公安部信息安全等级保护——应用安全测评培训资料

一．应用系统安全测评指导书1.应用系统安全测评访谈：专门的登陆控制模块进行身份鉴别手工检查：1.查看登陆控制模块2.验证登陆控制模块功能是否正确。

1.认证方式应该为混合认证方式2.本身操作系统用户也必须输入密码才能登陆。

访谈：1.是否有专门的模块或选项，是否有相关参数需要配置2.功能验证。

访谈：1.登录失败处理的功能(如结束会话、限制非法登陆次数，当连接超时，自动退出等)，查看是否启用配置。

2.应根据应用系统使用的登录失败处理方式，采用如下测试方法之一或全部进行测试：a.以错误的用户名或密码登录系统查看系统的反应b.以超过系统规定的非法登录次数登陆系统查看系统的反应c.当登陆系统连接超时查看系统的反应。

访谈：1.是否有访问控制策略配置功能，以该授权主体身份登录系统，进行验证2.以不具有修改访问控制策略权限的用户登录系统，试图修改访问控制策略，查看是否成功3.系统是否有默认用户，是否限制了默认用户的访问权限4.测试应用系统是对默认账户合法/非法操作进行限制。

访谈：1.最小授权、相互制约2.用户职责分配的权限是否与其职责相符3.不同账户的权限是否分离并形成制约关系4.测试越权访问，能否成功。

访谈：1.功能是否满足并验证。

1.系统管理员是否依据安全策略对目标系统进行了正确的配置2.进行验证。

访谈：1.询问安全审计员，审记策略是什么；2.检查应用系统的审记策略，查看审记策略是否覆盖到每个用户，是否对系统异常等事件进行审计3.确认审计功能是否全面、详细。

访谈：1.检查应用系统是否提供专门的审计工具2.应用系统审计报表功能访谈：1.询问应用系统审计方式，测试审计功能健壮性2.验证审计功能3.审计记录恢复功能。

2.IIS应用安全测评访谈：询问系统管理员，配置文件和网站文件是否有备份策略查看备份文件。

3.Apache应用安全测评手工检查：1.使用命令查看apache的日志文件#cat /usr/local/apache/logs/access_log和#cat/usr/local/apache/logs/error_log，确认日志文件是否包含了措施要求的内容访谈：访谈系统管理员是否对系统错误页面进行了自定义；手工检查：执行命令#grep ErrorDocument /usr/local/apache/httpd.conf，确认是否有自定义错误页面的配置。

信息安全等级测评师培训教程（初级）目录信息安全等级测评师培训教程（初级） (2)第1章网络安全测评 (3)1.1 网络全局 (3)1.2 路由器 (4)1.3 交换机 (7)1.4 防火墙 (8)1.5 入侵检测/防御系统 (9)第2章主机安全测评 (10)2.1 操作系统测评 (10)2.2 数据库系统测评 (16)第3章应用安全测评 (17)3.1 身份鉴别 (17)3.2 访问控制 (17)3.3 安全审计 (17)3.4 剩余信息保护 (17)3.5 通信完整性 (18)3.6 通信保密性 (18)3.7 抗抵赖 (18)3.8 软件容错 (18)3.9 资源控制 (18)第4章数据安全测评 (19)4.1 数据完整性 (19)4.2 数据保密性 (19)4.3 备份和恢复 (19)第五章物理安全 (19)5.1 物理位置的选择（G3） (19)5.2物理访问控制（G3） (19)5.3 防盗窃和防破坏（G3） (20)5.4 防雷击（G3） (20)5.5 防火（G3） (20)5.6防水和防潮（G3） (20)5.7防静电（G3） (21)5.8 温湿度控制（G3） (21)第六章安全管理测评 (22)6.1安全管理制度 (22)6.2安全管理机构 (23)6.3人员安全管理 (24)6.4系统建设管理 (26)6.5系统运维管理 (29)第7章工具测试 (33)附录A 信息安全技术 (35)A.1 标识与鉴别 (35)A.2 访问控制 (36)A.3 密码技术 (38)A.4 安全审计和监控 (39)A.5 恶意代码防范 (41)A.6 备份与恢复 (41)A.7 Web安全防护 (42)A.8 终端安全 (43)附录B 网络攻击技术 (44)B.1 网络攻击概述 (44)B.2 网络攻击过程 (45)PS (48)Ps1子网掩码 (48)计算方式 (49)表示方法 (52)地址判断 (53)运算示例 (53)信息安全等级测评师培训教程（初级）本书主要以三级系统S3A3G3测评为例标记说明：保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求（简记为S）；保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求（简记为A）；通用安全保护类要求（简记为G）后面的数字3是说S、A、G三类的要符合等保的三级要求，比如S3就是要达到S类的3级标准其中G是通用要求，G的级别为S、A中最高的数字级别通过不同的组合，得到系统的最终等级。

