等保2.0考试题目

《安全等保2.0》培训考试一、填空题（4题，5分/空，共20分）1. 国家第一次提出了等保的概念是在哪一年：  1994年 2. 《网络安全法》正式实

《安全等保2.0》培训考试

一、填空题（4题，5分/空，共20分）

1. 国家第一次提出了等保的概念是在哪一年： 1994年

2. 《网络安全法》正式实施是在哪一年 2017年6月1日

3. 等保2.0是在何年何月正式实施 2019年12月1日。 2019年5月10日正式发布。

4、三级系统每 1 年进行一次等级保护测评。定级为三级及以上的系统，每年至少开展一次等保测评；四级信息系统要求每半年至少开展一次测评；三级信息系统要求每年至少开展一次测评；二级信息系统建议每两年开展一次测评。二级或三级的系统整体持续周期1-2个月，二级系统测评费5万，三级系统测评费9万。等级保护采用备案与测评机制而非认证机制，有备案证明或测评报告无合格证书。等级保护分5个级别：一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护)；分级保护分3个级别：秘密级、机密级、绝密级。“关保”关键信息基础设施保护，是在网络安全等级保护制度的基础上，实行重点保护。

二、选择题（2题，5分/题，共10分）

1. 等保2.0技术要求包含哪几项 ( ACDE ) 技术层面：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心；管理层面：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

A.安全物理环境 B.安全管理中心 C.安全通信网络 D.安全计算环境 E 安全区域边界 F 安全运维中心

2．等保中哪些工作移动公司可以参与（ABCD）等级保护工作包括定级、备案、测评、建设整改、监督审查。

A 定级备案咨询 B 整改方案设计 C 等保测评 D 监督检查

三、判断题（3题，10分/题，共30分，正确的填“T”，错误的填“F”）

1. 高风险即所谓的一票否决项，系统若存在高风险，则等级保护测评最后的结论直接为差。（ T ）目前等保测评出具的结果为分数段形式，分为优良中差，70分以下为差，70-8-、80-90、90-100分别对应中良优，存在高风险项一律为差。

2. 只要云平台通过相应的等级合格之后，租户不用做安全建设。（ F ）

3、不做等保，就等于违法。（ T ）

四、 简答题/案例分析题（4题，10分/题，共40分）

1. 列举5个以上的等保关键信息基础设施的行业和领域？

2、等级保护建设的标准流程是什么？

结合等保标准，企业可按定级、备案、安全建设（整改）、等级测评、监督检查的流程来办理等级保护：

第一，定级：确认定级对象，参考《定级指南》等初步确认等级，组织专家评审，主管单位审核，公安机关备案审查。

第二，备案：持定级报告和备案表等材料到公安机关网安部门进行备案。

第三，安全建设（整改）：以《基本要求》中对应等级的要求为标准，对定级对象当前不满足要求的进行建设整改。

第四，等级测评：委托具备测评资质的测评机构对定级对象进行等级测评，形成正式的测评报告。

第五，监督检查：向当地公安机关网安部门提交测评报告，配合完成对网络安全等级保护实施情况的检查。

具体办理步骤如下：
一、系统定级等保办理的第一步是确定企业信息系统的安全保护等级。根据等保2.0定级指南，云计算、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施以及数据资源等系统属于强制定级备案的范畴。其他团体，比如公益组织和中小私营企业，原则上也要进行定级备案。同时，根据相关规定，定级对象具有以下三大基本特征：①具有确定的主要安全责任主体；②承载相对独立的业务应用；③包含相互关联的多个资源。如果企业的系统有以上特征，那么就算系统再小，也需要进行定级备案。简而言之，互联网上的系统差不多都要进行定级备案。那么，等保定级究竟怎么定呢？根据等级保护相关管理文件，等级保护对象的安全保护等级一共分五个级别，从一到五级别逐渐升高。等级保护对象的级别由两个定级要素决定：①受侵害的客体；②对客体的侵害程度。对于关键信息基础设施，“定级原则上不低于三级”，且第三级及以上信息系统每年或每半年就要进行一次测评。定级流程：确定定级对象→初步确定等级→专家评审→主管部门审批→公安机构备案审查→最终确定的级别。
二、系统备案根据《网络安全法》规定，新建或者已有的二级及以上信息系统都需要做等保备案。企业最终确定保护对象的级别以后，就可以到公安机关进行备案。备案所需材料主要是《信息安全等级保护备案表》，不同级别的信息系统需要的备案材料有所差异。二级及其以上的信息系统运行使用单位或主管部门在备案时需要提交的资料有：① 信息系统安全定级报告纸质材料，一式两份；② 信息系统安全备案表纸质材料，一式两份；③上述备案的电子档，并制作出光盘提交。第三级以上信息系统同时提供以下材料：（一）系统拓扑结构及说明；（二）系统安全组织机构和管理制度；（三）系统安全保护设施设计实施方案或者改建实施方案；（四）系统使用的信息安全产品清单及其认证、销售许可证明；（五）测评后符合系统安全保护等级的技术检测评估报告；（六）信息系统安全保护等级专家评审意见；（七）主管部门审核批准信息系统安全保护等级的意见。公安机关一般会在10日给予反馈，如果定级准备，备案材料无遗漏，备案通过，公安机关会发放备案证明；如果备案不通过，企业就需要重新定级。
三、安全建设（整改）等级保护整改是等保建设的其中一个环节，指按照等级保护建设要求，对信息和信息系统进行的网络安全升级，包括技术层面整改和管理层面整改。整改的最终目的就是为了提高企业信息系统的安全防护能力，让企业可以成功通过等级测评。等级保护整改没有什么资质要求，只要公司可以按照等级保护要求来进行相关网络安全建设，由谁来实施，是没有要求的。但由于目前企业网络安全人才紧缺，企业很多时候都需要寻找专业的网络安全服务公司来进行整改，比如青莲网络。整改主要分为管理整改和技术整改。管理整改主要包括:明确主管领导和责任部门，落实安全岗位和人员，对安全管理现状进行分析，确定安全管理策略，制定安全管理制度等。其中，安全管理策略和制度又包括人员安全管理事件处置、应急响应、日常运行维护设备、介质管理安全监测等。技术整改主要是指企业部署和购买能够满足等保要求的产品，比如网页防篡改、流量监测、网络入侵监测产品等。
四、等级测评等级测评指经公安部认证的具有资质的测评机构，依据国家信息安全等级保护规范规定，受有关单位委托，按照有关管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活动。企业可以登录中国网络安全等级保护网查看最新的测评机构推荐名单。根据规定，对信息系统安全等级保护状况进行的测试应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。二级及以上的信息系统都要做等级测评，且等级测评得分要在70分以上，并且没有高风险项才算通过。等级测评结束后，测评机构会出具测评报告。企业需要把测评报告提交给公安机关，才算真正落实了等级保护工作。
五、监督检查企业要接受公安机关不定期的监督和检查，对公安机关提出的问题予以改进。最后，对于没做过等保或者安全人员不足的企业来说，等级保护办理还是比较困难的。

