最新网络安全管理与维护试题.doc

《最新网络安全管理与维护试题.doc》由会员分享，可在线阅读，更多相关《最新网络安全管理与维护试题.doc（148页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络安全管理与维护试题(可以直接使用，可编辑 优秀版资料，欢迎下载）2021年新安职业技术学院网络安全管理与维护试题姓名 班级： 学号: 分数：第一题：填空题（11分，每空0.5分）1 入侵检测的一般步骤有和。2 在公开密钥体制中每个用户保存着一对密钥是 和.3 防火墙是位于两个网络之间 ，一端是 ,另一端是 .4 防火墙系统的体系结构分为 、 、.5 目前流行的几个国产反病毒软件几乎占有了80%以上的国内市场，其中等五个产品更是颇具影响。6 计算机病毒一般可以分成系统、四种主要类别.7 防火墙有三类：包过、。8 在运行TCP/IP协议的网络系统，存在着 、五种类型的威胁和攻击。第二题：单选题

2、（10分，每题1分）1. 对称密钥密码体制的主要缺点是：A.加、解密速度慢B。密钥的分配和管理问题C。应用局限性D.加密密钥与解密密钥不同2. 数字签名是用来作为：A.身份鉴别的方法B。加密数据的方法C。传送数据的方法D。访问控制的方法3. 在对称密钥体制中，根据加密方式的不同又可分为：A.分组密码方式和密钥序列方式B。分组密码方式和序列密码方式C。序列密码方式和数据分组方式D。密钥序列方式和数据分组方式4. CATV（有线电视)系统用TV的一个频道作上连线，另一频道作下连线，两个信息包流实现怎样的传输？A两个信息包流都是非加密的而且可以被任何一个对TV电缆接通的人窃听B只有上连线的信息包流是

3、加密的，难以被窃听C只有下连线的信息包流是加密的，难以被窃听D两个信息包流都是加密的，难以被窃听5. 对IP层的安全协议进行标准化，已经有很多方案。事实上所有这些提案采用的都是哪种技术？A路由过滤B地址加密CIP封装DSSL6. 针对路由器的安全配置，用下列哪种安全防范措施可以防止非法服务器接入内部网?A在路由器上使用访问列表进行过滤，缺省关闭HTTP访问，只让某个IP地址的主机可以访问HTTPB在路由器广域端口设置访问列表,过滤掉以内部网络地址进入路由器的IP包C关闭路由器的源路由功能D在路由器上配置静态ARP7. 防火墙可以用来：A.限制网络之间的连接B。限制网络间数据的传输C。实现网络间

4、数据的加密D.实现网络间的连接8. 实现防火墙的数据包过滤技术与代理服务技术哪一个安全性能高:A.数据包过滤技术安全性能高B。代理服务技术安全性能高C。一样高D。不知道9. 哪种防火墙类型的安全级别最高：A。屏蔽路由器型B。双重宿主主机型C。被屏蔽子网型D.被屏蔽主机型10. 能够在网络通信中寻找符合网络入侵模式的数据包而发现攻击特征的入侵检测方式是：A。基于网络的入侵检测方式B.基于文件的入侵检测方式C. 基于主机的入侵检测方式D. 基于系统的入侵检测方式第三题：多选题（20分，每题2分）1. 下列关于对称密钥的描述说明那些是正确的？bcdA对称密钥使用移位的加密方法B对称密钥又称为私有密钥

5、C在对称密码体制中，收信方和发信方使用相同的密钥 D对称密钥本身的安全是一个问题 2. 在TCP/IP协议中，所有层次都可以受到欺骗的攻击。如果你有一定的条件，可以实现下面哪些欺骗？abcdAARP欺骗BIP路由欺骗C硬件地址欺骗DDNS欺骗3. 可以使用哪种方式用来作身份认证：acA.口令B。手写签名C.数字签名D.指令4. 以下几类技术中，哪些属于防火墙应用的技术:abdA.应用网关技术B。代理服务技术C。加密技术D。包过滤技术5. 数字签名普遍用于银行、电子贸易等，数字签名的特点有哪些？bdA数字签名一般采用对称加密技术 B数字签名随文本的变化而变化 C与文本信息是分离的 D数字签名能够

