尺，我敬你一丈，就是这个道理。

再说个最近的例子，我们这次去某医院做工具扫描测试，一听

说要用工具扫描他们的数据库，信息中心管数据库的家伙，是一百个不情愿呀，又是叫我们找领导类，又是叫我们写申请并且还得领导签字类，中间我们需要找个纸笔，都叫我去另外一个可远的办公室要去，末了还非要求必须得用A4纸，总之各种刁难呀，各位经常去现场的，遇到类似客户的同仁，都懂，有木有同感？

看这情形，我一方面直接跟他们科长沟通，提出工作要求、希望和想法，一方面积极跟这位大爷沟通。跟科长说的是“咱医院想要测试快点，我们希望能直接接到机房内核心交换上，这边需要你亲自发话安排呢”。一会电话就打过来，一通安排，这位爷就行动起来了，虽说还是不情愿，但还是去照做了。

在这当中我就跟他聊天说，“我们现在做测试扫描，是提前把咱们系统存在的安全问题找出来，及时解决掉，别等到你们医院做评审的时候被发现，在这上被扣分，你那你的责任可就就大了。”一说这，这货态度就慢慢变了，再往后就开始配合我们测试了，到后面，还帮着我们跟其他同事说，把数据库地址都报告过来叫他们都扫描测试一下，看有啥问题，到时候真出问题了也不是咱的责任，一直都下班了还继续耐心陪着我们在机房，等我们全部把要扫描的服务器信息全部录入到漏扫设备，并看着确认设备到点自动开始扫描后，才离开。

从上述我举的现实工作中的例子，我们可以看出，跟我们配合的这些人大多都是普通的技术人员，我们只要多站在对方的角度去说，去做，以是去提供服务，帮助解决问题的态度去现场测评，去沟通，可以说没有搞不定的。

能有啥，记住，他也有领导，有上级，再说咱后面还有公司呢，公司既然能拿下这个项目，那个啥~~啥~~对吧~~~。所以我们根本不用担心，不用有啥顾虑，做事畏手畏脚，感觉低人一等，他们、我们都是跟人家打工做事的，没必要，真的。

（后记：一点个人拙见, 说给同仁们听听 ,权当抛砖引玉。我们一起来交流现场测评中碰到的难题和解决办法, 我现在一直主张，干工作嘛，就要开开心心，咱是来凭自己能力、本事、工作、干活、挣钱、吃饭，干嘛要处处受气， TM 都是人，是不！！？）

安全测试考试题目(全)

软件安全性测试培训考试试卷部门：姓名：一、单选题（30分，每题2分） 1、信息安全系统安全保护等级分为（ C ）。 A、3级 B、4级 C、5级 D、6级 2、从信息安全发展角度，目前主要是确保什么安全（ D ）。 A、通信 B、计算机 C、人 D、信息和信息系统资产 3、防火墙的原则是什么（ B ）。 A、防攻击能力好 B、一切未被允许的就是禁止的！ C、一切未被禁止的都是允许的！ D、是否漏电 4、IDS和IPS的部署模式是（ D ）。 A、都是旁路模式 B、都是在线模式 C、IDS在线模式、IPS旁路模式 D、IDS旁路模式、IPS在线模式 5、VPN是什么（ D ）。 A、安全设备 B、防病毒软件 C、安全测试软件

D、虚拟专用网络 6、下列哪个不是常见的安全设计问题（A ）。 A、数据库表太多 B、密码技术使用的败笔 C、创建自己的密码技术 D、错误的处理私密信息 7、下面哪个不是VPN分类包括的（ A ）。 A、主机对远程用户 B、主机对VPN 网关 C、VPN网关对VPN 网关 D、远程用户对VPN 网关 8、动态测试方法不包括（ D ）。 A、手动分析技术 B、安全扫描 C、渗透测试 D、用户测试 9、最新的WEB系统版本是（ D ）。 A、 B、 C、 D、 10、渗透测试模拟什么角色进行（ A ）。 A、模拟黑客 B、模拟用户 C、模拟系统管理员 D、模拟开发 11、信息系统安全问题产生的外因是什么（ B ）。 A、过程复杂 B、对手的威胁与破坏

