信息安全等级保护介绍(银行培训)

信息安全等级保护介绍

国家信息安全等级保护制度的主要内容和要求 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（以下简称《管理办法》），明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 （一）工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 （二）组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组，负责信息安全等级保护工作的组织部署，由省公安厅主管网监工作的领导任组长，省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队，负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组，组织本系统和行业的信息安全等级保护工作。各地级以上市参照成立相应工作机制。重要信息系统运营使用单位成立信息安全等级保护工作组，负责组织本单位的信息系统安全等级保护工作。

信息安全等级保护答案

一、单选题(题数:32,共64、0 分)1 信息安全等级保护工作直接作用的具体的信息与信息系统称为(2、0分) 2、0 分 A、客体 B、客观方面 C、等级保护对象 D、系统服务 正确答案:B 2 根据等级保护相关管理文件,信息系统的安全保护等级分为几个级别: (2、0分) A、 3 B、 4 C、 5 D、 6 正确答案:C 3 根据《信息安全等级保护管理办法》,( )应当依照相关规范与标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。(2、0分) A、公安机关 B、国家保密工作部门 C、国家密码管理部门 D、信息系统的主管部门 正确答案:D 4 对社会秩序、公共利益造成特别严重损害,定义为几级(2、0分) A、第一级 B、第二级 C、第三级 D、第四级 正确答案:D 5 对国家安全造成特别严重损害,定义为几级(2、0分) A、第二级 B、第三级 C、第四级 D、第五级 正确答案:D 6 信息系统建设完成后,( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。(2、0分) A、二级及以上 B、三级及以上 C、四级及以上 D、五级 正确答案:B 7 计算机信息系统实行安全等级保护,安全等级的划分标准与安全

等级保护的具体办法,由( )合同有关部门制定。(2、0分) A、教育部 B、国防部 C、安全部 D、公安部 正确答案:B 8 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 —1999,提出将信息系统的安全等级划分为______个等级,并提出每个级别的安全功能要求。(2、0分) A、7 B、8 C、 6 D、 5 正确答案:D 9 信息系统受到破坏后,会对公民、法人与其她组织的合法权益造成损害,但不损害国家安全、社会秩序与公共利益,在等保定义中应定义为第几级(2、0分) A、第一级 B、第二级 C、第三级 D、第四级 正确答案:A 10 《信息系统安全等级保护实施指南》将______作为实施等级保护的第一项重要内容。(2、0分) A、安全定级 B、安全评估 C、安全规划 D、安全实施 正确答案:A 11 安全建设整改无论就是安全管理建设整改还就是安全技术建设整改,使用的与新标准就是( ) (2、0分) A、《计算机信息安全保护等级划分准则》 B、《信息系统安全等级保护基本要求》 C、《中华人民共与国计算机信息系统安全保护条例》 D、《信息安全等级保护管理办法》 正确答案:B 12 从系统服务安全角度反映的信息系统安全保护等级称(2、0分) A、安全等级保护 B、信息系统等级保护 C、系统服务安全保护等级 D、业务信息安全保护等级 正确答案:C 13 对拟确定为( )以上信息系统的,运营、使用单位或者主管部门应

银行业信息安全培训试题

信息安全培训试题 一、单选 1、信息科技风险指在商业银行运用过程中，由于自然因素、（B）、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 A 制度落实 B 技术标准 C 人为因素 D 不可抗力 2、信息科技风险管理的第一责任人是（A）。 A 银行的法定代表人 B 信息技术部负责人 C CIO D 其他 3、信息科技指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行（A），建立完整的管理组织架构，制订完善的管理制度和流程。 A 信息科技治理 B 信息安全管理

系统持续性管理C． D 突发事件管理 4、所有科技风险事件都可以归于信息系统连续性或（D）出问题的事件。 A 保密性 B 完整性 C 可用性 D 安全性 5、设立或指派一个特定部门负责信息科技（D）管理工作，该部门为信息科技突发事件应急响应小组的成员之一。 A 安全 B 审计 C 合规 D 风险 6、内部审计部门设立专门的信息科技风险审计岗位，负责（A）进行审计。 A 信息科技审计制度和流程的实施，制订和执行信息科技审计计划，对信息科技整个生命周期和重大事件等 B制订和执行信息科技审计计划，对信息科技整个生命周期和重大事件等 C 信息科技审计制度和流程的实施，对信息科技整个生命周期和重大事件等

