等级保护培训
等级保护2.0培训考题
等保2.0培训考试题目一、网络安全法第几条,规定国家实行网络安全等级保护制度。
A、第五条B、第十条C、第十三条D、第二十一条二、等级保护有几个安全保护级别?A、3个B、4个C、5个D、6个三、什么样的系统可以作为定级对象?A、某台终端B、云平台C、某台服务器D、某台路由器四、一般等级保护建设的流程是什么?A、定级、备案、监督检查、建设整改、等级测评B、定级、备案、建设整改、等级测评、监督检查C、建设整改、等级测评、监督检查、定级、备案D、等级测评、定级、备案、建设整改、监督检查五、关键信息基础设施和等级保护之间的关系?A、关键信息基础设施在等级保护第二级对象中确定B、等级保护第三级对象一定是关键信息基础设施C、关键信息技术设施防护和等级保护安全防护要求一致D、关键信息基础设施在等级保护第三级以上对象中确定六、等保2.0已发布的核心标准不包括下面哪一项?A、基本要求B、定级指南C、设计指南D、测评指南七、等保2.0有安全扩展要求不包括下面哪一项?A、云计算安全扩展要求B、移动互联安全扩展要求C、物联网安全扩展要求D、人工智能系统安全扩展要求八、第三级信息系统测评过程中,关于应用安全的测评,应检查应用系统,查看其是否采用了()身份鉴别技术的组合来进行身份鉴别,并保证至少有一种是不可伪造的。
(A)两个及两个以上(B)三个及三个以上(C)四个及四个以上(D)五个及五个以上九、第三级信息系统测评过程中,关于应用安全的测评,应(),查看其提供的登录失败处理功能,是否根据安全策略配置了相关参数。
(A)测试应用系统(B)渗透测试应用系统(C)检查应用系统(D)访谈应用系统管理员十、第三级信息系统测评过程中,关于应用安全的测评,应测试应用系统,试图非授权()审计记录,验证安全审计的保护情况。
(A)删除(B)修改(C)覆盖(D)都可十一、第三级信息系统测评过程中,关于数据安全及备份恢复的测评,应检查()中是否为专用通信协议或安全通信协议服务,避免来自基于通信协议的攻击破坏数据完整性。
信息安全等级保护培训试题集
信息安全等级保护培训试题集一、法律法规一、单选题1.根据《信息安全等级保护管理办法》,(A)负责信息安全等级保护工作的监督、检查、指导。
A.公安机关B.保密工作部门C.密码管理部门2.根据《信息安全等级保护管理办法》,(D)应当依照相关规和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。
A.公安机关B.保密工作部门C.密码管理部门D.信息系统的主管部门3.计算机信息系统安全保护等级根据计算机信息系统在安全、经济建设、社会生活中的_______,计算机信息系统受到破坏后对安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。
(B)A.经济价值经济损失B.重要程度危害程度C.经济价值危害程度D.重要程度经济损失4.对拟确定为(D)以上信息系统的,运营、使用单位或者主管部门应当请信息安全保护等级专家评审委员会评审。
A.第一级B.第二级C.第三级D.第四级5.一般来说,二级信息系统,适用于(D)A.乡镇所属信息系统、县级某些单位中不重要的信息系统。
小型个体、私营企业中的信息系统。
中小学中的信息系统。
B.适用于地市级以上机关、企业、事业单位部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官;跨省(市)联接的信息网络等。
C.适用于重要领域、重要部门三级信息系统中的部分重要系统。
例如全国铁路、民航、电力等调度系统,银行、证券、保险、税务、海关等部门中的核心系统。
D.地市级以上机关、企业、事业单位部一般的信息系统。
例如小的局域网,非涉及秘密、敏感信息的办公系统等。
6.信息系统建设完成后,(A)的信息系统的运营使用单位应当选择符合规定的测评机构进行测评合格可投入使用。
A.二级以上B.三级以上C.四级以上D.五级以上7.安全测评报告由(D)报地级以上市公安机关公共信息网络安全监察部门。
信息安全等级保护定级培训PPT
三、国家、有关部门和企业在等级保 护工作中各自的责任和义务是什么
1、国家层面 2、信息安全监管部门(包括公安机关、保密部门、国家 密码工作部门) 3、信息系统主管部门 4、信息系统运营使用单位 5、安全服务机构
等级保护工作的职责分工
公安机关是等级保护工作的牵头部门,承担着信息安 全等级保护工作的监督、检查、指导; 国家保密工作部门、国家密码管理部门负责等级保护 工作中有关保密工作和密码工作的监督、检查、指导; 国信办及地方信息化领导小组办事机构负责等级保护 工作部门间的协调。 其中,涉及国家秘密信息系统的等级保护监督管理工 作由国家保密工作部门负责;非涉及国家秘密信息系统的 等级保护监督管理工作由公安机关负责。