C、结构复杂 D、使用复杂 12、关于测试的思想转变，描述正确的是（ A ）。 A、所有系统不允许的事件都去想办法允许。 B、所有系统允许的事件都去想办法不允许。 C、根据用户指定内容进行测试。 D、根据开发人员指定内容进行测试。 13、以下不属于安全测试的辅助工具的是（ D ）。 A、wireshark B、APPSCAN C、Zenmap D、QTP 14、下列哪种不属于WEB系统文件上传功能安全隐患（D）。 A、未限制扩展名 B、未检查文件内容 C、未查杀病毒文件 D、未检查文件大小 15、以下哪种说法是对的（ B ）。 A、关系数据库不需要进行安全测试。 B、通过软件安全测试能够降低安全隐患。 C、通过软件安全测试能够杜绝安全隐患。

信息系统安全等级保护测评过程指南

信息安全技术信息系统安全等级保护测评过程指南引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括： ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南； ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求； ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南； ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。信息安全技术信息系统安全等级保护测评过程指南 1范围

本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。 2规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分：安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字[2007]43号） 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1

等级保护测评试题

一、单选题 1、下列不属于网络安全测试范畴的是（C） A．结构安全B.便捷完整性检查C.剩余信息保护D.网络设备防护 2、下列关于安全审计的内容说法中错误的是（D） A．应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录 B．审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 C．应能够根据记录数据进行分析，并生成审计报表 D．为了节约存储空间，审计记录可以随意删除、修改或覆盖 3、在思科路由器中，为实现超时10分钟后自动断开连接，实现的命令应为下列哪一个（A） A．exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0 10 4、用于发现攻击目标（A） A.ping扫描 B.操作系统扫描 C.端口扫描 D.漏洞扫描 ping扫描：用于发现攻击目标操作系统识别扫描：对目标主机运行的操作系统进行识别端口扫描：用于查看攻击目标处于监听或运行状态的。。。。。。 5、路由器工作在（C） A.应用层 B.链接层 C.网络层 D.传输层 6、防火墙通过____控制来阻塞邮件附件中的病毒。（A） A.数据控制 B.连接控制 C.ACL控制 D.协议控制 7、与10.110.12.29 mask 255.255.255.224属于同一网段的主机IP地址是（B） A.10.110.12.0 B.10.110.12.30 C.10.110.12.31 D.10.110.12.32 8、查看路由器上所有保存在flash中的配置数据应在特权模式下输入命令：（A） A.show running-config B.show buffers C. show starup-config D.show memory 9、路由器命令“Router（config）#access-list 1 permit 192.168.1.1”的含义是：（B） A．不允许源地址为192.168.1.1的分组通过，如果分组不匹配，则结束 B．允许源地址为192.168.1.1的分组通过，如果分组不匹配，则结束 C．不允许目的地址为192.168.1.1的分组通过，如果分组不匹配，则结束 D．允许目的地址为192.168.1.1的分组通过，如果分组不匹配，则检查下一条语句。 10、配置如下两条访问控制列表：

信息安全等级保护测评机构评优标准(试行)

附件2：信息安全等级保护测评机构评优标准（试行）一、编制目的本标准的编制目的是通过统一的评价标准，以打分评价的方式选出工作表现和能力优秀的测评机构，从而鼓励先进、指引测评机构的发展方向。二、指标设定对测评机构的评价指标共设为8项：系统测评数量、测评师数量、工具配备、测评技术能力、业务经营能力、测评管理规范化、省级等保办对机构工作评价、国家等保办对机构工作评价。三、各项指标打分标准指标项前七项满分100分，其中系统测评数量20分、测评师数量10分、工具配备10分、测评技术能力30分、业务经营能力10分、测评管理规范化10分、省级等保办对机构工作评价10分，国家等保办对机构工作评价作为加分项，满分10分。各项指标的打分标准如下：（1）系统测评数量打分标准根据测评系统数量计分，每个二级系统计0.05分，每个三级系统计0.2分，每个四级系统计0.3分，满分20分。测评系统数量依据测评机构当年度1月1日至12月31

