2020网络信息安全应急处置制度三

2020年网络信息安全应用能力竞赛（模拟）1. 黑客在攻击中进行端口扫描可以完成（）。

A.检测黑客自己计算机已开放哪些端口B.口令破译C.获知目标主机开放了哪些端口服务(正确答案)D.截获网络流量2. 利用SQL注入获取某数据表password字段的值为“YWRtaW44ODg=”，这是采用了下面哪种加密方式（）A.MD5B.BASE64(正确答案)C.AESD.DES3. 为了防御网络监听，最常用的方法是（）A.使用U盘传送数据B.信息加密(正确答案)C.增加WIFI密码强度D.增加电脑密码强度4. IP地址不用于什么设备（）A.网络设备B.网络上的服务器C.移动硬盘(正确答案)D.上网的计算机5. 网络安全是一个覆盖范围很广的领域。

从消息的层次来看，主要包括：完整性、保密性和不可否认性。

以下对不可否认性理解正确的是：（）A.通常是通过数字证书机制进行的数字签名和时间戳来保证信息的不可否认性(正确答案)B.是指防止数据的丢失、重复以及保证传送秩序的一致。

C.是指窃密者窃密事实的不可抵赖性D.主要是指客户端发起的信息具有不可抵赖性。

6. SNMP的中文含义为（）A.公用管理信息协议B.简单网络管理协议(正确答案)C.分布式安全管理协议D.简单邮件传输协议7. 在可信计算机系统评估准则中，计算机系统安全等级要求最高的是（）A.C1级B.D级C.B1级D.A1级(正确答案)8. 在以下认证方式中，最常用的认证方式是（）A.基于账户名／口令认证(正确答案)B.基于摘要算法认证C.基于PKI认证D.基于数据库认证9. 关于摆渡攻击的描述错误的是（）A.摆渡攻击是百度的一种攻击方式(正确答案)B.摆渡攻击是一种专门针对移动存储设备的攻击方式C.摆渡攻击就是利用u盘作为"渡船"D.摆渡木马隐蔽性、针对性很强，一般只感染特定的计算机10. 哪个不是统一资源定位符中常用的协议（）A.httpB.httpsC.ftpD.ddos(正确答案)11. 对于保护文件系统的安全，下面哪项是不需要的（）A.建立必要的用户组B.配置访问控制C.配置文件加密D.避免驱动器分区(正确答案)12. https的默认TCP端口号是（）A.80B.21C.110D.443(正确答案)13. 关于分布式拒绝服务攻击不正确的是（）A.攻击者一般发送合理的服务请求B.攻击者可以利用肉鸡协同攻击C.攻击者通过发送病毒攻击目标(正确答案)D.攻击者的攻击方式包括DOS、DDOS14. 下列关于网络安全解决方案的论述，错误的是（）A.一份好的网络安全解决方案，不仅要考虑到技术，还要考虑到策略和管理B.一个网络的安全体系结构必须与网络的安全需求相一致C.良好的系统管理有助于增强系统的安全性D.确保网络的绝对安全是制定一个网络安全解决方案的首要条件(正确答案)15. 心脏出血会导致以下（）信息被泄露A.存储在客户端的重要信息B.邮件附件中的重要信息C.存储在网站服务器内存中的重要信息(正确答案)D.正在网络中传输的重要信息16. 主动型木马是一种基于远程控制的黑客工具，黑客使用的程序和用户电脑上被安装的程序分别是（）A.木马程序/驱动程序B.控制程序/服务程序(正确答案)C.驱动程序/木马程序D.服务程序/控制程序17. 下列木马入侵步骤中，顺序正确的是（）A.传播木马-配置木马-运行木马B.建立连接-配置木马-传播木马C.配置木马-传播木马-运行木马(正确答案)D.建立连接-运行木马-信息泄露18. 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者将其个人信息（）A.删除(正确答案)B.更正C.保护D.撤销19. 以下操作系统不受bash漏洞影响的有（）A.Windows(正确答案)B.Mac OSC.CentOSD.Ubuntu20. 单钥密码体制的保密性主要取决于（）A.密钥的安全性(正确答案)B.密文的安全性C.加密算法的安全性D.解密算法的安全性21. 很多人在使用智能手机时选择越狱的目的是（）A.安装非官方软件(正确答案)B.逃跑C.翻墙D.安装官方软件22. 下列哪个不是 QQ 中毒后的正确处理办法（）A.直接换一个新的 QQ 号(正确答案)B.查杀病毒木马C.检查系统，查看是否有漏洞D.修改 QQ 密码23. 以下不能防止拖库的方法是（）A.重要帐号单独管理，其他的帐号无所谓B.可以电脑允许自动"保存密码"，但定期修改密码C.分级管理密码，把密码记录在本地磁盘的某个特定的文档中D.以上全部(正确答案)24. 在可信计算机系统评估准则中，计算机系统安全等级要求最低的是（）A.C1级B.D1级(正确答案)C.B1级D.A1级25. 访问控制根据实现技术不同可分为三种，它不包括（）A.基于角色的访问控制B.自由访问控制(正确答案)C.自主访问控制D.强制访问控制26. 关于提高防诈骗意识的选项中，下列选项中错误的一项是（）A.对待来路不明的电话和短信需谨慎B.不能透露卡号、密码以及手机验证码，更不能相信存款“转到安全账户”的话C.为方便起见，使用身份证号码或生日信息作为密码，身份证和银行卡尽量一起保管(正确答案)D.不要乱抢陌生人发的红包;不要点击不明链接;不要使用不加密的Wi-Fi;不要让他人远程操作你的电脑27. 以下关于黑帽子描述正确的是（）A.获得国际资质的黑客B.没有获得国际资质的骇客C.没有获得国际资质的高级程序员D.放弃道德信念而恶意攻击的黑客(正确答案)28. 以下哪个是我国的立法机关（）A. 全国人民代表大会及其常务委员会(正确答案)B. 国务院C. 区人大D. 人民法院29. （）访问权限控制方法便于数据权限的频繁更改。

