信息安全等级保护培训试题集整理版

2. 根据《信息安全等级保护管理办法》，关于信息系统安全保护等级的划分，下列表述正确的是（ABCDE）。

A.第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、

社会秩序和公共利益信息安全等级保护培训试题集

一、法律法规

一、单选题

1. 根据《信息安全等级保护管理办法》，（A）负责信息安全等级保护工作的监督、检査、指导。

A.公安机关

B.国家保密工作部门

C.国家密码管理部门

2. 根据《信息安全等级保护管理办法》，（D）应当依照相关规范和标准督促、检査、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。

A. 公安机关

B.国家保密工作部门

C.国家密码管理部门

D.信息系统的主管部门

3. 计算机信息系统安全保护等级根据汁算机信息系统在国家安全、经济建设、社会生活中的 _________ ,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和英他组织的合法权益的等因素确定。（B）

A.经济价值经济损失

B.重要程度危害程度

C.经济价值危害程度

D.重要程度经济损失

4. 对拟确泄为（D）以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

A.第一级

B.第二级

C.第三级

D.第四级

5. 一般来说，二级信息系统，适用于（D）

A.乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。

B.适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站：跨省（市）联接的信息网络等。

C.适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统。

D.地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。

6. 信息系统建设完成后，（A）的信息系统的运营使用单位应当选择符合国家规泄的测评机构进行测评合格方可投入使用。

A.二级以上

B.三级以上

C.四级以上

D.五级以上

7. 安全测评报告由（D）报地级以上市公安机关公共信息网络安全监察部门。

A.安全服务机构

B.县级公安机关公共信息网络安全监察部门

C.测评机构

D.计算机信息系统运营、使用单位

8. 新建（）信息系统，应当在投入运行后（）,由其运营、使用单位到所在地设区的币级以上公安机关办理备案手续。（D）

A.第一级以上30日内

B.第二级以上60日内

C.第一级以上60日内

D.第二级以上30日内

9?根据《广东省计算机信息系统安全保护条例》规左，计算机信息系统的运营、使用单位没有向地级市以上人民政府公安机关备案的，由公安机关处以（D）

A.警告

B.拘留15日

C.罚款1500元

D.警告或者停机整顿

二、多选题

1. 根据《关于信息安全等级保护的实施意见》，信息系统安全等级保护应当遵循什么原则（ABCD）

A.明确责任，共同保护

B.依照标准，自行保护

B.第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全

C.第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害

D.第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害

E.第五级，信息系统受到破坏后，会对国家安全造成特别严重损害

3. 根据《广东省计算机信息系统安全保护条例》，计算机信息系统（ABCD）应当同步落实相应的安全摘

施。

A.规划

B.设计

C.建设

D.维护

4. 经测评，计算机信息系统安全状况未达到国家有关规左和标准的要求的，（AB）

A.委托单位应当根据测评报告的建议，完善汁算机信息系统安全建设

B.重新提出安全测评委托

C.另行委托其他测评机构进行测评

D.自行进行安全测评

5. 根据《广东省信息安全等级测评工作细则》，关于测评和自查工作，以下表述正确的是（ABCD）。

A.第三级计算机信息系统应当每年至少进行一次安全自査和安全测评

B.第四级汁算机信息系统应当每半年至少进行一次安全自査和安全测评

C.第五级计算机信息系统应当依据特殊安全要求进行安全自查和安全测评

D.自査报告连同测评报告应当由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门

6. 根据《广东省公安厅关于计算机信息系统安全保护的实施办法》，关于公安机关的进行安全检査的要求, 下列表述正确的是（ABCD）。

A.对第三级计算机信息系统每年至少检查一次

B.对第四级计算机信息系统每半年至少检查一次

C.对第五级讣算机信息系统，应当会同国家指定的专门部门进行检查

D.对英他计算机信息系统应当不泄期开展检查

7. 根据《广东省计算机信息系统安全保护条例》，计算机信息系统的运营、使用单位接到公安机关要求整改的通知后拒不按要求整改的，由公安机关处以（CD）。

A.罚款5000元

B.拘留15日

C.警告

D.停机整顿

8. 根据《广东省计算机信息系统安全保护条例》规左，第二级以上计算机信息系统的运营、使用单位计算机信息系统投入使用前未经符合国家规左的安全等级测评机构测评合格的，由公安机关（ABCDE）。

A.责令限期改正，给予警告

B.逾期不改的，对单位的主管人员、其他直接责任人员可以处五千元以下罚款，对单位可以处一万五千元以下罚款

C.有违法所得的，没收违法所得

D.情节严重的，并给予六个月以内的停止联网、停机整顿的处罚

E.必要时公安机关可以建议原许可机构撤销许可或者取消联网资格

9. 根据《广东省公安厅关于计算机信息系统安全保护的实施办法》，信息安全等级测评机构申请备案（AB）

A.一般应当向地级以上市公安机关公共信息网络安全监察部门提出申请

B.承担省直和中央驻粵单位信息安全等级测评工作的机构，直接向省公安厅公共信息网络安全监察部门提出申请

C.一般应当向公安部公共信息网络安全监察部门提出申请

D.一般应当向县级以上市公安机关公共信息网络安全监察部门提岀申请

10. 根拯《信息安全等级保护管理办法》，安全保护等级为第三级以上的计算机信息系统应当选用符合下列条件的安全专用产品：（ABCDE）

A.产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格

B.产品的核心技术、关键部件具有我国自主知识产权

C.产品研制、生产单位及其主要业务、技术人员无犯罪记录

D.产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能

E.对国家安全、社会秩序、公共利益不构成危害

三、判断题

1.根据《信息安全等级保护管理办法》，第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查。（X）

2.根据《信息安全等级保护管理办法》，国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导（J）

3.根据《信息安全等级保护管理办法》，信息系统的运营、使用单位应当根据本办法和有关标准，确定信息系统的安全保护等级并报公安机关审核批准。（X）

4.根据《信息安全等级保护管理办法》，信息系统的运营、使用单位应当根据已确左的安全保护等级, 依照本办法和有关技术标准，使用符合国家有关规左，满足信息系统安全保护等级需求的信息技术产品，进行信息系统建设。（J）