日期间所完成的第二级以上信息系统测评数量，以测评报告计数，以每个测评报告首页复印件作为证据（2）测评师数量打分标准 A.测评师人数10-15人，中、高级人员少于4人，得 1分。 B.测评师人数10-15人且中、高级人员不少于4人，得3分。 C.测评师人数16-20人且中、高级人员不少于5人，得5分。 D.测评师人数21-25人且中、高级人员不少于7人，得6分。 E.测评师人数26-30人且中高、级人员不少于9人，得7分。 F.测评师人数31-35人且中高、级人员不少于11人，得8分。 G.测评师人数36-40人且中高、级人员不少于13人，得9分。 H.测评师人数40人以上且中高、级人员不少于15人，得10分。备注：根据测评师证书和社保证明等材料为证据，若机构不同时满足高一级别两个要求，得低一级别分值。（3）工具配备打分标准 A.机构具备安全问题发现类工具：漏洞扫描工具（网络和主机）—1分

信息安全等级保护初级测评师模拟试题

信息安全等级测评师模拟考试考试形式：闭卷考试时间：120分钟一、单选题（每题分，共30分） 1.以下关于等级保护的地位和作用的说法中不正确的是（ c） A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（ A ） A.突出重要系统，涉及所有等级, 试点示范，行业推广，国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是：（B ）A A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4. 安全建设整改的目的是（ D）（1）探索信息安全工作的整体思路；（2）确定信息系统保护的基线要求；（3）了解信息系统的问题和差距；（4）明确信息系统安全建设的目标；（5）提升信息系统的安全保护能力； A.（1）、（2）、（3）、（5）

B.（3）、（4）、（5） C.（2）、（3）、（4）、（5） D.全部 5.下列说法中不正确的是（ A）B A. 定级/备案是信息安全等级保护的首要环节。 B. 等级测评是评价安全保护现状的关键。 C. 建设整改是等级保护工作落实的关键。 D. 监督检查是使信息系统保护能力不断提高的保障。 6.配置如下两条访问控制列表： access-list 1 permit access-list 2 permit 访问控制列表1和2，所控制的地址范围关系是：（ B ）A A. 1和2的范围相同 B. 1的范围在2的范围内 C. 2的范围在1的范围内 D. 1和2的范围没有包含关系 7. Oracle数据库中，以下（ B ）命令可以删除整个表中的数据，并且无法回滚。C A. Drop B. Delete C. Truncate D. Cascade 8.下面哪个不是生成树的优点（ C ）D A. 生成树可以管理冗余链路，在链路发生故障时可以恢复网络连接 B. 生成树可以防止环路的产生 C. 生成树可以防止广播风暴 D. 生成树能够节省网络带宽 9.关于以下配置

等级保护测评项目测评方案-2级和3级标准

信息安全等级保护测评项目测评方案广州华南信息安全测评中心二〇一六年

目录第一章概述 (3) 第二章测评基本原则 (4) 一、客观性和公正性原则 (4) 二、经济性和可重用性原则 (4) 三、可重复性和可再现性原则 (4) 四、结果完善性原则 (4) 第三章测评安全目标（2级） (5) 一、技术目标 (5) 二、管理目标 (6) 第四章测评内容 (9) 一、资料审查 (10) 二、核查测试 (10) 三、综合评估 (10) 第五章项目实施 (12) 一、实施流程 (12) 二、测评工具 (13) 2.1 调查问卷 (13) 2.2 系统安全性技术检查工具 (13) 2.3 测评工具使用原则 (13) 三、测评方法 (14) 第六章项目管理 (15) 一、项目组织计划 (15) 二、项目成员组成与职责划分 (15) 三、项目沟通 (16) 3.1 日常沟通，记录和备忘录 (16) 3.2 报告 (16) 3.3 正式会议 (16) 第七章附录：等级保护评测准则 (19) 一、信息系统安全等级保护 2 级测评准则 (19) 1.1 基本要求 (19) 1.2 评估测评准则 (31) 二、信息系统安全等级保护 3 级测评准则 (88) 基本要求 (88) 评估测评准则 (108)

