《安全等保2.0》培訓考試一、填空題（4題，5分/空，共20分）1. 國家第一次提出了等保的概念是在哪一年：  1994年 2. 《網絡安全法》正式實

《安全等保2.0》培訓考試

一、填空題（4題，5分/空，共20分）

1. 國家第一次提出了等保的概念是在哪一年： 1994年

2. 《網絡安全法》正式實施是在哪一年 2017年6月1日

3. 等保2.0是在何年何月正式實施 2019年12月1日。 2019年5月10日正式發布。

4、三級系統每 1 年進行一次等級保護測評。定級為三級及以上的系統，每年至少開展一次等保測評；四級信息系統要求每半年至少開展一次測評；三級信息系統要求每年至少開展一次測評；二級信息系統建議每兩年開展一次測評。二級或三級的系統整體持續周期1-2個月，二級系統測評費5萬，三級系統測評費9萬。等級保護采用備案與測評機制而非認證機制，有備案證明或測評報告無合格證書。等級保護分5個級別：一級(自主保護)、二級(指導保護)、三級(監督保護)、四級(強制保護)、五級(專控保護)；分級保護分3個級別：秘密級、機密級、絕密級。“關保”關鍵信息基礎設施保護，是在網絡安全等級保護制度的基礎上，實行重點保護。

二、選擇題（2題，5分/題，共10分）

1. 等保2.0技術要求包含哪幾項 ( ACDE ) 技術層面：安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心；管理層面：安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。

A.安全物理環境 B.安全管理中心 C.安全通信網絡 D.安全計算環境 E 安全區域邊界 F 安全運維中心

2．等保中哪些工作移動公司可以參與（ABCD）等級保護工作包括定級、備案、測評、建設整改、監督審查。

A 定級備案咨詢 B 整改方案設計 C 等保測評 D 監督檢查

三、判斷題（3題，10分/題，共30分，正確的填“T”，錯誤的填“F”）

1. 高風險即所謂的一票否決項，系統若存在高風險，則等級保護測評最后的結論直接為差。（ T ）目前等保測評出具的結果為分數段形式，分為優良中差，70分以下為差，70-8-、80-90、90-100分別對應中良優，存在高風險項一律為差。

