2014等级保护复习题.docVIP

复习题 1. 《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求，根据实现方式的不同，基本安全要求分为基本技术要求和基本管理要求两大类，用于指导不同安全保护等级信息系统的安全建设和监督管理 技术类安全要求与信息系统提供的技术安全机制有关，主要通过在信息系统中部署软硬件并正确配置其安全功能）来实现；管理类安全要求与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。 基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出；基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出，基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。 《信息安全技术 信息系统等级保护安全设计技术要求》(GB/T 25070-2010)是进行等级保护建设的直接指导，在《基本要求》的基础之上，采用了系统化的设计方法，引入了深度防御的保护理念，提出了“一个中心，三重防护”的保障框架，形成了在安全管理中心统一管理下安全计算环境、安全区域边界、安全通信网络层层防护的综合保障技术体系，规范了信息系统等级保护安全设计技术要求 《设计要求》中明确指出信息系统等级保护安全技术设计包括各级系统