免费智能真题库 > 历年试卷 > 信息安全工程师 > 2022年下半年 信息安全工程师 上午试卷 综合知识
  第46题      
  知识点:   安全审计   客体   网络安全   系统安全   安全保护等级   计算机信息系统安全保护等级   审计功能   网络信息   系统的安全   信息系统安全   信息系统安全保护等级   信息系统的安全保护等级
  关键词:   安全保护等级   安全审计   安全相关   网络安全   信息系统安全   安全   网络   系统安全   信息系统        章/节:   网络信息安全目标与功能   访问控制模型   操作系统安全概述       

 
网络安全审计是指对网络信息系统的安全相关活动信息进行获取、记录存储、分析和利用的工作。在《计算机信息系统安全保护等级划分准则》(GB17859)中,不要求对删除客体操作具备安全审计功能的计算机信息系统的安全保护等级属于()。
 
 
  A.  用户自主保护级
 
  B.  系统审计保护级
 
  C.  安全标记保护级 
 
  D.  结构化保护级
 
 
 

 
  第53题    2021年下半年  
   25%
隐私保护技术的目标是通过对隐私数据进行安全修改处理,使得修改后的数据可以公开发布而不会遭受隐私攻击。隐私保护的常见技术有..
  第61题    2021年下半年  
   58%
《计算机信息系统安全保护等级划分准则(GB17859-1999)》规定,计算机信息系统安全保护能力分为五个等级,其中提供系统恢复机制的..
  第48题    2022年下半年  
   33%
网络审计数据涉及系统整体的安全性和用户隐私,以下安全技术措施不属于保护审计数据安全的是()。
 
  第9题    2019年上半年  
   41%
访问控制是对信息系统资源进行保护的重要措施,适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。信息系统访问控制..
  第23题    2021年下半年  
   64%
BiBa模型主要用于防止非授权修改系统信息,以保护系统的信息完整性。该模型提出的“主体不能向上写”指的是()。
  第15题    2019年上半年  
   52%
安全模型是一种对安全需求与安全策略的抽象概念模型,安全策略模型一般分为自主访问控制模型和强制访问控制模型。以下属于自主访..
 
  第19题    2022年下半年  
   67%
依据《信息安全技术网络安全等级保护测评要求》的规定,定级对象的安全保护分为五个等级,其中第三级称为()。
  第15题    2022年下半年  
   43%
SSH是基于公钥的安全应用协议,可以实现加密、认证、完整性检验等多种网络安全服务。SSH由(  )3个子协议组成.
  第61题    2022年下半年  
   100%
按照网络安全测评的实施方式,测评主要包括安全管理检测、安全功能检测、代码安全审计、安全渗透、信息系统攻击测试等。其中《信..
 
  第67题    2022年下半年  
   50%
数据库系统是一个复杂性高的基础性软件,其安全机制主要有标识与鉴别访问控制、安全审计、数据加密、安全加固、安全管理等,其中..
  第61题    2022年下半年  
   100%
按照网络安全测评的实施方式,测评主要包括安全管理检测、安全功能检测、代码安全审计、安全渗透、信息系统攻击测试等。其中《信..
  第45题    2018年上半年  
   47%
操作系统的安全审计是指对系统中有关安全的活动进行记录、检查和审核的过程,为了完成审计功能,审计系统需要包括( )三大功能模..
   知识点讲解    
   · 安全审计    · 客体    · 网络安全    · 系统安全    · 安全保护等级    · 计算机信息系统安全保护等级    · 审计功能    · 网络信息    · 系统的安全    · 信息系统安全    · 信息系统安全保护等级    · 信息系统的安全保护等级
 
       安全审计
        安全审计就是操作系统对系统中有关安全的活动进行记录、检查及审核,其主要目的就是核实系统安全策略执行的合规性,以追踪违反安全策略的用户及活动主体,确认系统安全故障。
 
