等级保护测评师培训及考试指南

信息安全等级保护测评指南信息安全等级保护测评是指对信息系统安全等级保护的实施情况进行评估和测试的过程，旨在评估信息系统的安全保护能力，检测信息系统存在的安全隐患，并提出相应的整改建议。

下面是一个信息安全等级保护测评指南，以帮助组织进行有效的测评。

一、测评准备1.明确测评目标和范围：确定测评的具体目标，包括测评的等级保护要求和测评的范围，确保测评的准确性和全面性。

2.组织测评团队：确定测评团队的成员和职责，包括测评组长、技术专家、安全管理人员等，确保测评工作的有效开展。

3.准备测评工具和方法：选择合适的测评工具和方法，包括测评软件、网络扫描工具、物理安全检测设备等，确保测评的可靠性和准确性。

二、测评步骤1.收集信息：收集和了解被测评系统的相关信息，包括系统架构、网络拓扑、数据流程等，以便进行后续的测评工作。

2.风险评估：对系统可能面临的安全风险进行评估和分类，包括内部威胁、外部攻击等，以确定测评的重点和方向。

3.安全策略评估：评估被测评系统的安全策略和安全控制措施的有效性和合规性，包括访问控制、身份认证、加密算法等。

4.物理安全测评：对被测评系统的物理环境进行检测和评估，包括机房的物理访问控制、机柜安装的安全性等，以保证系统的物理安全。

5.网络安全测评：对被测评系统的网络环境进行检测和评估，包括网络设备的配置、网络服务的安全性等，以保证系统的网络安全。

6.系统安全测评：对被测评系统的操作系统和应用软件进行检测和评估，包括漏洞扫描、系统配置审计等，使用合适的工具和方法进行。

7.数据安全测评：对被测评系统的数据存储和传输进行检测和评估，包括数据备份和恢复、数据加密等，以保证系统的数据安全。

8.报告编写：根据测评的结果和发现，编写详细的测评报告，包括测评的过程、发现的问题、风险评估和整改建议等，以提供给被测评方参考。

三、测评注意事项1.保护被测评系统的安全：在进行测评的过程中，要确保不会对被测评系统造成破坏或干扰，要尽可能减少对正常业务的影响。

等级保护测评师简答题（附答案）1、简述单位、组织的信息安全管理工作如何与公安机关公共信息网络安全检查部门（公安网监部门）相配合。

答：单位、组织的信息安全管理工作与公安机关公共信息网络安全监察部门之间的配合主要体现在以下方面：（1）单位、组织的信息安全管理，必须遵循信息安全法律、法规对于安全管理职责、备案、禁止行为、安全管理制度和安全技术机制要求等方面的内容规定。