6、利用公开的验证算法进行验证,安全的数字签名方案能够防止伪造。 6. 网络通信的数据加密方式有哪几种：acdA。链路加密方式B. 端对端加密方式C。会话层加密D. 节点加密方式7. 在使用浏览器与Internet上的主机进行通信时，需要指出或隐含指出哪些信息？abdA协议类型B主机名或IP地址C代理服务器D端口号8. 数据完整性控制方法有哪些：bdeA.数据签名B。校验和C.CA中心D。加密校验和E.消息完整性编码F。防火墙9. 在TCP数据包中,TCP报头中包括的信息有：adA。源端口地址和目的端口地址B。Telnet协议和FTP协议C。区分是TCP或UDP的协议D。 传输数据的确认10. 我

7、国连接广域网的方式主要有：abcdeAPSTNBX.25CDDNDVSATEISDN第四题：判断题（10分，每题0。5分，正确用“T表示，错误用“F”表示） 1. 网络安全管理漏洞是造成网络受攻击的原因之一。2. 防火墙技术是网络与信息安全中主要的应用技术。3. ”明文是可理解的数据, 其语义内容是可用的。4. 在实际应用中，不可以将对称密钥密码体制与非对称密钥密码体制混用。5. 数字签名一般采用对称密码算法。6. 在局域网中,由于网络范围小，所以很难监听网上传送的数据。7. 安全检测与预警系统可以捕捉网络的可疑行为，及时通知系统管理员。8. 在系统中，不同的用户可以使用同一个帐户和口令，不会

8、到系统安全有影响。9. 用户身份认证和访问控制可以保障数据库中数据完整、保密及可用性。10. 在防火墙产品中，不可能应用多种防火墙技术。11. 信息根据敏感程序一般可为成非保密的、内部使用的、保密的、绝密的几类。12. 防止发送数据方发送数据后否认自已发送过的数据是一种抗抵赖性的形式。13. 密钥是用来加密、解密的一些特殊的信息。14. 在非对称密钥密码体制中，发信方与收信方使用不同的密钥.15. 计算机系统的脆弱性主要来自于网络操作系统的不安全性.16. 审计和日志工具可以记录对系统的所有访问，可以追踪入侵者的痕迹,能够找出系统的安全漏动。17. 访问控制是用来控制用户访问资源权限的手段。1

9、8. 数字证书是由CA认证中心签发的。19. 防火墙可以用来控制进出它们的网络服务及传输数据。20. 防火墙中应用的数据包过滤技术是基于数据包的IP地址及TCP端口号的而实现对数据过滤的。第五题:名词解释（15分，每题3分）1、 缓冲区溢出攻击2、 DDoS攻击3、 IP欺骗4、 DNS欺骗5、 特洛伊木马（Trojan Horse)第六题：简述题(20分，每题4分)1、 什么是网络黑客？2、网络安全的含义是什么？3、 防火墙应满足的基本条件是什么？4、什么是堡垒主机,它有什么功能？5、请解释下列网络信息安全的要素:保密性、完整性、可用性、可存活性第七题：描述TCP/IP和ISO OSI/RM

10、模型，并指出它们之间的层次关系。（7分）第八题：画出以太网卡发出的标准以太报文格式（7分）第九题：附加题 简述家庭宽带上网的认证、上网流程。（10分）网络安全网络安全架构与维护规范目录第1章通信网络与信息安全法律法规41。1 中华人民共和国工业和信息化部11号令41。2 中华人民共和国工业和信息化部24令8第2章网络安全防护实施标准122.1 电信网和互联网安全防护管理指南122.2 电信网和互联网安全等级保护实施指南202.3 电信网和互联网安全风险评估实施指南472。4 电信网和互联网安全等级保护实施指南72第3章网络安全架构873。1 概述873。1.1 基本原则873.1。2 适应范围

