信息系统安全测评(修订版)

信息安全等级测评师考试题1、问答题AES算法采用什么结构？与DES算法结构有何区别？正确答案：AES算法采用SP网络结构，轮变换是由三个不同的可逆一致变换组成，称之为层。

不同层的选择建立在（江南博哥）宽轨迹策略的应用基础上每层都有它自己的函数。

这三层分别是线性混合层，非线性层和密钥加层。

而DES 采用的是Feistel网络结构，中间状态的部分比特不加改变简单转臵到下一轮的其他位臵。

2、问答题对分组密码的常见攻击有哪些？正确答案：唯密文攻击，已知明文攻击，选择明文攻击，选择密文攻击。

3、填空题定级指南》从（）、（）等方面提出了确定信息系统安全保护等级的要素和方法。

正确答案：业务信息安全；系统服务安全4、单选信息系统建设完成后，（）的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。

A.二级以上B.三级以上C.四级以上D.五级以上正确答案：A5、多选主机安全是指对信息系统涉及到的哪方面进行主机系统安全保护。

（）A、服务器B、入侵检测C、工作站D、准入控制正确答案：A, C6、单选数字签名是指（）。

A、用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据B、用户用公钥对原始数据的哈希摘要进行加密所得的数据C、用户用自己的私钥对已加密信息进行再加密所得的数据D、用户用公钥对已加密信息进行再加密所得的数据正确答案：A7、判断题在信息安全等级保护中，第三级信息系统和第四级信息系统都具有强制性。

正确答案：对8、单选基本要求》中技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及其（）五个方面。

A、数据恢复B、系统恢复C、信息恢复D、备份恢复正确答案：D9、多选三级信息系统的测试验收包括如下（）内容。

A、应委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告；B、在测试验收前应根据设计方案或合同要求等制订测试验收方案，在测试验收过程中应详细记录测试验收结果，并形成测试验收报告；C、应指定或授权专门的部门负责系统测试验收的管理，并按照管理规定的要求完成系统测试验收工作；D、应组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认。

信息系统安全等级保护测评服务方案（一）建设背景随着医院信息化的快速发展，网络资产正逐渐成为医院日常运营、管理的重要工具和支撑，各种互联网应用如网上挂号、门诊、电子病历等系统越来越多，Web服务器、存储设备、网络设备、安全设备越来越复杂，带给管理员的资产管理工作也愈发困难，久而久之，日积月累，产生大量的无主资产、僵尸资产，并且这些资产长时间无人维护导致存在大量的漏洞及配置违规，为医院信息系统安全带来极大的隐患。

为贯彻落实国家信息安全等级保护制度，进一步完善医院信息系统安全管理体系和技术防护体系,增强信息安全保护意识,明确信息安全保障重点,落实信息安全责任,切实提高医院系统信息安全防护能力,同时加强对医院信息系统安全的指导和检查工作，特拟请独立、专业的第三方测评机构对医院信息系统进行等级保护测评服务。

（二）项目依据服务单位应依据国家信息系统安全等级保护相关标准开展工作，依据标准（包括但不限于）如下国家标准：1.GB/T 22239-2019：《信息安全技术网络安全等级保护基本要求》2.GB/T 22240-2020 《信息安全技术网络安全等级保护定级指南》3.GB/T 28448-2019：《信息安全技术网络安全等级保护测评要求》4.GB/T 28449-2018：《信息安全技术网络安全等级保护测评过程指南》5.GB/T 25058-2019 《信息安全技术网络安全等级保护实施指南》（三）项目建设必要性《信息安全等级保护管理办法》规定，国家信息安全等级保护坚持自主定级、自主保护的原则。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

（四）项目原则本次信息系统等级保护测评实施方案设计与具体实施应满足以下原则：1.保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购人的行为，否则采购人有权追究服务单位的责任。