国家互联网信息办公室令第5号——网络信息内容生态治理规定文章属性•【制定机关】国家互联网信息办公室•【公布日期】2019.12.15•【文号】国家互联网信息办公室令第5号•【施行日期】2020.03.01•【效力等级】部门规章•【时效性】现行有效•【主题分类】公共信息网络安全监察正文国家互联网信息办公室令第5号《网络信息内容生态治理规定》已经国家互联网信息办公室室务会议审议通过，现予公布，自2020年3月1日起施行。

主任庄荣文2019年12月15日网络信息内容生态治理规定第一章总则第一条为了营造良好网络生态，保障公民、法人和其他组织的合法权益，维护国家安全和公共利益，根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《互联网信息服务管理办法》等法律、行政法规，制定本规定。

第二条中华人民共和国境内的网络信息内容生态治理活动，适用本规定。

本规定所称网络信息内容生态治理，是指政府、企业、社会、网民等主体，以培育和践行社会主义核心价值观为根本，以网络信息内容为主要治理对象，以建立健全网络综合治理体系、营造清朗的网络空间、建设良好的网络生态为目标，开展的弘扬正能量、处置违法和不良信息等相关活动。

第三条国家网信部门负责统筹协调全国网络信息内容生态治理和相关监督管理工作，各有关主管部门依据各自职责做好网络信息内容生态治理工作。

地方网信部门负责统筹协调本行政区域内网络信息内容生态治理和相关监督管理工作，地方各有关主管部门依据各自职责做好本行政区域内网络信息内容生态治理工作。

第二章网络信息内容生产者第四条网络信息内容生产者应当遵守法律法规，遵循公序良俗，不得损害国家利益、公共利益和他人合法权益。

第五条鼓励网络信息内容生产者制作、复制、发布含有下列内容的信息：（一）宣传习近平新时代中国特色社会主义思想，全面准确生动解读中国特色社会主义道路、理论、制度、文化的；（二）宣传党的理论路线方针政策和中央重大决策部署的；（三）展示经济社会发展亮点，反映人民群众伟大奋斗和火热生活的；（四）弘扬社会主义核心价值观，宣传优秀道德文化和时代精神，充分展现中华民族昂扬向上精神风貌的；（五）有效回应社会关切，解疑释惑，析事明理，有助于引导群众形成共识的；（六）有助于提高中华文化国际影响力，向世界展现真实立体全面的中国的；（七）其他讲品味讲格调讲责任、讴歌真善美、促进团结稳定等的内容。