第一章概述 2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。” 2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出，“通过深化信息安全等级保护，全面推动重要信息系统安全整改和测评工作，增强信息系统安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，提高信息安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设”。由此可见，等级保护测评和等级保护安全整改工作已经迫在眉睫。

等级保护测评题型及考题

1.cisco的配置通过什么协议备份： A.ftp B.tftp C.telnet D.ssh 2.交换机收到未知源地址的帧时： A.广播所有相连的设备 B.丢弃 C.修改源地址转发 D..... 3.功能测试不能实现以下哪个功能： A.漏洞 B.补丁 C.口令策略 D.全网访问控制策略 4.等保3级别中，而已代码应该在___进行检测和清除 A.内网 B.网络边界 C.主机 D..... 5.____是作为抵抗外部人员攻击的最后防线 A.主机安全 B.网络安全 C... D... 6.按照等保要求，第几级开始增加“抗抵赖性”要求： A.一 B.二 C.三 D.四 7.哪项不是开展主机工具测试所必须了解的信息： A.操作系统 B.应用 C.ip D.物理位置 8.查询sql server中是否存在弱口令的sql语句是： A.select name from xx_logins where password is null B.... C..... D.... 9.Oracle查看是否开启审计功能的sql语句是： 10.linux查看目录权限的命令： A. ls -a B.ls -l C. dir -a D. dir -l 不定项： 1.应用的审计日志应包括： A.日期 B.时间 C.时间描述 D.事件结果 E... 2.鉴别信息描述正确的是：

A.鉴别信息就是用户名 B.鉴别信息时明文的 C.鉴别信息时加密的 D.xxx 3.鉴别信息一般包括： A.知道什么 B.具有什么 C.第三方信息 D... 4.以下哪些可以用来对oracle数据库进行配置管理： A.sqlplus B.手工修改实例名_init.ora C... D... 5.按照等保3级要求，应实现对网络上html,_______,pop3,smtp等协议命名级控制 A.ftp B.TELNET C.ssh D.tftp 6.一段cisco的命令信息，结合日志输出，给出4个选项的描述判定判断题： 1.按三级要求，应对非法接入客户端进行检查、定位。 2.按三级要求，并对重要数据、鉴别信息等实现存储保密性。 3.sybase数据库中，未启用xxx则不具备审计功能 4.oracle数据库不能对密码进行复杂度进行设置 5.windows 的power users组具有对事件日志的删除权限 6. 给主机动态分配IP的协议是ARP协议简答题： 1.给出一张检查表，有8条不符合项目，请结合等级保护要求，及你的理解，描述存在的风险，并给出解决建议 2.回答工具测试接入点的原则，及注意事项 3.回答你对安全审计的理解，并结合实际案例说明安全审计的部署（必要时可画图）

信息系统安全等级保护测评及服务要求

成都农业科技职业学院信息系统安全等级保护测评及服务要求一、投标人资质要求 1.在中华人民共和国境内注册成立（港澳台地区除外），具有独立承担民事责任的能力；由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）。（提供营业执照副本、组织机构代码证副本、税务登记证副本复印件）； 2.测评机构应为成都市本地机构或在成都有常驻服务机构； 3. 参选人必须具有四川省公安厅颁发的《信息安全等级保护测评机构推荐证书》； 4. 参选人必须具有近3年内1例以上，市级以上企事业单位信息安全等级保护测评项目的实施业绩（以合同或协议为准）； 5. 参选人须具有良好的商业信誉和健全的财务会计制度；具有履行合同所必需的设备和专业技术能力；具有依法缴纳税收和社会保障资金的良好记录；有良好的财务状况和商业信誉。没有处于被责令停产、财产被接管、冻结或破产状态，有足够的流动资金来履行本项目合同。 6. 参与项目实施人员中应至少具备3名以上通过公安部信息安全等级保护测评师资格证书的测评工程师。 7.本包不接受联合体参加。二、信息系统安全等级保护测评目标本项目将按照《信息系统安全等级保护基本要求》、《信息系统安全