5.根据《信息安全等级保护管理办法》，第十五条已运营（运行）的第二级以上信息系统，应当在安全保护等级确左后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续（J）

6.根据《信息安全等级保护管理办法》，公安机关应当掌握信息系统运营、使用单位的备案情况，发现不符合本办法及有关标准的，应建议其予以纠正。（X）

7.根据《信息安全等级保护管理办法》，公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的，应当向运营、使用单位发出整改通知（V）

8.信息系统运营、使用单位应当依照相关规定和标准和行业指导意见自主确立信息系统的安全保护等级。即使有主管部门的，也不必经主管部门审核批准。（X）

二、实施指南

一、单选题：

1. 1999年，我国发布的第一个信息安全等级保护的国家标准GB 17859 - 1999,提出将信息系统的安全等级划

分为—D—个等级，并提出每个级别的安全功能要求。

2. 等级保护标准GB 17859主要是参考了_B_而提岀。

A.欧洲ITSEC

B.美国TCSEC 7799

3. 信息安全等级保护的5个级别中，_B_是最离级别,属于关系到国计民生的最关键信息系统的保

护。

A.强制保护级

B.专控保护级

C.监督保护级

D.指导保护级

E.自主保护级

4. 《信息系统安全等级保护实施指南》将_厶_作为实施等级保护的第一项重要内容。

A.安全定级

B.安全评估

C.安全规划

D.安全实施

5. _C _____ 是进行等级确定和等级保护管理的最终对象。

A.业务系统

B.功能模块

C.信息系统

D.网络系统

6. 当信息系统中包含多个业务子系统时，对每个业务子系统进行安全等级确定，最终信息系统的安全等级应

当由_B—所确建。

A.业务子系统的安全等级平均值

B.业务子系统的最高安全等级

C.业务子系统的最低安全等级

D.以上说法都错误

7. 关于资产价值的评估，_D…说法是正确的。

A.资产的价值指采购费用

B.资产的价值无法估计

C.资产价值的定量评估要比定性评估简单容易

D.资产的价值与其重要性密切相关

8. 安全威胁是产生安全事件的________ -

A.内因

B.外因

C.根乐原因

D.不相关因素

9. 安全脆弱性是产生安全事件的—.

A.内因

B.外因

C.根本原因

D.不相关因素

10. 下列关于用户口令说法错误的是_C_°

A. 口令不能设置为空

B. 口令长度越长，安全性越高

C.复杂口令安全性足够高，不需要能期修改

D.口令认证是最常见的认证机制

11. 如果一个信息系统，苴业务信息安全性或业务服务保证性受到破坏后，会对社会秩序和公共利益造成

一泄损害，但不损害国家安全：本级系统依照国家管理规范和技术标准进行自主保护，必要时，信息安全监管职能部门对其进行指导。那么该信息系统属于等级保护中的—■

A.强制保护级

B.监督保护级

C.指导保护级

D.自主保护级

12. 如果一个信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对公民、法人和其他组织的

合法权益产生损害，但不损害国家安全、社会秩序和公共利益；本级系统依照国家管理规范和技术标准进行自主保护。那么其在等级保护中属于_O

A.强制保护级

B.监督保护级

C.指导保护级

D.自主保护级

13. 如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其业务信息安全性

或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成较大损害；本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。这应当属于等级保护的_-

A.强制保护级

B.监督保护级

C.指导保护级

D.自主保护级

14. 如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其业务信息安全性

或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害；本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检査。这应当属于等级保护的_A_

A.强制保护级

B.监督保护级

C.指导保护级

D.自主保护级

15. 如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统, 其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害；本级系统依照国家管理规范和技术标准进行自主保护，国家指左专门部门、专门机构进行专门监督、检查。这应当属于等级保护的 _...

