初级等保测评师考试

注意：等保测评初级管理只考等级保护政策和相关标准应用、安全管理和物理评测。具体见下表：

1 等级保护政策和相关标准应用

2 安全管理和物理测评

2.1 安全管理

2.1.1 安全管理制度

2.1.2 安全管理机构

2.1.3 人员安全管理

2.1.4 系统建设管理

2.1.5 系统运维管理

2.2 物理测评

2.2.1 物理位置的选择

a)机房和办公场地应选具有防震、防风和防雨等能力的建筑内；

b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

2.2.2 物理访问控制

a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员；

b)进入机房的来访人员应经过申请和审批流程，以限制和监控其活动范围；

c)对机房分区进行管理，区域之间设置物理隔离装置，在重要区域前设置交付或过

渡区域；

d)重要区域应配置门禁系统，控制、鉴别和记录进入的人员。

2.2.3 防盗窃和防破坏

a)应将主要设备放在机房内；

b)应将主要设备或主要部件进行固定，并设置明显的不易除去的标志；

c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；

d)应对介质分类标识，存储在介质库或档案室中；

e)应利用光、电等技术设置机房放到报警系统；

f)应对机房设置监控报警系统。

2.2.4 防雷击

a)机房建筑应设置

判断题（10×1=10分）

1、动态路由是网络管理员手工配置的路由信息，也可由路器自动地建立 并且能够根据实际情况的变化适时地进行调整。（×）

2、星型网络拓扑结构中，对中心设备的性能要求比较高。（ √ ） 3、访问控制就是防止未授权用户访问系统资源。（ √ ）

4、考虑到经济成本，在机房安装过录像监控之后，可不再布置报警系统。（ × ） 5、审计日志的主要功能是可以对安全事件进行追踪和发现入侵行为，降低安全事件的发生。（ √ ）

6、在三级信息系统中，每个系统默认账户和口令原则上都是要进行修改的（√ ） 7、剩余信息保护是三级系统比二级系统新增内容。（ √ ）

8、权限如果分配不合理，有可能会造成安全事件无从查找。（ √ ） 9、三级信息系统中，为了数据的完整性，我们可以采用CRC的校验码措施（ × ） 10、在进行信息安全测试中，我们一般不需要自己动手进行测试。（ √ ） 二、单项选择题（15×2.5=30分） 1、测评单位开展工作的政策依据是（ C ） A.公通字[2004] 66号 C.公信安[2010] 303号 B.公信安[2008] 736 D发改高技[2008]2071

2、当信息系统受到，破

信息安全等级测评师模拟考试

考试形式：闭卷 考试时间：120分钟

一、单选题（每题1.5分，共30分）

1.以下关于等级保护的地位和作用的说法中不正确的是（ C ） A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。

D.是促进信息化、维护国家信息安全的根本保障。

2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（ A ） A.突出重要系统，涉及所有等级, 试点示范，行业推广，国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。

D.加固改造 缺什么补什么 也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是：（ A ）

A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统 。

B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。

C.在定级工作中同类信息系统的安全保护等级不

等级保护（初级技术）安全测试学习笔记

第一章：网络安全测评：

标准概述：

测评过程中重点依据：

《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》来进行。 1、基本要求中网络安全的控制点与要求项各级分布为： 级别 控制点 要求项 第一级 3 9 第二级 6 18 第三级 7 33 第四级 7 32

2等级保护基本要求三级网络安全方面涵盖哪些内容 ？

共包含7个控制点33个要求项，涉及到网络安全中的结构安全、安全审计、边界完整性检查、入侵防范、恶意代码防范、访问控制、设备防护等方面。 检查范围：

理解标准、明确目的、分阶段进行、确定检查范围，细化检查项、 注意事项：

1、 考虑设备的重要程度可以采用抽取的方式。 2、 不能出现遗漏、避免出现脆弱点。

3、 最终需要在测评方案中与用户明确检查范围-网络设备，安全设备列表。

检查内容以等级保护基本要求三级为例，安全基本要求7个控制点33个要求项进行检查： 1、 结构安全 2、 访问控制 3、 安全审计

4、 边界完整性检查 5、 入侵防范 6、 恶意代码防

等保测评

测评基本内容

对信息系统安全等级保护状况进行测试评估，应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。

对安全控制测评的描述，使用测评单元方式组织。测评单元分为安全技术测 评和安全管理测评两大类。安全技术测评包括：物理安全、网络安全、主机系统 安全、应用安全和数据安全等五个层面上的安全控制测评；安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。具体见下图：

测评过程

等级测评过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。

测评准备测评方法 编号 1 方案编制现场测评报告编制 测试方法 人员访谈 测试方法说明 与被测信息系统相关管理人员进行交流、讨论等活动，获取相关证据，了解相关信息。 检查被测信息系统是否具有GB/T 22239-2008中规定的的制度、策略、操作规程等文档，检查是否有完整的制度执行情况2 文档审查 记录

http://www.TopSage.com

软件评测师考试历年试题及解答合订本

软件评测师考试大纲（2005年版）

一、考试说明 1. 考试要求

（1）熟悉计算机基础知识；

（2）熟悉操作系统、数据库、中间件、程序设计语言基础知识； （3）熟悉计算机网络基础知识；

（4）熟悉软件工程知识，理解软件开发方法及过程； （5）熟悉软件质量及软件质量管理基础知识； （6）熟悉软件测试标准；

（7）掌握软件测试技术及方法； （8）掌握软件测试项目管理知识；

（9）掌握C语言以及C++或Java语言程序设计技术； （10）了解信息化及信息安全基础知识； （11）熟悉知识产权相关法律、法规；

（12）正确阅读并理解相关领域的英文资料。

2. 通过本考试的合格人员能在掌握软件工程与软件测试知识的基础上，运用软件测试管理办法、软件测试策略、软件测试技术，独立承担软件测试项目；具有工程师的实际工作能力和业务水平。