（2）法律、法规赋予公安机关公共信息网络安全监察部门对信息安全的监管职责，各单位、组织必须接受和配合公安机关公共信息网络安全监察部门的监督和检查。

（3）在发生信息安全案件后，单位、组织应当及时向公安机关公共信息网络安全监察部门报案，并在取证和调查等环节给予密切配合。

2、国家为什么要实施信息安全等级保护制度答：1、信息安全形势严峻1）来自境内外敌对势力的入侵、攻击、破坏越来越严重。

2）针对基础信息网络和重要信息系统的违法犯罪持续上升。

3）基础信息网络和重要信息系统安全隐患严重。

2、维护国家安全的需要1）基础信息网络与重要信息系统已成为国家关键基础设施。

2）信息安全是国家安全的重要组成部分。

3）信息安全是非传统安全，信息安全本质是信息对抗、技术对抗。

4）我国的信息安全保障工作基础还很薄弱。

3、安全审计按对象不同，可分为哪些类？各类审计的内容又是什么？（12分）答：系统级审计，应用级审计，用户级审计。

系统级审计：要求至少能够记录登陆结果、登录标识、登陆尝试的日期和时间、退出的日期和时间、所使用的设备、登陆后运行的内容、修改配置文件的请求等。

应用级审计：跟踪监控和记录诸如打开和关闭数据文件，读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。

用户级审计：跟踪通常记录用户直接启动的所有命令、所有的标识和鉴别尝试的所有访问的文件和资源。

4、身份认证的信息主要有哪几类？并每项列举不少于2个的事例。

答：身份认证的信息可分为以下几类：1）用户知道的信息，如个人标识、口令等。

⽹络安全等级评测师，等保评测师考试⽅法，怎么考。

最近发现⽹上关于等级保护评测师这个证书怎么考的资料很少，很多⼈想考也没有门路，这⾥我说明下这个证书的获取⽅式以及⽤途吧。

⾸先是⼲货怎么考：
答案就是你要挂靠单位才能去考，有考试资格的单位才能去给你报名。

并不能是培训机构，也就是你得是他们单位的员⼯才可以。

其次这个证书有⽤么，前景好不好。

不⽤质疑，肯定是有⽤的，随着等级保护的推⼴越来越多的单位需要做等级保护评测，算是⼀个⽐较有前景的⾏业吧，如果想在等级保护这个⾏业深⼊发展的话还是不错的，如果不是那就没啥⽤了，不建议去考了。

等级测评师培训及考试指南为加强信息安全等级保护测评机构建设和管理，规范等级测评活动，保障信息安全等级保护测评工作的顺利开展，公安部下发了《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号），对等级测评工作、等级测评机构建设以及等级测评人员进行了规范和要求。

要求开展等级测评的人员参加专门培训和考试，并取得《信息安全等级测评师证书》（等级测评师分为初级、中级和高级）。

等级测评人员需持等级测评师证上岗。

公安部信息安全等级保护评估中心（以下简称“评估中心”）是由公安部为建立信息安全等级保护制度，构建国家信息安全保障体系而专门批准成立的专业技术支撑机构，评估中心受国家信息安全等级保护工作协调小组办公室委托，对从事等级测评的人员进行培训和考试，对考试合格人员颁发相应的《信息安全等级测评师》证书。

1．等级测评师的分类及能力要求信息安全等级测评师分为初级等级测评师、中级等级测评师和高级等级测评师三级。

其中，初级等级测评师又分为技术和管理两类。

三级等级测评师能力要求如下：•初级等级测评师o了解信息安全等级保护的相关政策、标准；o熟悉信息安全基础知识；o熟悉信息安全产品分类，了解其功能、特点和操作方法；o掌握等级测评方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；o掌握测评工具的操作方法，能够合理设计测试用例获取所需测试数据；o能够按照报告编制要求整理测评数据。

•中级等级测评师o熟悉信息安全等级保护相关政策、法规；o正确理解信息安全等级保护标准体系和主要标准内容，能够跟踪国内、国际信息安全相关标准的发展；o掌握信息安全基础知识，熟悉信息安全测评方法，具有信息安全技术研究的基础和实践经验；o具有较丰富的项目管理经验, 熟悉测评项目的工作流程和质量管理的方法，具有较强的组织协调和沟通能力；o能够独立开发测评指导书，熟悉测评指导书的开发、版本控制和评审流程；o能够根据信息系统的特点，编制测评方案，确定测评对象、测评指标和测评方法；o具有综合分析和判断的能力，能够依据测评报告模板要求编制测评报告，能够整体把握测评报告结论的客观性和准确性。

等级保护测评师初级技术考试⽬录等级保护政策和相关标准应⽤部分 (1)⽹络安全测评部分 (3)主机安全部分 (4)应⽤测评部分 (6)数据库 (7)⼯具测试 (13)等级保护政策和相关标准应⽤部分《中华⼈民共和国计算机信息系统安全保护条例》国务院令 147号计算机信息系统实⾏安全等级保护。

安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定《国家信息化领导⼩组关于加强信息安全保障⼯作的意见》中发办[2003] 27号要加强信息安全标准化⼯作，抓紧制定急需的信息安全管理和技术标准，形成与国际标准相衔接的中国特⾊的信息安全标准体系什么是等级保护⼯作信息安全等级保护⼯作是⼀项由信息系统主管部门、运营单位、使⽤单位、安全产品提供⽅、安全服务提供⽅、检测评估机构、信息安全监督管理部门等多⽅参与，涉及技术与管理两个领域的复杂系统⼯程等级保护制度的地位和作⽤是国家信息安全保障⼯作的基本制度、基本国策是促进信息化、维护国家信息安全的根本保障是开展信息安全⼯作的基本⽅法，有效抓⼿等级保护的主要⽬的明确重点、突出重点、保护重点优化信息安全资源的配置明确信息安全责任拖动信息安全产业发展公安机关组织开展等级保护⼯作的依据1.《警察法》规定：警察履⾏“监督管理计算机信息系统的安全保护⼯作”的职责2.国务院令147号“公安部主管全国计算机信息系统安全保护⼯作”，“等级保护的具体办法，由公安部会同有关部门制定”3.2008年国务院三定⽅案，公安部新增职能：“监督、检查、指导信息安全等级保护⼯作”机构公安部⽹络安全保卫局各省⽹络警察总队地市⽹络警察⽀队区县⽹络警察⼤队部分职责制定信息安全政策打击⽹络违法犯罪互联⽹安全管理重要信息系统安全监督⽹络与信息安全信息通报国家信息安全职能部门职责分⼯公安机关牵头部门，监督、检查、指导信息安全等级保护⼯作国家保密部门负责等级保护⼯作中有关保密⼯作的监督、检查、指导。

