等级保护复习题.doc

1.《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求,根据实现方式的不同,基本安全要求分为(基本技术要求)和(基本管理要求)两大类,用于指导不同安全保护等级信息系统的(安全建设)和(监督管理)。,主要通过在信息系统中(部署软硬件)并(正确地配置其安全功能)来实现;管理类安全要求与信息系统中(各种角色参与的活动)有关,主要通过控制各种角色的活动,从(政策、制度、规范、流程以及记录)等方面做出规定来实现。(物理安全、网络安全、主机安全、应用安全和数据安全)几个层面提出;基本管理要求从(安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理)几个方面提出,(基本技术要求)和(基本管理要求)是确保信息系统安全不可分割的两个部分。4.《信息安全技术信息系统等级保护安全设计技术要求》(GB/T25070-2010)是进行等级保护建设的直接指导,在《基本要求》的基础之上,采用了(系统化)的设计方法,引入了(深度防御)的保护理念,提出了(“一个中心,三重防护”)的保障框架,形成了在(安全管理中心)统一管理下(安全计算环境、安全区域边界、安全通信网络)层层防护的综合保障技术体系,规范了信息系统等级保护安全设计技术要求。5.《设计要求》中明确指出信息系统等级保护安全技术设计包括(各级系统安全保护环境)的设计及其(安全互联)的设计,各级系统安全保护环境由相应级别的(安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心)组成。定级系统互联由(安全互联部件和跨定级系统安全管理中心)组成。:符合国家等级保护基本要求;(借鉴等级保护安全设计技术要求);将等级保护基本要求给出具体的实施、配置措施;适用于公司行业特色的等级保护实施指引。7.《信息保障技术框架》和《信息安全技术信息系统等级保护安全设计技术要求》都是以技术层面,提供(一个框架)进行多层保护,以此防范计算机威胁。该方法能够(使攻破一层或一类的保护的攻击行为)无法破坏整个信息系统基础设施。8.(《基本要求》)是等级保护建设的要求,(《设计要求》)是等级保护建设的方法,《设计要求》提出的“一个中心,三重防护”的体系架构从系统化的角度、工程化的思想实现了(《基本要求》)这样一个基线要求,为等级保护的实施提供了科学、有效的方法。因此将《基本要求》和《设计要求》进行有机结合保障整个体系的安全才是将等级保护的要求(由点到面)的落实和执行。:单个系统的安全;(多个系统的安全);整个体系的安全。,可将工作区、(管理区)、内联网接入区、(外联区)划入接入子域,将核心区化为交换域,将生产区化为(服务域)。(主机安全、应用安全及数据安全),区域边界防护和通信网络防护主要针对信息系统(网络安全)。支撑设施实施对计算环境、区域边界和通信网络(统一的安全策略)管理,确保(系统配置)完整可信,确定用户(操作权限),实施(全程审计追踪)。