(完整word版)08第三方人员访问控制管理制度

第一章二填空题1 网络系统的（）性是指保证网络系统不因素的影响而中断正常工作。

可靠性2 数据的（）性是指在保证软件和数据完整性的同时，还要能使其被正常利用和操作。

可用性3 网络攻击主要有（）攻击和（）攻击两大类。

被动、主动4 网络威胁主要来自认为影响和外部（）的影响，它们包括对网络设备的威胁和对（）的威胁。

自然环境、网络中信息5 被动攻击的特点是偷听或监视传送，其墓地是获得（）。

信息内容或信息的长度、传输频率等特征6 某些人或者某些组织想方设法利用网络系统来获取相应领域的敏感信息，这种威胁属于（）威胁。

故意7 软、硬件的机能失常、认为误操作、管理不善而引起的威胁属于（）威胁。

无意8 使用特殊级数对系统进行攻击，以便得到有针对性的信息就是一种（）攻击。

主动9 数据恢复操作的种类有（）、（）和重定向恢复。

全盘恢复、个别文件恢复三选择题1 入侵者通过观察网络线路上的信息，而不干扰信息的正常流动，如搭线窃听或非授权地阅读信息，这事属于（）。

AA 被动攻击B 主动攻击C 无意威胁D 系统缺陷2 入侵者对传书中的信息或者存储的信息进行各种非法处理，如有选择地个该、插入、延迟、删除或者复制这些信息，这是属于（）。

BA 无意威胁B 主动攻击C 系统缺陷D 漏洞威胁3 入侵者利用操作系统存在的后门进入系统进行非法操作，这样的威胁属于（）A 被动攻击B 无意威胁C 系统缺陷D窃取威胁 C4 软件错误、文件损坏、数据交换错误、操作系统错误等是影响数据完整性的（）原因。

BA 人为因素B 软件和数据故障C 硬件故障D 网络故障5 磁盘故障、I/O控制器故障、电源故障、存储器故障、芯片和主板故障是影响数据完整性的（）原因。

DA 人为因素B 软件故障C网络故障 D 硬件故障6 属于通信系统与通信协议的脆弱性的是（）。

CA 介质的剩磁效应B 硬件和软件故障C TCP/IP漏洞D 数据库分级管理7 属于计算机系统本身的脆弱性的是（）AA 硬件和软件故障B 介质的剩磁效应C TCP/IP漏洞D 数据库分级管理8 网络系统面临的威胁主要是来自（1）（）影响，这些威胁大致可分为（2）（）两大类。

XXXX有限公司网络安全管理规定第一章总则第一条为加强和规范XXXX有限公司网络的安全管理，杜绝非授权的网络资源的访问、使用及控制，确保XXXX有限公司各网络的安全平稳运行，根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008），结合XXXX有限公司实际，特制订本规定制定本规定。

第二条本规定适用于XXXX有限公司平台研发部及个人。

第三条信息安全管理人员负责网络安全管理流程的制订和维护、网络安全评估和检查、网络安全事件的处置。

第四条网络管理人员负责网络结构的调整和维护、网络设备的日常维护、监控和报警、网络设备（如交换机、路由器等）检查、加固和更新。

第二章网络架构安全第五条网络拓扑管理（一）网络整体的拓扑结构需进行严格的规划、设计和管理，一经确定，不能轻易更改。

如因业务需要，确需对网络的整体拓扑结构进行调整和改变，需按照相应的变更与管理规程进行，并对变更后的网络拓扑进行核实。

（二）网络管理人员负责维护与当前运行情况相符的网络拓扑结构图，并按照对应密级保护要求妥善保管。

第六条网络冗余要求为了避免关键链路节点的单点故障，防范拒绝服务攻击，应通过资源使用监控，及时发现资源瓶颈：（一）关键网络设备，应保证主要网络设备（如核心交换机）的业务处理能力具备冗余空间，满足业务高峰期需要；（二）网络带宽资源，应通过双链路、上网行为控制、QoS 和带宽升级等手段保证正常业务的访问要求；（三）多媒体网络应用，应以不影响网络传输为原则，合理控制多媒体网络应用规模和范围，未经信息安全领导小组批准，不得在内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用。

第七条网络区域划分与隔离（一）网络系统应按照安全级别和功能，进行区域划分，各区域应根据其安全级别的不同采用适当的安全防护措施；（二）各安全区域间互联时应该实施适当的隔离措施；（三）开发测试环境应与生产网络隔离；（四）只允许指定条件下的网络访问，逻辑隔离的网络实施缺省拒绝的访问控制。

信息安全管理员-中级工题库含答案一、单选题（共43题，每题1分，共43分）1.数据库系统一般都会提供一系列安全措施，以下不属于数据库安全措施的是（）。

A、存取控制B、用户标识与鉴别C、并发控制D、视图和触发器正确答案：C2.在Word的一张表格中，在对同一列三个连续单元格做合并的前提下，然后再拆分此单元格，则行数可选择的数字为（）。