信息科技审计制度和流程的实施，制订和执行信息科技审计计划D 等 7、信息科技风险管理策略，包括但不限于下述领域（C）。 A信息分级与保护；信息系统开发、测试和维护；信息科技运行和维护；访问控制；物理安全；人员安全 B信息分级与保护；信息系统开发、测试和维护；访问控制；物理安全；人员安全；业务连续性计划与应急处置C信息分级与保护；信息系统开发、测试和维护；信息科技运行和维护；访问控制；物理安全；人员安全；业务连续性计划与应急处置 D 信息分级与保护；信息科技运行和维护；访问控制；物理安全；人员安全；业务连续性计划与应急处置 8、依据信息科技风险管理策略和风险评估结果，实施全面的风险防范措施。定义每个业务级别的控制内容，包括最高权限用户的审查、控制对数据和系统的物理和逻辑访问、访问授权（C）为原则、审批和授权、验证和调节。。 A以“最小授权” B以“必需知道” C以“必需知道”和“最小授权” D以上都不是 9、信息科技风险管理应制定明确的（D）等，定期进行更新和公示A信息科技风险管理制度 B 技术标准

国家信息安全等级保护制度第三级要求

国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。

1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;

c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括: a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运

信息安全等级保护培训试题集

信息安全等级保护培训试题集 一、法律法规 一、单选题 1．根据《信息安全等级保护管理办法》，（A）负责信息安全等级保护工作的监督、检查、指导。 A．公安机关 B．保密工作部门 C．密码管理部门 2．根据《信息安全等级保护管理办法》，（D）应当依照相关规和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。 A．公安机关 B．保密工作部门 C．密码管理部门 D．信息系统的主管部门 3．计算机信息系统安全保护等级根据计算机信息系统在安全、经济建设、社会生活中的_______，计算机信息系统受到破坏后对安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。(B) A．经济价值经济损失 B．重要程度危害程度 C．经济价值危害程度 D．重要程度经济损失 4．对拟确定为（D）以上信息系统的，运营、使用单位或者主管部门应当请信息安全保护等级专家评审委员会评审。 A．第一级 B．第二级 C．第三级 D．第四级 5．一般来说，二级信息系统，适用于（D） A．乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。 B．适用于地市级以上机关、企业、事业单位部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官；跨省（市）联接的信息网络等。 C．适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统。 D．地市级以上机关、企业、事业单位部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。 6．信息系统建设完成后，（A）的信息系统的运营使用单位应当选择符合规定的测评机构进行测评合格可投入使用。 A．二级以上 B．三级以上

信息安全等级保护初级测评师模拟试题

信息安全等级测评师模拟考试 考试形式：闭卷考试时间：120分钟 一、单选题（每题分，共30分） 1.以下关于等级保护的地位和作用的说法中不正确的是（ c） A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（ A ） A.突出重要系统，涉及所有等级, 试点示范，行业推广，国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是：（B ）A A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4. 安全建设整改的目的是（ D） （1）探索信息安全工作的整体思路；（2）确定信息系统保护的基线要求；（3）了解信息系统的问题和差距；（4）明确信息系统安全建设的目标；（5）提升信息系统的安全保护能力； A.（1）、（2）、（3）、（5）

B.（3）、（4）、（5） C.（2）、（3）、（4）、（5） D.全部 5.下列说法中不正确的是（ A）B A. 定级/备案是信息安全等级保护的首要环节。 B. 等级测评是评价安全保护现状的关键。 C. 建设整改是等级保护工作落实的关键。 D. 监督检查是使信息系统保护能力不断提高的保障。 6.配置如下两条访问控制列表： access-list 1 permit access-list 2 permit 访问控制列表1和2，所控制的地址范围关系是：（ B ）A A. 1和2的范围相同 B. 1的范围在2的范围内 C. 2的范围在1的范围内 D. 1和2的范围没有包含关系 7. Oracle数据库中，以下（ B ）命令可以删除整个表中的数据，并且无法回滚。C A. Drop B. Delete C. Truncate D. Cascade 8.下面哪个不是生成树的优点（ C ）D A. 生成树可以管理冗余链路，在链路发生故障时可以恢复网络连接 B. 生成树可以防止环路的产生 C. 生成树可以防止广播风暴 D. 生成树能够节省网络带宽 9.关于以下配置