11、873。1。3 安全策略体系架构及目标873.2 组织与人员883。2。1 组织机构883.2.2 人员管理883.3 网络建设与开发893。3.1 设计、建设和验收893.3。2 系统的安全要求893。3.3 开发和支持过程中的安全893.3.4 系统文件的安全893。3.5 安全培训893.3.6 系统验收903.3.7 设备安全准入90第4章安全维护规范914.1 安全域划分及边界整合914.1。1 安全域划分与边界整合914。1.2 定级备案914.1.3 安全域职责分工914。1。4 网络接入914。2 安全管理规范914。2.1 安全操作流程和职责913.2.2 安全对象管理924

12、。2。3 安全日常维护管理924。2。4 第三方服务管理934。2。5 介质安全管理934。2.6 设备安全规范管理934。3 访问控制944。3.1 网络访问控制944.3.2 操作系统的访问控制954。3。3 应用访问控制954.3.4 网络访问与使用的监控954。3。5 远程访问控制964.4 网络与系统分先评估964.5 安全事件与应急响应964.5。1 安全事件报告机制964。5。2 应急响应974。6 安全审计管理974。6.1 审计内容要求974。6。2 审计原则984.6。3 审计管理98第1章通信网络与信息安全法律法规1.1中华人民共和国工业和信息化部11号令通信网络安全防护

13、管理办法已经 2021 年 12 月 29 日中华人民共和国工业和信息化部第 8 次部务会议审议通过，现予公布，自 2021 年 3 月 1 日起施行。部长李毅中二一年一月二十一日通信网络安全防护管理办法第一条为了加强对通信网络安全的管理，提高通信网络安全防护能力,保障通信网络安全畅通，根据中华人民共和国电信条例，制定本办法.第二条中华人民共和国境内的电信业务经营者和互联网域名服务提供者以下统称“通信网络运行单位)管理和运行的公用通信网和互联网（以下统称“通信网络)的网络安全防护工作，适用本办法。本办法所称互联网域名服务，是指设置域名数据库或者域名解析服务器，为域名持有者提供域名注册或者权威解

14、析服务的行为。本办法所称网络安全防护工作，是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。第三条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。第四条中华人民共和国工业和信息化部（以下简称工业和信息化部)负责全国通信网络安全防护工作的统一指导、协调和检查，组织建立健全通信网络安全防护体系，制定通信行业相关标准.各省、自治区、直辖市通信管理局（以下简称通信管理局）依据本办法的规定,对本行政区域内的通信网络安全防护工作进行指导、协调和检查。工业和信息化部与通信管理局统称“电信管理机构。第五条通信网络运行单

15、位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作，对本单位通信网络安全负责.第六条通信网络运行单位新建、改建、扩建通信网络工程项目,应当同步建设通信网络安全保障设施，并与主体工程同时进行验收和投入运行。通信网络安全保障设施的新建、改建、扩建费用,应当纳入本单位建设项目概算。第七条通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分，并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级、三级、四级、五级.电信管理机构应当组织专家对通信网络单元的分级情况进行评审。通信网络运行单位应当根据实际情况适时调整通信

16、网络单元的划分和级别,并按照前款规定进行评审。第八条通信网络运行单位应当在通信网络定级评审通过后三十日内，将通信网络单元的划分和定级情况按照以下规定向电信管理机构备案：(一）基础电信业务经营者集团公司向工业和信息化部申请办理其直接管理的通信网络单元的备案；基础电信业务经营者各省（自治区、直辖市）子公司、分公司向当地通信管理局申请办理其负责管理的通信网络单元的备案；（二）增值电信业务经营者向作出电信业务经营许可决定的电信管理机构备案；（三）互联网域名服务提供者向工业和信息化部备案.第九条通信网络运行单位办理通信网络单元备案,应当提交以下信息:（一）通信网络单元的名称、级别和主要功能；（二）通信网

