信息安全测评师试题
考试形式:闭卷考试时间:120分钟
一、单选题(每题1.5分,共30分)
1.以下关于等级保护的地位和作用的说法中不正确的是()A.是国家信息安全保障工作的基本制度、基本国策。B.是开展信息安全工作的基本方法。C.是提高国家综合竞争力的主要手段。
D.是促进信息化、维护国家信息安全的根本保障。
2.以下关于信息系统安全建设整改工作工作方法说法中不正确的是:()A.突出重要系统,涉及所有等级,试点示范,行业推广,国家强制执行。B.利用信息安全等级保护综合工作平台使等级保护工作常态化。C.管理制度建设和技术措施建设同步或分步实施。
D.加固改造缺什么补什么也可以进行总体安全建设整改规划。3.以下关于定级工作说法不正确的是:()
A.确定定级对象过程中,定级对象是指以下内容:起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。
B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。
C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。D.新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。4.安全建设整改的目的是()
(1)探索信息安全工作的整体思路;(2)确定信息系统保护的基线要求;(3)了解信息系统的问题和差距;(4)明确信息系统安全建设的目标;(5)提升信息系统的安全保护能力; A.(1)、(2)、(3)、(5)B.(3)、(4)、(5)C.(2)、(3)、(4)、(5)D.全部
5.下列说法中不正确的是()
A.定级/备案是信息安全等级保护的首要环节。
B.等级测评是评价安全保护现状的关键。C.建设整改是等级保护工作落实的关键。
D.监督检查是使信息系统保护能力不断提高的保障。6.配置如下两条访问控制列表:
access-list 1 permit 10.110.10.1 0.0.255.255 access-list 2 permit 10.110.100.100 0.0.255.255 访问控制列表1和2,所控制的地址范围关系是:()A.1和2的范围相同 B.1的范围在2的范围内 C.2的范围在1的范围内 D.1和2的范围没有包含关系
7.Oracle数据库中,以下()命令可以删除整个表中的数据,并且无法回滚。A.Drop B.Delete C.Truncate D.Cascade 8.下面哪个不是生成树的优点()
A.生成树可以管理冗余链路,在链路发生故障时可以恢复网络连接 B.生成树可以防止环路的产生 C.生成树可以防止广播风暴 D.生成树能够节省网络带宽 9.关于以下配置 Router ospf 100 Ip router authentication Ip ospf message-digest-key 1 md5 XXXXXX(认证码)以下说法不正确的是()
A.OSPF认证分为明文认证和密文认证两种方式。
B.OSPF协议是一种典型的链路状态路由协议,它通过路由器之间通过网络接口的状态来建立链路状态数据库,生成最短路径树。
C.OSPF的认证可以在链路上进行,也可以在整个区域内进行认证。但是在虚链路上不可以
进行认证。
D.该配置可以应用在业务终端与业务服务器之间进行路由控制来建立安全的访问路径。10.防火墙的位置一般为()。A.内外网连接的关口位置 B.内网敏感部门的出口位置 C.非军事区(DMZ)的两侧 D.以上都对
11.关于防火墙的功能,以下()描述是错误的 A.防火墙可以检查进出内部网的通信量
B.防火墙可以使用应用网关技术在应用层上建立协议过滤和转发功能 C.防火墙可以使用过滤技术在网络层对数据包进行选择 D.防火墙可以阻止来自内部的威胁和攻击 12.拒绝服务攻击的后果是()。A.信息不可用 B.应用程序不可用 C.系统宕机、阻止通信 D.上面几项都是