       客体
        客体是被主体操作的对象。通常来说,对一个客体的访问隐含着对其信息的访问。
 
       网络安全
        . DDoS防护(Anti-DDoS)。提供DDoS高防包、DDoS高防IP等多种DDoS解决方案,应对DDoS攻击问题。通过充足、优质的DDoS防护资源,结合持续进化的“自研+AI智能识别”清洗算法,保障用户业务的稳定、安全运行。
        . 云防火墙。基于公有云环境的SaaS化防火墙,为用户提供互联网边界、VPC边界的网络访问控制,同时基于流量嵌入多种安全能力,实现访问管控与安全防御的集成化与自动化。
        . 网络入侵防护系统。通过旁路部署方式,无变更无侵入地对网络4层会话进行实时阻断,并提供了阻断API,方便其他安全检测类产品调用;此外,网络入侵防护系统提供全量网络日志存储和检索、安全告警、可视化大屏等功能,解决等保合规、日志审计、行政监管以及云平台管控等问题。
        . 腾讯云样本智能分析平台。依靠深度沙箱中自研的动态分析模块、静态分析模块以及稳定高效的任务调度框架,实现自动化、智能化、可定制化的样本分析;通过建设大规模分析集群,包括深度学习在内的多个高覆盖率的恶意样本检测模型,可以得知样本的基本信息、触发的行为、安全等级等信息,从而精准高效地对现网中的恶意样本进行打击。
 
       系统安全
        华为EulerOS通过了公安部信息安全技术操作系统安全技术要求四级认证。EulerOS能够提供可配置的加固策略、内核级OS安全能力等各种安全技术以防止入侵,保障客户的系统安全。
 
       安全保护等级
        《计算机信息系统安全保护等级划分准则》(GB17859-1999)规定了计算机系统安全保护能力的五个等级,即用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。
        (1)用户自主保护级。本级的计算机信息系统可信计算机通过隔离用户与数据,使用户具备自主安全保护的能力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏。第一级适用于普通内联网用户。
        (2)系统审计保护级。与用户自主保护级相比,本级的计算机信息系统可信计算机实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。第二级适用于通过内联网或国际网进行商务活动,需要保密的非重要单位。
        (3)安全标记保护级。本级的计算机信息系统可信计算机具有系统审计保护级的所有功能。此外,还提供有关安全策略模型、数据标记,以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出信息的能力;消除通过测试发现的任何错误。第三级适用于地方各级国家机关、金融机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。
        (4)结构化保护级。本级的计算机信息系统可信计算机建立于一个明确定义的形式化安全策略模型之上,要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外,还要考虑隐蔽通道。本级的计算机信息系统可信计算机必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算机的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制,支持系统管理员和操作员的职能,提供可信设施管理,增强了配置管理控制。系统具有相当的抗渗透能力。第四级适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研机构和国防建设等部门。
        (5)访问验证保护级。本级的计算机信息系统可信计算机满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的,而且必须足够小,能够分析和测试。为了满足访问监控器需求,计算机信息系统可信计算机在其构造时,排除了那些对实施安全策略来说并非必要的代码;在设计和实现时,从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能;扩充审计机制,当发生与安全相关的事件时发出信号;提供系统恢复机制。系统具有很高的抗渗透能力。第五级适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
 
       计算机信息系统安全保护等级
        《计算机信息系统安全保护等级划分准则》(GB 17859—1999)规定了计算机系统安全保护能力的5个等级。
        (1)第一级:用户自主保护级(对应TCSEC的C1级)。本级的计算机信息系统可信计算基(trusted computing base)通过隔离用户与数据,使用户具备自主安全保护的能力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏。
        (2)第二级:系统审计保护级(对应TCSEC的C2级)。与用户自主保护级相比,本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。
        (3)第三级:安全标记保护级(对应TCSEC的B1级)。本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外,还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出信息的能力;消除通过测试发现的任何错误。
        (4)第四级:结构化保护级(对应TCSEC的B2级)。本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上,它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外,还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算基的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完整的复审。它加强了鉴别机制;支持系统管理员和操作员的职能;提供可信设施管理;增强了配置管理控制。系统具有相当的抗渗透能力。
        (5)第五级:访问验证保护级(对应TCSEC的B3级)。本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的;必须足够小,能够分析和测试。为了满足访问监控器需求,计算机信息系统可信计算基在其构造时,排除那些对实施安全策略来说并非必要的代码;在设计和实现时,从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能;扩充审计机制,当发生与安全相关的事件时发出信号;提供系统恢复机制。系统具有很高的抗渗透能力。
 