17、络单元责任单位的名称和联系方式;(三）通信网络单元主要负责人的姓名和联系方式；（四)通信网络单元的拓扑架构、网络边界、主要软硬件及型号和关键设施位置；（五）电信管理机构要求提交的涉及通信网络安全的其他信息。前款规定的备案信息生变化的,通信网络运行单位应当自信息变化之日起三十日内向电信管理机构变更备案。通信网络运行单位报备的信息应当真实、完整。第十条电信管理机构应当对备案信息的真实性、完整性进行核查，发现备案信息不真实、不完整的，通知备案单位予以补正。第十一条通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施，并按照以下规定进行符合性评测：（一)三级及三级以上通信网络单元应当每年进行

18、一次符合性评测；(二）二级通信网络单元应当每两年进行一次符合性评测.通信网络单元的划分和级别调整的，应当自调整完成之日起九十日内重新进行符合性评测。通信网络运行单位应当在评测结束后三十日内，将通信网络单元的符合性评测结果、整改情况或者整改计划报送通信网络单元的备案机构。第十二条通信网络运行单位应当按照以下规定组织对通信网络单元进行安全风险评估,及时消除重大网络安全隐患：（一）三级及三级以上通信网络单元应当每年进行一次安全风险评估；（二）二级通信网络单元应当每两年进行一次安全风险评估。国家重大活动举办前，通信网络单元应当按照电信管理机构的要求进行安全风险评估.通信网络运行单位应当在安全风险评估结

19、束后三十日内,将安全风险评估结果、隐患处理情况或者处理计划报送通信网络单元的备案机构。第十三条通信网络运行单位应当对通信网络单元的重要线路、设备、系统和数据等进行备份。第十四条通信网络运行单位应当组织演练,检验通信网络安全防护措施的有效性。通信网络运行单位应当参加电信管理机构组织开展的演练。第十五条通信网络运行单位应当建设和运行通信网络安全监测系统，对本单位通信网络的安全状况进行监测。第十六条通信网络运行单位可以委托专业机构开展通信网络安全评测、评估、监测等工作。工业和信息化部应当根据通信网络安全防护工作的需要，加强对前款规定的受托机构的安全评测、评估、监测能力指导。第十七条电信管理机构应当对

20、通信网络运行单位开展通信网络安全防护工作的情况进行检查.电信管理机构可以采取以下检查措施：(一）查阅通信网络运行单位的符合性评测报告和风险评估报告；（二）查阅通信网络运行单位有关网络安全防护的文档和工作记录;（三）向通信网络运行单位工作人员询问了解有关情况；(四）查验通信网络运行单位的有关设施；（五）对通信网络进行技术性分析和测试；(六)法律、行政法规规定的其他检查措施。第十八条电信管理机构可以委托专业机构开展通信网络安全检查活动.第十九条通信网络运行单位应当配合电信管理机构及其委托的专业机构开展检查活动，对于检查中发现的重大网络安全隐患,应当及时整改。第二十条电信管理机构对通信网络安全防护工

21、作进行检查，不得影响通信网络的正常运行,不得收取任何费用,不得要求接受检查的单位购买指定品牌或者指定单位的安全软件、设备或者其他产品。第二十一条电信管理机构及其委托的专业机构的工作人员对于检查工作中获悉的国家秘密、商业秘密和个人隐私，有保密的义务。第二十二条违反本办法第六条第一款、第七条第一款和第三款、第八条、第九条、十一条、第十二条、十三条、十四条、十五条、十九条规定的,由电信管理机构依据职权责令改正；拒不改正的，给予警告，并处五千元以上三万元以下的罚款。第二十三条电信管理机构的工作人员违反本办法第二十条、二十一条规定的,依法给予行政处分；构成犯罪的，依法追究刑事责任。第二十四条本办法自 2

