飞来的苹果 2025-05-16 08:46 上海
安小圈
第667期
等保测评师 · 考试
1. 题目
简述开展网络安全等级保护工作的法律依据。(6分)
答案
《中华人民共和国人民警察法》:规定警察履行“监督管理计算机信息系统安全保护工作”职责。
《计算机信息系统安全保护条例》(1994年):明确计算机信息系统实行安全等级保护。
国务院“三定”方案(2008年):赋予公安部等级保护监督职责。
《网络安全法》(2017年):规定国家实行网络安全等级保护制度,关键信息基础设施实行重点保护。
详解
2. 题目相较于被动防御,主动防御具备哪些优势?
答案主动防御优势包括:
- 智能检测未知攻击
改变防御滞后于攻击的局面。
自主学习加固动态提升网络防御能力。
实时响应反击分析攻击技术,跟踪或反击攻击者。
详解
3. 题目请简述作为高级测评师,在《等级测评方案》评审时应关注的内容?(6分)
答案参考要点如下:1)测评对象选择的合理性,与等级要求的测评力度的一致性。(1分)2)测评指标选择的正确性,测评方法的有效性和符合性。(1分)3)测评工具与手段是否先进、可溯源,测评工具的测试路径和接入点是否合适。(1分)4)作业指导书的科学性,可能发生风险的测试内容在仿真环境中已进行过模拟测试,测试过程不会对系统造成影响。(1分)5)风险规避措施实施合理性,是否详细分析测评过程中可能发生的安全风险,并给出切实有效的规避措施。(1分)6)任务分工、计划进度与资源的安排合理性等。(1分)
详解
4. 题目请简述工业控制系统、云计算平台、物联网、采用移动互联技术的信息系统如何定级(包括定级对象确定、定级原则等)?(8分)
答案答案见中级教材3.47)工业控制系统(2分)▪ 工业控制系统主要由生产管理层、现场设备层、现场控制层和过程监控层构成,其中:
生产管理层的定级对象确定原则见5.2.5(作为定级对象的其他信息系统应具有如下基本特征:具有确定的主要安全责任单位;承载相对独立的业务应用;具有信息系统的基本要素)。
现场设备层、现场控制层和过程监控层应作为一个整体对象定级,各层次要素不单独定级。
对于大型工业控制系统,可根据系统功能、控制对象和生产厂商等因素划分为多个定级对象。8)云计算平台(2分)▪ 云服务方侧的云计算平台应单独定级,云租户侧的等级保护对象也应单独定级。▪ 对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。9)物联网(2分)▪ 物联网应作为一个整体对象定级,包括感知层、网络传输层和处理应用层等要素。10)采用移动互联技术的信息系统(2分)▪ 应作为一个整体对象定级,包括移动终端、移动应用、无线网络及相关应用系统等。
详解
5. 题目简述网络安全等级保护制度和关键信息基础设施保护的关系。(6分)
答案
等级保护制度是普适性制度,是关键信息基础设施保护的基础,关键信息基础设施是等级保护制度的保护重点。
等级保护制度与关键信息基础设施保护是网络安全的两个重要方面,不可分割。关键信息基础设施必须按等级保护制度要求开展定级备案、等级测评、安全建设整改、安全检查等强制性工作。
网络运营者应在第三级(含)以上网络中确定关键信息基础设施。
关键信息基础设施保护需落实公安机关、保密部门、密码部门的监管责任,以及网络运营者和行业主管部门的主体责任。
公安机关在情报侦察、追踪溯源、快速处置、打击犯罪、等级保护、通报预警、互联网管理等方面发挥主力军作用,保卫关键信息基础设施安全。
参考依据:为落实《网络安全法》要求,在国家等级保护制度基础上,结合重点领域经验,提出关键信息基础设施保护要求,从识别认定、安全防护、检测评估等环节增强防护能力。
简言之,关键信息基础设施保护是在等级保护基础上,对能源、金融、交通等领域的重要信息系统和工业控制系统进行增强防护。
详解
6. 题目请说明GB/T 22239《信息安全技术 网络安全等级保护基本要求》、GB/T 25070《信息安全技术 网络安全等级保护安全设计技术要求》、GB/T 28448《信息安全技术 网络安全等级保护测评要求》和GB/T 28449《信息安全技术 网络安全等级保护测评过程指南》的使用场景和主要内容。
答案
- GB/T 22239
适用于系统安全建设、等级测评和监督管理,规定第一至第四级等级保护对象的安全通用要求和扩展要求。(2分)
GB/T 25070用于系统安全设计,规定第一至第四级安全设计技术要求,指导安全技术方案设计与实施。(2分)
GB/T 28448规定不同级别安全测评要求,适用于安全测评服务机构、运营单位及主管部门。(2分)
GB/T 28449规范测评过程,规定测评活动及任务,适用于测评机构、主管部门及运营单位。(2分)
详解
7. 题目GB/T 28448-2019针对不同等级测评工作,除级别和强度要求外,在测评实施中主要通过哪些方面体现级差?(6分)
答案
- 测评方法
一级以访谈为主,二级以检查为主,三、四级增加测试验证。(2分)
测评对象范围一、二级为关键设备,三级为主要设备,四级为所有设备。(2分)
现场测评实施一、二级检查安全机制,三、四级增加安全策略有效性验证。(2分)
详解
8. 题目对于第三级定级对象,在安全通信网络(通信传输)和安全计算环境(数据完整性和保密性)中均提出数据保护要求,如何理解并测评?(7分)
答案
- 安全通信网络
需采用校验技术或密码技术保障通信过程中数据的完整性和保密性。
安全计算环境需采用校验技术或密码技术保障存储和传输过程的完整性和保密性。
测评要点确认密码模块是否经国家密码主管部门核准。
根据实际环境选择实现方式(如内部网络用IPSEC VPN,互联网应用用HTTPS)。
对通信传输和计算环境的数据保护进行整体测评。
详解
9. 题目根据《网络安全等级保护测评机构能力要求和评估规范》(GB/T 36959-2018)第一级要求,简述测评机构应具备的测评实施能力维度中的测评能力主要内容。
答案
- 测评能力维度
安全技术测评实施能力(物理环境、网络、设备、应用等数据安全测评)。
安全管理测评实施能力(安全策略、制度、人员、运维等管理测评)。
安全测试与分析能力(漏洞发现与问题分析)。
整体测评实施能力(综合安全控制点、层面、区域结果)。
风险分析能力(评估安全问题对系统的影响)。
准备阶段:收集系统资料,填写调查表。
方案编制:确定测评对象、指标、内容,开发评审方案。
现场测评:执行方案,规范记录结果。
报告编制:描述保护措施、安全问题、风险分析及结论,按模板编写并评审。
详解
10. 题目概述《基本要求》(GB/T 22239-2019)的主要变化。(8分)
答案答案见中级教材48、49页
详解
END
【 内容来源:手把手教你做等保 】
【专题连载】等级保护测评师 |(初级)简答题(一)
附件1+网络安全等级保护定级报告模版(2025版)
公众号内,搜索“附件1” 获取
附件2+网络安全等级保护备案表(2025版)
公众号内,搜索“附件2” 获取
附件3+网络安全等级测评报告模板(2025版)
公众号内,搜索“附件3” 获取