13.()即非法用户利用合法用户的身份,访问系统资源。A、身份假冒 B、信息窃取 C、数据篡改 D、越权访问 14.linux主机中关于以下说法不正确的是()A.PASS_MAX_DAYS 90 是指登陆密码有效期为90天。B.PASS_WARN_AGE 7 是指登陆密码过期7天前提示修改。C.FALL_DELAY 10 是指错误登陆限制为10次。
D.SYSLOG_SG_ENAB yes 当限定超级用于组管理日志时使用。15.linux中关于登陆程序的配置文件默认的为()A./etc/pam.d/system-auth B./etc/login.defs C./etc/shadow D./etc/passwd 16.linux中要想查看对一个文件的是否具有-rwxr—r—权限,使用的命令为()
A.#ls –l /etc/passwd 744 B.#ls –l /etc/shadow 740 C.#ls –l /etc/rc3.d 665 D.#ls –l /etc/inet.conf 700 17.若要系统中每次缺省添加用户时,都自动设置用户的宿主目录为/users,需修改哪一个_配置文件?()A./etc/default/useradd B./etc/login.defs C./etc/shadow D./etc/passwd 18.一位系统管理员想通过Telnet对一台运行Windows Server 2003的服务器进行远程的管理和维护,为了达到这个目的他想启动Telnet服务,但当他打开服务控制台中的Telnet服务属性时发现启动按钮不可用,如下图:
产生这种情况的原因是()。A.当前Telnet服务的启动类型为禁用
B.C:WINDOWSsystem32tlnetsvr.exe文件丢失
C.本地组策略限制不允许启动Telnet服务 D.Telnet服务组件没有安装
19.小李是公司的网络管理员,公司的计算机处于单域中,他使用的操作系统为Windows Server 2003,由于计算机中有非常重要的资料,因此他想设置一个安全的密码。下面()是比较安全的密码 A.xiaoli123 B.*** C.bcdefGhijklm D.cb^9L2i 20.下列有关SQL Server 2000 中,master 数据库的说法不正确的是()A 用户数据库可以重命名,master数据库不能重命名 B master 数据库 记录SQL server 的 所有系统信息 C master 数据库 在安装SQL server 的过程中自动安装 D 不可以重建master 数据库。
二、不定项选择题(每题2分,多选不得分,少选得一分,共20分)1.当前我国的信息安全形势为()A.遭受敌对势力的入侵、攻击、破坏。
B.针对基础信息网络和重要信息系统的违法犯罪持续上升。C.全社会的信息安全等级保护意识仍需加强。
D.总体情况尚可,少量的基础信息网络和重要信息系统安全隐患严重。2.以下对信息系统安全建设整改工作的复杂性和艰巨性说法正确的是()A.政策性和技术性很强。B.涉及范围广。
C.信息系统安全加固改造,需要国家在经费上予以支持
D.跨省全国联网的大系统结构复杂运行实时保障性高、数据重要,加固改造周期长。3.对测评机构不能从事的活动下列说法正确的是()
(1)影响被测评信息系统正常运行,危害被测评信息系统安全;(2)泄露知悉的被测评单位及被测评信息系统的国家秘密和工作秘密;(3)与客户进行沟通后隐瞒测评过程中发现的安全问题,维护客户关系;(4)按规定格式出具等级测评报告;
(5)非授权占有、使用等级测评相关资料及数据文件(6)分包或转包等级测评项目;
(7)信息安全产品开发、销售和信息系统安全集成;
(8)限定被测评单位购买、使用指定的信息安全产品,以达到最佳安全水平。A.(1)、(2)、(4)、(5)、(8)。B.(1)、(2)、(3)、(5)、(7)。C.(1)、(2)、(3)、(4)、(8)。D.(1)、(2)、(5)、(6)、(7)。4.访问控制列表可实现下列哪些要求()
A.允许202.38.0.0/16网段的主机可以使用协议HTTP访问129.10.10.1 B.不让任何机器使用Telnet登录 C.使某个用户能从外部远程登录
D.让某公司的每台机器都可经由SMTP发送邮件 E.允许在晚上8:00到晚上12:00访问网络 F.有选择地只发送某些邮件而不发送另一些文件