晋城市人民政府办公室关于印发晋城市网络与信息安全突发事件应急预案的通知文章属性•【制定机关】晋城市人民政府办公厅•【公布日期】2020.12.31•【字号】晋市政办〔2020〕82号•【施行日期】2020.12.31•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】突发事件应对正文晋城市人民政府办公室文件晋市政办〔2020〕82号晋城市人民政府办公室关于印发晋城市网络与信息安全突发事件应急预案的通知各县（市、区）人民政府、开发区管委会，市人民政府各委、办、局：《晋城市网络与信息安全突发事件应急预案》已经市人民政府同意，现印发给你们，请认真贯彻执行。

《晋城市网络与信息安全突发事件应急预案》（晋市政办〔2017〕110号）同时废止。

晋城市人民政府办公室2020年12月31日晋城市网络与信息安全突发事件应急预案1 总则1.1 编制目的建立健全网络与信息安全突发事件应急响应机制，提高应对网络与信息安全事件能力，预防和减少网络与信息安全事件造成的损失和危害，维护国家安全和社会稳定。

1.2 工作原则统一领导，协同配合；分级负责，职责明确；防范为主，加强监控；依法管理，规范有序；快速反应，有效应对。

1.3 编制依据《中华人民共和国网络安全法》《中华人民共和国安全生产法》《中华人民共和国突发事件应对法》《中华人民共和国计算机信息系统安全保护条例》《网络安全等级保护条例》《国家网络安全事件应急预案》《山西省突发事件应对条例》《山西省网络与信息安全突发事件应急预案》《晋城市突发公共事件总体应急预案》《信息安全技术信息安全事件分类分级指南》（GB/Z20986-2007）等。

1.4 适用范围本预案适用于本市行政区域内网络与信息安全突发事件的预防和应对工作。

另有规定的，依照其规定执行。

1.5 事件分类根据《信息安全技术信息安全事件分类分级指南》（GB/Z20986-2007）要求，网络与信息安全事件分为：有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障事件、灾害性事件和其他事件。

网络安全事件应急预案一、为防止因单位信息系统和网络出现故障事故等而影响全单位正常秩序，结合本单位实际，特制定本预案，望各科室、单位在应急情况下遵照执行。

二、组织机构和职责根据计算机信息系统应急管理的要求，成立单位计算机信息系统应急保障领导小组（简称应急领导小组），负责领导、组织和协调全单位计算机信息系统突发事件的应急保障工作。

（一）、领导小组成员：应急小组日常工作由信息中心承担，其他各相关部门积极配合。

（二）、领导小组职责：1、制定单位内部网络与信息安全应急处置预案。

2、做好单位网络与信息安全应急工作。

3、协调单位内部各相关部门之间的网络与信息安全应急工作，协调与有关部门、供应商、线路运营商之间的网络与信息安全应急工作。

4、组织单位内部及外部的技术力量，做好应急处置工作。

二、单位信息系统出现故障报告程序，计算机访问业务平台等速度迟缓、不能进入相应程序、不能保存数据、不能访问网络、应用程序非连续性工作时，要立即向信息中心报告。

信息中心工作人员对各科室、单位提出的问题高度重视，做好记录，经核实后及时反馈故障信息，同时召集有关人员及时进行讨论，如果故障原因明确，可以立刻恢复的，应尽快恢复工作。

如故障原因不明、情况严重、不能在短期内排除的，应立即报告领导，在网络不能运转的情况下由领导协调各科室、单位工作，以保障工作的正常运转。

三、单位信息系统故障分级根据故障发生的原因和性质不同分为三类：一类故障：由于服务器不能正常工作、光纤损坏、主服务器数据丢失、备份硬盘损坏、服务器工作不稳定、局部网络不通、财政业务数据库异常被人删除或修改、重点终端故障、规律性的整体、局部软件和硬件发生故障等造成的网络瘫痪。

二类故障：由于单一终端软、硬件故障，单一数据信息丢失、偶然性的数据处理错误。

三类故障：由于各终端操作不熟练或使用不当造成的错误。

针对上述故障分类等级，处理原则如下：一类故障——首先按照重要性原则应急处理，确需上报和特别严重的事故无法短时间内解决的由信息中心主任上报领导，由单位组织协调工作。

网络安全与用户隐私保护规范目录contents01网络安全简介02网络安全风险03华为网络安全保障体系04伙伴网络安全管理规范什么是网络安全客户网络承载数据/隐私业务连续及健壮的网络完整性可用性机密性可追溯性抗攻击性网络安全Cyber Security ●可用性：是指有权限的人在需要使用网络服务、信息的时候随时可以使用。