等级保护测评准则》和有关规定及要求，对我单位的重要业务信息系统开展信息安全等级保护测评工作，通过开展测评，了解与《信息系统安全等级保护基本要求》的差距，出具相应的测评报告、整改建议，根据测评结果，协助招标方完成信息安全等级保护后期整改工作，落实等级保护的各项要求，提高信息安全水平和安全防范能力，并配合完成公安系统等级保护备案。等级保护测评主要是基于《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）和《信息系统安全等级保护测评准则》中的相关内容和要求进行测评。测评主要包括安全技术和安全管理两个方面的内容，其中安全技术方面主要涉及物理安全、网络安全、主机安全、应用安全与数据安全等方面的内容；安全管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的内容，配合相应等级的安全技术措施，提供相应的安全管理措施和安全保障。三、测评内容及要求 1.完成上述信息系统的等级保护定级工作，协助学院编写相应的《信息系统安全等级保护定级报告》； 2.完成上述信息系统安全等级测评工作，测评后经用户方确认，出具符合信息系统等级测评要求的测评报告； 3.协助完成上述信息系统安全等级保护备案工作； 4.对上述信息系统不符合信息安全等级保护有关管理规范和技术

信息安全技术网络安全等级保护测评要求第部分安全通用要求编制说明

信息安全技术网络安全等级保护测评要求第部分安全通用要求编制说明文稿归稿存档编号：[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-

信息安全技术网络安全等级保护测评要求第1部分：安全通用要求编制说明 1概述 1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准，标准号为GB/T 28448-2012，被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。但是随着信息技术的发展，尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高，2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd-WG5-006。 1.2制定本标准的目的和意义《信息安全等级保护管理办法》（公通字[2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。这就要求等级测评过程规范、测评结论准确、公正及可重现。《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）（简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使

信息安全等级保护培训考试试题集

信息安全等级保护培训考试试题集 Document number：NOCG-YUNOO-BUYTT-UU986-1986UT

信息安全等级保护培训试题集一、法律法规一、单选题 1．根据《信息安全等级保护管理办法》，（A）负责信息安全等级保护工作的监督、检查、指导。 A．公安机关 B．国家保密工作部门 C．国家密码管理部门 2．根据《信息安全等级保护管理办法》，（D）应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。 A．公安机关 B．国家保密工作部门 C．国家密码管理部门 D．信息系统的主管部门 3．计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。(B) A．经济价值经济损失 B．重要程度危害程度 C．经济价值危害程度 D．重要程度经济损失 4．对拟确定为（D）以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

B．第二级 C．第三级 D．第四级 5．一般来说，二级信息系统，适用于（D） A．乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。 B．适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等。 C．适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统。 D．地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。 6．信息系统建设完成后，（A）的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。 A．二级以上 B．三级以上 C．四级以上 D．五级以上 7．安全测评报告由（D）报地级以上市公安机关公共信息网络安全监察部门。 A．安全服务机构 B．县级公安机关公共信息网络安全监察部门

医疗信息化等级保护2.0体系解决方案

安全形势越来越严峻，安全责任越来越大 ?攻击类型越来越多，攻击方法传播更快?院内院外互联互通，攻击面不断扩大化?医疗业务云化，网络边界消失，传统安全理念不再适用 ?数据是生产资料，数据窃取事件频繁发生?监管要求更高，稍有不慎导致合规风险中华人民共和国网络安全法个人信息安全规范 CII 等级保护2.0 …… AI 物联网 Big Data