并负责涉及国家秘密信息系统分级保护国家密码管理部门：负责等级保护⼯作中有关密码⼯作的监督、检查、指导⼯业和信息化部门：负责等级保护⼯作中部门间的协调定级备案建设整改测评监督检查《关于信息安全等级保护⼯作的实施意见》公通字[2004] 66号《计算机信息系统安全保护等级划分准则》 GB17859-1999 简称《划分准则》《信息安全等级保护管理办法》公通字[2007] 43号简称《管理办法》《信息系统安全等级保护实施指南》简称《实施指南》《信息系统安全保护等级定级指南》 GB/T 22240-2008 简称《定级指南》《信息系统安全等级保护基本要求》 GB/T22239-2008 简称《基本要求》《信息系统安全等级保护测评要求》简称《测评要求》《信息系统安全等级保护测评过程指南》简称《测评过程指南》测评主要参照标准信息系统安全等级保护基本要求信息系统安全等级保护测评要求信息系统安全等级保护测评过程指南等级保护⼯作中⽤到的主要标准基础17859实施指南定级环节定级指南整改建设环节基本要求等级测评环节测评要求测评过程指南定级⽅法PPT61确定定级对象确定业务信息安全受到破坏时所侵害的客体综合评定业务信息系统安全被破坏对客体的侵害程度得到业务信息安全等级确定系统服务安全受到破坏时所侵害的客体综合评定系统服务安全被破坏对客体的侵害程度得到系统服务安全等级⽹络安全测评部分7个控制点 33个要求项结构安全访问控制⼊侵防范边界完整性检查恶意代码防范设备防护安全审计检查范围理解标准：理解标准中涉及⽹络部分的每项基本要求明确⽬的：检查的最终⽬的是判断该信息系统的⽹络安全综合防护能⼒注意事项结构安全 7点重要a 应保证主要⽹络设备的业务处理能⼒具备冗余空间，满⾜业务⾼峰期需要b 应保证⽹络各个部分的带宽满⾜业务⾼峰期需要c 应在业务终端与业务服务器之间进⾏路由控制建⽴安全的访问路径d 应绘制与当前运⾏情况相符的⽹络拓扑结构图e 应根据各个部门的⼯作职能、重要性和所涉及信息的重要程度等因素，划分不同的⼦⽹或⽹段，并按照⽅便管理和控制的原则为各个⼦⽹、⽹段分配地址段f 应避免将重要⽹段部署在⽹络边界处且直接连接外部信息系统，重要⽹段与其他⽹段之间采取可靠的技术隔离⼿段g 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在⽹络发⽣拥堵的时候优先保护重要主机访问控制a 应在⽹络边界部署访问控制设备，启⽤访问控制功能b 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能⼒，控制粒度为端⼝级c 应对进出⽹络的信息内容进⾏过滤，实现对应⽤层HTTP 80、 21、TELNET 23、SMTP 25、POP3 110 等协议命令集的控制 (协议需要记忆)d 应在会话处于⾮活跃⼀定时间或会话结束后终⽌⽹络连接e 应限制⽹络最⼤流量数及⽹络连接数f 重要⽹段应采取技术⼿段防⽌地址欺骗g 应按⽤户和系统之间的允许访问规则，决定允许或拒绝⽤户对受控系统进⾏资源访问，控制粒度为单个⽤户h 应限制具有拨号访问权限的⽤户数量安全审计 4项a 应对⽹络系统中的⽹络设备运⾏状况、⽹络流量、⽤户⾏为等进⾏⽇志记录b 审计记录包括：事件的⽇期和时间、⽤户、事件类型、事件是否成功及其他与审计相关的信息c 应能够根据记录进⾏分析，并⽣成审计报表d 应对审计记录进⾏保护，避免受到未预期的删除、修改或覆盖等测评步骤1、⽹络全局性测评结构安全边界完整性检查⼊侵防范恶意代码防范2、⽹络设备、安全设备测评访问控制安全审计⽹络设备防护备份与恢复a 应提供本地数据备份与恢复功能，完全数据备份⾄少每天⼀次，备份介质场外存放b 应提供异地数据备份功能，利⽤通信⽹络将关键数据定时批量传送⾄备⽤场地c 应采⽤冗余技术设计⽹络拓扑结构、避免关键节点存在单点故障d 应提供主要⽹络设备、通信线路和数据处理系统的硬件冗余、保证系统的⾼可⽤性3、测评结果汇总整理对全局性检查结果和各单项检查结果进⾏汇总核对检查结果，记录内容真实有效，勿有遗漏主机安全部分主机安全测评1.主机按照其规模或系统功能来区分，可分为巨型、⼤型、中型、⼩型、微型计算机和单⽚机2.主机安全是由操作系统⾃⾝安全配置、相关安全软件以及第三⽅安全设备等来实现，主机测评则是依据基本要求对主机安全进⾏符合性检查3.⽬前运⾏在主机上流⾏的操作系统有 windows linux sun_solaris ibm_aix hp_ux测评准备⼯作很重要1.信息收集服务器的设备名称、型号、所属⽹络区域、操作系统版本、IP、安装应⽤软件的名称、主要业务应⽤、涉及数据、是否热备、重要程度、责任部门信息收集的原则重要！～完整性原则重要性原则安全性原则共享性原则代表性原则2.测评指导书准备根据信息收集的内容、结合主机所属等级、编写测评指导书⾝份鉴别访问控制安全审计剩余信息保护⼊侵防范恶意代码防范系统资源控制备份与恢复⾝份鉴别 6项a 应对登录操作系统和数据库系统的⽤户进⾏⾝份标识和鉴别b 操作系统和数据库系统管理⽤户⾝份标识应具有不易被冒⽤的特点，⼝令有复杂度要求并要求定期更换c 应启⽤登录失败处理功能，可采取结束会话、限制⾮法登录次数和⾃动退出等措施d 当对服务器进⾏远程管理时，应采取必要措施，防⽌鉴别信息在⽹络传输过程中被窃听e 为操作系统和数据库的不同⽤户分配不同的⽤户名，确保⽤户名具有唯⼀性f 应采⽤两种或两种以上组合的鉴别技术对管理⽤户进⾏⾝份鉴别⾝份鉴别共有6个检查项1.⾝份的标识2.密码⼝令的复杂度设置3.登录失败的处理4.远程管理的传输模式5.⽤户名的唯⼀性6.⾝份组合鉴别技术什么是双因⼦鉴别重要！～个⼈所知道的信息个⼈所持有的物品个⼈的⽣理特征个⼈的⾏为特征访问控制 7个检查项1.对系统的访问控制功能2.管理⽤户的⾓⾊分配3.操作系统和数据库系统管理员的权限分离4.默认⽤户的访问权限5.账户的清理6.重要信息资源的敏感标记设置7.对有敏感标记信息资源的访问和控制安全审计 6个检查项1.审计范围2.审计的事件3.审计记录格式4.审计报表得⽣成5.审计进程保护6.审计记录的保护剩余信息保护 2项1.鉴别信息清空2.⽂件记录等的清空⼊侵防范 3项1.⼊侵⾏为的记录和报警2.重要⽂件的完整性保护3.最⼩安装原则恶意代码防范1.安装防恶意代码软件2.主机的防恶意代码库和⽹络防恶意代码库的差别3.防恶意代码软件的统⼀管理除了安装防病毒软件还有什么能解决重要！～1安全补丁管理平台2防⽕墙3⼊侵检测系统4对系统和数据进⾏尝备份系统资源控制 5项1.应通过设定终端接⼊⽅式、⽹络地址范围等条件限制终端登录。