22、021 年 3 月 1 日起施行。1.2 中华人民共和国工业和信息化部24令电信和互联网用户个人信息保护规定已经 2021 年 6 月 28 日中华人民共和国工业和信息化部第 2 次部务会议审议通过，现予公布，自2021 年 9 月 1 日起施行。部长苗圩2021 年 7 月 16 日电信和互联网用户个人信息保护规定第一章总则第一条为了保护电信和互联网用户的合法权益，维护网络信息安全，根据全国人民代表大会常务委员会关于加强网络信息保护的决定、中华人民共和国电信条例和互联网信息服务管理办法等法律、行政法规,制定本规定。第二条在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人

23、信息的活动，适用本规定.第三条工业和信息化部和各省、自治区、直辖市通信管理局（以下统称电信管理机构）依法对电信和互联网用户个人信息保护工作实施监督管理。第四条本规定所称用户个人信息，是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、 号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。第五条电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则。第六条电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。第七

24、条国家鼓励电信和互联网行业开展用户个人信息保护自律工作。第二章信息收集和使用规范第八条电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则，并在其经营或者服务场所、网站等予以公布。第九条未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、

25、行政法规以及双方的约定收集、使用信息。电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。法律、行政法规对本条第一款至第四款规定的情形另有规定的，从其规定。第十条电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。第十一条电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作,涉及收集、使用用户个人信息的，应当对代理人的用户个人信息保护工作进行监督和管理,

26、不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。第十二条电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制，公布有效的联系方式，接受与用户个人信息保护有关的投诉，并自接到投诉之日起十五日内答复投诉人。第三章安全保障措施第十三条电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失：（一）确定各部门、岗位和分支机构的用户个人信息安全管理责任；（二）建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度；（三）对工作人员及代理人实行权限管理，对批量导出、复制、销毁信息实行审查，并采取防泄密措施；(四）妥善保管记录用户个人信息

27、的纸介质、光介质、电磁介质等载体,并采取相应的安全储存措施；（五）对储存用户个人信息的信息系统实行接入审查，并采取防入侵、防病毒等措施；(六)记录对用户个人信息进行操作的人员、时间、地点、事项等信息;(七)按照电信管理机构的规定开展通信网络安全防护工作；（八）电信管理机构规定的其他必要措施。第十四条电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的,应当立即采取补救措施；造成或者可能造成严重后果的,应当立即向准予其许可或者备案的电信管理机构报告，配合相关部门进行的调查处理.电信管理机构应当对报告或者发现的可能违反本规定的行为的影响进行评估;影响特别重大的，

28、相关省、自治区、直辖市通信管理局应当向工业和信息化部报告。电信管理机构在依据本规定作出处理决定前，可以要求电信业务经营者和互联网信息服务提供者暂停有关行为，电信业务经营者和互联网信息服务提供者应当执行。第十五条电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能和安全责任培训。第十六条电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况每年至少进行一次自查，记录自查情况，及时消除自查中发现的安全隐患。第四章监督检查第十七条电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查。电信管理机构实施监督检查时，可以要求电信

29、业务经营者、互联网信息服务提供者提供相关材料，进入其生产经营场所调查情况，电信业务经营者、互联网信息服务提供者应当予以配合.电信管理机构实施监督检查，应当记录监督检查的情况，不得妨碍电信业务经营者、互联网信息服务提供者正常的经营或者服务活动,不得收取任何费用。第十八条电信管理机构及其工作人员对在履行职责中知悉的用户个人信息应当予以保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。第十九条电信管理机构实施电信业务经营许可及经营许可证年检时，应当对用户个人信息保护情况进行审查。第二十条电信管理机构应当将电信业务经营者、互联网信息服务提供者违反本规定的行为记入其社会信用档案并予以公布。第二十