信息安全学习心得体会

《信息安全》——课程论文

姓名：彭阳 学号： ????????? 班级： ??????? 信息安全学习心得体会 通过学习《信息安全》，我了解到信息化是社会发展的趋势。随着我国信息化的不断推进，信息技术的应用已经渗透到工作与生活的各个方面。尤其是密码学，在我们的生活中无处不在。例如银行卡，现在几乎人手一张，那么所对应的密码数量，可想而知，是个多么庞大的数字。还有在这个网络发达的信息社会中，我们注册的各类账号，其对应的密码数量也是个巨大的数字。信息技术是新型的科学教育技术，能弥补过去工作方法的不足，只有在实践中充分利用现代化信息技术，才能在应用中发现问题、分析问题、解决问题，才能在不断总结经验、吸取教训中学习并提高自身工作能力。只有充分把现代化信

息技术应用于各类工作中，才能有助于整合资源以及提高工作效能。 信息安全，顾名思义，是指所掌握的信息不被他人窃取的安全属性。由于现代社会科技高速发展，信息的数量以指数级别增加，而科技的进步也催生出很大窃取信息的技术方法，给我们信息安全带来了极大的威胁，不光说我们的个人隐私我发得到合理的保障，甚至一些商业机密乃至国家机密也都收到了潜在盗窃者的威胁。因此，如何防范信息的窃取正确的有效的保护自己信息隐私的安全性，如何处理信息被盗所造成的损失，如何亡羊补牢都是亟待解决的问题。信息安全概论这门课正是给我们提供了这样一个学习交流的平台，给了我们应对新时期信息安全问题一条出路。 现在的上网环境可谓是“布满荆棘”，例如一项实验，不开杀毒软件的电脑“裸奔”上网， 小时之内就会陷入崩溃，足见上网环境的恶劣，这中间可能是因为访问某个网站时给自己的电脑中上了木马、修改了注册表、沾染了病毒，还可能是因为从某个网站上下载的应用软件中自带了木马、病毒，在你不知不觉中已经使电脑陷入了危险，这些病毒有一部分会占用你的资源，破坏你的系统，属于完全是没事找抽型的破坏性病毒，但是另外一些病毒和大部分木马却是居心不良，有些可以监视你键盘的动作，也就是说你在键盘上的输入会及时的别人所监视，同时也有的会强迫打开你的摄像头（前提是你有摄像头并且安装了驱动）来偷窥你所有的动作，我们经常会在一些视频网站或者新闻上看到这样的报道，一对夫妻在房内被另一个城市的无耻网友通过安装木马自动打开摄像头偷拍并被敲诈勒索的事件，这就

国家信息安全等级第二级保护制度

国家信息安全等级保护制度 （二级） 一、技术要求 1、物理安全 1.1物理位置的选择 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; 1.2 物理访问控制 （1）机房出入口应有专人值守，鉴别进入的人员身份并登记在案； （2）应批准进入机房的来访人员，限制和监控其活动范围。 1.3 防盗窃和防破坏 （1）应将主要设备放置在物理受限的范围内； （2）应对设备或主要部件进行固定，并设置明显的不易除去的标记； （3）应将通信线缆铺设在隐蔽处，如铺设在地下或管道中等； （4）应对介质分类标识，存储在介质库或档案室中； （5）应安装必要的防盗报警设施，以防进入机房的盗窃和破坏行为。 1.4 防雷击 （1）机房建筑应设置避雷装置; （2）应设置交流电源地线。 1.5 防火 应设置灭火设备和火灾自动报警系统，并保持灭火设备和火灾自动报警系统的良好状态。 1.6 防水和防潮 （1）水管安装，不得穿过屋顶和活动地板下； （2）应对穿过墙壁和楼板的水管增加必要的保护措施，如设置套管； （3）应采取措施防止雨水通过屋顶和墙壁渗透； （4）应采取措施防止室内水蒸气结露和地下积水的转移与渗透。 1.7 防静电 应采用必要的接地等防静电措施 1.8 温湿度控制 应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。 1.9 电力供应 （1）计算机系统供电应与其他供电分开；