信息技术安全评估通用准则
《信息技术安全评估通用准则》
信息技术安全评估是企业和组织确保其信息系统和数据安全的重要步骤。

通过对系统、网络和软件的安全性进行全面评估，可以有效识别并解决潜在的安全风险，提高系统的可靠性和稳定性。

在进行信息技术安全评估时，需要遵循一系列通用准则，以确保评估的全面性和有效性。

首先，评估范围和目标需要明确。

在开始评估之前，需要确定评估的范围和目标，包括评估的对象、要求达到的安全标准以及评估的目的。

这有助于明确评估的重点和方向，确保评估的有效性。

其次，评估过程和方法需科学合理。

评估过程需要遵循科学的方法论，包括对系统结构和功能的详细了解、安全漏洞的识别和分析、安全风险的评估和等级划分等步骤。

评估方法需要综合运用技术手段和专业知识，以确保评估的全面性和准确性。

此外，评估结果需客观真实。

评估结果需要客观、准确地反映出系统的安全状况和存在的安全风险。

评估人员应该坚持客观公正的原则，不受外部因素的影响，确保评估结果的真实性和可信度。

最后，评估报告需清晰完整。

评估完成后，需要及时编制和提交评估报告，报告内容应该包括对评估范围和目标的描述、评估过程和方法的说明、评估结果的总结和分析、安全风险的建议措施等内容。

报告需清晰明了，让相关人员可以清晰地了解评估结果和建议措施，以便及时采取应对措施。

总之，《信息技术安全评估通用准则》是进行信息技术安全评估时的重要参考，遵循这些准则有助于提高评估的质量和效果，确保信息系统的安全性和可靠性。

信息系统安全等级保护测评准则目录1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 总则 (2)4.1 测评原则 (2)4.2 测评内容 (2)4.2.1基本内容 (2)4.2.2工作单元 (3)4.2.3测评强度 (4)4.3 结果重用 (4)4.4 使用方法 (4)5 第一级安全控制测评 (5)5.1安全技术测评 (5)5.1.1物理安全 (5)5.1.2网络安全 (7)5.1.3 主机系统安全 (9)5.1.4 应用安全 (11)5.1.5 数据安全 (13)5.2 安全管理测评 (15)5.2.1 安全管理机构 (15)5.2.2 安全管理制度 (17)5.2.3 人员安全管理 (17)5.2.4 系统建设管理 (19)5.2.5 系统运维管理 (23)6 第二级安全控制测评 (27)6.1 安全技术测评 (27)6.1.1 物理安全 (27)6.1.2 网络安全 (33)6.1.3 主机系统安全 (37)6.1.4 应用安全 (42)6.1.5 数据安全 (47)6.2 安全管理测评 (50)6.2.1 安全管理机构 (50)6.2.2 安全管理制度 (52)6.2.3 人员安全管理 (54)6.2.4 系统建设管理 (56)6.2.5 系统运维管理 (61)7 第三级安全控制测评 (69)7.1 安全技术测评 (69)7.1.1 物理安全 (69)7.1.2 网络安全 (76)7.1.3 主机系统安全 (82)7.1.4 应用安全 (90)7.1.5 数据安全 (97)7.2 安全管理测评 (99)7.2.1 安全管理机构 (99)7.2.2 安全管理制度 (104)7.2.3 人员安全管理 (106)7.2.4 系统建设管理 (109)7.2.5 系统运维管理 (115)8 第四级安全控制测评 (126)8.1 安全技术测评 (126)8.1.1 物理安全 (126)8.1.2 网络安全 (134)8.1.3 主机系统安全 (140)8.1.4 应用安全 (149)8.1.5 数据安全 (157)8.2 安全管理测评 (160)8.2.1 安全管理机构 (160)8.2.2 安全管理制度 (164)8.2.3 人员安全管理 (166)8.2.4 系统建设管理 (169)8.2.5 系统运维管理 (176)9 第五级安全控制测评 (188)10 系统整体测评 (188)10.1 安全控制间安全测评 (188)10.2 层面间安全测评 (189)10.3 区域间安全测评 (189)10.4 系统结构安全测评 (190)附录A（资料性附录）测评强度 (191)A.1测评方式的测评强度描述 (191)A.2信息系统测评强度 (191)附录B（资料性附录）关于系统整体测评的进一步说明 (197)B.1区域和层面 (197)B.1.1区域 (197)B.1.2层面 (198)B.2信息系统测评的组成说明 (200)B.3系统整体测评举例说明 (201)B.3.1被测系统和环境概述 (201)B.3.1安全控制间安全测评举例 (202)B.3.2层面间安全测评举例 (202)B.3.3区域间安全测评举例 (203)B.3.4系统结构安全测评举例 (203)信息系统安全等级保护测评准则1范围本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求，包括第一级、第二级、第三级和第四级信息系统安全控制测评要求和系统整体测评要求。