A、1和3B、2和3C、1和2和3D、以上都不对正确答案：A3.主机系统高可用技术中在系统出现故障时不需要进行主机系统切换的是（）。

A、多处理器协同方式B、群集并发存取方式C、双机热备份方式D、双机互备方式正确答案：B4.一门课程同时有若干个学生选修，而一个学生可以同时选修多门课程，则课程与学生之间具有（）关系。

A、一对一B、多对一C、多对多D、一对多正确答案：C5.下列存储设备中，存储速度最快的是（）。

A、内存B、光盘C、硬盘D、U盘正确答案：A6.计算机发生的所有动作都是受（）控制的。

A、主板B、CPUC、内存D、显卡正确答案：B7.关于OSI参考模型层次划分原则的描述中，错误的是（）。

A、高层使用低层提供的服务B、不同结点的同等层具有相同的功能C、同一结点内相邻层之间通过对等协议实现通信D、各结点都有相同的层次正确答案：C8.在Windows 2003系统下DHCP服务器中添加排除时，应输入的信息是（）。

A、起始IP地址和结束IP地址B、起始IP地址和网关地址C、起始IP地址和MAC地址D、起始IP地址和掩码正确答案：A9.Scala的类成员不包含（）。

A、privateB、protectedC、public正确答案：B10.故障：指信息系统在没有预先安排的情况下出现的对用户提供服务的（）。

A、通知B、暂停C、预知D、中断正确答案：D11.以下那个解决可以帮助减少物理硬件成本？（）A、VCenter Operation Manager for View VCenter视图操作管理B、Thin Client（精简型计算机）C、Horizon View Client（地平线视图的客户）D、Horizon Mirage（地平线海市蜃楼）正确答案：B12.应提供（）功能，利用通信网络将关键数据定时批量传送至备用场地。

第三方人员管理制度第三方人员管理制度「篇一」第一章总则第一条为了规范第三方用户在共享学校内部信息、或访问内部信息系统时的行为，保护学校网络与信息系统安全，特制定本管理办法，用于内部管理对第三方机构和人员进行安全管理。

第二章适用范围第二条本管理办法适用的第三方包括学校的其他部门、相关的教育机构、网络监管部门、网络信息的产品供应商、代维服务商、合作厂商等，制度的执行和责任由与第三方接触的相关部门承担。

第三条第三方合作伙伴在涉及到共享内部信息、或访问内部信息系统时，必须遵守本管理办法。

第四条在网络与信息安全工作中，本管理办法是指导第三方安全管理的基本依据，相关组织和人员必须认真执行本管理办法，并根据工作实际情况，制定并遵守相应的实施细则和操作流程，做好第三方安全管理工作。

第三章来访出入管理第五条第三方人员进入学校中心机房或相关实验室时，应遵守学校相关安保制度。

第六条接待部门应当建立第三方来访预约制度和接待记录制度。

对第三方人员的访问应进行登记，详细登记来访原因、工作单位、出入时间、会见人、目的、有效证件。

第七条第三方人员访问过程中，必须安排专人陪同，不得任其自行走动。

第八条未经特别许可，第三方人员不得在机房、实验室内摄影、拍照。

第九条如因业务需要须向第三方提供含有学校内部保密信息的文件、资料或实物的，接待人应当在获得相应的批准或授权，并与第三方签订保密协议后再行提供，提供时应开具清单请第三方签收。

第四章机房出入管理第十条除以下情况外，不得引领和允许第三方人员访问机房等重要区域：1.学校领导批准的参观活动；2.必要的仪器设备现场安装、维修、调测；3.第三方因业务需要进入上述区域的其它情形。

第十一条第三方人员访问机房须遵守机房管理相关规定。

第十二条第三方人员进入计算机房或进行上机操作，须经信息化部门领导或安全负责人批准，并进行相应登记，记录原因、目的及操作内容，指定专人全程陪同。

第五章网络访问管理第十三条第三方人员不允许私自连接学校内部网络。

XXX公司用户访问管理制度概要：访问管理制度的建立是为了保护XXX信息资产的保密性、完整性、可用性和真实性。

作为信息安全管理制度的一个部分，用户访问管理制度定义了基本的一系列访问控制管理内容：用户访问和密码管理；用户责任；网络访问控制；操作系统和应用访问控制；根据业务需求，相应的需要去知道或者需要去做的法则要有相应的指导手册帮助履行这些管理需求。

流程需要被定义并批准，IT系统和IT基础架构确保符合相应的要求。

目录1.0 目标2.0 范围3.0 访问控制内容3.1 访问控制的业务要求3.2 用户访问管理3.3 用户责任3.4 网络访问控制3.5 操作系统和应用访问控制4.0 例外1.0 目标XXX信息技术对系统的保密性、完整性、可用性和真实性的保护措施重点是预防为主，因此它的实质是对基于业务要求的重要资产的访问控制。