（2）应设置稳压器和过电压防护设备； （3）应提供短期的备用电力供应（如UPS设备）。 1.10 电磁防护 （1）应采用接地方式防止外界电磁干扰和设备寄生耦合干扰； （2）电源线和通信线缆应隔离，避免互相干扰。 2、网络安全 2.1结构安全与网段划分 （1）网络设备的业务处理能力应具备冗余空间，要求满足业务高峰期需要； （2）应设计和绘制与当前运行情况相符的网络拓扑结构图； （3）应根据机构业务的特点，在满足业务高峰期需要的基础上，合理设计网络带宽； （4）应在业务终端与业务服务器之间进行路由控制，建立安全的访问路径； （5）应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段； （6）重要网段应采取网络层地址与数据链路层地址绑定措施，防止地址欺骗。 2.2 访问控制 （1）应能根据会话状态信息（包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息，并应支持地址通配符的使用），为数据流提供明确的允许/拒绝访问的能力。 （2）应在基于安全属性的允许远程用户对系统访问的规则的基础上，对系统所有资源允许或拒绝用户进行访问，控制粒度为单个用户； （3）应限制具有拨号访问权限的用户数量。 2.3 安全审计 （1）应对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录； （2）对于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息 2.4 边界完整性检查

信息安全等级保护答案

一、单选题（题数：32，共64.0 分）1 信息安全等级保护工作直接作用的具体的信息和信息系统称为（2.0分） 2.0 分 A、客体 B、客观方面 C、等级保护对象 D、系统服务 正确答案：B 2 根据等级保护相关管理文件,信息系统的安全保护等级分为几个级别: （2.0分） A、 3 B、 4 C、 5 D、 6 正确答案：C 3 根据《信息安全等级保护管理办法》,( )应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。（2.0分） A.公安机关 B.国家保密工作部门 C.国家密码管理部门 D.信息系统的主管部门 正确答案：D 4 对社会秩序、公共利益造成特别严重损害,定义为几级（2.0分） A、第一级 B、第二级 C、第三级 D、第四级 正确答案：D 5 对国家安全造成特别严重损害,定义为几级（2.0分） A、第二级 B、第三级 C、第四级 D、第五级 正确答案：D 6 信息系统建设完成后,( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。（2.0分） A.二级及以上 B.三级及以上 C.四级及以上 D.五级 正确答案：B

7 计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由( )合同有关部门制定。（2.0分） A、教育部 B、国防部 C、安全部 D、公安部 正确答案：B 8 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 —1999,提出将信息系统的安全等级划分为______个等级,并提出每个级别的安全功能要求。（2.0分） A、7 B、8 C、 6 D、 5 正确答案：D 9 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益,在等保定义中应定义为第几级（2.0分） A、第一级 B、第二级 C、第三级 D、第四级 正确答案：A 10 《信息系统安全等级保护实施指南》将______作为实施等级保护的第一项重要内容。（2.0分） A、安全定级 B、安全评估 C、安全规划 D、安全实施 正确答案：A 11 安全建设整改无论是安全管理建设整改还是安全技术建设整改,使用的和新标准是( ) （2.0分） A、《计算机信息安全保护等级划分准则》 B、《信息系统安全等级保护基本要求》 C、《中华人民共和国计算机信息系统安全保护条例》 D、《信息安全等级保护管理办法》 正确答案：B 12 从系统服务安全角度反映的信息系统安全保护等级称（2.0分） A、安全等级保护 B、信息系统等级保护 C、系统服务安全保护等级 D、业务信息安全保护等级 正确答案：C

信息安全等级保护操作指南和操作流程DOC

信息安全等级保护操作流程 1信息系统定级 1.1定级工作实施范围 “关于开展全国重要信息系统安全等级保护定级工作的通知”对于重要信息系统的范围规定如下： （一）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 （二）铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 （三）市（地）级以上党政机关的重要网站和办公信息系统。 （四）涉及国家秘密的信息系统（以下简称“涉密信息系统”）。 注：跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。

1.2定级依据标准 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发【2003】27号文件） 《关于信息安全等级保护工作的实施意见》（公通字【2004】66号文件） 《电子政务信息系统安全等级保护实施指南（试行）》（国信办【2005】25号文件） 《信息安全等级保护管理办法》（公通字【2007】43号文件）《计算机信息系统安全保护等级划分准则》 《电子政务信息安全等级保护实施指南》 《信息系统安全等级保护定级指南》 《信息系统安全等级保护基本要求》 《信息系统安全等级保护实施指南》 《信息系统安全等级保护测评指南》