30、一条鼓励电信和互联网行业协会依法制定有关用户个人信息保护的自律性管理制度，引导会员加强自律管理，提高用户个人信息保护水平。第五章 法律责任第二十二条电信业务经营者、互联网信息服务提供者违反本规定第八条、第十二条规定的，由电信管理机构依据职权责令限期改正，予以警告，可以并处一万元以下的罚款.第二十三条电信业务经营者、互联网信息服务提供者违反本规定第九条至第十一条、第十三条至第十六条、第十七条第二款规定的，由电信管理机构依据职权责令限期改正，予以警告,可以并处一万元以上三万元以下的罚款,向社会公告;构成犯罪的，依法追究刑事责任。第二十四条电信管理机构工作人员在对用户个人信息保护工作实施监督管理的过

31、程中玩忽职守、滥用职权、徇私舞弊的，依法给予处理；构成犯罪的,依法追究刑事责任。第六章附则第二十五条本规定自 2021 年 9 月 1 日起施行.第2章网络安全防护实施标准2.1 电信网和互联网安全防护管理指南1. 范围本标准对电信网和互联网安全防护的定义、目标、原则进行了描述和规范。同时,对电信网和互联网安全防护体系、安全防护体系三部分工作及其关系进行了说明。本标准适用于电信网和互联网的安全防护工作。本标准涉及的电信网和互联网不包括专用网,仅指公众电信网和公众互联网。2。 规范性引用文件下列文件中的条款通过本标准的引用而成为指导性技术文件的条款。凡是注日期的引用文件，其随后所有的修改单(不包

32、括勘误的内容）或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T 5271。8-2001 信息技术词汇第 8 部分：安全3. 术语和定义GB/T 5271.8-2001确立的术语和定义，以及下列术语和定义适用于本标准。3.1 电信网 telecom network 利用有线和/或无线的电磁、光电系统，进行文字、声音、数据、图象或其它任何媒体的信息传递的网络,包括固定通信网、移动通信网等。3。2 互联网 Internet 泛指广域网、局域网及终端（包括计算机、 等）通过交换机、路由器、网络接入设备

33、等基于一定的通讯协议连接形成的，功能和逻辑上的大型网络.3.3 电信网和互联网安全防护体系 security protection architecture of telecom network and Internet电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合，共同构成了电信网和互联网安全防护体系.3。4 电信网和互联网安全等级 security classification of telecom network and Internet 电信网和互联网及相关系统重要程度的表征。重要程度从电信网和互联网及相关系统受到破坏后，对国家安全、社会

34、秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量.3。5 电信网和互联网安全等级保护 classified security protection of telecom network and Internet 指对电信网和互联网及相关系统分等级实施安全保护。3.6 电信网和互联网安全风险 security risk of telecom network and Internet 人为或自然的威胁可能利用电信网和互联网及相关系统存在的脆弱性导致安全事件的发生及其对组织造成的影响。3。7 电信网和互联网安全风险评估 security risk assessment of telecom

35、 network and Internet 指运用科学的方法和手段，系统地分析电信网和互联网及相关系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全措施，防范和化解电信网和互联网及相关系统安全风险，将风险控制在可接受的水平，为最大限度地保障电信网和互联网及相关系统的安全提供科学依据.3。8 电信网和互联网灾难 disaster of telecom network andInternet 由于各种原因，造成电信网和互联网及相关系统故障或瘫痪,使电信网和互联网及相关系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。

36、3.9 电信网和互联网灾难备份 backup for disaster recovery of telecom network and Internet为了电信网和互联网及相关系统灾难恢复而对相关网络要素进行备份的过程.3.10 电信网和互联网灾难恢复 disaster recovery of telecom network and Internet 为了将电信网和互联网及相关系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程.4。 目标和原则电信网和互联网安全防护工作的目标就是要加强电信网和互联网

