等级保护复习题.doc

《等级保护复习题.doc》由会员分享，可在线阅读，更多相关《等级保护复习题.doc（7页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、复习题1. 信息安全技术 信息系统安全等级保护基本要求(GB/T 22239-2008)是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求，根据实现方式的不同，基本安全要求分为（基本技术要求）和（基本管理要求）两大类，用于指导不同安全保护等级信息系统的（安全建设）和（监督管理）。2. 技术类安全要求与信息系统提供的技术安全机制有关，主要通过在信息系统中（部署软硬件）并（正确地配置其安全功能）来实现；管理类安全要求与信息系统中（各种角色参与的活动）有关，主要通过控制各种角色的活动，从（政策、制度、规范、流程以及记录）等方面做出规定来实现。3. 基本技术要求从（物理安全、网络安

2、全、主机安全、应用安全和数据安全）几个层面提出；基本管理要求从（安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理）几个方面提出，（基本技术要求）和（基本管理要求）是确保信息系统安全不可分割的两个部分。4. 信息安全技术 信息系统等级保护安全设计技术要求(GB/T 25070-2010)是进行等级保护建设的直接指导，在基本要求的基础之上，采用了（系统化）的设计方法，引入了（深度防御）的保护理念，提出了（“一个中心，三重防护”）的保障框架，形成了在（安全管理中心）统一管理下（安全计算环境、安全区域边界、安全通信网络）层层防护的综合保障技术体系，规范了信息系统等级保护安全设计技术

3、要求。5. 设计要求中明确指出信息系统等级保护安全技术设计包括（各级系统安全保护环境）的设计及其（安全互联）的设计，各级系统安全保护环境由相应级别的（安全计算环境、安全区域边界、安全通信网络和（或）安全管理中心）组成。定级系统互联由（安全互联部件和跨定级系统安全管理中心）组成。6. 将等级保护的相关要求结合公司系统特色及要求落地的指导思想主要通过以下四个方面来实现：符合国家等级保护基本要求；（借鉴等级保护安全设计技术要求）；将等级保护基本要求给出具体的实施、配置措施；适用于公司行业特色的等级保护实施指引。7. 信息保障技术框架和信息安全技术信息系统等级保护安全设计技术要求都是以技术层面，提供（

4、一个框架）进行多层保护，以此防范计算机威胁。该方法能够（使攻破一层或一类的保护的攻击行为）无法破坏整个信息系统基础设施。8. （基本要求）是等级保护建设的要求，（设计要求）是等级保护建设的方法，设计要求提出的“一个中心，三重防护”的体系架构从系统化的角度、工程化的思想实现了（基本要求）这样一个基线要求，为等级保护的实施提供了科学、有效的方法。因此将基本要求和设计要求进行有机结合保障整个体系的安全才是将等级保护的要求（由点到面）的落实和执行。9. 通过以下三个阶段保证将等级保护的要求由点到面的落实和执行：单个系统的安全；（多个系统的安全）；整个体系的安全。10. 结合总部的网络拓扑图，可将工作区

5、、（管理区）、内联网接入区、（外联区）划入接入子域，将核心区化为交换域，将生产区化为（服务域）。11计算环境域防护主要针对信息系统（主机安全、应用安全及数据安全），区域边界防护和通信网络防护主要针对信息系统（网络安全）。支撑设施实施对计算环境、区域边界和通信网络（统一的安全策略）管理，确保（系统配置）完整可信，确定用户（操作权限），实施（全程审计追踪）。12信息安全的三个基本属性是：保密性、（完整性）、可用性。13常用的保密技术包括：防侦收、防辐射、信息加密、（物理保密）、（信息隐形）。14保护信息完整性的主要办法有：协议、（检错和纠错编码方法）、（密码校验和方法）、公证。15信息安全的非传统

6、安全特点包括：威胁的多元性、（攻防的非对称性）、影响的广泛性、（后果的严重性）、事件的突发性。16我国信息安全保障工作的总体要求是，坚持（积极防御、综合防范）的方针，全面提高信息安全防护能力，重点保障（基础信息网络和重要信息系统安全），创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。17积极防御就是要充分认识（信息安全风险和威胁），立足安全防护，加强预警和应急处置，重点保护（基础信息网络）和关系国家安全、经济命脉、社会稳定的重要信息系统；从更深层次和长远考虑，积极防御还包括国家要有一定的信息（对抗能力和反制手段），从而对信息网络犯罪和信息恐怖主义等形成威慑。18综合防

7、范就是要从（预防、监控、应急处理和打击犯罪）等环节，法律、管理、技术、人才等各个方面，采取多种技术和管理措施，通过全社会的共同努力，全面提升信息安全防护能力。19我国信息安全主要基础性工作包括：实行信息安全等级保护；（开展信息安全风险评估）；加强密码技术应用，建设（网络信任）体系；高度重视应急处理工作；加强技术研发，推进产业发展；加强法制建设和标准化建设；加快人才培养，增强全民意识。20信息安全保障体系中的一个确保：（确保基础信息网络和重要信息系统的安全，创建安全健康的网络环境）。四个层面包括：信息安全法制体系、（信息安全组织管理体系）、信息安全技术保障体系和（信息安全平台及安全基础设施）。两