网络安全等级保护制度进入2.0时代 2003年9月中办国办颁发《关于加强信息安全保障工作的意见》（中办发[2003]27号） 1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》（147号令） 2011年1月8日修正版明确做等级保护，等级保护工作的重点是基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统首次提出计算机信息系统必须实行安全等级保护。 2007年四部委会签公通字[2007]43号文件《信息安全等级保护管理办法》明确了等级保护的具体操作办法和各部委的职责，以及推进等级保护的具体事宜 1999年《计算机信息系统安全等级保护划分准则》（GB17859）发布计算机信息系统安全保护等级划分准则强制行标准发布 2008年发布《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008）、《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）2010年发布《信息安全技术信息系统等级保护安全设计技术要求》(GB/T 25070-2010)2012年发布《信息安全技术信息系统等级保护测评要求》( GB_T 28448-2012） 2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》，第二十一条明确国家要实行网络安全等级保护制度 2018年《信息安全技术网络安全等级保护安全管理中心技术要求》(GB/T 36958-2018)等等保2.0标准发布《网络安全等级保护条例（征求意见稿） 2019年发布《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）、《信息安全技术网络安全等级保护安全设计技术要求》(GB/T 25070-2019)、《信息安全技术网络安全等级保护测评要求》( GB/T 28448-2019）等保1.0相关标准发布等级保护制度上升到了法律高度，并在法律层面确立了其在网络安全领域的基础和核心地位。落实等级保护工作刚性明确。等保2.0标准开始发布启动网络安全等级保护条例立法程序等保2.0标准继续发布

信息安全等级保护培训考试试题集

信息安全等级保护培训试题集一、法律法规一、单选题1．根据《信息安全等级保护管理办法》，（A）负责信息安全等级保护工作的监督、检查、指导。．公安机关A．国家保密工作部门B．国家密码管理部门C2．根据《信息安全等级保护管理办法》，（D）应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。．公安机关A．国家保密工作部门B．国家密码管理部门C．信息系统的主管部门D3．计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、(B)_______法人和其他组织的合法权益的等因素确定。经济损失．经济价值A．危害程度．重要程度 B危害程度．经济价值 C经济损失．重要程度 D4．对拟确定为（D）以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。．第一级A．第二级B．第三级C．第四级D）．一般来说，二级信息系统，适用于（D5A．乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。B．适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等。C．适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统。D．地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。）的信息系统的运营使用单位应当选择符合国家规定的测A（．信息系统建设完成后，6．评机构进行测评合格方可投入使用。．二级以上A．三级以上B．四级以上C．五级以上D）报地级以上市公安机关公共信息网络安全监察部门。．安全测评报告由（D7．安全服务机构A．县级公安机关公共信息网络安全监察部门B．测评机构C．计算机信息系统运营、使用单位D8．新建（）信息系统，应当在投入运行后（），由其运营、使用单位到所在地设）D区的市级以上公安机关办理备案手续。（日内．第一级以上A30日内．第二级以上60B日内60C．第一级以上日内30D．第二级以上9．根据《广东省计算机信息系统安全保护条例》规定，计算机信息系统的运营、使用）D单位没有向地级市以上人民政府公安机关备案的，由公安机关处以（．警告A日15．拘留B．元．罚款1500C．警告或者停机整顿D二、多选题1．根据《关于信息安全等级保护的实施意见》，信息系统安全等级保护应当遵循什么）ABCD原则？（．明确责任，共同保护A．依照标准，自行保护B．同步建设，动态调整C．指导监督，保护重点D2．根据《信息安全等级保护管理办法》，关于信息系统安全保护等级的划分，下列表。）述正确的是（ABCDEA．第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益B．第二级，信息系统受到破坏后，会对公民、法人和其他组织的

信息安全技术网络安全等级保护测评要求

信息安全等级保护测评工作管理规范(试行)完整篇.doc

信息安全等级保护测评工作管理规范(试行)1 附件一：信息安全等级保护测评工作管理规范（试行）第一条为加强信息安全等级保护测评机构建设和管理，规范等级测评活动，保障信息安全等级保护测评工作（以下简称“等级测评工作”）的顺利开展，根据《信息安全等级保护管理办法》等有关规定，制订本规范。第二条本规范适用于等级测评机构和人员及其测评活动的管理。第三条等级测评工作，是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。等级测评机构，是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室（以下简称为“等保办”）推荐，从事等级测评工作的机构。第四条省级以上等保办负责等级测评机构的审核和推荐工作。公安部信息安全等级保护评估中心（以下简称“评估中心”）负责测评机构的能力评估和培训工作。