1.3定级工作流程 图1-1 信息系统定级工作流程 1.3.1信息系统调查 信息系统调查是通过一系列的信息系统情况调查表对信息系统基本情况进行摸底调查，全面掌握信息系统的数量、分布、业务类型、应用、服务范围、系统结构、管理组织和管理方式等基本情况。同时，通过信息系统调查还可以明确信息系统存在的资产价值、威胁等级、风险等级以及可能造成的影响客体、影响范围等基本情况。 信息系统调查结果将作为信息系统安全等级保护定级工作的主要依据，保证定级结果的客观、合理和准确。

人民银行信息系统信息安全等级保护实施指引(试行)

附件1 人民银行信息系统 信息安全等级保护实施指引 (试行) 2011年6月

目录 编制说明 (1) 1概述 (1) 1.1目的 (2) 1.2范围 (2) 1.3术语 (3) 1.4引用文件 (4) 2指引编制策略 (4) 2.1国家等级保护要求 (4) 2.1.1基本要求 (5) 2.1.2设计要求 (6) 2.2人民银行架构特点 (7) 2.2.1网络结构与联网机构关系 (7) 2.2.2业务接入及系统特点 (12) 2.3指导思想 (14) 2.3.1纵深防御设计的必要性 (15) 2.3.2基本要求与纵深防御设计结合的意义 (15) 2.3.3安全域设计 (16) 3信息安全保障框架 (18) 3.1总体框架 (18) 3.2技术体系 (20) 3.2.1计算环境 (22) 3.2.2区域边界 (23) 3.2.3通信网络 (23) 3.2.4支撑设施 (24) 3.3管理体系 (24) 4保护要求 (25) 4.1二级要求 (25) 4.1.1技术要求 (25) 4.1.2管理要求 (32) 4.2三级要求 (42) 4.2.1技术要求 (42) 4.2.2管理要求 (53) 4.3四级要求 (68) 4.3.1技术要求 (68) 4.3.2管理要求 (80) 附录 (97) 1等级保护实施措施 (97) 1.1网络安全 (97) 1.1.1二级要求及措施 (97) 1.1.2三级要求及措施 (102) 1.1.3四级要求及措施 (112)

1.2主机安全 (122) 1.2.1二级要求及措施 (122) 1.2.2三级要求及措施 (125) 1.2.3四级要求及措施 (131) 1.3应用安全 (137) 1.3.1二级要求及措施 (137) 1.3.2三级要求及措施 (141) 1.3.3四级要求及措施 (146) 1.4数据安全 (152) 1.4.1二级要求及措施 (152) 1.4.2三级要求及措施 (153) 1.4.3四级要求及措施 (155) 2国库信息处理系统等级保护案例分析 (157) 2.1现状 (157) 2.2分区分域设计分析 (157) 2.3基本要求分析 (159) 2.3.1技术要求 (159) 2.3.2管理要求 (161) 3金融行业安全要求的选择和使用说明 (162)

信息安全等级保护工作流程介绍

信息安全等级保护工作流程介绍 导语 信息安全等级保护工作是《网络安全法》中明确要求需要履行的网络安全义务。 解读:信息安全等级保护工作是《网络安全法》中明确要求需要履行的网络安全义务。根据信息系统等级保护相关标准，等级保护工作总共分五个阶段，分别为： 一是定级。信息系统运营使用单位按照等级保护管理办法和定级指南，自主确定信息系统的安全保护等级。有上级主管部门的，应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。虽然说的是自主定级，但是也得根据系统实际情况去定级，有行业指导文件的根据指导文件来，没有文件的根据定级指南来，总之一句话合理定级，该是几级就是几级，不要定的高也不要定的低。 二是备案。第二级以上信息系统定级单位到所在地所在地设区的市级以上公安机关办理备案手续。省级单位到

省公安厅网安总队备案，各地市单位一般直接到市级网安支队备案，也有部分地市区县单位的定级备案资料是先交到区县公安网监大队的，具体根据各地市要求来。备案的时候带上定级资料去网安部门，一般两份纸质文档，一份电子档，纸质的首页加盖单位公章。 三是系统安全建设。信息系统安全保护等级确定后，运营使用单位按照管理规范和技术标准，选择管理办法要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制定并落实安全管理制度。 四是等级测评。信息系统建设完成后，运营使用单位选择符合管理办法要求的检测机构，对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改，特别是高危风险。测评的结论分为：不符合、基本符合、符合。当然符合基本是不可能的，那是理想状态。 五是监督检查。公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款，监督检查运营使用单位开展等级保护工作，定期对信息系统进行安全检查。运