8、个支撑是：信息安全经费保障体系、信息安全人才保障体系。21试论信息安全等级保护如何实现信息安全保障体系？22密码攻击方法有三种：穷举攻击、（统计分析攻击）、数字分析攻击。23对密码攻击分类有四种：唯密文攻击、已知明文攻击、（选择明文攻击）、选择密文攻击。24流密码又称为（序列）密码，是密码学的一个重要分支，目前对它的研究比较成熟。由于它具有（速度快）、（实现简单）等特点，广泛应用于军事等各个领域。25试对MD5算法进行简单描述。 对md5算法简要的叙述可以为：md5以512位分组来处理输入的信息，且每一分组又被划分为16个32位子分组，经过了一系列的处理后，算法的输出由四个32位分组组成，将这

9、四个32位分组级联后将生成一个128位散列值。 26一个标准的X.509包含哪些内容？ X.509 标准规定了证书可以包含什么信息，并说明了记录信息的方法（数据格式）。除签名外，X.509证书还包括：1、用于识别该证书的X.509标准的版本，还可以影响证书中所能指定的信息。2、序列号 发放证书的实体有责任为证书指定序列号，以使其区别于该实体发放的其它证书。3、签名算法标识符 用于识别CA签写证书时所用的算法。4、签发人姓名 签写证书的实体的X.500名称。它通常为一个CA。使用该证书意味着信任签写该证书的实体。5、有效期 每个证书均只能在一个有限时间段内有效。有效期以起始日期及终止日期和时间表

10、示，可以短至几秒长至一世纪。6、实体名 证书可以识别其公钥的实体名 7、主体公钥信息 这是被命名实体的公钥，同时包括指定该密钥所属公钥密码系统的算法标识符及所有相关的密钥参数。27.BLP模型的强制访问控制遵循哪两个基本安全条件？ 自主访问控制和强制访问控制28Biba模型用线性的完整性等级标示主体和客体，其访问规则是什么？29试画出二维安全策略模型的信息流向。30试简述安全操作系统主要安全技术。31. 数据库包括哪些主要安全技术？32. 试简述网络安全要求。33试简述可信计算组织对可信的定义。34. 根据信息系统在国家安全、经济建设、社会生活中的重要程度，其遭到破坏后对国家安全、社会秩序、公

11、共利益以及公民、法人和其他组织的合法权益造成危害程度等，其安全保护等级（由低到高）划分成（五）级。35在安全管理上，第三级安全系统需要遵循（ ）、安全管理员和（ ）三权分立。36为什么一个安全策略配置良好的高安全级别的信息系统对黑客、病毒具有免疫能力，不需要使用防病毒、防火墙或入侵检测等技术？37试述第三级系统安全保护环境主要产品类型及功能。38简述计算环境中的工作流程，并画出流程图。39通信网络子系统负责保证安全系统在通过网络进行访问时的安全，这里的网络传输安全包括（数据的保密性、完整性和抗抵赖性，以及数据源身份认证和防重放攻击）。40简述区域边界子系统的跨域信息访问流程。41简述安全管理中

12、心的授权管理流程。42试解释以下术语：1）敏感数据； 2）风险； 3）安全策略；敏感数据：指一旦泄露可能会对用户或公司造成损失的数据风险：某种威胁会利用一种资产或若干资产的脆弱性使这些资产损失或破坏的可能性。安全策略：主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。 43三级要求中的物理安全对防盗和防破坏提出了哪些具体要求？ 具体要求： 1、应将主要设备放置在机房内； 2、应将设备或主要部件放入机柜中进行固定放置，并设置明显的标签，标注不易除去的标记； 3、应将通信线路设在隐蔽处，可架空铺设在地板下或置于管道中，强弱电需隔离铺设并进行统一标识； 4、应对磁带、光盘等介质

13、风雷表示，存储在介质库或档案室的金属防火柜中； 5.应对机房核心区，生产区重点不为应该安装视频监控摄像头进行24小时连续监视，并对监视录像进行记录； 6、机房主要设备工作间安装红外线探测设备等光电防盗设备，一旦发现有破坏性入侵即时显示入侵部位，并驱动声光报警装置； 7使用摄像头或其他访问控制机制，以监控个人对敏感区域的物理访问。检查收集的数据并与其他入口相关联。至少保存三个月，法律另有规定的除外。44如何在业务终端与业务服务器之间进行路由控制建立安全的访问路径？45如何根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制为端口级？46如何对网络系统中的网络设备运行状况、网络流量、用户行