A.专控保护级

B.监督保护级

C.指导保护级

D.自主保护级

16. 在安全评估过程中，采取_______ 手段，可以模拟黑客入侵过程，检测系统安全脆弱性。

A.问卷调查

B.人员访谈

C.渗透性测试

D.手工检査

17. 在需要保护的信息资产中，_C_是最重要的。

A.环境

B.硬件

C.数据

D.软件

18. GB 17859与目前等级保护所规定的安全等级的含义不同，GB 17859中等级划分为现在的等级保护奠左了

基础。A

A.正确

B.错误

19. 虽然在安全评估过程中采取左量评估能获得准确的分析结果，但是由于参数确左较为困雄，往往实际评

估多采取左性评估，或者泄性和定量评估相结合的方法。A

A.正确

B.错误

20. 左性安全风险评估结果中，级別较髙的安全风险应当优先采取控制措施予以应对。A

A.正确

B.错误

21. 通常在风险评估的实践中，综合利用基线评估和详细评估的优点，将二者结合起来。A

A.正确

B.错误

22?脆弱性分析技术，也被通俗地称为漏洞扫描技术。该技术是检测远程或本地系统安全脆弱性的一种安全技术。A

A.正赢

B.错误

23.信息系统安全等级保护实施的基本过程包括系统立级、 B ___________ 、安全实施、安全运维、

系统终止。

A.风险评估

B.安全规划

C.安全加固

D.安全应急

24 ?安全规划设计基本过程包括C、安全总体设计、安全建设规划。

A?项目调研 B.概要设计c?需求分析 D ?产品设计

25. 信息系统安全实施阶段的主要活动包括 A 、等级保护管理实施、等级保护技术实施、等级保护安全测

评。

A.安全方案详细设计

B.系统宦级核泄

C.安全需求分析

D.产品设计

26. 安全运维阶段的主要活动包括运行管理和控制、变更管理和控制、安全状态监控、A_、安全检查和持续

改进、监督检査。

A.安全事件处置和应急预案

B.安全服务

C.网络评估

D.安全加固

27. 简述等级保护实施过程的基本原则包括， A ,同步建设原则，重点保护原则，适当调整

原则。

A.自主保护原则

B.整体保护原则

C. 一致性原则

D.稳定性原则

二、多选题：

28. 《计算机信息网络国际联网安全保护管理办法》规左，任何单位和个人不得从事下列危害计算机信息网

络安全的活动：_ABCD

A.故意制作、传播计算机病毒等破坏性程序的

B.未经允许，对计算机信息网络功能进行删除、修改或者增加的

C.未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的

D.未经允许，进入计算机信息网络或者使用计算机信息网络资源的

29. 我国信息安全等级保护的内容包括ABCD_ 。

A.对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护

B.对信息系统中使用的信息安全产品实行按等级管理

C.对信息安全从业人员实行按等级管理

D.对信息系统中发生的信息安全事件按照等级进行响应和处置

E.对信总安全违反行为实行按等级惩处

30. 目前，我国在对信息系统进行安全等级保护时，划分了5个级别，包括ABCDE °

A.专控保护级

B.强制保护级

C.监督保护级

D.指导保护级

E.自主保护级

三、定级指南

1、根据等级保护相关管理文件，信息系统的安全保护等级分为几个级别：（c）

2、等级保护对象受到破坏时所侵害的客体包括的三个方而为：（a be）

A.公民、法人和貝他组织的合法权益

B.社会秩序、公共利益

C.国家安全

D.个人利益

3、等级保护对象受到破坏后对客体造成侵害的程度归结为哪三种（bed）

A.造成轻微损害

B.造成一般损害

C.造成严重损害

D.造成特别严重损害

4、根据泄级指南，信息系统安全包括哪两个方面的安全：（ab）

A、业务信息安全

B、系统服务安全

C、系统运维安全

D、系统建设安全

5、作为宦级对象的信息系统应具有如下基本特征：（a be）

A、具有唯一确圧的安全责任单位

B、具有信息系统的基本要素

C、承载单一或相对独立的业务应用

D、单位具有独立的法人

6、以下哪一项不属于侵害国家安全的事项（d）

A、影响国家政权稳固和国防实力

B、影响国家统一、民族团结和社会安左

C、影响国家对外活动中的政治、经济利益

D、影响各种类型的经济活动秩序

7、以下哪一项不属于侵害社会秩序的事项（a）

A、影响国家经济竞争力和科技实力

B、影响各种类型的经济活动秩序

C、影响各行业的科研、生产秩序

D、影响公众在法律约朿和道徳规范下的正常生活秩序等

8、以下哪一项不属于影响公共利益的事项（d）

A、影响社会成员使用公共设施

B、影响社会成员获取公开信息资源

C、影响社会成员接受公共服务等方而

D、影响国家重要的安全保卫工作

9、信息安全和系统服务安全受到破坏后，可能产生以下危害后果（abed）

A、影响行使工作职能 B.导致业务能力下降C.引起法律纠纷D.导致财产损失

10、进行等级保护建义的最后一个环节是：（b）

A、信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较低者决定

B、信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较髙者决圮

C、信息系统的安全保护等级由业务信息安全保护等级决立

D、信息系统的安全保护等级由系统服务安全保护等级决左

11＞信息安全等级保护工作直接作用的具体的信息和信息系统称为（c）

A、客体

B、客观方而

C、等级保护对象

D、系统服务

12、受法律保护的、等级保护对象受到破坏时所侵害的社会关系，如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益，称为（a）

A、客体

B、客观方而

C、等级保护对象

D、系统服务

13、对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等，称为（b）

A、客体

B、客观方而

C、等级保护对象

D、系统服务

14、信息系统为支撑其所承载业务而提供的程序化过程，称为（d）

A、客体

B、客观方而

C、等级保护对象

D、系统服务

15、信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害, 在等

保世义中应泄义为第几级（d）

A、第一级

B、第二级

C、第三级

D、第四级

E、第五级

16、信息系统受到破坏后，会对国家安全造成特別严重损害，在等保定义中应左义为第几级（e）

A、第一级

B、第二级

C、第三级

D、第四级

E、第五级

17、信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益，在等保定义中应定义为第几级（a）

A、第一级

B、第二级

C、第三级

D、第四级

E、第五级

18、信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全，在等保泄义中应定义为第几级（b）

A、第一级

B、第二级

C、第三级

D、第四级

E、第五级

19、信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，在等保左义中应定义为第几级（C）

A、第一级

B、第二级

C、第三级

D、第四级

E、第五级

20、对公民、法人和其他组织的合法权益造成一般损害，左义为几级（a）

A、第一级

B、第二级

C、第三级

D、第四级

E、第五级

21、对公民、法人和其他组织的合法权益造成特别严重损害，泄义为几级（b）

A、第一级

B、第二级

C、第三级

D、第四级

E、第五级

22、对社会秩序、公共利益造成一般损害，左义为几级（b）

A、第一级

B、第二级

C、第三级

D、第四级

E、第五级

23、对社会秩序、公共利益造成特別严重损害，立义为几级（d）

A、第一级

B、第二级

C、第三级

D、第四级

E、第五级

24、对国家安全造成一般损害，泄义为几级（C）

信息安全等级保护介绍

国家信息安全等级保护制度的主要内容和要求一、开展信息安全等级保护工作的重要性和必要性信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（以下简称《管理办法》），明确了信息安全等级保护的具体要求。三、工作分工和组织协调（一）工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。（二）组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组，负责信息安全等级保护工作的组织部署，由省公安厅主管网监工作的领导任组长，省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队，负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组，组织本系统和行业的信息安全等级保护工作。各地级以上市参照成立相应工作机制。重要信息系统运营使用单位成立信息安全等级保护工作组，负责组织本单位的信息系统安全等级保护工作。

信息安全培训试题-1

信息安全培训试题一、单选 1、信息科技风险指在商业银行运用过程中，由于自然因素、（B）、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 A 制度落实 B 技术标准 C 人为因素 D 不可抗力 2、信息科技风险管理的第一责任人是（A）。 A 银行的法定代表人 B 信息技术部负责人 C CIO D 其他 3、信息科技指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行（A），建立完整的管理组织架构，制订完善的管理制度和流程。 A 信息科技治理 B 信息安全管理 C系统持续性管理