2. 只要云平臺通過相應的等級合格之后，租戶不用做安全建設。（ F ）

3、不做等保，就等于違法。（ T ）

四、 簡答題/案例分析題（4題，10分/題，共40分）

1. 列舉5個以上的等保關鍵信息基礎設施的行業和領域？

2、等級保護建設的標準流程是什么？

結合等保標準，企業可按定級、備案、安全建設（整改）、等級測評、監督檢查的流程來辦理等級保護：

第一，定級：確認定級對象，參考《定級指南》等初步確認等級，組織專家評審，主管單位審核，公安機關備案審查。

第二，備案：持定級報告和備案表等材料到公安機關網安部門進行備案。

第三，安全建設（整改）：以《基本要求》中對應等級的要求為標準，對定級對象當前不滿足要求的進行建設整改。

第四，等級測評：委托具備測評資質的測評機構對定級對象進行等級測評，形成正式的測評報告。

第五，監督檢查：向當地公安機關網安部門提交測評報告，配合完成對網絡安全等級保護實施情況的檢查。

具體辦理步驟如下：
一、系統定級等保辦理的第一步是確定企業信息系統的安全保護等級。根據等保2.0定級指南，云計算、物聯網、工業控制系統、采用移動互聯技術的系統、通信網絡設施以及數據資源等系統屬于強制定級備案的范疇。其他團體，比如公益組織和中小私營企業，原則上也要進行定級備案。同時，根據相關規定，定級對象具有以下三大基本特征：①具有確定的主要安全責任主體；②承載相對獨立的業務應用；③包含相互關聯的多個資源。如果企業的系統有以上特征，那么就算系統再小，也需要進行定級備案。簡而言之，互聯網上的系統差不多都要進行定級備案。那么，等保定級究竟怎么定呢？根據等級保護相關管理文件，等級保護對象的安全保護等級一共分五個級別，從一到五級別逐漸升高。等級保護對象的級別由兩個定級要素決定：①受侵害的客體；②對客體的侵害程度。對于關鍵信息基礎設施，“定級原則上不低于三級”，且第三級及以上信息系統每年或每半年就要進行一次測評。定級流程：確定定級對象→初步確定等級→專家評審→主管部門審批→公安機構備案審查→最終確定的級別。
二、系統備案根據《網絡安全法》規定，新建或者已有的二級及以上信息系統都需要做等保備案。企業最終確定保護對象的級別以后，就可以到公安機關進行備案。備案所需材料主要是《信息安全等級保護備案表》，不同級別的信息系統需要的備案材料有所差異。二級及其以上的信息系統運行使用單位或主管部門在備案時需要提交的資料有：① 信息系統安全定級報告紙質材料，一式兩份；② 信息系統安全備案表紙質材料，一式兩份；③上述備案的電子檔，并制作出光盤提交。第三級以上信息系統同時提供以下材料：（一）系統拓撲結構及說明；（二）系統安全組織機構和管理制度；（三）系統安全保護設施設計實施方案或者改建實施方案；（四）系統使用的信息安全產品清單及其認證、銷售許可證明；（五）測評后符合系統安全保護等級的技術檢測評估報告；（六）信息系統安全保護等級專家評審意見；（七）主管部門審核批準信息系統安全保護等級的意見。公安機關一般會在10日給予反饋，如果定級準備，備案材料無遺漏，備案通過，公安機關會發放備案證明；如果備案不通過，企業就需要重新定級。
三、安全建設（整改）等級保護整改是等保建設的其中一個環節，指按照等級保護建設要求，對信息和信息系統進行的網絡安全升級，包括技術層面整改和管理層面整改。整改的最終目的就是為了提高企業信息系統的安全防護能力，讓企業可以成功通過等級測評。等級保護整改沒有什么資質要求，只要公司可以按照等級保護要求來進行相關網絡安全建設，由誰來實施，是沒有要求的。但由于目前企業網絡安全人才緊缺，企業很多時候都需要尋找專業的網絡安全服務公司來進行整改，比如青蓮網絡。整改主要分為管理整改和技術整改。管理整改主要包括:明確主管領導和責任部門，落實安全崗位和人員，對安全管理現狀進行分析，確定安全管理策略，制定安全管理制度等。其中，安全管理策略和制度又包括人員安全管理事件處置、應急響應、日常運行維護設備、介質管理安全監測等。技術整改主要是指企業部署和購買能夠滿足等保要求的產品，比如網頁防篡改、流量監測、網絡入侵監測產品等。
四、等級測評等級測評指經公安部認證的具有資質的測評機構，依據國家信息安全等級保護規范規定，受有關單位委托，按照有關管理規范和技術標準，對信息系統安全等級保護狀況進行檢測評估的活動。企業可以登錄中國網絡安全等級保護網查看最新的測評機構推薦名單。根據規定，對信息系統安全等級保護狀況進行的測試應包括兩個方面的內容：一是安全控制測評，主要測評信息安全等級保護要求的基本安全控制在信息系統中的實施配置情況；二是系統整體測評，主要測評分析信息系統的整體安全性。其中，安全控制測評是信息系統整體安全測評的基礎。二級及以上的信息系統都要做等級測評，且等級測評得分要在70分以上，并且沒有高風險項才算通過。等級測評結束后，測評機構會出具測評報告。企業需要把測評報告提交給公安機關，才算真正落實了等級保護工作。
五、監督檢查企業要接受公安機關不定期的監督和檢查，對公安機關提出的問題予以改進。最后，對于沒做過等保或者安全人員不足的企業來說，等級保護辦理還是比較困難的。

等保測評實施流程

1. 系統定級

信息系統運營使用單位按照《信息安全等級保護管理辦法》和《網絡安全等級保護定級指南》，初步確定定級對象的安全保護等級，起草《網絡安全等級保護定級報告》；三級以上系統，定級結論需要進行專家評審。

2. 系統備案

信息系統安全保護等級為第二級以上時，備案時應當提交《網絡安全等級保護備案表》和定級報告；第三級以上系統，還需提交專家評審意見、系統拓撲和說明、安全管理制度、安全建設方案等。