5.办公网络中计算机的逻辑组织形式可以有两种,工作组和域。下列关于工作组的叙述中正确的是()。
A.工作组中的每台计算机都在本地存储账户 B.本计算机的账户可以登录到其它计算机上 C.工作组中的计算机的数量最好不要超过10台 D.工作组中的操作系统必须一样
6.如果只对主机地址为172.16.30.55进行访问列表的设置,下面各项正确的有(A.172.16.30.55 0.0.0.255
B.172.16.30.55 0.0.0.0 C.any 172.16.30.55
D.host 172.16.30.55 7.Oracle中的三种系统文件分别是()A.数据文件 DBF B.控制文件 CTL C.日志文件 LOG)
D.归档文件 ARC 8.关于表分区的说法正确的有()A.表分区存储在表空间中
B.表分区可用于任意的数据类型的表 C.表分区不能用于含有自定义类型的表 D.表分区的每个分区都必须具有明确的上界值 9.语句SELECT‘ACCP’FROM DUAL 的执行结果是()A.ACCP B.X C.编译错 D.提示未选中行
10.HASH加密使用复杂的数字算法来实现有效的加密,其算法包括()A.MD2;B.MD4;C.MD5;D.Cost256
三、判断题(每题一分、共10分)
1.所有等级的信息系统,一般都由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续,填写《信息系统安全等级保护备案表》()。
2.信息安全是非传统安全,信息安全本质是信息对抗、技术对抗、国家综合实力的对抗。()3.在网络设备测评中网络设备应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。()
4.在信息安全等级保护的ASG组合中没有S1A4G4这个组合。()
5.在信息安全等级测评中,《基本要求》是信息系统安全保护的基本“标尺”或达标线,满足《基本要求》意味着信息系统具有相应等级的保护能力,达到了很好的安全状态。()6.经过安全建设整改工作后,三级信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力。()
7.在信息安全等级保护中,第三级信息系统和第四级信息系统都具有强制性。()8.考虑到操作方便性和人员复用性,用户角色和权限不一定到最小权限。()
9.在等级测评过程中,应对信息系统的影虎采取两种或两种以上的组合技术对用户身份进行鉴别。()
10.地方测评机构只能上在本地开展测评,不能够去外地测评()。
四、简答题(共3题,共40分)
1.信息安全等级保护的五个标准步骤是什么?信息安全等级保护的定义是什么? 信息安全等级保护五个等级是怎样定义的?(10分)
2.主机按照其规模或系统功能来区分为哪些类?主机安全在测评时会遇到哪些类型操作系统?网络安全三级信息系统的安全子类是什么?三级网络安全的安全审计的内容是什么?。(15分)
3.数据库常见威胁有哪些?针对于工具测试需要注意哪些内容?(15分)9
关键词:信息安全等级保护,测评实施
1 引言
医院信息化建设快速发展, 信息系统应用深入到各个环节, 信息业务系统承载了门诊收费、门诊药房、住院收费、住院药房、医保、财务、门急诊医生护士站、住院医生护士站、电子病历、病案首页、检验LIS系统、检查PACS系统、体检系统等。保障重点信息系统的安全, 规范信息安全等级保护, 完善信息保护机制, 提高信息系统的防护能力和应急水平, 有效遏制重大网络与信息安全事件的发生, 创造良好的信息系统安全运营环境势在必要。根据卫生部印发的《卫生行业信息安全等级保护工作的指导意见》, 卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作, 对于促进卫生信息化健康发展, 保障医药卫生体制改革, 维护公共利益、社会秩序和国家安全具有重要意义。
2 确定测评对象与等级
我院是一所二级甲等综合医院, 日门诊人次1000人左右, 住院日人次400余人。医院信息系统HIS、LIS、PACS、电子病历、体检等50余个系统无缝结合, 信息双向交流。按照《信息系统安全等级保护定级指南》定级原理, 确定医院信息业务系统的安全保护等级为第2级, 其中业务信息安全保护等级为2级, 系统服务安全保护等级为2级。