第一步,摸底调查,掌握信息系统底 数
按照《定级工作通知》确定的定级范围,各单位、各 部门可以组织开展对所属信息系统进行摸底调查,摸清 信息系统底数,掌握信息系统(包括信息网络)的业务 类型、应用或服务范围、系统结构等基本情况,为下一 步明确要求、落实责任奠定基础。
第二步,确定定级对象
一是应用系统应按照不同业务类别单独确定为定级对象, 不以系统是否进行数据交换、是否独享设备为确定定级 对象条件。起传输作用的基础网络要作为单独的定级对 象。 二是确认负责定级的单位是否对所定级系统具有安全管理 责任。 三是具有信息系统的基本要素。
第三步,初步确定信息系统等级
信息系统的安全保护等级是信息系统的客观属 性,不以已采取或将采取什么安全保护措施为依据, 而是以信息系统的重要性和信息系统遭到破坏后对 国家安全、社会稳定、人民群众合法权益的危害程 度为依据,确定信息系统的安全保护等级。既要防 止个别单位片面追求绝对安全而定级过高,也要防 止为了逃避监管定级偏低。 信息网络的安全等级可以参照在其上运行的 信息系统的等级、网络的服务范围和自身的安全需 求确定适当的保护等级,不以在其上运行的信息系 统的最高等级或最低等级为标准。
等级保护2.0培训
定级备案
差距分析
方案设计
整改实施
附则
第五十九条(续)
• 关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三 十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令 改正,给予警告;拒不改正或者导致后果的,处十万元以上一百万元以 下罚款,对直接负责主管人员处一万元以上十万元以下罚款。
等级保护由基本制度、基本国策,上升为法律
3、明确特殊安全需求 基本要求中某些地方的安全措施不能满足本单位信息系统的保护要 求;没有提供所需要的保护措施
4、根据各项安全要求进行逐项分析 对比信息系统现状和安全要求之间的差距,确定不满足要求的安 全项
等保运维
定级备案
差距分析
方案设计
整改实施
等级测评
等保运维
人工检查
✓策略配置核查 ✓版本补丁检查 ✓安全基线检查 ✓木马检查
04 要点
平衡安全程度与花费成本。
03
03
02 等级保护如何划 分等级?
等级的划分与评定
主要依据:根据系统被破坏后,对公民、社会、国家造成的损害程度定级。
保护等级 第一级
公民、法人的 合法权益
社会秩序和 公共利益
国家安全
损害
否
否
第二级 严重损害 损害
否
第三级
特别严重损 严重损害 损害 害
第四级
/
03 依据信息系统被破坏后,对国家安全、社会秩序和公共利益造成的影响程度来划分系统的安全 03 等级。等级保护制度充分体现了信息安全的国家意志。在我国目前的情况下,等级化保护是一
信息系统安全等级保护基本要求专业培训教程
信息安全等级保护培训教材《信息系统安全等级保护基本要求》公安部2007年7月目录1概述 (3)1.1 背景介绍 (3)1.2 主要作用及特点 (3)1.3 与其他标准的关系 (4)1.4 框架结构 (4)2描述模型 (5)2.1 总体描述 (5)2.2 保护对象 (6)2.3 安全保护能力 (6)2.4 安全要求 (8)3逐级增强的特点 (9)3.1 增强原则 (9)3.2 总体描述 (10)3.3 控制点增加 (11)3.4 要求项增加 (11)3.5 控制强度增强 (12)4各级安全要求 (13)4.1 技术要求 (13)4.1.1 物理安全 (13)4.1.2 网络安全 (19)4.1.3 主机安全 (24)4.1.4 应用安全 (29)4.1.5 数据安全及备份恢复 (35)4.2 管理要求 (38)4.2.1 安全管理制度 (38)4.2.2 安全管理机构 (40)4.2.3 人员安全管理 (43)4.2.4 系统建设管理 (47)4.2.5 系统运维管理 (52)本教材根据《信息系统安全等级保护管理办法》公通字[2007]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件,围绕信息安全等级工作,介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》(以下简称《基本要求》),描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。
通过培训,使得用户能够了解《基本要求》在信息系统安全等级保护中的作用、基本思路和主要内容,以便正确选择合适的安全要求进行信息系统保护。
1概述1.1背景介绍2004年,66号文件中指出“信息安全等级保护工作是个庞大的系统工程,关系到国家信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施,信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。