信息安全等级保护培训试题集一、法律法规一、单选题1．根据《信息安全等级保护管理办法》，（）负责信息安全等级保护工作的监督、检查、指导。

A．公安机关B．国家保密工作部门C．国家密码管理部门2．根据《信息安全等级保护管理办法》，（）应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。

A．公安机关B．国家保密工作部门C．国家密码管理部门D．信息系统的主管部门3．计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。

()A．经济价值经济损失B．重要程度危害程度C．经济价值危害程度D．重要程度经济损失4．对拟确定为（）以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

A．第一级B．第二级C．第三级D．第四级5．一般来说，二级信息系统，适用于（）A．乡镇所属信息系统、县级某些单位中不重要的信息系统。

小型个体、私营企业中的信息系统。

中小学中的信息系统。

B．适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等。

C．适用于重要领域、重要部门三级信息系统中的部分重要系统。

例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统。

D．地市级以上国家机关、企业、事业单位内部一般的信息系统。

例如小的局域网，非涉及秘密、敏感信息的办公系统等。

6．信息系统建设完成后，（）的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。

A．二级以上B．三级以上C．四级以上D．五级以上7．安全测评报告由（）报地级以上市公安机关公共信息网络安全监察部门。

信息安全等级保护培训教材《信息系统安全等级保护基本要求》公安部2007年7月目录1概述 (3)1.1 背景介绍 (3)1.2 主要作用及特点 (3)1.3 与其他标准的关系 (4)1.4 框架结构 (4)2描述模型 (5)2.1 总体描述 (5)2.2 保护对象 (6)2.3 安全保护能力 (6)2.4 安全要求 (8)3逐级增强的特点 (9)3.1 增强原则 (9)3.2 总体描述 (10)3.3 控制点增加 (11)3.4 要求项增加 (11)3.5 控制强度增强 (12)4各级安全要求 (13)4.1 技术要求 (13)4.1.1 物理安全 (13)4.1.2 网络安全 (19)4.1.3 主机安全 (24)4.1.4 应用安全 (29)4.1.5 数据安全及备份恢复 (35)4.2 管理要求 (38)4.2.1 安全管理制度 (38)4.2.2 安全管理机构 (40)4.2.3 人员安全管理 (43)4.2.4 系统建设管理 (47)4.2.5 系统运维管理 (52)本教材根据《信息系统安全等级保护管理办法》公通字[2007]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件，围绕信息安全等级工作，介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》（以下简称《基本要求》），描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。

通过培训，使得用户能够了解《基本要求》在信息系统安全等级保护中的作用、基本思路和主要内容，以便正确选择合适的安全要求进行信息系统保护。

1概述1.1背景介绍2004年，66号文件中指出“信息安全等级保护工作是个庞大的系统工程，关系到国家信息化建设的方方面面，这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施，信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。

等保培训复习资料一、单项选择题1、首次以国家行政法规形式确立了信息安全等级保护制度的法律地位的政策文件是（）A、《计算机信息安全保护等级划分准则》B、《信息系统安全等级保护基本要求》C、《中华人民共和国计算机信息系统安全保护条例》D、《信息安全等级保护管理办法》正确答案：C2、从安全保护能力角度，根据安全功能的实现情况，将计算机信息系统安全保护能力划分为五个级别，即：用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和（）。

