信息安全等级考试三级教材《信息安全保障概述》

信息安全等保三级标准信息安全等保三级标准是指按照国家有关法律法规和标准要求，对信息系统安全等级进行评定和等级保护的一项工作。

信息安全等保三级标准的实施，对于保障国家安全、维护社会稳定、保护公民合法权益、促进经济社会发展具有重要意义。

下面将从信息安全等保三级标准的背景、意义、具体要求等方面进行详细介绍。

首先，信息安全等保三级标准的背景。

随着信息技术的飞速发展，信息系统已经成为国家政治、经济、军事、科技和社会生活的重要支撑，信息安全问题日益突出。

为了加强信息系统安全保护，我国出台了《信息安全等级保护管理办法》，并制定了信息安全等级保护的具体标准，其中包括了信息安全等保三级标准。

其次，信息安全等保三级标准的意义。

信息安全等保三级标准的实施，可以有效保护国家重要信息基础设施的安全，防范和抵御各类网络攻击和威胁，保障国家的政治安全和社会稳定。

同时，也可以保护公民个人信息的安全，维护公民的合法权益，促进信息化建设和经济社会发展。

具体要求方面，信息安全等保三级标准主要包括以下几个方面：1. 安全保密要求，信息安全等保三级标准要求对信息系统的安全保密性进行严格控制，确保系统中的重要信息不被泄露给未经授权的人员或系统。

2. 安全完整性要求，信息安全等保三级标准要求对信息系统的安全完整性进行有效保护，防止系统遭受破坏、篡改或损坏，确保信息在传输和存储过程中不被篡改。

3. 可用性要求，信息安全等保三级标准要求信息系统具有良好的可用性，即系统能够在合理的时间内正常运行，保证用户能够及时、准确地获取所需的信息。

4. 安全管理要求，信息安全等保三级标准要求建立完善的安全管理制度和安全技术措施，加强对信息系统的安全管理和监控，及时发现和处理安全事件。

5. 安全技术要求，信息安全等保三级标准要求采用先进的安全技术手段，包括加密技术、身份认证技术、访问控制技术等，提高信息系统的安全性能。

总之，信息安全等保三级标准是我国信息安全领域的重要标准之一，其实施对于保障国家安全、维护社会稳定、保护公民合法权益具有重要意义。

信息安全等级三级保护测评指标
根据GB/T 28448-2012《信息安全技术信息系统安全等级保护测评要求》，安全保护等级、业务信息安全保护等级、系统服务安全保护等级，所有选取《基本要求》，中相对应系统级别的指标。

1.1测评指标如下表所示：
1.2具体测评指标如下1.
2.1物理安全
1.2.2网络安全
1.2.5数据安全及备份恢复
1.2.8系统建设管理
系统建设皆埋
｛二）
系统运维管理C
二）
信息安全等级保护测评工作流
程
啜
"
普
呵呼工旦注,•巨旃玉
叫『「TV4新招
/详实林防
WK田…・卜口M；K L.'.
T
呜果振&和EM JIG
甲r川h■『转M打〒自疗
整一丁河。

第一套1.信息技术的产生与发展，大致经历的三个阶段是（）。

A.电讯技术的发明、计算机技术的发展和互联网的使用B.电讯技术的发明、计算机技术的发展和云计算的使用C.电讯技术的发明、计算机技术的发展和个人计算机的使用D.电讯技术的发明、计算机技术的发展和半导体技术的使用【解析】信息技术的发展，大致分为电讯技术的发明（19世纪30年代开始）、计算机技术的发展（20世纪50年代开始）和互联网的使用（20世纪60年代开始）三个阶段。

故选择A选项。

2.同时具有强制访问控制和自主访问控制属性的访问控制模型是（）。

A.BLPB.BibaC.Chinese WallD.RBAC【解析】BLP模型基于强制访问控制系统，以敏感度来划分资源的安全级别。

Biba访问控制模型对数据提供了分级别的完整性保证，类似于BLP保密模型，也使用强制访问控制系统。

ChineseWall安全策略的基础是客户访问的信息不会与目前他们可支配的信息产生冲突。

用户必须选择一个他可以访问的区域，必须自动拒绝来自其它与用户的所选区域的利益冲突区域的访问，同时包括了强制访问控制和自主访问控制的属性。

RBAC 模型是20世纪90年代研究出来的一种新模型。

这种模型的基本概念是把许可权与角色联系在一起，用户通过充当合适角色的成员而获得该角色的许可权。

故选择C选项。

3.信息安全的五个基本属性是（）。

A.机密性、可用性、可控性、不可否认性和安全性B.机密性、可用性、可控性、不可否认性和完整性C.机密性、可用性、可控性、不可否认性和不可见性D.机密性、可用性、可控性、不可否认性和隐蔽性【解析】信息安全的五个基本属性为：可用性（availability）、可靠性(controllability)、完整性(integrity)、保密性(confidentiality)、不可否认性(non-repudiation)。