等保测评培训资料ppt
据 和 备 份
全 管 理 制
全 管 理 机
员 安 全 管
统
统
建
运
设
维
管
管
恢
度
构
理
理
理
复
层
等级测评内容介绍
以S3A3G3为例:
/
身份鉴别
访问控制
主 机
安全审计
入侵防范
数
据
恶意代码防范
库
资源控制
等级测评内容介绍
以S3A3G3为例:
结构安全
访问控制
网 边界完整性检查
络
全
入侵防范
局
恶意代码防范
等级测评内容介绍
信息安全等级保护 课程培训
主讲:杜娜娜
Email:nndu@
政策标准
1、1994年国务院颁布147号令《中华人民共和国计算机信息系统安全保护条 例》中规定,计算机系统实行安全等级保护,由公安部具体实施。
2、中央办[2003]27号文明确指出“要重点保护基础信息网络和关系国家安全、 经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制 度,制定信息安全等级保护的管理办法和技术指南”。
自主定级、自主保护。 2、系统备案
二级以上系统办理备案(备案表)。 市级以上公安机关审核,10个工作日之内颁发信息系统安全保护备案证明。 3、安全建设 安全需求分析 总体安全设计 详细安全设计 安全实施实现 安全运行与维护 4、等级测评 三级系统每年至少进行一次等级测评,四级系统半年进行一次等级测评,五 级信息系统依据特殊安全需求进行等级测评; 5、监督检查 公安机关、国家保密工作部门、国家密码管理部门分别负责监督、检查和指导。
3、公通字[2004]66号文中再次强调“信息安全等级保护制度是国家在国民经 济和社会信息化建设健康发展的一项基本制度”。
等级保护测评知识培训
以下重要卫生信息系统安全保护等级原则上不低于第二级: 官方门户网站系统; 二级医院的HIS系统,LIS系统,PACS系统,EMR系统; 各单位自主运营维护的邮件系统
级别 三级 二级
问答环节
1 公司纯内部应用系统,比如监控系统是否需要做测评? 2 做了等保测评后,是否可以保障网络安全无忧? 3 等保二级两年一测,等保三级一年一次,为了省钱,是否可以三级定二级? 4 需要找什么单位做等保测评?
金融 电力 卫生 广电 教育 交通 税务 人社 烟草 气象 档案 石化 民航
• 《中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见》(银发〔2012〕163 号) • 《关于印发〈电力行业信息系统等级保护定级工作指导意见〉的通知》(电监信息〔2007〕44 号) • 《卫生行业信息安全等级保护工作的指导意见》 ( 卫办发【2011】85号) • 《广播电视相关信息系统安全等级保护定级指南》(国家广播电影电视总局科技司于 2011 年 5月 31 日发布) • 《教育部办公厅关于印发〈教育行业信息系统安全等级保护定级工作指南(试行)〉的通知》(教技厅函 [2014]74
信息安全等级保护培训教材PPT92页课件
……
TCP/IP IPX/SPX SNMP
……
场地 机房 网络布线 设备 存储设备
……
各级系统的保护要求差异
信息安全管理生命周期
建设管理
运维管理
系统定级 方案设计 产品使用 自行开发 系统交付 测试验收 工程实施 软件外包
设 介资 环密
备 质产 境码
恶 意 理
✓ 系统测评:《信息系统安全等级保护测评要求》是针对《信息安全等 级保护基本要求》的具体控制要求开发的测评要求,旨在强调系统按 照《信息安全等级保护基本要求》进行建设完毕后,检验系统的各项 保护要求是否符合相应等级的基本要求。
✓ 由上可见,《信息安全等级保护基本要求》在整个标准体系中起着承 上启下的作用。相关技术要求可以作为《信息安全等级保护基本要求 》的补充和详细指导标准。
公通字[2006]7号文 ✓ 明确了信息安全等级保护的具体要求。 ✓ 为推广和实施信息安全等级保护提供法律保障。
公信安[2007]861号 ✓ 标志着等级保护工作正式推向实施阶段。
等级保护政策依据
公通字[2007]43号文 2007.6.22
➢ 明确主管单位: 公安机关负责信息安全等级保护工作的监督、检查
、指导。
国家保密部门负责等保中保密工作的监督、检查、 指导。
国家密码管理部门负责等保中有关密码工作的监督 、检查、指导。
➢ 确定5个等级,但去掉了[2006 7号文]“自主保护 ”、“指导保护”、“监督保护”等称为。
等级保护政策依据
公通字[2007]43号文
五个等级的基本情况
➢ 第一级:运营、使用单位根据国家管理规范、技术标准自 主防护。
/ /
一级 9 9 6 7 2
3 4 7 20 18 85 /