D 突发事件管理 4、所有科技风险事件都可以归于信息系统连续性或（D）出问题的事件。 A 保密性 B 完整性 C 可用性 D 安全性 5、设立或指派一个特定部门负责信息科技（D）管理工作，该部门为信息科技突发事件应急响应小组的成员之一。 A 安全 B 审计 C 合规 D 风险 6、内部审计部门设立专门的信息科技风险审计岗位，负责（A）进行审计。 A 信息科技审计制度和流程的实施，制订和执行信息科技审计计划，对信息科技整个生命周期和重大事件等 B制订和执行信息科技审计计划，对信息科技整个生命周期和重大事件等 C 信息科技审计制度和流程的实施，对信息科技整个生命周期和重大事件等 D 信息科技审计制度和流程的实施，制订和执行信息科技审计计划

等 7、信息科技风险管理策略，包括但不限于下述领域（C）。 A信息分级与保护；信息系统开发、测试和维护；信息科技运行和维护；访问控制；物理安全；人员安全 B信息分级与保护；信息系统开发、测试和维护；访问控制；物理安全；人员安全；业务连续性计划与应急处置 C信息分级与保护；信息系统开发、测试和维护；信息科技运行和维护；访问控制；物理安全；人员安全；业务连续性计划与应急处置D 信息分级与保护；信息科技运行和维护；访问控制；物理安全；人员安全；业务连续性计划与应急处置 8、依据信息科技风险管理策略和风险评估结果，实施全面的风险防范措施。定义每个业务级别的控制内容，包括最高权限用户的审查、控制对数据和系统的物理和逻辑访问、访问授权（C）为原则、审批和授权、验证和调节。。 A以“最小授权” B以“必需知道” C以“必需知道”和“最小授权” D以上都不是 9、信息科技风险管理应制定明确的（D）等，定期进行更新和公示A信息科技风险管理制度 B 技术标准 C 操作规程

信息安全等级保护答案

一、单选题(题数:32,共64、0 分)1 信息安全等级保护工作直接作用的具体的信息与信息系统称为(2、0分) 2、0 分 A、客体 B、客观方面 C、等级保护对象 D、系统服务正确答案:B 2 根据等级保护相关管理文件,信息系统的安全保护等级分为几个级别: (2、0分) A、 3 B、 4 C、 5 D、 6 正确答案:C 3 根据《信息安全等级保护管理办法》,( )应当依照相关规范与标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。(2、0分) A、公安机关 B、国家保密工作部门 C、国家密码管理部门 D、信息系统的主管部门正确答案:D 4 对社会秩序、公共利益造成特别严重损害,定义为几级(2、0分) A、第一级 B、第二级 C、第三级 D、第四级正确答案:D 5 对国家安全造成特别严重损害,定义为几级(2、0分) A、第二级 B、第三级 C、第四级 D、第五级正确答案:D 6 信息系统建设完成后,( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。(2、0分) A、二级及以上 B、三级及以上 C、四级及以上 D、五级正确答案:B 7 计算机信息系统实行安全等级保护,安全等级的划分标准与安全

等级保护的具体办法,由( )合同有关部门制定。(2、0分) A、教育部 B、国防部 C、安全部 D、公安部正确答案:B 8 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 —1999,提出将信息系统的安全等级划分为______个等级,并提出每个级别的安全功能要求。(2、0分) A、7 B、8 C、 6 D、 5 正确答案:D 9 信息系统受到破坏后,会对公民、法人与其她组织的合法权益造成损害,但不损害国家安全、社会秩序与公共利益,在等保定义中应定义为第几级(2、0分) A、第一级 B、第二级 C、第三级 D、第四级正确答案:A 10 《信息系统安全等级保护实施指南》将______作为实施等级保护的第一项重要内容。(2、0分) A、安全定级 B、安全评估 C、安全规划 D、安全实施正确答案:A 11 安全建设整改无论就是安全管理建设整改还就是安全技术建设整改,使用的与新标准就是( ) (2、0分) A、《计算机信息安全保护等级划分准则》 B、《信息系统安全等级保护基本要求》 C、《中华人民共与国计算机信息系统安全保护条例》 D、《信息安全等级保护管理办法》正确答案:B 12 从系统服务安全角度反映的信息系统安全保护等级称(2、0分) A、安全等级保护 B、信息系统等级保护 C、系统服务安全保护等级 D、业务信息安全保护等级正确答案:C 13 对拟确定为( )以上信息系统的,运营、使用单位或者主管部门应

国家信息安全等级保护制度第三级要求

国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。

1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;

c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括: a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运

信息安全技术试题答案(全)

信息安全技术教程习题及答案信息安全试题（1/共3）一、单项选择题（每小题2分，共20分） 1．信息安全的基本属性是＿＿＿。 A. 保密性 B.完整性 C. 可用性、可控性、可靠性 D. A，B，C都是 2．假设使用一种加密算法，它的加密方法很简单：将每一个字母加5，即a加密成f。这种算法的密钥就是5，那么它属于＿＿＿。 A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术 3．密码学的目的是＿＿＿。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 4．A方有一对密钥（K A公开，K A秘密），B方有一对密钥（K B公开，K B秘密），A方向B方发送数字签名M，对信息M加密为：M’= K B公开（K A秘密（M））。B方收到密文的解密方案是＿＿＿。 A. K B公开（K A秘密（M’）） B. K A公开（K A公开（M’）） C. K A公开（K B秘密（M’）） D. K B秘密（K A秘密（M’）） 5．数字签名要预先使用单向Hash函数进行处理的原因是＿＿＿。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度，加快数字签名和验证签名的运算速度 D. 保证密文能正确还原成明文 6．身份鉴别是安全服务中的重要一环，以下关于身份鉴别叙述不正确的是＿＿。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制 7．防火墙用于将Internet和内部网络隔离＿＿＿。 A. 是防止Internet火灾的硬件设施 B. 是网络安全和信息安全的软件和硬件设施 C. 是保护线路不受破坏的软件和硬件设施 D. 是起抗电磁干扰作用的硬件设施 8．PKI支持的服务不包括＿＿＿。 A. 非对称密钥技术及证书管理 B. 目录服务 C. 对称密钥的产生和分发 D. 访问控制服务