       审计功能
        如果身份认证是一种事前的防范措施,审计则是一种事后监督的手段。跟踪也是DBMS提供的监视用户动作的功能,然而,审计和跟踪是两个不同的概念,主要是两者的目的不同。跟踪主要是满足系统调试的需要,捕捉到的用户行为记录往往只用于分析,而并不长久地保存,而审计作为一种安全检查的措施,会把系统的运行状况和用户访问数据库的行为记录以日志保存下来,这种日志往往作为一种稽查用户行为的一种证据。
        根据审计对象的区分,有两种方式的审计,即用户审计和系统审计。用户审计时,DBMS的审计系统记下所有对自己表或视图进行访问的企图(包括成功的和不成功的)及每次操作的用户名、时间、操作代码等信息。这些信息一般都被记录在操作系统或DBMS的日志文件里面,利用这些信息可以对用户进行审计分析。系统审计由DBA进行,其审计内容主要是系统一级命令及数据对象的使用情况。
 
       网络信息
        计算机网络上存储、传输的信息称为网络信息。网络信息是计算机网络中最重要的资源,它存储于服务器上,由网络系统软件对其进行管理和维护。
 
       系统的安全
        系统的安全涉及两类不同的问题,一类涉及技术、管理、法律、道德和政治等问题,另一类涉及操作系统的安全机制。随着计算机应用范围扩大,在所有稍具规模的系统中都从多个级别上来保证系统的安全性。一般从4个级别上对文件进行安全性管理:系统级、用户级、目录级和文件级。
        (1)系统级。系统级安全管理的主要任务是不允许未经授权的用户进入系统,从而也防止了他人非法使用系统中各类资源(包括文件)。系统级管理的主要措施有注册与登录。
        (2)用户级。用户级安全管理是通过对所有用户分类和对指定用户分配访问权,不同的用户对不同文件设置不同的存取权限来实现。例如,在UNIX系统中将用户分为文件主、同组用户和其他用户。有的系统将用户分为超级用户、系统操作员和一般用户。
        (3)目录级。目录级安全管理是为了保护系统中各种目录而设计的,它与用户权限无关。为了保证目录的安全,规定只有系统核心才具有写目录的权利。
        (4)文件级。文件级安全管理是通过系统管理员或文件主对文件属性的设置来控制用户对文件的访问。通常可设置以下几种属性:只执行、隐含、只读、读/写、共享、系统。用户对文件的访问,将由用户访问权、目录访问权限及文件属性三者的权限所确定,或者说是有效权限和文件属性的交集。例如对于只读文件,尽管用户的有效权限是读/写,但都不能对只读文件进行修改、更名和删除。对于一个非共享文件,将禁止在同一时间内由多个用户对它们进行访问。
 