A、密码验证保护级 B、访问验证保护级 C、系统验证保护级 D、安全验证保护级正确答案：B3、信息安全等级保护工作的首要环节和关键环节是（）A、评审B、安全测评C、定级D、整改正确答案：C4、《基本要求》中技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及其（）五个方面A、数据恢复B、系统恢复C、信息恢复D、备份恢复正确答案：D5、安全建设整改无论是安全管理建设整改还是安全技术建设整改，使用的核心标准是( )A、《计算机信息安全保护等级划分准则》B、《信息系统安全等级保护基本要求》C、《中华人民共和国计算机信息系统安全保护条例》D、《信息安全等级保护管理办法》正确答案：B6、系统定级完成后，首要的工作是确定系统的（），也就是系统的保护需求。

A、安全需求B、安全方案设计C、安全性评估D、运行环境正确答案：A7、公安部（）负责测评机构的能力评估和培训工作。

A、网络安全保卫局B、信息安全等级保护培训中心C、信息网络安全测评中心D、信息安全等级保护评估中心正确答案：D8、应用安全是指对信息系统涉及到的（）进行安全保护。

A、主机系统B、网络系统C、应用系统D、操作系统正确答案：C9、安全建设整改无论是安全管理建设整改还是安全技术建设整改，使用的核心标准是（）。

A、《信息系统安全等级保护基本要求》B、《信息系统安全保护等级定级指南》 C、《信息安全等级保护管理办法》 D、《信息安全等级保护安全建设整改工作指南》正确答案：A10、信息安全等级保护的第（）级为监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。

信息安全等级测评师培训教程（初级）目录信息安全等级测评师培训教程（初级） (2)第1章网络安全测评 (3)1.1 网络全局 (3)1.2 路由器 (4)1.3 交换机 (7)1.4 防火墙 (8)1.5 入侵检测/防御系统 (9)第2章主机安全测评 (10)2.1 操作系统测评 (10)2.2 数据库系统测评 (16)第3章应用安全测评 (17)3.1 身份鉴别 (17)3.2 访问控制 (17)3.3 安全审计 (17)3.4 剩余信息保护 (17)3.5 通信完整性 (18)3.6 通信保密性 (18)3.7 抗抵赖 (18)3.8 软件容错 (18)3.9 资源控制 (18)第4章数据安全测评 (19)4.1 数据完整性 (19)4.2 数据保密性 (19)4.3 备份和恢复 (19)第五章物理安全 (19)5.1 物理位置的选择（G3） (19)5.2物理访问控制（G3） (19)5.3 防盗窃和防破坏（G3） (20)5.4 防雷击（G3） (20)5.5 防火（G3） (20)5.6防水和防潮（G3） (20)5.7防静电（G3） (21)5.8 温湿度控制（G3） (21)第六章安全管理测评 (22)6.1安全管理制度 (22)6.2安全管理机构 (23)6.3人员安全管理 (24)6.4系统建设管理 (26)6.5系统运维管理 (29)第7章工具测试 (33)附录A 信息安全技术 (35)A.1 标识与鉴别 (35)A.2 访问控制 (36)A.3 密码技术 (38)A.4 安全审计和监控 (39)A.5 恶意代码防范 (41)A.6 备份与恢复 (41)A.7 Web安全防护 (42)A.8 终端安全 (43)附录B 网络攻击技术 (44)B.1 网络攻击概述 (44)B.2 网络攻击过程 (45)PS (48)Ps1子网掩码 (48)计算方式 (49)表示方法 (52)地址判断 (53)运算示例 (53)信息安全等级测评师培训教程（初级）本书主要以三级系统S3A3G3测评为例标记说明：保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求（简记为S）；保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求（简记为A）；通用安全保护类要求（简记为G）后面的数字3是说S、A、G三类的要符合等保的三级要求，比如S3就是要达到S类的3级标准其中G是通用要求，G的级别为S、A中最高的数字级别通过不同的组合，得到系统的最终等级。