第四章信息安全等级保护

第四章 信息安全等级保护

一、判断题

1.GB 17859与目前等级保护所规定的安全等级的含义不同，GB 17859中等级划分为现在的等级保护奠定了基础。

二、单选题

1.在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产生的成果文档被称为 A 。

A.可接受使用策略AUP

B.安全方针

C.适用性声明

D.操作规范

2.对于远程访问型VPN来说， A 产品经常与防火墙及NAT机制存在兼容性问题，导致安全隧道建立失败。

A.IPSec VPN

B.SSL VPN

C.MPLS VPN

D.L2TP VPN

3.1999年，我国发布的第一个信息安全等级保护的国家标准GB 17859 — 1999，提出将信息系统的安全等级划分为 D 个等级，并提出每个级别的安全功能要求。

A.7

B.8

C.6

D.5

4.等级保护标准GB 17859主要是参考了 B 而提出。

A.欧洲ITSEC

B.美国TCSEC

C.CC

D.BS 7799

5.我国在1999年发布的国家标准 C 为信息安全等级保护奠定了基础。

A.GB 17799

B.GB 15408

C.GB 17859

D.GB 14430

6.信息安全登记保护的5个级别中， B 是最高级别，属于关系到国计民生的最关键信息系统的保护。

A.强制保护级

B.专控保护级

C.监督保护级

D.指导保护级

E.自主保护级

7.《信息系统安全等级保护实施指南》将 A 作为实施等级保护的第一项重要内容。

A.安全定级

B.安全评估

C.安全规划

D.安全实施

8. C 是进行等级确定和等级保护管理的最终对象。

A.业务系统

B.功能模块

C.信息系统

D.网络系统

9.当信息系统中包含多个业务子系统时，对每个业务子系统进行安全等级确定，最终信息系统的安全等级应当由 B 所确定。

A.业务子系统的安全等级平均值

B.业务子系统的最高安全等级

C.业务子系统的最低安全等级

D.以上说法都错误

10.根据《计算机信息系统国际联网保密管理规定》，涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行 B 。

A.逻辑隔离

B.物理隔离

C.安装防火墙

D.VLAN划分

11.如果一个信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对社会秩序和公共利益造成一定损害，但不损害国家安全；本级系统依照国家管理规范和技术标准进行自主保护，必要时，信息安全监管职能部门对其进行指导。那么该信息系统属于等级保护中的 C 。

A.强制保护级

B.监督保护级

C.指导保护级

D.自主保护级

12.如果一个信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益；本级系统依照国家管理规范和技术标准进行自主保护。那么其在等级保护中属于 D 。

A.强制保护级

B.监督保护级

C.指导保护级

D.自主保护级

13.如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成较大损害；本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。这应当属于等级保护的 B 。

A.强制保护级

B.监督保护级

C.指导保护级

D.自主保护级

14.如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害；本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查。这应当属于等级保护的 A 。

A.强制保护级

B.监督保护级

C.指导保护级

D.自主保护级

15.如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害；本级系统依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督、检查。这应当属于等级保护的 A 。