而安全性，不可见性和隐蔽性不属于信息安全的五个基本属性。

三级等保的内容随着信息技术的不断发展与应用，网络安全问题也日益引起人们的关注。

为了保护国家的信息安全，维护社会的稳定与发展，我国提出了信息安全等级保护制度，其中三级等保是最高级别的保护等级。

本文将从三级等保的定义、要求和实施措施三个方面进行介绍。

一、三级等保的定义三级等保是指在信息系统建设和运行过程中，为了保护关键信息基础设施和重要信息系统的安全，对其进行的安全保护等级评定和相关保护措施的实施。

三级等保的目标是确保信息系统的机密性、完整性和可用性，防范各类网络攻击和安全威胁，保障国家安全和社会稳定。

二、三级等保的要求1. 风险评估与管理：要对信息系统进行全面的风险评估，分析系统面临的安全威胁和风险，制定相应的风险管理措施，包括风险防范、风险监控和风险应急响应等。

2. 安全策略与规划：制定系统安全策略和规划，明确信息系统的安全目标、安全策略和安全措施，确保系统安全与运行的一致性。

3. 安全基线与配置管理：建立安全基线，规范系统的安全配置和管理，包括对系统软硬件的控制、访问控制和权限管理等。

4. 安全事件管理与处置：建立安全事件管理和处置机制，及时发现和处理安全事件，保障系统的安全和稳定运行。

5. 安全审计与监控：建立安全审计和监控机制，对系统进行实时监控和审计，及时发现安全漏洞和潜在风险。

6. 安全培训与教育：开展安全培训和教育，提高员工的安全意识和技能，增强信息系统的整体安全防护能力。

三、三级等保的实施措施1. 建立信息安全管理制度：明确信息安全的组织架构、责任分工和工作流程，确保信息安全工作的有序进行。

2. 制定安全技术规范：制定详细的安全技术规范，包括密码管理、网络安全、系统安全等方面的要求，为系统的安全实施提供指导。

3. 安全防护设施建设：建立安全防护设施，包括防火墙、入侵检测系统、安全监控系统等，提供多层次、全方位的安全保护。

4. 定期演练与评估：定期组织安全演练和评估，发现和解决安全问题，提高系统的安全性和应急响应能力。

计算机三级《信息安全技术》练习题及答案2016计算机三级《信息安全技术》练习题及答案1. 信息安全经历了三个发展阶段，以下____不属于这三个发展阶段。

BA 通信保密阶段B 加密机阶段C 信息安全阶段D 安全保障阶段2.信息安全在通信保密阶段对信息安全的关注局限在____安全属性。

CA 不可否认性B 可用性C 保密性D 完整性3.信息安全在通信保密阶段中主要应用于____领域。

AA 军事B 商业C 科研D 教育4.信息安全阶段将研究领域扩展到三个基本属性，下列____不属于这三个基本属性。

CA 保密性B 完整性C 不可否认性D 可用性5.安全保障阶段中将信息安全体系归结为四个主要环节，下列____是正确的。

DA 策略、保护、响应、恢复B 加密、认证、保护、检测C 策略、网络攻防、密码学、备份D 保护、检测、响应、恢复6. 下面所列的____安全机制不属于信息安全保障体系中的事先保护环节。

AA 杀毒软件B 数字证书认证C 防火墙D 数据库加密7. 根据ISO的信息安全定义，下列选项中____是信息安全三个基本属性之一。

BA 真实性B 可用性C 可审计性D 可靠性8. 为了数据传输时不发生数据截获和信息泄密，采取了加密机制。

这种做法体现了信息安全的____属性。

AA 保密性B 完整性C 可靠性D 可用性9. 定期对系统和数据进行备份，在发生灾难时进行恢复。

该机制是为了满足信息安全的____属性。

DA 真实性B 完整性C 不可否认性D 可用性10. 数据在存储过程中发生了非法访问行为，这破坏了信息安全的____属性。

AA 保密性B 完整性C 不可否认性D 可用性11. 网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为，这破坏了信息安全的___属性。

B A 保密性 B 完整性 C 不可否认性 D 可用性12. PDR安全模型属于____类型。

AA 时间模型B 作用模型C 结构模型D 关系模型13. 《信息安全国家学说》是____的信息安全基本纲领性文件。

信息安全等保三级标准信息安全等保三级标准是指根据我国《信息安全等级保护管理办法》，对信息系统进行安全等级划分，并按照相应的技术和管理要求进行保护的标准。

信息安全等保三级标准是我国信息安全领域的重要标准之一，对于保障国家重要信息基础设施的安全具有重要意义。

本文将对信息安全等保三级标准进行详细介绍，以便广大信息安全从业人员更好地了解和应用。

一、信息安全等保三级标准概述。

信息安全等保三级标准是我国信息安全等级保护管理办法中规定的一种信息安全保护标准。

根据等级保护的需要，信息系统被划分为不同的安全等级，分别为三级、四级、五级。

其中，信息安全等保三级标准是对国家重要信息基础设施的保护要求最为严格的等级之一，涉及的信息系统安全等级较高，需要采取更加严格的技术和管理措施来保护信息系统的安全。