3. 系統初測

測評機構按照管理規范和技術標準，運用科學的手段和方法，對處理特定應用的信息系統，采用安全技術測評和安全管理測評方式，對保護狀況進行初步檢測評估，針對安全不符合項提出安全整改建議。

4. 等保整改

依據《網絡安全等級保護基本要求》，利用自有或第三方的安全產品和專家服務，對信息系統進行安全建設和整改，同時制定相應的安全管理制度。

5. 復測

獲得報告運營使用單位應當選擇合適的測評機構，依據《網絡安全等級保護測評要求》等技術標準，定期對信息系統安全等級狀況開展等級測評。公安機關及其他監管部門會在整個過程中，履行相應的監管、審核和檢查等職責。

3、等保2.0的安全防護框架是什么？

基于“動態安全”體系架構設計，構筑“網絡+安全”穩固防線“等級保護2.0解決方案”，基于“動態安全”架構，將網絡與安全進行融合，以合規為基礎，面對用戶合規和實際遇到的安全挑戰，將場景化安全理念融入其中，為用戶提供“一站式”的安全進化。

4、列舉至少三個移動云做過的云安全行業案例？

其他

科學的手段和方法

采用6種方式，逐步深化的測試手段

· 調研訪談（業務、資產、安全技術和安全管理）；

· 查看資料（管理制度、安全策略）；

· 現場觀察（物理環境、物理部署）；

· 查看配置（主機、網絡、安全設備）；

· 技術測試（漏洞掃描）；

· 評價（安全測評、符合性評價）。

安全技術測評：物理安全、網絡安全、主機安全、應用安全、數據安全。

安全管理測評：安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理。

信息系統全生命周期：分為“信息系統定級、總體安全規劃、安全設計與實施、安全運行維護、信息系統終止”等五個階段。

1信息系統定級

定級備案是信息安全等級保護的首要環節。信息系統定級工作應按照“自主定級、專家評審、主管部門審批、公安機關審核”的原則進行。在等級保護工作中，信息系統運營使用單位和主管部門按照“誰主管誰負責，誰運營誰負責”的原則開展工作，并接受信息安全監管部門對開展等級保護工作的監管。

2總體安全規劃

總體安全規劃階段的目標是根據信息系統的劃分情況、信息系統的定級情況、信息系統承載業務情況，通過分析明確信息系統安全需求，設計合理的、滿足等級保護要求的總體安全方案，并制定出安全實施計劃，以指導后續的信息系統安全建設工程實施。對于已運營（運行）的信息系統，需求分析應當首先分析判斷信息系統的安全保護現狀與等級保護要求之間的差距。

3安全設計與實施

安全設計與實施階段的目標是按照信息系統安全總體方案的要求，結合信息系統安全建設項目計劃，分期分步落實安全措施

4安全運行維護

安全運行與維護是等級保護實施過程中確保信息系統正常運行的必要環節，涉及的內容較多，包括安全運行與維護機構和安全運行與維護機制的建立，環境、資產、設備、介質的管理，網絡、系統的管理，密碼、密鑰的管理，運行、變更的管理，安全狀態監控和安全事件處置，安全審計和安全檢查等內容。本標準并不對上述所有的管理過程進行描述，希望全面了解和控制安全運行與維護階段各類過程的本標準使用者可以參見其它標準或指南

5信息系統終止

信息系統終止階段是等級保護實施過程中的最后環節。當信息系統被轉移、終止或廢棄時，正確處理系統內的敏感信息對于確保機構信息資產的安全是至關重要的。在信息系統生命周期中，有些系統并不是真正意義上的廢棄，而是改進技術或轉變業務到新的信息系統，對于這些信息系統在終止處理過程中應確保信息轉移、設備遷移和介質銷毀等方面的安全

6實施的基本流程

在安全運行與維護階段，信息系統因需求變化等原因導致局部調整，而系統的安全保護等級并未改變，應從安全運行與維護階段進入安全設計與實施階段，重新設計、調整和實施安全措施，確保滿足等級保護的要求；但信息系統發生重大變更導致系統安全保護等級變化時，應從安全運行與維護階段進入信息系統定級階段，重新開始一輪信息安全等級保護的實施過程