选择题在等级保护工作中，以下哪项是第三级信息系统在安全审计方面的基本要求？A. 每月进行安全审计B. 记录所有用户的所有操作（正确答案）C. 仅在系统出现故障时进行安全审计D. 无需对用户操作进行记录下列哪项不是等级保护测评过程中需要关注的方面？A. 物理安全B. 网络安全C. 数据安全D. 业务连续性（正确答案：此选项虽重要，但不是等保测评的核心方面，作为干扰项）在进行等级保护测评时，以下哪项活动不属于测评准备阶段？A. 组建测评团队B. 制定测评方案C. 实施漏洞扫描（正确答案：此活动属于测评实施阶段）D. 准备测评工具根据等级保护要求，以下哪项是第二级信息系统在入侵防范方面的基本要求？A. 能够检测到对重要服务器进行入侵的行为（正确答案）B. 能够抵御来自互联网的所有攻击C. 无需进行入侵防范D. 仅需对外部网络进行入侵防范在等级保护测评中，以下哪项不是对测评对象进行风险分析的内容？A. 识别测评对象面临的威胁B. 评估测评对象的安全漏洞C. 确定测评对象的安全等级（正确答案：此内容属于等级确定阶段，非风险分析）D. 分析测评对象的安全风险下列哪项是等级保护工作中对第一级信息系统的基本要求？A. 自主保护级，不需要进行专门的安全设计和实施（正确答案，但表述应更严谨为“应自主保护，进行基本的安全设计和实施”）B. 指导保护级，需要进行全面的安全设计和实施C. 监督保护级，需要接受国家相关部门的监督和检查D. 强制保护级，需要采取严格的安全措施和访问控制在进行等级保护测评时，以下哪项不是测评团队应具备的资质？A. CISP（注册信息安全专业人员）认证B. 等保测评师认证（正确答案：此选项表述了一个理想的认证，但实际中可能不存在统一的“等保测评师认证”，作为干扰项）C. 信息安全工程师认证D. 相关行业的信息安全认证根据等级保护要求，以下哪项是第四级信息系统在物理安全方面的基本要求？A. 无需特别的物理安全措施B. 采取基本的物理访问控制措施C. 实施严格的物理访问控制和安全监控措施（正确答案）D. 仅需对关键区域实施物理访问控制在等级保护测评报告中，以下哪项内容不是必须包含的？A. 测评对象的基本信息B. 测评过程中发现的安全问题C. 测评对象的业务连续性计划（正确答案：此内容不属于等保测评报告的核心部分）D. 测评结论和改进建议。

