正文

【专题连载】等级保护测评师 | 简答题(十)

admin
admin V管理员 /0 评论 /8 阅读
0515
文章最后更新时间2025年05月15日,若文章内容或图片失效,请留言反馈!

安小圈

第666期

等保测评师 · 考试

1.请简述《网络安全等级保护定级指南》(GB/T 22240-2020)的主要用途和内容。

答案(1)主要用途等级保护对象定级是等级保护工作的首要环节,是开展网络安全建设整改、等级测评、监督检查等后续工作的重要基础。《网络安全等级保护定级指南》从网络对国家安全、经济建设、社会生活的重要作用,网络承载业务的重要性及业务对网络的依赖程度等方面,提出确定网络的安全保护等级的方法。(2)主要内容《定级指南》包括定级原则、定级方法及等级变更等内容。网络安全保护定级是确定等级保护对象的安全保护等级,等级保护对象是网络安全等级保护工作的作用对象,主要包括信息系统、通信网络设施和数据资源等。定级原则:给出了五个安全保护等级的具体定义,将等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度两方面因素作为等级保护对象的定级要素,并给出了定级要素与网络安全保护等级的对应关系。定级方法:定级对象的安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,定级可以分别确定业务信息安全保护等级和系统服务安全保护等级,并取二者中的较高者为网络的安全保护等级。详解

2. 题目

请简述《网络安全等级保护安全设计技术要求》的主要用途和内容。答案(1)主要用途为了加强对采用云计算、移动互联、物联网、大数据等新技术的等级对象的安全保护,推动新技术、新应用安全等级保护工作的开展,对《信息安全技术 系统等级保护安全设计技术要求》(GB/T25070一2010)标准进行了修订。本标准据《计算机信息系统安全保护等级划分准则》(GB17859一1999)规定的信息系统安全保护能力等级,以及配套系列标准的安全等级保护技术要求,给出了五个级别定级系统的安全保护设计技术要求,在通用设计要求的基础上,增加了云计算安全要求、移动互联安全要求、物联网安全要求、工业控制系统安全要求,用于指导网络运营者、网络安全企业、网络安全服务机构等开展网络的等级保护安全技术设计。(2)主要内容本标准针对等级保护对象提出安全计算环境设计技术要求、安全区域边界设计技术要求、安全通信网络设计技术要求、安全管理中心设计技术要求、系统安全保护环境结构化设计技术要求。针对无线移动接入、云计算、大数据、物联网和工业控制系统等新技术、新应用领域增加相应的安全设计要求,本标准在原设计要求的基础上,增加了云计算、移动互联、物联网、工业控制系统的内容。定级系统进行安全保护的环境由安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心构成。详解

3. 题目

请简述《网络安全等级保护基本要求》的主要用途和内容。答案(1)主要用途网络按照重要性和被破坏后对国家安全、社会秩序、公共利益的危害性分为五个安全保护等级。不同安全保护等级的网络有着不同的安全需求,为此,针对不同等级的网络提出了相应的基本安全保护要求,各个级别网络的安全保护要求构成了《网络安全等级保护基本要求》。《基本要求》以《计算机信息系统安全保护等级划分准则》(GB17859-1999)为基础研究制定,提出了各级网络应当具备的安全保护能力,并从技术和管理两方面提出了相应的措施,为网络运营者在网络安全建设中提供参照。(2)主要内容《基本要求》的技术部分吸收和借鉴了《计算机信息系统安全保护等级划分准则》及相关标准,采纳其中的身份鉴别、数据完整性、自主访问控制、强制访问控制、审计、客体重用(改为剩余信息保护)、标记、可信路径共八个安全机制,并将这些机制根据各级的安全目标,扩展到网络层、主机系统层、应用层和数据层。《基本要求》的管理充分借鉴了ISO/IEC17799:2005等国际流行的信息安全管理方面的标准。详解

4. 题目

请简述《网络安全等级保护测评要求》的主要用途和内容。答案(1)主要用途根据《信息安全等级保护管理办法》的规定,网络建设完成后,网络运营者应当选择符合规定条件的测评机构,依据《网络安全等级保护测评要求》等技术标准,定期对网络的安全等级状况开展等级测评。《网络安全等级保护测评要求》(下称《测评要求》)依据《网络安全等级保护基本要求》规定了对网络进行等级保护测试评估的内容和方法,用于规范和指导测评人员的等级测评活动。(2)主要内容本标准分为12章及附录部分。第5章概要描述了等级测评方法及单项测评和整体测评组成。第6章、第7章、第8章、第9章,分别描述了第一级、第二级、第三级、第四级测评要求,每级分别遵从《基本要求》的框架,从安全通用部分、云计算安全测评扩展部分、移动互联安全测评扩展部分、物联网安全测评扩展部分、工业控制系统安全测评扩展要求等五个部分内容,其中技术方面分别从安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面展开,安全管理方面分别从安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面展开,与《基本要求》形成了相互对照、统一的标准文本结构。第10章,略掉第五级的测评要求。第11章描述了系统整体测评方法,在单项测评的基础上,从系统整体的角度综合考虑如何进行系统性的测评,分别从安全控制点、安全控制点间和层面间测评三个方面进行描述,分析了在进行系统测评时需要考虑的方向和指导思想。第12章概要说明了给出测评结论的方法,以及测评结论主要包括哪些方面的内容等。附录A描述了各种测评方法的测评强度,并具体描述针对不同等级保护对象的测评强度。附录B描述了大数据可参考的安全评估方法。附录C描述了测评指标编码规则及专用缩略语。详解