信息安全等级保护初级测评师模拟试题

信息安全等级测评师模拟考试考试形式：闭卷考试时间：120分钟一、单选题（每题分，共30分） 1.以下关于等级保护的地位和作用的说法中不正确的是（ c） A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（ A ） A.突出重要系统，涉及所有等级, 试点示范，行业推广，国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是：（B ）A A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4. 安全建设整改的目的是（ D）（1）探索信息安全工作的整体思路；（2）确定信息系统保护的基线要求；（3）了解信息系统的问题和差距；（4）明确信息系统安全建设的目标；（5）提升信息系统的安全保护能力； A.（1）、（2）、（3）、（5）

B.（3）、（4）、（5） C.（2）、（3）、（4）、（5） D.全部 5.下列说法中不正确的是（ A）B A. 定级/备案是信息安全等级保护的首要环节。 B. 等级测评是评价安全保护现状的关键。 C. 建设整改是等级保护工作落实的关键。 D. 监督检查是使信息系统保护能力不断提高的保障。 6.配置如下两条访问控制列表： access-list 1 permit access-list 2 permit 访问控制列表1和2，所控制的地址范围关系是：（ B ）A A. 1和2的范围相同 B. 1的范围在2的范围内 C. 2的范围在1的范围内 D. 1和2的范围没有包含关系 7. Oracle数据库中，以下（ B ）命令可以删除整个表中的数据，并且无法回滚。C A. Drop B. Delete C. Truncate D. Cascade 8.下面哪个不是生成树的优点（ C ）D A. 生成树可以管理冗余链路，在链路发生故障时可以恢复网络连接 B. 生成树可以防止环路的产生 C. 生成树可以防止广播风暴 D. 生成树能够节省网络带宽 9.关于以下配置

网络信息安全基础知识培训

网络信息安全基础知识培训主要内容网络信息安全知识包括哪些内容培养良好的上网习惯如何防范电脑病毒如何安装杀毒软件如何防范邮件病毒如何防止QQ密码被盗如何清除浏览器中的不明网址各单位二级站点的安全管理如何提高操作系统的安全性基本网络故障排查网络信息安全知识包括哪些基本内容 (一)网络安全概述 (二)网络安全协议基础 (三)网络安全编程基础 (四)网络扫描与网络监听 (五)网络入侵 (六)密码学与信息加密 (七)防火墙与入侵检测 (八)网络安全方案设计 (九)安全审计与日志分析培养良好的上网习惯１、安装杀毒软件２、要对安装的杀毒软件进行定期的升级和查杀３、及时安装系统补丁４、最好下网并关机５、尽量少使用BT下载，同时下载项目不要太多６、不要频繁下载安装免费的新软件７、玩游戏时，不要使用外挂

８、不要使用黑客软件９、一旦出现了网络故障，首先从自身查起，扫描本机如何防范电脑病毒（一）杜绝传染渠道病毒的传染主要的两种方式：一是网络，二是软盘与光盘建议： 1、不使用盗版或来历不明的软件，建议不要使用盗版的杀毒软件 2、写保护所有系统盘，绝不把用户数据写到系统盘上 3、安装真正有效的防毒软件，并经常进行升级 4、对外来程序要使用尽可能多的查毒软件进行检查（包括从硬盘、软盘、局域网、Internet、Email中获得的程序），未经检查的可执行文件不能拷入硬盘，更不能使用 5、尽量不要使用软盘启动计算机 6、一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份，防患于未然 7、随时注意计算机的各种异常现象 8、对于软盘、光盘传染的病毒，预防的方法就是不要随便打开程序或安装软件、可以先复制到硬盘上，接着用杀毒软件检查一遍，再执行安装或打开命令 9、在使用聊天工具（如QQ、MSN）时，对于一些来历不明的连接不要随意点击；来历不明的文件不要轻易接收（二）平时的积极预防，定期的查毒，杀毒（三）发现病毒之后的解决办法 1、在解毒之前，要先备份重要的数据文件 2、启动反病毒软件，并对整个硬盘进行扫描 3、发现病毒后，我们一般应利用反病毒软件清除文件中的病毒，如果可执行文件中的病毒不能被清除，一般应将其删除，然后重新安装相应的应用程序 4、某些病毒在Windows状态下无法完全清除，此时我们应采用事先准备的干净的系统引导盘引导系统，然后在DOS下运行相关杀毒软件进行清除备注：可以随时随地防护任何病毒反病毒软件是不存在的、随着各种新病毒的不断出现，反病毒软件必须快速升级才能达到杀除病毒的目的、具体来说，我们在对抗病毒时需要的是一种安全策略和一个完善的反病

国家信息安全等级第二级保护制度

国家信息安全等级保护制度（二级）一、技术要求 1、物理安全 1.1物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; 1.2 物理访问控制（1）机房出入口应有专人值守，鉴别进入的人员身份并登记在案；（2）应批准进入机房的来访人员，限制和监控其活动范围。 1.3 防盗窃和防破坏（1）应将主要设备放置在物理受限的范围内；（2）应对设备或主要部件进行固定，并设置明显的不易除去的标记；（3）应将通信线缆铺设在隐蔽处，如铺设在地下或管道中等；（4）应对介质分类标识，存储在介质库或档案室中；（5）应安装必要的防盗报警设施，以防进入机房的盗窃和破坏行为。 1.4 防雷击（1）机房建筑应设置避雷装置; （2）应设置交流电源地线。 1.5 防火应设置灭火设备和火灾自动报警系统，并保持灭火设备和火灾自动报警系统的良好状态。 1.6 防水和防潮（1）水管安装，不得穿过屋顶和活动地板下；（2）应对穿过墙壁和楼板的水管增加必要的保护措施，如设置套管；（3）应采取措施防止雨水通过屋顶和墙壁渗透；（4）应采取措施防止室内水蒸气结露和地下积水的转移与渗透。 1.7 防静电应采用必要的接地等防静电措施 1.8 温湿度控制应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。 1.9 电力供应（1）计算机系统供电应与其他供电分开；