14、为等进行日志记录？47如何实现对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断？48如何在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击？49如何在网络边界处对恶意代码进行检测和清除？50如何对登录网络设备的用户进行身份鉴别？51在对服务器进行远程管理时，应采取哪些必要措施防止鉴别信息在网络传输过程中被窃听？52如何依据安全策略严格控制用户对有敏感标记重要信息资源的操作？53如何提供对审计记录进行统计、查询、分析及生成审计报表的功能？54. 如何保证用户鉴别信息、系统内的文件、目录、数据库记录

15、所在的存储空间被释放或重新分配给其他用户前得到完成清除？55. 如何对通信过程中的整个报文或会话过程进行加密？56. 如何在具有请求的情况下为数据原发者或接收者提供数据原发或接收证据的功能？57. 如何提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复？58. 如何对系统服务水平降低到预先规定的最小值进行检测和报警？59. 如何检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏？60. 如何采用加密或其他保护措施实现鉴别信息的存储保密性？61. 如何检测到系统管理数据、鉴别信息和重要业务数据在传输或存储过程中完整性遭到破坏，并在检测到完整性错误时采取必要的恢复措施？6

16、2. 如何实现系统管理数据、鉴别信息和重要业务数据存储保密性？63. 应形成由（安全策略、管理制度、操作规程）等构成的全面的信息安全管理制度体系。64. 应（定期或不定期）对安全管理制度进行检查和审定，对（存在的不足或需要改进的安全管理制度）进行修订。65. 科技部门应设立（系统管理员、网络管理员、安全管理员）等岗位，并定义各个工作岗位的职责，地（市）中心支行和县（市）支行设立（信息安全管理）岗位。66. 除科技部门外，其他部门均应指定（至少1名部门计算机安全员），具体负责本部门的信息安全管理工作，协同科技部门开展信息安全管理工作。67. 应加强与兄弟单位、（公安机关）、电信公司、供应商、（业

17、界专家）、专业安全公司、（安全组织）的合作与沟通。68. 应制定安全检查表格实施安全检查，（汇总安全检查数据），形成安全检查报告，要求限期整改的需要对相关整改情况进行（后续跟踪），并将每次安全检查报告和整改落实情况整理汇兑后，报（上一级机构科技部门）备案。69. 应严格规范人员录用过程，对被录用人的（身份、背景、专业资格和资质）等进行审查，对其所具有的（技术技能）进行考核。70. 人员离岗应该做哪些工作？71. 获得外部人员访问授权的所有单位和个人应与人民银行签订安全保密协议，不得进行未授权的（增加、删除、修改、查询）数据操作，不得（复制和泄漏人民银行的任何信息）。72. 在系统建设管理中对系

18、统定级有什么要求？73. 在系统建设管理中对自行软件开发有什么要求？74. 在系统建设管理中对等级测评是怎么要求的？75. 在系统运维管理中对设备管理有何规定？ a) 应对信息系统相关的各种设备（包括备份和冗余设备）、线路等指定专门的部门或人员定期进行维护管理； b) 应建立基于申报、审批和专人负责的设备安全管理制度，对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理； c) 应建立配套设施、软硬件维护方面的管理制度，对其维护进行有效的管理，包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等； d) 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使

19、用进行规范化管理，按操作规程实现主要设备（包括备份和冗余设备）的启动/停止、加电/断电等操作； e) 应确保信息处理设备必须经过审批才能带离机房或办公地点。76. 在系统运维管理中对网络安全管理有何规定？a) 应指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作；b) 应建立网络安全管理制度，对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定；c) 应根据厂家提供的软件升级版本对网络设备进行更新，并在更新前对现有的重要文件进行备份；d) 应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补；e) 应实现设备的最小服

20、务配置，并对配置文件进行定期离线备份；f) 应保证所有与外部系统的连接均得到授权和批准；g) 应依据安全策略允许或者拒绝便携式和移动式设备的网络接入；77. 在系统运维管理中对密码管理有何规定？ 应建立密码使用管理制度，使用符合国家密码管理规定的密码技术和产品。78. 在系统运维管理中如何进行安全事件处置？a) 应报告所发现的安全弱点和可疑事件，但任何情况下用户均不应尝试验证弱点；b) 应制定安全事件报告和处置管理制度，明确安全事件的类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责；c) 应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响，对本系统计算机安

21、全事件进行等级划分；d) 应制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处置的范围、程度，以及处理方法等；e) 应在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训，制定防止再次发生的补救措施，过程形成的所有文件和记录均应妥善保存；f) 对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。79. 在系统运维管理中如何进行应急预案管理？a) 应在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容；b) 应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障；c) 应对系统相关的人员进行应急预案培训，应急预案的培训应至少每年举办一次；d) 应定期对应急预案进行演练，根据不同的应急恢复内容，确定演练的周期；e) 应规定应急预案需要定期审查和根据实际情况更新的内容，并按照执行。