5. 题目

请简述《网络安全等级保护测评过程指南》(GB/T 28449-2018)的主要用途和内容。答案(1)主要用途根据《信息安全等级保护管理办法》的规定,网络建设完成后,网络运营者应当选择符合规定条件的测评机构,依据《网络安全等级保护测评要求》等技术标准,定期对网络的安全保护状况开展等级测评。为规定等级测评机构的测评活动,保证测评结论准确、公正,《网络安全等级保护测评过程指南》(下称《测评过程指南》)规范了等级测评的工作过程,阐述了等级测评的工作任务、分析方法及工作结果等,为等级测评机构、网络运营者在等级测评工作中提供指导。(2)主要内容《测评过程指南》以测评机构对第三级网络的首次等级测评活动过程为主要线索,定义等级测评的主要活动和任务,包括测评准备活动、方案编制活动、现场测评活动、报告编制活动四项活动。测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项任务;方案编制活动包括测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发、测评方案编制六项任务;现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项任务;报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、系统安全保障评估、安全问题风险分析、等级测评结论形成、测评报告编制七项任务。对每一项活动,介绍了工作流程、主要的工作任务、输出文档、双方职责等。对各工作任务,描述了任务输入和输入/输出产品等。详解

6. 题目

简述对等级保护制度2.0的理解。(6分)答案答案:政策教材78页第5段详解

7. 题目

某政务系统要确定其安全保护等级。其业务信息类型分别为:可受理的业务公开信息、查询信息等,系统的业务功能主要是为公众提供某几种网上业务受理服务,该渠道为公众办理相关业务的唯一渠道。请根据此情况分析其安全保护等级,并写明理由。(8分)答案答案要点:根据《定级指南》,分别分析其业务信息安全保护等级(二级)和系统服务安全保护等级(三级),从而确定该系统等级为第三级。(确定系统安全责任、系统业务功能、规模、服务对象和范围、确定客体、确定对客体的危害程度等)详解

8. 题目

在网络安全等级保护测评过程中确定测评对象是应遵循哪些原则?(5分)答案

1)重要性,应抽查对被测定对象来说重要的服务器、数据库、网络设备等;2)安全性,应抽查对外暴漏的网络边界;3)共享性,应抽查共享设备和数据交换平台/设备;4)全面性,抽查应尽量覆盖系统各设备类型、操作系统类型、数据库系统类型和应用系统类型;5)符合性,选择的设备、软件等应能够符合相应等级的测评强度要求。或者:对定级对象构成组件进行分类,如可在粗粒度上分为客户端(主要考虑操作系统)、服务器(包括操作系统、数据库管理系统、应用平台和业务应用软件系统)、网络互联设备、安全设备、安全相关人员和安全管理文档,也可以在上述分类基础上继续细化;(2)对于每一类定级对象构成组件,应依据调研结果进行重要性分析,选择对被测定级对象来说重要程度高的主机、网络互联设备、安全设备、安全相关人员以及安全管理文档等;(3)对于步骤2获得的选择结果,可以分别进行物理位置分析、共享性分析和全面性分析,进一步完善测评对象集合;考虑到网络攻击技术的自动化和获取渠道的多样化,应增加部署在系统边界的网络互联或安全设备以测评暴露的系统边界的安全性,衡量定级对象被外界攻击的可能性。考虑不同等级互联的安全需求,增加共享/互联设备:当与目标定级对象互联的定级对象的级别更高,则应对其采用更高级别的安全要求进行测评;如果是更低级别的定级对象,则要考虑与低级别定级对象互连是否增加不安全因素。 增加必要设备,确保选择结果覆盖定级对象中具有的网络互联设备类型、安全设备类型、主机操作系统类型、数据库系统类型和应用系统类型等。(4)最后,依据测评力度综合进行恰当性分析,综合衡量测评投入和结果产出,恰当的确定测评对象的种类和数量。详解

9. 题目

与等级测评报告模板(2015版)相比,请简要描述等级测评报告模板(2019版)的主要变化?(8分)答案简答:(以下每个要点1分)1)测评报告编号变化;2)等级测评结论变化;3)综合得分计算公式变化;4)增加等级测评结论扩展表;5)调整了章节内容,部分统计表格调整到附录;6)单项测评分析强化结果分析内容;7)增加了上次测评问题整改情况说明;8)增加了云计算和大数据平台测评及整改情况。详解

10. 题目

简述等级测评工作存在的风险及相应的规避措施。(7分)答案答案1)存在的风险(3分)在现场测评时,对设备和系统的验证测试工作可能对系统的运行造成一定的影响,工具测试测试可能会对网络和系统的负载造成一定的影响。测评人员可能有意或无意泄漏被测定级对象的敏感信息。测评人员在渗透测试完成后,可能有意或无意将渗透测试过程中用到的测评工具未清理或清理不彻底,或者测试电脑中带有木马程序,带来在被测评对象中植入木马的风险2)风险规避措施(4分)签署委托测评协议签署保密协议约束测评相关方现在及将来的行为。在现场测评工作正式开始之前,测评机构和测评委托单位需要签署现场测评授权书。工具测试尽量避开业务高峰期;对于实时性要求高的工业控制系统,可配置与生产环境一致的模拟/仿真环境,在模拟/仿真环境下开展漏洞扫描等测试工作。关键数据做好备份工作,制定应急处理方案;上机验证测试原则上由测评委托单位相应的技术人员进行操作整个现场测评过程要求运营、使用单位全程监督。详解

END

【 内容来源:手把手教你做等保 
  • 【专题连载】等级保护测评师 |(初级)简答题(一)

  • 附件1+网络安全等级保护定级报告模版(2025版)

    公众号内,搜索“附件1” 获取

  • 附件2+网络安全等级保护备案表(2025版)

    公众号内,搜索“附件2” 获取

  • 附件3+网络安全等级测评报告模板(2025版)

    公众号内,搜索“附件3” 获取


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网