       信息系统安全
               信息系统安全的概念
               信息系统安全指信息系统及其所存储、传输和处理的信息的保密性、完整性和可用性的表征,一般包括保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,以保障信息系统功能的正常发挥,维护信息系统的安全运行。
               信息系统安全的侧重点会随着信息系统使用者的需求不同而发生变化,例如:
               .个人用户最关心的信息系统安全问题是如何保证涉及个人隐私的问题。企业用户看重的是如何保证涉及商业利益的数据的安全。
               .从网络运行和管理者角度说,最关心的信息系统安全问题是如何保护和控制其他人对本地网络信息进行访问、读写等操作。
               .对安全保密部门和国家行政部门来说,最关心的信息系统安全问题是如何对非法的、有害的或涉及国家机密的信息进行有效过滤和防堵,避免非法泄露。
               .从社会教育和意识形态角度来说,最关心的则是如何杜绝和控制网络上的不健康内容。有害的黄色内容会对社会的稳定和人类的发展造成不良影响。
               信息系统安全的属性
               信息系统安全的属性主要包括:
               .保密性:是应用系统的信息不被泄露给非授权的用户、实体或过程,或供其利用的特性,即防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。保密性建立在可用性基础之上,是保障应用系统信息安全的重要手段。应用系统常用的保密技术如下:
               最小授权原则:对信息的访问权限仅授权给需要从事业务的用户使用。
               防暴露:防止有用信息以各种途径暴露或传播出去。
               信息加密:用加密算法对信息进行加密处理,非法用户无法对信息进行解密从而无法读懂有效信息。
               物理保密:利用各种物理方法,如限制、隔离、掩蔽和控制等措施,来保护信息不被泄露。
               .完整性:是信息未经授权不能进行改变的特性,即应用系统的信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放和插入等破坏和丢失的特性。保障应用系统完整性的主要方法如下:
               协议:通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段。
               纠错编码方法:由此完成检错和纠错功能。最简单和常用的纠错编码方法是奇偶校验法。
               密码校验和方法:是抗篡改和传输失败的重要手段。
               数字签名:用于保障信息的真实性。
               公证:请求系统管理或中介机构证明信息的真实性。
               .可用性:是应用系统信息可被授权实体访问并按需求使用的特性,即信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。可用性一般用系统正常使用时间和整个工作时间之比来度量。可用性还应该满足以下要求:身份识别与确认、访问控制、业务流控制、路由选择控制和审计跟踪。
               .不可抵赖性:也称作不可否认性,在应用系统的信息交互过程中,确信参与者的真实同一性,即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认已发送信息,利用递交接收证据可以防止收信方事后否认已经接收的信息。
               信息系统安全管理体系
               信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理。
               不同安全等级的安全管理机构可按下列顺序逐步建立自己的信息系统安全组织机构管理体系:
               .配备安全管理人员。
               .建立安全职能部门。
               .成立安全领导小组。
               .主要负责人出任领导。
               .建立信息安全保密管理部门。
               信息系统安全管理体系参见《GB/T 20269~2006信息安全技术信息系统安全管理要求》,该标准把信息系统安全管理分为八大类,每个类分为若干族,针对每个族设置了相应的管理要素。八大类分别为:政策和制度、机构和人员管理、风险管理、环境和资源管理、运行和维护管理、业务持续性管理、监督和检查管理、生存周期管理。
               信息系统安全技术体系参见《GB/T 20271—2006信息安全技术信息系统通用安全技术要求》,该标准把信息系统安全技术分为:
               .物理安全:包括环境安全、设备安全和记录介质安全。
               .运行安全:包括风险分析、信息系统安全性检测分析、信息系统安全监控、安全审计、信息系统边界安全防护、备份与故障恢复、恶意代码防护、信息系统的应急处理、可信计算和可信连接技术。
               .数据安全:包括身份鉴别、用户标识与鉴别、用户主体绑定、抗抵赖、自主访问控制、标记、强制访问控制、数据完整性保护、用户数据保密性保护、数据流控制、可信路径和密码支持。
 
       信息系统安全保护等级
        国标GB/T22240—2008《信息系统安全保护等级定级指南》从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面,提出了确定信息系统安全保护等级的方法。其中,等级保护对象是指信息安全等级保护工作直接作用的具体信息和信息系统;客体是指法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益;客观方面是指对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等;系统服务是指信息系统为支撑其所承载业务而提供的程序化过程。
               信息系统安全保护等级及定级要素
               信息系统的安全保护等级分为以下5级。
               第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
               第二级,信息系统受到破坏后,会对公民、法人或其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
               第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
               第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
               第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
               信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
               等级保护对象受到破坏时所侵害的客体包括三个方面:公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全。
               对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述,等级保护对象受到破坏后对客体造成侵害的程度归结为三种:造成一般损害、造成严重损害和造成特别严重损害。
               定级方法
                      定级的一般流程
                      信息系统定级针对从业务信息安全角度反映的业务信息安全保护等级和从系统服务安全角度反映的系统服务安全保护等级。确定信息系统安全保护等级的一般流程如下。
                      (1)确定作为定级对象的信息系统。
                      (2)确定业务信息安全受到破坏时所侵害的客体。
                      (3)根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度。
                      (4)依据下表,得到业务信息安全保护等级。
                      