比如客户网络账号权限管理。

●完整性：是指信息是准确的、可靠的、完整的，没有被非授权更改。

比如日志必须完整，禁止未经客户授权删除、修改。

●机密性：是指信息只授权给应该知道的人，信息的传播是受到保护和管理的。

●可追溯性：是指提供的产品或服务是可追溯的，比如操作记录、日志等详细的记录了操作的情况。

●抗攻击性：确保产品、数据配置的健壮性，比如防火墙配置要能够经受的住黑客的攻击。

网络安全的定义：●网络安全是指在法律合规下保护产品、解决方案和服务的可用性、完整性、机密性、可追溯性和抗攻击性，及保护其所承载的客户或用户的通信内容、个人数据及隐私、客观信息流动，从而保障客户的业务连续性和合规运营，避免设备供应商、服务供应商的声誉损失及连带责任。

个人数据处理的七个原则原则原则描述合规解读适用的角色Controller Processor正当、合法、透明•数据主体的个人数据应当以正当、合法、透明的方式被处理•个人数据、敏感数据、儿童数据、雇员数据•记录同意、撤回同意•正当性：提供信息（隐私通知）•透明性：提供信息的方式√N/A目的限制•个人数据应当基于具体、明确、合法的目的收集，不应以与此目的不相容的方式进一步处理•新目的合法性•匿名化√N/A数据最小化•处理的个人数据应与处理数据的目的是适当、相关且必要的•充分、不超乎适度、必要√N/A准确性•个人数据应当是准确的，并在必要的情况下及时更新•根据数据处理的目的，采取合理的措施确保及时删除或修正不准确的个人数据•数据的准确性√N/A存储期限最小化•存储个人数据不超过处理目的所必要的期限•留存、销毁方式√N/A完整性与保密性•采取必要的技术或组织措施确保个人数据的适度安全，包括防止未授权或非法处理个人数据、数据丢失或毁损•风险评估、技术与组织措施、加密、化名、访问控制、监测数据泄露√√可归责•数据控制者须负责且能展示遵从上述原则•记录政策与流程、数据处理活动√N/A Processor需严格按照Controller的指示（通常为合同）进行数据处理并按照法律要求维护数据处理行为的记录，若Processor自行决定数据处理的目的和方式，则构成Controller技术风险：技术与业务创新给人们带来巨大的利益，同时也加剧了安全威胁和挑战X 国税局系统被黑，损失5000万美元。

2020网络信息安全工作计划根据自治区、地区有关要求，按照《XXX新闻宣传报道管理办法》有关内容，为进一步加强我县网络和信息安全管理工作，现就有关事项通知如下。

一、建立健全网络和信息安全管理制度各单位要按照网络与信息安全的有关法律、法规规定和工作要求，制定并组织实施本单位网络与信息安全管理规章制度。

要明确网络与信息安全工作中的各种责任，规范计算机信息网络系统内部控制及管理制度，切实做好本单位网络与信息安全保障工作。

二、切实加强网络和信息安全管理各单位要设立计算机信息网络系统应用管理领导小组，负责对计算机信息网络系统建设及应用、管理、维护等工作进行指导、协调、检查、监督。

要建立本单位计算机信息网络系统应用管理岗位责任制，明确主管领导，落实责任部门，各尽其职，常抓不懈，并按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，切实履行好信息安全保障职责。

三、严格执行计算机网络使用管理规定各单位要提高计算机网络使用安全意识，严禁涉密计算机连接互联网及其他公共信息网络，严禁在非涉密计算机上存储、处理涉密信息，严禁在涉密与非涉密计算机之间交叉使用移动存储介质。

办公内网必须与互联网及其他公共信息网络实行物理隔离，并强化身份鉴别、访问控制、安全审计等技术防护措施，有效监控违规操作，严防违规下载涉密和敏感信息。

通过互联网电子邮箱、即时通信工具等处理、传递、转发涉密和敏感信息。

四、加强网站、微信公众平台信息发布审查监管各单位通过门户网站、微信公众平台在互联网上公开发布信息，要遵循涉密不公开、公开不涉密的原则，按照信息公开条例和有关规定，建立严格的审查制度。