银行信息安全管理规定

中国人民银行信息安全管理规定 第一章总则 第一条为强化人民银行信息安全管理，防范计算机信息技术风险，保障人民银行计算机网络与信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定，特制定本规定。 第二条本规定所称信息安全管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条人民银行信息安全管理工作实行统一领导和分级管理。总行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。分支机构负责本单位和辖内的信息安全管理，各直属企事业单位负责本单位的信息安全管理。 第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。 第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”）。所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。 第二章组织保障 第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。 第七条各单位科技部门应设立信息安全管理部门或岗位。总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员，实行A、B 岗制度；地（市）中心支行和县（市）支行设立信息安全管理岗位。

第八条除科技部门外，各单位其他部门均应指定至少一名部门计算机安全员，具体负责本部门的信息安全管理，协同科技部门开展信息安全管理工作。 第三章人员管理 第九条各单位工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。 第一节信息安全管理人员 第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和人民银行有关规定受到过处罚或处分的人员，不得从事此项工作。 第十一条各单位信息安全管理人员应经过总行或分行、营业管理部、省会（首府）城市中心支行组织的专业培训与审核，培训与审核合格后方可上岗。上岗后，每年至少参加一次信息安全专业培训。 第十二条各单位信息安全管理人员在如下职责范围内开展本单位信息安全管理工作： 组织落实上级信息安全管理规定，制定信息安全管理制 度，协调部门计算机安全员工作，监督检查信息安全保障工作。 审核信息化建设项目中的安全方案，组织实施信息安全保 障项目建设，维护、管理信息安全专用设施。 检测网络和信息系统的安全运行状况，检查运行操作、备 份、机房环境与文档等安全管理情况，发现问题，及时通报和预警，并提出整改意见。统计分析和协调处置信息安全事件。 四）定期组织信息安全宣传教育活动，开展信息安全检查、评 估与培训工作。 第十三条信息安全管理人员在履行职责时，确因工作需要查询相关涉密

网站系统信息安全等级保护建设整改方案

网站系统信息安全等级保护建设整改方案 随着互联网应用和门户网站系统的不断发展和完善，网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施，另一方面要加强系统自身抵抗威胁的能力，同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求，网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施，综合提升网站系统的安全保障能力。 根据国家等级保护有关要求，省级政府门户网站系统的信息安全保护等级应定为三级，建立符合三级等级保护相关要求的安全防护措施，能够形成在同一安全策略的指导下，网站系统应建立综合的控制措施，形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析，形成网站系统的安全需求，从而建立有针对性的安全保障体系框架和安全防护措施。 网站系统安全需求 根据网站系统的应用情况，针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析，具体需求如下： 1、业务流程安全需求 针对网站类业务重点需要关注发布信息的准确性，采集分析和汇总信息的可控性，以及服务平台的可用性，系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击，应加强对于这些威胁的对抗和防护能力，通过严格控制业务流程中的各个环节，包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求，同时要加强系统自身的完整性保护和抗抵赖机制的实现。 2、软件安全需求 网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面，由于几个层面涉及的主要功能和软件实现存在一定的差异性，因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成，针对业务系统此层面是一个访问入口，从安全需求方面应当减少入口对于系统的攻击可能性，对于指定的接入和入口可以通过建立可信机制进行保护，对于非指定的接口可以通过控制权限进行防护；展现层是系统内容的展示区域，要确保系统展示信息的完整性，降低被篡改的风险；应用层是对数据信息进行处理的核心部分，应加强系统自身的安全性和软件编码的安全性，减少系统自身的脆弱性；基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务，该层次重点是确保系统组件自身的安全性，同时要加强与应用之间接口的安全性；信息资源层是由业务数据库和平台数据库共同构成，此层次重点的安全在于数据库安全；基础支撑运行环境层，支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境，该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁，应加强资产的综合管理。 3、数据安全需求 网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息，以及前台的交互信息和后台的数据交换信息，针对这些信息各个环节中的访问关系不同，信息的敏感和重要程度不同，可能面