                      业务信息安全保护等级矩阵表
                      (5)确定系统服务安全受到破坏时所侵害的客体。
                      (6)根据不同的受侵害客体,从多个方面综合评价系统服务安全被破坏对客体的侵害程度。
                      (7)依据下表,得到系统服务安全保护等级。
                      (8)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
                      确定等级一般流程如下图所示。
                      
                      确定等级一般流程
                      确定定级对象
                      一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、具有不同安全保护等级的定级对象。作为定级对象的信息系统应具有唯一确定的安全责任单位,具有信息系统的基本要素以及承载单一或相对独立的业务应用。
                      确定受侵害的客体
                      定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
                      侵害国家安全的事项包括:影响国家政权稳固和国防实力;影响国家统一、民族团结和社会安定;影响国家对外活动中的政治、经济利益;影响国家重要的安全保卫工作;影响国家经济竞争力和科技实力;其他影响国家安全的事项。
                      侵害社会秩序的事项包括:影响国家机关社会管理和公共服务的工作秩序;影响各种类型的经济活动秩序;影响各行业的科研、生产秩序;影响公众在法律约束和道德规范下的正常生活秩序等;其他影响社会秩序的事项。
                      影响公共利益的事项包括:影响社会成员使用公共设施;影响社会成员获取公开信息资源;影响社会成员接受公共服务等方面。
                      影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权益。确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。各行业可根据本行业业务特点,分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。
                      确定对客体的侵害程度
                      在客观方面,对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对信息系统服务的破坏,其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。信息安全和系统服务安全受到破坏后,可能产生以下危害后果:影响行使工作职能、导致服务能力下降、引起法律纠纷、导致财产损失、造成社会不良影响、对其他组织和个人造成损失等。
                      侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害个体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同,例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。在针对不同的受侵害客体进行侵害程度的判断时,如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。
                      不同危害后果的三种危害程度描述如下。
                      一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题、较低的财产损失、有限的社会不良影响,对其他组织和个人造成较低损害。
                      严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题、较高的财产损失、较大范围的社会不良影响,对其他组织和个人造成较严重损害。
                      特别严重损害:工作职能受到特别严重的影响或丧失行使能力,业务能力严重下降或功能无法执行,出现极其严重的法律问题、极高的财产损失、大范围的社会不良影响,对其他组织和个人造成非常严重的损失。
                      信息安全和系统服务安全被破坏后对客体的侵害程度,由对不同危害结果的危害程度进行综合评定得出。由于各行业信息系统所处理的信息种类和系统服务特点各不相同,信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式可能不同,各行业可根据本行业信息特点和系统服务特点,制定危害程度的综合评定方法,并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。
                      确定定级对象的安全保护等级
                      根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,可以判断业务信息安全保护等级。其定级要素与信息系统安全保护等级的关系类同上表。
                      根据系统服务被破坏时所侵害的客体以及对相应客体的侵害程度,可以判断系统服务安全保护等级。
                      作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
               等级变更
               在信息系统的运行过程中,安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更,尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度较大的变化,可能影响到系统的安全保护等级时,应重新定级。GB/T28449--2012《信息安全技术信息系统安全等级保护测评过程指南》规定了信息系统安全等级保护测评工作的测评过程,对等级测评的活动、工作任务以及每项任务的输入输出产品等提出指导性建议,适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价。
 
       信息系统的安全保护等级
        信息系统安全保护等级可分为以下五级:
        第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
        第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
        第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
        第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
        第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
   题号导航      2022年下半年 信息安全工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第46题    在手机中做本题