2.0 范围XXX所有的IT系统及IT基础架构应用。

3.0 访问控制内容依照XXX对信息安全管理的要求，对于信息资产、网络、系统（例如操作系统和应用系统）的访问必须被适当地控制、管理和监控。

安全要求必须被定义并文档化，须符合商业和法律的要求和须在风险评估框架范围内。

3.1 访问控制业务需求为了防止误操作导致的业务应用的中断和个人或商业信息的泄露，访问控制的规则和权利要基于安全的要求，访问必须限制在所需要的范围内。

用户和服务供应商都必须给予明确的安全要求和声明以满足访问控制。

所有用户的访问功能应该根据他们的工作性质和角色进行分配。

分配授权的过程必须一致，无论用户和系统操作人员，还是雇员或第三方。

系统授权授予必须保持与组织调整流程一致，各地负责人员须适时对配置文件进行更新。

所有系统用户必须签订合适的保密协议：1、具有系统权利执行功能或任务并不意味着用户是具有组织的授权；2、业务经理或主管有责任确保用户不能超过组织授予他的权限或允许他所能做的事情。

公司不会把组织和制度的责任由第三方承担，第三方可以分配用户配置给用户，但必须遵从公司的指示。

XXX数据安全管理规定编制： ____________________审核： ____________________批准： ____________________[本文件中浮现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特殊注明，版权均属 XXX 所有，受到有关产权及版权法保护。

任何个人、机构未经 XXX 的书面授权许可，不得以任何方式复制或者引用本文件的任何片断。

]1. 分发控制分发对象XXX 内部员工2. 文件版本信息文档权限 只读说明3. 文件版本信息说明文件版本信息记录本文件提交时的当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。

文件版本小于 1.0 时，表 示该版本文件为草案，仅可作为参照资料之目的。

拟稿和修改 版本 说明日期第一章总则第一条为保证 XXX 信息系统核心数据安全，维护数据所有者权利，明确利益相关者的责任与义务，按照分类管理、分级保护、授权使用的原则，根据《XXX 信息系统安全管理规定》及国家信息系统安全等级保护等有关要求，特制订本规定。

第二条本规定所管理的数据均为非涉密的数据， XXX 系统已标识密级的文件或者已声明密级的数据不纳入本规定管理范畴。

第三条本规定合用于全国 XXX 信息系统环境中的数据安全管理工作。

XXX 各单位、部门均应按本规定开展数据安全管理工作。

第二章术语定义第四条本规定所称数据所有者是指，对所管理业务领域内的信息或者信息系统，有权获取、创建、维护和授权的业务主管。

第五条本规定所称利益相关者包括数据创建者、数据所有者、数据管理者、数据使用者及信息安全管理人员。

第六条本规定所管理的数据涵盖以纸质、电子等形式存在的文件和非文件形式的信息及其衍生物。

其中，非文件形式的数据包括数据库及配置文件中的数据、配置信息等。

第三章职责定义第七条数据创建者负责针对其所创建数据的内容和价值提出分类分级建议，提交对应级别数据所有者确认。

保密措施和管理制度____煤炭运销集团三元宋村煤业有限公司保密管理措施1、工作人员必须做到。

不该说的____，绝对不说；不该问的____，绝对不问；不该看的____，绝对不看；不该记录的____，绝对不记录；不在非保密本上记录____；不在私人通讯中涉及____；不在公共场所和家属、子女，亲友面前谈论____；不在不利于保密的地方存放____文件、资料；不在普通电话、明码电报、普通邮局传达____事项；不携带____材料游览、参观、探亲、访友和出入公共场所。

2、建立健全收发文制度，科室要有专人负责履行文件登记、管理和清退工作，发现属于国家秘级文件资料丢失、被窃、____时，必须立即报告，及时追查，力挽损失。

3、各部门年终清退与本部门无关的并无保存价值的文件和一些刊物，必须进行销毁或碎纸处理，不得擅自出售。

4、档案专、兼职管理人员对____档案材料应严加管理，严格传递、借阅手续，如需借阅者，须经分管领导批准，并在档案阅览室内查阅，不准带出档案室，不准摘抄；档案人员未经批准，不得擅自扩大利用范围，以确保档案的安全。

5、计算机房要建立健全各项管理制度，进入机房必须进行审批和登记制度，确定专人负责计算机的应用管理。

凡____数据的传输和存贮均应采取相应的保密措施，录有文件的软盘信息要妥善保管，严防丢失。

6、保密安全管理要求：①根据“谁主管、谁负责”原则，____对本单位要害部位管理负全面责任。

②与本职工作无关人员不得随意进入要害部位，因工作关系需经单位领导同意后，才能借阅有关资料和进行公务活动。

③贵重物品、现金、票证落实专人负责，责任人要认真做好保管、使用、防火、防盗、防潮、防爆及保密工作，对要害部位认真按安全保卫保密要求落实人防、物防、技防措施，防范于未然。

④建立要害部位管理呈报制度，要害部位安全值班及交接班登记制度，要害部位管理责任追究制度，并建立要害部位处置____预案。

⑤建立各要害岗位保密安全责任制，开展经常性安全保卫保密检查，针对存在隐患及时整改不留后患。