等级保护复题.docVIP

复习题 1. 《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求，根据实现方式的不同，基本安全要求分为（基本技术要求）和（基本管理要求）两大类，用于指导不同安全保护等级信息系统的（安全建设）和（监督管理）。 2. 技术类安全要求与信息系统提供的技术安全机制有关，主要通过在信息系统中（部署软硬件）并（正确地配置其安全功能）来实现；管理类安全要求与信息系统中（各种角色参与的活动）有关，主要通过控制各种角色的活动，从（政策、制度、规范、流程以及记录）等方面做出规定来实现。 3. 基本技术要求从（物理安全、网络安全、主机安全、应用安全和数据安全）几个层面提出；基本管理要求从（安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理）几个方面提出，（基本技术要求）和（基本管理要求）是确保信息系统安全不可分割的两个部分。 4. 《信息安全技术 信息系统等级保护安全设计技术要求》(GB/T 25070-2010)是进行等级保护建设的直接指导，在《基本要求》的基础之上，采用了（系统化）的设计方法，引入了（深度防御）的保护理念，提出了（“一个中心，三重防护”）的保障框架，形成了在（安全管理中心）统一管理下（安全计算环境、安全区域边界、安全通信网络）层层防护的综合保障技术体系，规范了信息系统等级保护安全设计技术要求。 5. 《设计要求》中明确指出信息系统等级保护安全技术设计包括（各级系统安全保护环境）的设计及其（安全互联）的设计，各级系统安全保护环境由相应级别的（安全计算环境、安全区域边界、安全通信网络和（或）安全管理中心）组成。定级系统互联由（安全互联部件和跨定级系统安全管理中心）组成。 6. 将等级保护的相关要求结合公司系统特色及要求落地的指导思想主要通过以下四个方面来实现：符合国家等级保护基本要求；（借鉴等级保护安全设计技术要求）；将等级保护基本要求给出具体的实施、配置措施；适用于公司行业特色的等级保护实施指引。 7. 《信息保障技术框架》和《信息安全技术信息系统等级保护安全设计技术要求》都是以技术层面，提供（一个框架）进行多层保护，以此防范计算机威胁。该方法能够（使攻破一层或一类的保护的攻击行为）无法破坏整个信息系统基础设施。 8. （《基本要求》）是等级保护建设的要求，（《设计要求》）是等级保护建设的方法，《设计要求》提出的“一个中心，三重防护”的体系架构从系统化的角度、工程化的思想实现了（《基本要求》）这样一个基线要求，为等级保护的实施提供了科学、有效的方法。因此将《基本要求》和《设计要求》进行有机结合保障整个体系的安全才是将等级保护的要求（由点到面）的落实和执行。 9. 通过以下三个阶段保证将等级保护的要求由点到面的落实和执行：单个系统的安全；（多个系统的安全）；整个体系的安全。 10. 结合总部的网络拓扑图，可将工作区、（管理区）、内联网接入区、（外联区）划入接入子域，将核心区化为交换域，将生产区化为（服务域）。 11．计算环境域防护主要针对信息系统（主机安全、应用安全及数据安全），区域边界防护和通信网络防护主要针对信息系统（网络安全）。支撑设施实施对计算环境、区域边界和通信网络（统一的安全策略）管理，确保（系统配置）完整可信，确定用户（操作权限），实施（全程审计追踪）。 12．信息安全的三个基本属性是：保密性、（完整性）、可用性。 13．常用的保密技术包括：防侦收、防辐射、信息加密、（物理保密）、（信息隐形）。 14．保护信息完整性的主要办法有：协议、（检错和纠错编码方法）、（密码校验和方法）、公证。 15．信息安全的非传统安全特点包括：威胁的多元性、（攻防的非对称性）、影响的广泛性、（后果的严重性）、事件的突发性。 16．我国信息安全保障工作的总体要求是，坚持（积极防御、综合防范）的方针，全面提高信息安全防护能力，重点保障（基础信息网络和重要信息系统安全），创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。 17．积极防御就是要充分认识（信息安全风险和威胁），立足安全防护，加强预警和应急处置，重点保护（基础信息网络）和关系国家安全、经济命脉、社会稳定的重要信息系统；从更深层次和长远考虑，积极防御还包括国家要有一定的信息（对抗能力和反制手段），从而对信息网络犯罪和信息恐怖主义等形成威慑。 18．综合防范就是要从（预防、监控、应急处理和打击犯罪）等环节，法律、管理、技术、人才等各个方面，采取多种技术和管理措施，通过全社会的共同努力，全面提升信息安全防护能力。 19．我国信息安全主要基础性工作包括：实行信息安全等级保护；（开展信息安全风险评估）；加强密码技术应用，建设（网络信任）体系；高度重视应急