3. 本考试设置的科目包括:

（1）软件工程与软件测试基础知识，考试时间为150分钟，笔试，选择题； （2）软件测试应用技术，考试时间为150分钟，

等保测评

技术方案

2018年7月

—1—

1 等级保护测评

1.1 定级与备案

1.1.1 调研

信息系统数据使用者或管理者及业务处理信息类别 管理数据、业务数据、鉴别信息高中低 保密性S 数据泄露将造成的影响 数据泄露是否会引起法律纠纷和导致财产损失 高中低 数据安全性要求 完整性S 数据篡改或丢失将造成的影响 数据篡改或丢失是否会引起法律纠纷和导致财产损失 高中低 可用系统中断将名称 其访问权限 性A 造成的影响 描述系统中断对工作职能和业务能力的影响 系统开发人XX系统 员、系统运维人员、系统使用人员 通过调研初步确定各信息系统的名称和级别。

1.1.2 定级报告和备案表

信息安全等级保护工作的第一个环节是系统定级。对信息系统进行定级是等级保护工作的基础，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。定级工作流程是确定定级对象、确定信息系统安全等级保护等级、组织专家评审、主管部门审批、公安机关审核。信息系统定级以后，应到所在地区地市级上公安机关办理备案手续，备案工作的流程是信息系统备案、受理、审核和

等保测评

技术方案

2018年7月

—1—

1 等级保护测评

1.1 定级与备案

1.1.1 调研

信息系统数据使用者或管理者及业务处理信息类别 管理数据、业务数据、鉴别信息高中低 保密性S 数据泄露将造成的影响 数据泄露是否会引起法律纠纷和导致财产损失 高中低 数据安全性要求 完整性S 数据篡改或丢失将造成的影响 数据篡改或丢失是否会引起法律纠纷和导致财产损失 高中低 可用系统中断将名称 其访问权限 性A 造成的影响 描述系统中断对工作职能和业务能力的影响 系统开发人XX系统 员、系统运维人员、系统使用人员 通过调研初步确定各信息系统的名称和级别。

1.1.2 定级报告和备案表

信息安全等级保护工作的第一个环节是系统定级。对信息系统进行定级是等级保护工作的基础，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。定级工作流程是确定定级对象、确定信息系统安全等级保护等级、组织专家评审、主管部门审批、公安机关审核。信息系统定级以后，应到所在地区地市级上公安机关办理备案手续，备案工作的流程是信息系统备案、受理、审核和

湖南省电子产品检测分析所考勤

信息系统安全等级测评方案

编制： 日期：

审核： 日期：

批准： 日期：

1. 概述

1.1项目简介

湖南省电子产品检测分析所考勤管理信息系统处理的主要业务信息是员工管理数据、政工管理数据等企业内部信息，是本单位的专有信息。如果系统受到破坏，将会严重影响电子分析所的正常工作和，因此湖南省电子产品检测分析所考勤管理信息系统在业务支撑上起着至关重要的作用。

分析所考勤管理信息系统的信息系统安全保护等级已定为二级（S2A2G2）。

湖南省网络与信息安全测评中心（以下简称测评中心）受湖南省电子检测分析所的委托，对湖南省电子产品检测分析所考勤管理信息系统进行信息系统安全等级保护测评，现场测评项目组将分为技术核查小组及管理核查小组；针对安全技术及安全管理两大方向、十个层面进行测评与分析。

本次测评的目的是建立信息安全等级保护制度，通过测试手段对安全技术和安全管理上各个层面的安全控制进行整体性验证。协助用户完成等级保护测评工作

1.2测评依据

信息系统等级测评是对运营和使用单位信息系统建设和管理的状况进行等级测评。依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》，在对信息系统进行安全技术和安全管理的

技术测评要求(S3A3G3)

等级保护三级技术类测评控制点(S3A3G3) 类别 物理位置的选择 序号 1. 2. 3. 4. 物理物理访问安全 控制 5. 测 评 内 容 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。（G2） 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。（G3） 机房出入口应安排专人值守，控制、鉴别和记录进入的人员。（G2） 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。（G2） 应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域。（G3） 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。（G3） 应将主要设备放置在机房内。（G2） 应将设备或主要部件进行固定，并设置明显的不易除去的标记。（G2） 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中。（G2） 访谈，检查。 物理安全负责人，机房值守 人员，机房，机房安全管理制度，值守记录，进入机房的 登记记录，来访人员进入机房的审批记录。 测评方法 访谈，检查。 物理安全负责人，机房，办公场地， 机房场地设计/验收文档。 结果记录 符合情况 Y N