二、信息安全等保三级标准的技术要求。

信息安全等保三级标准对信息系统的技术要求非常严格，主要包括以下几个方面：1. 访问控制，信息系统应能够对用户的访问进行精细化控制，确保只有经过授权的用户才能够访问系统中的敏感信息。

2. 安全审计，信息系统应具备完善的安全审计功能，能够记录用户的操作行为，并能够对系统的安全状态进行全面的审计和监控。

3. 数据加密，对于系统中的重要数据，应采取加密措施，确保数据在传输和存储过程中不会被非法获取和篡改。

4. 安全通信，系统应采取安全的通信协议，确保在数据传输过程中不会被窃听和篡改。

5. 恶意代码防护，系统应具备有效的恶意代码防护措施，确保系统不会受到病毒、木马等恶意代码的侵害。

三、信息安全等保三级标准的管理要求。

除了技术要求之外，信息安全等保三级标准还对信息系统的管理提出了一系列严格要求，主要包括以下几个方面：1. 安全策略，信息系统应制定完善的安全策略，明确安全目标和安全责任，确保安全策略得到全面贯彻和执行。

2. 安全培训，对系统管理员和用户进行安全培训，提高其信息安全意识和技能，确保他们能够正确地使用和管理系统。

信息安全保障概述第⼀章信息安全保障概述1.信息安全的基本属性：完整性、机密性、可⽤性、可控制性、不可否认性2.信息安全保障体系框架⽣命周期：规划组织、开发采购、实施交付、运⾏维护、废弃保障要素：技术、管理、⼯程、⼈员安全特征：保密性、完整性、可⽤性3.信息系统安全模型P2DR安全模型：策略、防护、检测、响应4．信息保障技术框架IATF核⼼思想是纵深防御战略三个主要核⼼要素：⼈、技术和操作。

四个技术框架焦点区域:保护本地计算机环境、保护区域边界、保护⽹络及基础设施、保护⽀撑性基础设施5.信息安全保障⼯作内容：确定安全需求、设计和实施安全⽅案、进⾏信息安全评测、实施信息安全监控第⼆章信息安全基础技术与原理密码技术、认证技术、访问控制技术、审计和监控技术A、密码技术明⽂、密⽂、加密、解密信息空间M、密⽂空间C、密钥空间K、加密算法E、解密算法D加密密钥、解密密钥密码体系分为对称密钥体系、⾮对称密钥体系对称密钥体系1 对称密钥优点：加解密处理速度快和保密度⾼。

缺点：密钥管理和分发负责、代价⾼，数字签名困难2．对称密钥体系分类：分组（块）密码（DES/IDEA/AES）和序列密码(RC4/SEAL)3.传统的加密⽅法：代换法、置换法5、攻击密码体系的⽅法：穷举攻击法（128位以上不再有效）和密码分析法6.针对加密系统的密码分析攻击类型分为以下四种：①惟密⽂攻击在惟密⽂攻击中，密码分析者知道密码算法，但仅能根据截获的密⽂进⾏分析，以得出明⽂或密钥。

由于密码分析者所能利⽤的数据资源仅为密⽂，这是对密码分析者最不利的情况。

②已知明⽂攻击已知明⽂攻击是指密码分析者除了有截获的密⽂外，还有⼀些已知的“明⽂—密⽂对”来破译密码。

密码分析者的任务⽬标是推出⽤来加密的密钥或某种算法，这种算法可以对⽤该密钥加密的任何新的消息进⾏解密。

③选择明⽂攻击选择明⽂攻击是指密码分析者不仅可得到⼀些“明⽂—密⽂对”，还可以选择被加密的明⽂，并获得相应的密⽂。

信息安全等级保护三级标准
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，共分为五个等级。

其中第三级为监督保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统。

以下是信息安全等级保护三级标准的一些主要要求：
1. 物理安全：包括机房、设备、设施等物理环境的安全保护，如门禁系统、监控系统、防火、防水、防潮、防静电等。

2. 网络安全：包括网络结构、网络设备、网络协议等方面的安全保护，如防火墙、入侵检测系统、网络监控等。

3. 主机安全：包括服务器、终端等主机设备的安全保护，如操作系统安全、应用程序安全、补丁管理等。

4. 应用安全：包括应用系统的安全保护，如身份认证、访问控制、数据加密、安全审计等。

5. 数据安全：包括数据的存储、传输、处理等方面的安全保护，如数据备份与恢复、数据加密、数据脱敏等。

6. 安全管理：包括安全策略、安全组织、人员管理、安全培训等方面的安全管理，如安全管理制度、安全责任制度、应急响应计划等。

需要注意的是，具体的信息安全等级保护三级标准可能会因地区、行业、组织等因素而有所不同。

如果你需要更详细和准确的信息安全等级保护三级标准内容，建议参考相关的法律法规、标准规范或咨询专业的信息安全机构。