37、的安全防护能力，确保网络的安全性和可靠性，尽可能实现对电信网和互联网安全状况的实时掌控，保证电信网和互联网能够完成其使命。为了实现该目标，网络和业务运营商、设备制造商要充分考虑电信网和互联网不同等级的安全要求,从环境因素以及人为因素分析电信网和互联网面临的威胁，从技术和管理两个方面分析电信网和互联网存在的脆弱性，充分考虑现有安全措施,分析电信网和互联网现存风险，平衡效益与成本,制定灾难备份及恢复计划,将电信网和互联网的安全控制在可接受的水平。电信网和互联网安全防护工作要在适度安全原则的指导下，采用自主保护和重点保护方法,在安全防护工作安排部署过程中遵循标准性、可控性、完备性、最小影响和保密原则

38、，实现同步建设、统筹兼顾、经济实用和循序渐进地进行安全防护工作。适度安全原则：安全防护工作的根本性原则。安全防护工作应根据电信网和互联网的安全等级，平衡效益与成本，采取适度的安全技术和管理措施。标准性原则：安全防护工作开展的指导性原则。指电信网和互联网安全防护工作的开展应遵循相关的国家或行业标准.-可控性原则：指电信网和互联网安全防护工作的可控性，包括： 人员可控性：相关的安全防护工作人员应具备可靠的政治素质、职业素质和专业素质。相关安全防护工作的检测机构应具有主管部门授权的电信网和互联网安全防护检测服务资质。 工具可控性：要充分了解安全防护工作中所使用的技术工具，并进行一些实验，确保这些技术

39、工具能被正确地使用。 项目过程可控性：要对整个安全防护项目进行科学的项目管理，实现项目过程的可控性。完备性原则：安全防护工作要覆盖电信网和互联网的安全范围.-最小影响原则：从项目管理层面和技术管理层面，将安全防护工作对电信网和互联网正常运行的可能影响降低到最低限度。-保密性原则:相关安全防护工作人员应签署协议,承诺对所进行的安全防护工作保密，确保不泄露电信网和互联网及安全防护工作的重要和敏感信息。5。 安全防护体系电信网和互联网安全防护范畴包括基础电信运营企业运营的传输、承载各类电信业务的公共电信网(含公共互联网）及其组成部分，支撑和管理公共电信网及电信业务的业务单元和控制单元，以及企业办公系

40、统(含文件管理系统、员工邮件系统、决策支持系统、人事管理系统等）、客服呼叫中心、企业门户网站等非核心生产单元。此外，电信网络安全防护工作的范围还包括经营性互联网信息服务单位、移动信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统。根据电信网和互联网安全防护范畴，建立的电信网和互联网安全防护体系如图1所示。整个体系分为三层，第一层为整个安全防护体系的总体指导性规范，明确了对电信网和互联网安全防护的定义、目标、原则，并说明了安全防护体系的组成。第二层从宏观的角度明确了如何进行安全防护工作，规范了安全防护体系中安全等级保护、安全风险评估、灾难备份及恢复三部

41、分工作的原则、流程、方法、步骤等。第三层具体规定了电信网和互联网安全防护工作的要求，即安全防护要求和安全防护检测要求.根据电信网和互联网全程全网的特点,电信网和互联网的安全防护工作可从固定通信网、移动通信网、互联网、增值业务网、非核心生产单元来开展.其中,互联网包括经营性互联网信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统.增值业务网包括消息网、智能网等业务平台以及业务管理平台.对固定通信网、移动通信网、互联网实施安全防护,应分别从构成上述网络的不同电信网和互联网相关系统入手。电信网和互联网相关系统包括接入网、传送网、IP承载网、信令网、同步网、