A.专控保护级

B.监督保护级

C.指导保护级

D.自主保护级

16.GB 17859借鉴了TCSEC标准，这个TCSEC是 C 国家标准。

A.英国

B.意大利

C.美国

D.俄罗斯

17.《信息系统安全等级保护测评准则》将测评分为安全控制测评和 A 测评两方面。

A.系统整体

B.人员

C.组织

D.网络

18.《信息系统安全等级保护基本要求》中，对不同级别的信息系统应具备的基本安全保护能力进行了要求，共划分为 A 级。

A.4

B.5

C.6

D.7

三、多选题

1.我国信息安全等级保护的内容包括 ABD 。

A.对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护

B.对信息系统中使用的信息安全产品实行按等级管理

C.对信息安全从业人员实行按等级管理

D.对信息系统中发生的信息安全事件按照等级进行响应和处置 E.对信息安全违反行为实行按等级惩处

2.目前，我国在对信息系统进行安全等级保护时，划分了5个级别，包括 ABCDE 。

A.专控保护级

B.强制保护级

C.监督保护级

D.指导保护级

E.自主保护级

四、问答题

1.简述如何确定一个信息系统的安全保护等级。

2.简述我国信息安全等级保护的含义。

3.简述我国信息安全等级保护的级别划分。

4.简述信息安全等级保护的实施过程。

答案

一、判 断 题

1.对

二、单 选 题

1.A 2.A 3.D 4.B 5.C 6.B 7.A

8.C 9.B 10.B 11.C 12.D 13.B 14.A

15.A 16.C 17.A 18.A

三、多 选 题

1.ABD 2.ABCDE

四、问 答 题

1.简述如何确定一个信息系统的安全保护等级。

答：为确定信息系统的安全保护等级，首先要确定信息系统内各业务子系统在“信息系统所属类型”、“业务信息类型”、“业务系统服务范围”和“业务依赖程度”四个定级要素方面的赋值，然后分别由四个定级要素确定业务信息安全性和业务服务保证性两个定级指标的等级，再根据业务信息安全性等级和业务服务保证性等级确定业务子系统安全保护等级，最后由信息系统内各业务子系统的最高等级确定信息系统的安全保护等级。

2.简述我国信息安全等级保护的含义。

答：信息安全等级保护是指：

（1）对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护；

（2）对信息系统中使用的信息安全产品实行按等级管理；

（3）对信息系统中发生的信息安全事件按照等级进行响应和处置等。

3.简述我国信息安全等级保护的级别划分。

答：（1）第一级为自主保护级。其主要对象为一般的信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益；本级系统依照国家管理规范和技术标准进行自主保护。

（2）第二级为指导保护级。其主要对象为一般的信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全；本级系统依照国家管理规范和技术标准进行自主保护，必要时，信息安全监管职能部门对其进行指导。

（3）第三级为监督保护级。其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成较大损害；本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。

（4）第四级为强制保护级。其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害；本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查。

（5）第五级为专控保护级。其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害；本级系统依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督、检查。

4.简述信息安全等级保护的实施过程。

答：对信息系统实施安全等级保护的过程划分为五个阶段，即系统安全定级阶段、安全规划设计阶段、安全实施阶段、安全运行维护阶段和系统终止阶段。具体如下图：

第四章 信息安全等级保护

一、判断题

1.GB 17859与目前等级保护所规定的安全等级的含义不同，GB 17859中等级划分为现在的等级保护奠定了基础。

二、单选题

1.在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产生的成果文档被称为 A 。

A.可接受使用策略AUP

B.安全方针

C.适用性声明

D.操作规范

2.对于远程访问型VPN来说， A 产品经常与防火墙及NAT机制存在兼容性问题，导致安全隧道建立失败。

A.IPSec VPN

B.SSL VPN

C.MPLS VPN

D.L2TP VPN

3.1999年，我国发布的第一个信息安全等级保护的国家标准GB 17859 — 1999，提出将信息系统的安全等级划分为 D 个等级，并提出每个级别的安全功能要求。

A.7

B.8

C.6

D.5

4.等级保护标准GB 17859主要是参考了 B 而提出。

A.欧洲ITSEC

B.美国TCSEC

C.CC

D.BS 7799

5.我国在1999年发布的国家标准 C 为信息安全等级保护奠定了基础。

A.GB 17799

B.GB 15408

C.GB 17859

D.GB 14430

6.信息安全登记保护的5个级别中， B 是最高级别，属于关系到国计民生的最关键信息系统的保护。

A.强制保护级

B.专控保护级

C.监督保护级

D.指导保护级

E.自主保护级

7.《信息系统安全等级保护实施指南》将 A 作为实施等级保护的第一项重要内容。

A.安全定级

B.安全评估

C.安全规划

D.安全实施

8. C 是进行等级确定和等级保护管理的最终对象。

A.业务系统

B.功能模块

C.信息系统

D.网络系统

9.当信息系统中包含多个业务子系统时，对每个业务子系统进行安全等级确定，最终信息系统的安全等级应当由 B 所确定。

A.业务子系统的安全等级平均值

B.业务子系统的最高安全等级

C.业务子系统的最低安全等级

D.以上说法都错误

10.根据《计算机信息系统国际联网保密管理规定》，涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行 B 。