等保测评实施流程

1. 系统定级

信息系统运营使用单位按照《信息安全等级保护管理办法》和《网络安全等级保护定级指南》，初步确定定级对象的安全保护等级，起草《网络安全等级保护定级报告》；三级以上系统，定级结论需要进行专家评审。

2. 系统备案

信息系统安全保护等级为第二级以上时，备案时应当提交《网络安全等级保护备案表》和定级报告；第三级以上系统，还需提交专家评审意见、系统拓扑和说明、安全管理制度、安全建设方案等。

3. 系统初测

测评机构按照管理规范和技术标准，运用科学的手段和方法，对处理特定应用的信息系统，采用安全技术测评和安全管理测评方式，对保护状况进行初步检测评估，针对安全不符合项提出安全整改建议。

4. 等保整改

依据《网络安全等级保护基本要求》，利用自有或第三方的安全产品和专家服务，对信息系统进行安全建设和整改，同时制定相应的安全管理制度。

5. 复测

获得报告运营使用单位应当选择合适的测评机构，依据《网络安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。公安机关及其他监管部门会在整个过程中，履行相应的监管、审核和检查等职责。

3、等保2.0的安全防护框架是什么？

基于“动态安全”体系架构设计，构筑“网络+安全”稳固防线“等级保护2.0解决方案”，基于“动态安全”架构，将网络与安全进行融合，以合规为基础，面对用户合规和实际遇到的安全挑战，将场景化安全理念融入其中，为用户提供“一站式”的安全进化。

4、列举至少三个移动云做过的云安全行业案例？

其他

科学的手段和方法

采用6种方式，逐步深化的测试手段

· 调研访谈（业务、资产、安全技术和安全管理）；

· 查看资料（管理制度、安全策略）；

· 现场观察（物理环境、物理部署）；

· 查看配置（主机、网络、安全设备）；

· 技术测试（漏洞扫描）；

· 评价（安全测评、符合性评价）。

安全技术测评：物理安全、网络安全、主机安全、应用安全、数据安全。

安全管理测评：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。

信息系统全生命周期：分为“信息系统定级、总体安全规划、安全设计与实施、安全运行维护、信息系统终止”等五个阶段。

1信息系统定级

定级备案是信息安全等级保护的首要环节。信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。在等级保护工作中，信息系统运营使用单位和主管部门按照“谁主管谁负责，谁运营谁负责”的原则开展工作，并接受信息安全监管部门对开展等级保护工作的监管。

2总体安全规划

总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况，通过分析明确信息系统安全需求，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施计划，以指导后续的信息系统安全建设工程实施。对于已运营（运行）的信息系统，需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。

3安全设计与实施

安全设计与实施阶段的目标是按照信息系统安全总体方案的要求，结合信息系统安全建设项目计划，分期分步落实安全措施

4安全运行维护

安全运行与维护是等级保护实施过程中确保信息系统正常运行的必要环节，涉及的内容较多，包括安全运行与维护机构和安全运行与维护机制的建立，环境、资产、设备、介质的管理，网络、系统的管理，密码、密钥的管理，运行、变更的管理，安全状态监控和安全事件处置，安全审计和安全检查等内容。本标准并不对上述所有的管理过程进行描述，希望全面了解和控制安全运行与维护阶段各类过程的本标准使用者可以参见其它标准或指南

5信息系统终止

信息系统终止阶段是等级保护实施过程中的最后环节。当信息系统被转移、终止或废弃时，正确处理系统内的敏感信息对于确保机构信息资产的安全是至关重要的。在信息系统生命周期中，有些系统并不是真正意义上的废弃，而是改进技术或转变业务到新的信息系统，对于这些信息系统在终止处理过程中应确保信息转移、设备迁移和介质销毁等方面的安全

6实施的基本流程

在安全运行与维护阶段，信息系统因需求变化等原因导致局部调整，而系统的安全保护等级并未改变，应从安全运行与维护阶段进入安全设计与实施阶段，重新设计、调整和实施安全措施，确保满足等级保护的要求；但信息系统发生重大变更导致系统安全保护等级变化时，应从安全运行与维护阶段进入信息系统定级阶段，重新开始一轮信息安全等级保护的实施过程