（2）应设置稳压器和过电压防护设备；（3）应提供短期的备用电力供应（如UPS设备）。 1.10 电磁防护（1）应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；（2）电源线和通信线缆应隔离，避免互相干扰。 2、网络安全 2.1结构安全与网段划分（1）网络设备的业务处理能力应具备冗余空间，要求满足业务高峰期需要；（2）应设计和绘制与当前运行情况相符的网络拓扑结构图；（3）应根据机构业务的特点，在满足业务高峰期需要的基础上，合理设计网络带宽；（4）应在业务终端与业务服务器之间进行路由控制，建立安全的访问路径；（5）应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；（6）重要网段应采取网络层地址与数据链路层地址绑定措施，防止地址欺骗。 2.2 访问控制（1）应能根据会话状态信息（包括数据包的源地址、目的地址、源端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息，并应支持地址通配符的使用），为数据流提供明确的允许/拒绝访问的能力。（2）应在基于安全属性的允许远程用户对系统访问的规则的基础上，对系统所有资源允许或拒绝用户进行访问，控制粒度为单个用户；（3）应限制具有拨号访问权限的用户数量。 2.3 安全审计（1）应对网络系统中的网络设备运行状况、网络流量、用户行为等事件进行日志记录；（2）对于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息 2.4 边界完整性检查

银行业信息安全培训试题 (2)

信息安全教育培训

信息安全教育培训制度为进一步提高网络管理人员对网络安全重大意义的认识，增强遵守规章制度和劳动纪律的自觉性，避免网络安全事故的发生，确保各项工作顺利进行，特制订本制度。一、安全教育培训的目的网络安全教育和培训不仅能提高员工对网络信息安全的认识，增强搞好信息安全责任感和法律意识，提高贯彻执行信息安全法律、法规及各项规章制度的自觉性，而且能使广大员工掌握网络信息安全知识，提高信息安全的事故预防、应急能力，从而有效地防止信息安全事故的发生，为确保网络安全创造条件。二、培训制度 1、信息安全教育培训计划由信息中心根据年度工作计划作出安排。 2、成立信息安全教育学习小组，定期组织信息安全教育学习； 3、工作人员每年必须参加不少于15个课时的专业培训。 4、工作人员必须完成布置的学习计划安排，积极主动地参加信息中心组织的信息安全教育学习活动组织本单位工作人员认真学习《网络安全制度》、《计算机信息网络安全保护》等业务知识，不断提高工作人员的理论水平。（2）、负责对全员安全教育和培训。（3）、定期的邀请上级有关部门和人员进行信息安全方面的培训，提高操作员的防范能力。 2．计算机职业道德教育

（1）、工作人员要严格遵守工作规程和工作制度。（2）、不得制造，发布虚假信息，向非业务人员提供有关数据资料。（3）、不得利用计算机信息系统的漏洞偷窃资料，进行诈骗和转移资金。（4）、不得制造和传播计算机病毒。 3．计算机技术教育（1）、操作员必须在指定计算机或指定终端上进行操作。（2）、管理员，程序维护员，操作员必须实行岗位分离，不得串岗，越岗。（3）、不得越权运行程序，不得查阅无关参数。（4）、发现操作异常，应立即向管理员报告。三、培训方法： 1.结合专业实际情况，指派有关人员参加学习。 2.有计划有针对性，指派人员到外地或外单位进修学习。

信息安全基础知识培训试题

信息安全基础知识培训试题一、填空题：每空4分共40分 1、电脑要定期更换（密码）、定期（杀毒），对不明邮件不要轻易（打开）。 2、信息安全的基本特征是（相对性）、（时效性）、（复杂性）、配置相关性、攻击的不确定性。 3、(人)是信息安全中最关键的因素，同时也应该清醒的认识到人是信息安全中最薄弱的环节。 4、绝对的(信息安全)是不存在的，每个网络环境都有一定程度的漏洞和（风险）。 5、信息安全管理中明确需要保护的对象包括内部员工、外部客户、服务供应商、产品供应商、（网络设备）、系统主机、工作站、PC机、操作系统、业务应用系统、商业涉密数据、个人隐私数据、文档数据等。二、多选题：每题５分共25分 1、信息安全三要素包括（A B C ） A 机密性 B 完整性 C 可用性 D 安全性 2、信息安全的重要性体现在以下方面（ＡＢC） A 信息安全是国家安全的需要 B 信息安全是组织持续发展的需要 C 信息安全是保护个人隐私与财产的需要 D 信息安全是维护企业形象的需要 3、在工作当中，“上传下载”的应用存在的风险包括（ＡＢＣ） A 病毒木马传播 B 身份伪造 C 机密泄露 D 网络欺诈 4、客户端安全的必要措施包括（ABCDE ） A安全密码B安全补丁更新C个人防火墙 D 应用程序使用安全Ｅ防病毒 5、信息安全管理现状已有的措施包括（ABCD ） A 兼职的安全管理员 B 物理安全保护 C 机房安全管理制度D资产管理制度三、判断题：每题5分共35分 1、电子商务应用不可能存在账号失窃的问题。（X ）

2、为了信息安全，在使用密码时建议使用大写字母、小写字母、数字、特殊符号组成的密码。（√） 3、员工缺乏基本的安全意识，缺乏统一规范的安全教育培训是信息安全管理现状存在的问题之一。（√） 4、超过70%的信息安全事件，如果事先加强管理，都可以得到避免。（√） 5、由于许多信息系统并非在设计时充分考虑了安全，依靠技术手段实现安全很有限，必须依靠必要的管理手段来支持。（√） 6、企业需要建造一个全面、均衡的测量体系，用于评估信息安全管理的效用以及改进反馈建议。（√） 7、通过合理的组织体系、规章制度和控管措施，把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起，以此确保整个组织达到预定程度的信息安全，称为信息安全管理。（X ）