第五条等级测评机构应当具备以下基本条件：（一）在中华人民共和国境内注册成立（港澳台地区除外）；（二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；（三）产权关系明晰，注册资金100万元以上；（四）从事信息系统检测评估相关工作两年以上，无违法记录；（五）工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；（六）具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人；（七）具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求；（八）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；（九）对国家安全、社会秩序、公共利益不构成威胁; （十）应当具备的其他条件。第六条测评机构及其测评人员应当严格执行有关管理规范和技术标准，开展客观、公正、安全的测评服务。

信息安全等级保护初级测评师模拟试题

信息安全等级保护初级测评师模拟试题集团档案编码：[YTTR-YTPT28-YTNTL98-UYTYNN08]

信息安全等级测评师模拟考试考试形式：闭卷考试时间：120分钟一、单选题（每题1.5分，共30分） 1.以下关于等级保护的地位和作用的说法中不正确的是（c） A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2.以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（A） A.突出重要系统，涉及所有等级,试点示范，行业推广，国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是：（B）A A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4.安全建设整改的目的是（D）（1）探索信息安全工作的整体思路；（2）确定信息系统保护的基线要求；（3）了解信息系统的问题和差距；（4）明确信息系统安全建设的目标；（5）提升信息系统的安全保护能力； A.（1）、（2）、（3）、（5） B.（3）、（4）、（5）

等级保护分级保护

等级保护/分级保护

目录 1等级保护FAQ ................................................................... 错误！未指定书签。 1.1什么是等级保护、有什么用？.................................................. 错误！未指定书签。 1.2信息安全等级保护制度的意义与作用？ .......................................... 错误！未指定书签。 1.3等级保护与分级保护各分为几个等级，对应关系是什么？ .......................... 错误！未指定书签。 1.4等级保护的重要信息系统（8+2）有哪些？ ....................................... 错误！未指定书签。 1.5等级保护的主管部门是谁？.................................................... 错误！未指定书签。 1.6国家密码管理部门在等级保护/分级保护工作中的职责是什么？ ..................... 错误！未指定书签。 1.7等级保护的政策依据是哪个文件？ .............................................. 错误！未指定书签。 1.8公安机关对等级保护的管理模式是什么，等级保护定级到哪里备案？................. 错误！未指定书签。 1.9等级保护是否是强制性的，可以不做吗？ ........................................ 错误！未指定书签。 1.10等级保护的主要标准有哪些，是否已发布为正式的国家标准？ .................... 错误！未指定书签。 1.11哪些单位可以做等级保护的测评？............................................ 错误！未指定书签。 1.12做了等级测评之后，是否会给发合格证书？ (6) 1.13是否只是在政府行业实行？企业是否也在等级保护和分级保护范畴之内？ .......... 错误！未指定书签。 1.14等级保护检查的责任单位是谁？.............................................. 错误！未指定书签。2分级保护FAQ ................................................................... 错误！未指定书签。 2.1分级保护是什么？............................................................ 错误！未指定书签。 2.2分级保护的主管部门是谁？ (7) 2.3分级保护定级到哪里备案？.................................................... 错误！未指定书签。 2.4分级保护的政策依据是哪个文件？ .............................................. 错误！未指定书签。 2.5分级保护与等级保护的适用对象分别是什么？ .................................... 错误！未指定书签。 2.6分级保护有关信息安全的标准相互关系是什么？ .................................. 错误！未指定书签。 2.7分级保护与等级保护的定级依据有何区别？ ...................................... 错误！未指定书签。 2.8分级保护的建设依据、方案设计、测评分别依据哪些标准？ ........................ 错误！未指定书签。 2.9分级保护设计方案是否需要经过评审和审批，谁来评审和审批？ .................... 错误！未指定书签。 2.10涉密信息系统投入使用前，是否需要经过审批，由谁来审批？ .................... 错误！未指定书签。 2.11分级保护系统测评的作用是什么，是否必须做？ ................................ 错误！未指定书签。 2.12哪些单位可以做分级保护的测评，有什么资质要求？ ............................ 错误！未指定书签。 2.13分级保护对涉密系统中使用的安全保密产品有哪些要求？ ........................ 错误！未指定书签。 2.14涉密系统分级保护多长时间需进行一次安全保密检查？ .......................... 错误！未指定书签。 2.15各级保密局与各单位保密办的关系是什么？ (9) 2.16分级保护的系统集成对厂商的资质有什么要求？ ................................ 错误！未指定书签。 2.17分级保护的安全建设是否必须监理，对监理资质有什么要求？ .................... 错误！未指定书签。 2.18分级保护的哪些具体工作对厂商有单项资质的要求？ ............................ 错误！未指定书签。3综合问题....................................................................... 错误！未指定书签。 3.1等保与分保的本质区别是什么？................................................ 错误！未指定书签。 3.2等保与分保各有几种级别？.................................................... 错误！未指定书签。 3.3等级保护/分级保护什么区别哪些部门在管理，怎么做？ ........................... 错误！未指定书签。 3.4企业出现泄密事件上报那些单位？ .............................................. 错误！未指定书签。 3.5等保定级备案是依据单位还是系统？ ............................................ 错误！未指定书签。 3.6风险评估和等级保护的关系？.................................................. 错误！未指定书签。 3.7方案设计阶段及实施前是否需要报批？ .......................................... 错误！未指定书签。 3.8对于等保中产品使用及密码产品是否有要求？ .................................... 错误！未指定书签。等级保护/分级保护FAQ