等保测评考试内容一、等保测评考试内容大概有这些方面啦1. 等保的基本概念等保就是信息安全等级保护，它是对信息和信息载体按照重要性等级分级别进行保护的一种工作。

就像是给不同重要性的东西安排不同级别的保镖一样。

比如一些关系到国家安全、社会稳定的系统那肯定是最高级别的保护啦。

2. 等保的级别划分等保分为五级哦。

第一级是自主保护级，适用于小型私营、个体企业等，这些企业的信息系统如果遭到破坏，可能只会对企业自身有一些小的影响。

第二级是指导保护级，像一些普通的企业办公系统之类的，遭到破坏可能会对企业的正常运转和一定范围内的社会秩序有影响。

第三级是监督保护级，这一级别的系统比较重要啦，像金融机构的网上银行系统之类的，要是出问题那影响可就大啦，需要相关部门监督管理其安全保护工作。

第四级是强制保护级，适用于非常重要的部门，如国家重要的科研机构的核心系统，安全要求超级高。

第五级是专控保护级，那是涉及到国家安全等核心领域的系统才会用到的级别。

3. 等保测评的流程首先要确定测评对象，就是要搞清楚是哪个系统要进行等保测评。

然后是进行测评准备，就像运动员比赛前要做热身一样，要准备好各种测评工具、组建测评团队等。

接着是现场测评，测评人员会到系统所在的地方，从技术和管理两个方面进行检查。

技术方面会检查网络安全、主机安全、应用安全等，比如看看网络有没有漏洞、主机有没有被入侵的风险、应用有没有安全缺陷等。

管理方面会检查安全管理制度、人员安全管理等，像企业有没有完善的安全制度，员工有没有安全意识培训之类的。

最后是出具测评报告，如果系统达到了相应的等保级别要求，就会给出合格的报告，如果有问题，就会列出问题并给出整改建议。

4. 等保测评中的技术考点网络安全方面，可能会考查网络拓扑结构的安全性，像是不是有合理的防火墙设置、网络入侵检测系统有没有正确配置等。

主机安全方面，会考查操作系统的安全配置，比如用户权限管理是否合理，有没有安装必要的安全补丁等。