信息系统安全等级保护测评准则目录1 范围12 规范性引用文件13 术语和定义14 总则24.1 测评原则24.2 测评内容24.2.1基本内容24.2.2工作单元34.2.3测评强度44.3 结果重用44.4 使用方法45 第一级安全控制测评55.1安全技术测评55.1.1物理安全55.1.2网络安全75.1.3 主机系统安全95.1.4 应用安全115.1.5 数据安全135.2 安全管理测评155.2.1 安全管理机构155.2.2 安全管理制度175.2.3 人员安全管理175.2.4 系统建设管理195.2.5 系统运维管理236 第二级安全控制测评276.1 安全技术测评276.1.1 物理安全276.1.2 网络安全336.1.3 主机系统安全376.1.4 应用安全426.1.5 数据安全476.2 安全管理测评506.2.1 安全管理机构506.2.2 安全管理制度526.2.3 人员安全管理546.2.4 系统建设管理566.2.5 系统运维管理617 第三级安全控制测评697.1 安全技术测评697.1.1 物理安全697.1.2 网络安全767.1.3 主机系统安全827.1.4 应用安全907.1.5 数据安全977.2 安全管理测评997.2.1 安全管理机构997.2.2 安全管理制度1047.2.3 人员安全管理1067.2.4 系统建设管理1097.2.5 系统运维管理1158 第四级安全控制测评1268.1 安全技术测评1268.1.1 物理安全1268.1.2 网络安全1348.1.3 主机系统安全1408.1.4 应用安全1498.1.5 数据安全1578.2 安全管理测评1608.2.1 安全管理机构1608.2.2 安全管理制度1648.2.3 人员安全管理1668.2.4 系统建设管理1698.2.5 系统运维管理1769 第五级安全控制测评18810 系统整体测评18810.1 安全控制间安全测评18810.2 层面间安全测评18910.3 区域间安全测评18910.4 系统结构安全测评190附录A（资料性附录）测评强度190A.1测评方式的测评强度描述190A.2信息系统测评强度191附录B（资料性附录）关于系统整体测评的进一步说明196 B.1区域和层面196B.1.1区域196B.1.2层面197B.2信息系统测评的组成说明199B.3系统整体测评举例说明200B.3.1被测系统和环境概述200B.3.1安全控制间安全测评举例201B.3.2层面间安全测评举例201B.3.3区域间安全测评举例202B.3.4系统结构安全测评举例202信息系统安全等级保护测评准则1范围本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求，包括第一级、第二级、第三级和第四级信息系统安全控制测评要求和系统整体测评要求。

信息安全等级测评师测试题集(总46页)-CAL-FENGHAL-(YICAI)-Company One 1■CAL■本页仅作为文档封面，使用请直接删除信息安全等级测评师测试一、单选题（14分）1、下列不属于网络安全测试范畴的是（C ）A.结构安全B.边界完整性检查C.剩余信息保护D.网络设备防护2、下列关于安全审计的内容说法中错误的是（D ）。

A.应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录。

B.审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

C.应能根据记录数据进行分析，并生成报表。

D.为了节约存储空间，审计记录可以随意删除、修改或覆盖。

3、在思科路山器中，为实现超时10分钟后自动断开连接，实现的命令应为下列哪一个。

（A ）A. exec-timeout 10 0 B・ exec-timeout 0 10C・ idle一timeout 10 0 D・ idle一timeout 0 104、用于发现攻击目标。

（A ）A. ping扫描B.操作系统扫描C.端口扫描D.漏洞扫描5、防火墙提供的接入模式中包括。

（ABCD ）A.网关模式B.透明模式C•混合模式D.旁路接入模式6、路由器工作在。

（C ）A.应用层B.链接层C.网络层D.传输层7、防火墙通过—控制来阻塞邮件附件中的病毒。

（A ）A.数据控制B.连接控制C. ACL控制D.协议控制二.多选题（36分）1、不同设VLAX之间要进行通信，可以通过—<> （A B ）A交换机B路由器C网闸D入侵检测E入侵防御系统2、能够起到访问控制功能的设备有_____ 。

（ ABD ）A网闸B三层交换机C入侵检测系统D防火墙3、路由器可以通过来限制带宽。

（ABCD ）A.源地址B.目的地址C.用户D.协议4、IPSec通过实现密钥交换、管理及安全协商。

（CD ）A. AH B・ ESP C・ ISAKMP/Oakley D・ SKIP5、交换机可根据 ________ 来限制应用数据流的最大流量。

《信息安全体系结构与安全测评》实验报告姓名：学号：班级：指导教师：****年**月**日目录1 实验目的 (3)2 实验环境 (3)3 实验内容 (3)4 实验步骤 (4)4.1主机运行状态评估 (4)4.2主机安全扫描 (5)4.3主机攻击扫描 (8)4.4安全评估测试 (9)5 评估报告 (10)6 安全建议 (10)7 附件1........................................................................................................ 错误!未定义书签。

8 附件2........................................................................................................ 错误!未定义书签。

9 附件3........................................................................................................ 错误!未定义书签。

10 附件4........................................................................................................ 错误!未定义书签。

1实验目的掌握利用SecAnalyst对本地主机运行状态评估掌握利用MBSA 对本地状态综合评估掌握利用X-scan 模拟外部攻击对本地主机攻击扫描评估掌握利用MSAT 对主机进行安全评估掌握对网络进行安全评估分析的基本要点，并进行相关的安全措施改进，以实现对网络安全的整体规划及实现2实验环境Windows 7系统主机网络拓扑如图2.1所示；分别对不同网段进行扫描评估等操作，评估整个网络架构的安全性。