等级测评师(技术初级)考试题题集

信息安全等级保护测评师（初级技术）/等级测评师（技术初级）考试题题集2011-05-11 18:52 单选题： 1.cisco的配置通过什么协议备份： A.ftp B.tftp C.telnet D.ssh 2.交换机收到未知源地址的帧时： A.广播所有相连的设备 B.丢弃 C.修改源地址转发 D..... 3.功能测试不能实现以下哪个功能： A.漏洞 B.补丁 C.口令策略 D.全网访问控制策略 4.等保3级别中，而已代码应该在___进行检测和清除 A.内网 B.网络边界 C.主机 D..... 5.____是作为抵抗外部人员攻击的最后防线 A.主机安全 B.网络安全 C... D... 6.按照等保要求，第几级开始增加“抗抵赖性”要求： A.一 B.二 C.三 D.四 7.哪项不是开展主机工具测试所必须了解的信息： A.操作系统 B.应用 C.ip D.物理位置 8.查询sql server中是否存在弱口令的sql语句是： A.select name from xx_logins where password is null B.... C..... D.... 9.Oracle查看是否开启审计功能的sql语句是： 10.linux查看目录权限的命令： A. ls -a B.ls -l C. dir -a D. dir -l

不定项： 1.应用的审计日志应包括： A.日期 B.时间 C.时间描述 D.事件结果 E... 2.鉴别信息描述正确的是： A.鉴别信息就是用户名 B.鉴别信息时明文的 C.鉴别信息时加密的 D.xxx 3.鉴别信息一般包括： A.知道什么 B.具有什么 C.第三方信息 D... 4.以下哪些可以用来对oracle数据库进行配置管理： A.sqlplus B.手工修改实例名_init.ora C... D... 5.按照等保3级要求，应实现对网络上html,_______,pop3,smtp等协议命名级控制 A.ftp B.TELNET C.ssh D.tftp 6.一段cisco的命令信息，结合日志输出，给出4个选项的描述判定判断题： 1.按三级要求，应对非法接入客户端进行检查、定位。 2.按三级要求，并对重要数据、鉴别信息等实现存储保密性。 3.sybase数据库中，未启用xxx则不具备审计功能 4.oracle数据库不能对密码进行复杂度进行设置 5.windows 的power users组具有对事件日志的删除权限 6. 给主机动态分配IP的协议是ARP协议简答题： 1.给出一张检查表，有8条不符合项目，请结合等级保护要求，及你的理解，描述存在的风险，并给出解决建议 2.回答工具测试接入点的原则，及注意事项 3.回答你对安全审计的理解，并结合实际案例说明安全审计的部署（必要时可画图）