等级用保护复习件题.docVIP

复习题 1. 《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求，根据实现方式的不同，基本安全要求分为基本技术要求和基本管理要求两大类，用于指导不同安全保护等级信息系统的安全建设和监督管理 技术类安全要求与信息系统提供的技术安全机制有关，主要通过在信息系统中部署软硬件并正确配置其安全功能）来实现；管理类安全要求与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。 基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出；基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出，基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。 《信息安全技术 信息系统等级保护安全设计技术要求》(GB/T 25070-2010)是进行等级保护建设的直接指导，在《基本要求》的基础之上，采用了系统化的设计方法，引入了深度防御的保护理念，提出了“一个中心，三重防护”的保障框架，形成了在安全管理中心统一管理下安全计算环境、安全区域边界、安全通信网络层层防护的综合保障技术体系，规范了信息系统等级保护安全设计技术要求 《设计要求》中明确指出信息系统等级保护安全技术设计包括各级系统安全保护环境的设计及其安全互联的设计，各级系统安全保护环境由相应级别的安全计算环境、安全区域边界、安全通信网络和（或）安全管理中心组成。定级系统互联由安全互联部件和跨定级系统安全管理中心组成。 将等级保护的相关要求结合系统特色及要求落地的指导思想主要通过以下四个方面来实现：符合国家等级保护基本要求；借鉴等级保护安全设计技术要求；将等级保护基本要求给出具体的实施、配置措施；适用于公司特色的等级保护实施指引。《基本要求》是等级保护建设的要求，《设计要求》是等级保护建设的方法，《设计要求》提出的“一个中心，三重防护”的体系架构从系统化的角度、工程化的思想实现了《基本要求》这样一个基线要求，为等级保护的实施提供了科学、有效的方法。因此将《基本要求》和《设计要求》进行有机结合保障整个体系的安全才是将等级保护的要求由点到面的落实和执行。 通过以下三个阶段保证将等级保护的要求由点到面的落实和执行单个系统的安全；多个系统的安全；整个体系的安全 10. 结合总部的网络拓扑图，可将工作区、（管理区）、内联网接入区、（外联区）划入接入子域，将核心区化为交换域，将生产区化为（服务域）。 11．计算环境域防护主要针对信息系统（主机安全、应用安全及数据安全），区域边界防护和通信网络防护主要针对信息系统（网络安全）。支撑设施实施对计算环境、区域边界和通信网络统一的安全策略管理，确保系统配置完整可信，确定用户操作权限，实施全程审计追踪。、流密码又称为序列密码，是对md5算法简要的叙述可以为：md5以512位分组来处理输入的信息，且每一分组又被划分为16个32位子分组，经过了一系列的处理后，算法的输出由四个32位分组组成，将这四个32位分组级联后将生成一个128位散列值。 X.509 标准规定了证书可以包含什么信息，并说明了记录信息的方法（数据格式）。自主访问控制a) 应对信息系统相关的各种设备（包括备份和冗余设备）、线路等指定专门的部门或人员定期进行维护管理； b) 应建立基于申报、审批和专人负责的设备安全管理制度，对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理； c) 应建立配套设施、软硬件维护方面的管理制度，对其维护进行有效的管理，包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等； d) 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理，按操作规程实现主要设备（包括备份和冗余设备）的启动/停止、加电/断电等操作； e) 应确保信息处理设备必须经过审批才能带离机房或办公地点。 a) 应指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作； b) 应建立网络安全管理制度，对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定； c) 应根据厂家提供的软件升级版本对网络设备进行更新，并在更新前对现有的重要文件进行备份； d) 应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补； e) 应实现设备的最小服务配置，并对配置文件进行定期离线备份； f) 应保证所有与外部系统的连接均得到授权和批准； g) 应依据安全策略允许或者拒绝便携式和移动式设备的网络接入；应建立密码使用管理制度，使用符合国家密码管理规定的密码技术和产品。