信息安全等级保护培训试题集

信息安全等级保护培训试题集一、法律法规一、单选题 1．根据《信息安全等级保护管理办法》，（A）负责信息安全等级保护工作的监督、检查、指导。 A．公安机关 B．国家保密工作部门 C．国家密码管理部门 2．根据《信息安全等级保护管理办法》，（D）应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。 A．公安机关 B．国家保密工作部门 C．国家密码管理部门 D．信息系统的主管部门 3．计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。(B) A．经济价值经济损失 B．重要程度危害程度 C．经济价值危害程度 D．重要程度经济损失

4．对拟确定为（D）以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 A．第一级 B．第二级 C．第三级 D．第四级 5．一般来说，二级信息系统，适用于（D） A．乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。 B．适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等。 C．适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统。 D．地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。 6．信息系统建设完成后，（A）的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。 A．二级以上 B．三级以上

信息安全等级保护工作流程介绍

信息安全等级保护工作流程介绍导语信息安全等级保护工作是《网络安全法》中明确要求需要履行的网络安全义务。解读:信息安全等级保护工作是《网络安全法》中明确要求需要履行的网络安全义务。根据信息系统等级保护相关标准，等级保护工作总共分五个阶段，分别为：一是定级。信息系统运营使用单位按照等级保护管理办法和定级指南，自主确定信息系统的安全保护等级。有上级主管部门的，应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。虽然说的是自主定级，但是也得根据系统实际情况去定级，有行业指导文件的根据指导文件来，没有文件的根据定级指南来，总之一句话合理定级，该是几级就是几级，不要定的高也不要定的低。二是备案。第二级以上信息系统定级单位到所在地所在地设区的市级以上公安机关办理备案手续。省级单位到

省公安厅网安总队备案，各地市单位一般直接到市级网安支队备案，也有部分地市区县单位的定级备案资料是先交到区县公安网监大队的，具体根据各地市要求来。备案的时候带上定级资料去网安部门，一般两份纸质文档，一份电子档，纸质的首页加盖单位公章。三是系统安全建设。信息系统安全保护等级确定后，运营使用单位按照管理规范和技术标准，选择管理办法要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制定并落实安全管理制度。四是等级测评。信息系统建设完成后，运营使用单位选择符合管理办法要求的检测机构，对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改，特别是高危风险。测评的结论分为：不符合、基本符合、符合。当然符合基本是不可能的，那是理想状态。五是监督检查。公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款，监督检查运营使用单位开展等级保护工作，定期对信息系统进行安全检查。运

信息安全等级保护答案

一、单选题（题数：32，共64.0 分）1 信息安全等级保护工作直接作用的具体的信息和信息系统称为（2.0分） 2.0 分 A、客体 B、客观方面 C、等级保护对象 D、系统服务正确答案：B 2 根据等级保护相关管理文件,信息系统的安全保护等级分为几个级别: （2.0分） A、 3 B、 4 C、 5 D、 6 正确答案：C 3 根据《信息安全等级保护管理办法》,( )应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。（2.0分） A.公安机关 B.国家保密工作部门 C.国家密码管理部门 D.信息系统的主管部门正确答案：D 4 对社会秩序、公共利益造成特别严重损害,定义为几级（2.0分） A、第一级 B、第二级 C、第三级 D、第四级正确答案：D 5 对国家安全造成特别严重损害,定义为几级（2.0分） A、第二级 B、第三级 C、第四级 D、第五级正确答案：D 6 信息系统建设完成后,( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。（2.0分） A.二级及以上 B.三级及以上 C.四级及以上 D.五级正确答案：B

7 计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由( )合同有关部门制定。（2.0分） A、教育部 B、国防部 C、安全部 D、公安部正确答案：B 8 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 —1999,提出将信息系统的安全等级划分为______个等级,并提出每个级别的安全功能要求。（2.0分） A、7 B、8 C、 6 D、 5 正确答案：D 9 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益,在等保定义中应定义为第几级（2.0分） A、第一级 B、第二级 C、第三级 D、第四级正确答案：A 10 《信息系统安全等级保护实施指南》将______作为实施等级保护的第一项重要内容。（2.0分） A、安全定级 B、安全评估 C、安全规划 D、安全实施正确答案：A 11 安全建设整改无论是安全管理建设整改还是安全技术建设整改,使用的和新标准是( ) （2.0分） A、《计算机信息安全保护等级划分准则》 B、《信息系统安全等级保护基本要求》 C、《中华人民共和国计算机信息系统安全保护条例》 D、《信息安全等级保护管理办法》正确答案：B 12 从系统服务安全角度反映的信息系统安全保护等级称（2.0分） A、安全等级保护 B、信息系统等级保护 C、系统服务安全保护等级 D、业务信息安全保护等级正确答案：C

网络信息安全知识培训

网络信息安全知识培训网络信息安全知识培训网络信息安全基础知识培训主要内容 ? 网络信息安全知识包括哪些内容 ? 培养良好的上网习惯 ? 如何防范电脑病毒 ? 如何安装杀毒软件 ? 如何防范邮件病毒 ? 如何防止QQ 密码被盗 ? 如何清除浏览器中的不明网址 ? 各单位二级站点的安全管理 ? 如何提高操作系统的安全性 ? 基本网络故障排查网络信息安全知识包括哪些基本内容 ? ( 一) 网络安全概述 ? ( 二) 网络安全协议基础 ? ( 三) 网络安全编程基础 ? ( 四) 网络扫描与网络监听 ? ( 五) 网络入侵 ? ( 六) 密码学与信息加密 ? ( 七) 防火墙与入侵检测 ? ( 八) 网络安全方案设计 ? ( 九) 安全审计与日志分析培养良好的上网习惯 ? １、安装杀毒软件 ? ２、要对安装的杀毒软件进行定期的升级和查杀 ? ３、及时安装系统补丁 ? ４、最好下网并关机 ? ５、尽量少使用BT 下载,同时下载项目不要太多 ? ６、不要频繁下载安装免费的新软件 ? ７、玩游戏时,不要使用外挂 ? ８、不要使用黑客软件 ? ９、一旦出现了网络故障,首先从自身查起,扫描本机如何防范电脑病毒（一）杜绝传染渠道 ? 病毒的传染主要的两种方式:一是网络,二是软盘与光盘 ? 建议: ? 1 、不使用盗版或来历不明的软件,建议不要使用盗版的杀毒软件 ? 2 、写保护所有系统盘,绝不把用户数据写到系统盘上 ? 3 、安装真正有效的防毒软件,并经常进行升级 ? 4 、对外来程序要使用尽可能多的查毒软件进行检查（包括从硬盘、软盘、局域网、Internet 、Email 中获得的程序）,未经检查的可执行文件不能拷入硬盘,更不能使用 ? 5 、尽量不要使用软盘启动计算机