A.逻辑隔离

B.物理隔离

C.安装防火墙

D.VLAN划分

11.如果一个信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对社会秩序和公共利益造成一定损害，但不损害国家安全；本级系统依照国家管理规范和技术标准进行自主保护，必要时，信息安全监管职能部门对其进行指导。那么该信息系统属于等级保护中的 C 。

A.强制保护级

B.监督保护级

C.指导保护级

D.自主保护级

12.如果一个信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益；本级系统依照国家管理规范和技术标准进行自主保护。那么其在等级保护中属于 D 。

A.强制保护级

B.监督保护级

C.指导保护级

D.自主保护级

13.如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成较大损害；本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。这应当属于等级保护的 B 。

A.强制保护级

B.监督保护级

C.指导保护级

D.自主保护级

14.如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害；本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查。这应当属于等级保护的 A 。

A.强制保护级

B.监督保护级

C.指导保护级

D.自主保护级

15.如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害；本级系统依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督、检查。这应当属于等级保护的 A 。

A.专控保护级

B.监督保护级

C.指导保护级

D.自主保护级

16.GB 17859借鉴了TCSEC标准，这个TCSEC是 C 国家标准。

A.英国

B.意大利

C.美国

D.俄罗斯

17.《信息系统安全等级保护测评准则》将测评分为安全控制测评和 A 测评两方面。

A.系统整体

B.人员

C.组织

D.网络

18.《信息系统安全等级保护基本要求》中，对不同级别的信息系统应具备的基本安全保护能力进行了要求，共划分为 A 级。

A.4

B.5

C.6

D.7

三、多选题

1.我国信息安全等级保护的内容包括 ABD 。

A.对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护

B.对信息系统中使用的信息安全产品实行按等级管理

C.对信息安全从业人员实行按等级管理

D.对信息系统中发生的信息安全事件按照等级进行响应和处置 E.对信息安全违反行为实行按等级惩处

2.目前，我国在对信息系统进行安全等级保护时，划分了5个级别，包括 ABCDE 。

A.专控保护级

B.强制保护级

C.监督保护级

D.指导保护级

E.自主保护级

四、问答题

1.简述如何确定一个信息系统的安全保护等级。

2.简述我国信息安全等级保护的含义。

3.简述我国信息安全等级保护的级别划分。

4.简述信息安全等级保护的实施过程。

答案

一、判 断 题

1.对

二、单 选 题

1.A 2.A 3.D 4.B 5.C 6.B 7.A

8.C 9.B 10.B 11.C 12.D 13.B 14.A

15.A 16.C 17.A 18.A

三、多 选 题

1.ABD 2.ABCDE

四、问 答 题

1.简述如何确定一个信息系统的安全保护等级。

答：为确定信息系统的安全保护等级，首先要确定信息系统内各业务子系统在“信息系统所属类型”、“业务信息类型”、“业务系统服务范围”和“业务依赖程度”四个定级要素方面的赋值，然后分别由四个定级要素确定业务信息安全性和业务服务保证性两个定级指标的等级，再根据业务信息安全性等级和业务服务保证性等级确定业务子系统安全保护等级，最后由信息系统内各业务子系统的最高等级确定信息系统的安全保护等级。

2.简述我国信息安全等级保护的含义。

答：信息安全等级保护是指：

（1）对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护；

（2）对信息系统中使用的信息安全产品实行按等级管理；

（3）对信息系统中发生的信息安全事件按照等级进行响应和处置等。

3.简述我国信息安全等级保护的级别划分。

答：（1）第一级为自主保护级。其主要对象为一般的信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益；本级系统依照国家管理规范和技术标准进行自主保护。

（2）第二级为指导保护级。其主要对象为一般的信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全；本级系统依照国家管理规范和技术标准进行自主保护，必要时，信息安全监管职能部门对其进行指导。

（3）第三级为监督保护级。其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成较大损害；本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。

（4）第四级为强制保护级。其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害；本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查。

（5）第五级为专控保护级。其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害；本级系统依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督、检查。

4.简述信息安全等级保护的实施过程。

答：对信息系统实施安全等级保护的过程划分为五个阶段，即系统安全定级阶段、安全规划设计阶段、安全实施阶段、安全运行维护阶段和系统终止阶段。具体如下图：