信息安全等级保护安全建设项目方案

信息系统安全等级保护安全建设项目 技术方案

目录 1项目理解 (6) 1.1项目背景 (6) 1.2项目范围 (6) 1.3项目目标 (7) 1.4项目建设原则 (7) 2项目建设思路和技术路线 (8) 2.1项目建设思路 (8) 2.2项目技术路线 (8) 2.3项目建设技术方法引用 (10) 2.3.1可控安全理念 (10) 2.3.2风险管理设计方法 (10) 2.3.3体系化设计方法 (13) 2.3.4等级化设计方法 (14) 2.3.5自上而下和自下而上相结合的设计方法 (15) 2.4项目实施整体策略 (16) 3项目建设依据 (18) 4云安全风险与需求分析 (20) 4.1云安全的基本安全需求 (20) 4.1.1CSA云计算关键领域安全指南V2.1 (20) 4.1.2传统信息系统的基本安全需求 (21) 4.1.3云安全与传统安全的差异 (22) 4.2XX信息系统云计算平台安全技术需求分析 (23) 4.2.1物理安全风险与需求分析 (24) 4.2.2计算环境安全风险与需求分析 (25) 4.2.3区域边界安全风险与需求分析 (25)

4.2.4通信网络安全风险与需求分析 (25) 4.2.5虚拟化技术的安全风险与需求分析 (25) 4.3云安全管理需求分析 (26) 5等级保护安全建设方案设计 (28) 5.1现状调研与分析 (28) 5.1.1工作定位 (28) 5.1.2参考标准 (28) 5.1.3阶段性输入 (29) 5.1.4工作方法与流程 (29) 5.1.5技术实现 (30) 5.1.5.1业务流程分析方法 (30) 5.1.5.2安全风险评估方法 (30) 5.1.5.3安全需求分析方法 (34) 5.1.5.4安全风险评估工具 (34) 5.1.6阶段性输出 (35) 5.2等级保护建设与方案设计 (35) 5.2.1工作定位 (35) 5.2.2参考标准 (36) 5.2.3阶段性输入 (36) 5.2.4工作方法与流程 (36) 5.2.5技术实现 (38) 5.2.5.1SWOT分析方法 (38) 5.2.5.2体系设计方法 (39) 5.2.5.3等级保护的多重防护设计方法 (39) 5.2.6安全保障体系设计框架 (40) 5.2.7网络架构设计与安全区域规划 (42) 5.2.8阶段性输出 (43) 5.3建设实施 (43)

信息安全等级保护初级测评师模拟试题

信息安全等级保护初级测评师模拟试题 集团档案编码：[YTTR-YTPT28-YTNTL98-UYTYNN08]

信息安全等级测评师模拟考试 考试形式：闭卷考试时间：120分钟 一、单选题（每题1.5分，共30分） 1.以下关于等级保护的地位和作用的说法中不正确的是（c） A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2.以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（A） A.突出重要系统，涉及所有等级,试点示范，行业推广，国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是：（B）A A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4.安全建设整改的目的是（D） （1）探索信息安全工作的整体思路；（2）确定信息系统保护的基线要求；（3）了解信息系统的问题和差距；（4）明确信息系统安全建设的目标；（5）提升信息系统的安全保护能力； A.（1）、（2）、（3）、（5） B.（3）、（4）、（5）

信息安全等级保护工作流程图

信息安全等级保护工作流程

一、定级 一、等级划分 计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定，分为五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 二、定级程序 信息系统运营、使用单位应当依据《信息系统安全等级保护定级指南》(下载专区附)确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。 跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。 对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 三、定级注意事项 第一级信息系统：适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。

第二级信息系统：适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统，地市级以上国家机关、企事业单位网站等 第三级信息系统：一般适用于地市级以上国家机关、企事业单位内部重要的信息系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省门户网站和重要网站；跨省连接的网络系统等。例如网上银行系统、证券集中交易系统、海关通关系统、民航离港控制系统等为三级信息系统。 第四级信息系统：一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全、影响社会稳定的核心系统。例如电信骨干传输网、电力能量管理系统、银行核心业务系统、铁路票客系统、列车指挥调度系统等 第五级信息系统：适用于国家特殊领域的极端重要系统。 二、备案 一、总体要求 新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 二、备案管辖 （一）管辖原则。 备案管辖分工采取级别管辖和属地管辖相结合。 （二）中央在京单位。 隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由公安部公共信息网络安全监察局受理备案，其他信息系统由北京市公安局公共信息网络安全监察部门（简称网监部门，下同）受理备案。