42、支撑网等。其中，接入网包括各种有线、无线和卫星接入网等，传送网包括光缆、波分、SDH、卫星等,而支撑网则包括业务支撑和网管系统.安全防护要求明确了电信网和互联网及相关系统需要落实的安全管理和技术措施，涵盖了安全等级保护、安全风险评估、灾难备份及恢复等三部分内容，其中安全等级保护工作需要落实的物理环境和管理的安全等级保护要求被单独提出作为电信网和互联网及相关系统的通用安全等级保护要求.安全防护检测要求与安全防护要求相对应，提供了对电信网和互联网安全防护工作进行检测的方法，从而确认网络和业务运营商、设备制造商在安全防护工作实施过程中是否满足了相关安全防护要求。随着电信网和互联网的发展，随着安全防护

43、体系的进一步完善，第三层的内容将进一步补充完善.6. 安全等级保护电信网和互联网安全等级保护工作贯穿于电信网和互联网生命周期的各个阶段，是一个不断循环和不断提高的过程。首先，根据电信网和互联网及相关系统受到破坏后，对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害程度来确定安全等级；通过进一步分析电信网和互联网及相关系统的安全保护现状与安全等级保护要求之间的差距，确定安全需求,设计合理的、满足安全等级保护要求的总体安全方案,制定出安全建设规划；并进一步将其落实到电信网和互联网及相关系统中，形成安全技术和管理体系；在电信网和互联网安全运维阶段，根据安全等级保护的需要对安全技术和

44、管理体系不断调整和持续改进，确保电信网和互联网及相关系统满足相应等级的安全要求；在安全资产终止阶段对信息、设备、介质进行终止处理时,防止敏感信息的泄露,保障电信网和互联网及相关系统的安全。安全等级保护工作的实施过程如图2所示.7。 安全风险评估电信网和互联网安全风险评估应贯穿于电信网和互联网生命周期的各阶段中,在生命周期不同阶段的风险评估原则和方法是一致的。在电信网和互联网的安全风险评估工作中,应首先进行相关工作的准备，通过安全风险分析计算电信网和互联网及相关系统的风险值,进而确定其风险等级和风险防范措施.安全风险分析中要涉及资产、威胁、脆弱性等基本要素，每个要素有各自的属性.资产的属性是资产

45、价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；而脆弱性的属性是资产弱点的严重程度等。安全风险评估的实施流程如图3所示.8。 灾难备份及恢复电信网和互联网灾难备份及恢复工作利用技术、管理手段以及相关资源，确保已有的电信网和互联网在灾难发生后，在确定的时间内可以恢复和继续运行.灾难备份及恢复工作需要防范包括地震、水灾等自然灾难以及火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件。如图4所示，灾难备份及恢复工作应根据安全等级保护确定的安全等级以及安全风险分析的相关结果进行需求分析，制定、实现相应的灾难备份及恢复策略，并构建灾难恢复预案，这是一个循环改进的过程。

46、针对电信网和互联网的不同网络、不同重要级别的业务,灾难备份及恢复所要达到的目标是不同的。例如，在电信网和互联网中，对于普通话音业务，可以要求网络和业务运营商通过灾难备份及恢复工作，保证在灾难发生后单一地区的灾难不影响灾难发生地理范围以外地区的话音业务,并且发生灾难的地区的话音业务能够通过有效灾难恢复计划的实施，在一定时间范围（指标应与灾难级别对应）内恢复通信。9。 安全等级保护、安全风险评估、灾难备份及恢复三者之间的关系电信网和互联网安全防护体系中的安全等级保护、安全风险评估、灾难备份及恢复三者之间密切相关、互相渗透、互为补充.电信网和互联网安全防护应将安全等级保护、安全风险评估、灾难备份及恢复工作有机结合，加强相关工作之间的整合和衔接，保证电信网络安全防护工作的整体性、统一性和协调性。电信网络安全防护工作应按照根据被保护对象的重要性进行分等级保护的思想，通过安全风险评估的方法正确认识被保护对象存在的脆弱性和面临的威胁，进而制定、落实和改进与安全保护等级和风险大小相适应的一系列管理、技术、灾难备