要对网站上发布的信息进行审核把关，审核内容包括：上网信息有无涉密问题;上网信息目前对外发布是否适宜;信息中的文字、数据、图表、图像是否准确等。

未经本单位领导许可严禁以单位的名义在网上发布信息，严禁交流传播涉密信息。

坚持先审查、后公开，一事一审、全面审查。

各单位网络信息发布审查工作要有领导分管、部门负责、专人实施。

第1篇随着信息技术的飞速发展，信息安全已经成为国家、企业和个人关注的焦点。

近年来，我国政府、行业和企业纷纷出台了一系列信息安全及管理规定，旨在加强信息安全防护，维护网络空间的安全与稳定。

本文将梳理信息安全及管理规定的最新动态，并对相关内容进行解读。

一、国家层面政策法规1. 《网络安全法》2017年6月1日起施行的《网络安全法》是我国网络安全领域的基础性法律，明确了网络运营者的安全责任，强化了网络信息保护，规范了网络行为，为我国网络安全提供了法律保障。

2. 《个人信息保护法》2021年11月1日起施行的《个人信息保护法》是我国个人信息保护领域的基础性法律，明确了个人信息处理的原则、方式、主体权利义务等内容，为个人信息保护提供了法律依据。

二、行业监管政策1. 《关键信息基础设施安全保护条例》2021年6月1日起施行的《关键信息基础设施安全保护条例》明确了关键信息基础设施的概念、保护范围、保护措施等内容，旨在加强关键信息基础设施的安全保护。

2. 《网络安全审查办法》2020年4月1日起施行的《网络安全审查办法》明确了网络安全审查的范围、程序、要求等内容，旨在加强对关键信息基础设施供应链的网络安全审查。

三、企业内部管理规定1. 《信息安全技术—信息安全管理体系》GB/T 22080-2016《信息安全技术—信息安全管理体系》是我国信息安全管理体系的标准，为企业建立信息安全管理体系提供了指导。

2. 《信息安全技术—数据安全管理办法》GB/T 35273-2020《信息安全技术—数据安全管理办法》为企业数据安全管理提供了规范，明确了数据安全保护的责任、措施和要求。

四、信息安全新技术与应用1. 云计算安全随着云计算的普及，云计算安全成为信息安全领域的重要议题。

我国政府和企业纷纷开展云计算安全技术研究，推动云计算安全标准的制定。

2. 人工智能安全人工智能技术在信息安全领域的应用日益广泛，但同时也带来了新的安全风险。

网络安全条例全文第一章总则第一条为加强网络安全管理，保护网络空间安全，维护国家安全和社会公共利益，促进网络经济和社会发展，根据《中华人民共和国国家安全法》等法律、法规，制定本条例。

第二章网络安全保护的基本原则第二条网络安全保护坚持总体安全观，坚持法治原则，坚持源头防控、综合治理，坚持整体推动、共同参与，坚持分类分级、实现有序。

第三条网络安全保护坚持国家负责、部门协同、企事业单位主体责任、社会共同参与的原则。

第四条国家按照网络安全等级划分，实施网络安全保护分级管理制度。

第五条国家建立健全网络安全保护标准和技术规范体系，制定和发布网络安全保护标准和技术规范。

第六条国家推动建立网络安全风险防控和预警、网络安全应急和救援、网络安全事件报告和协同处置、网络安全检测评估等制度。

第七条国家对网络安全保护工作进行监督检查，对违反本条例规定的行为依法追究责任。

第三章网络运营者的义务第八条网络运营者应当按照法律、法规规定，采取必要措施，防止计算机病毒、网络攻击等危害网络安全的事件发生，及时采取技术措施消除安全隐患。

第九条网络运营者应当建立用户实名注册制度，用户在进行网络服务时，应当提供真实、有效的身份信息。

第十条网络运营者应当保存网络日志，保存期限由国家有关规定确定。

第十一条网络运营者应当加强对网络安全保护人员的培养和管理，确保其具备相应的技能和知识，履行网络安全保护职责。

第四章关键信息基础设施的保护第十二条关键信息基础设施运营者应当按照国家有关规定，采取必要的技术措施和其他必要措施，保障关键信息基础设施的安全可控。

第十三条关键信息基础设施运营者应当按照国家有关规定，进行网络安全检测评估，定期进行网络安全风险评估。

第十四条关键信息基础设施运营者应当建立健全网络安全管理制度，明确责任和义务，安排专门的网络安全管理人员。

第十五条关键信息基础设施运营者应当对供应商、服务商进行安全审查，确保供应的产品和服务不存在安全风险。