网站系统信息安全等级保护建设整改方案

网站系统信息安全等级保护建设整改方案随着互联网应用和门户网站系统的不断发展和完善，网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施，另一方面要加强系统自身抵抗威胁的能力，同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求，网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施，综合提升网站系统的安全保障能力。根据国家等级保护有关要求，省级政府门户网站系统的信息安全保护等级应定为三级，建立符合三级等级保护相关要求的安全防护措施，能够形成在同一安全策略的指导下，网站系统应建立综合的控制措施，形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析，形成网站系统的安全需求，从而建立有针对性的安全保障体系框架和安全防护措施。网站系统安全需求根据网站系统的应用情况，针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析，具体需求如下： 1、业务流程安全需求针对网站类业务重点需要关注发布信息的准确性，采集分析和汇总信息的可控性，以及服务平台的可用性，系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击，应加强对于这些威胁的对抗和防护能力，通过严格控制业务流程中的各个环节，包括信息采集、分析、汇总、发布等过程中的人员访问身份、访问控制、审批审核等需求，同时要加强系统自身的完整性保护和抗抵赖机制的实现。 2、软件安全需求网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面，由于几个层面涉及的主要功能和软件实现存在一定的差异性，因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成，针对业务系统此层面是一个访问入口，从安全需求方面应当减少入口对于系统的攻击可能性，对于指定的接入和入口可以通过建立可信机制进行保护，对于非指定的接口可以通过控制权限进行防护；展现层是系统内容的展示区域，要确保系统展示信息的完整性，降低被篡改的风险；应用层是对数据信息进行处理的核心部分，应加强系统自身的安全性和软件编码的安全性，减少系统自身的脆弱性；基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务，该层次重点是确保系统组件自身的安全性，同时要加强与应用之间接口的安全性；信息资源层是由业务数据库和平台数据库共同构成，此层次重点的安全在于数据库安全；基础支撑运行环境层，支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境，该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁，应加强资产的综合管理。 3、数据安全需求网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息，以及前台的交互信息和后台的数据交换信息，针对这些信息各个环节中的访问关系不同，信息的敏感和重要程度不同，可能面

信息安全等级保护安全建设项目方案

信息系统安全等级保护安全建设项目技术方案

目录 1项目理解 (6) 1.1项目背景 (6) 1.2项目范围 (6) 1.3项目目标 (7) 1.4项目建设原则 (7) 2项目建设思路和技术路线 (8) 2.1项目建设思路 (8) 2.2项目技术路线 (8) 2.3项目建设技术方法引用 (10) 2.3.1可控安全理念 (10) 2.3.2风险管理设计方法 (10) 2.3.3体系化设计方法 (13) 2.3.4等级化设计方法 (14) 2.3.5自上而下和自下而上相结合的设计方法 (15) 2.4项目实施整体策略 (16) 3项目建设依据 (18) 4云安全风险与需求分析 (20) 4.1云安全的基本安全需求 (20) 4.1.1CSA云计算关键领域安全指南V2.1 (20) 4.1.2传统信息系统的基本安全需求 (21) 4.1.3云安全与传统安全的差异 (22) 4.2XX信息系统云计算平台安全技术需求分析 (23) 4.2.1物理安全风险与需求分析 (24) 4.2.2计算环境安全风险与需求分析 (25) 4.2.3区域边界安全风险与需求分析 (25)

4.2.4通信网络安全风险与需求分析 (25) 4.2.5虚拟化技术的安全风险与需求分析 (25) 4.3云安全管理需求分析 (26) 5等级保护安全建设方案设计 (28) 5.1现状调研与分析 (28) 5.1.1工作定位 (28) 5.1.2参考标准 (28) 5.1.3阶段性输入 (29) 5.1.4工作方法与流程 (29) 5.1.5技术实现 (30) 5.1.5.1业务流程分析方法 (30) 5.1.5.2安全风险评估方法 (30) 5.1.5.3安全需求分析方法 (34) 5.1.5.4安全风险评估工具 (34) 5.1.6阶段性输出 (35) 5.2等级保护建设与方案设计 (35) 5.2.1工作定位 (35) 5.2.2参考标准 (36) 5.2.3阶段性输入 (36) 5.2.4工作方法与流程 (36) 5.2.5技术实现 (38) 5.2.5.1SWOT分析方法 (38) 5.2.5.2体系设计方法 (39) 5.2.5.3等级保护的多重防护设计方法 (39) 5.2.6安全保障体系设计框架 (40) 5.2.7网络架构设计与安全区域规划 (42) 5.2.8阶段性输出 (43) 5.3建设实施 (43)

信息安全等级保护培训试题集整理版

信息安全等级保护介绍

信息安全培训试题-1

信息安全等级保护答案

国家信息安全等级保护制度第三级要求

信息安全技术试题答案(全)

信息安全等级保护初级测评师模拟试题

网络信息安全基础知识培训

国家信息安全等级第二级保护制度

银行业信息安全培训试题 (2)

信息安全教育培训

信息安全基础知识培训试题

信息安全等级保护培训试题集

信息安全等级保护工作流程介绍

信息安全等级保护答案

网络信息安全知识培训

网站系统信息安全等级保护建设整改方案

信息安全等级保护安全建设项目方案

最新信息安全管理考试真题