2.1 招标比选测评公司
医院通过四川警察网了解到四川省获得信息安全等级保护测评有资质的5家公司。医院电话通知该5家公司, 简单介绍医院信息化情况, 其中有3家公司到现场进行调查, 掌握了信息系统情况。然后通过招标比选确定一家公司为我院测评安全等级保护。
2.2 测评实施
2.2.1 准备阶段
医院填报《安全等级保护备案申报表》、《安全等级保护定级报告》, 确定安全主管人员、系统管理员、数据库管理员、审计管理员、安全管理员。医院组织相关人员到市级计算机安全学会进行安全培训学习。确定医院信息安全主管人员协助测评公司人员就医院信息业务系统做调研, 提交准备资料。调研内容涉及网络拓扑结构图、线路链接情况、中心机房位置分布情况、应用系统组成情况、服务器操作系统、数据库系统以及相应的IP地址、网络互连设备的配置、网络安全设备的配置、安全文档等。
2.2.2 测评主要内容
主要针对医院信息系统技术安全和安全管理两方面实施测评, 其中技术安全包括物理安全、网络安全、主机安全、应用系统安全、数据安全及备份恢复进行5;安全管理包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
2.2.3 测评方式与测评范围
测评公司综合采用了现场测评与风险分析方法测评、单元测评与整体测评。单元测评实施过程中采用现场访谈、检查和测试等测评方法。就各类岗位人员进行访谈, 了解医院业务运作以及网络运行状况;查看主机房、应用系统软件、主机操作系统及安全相关软件、数据库管理系统、安全设备管理系统、安全文档、网络分布链接情况。检查物理安全、主机安全、网络安全、应用安全和数据安全及备份恢复等技术类测评任务, 以及安全管理类测评任务;查阅分析文档、核查安全配置、监听与分析网络等检查方法查证防火墙、路由器、交换机部署及其配置情况、端口开放情况等;测评人员采用手工验证和工具测试进行漏洞扫描、系统渗透测试, 检查系统的安全有效性。
整体测评主要应用于安全控制间、层面间和区域间等三个方面。主要就是针对同一区域内、同一层面上或不同层面上的不同安全控制间存在的安全问题以及不同区域间的互连互通时的安全性。
医院信息系统运用了身份鉴别措施、软件容错机制、用户权限分组管理、密码账户登录、数据库表中记录用户操作、对重要事件进行审计并留存记录。网络边界处部署防火墙防御入侵, 终端使用了趋势网络版本防病毒产品, 抵御恶意代码。开启系统审计日志, 制定和实施有效安全管理制度, 加强安全管理, 降低系统安全风险。网络进行了有效的区域划分, 区域之间通过访问控制列表实现安全控制, 与社保局、医管办等第三方外联区之间通过防火墙严格限制访问端口。
2.2.4 差距分析与测评整改
通过测评, 测评公司写出测评报告, 提出整改建议。按照《信息系统安全等级保护基本要求》要求6, 测评公司人员根据医院当前安全管理需要和管理特点, 针对等级保护所要求的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理, 从人员、制度、运作、规范等角度, 进行全面的建设7, 提供技术建设措施, 落实等级保护制度的各项要求, 就各类人员进行安全培训, 提升医院信息系统管理的能力。医院分期逐步投入防网络入侵系统、数据库审计系统等。
2.2.5 编制报告, 成功备案
测评公司编制报告, 上报市公安局备案成功, 获得二级信息系统备案证书。二级信息系统, 每两年进行一次信息安全等级测评。实施安全等级保护测评备案使医院信息系统安全管理水平提高, 安全保护能力增强, 有效保障信息化健康发展。
3 结语
网络安全问题是一个集技术、管理和法规于一体的长期系统工程, 始终有其动态性, 医院需要不断进行完善, 加强管理, 持续增加安全设备以保障医院数据安全有效, 保障信息系统安全稳定运行。医院信息安全建设要切合自身条件特点, 分期分批循序建设, 保证医院各系统长期稳定安全运行, 以适应医院不断扩展的业务应用和管理需求8。
参考文献
[1]卫办发.[2011]85号, 卫生部关于印发“卫生行业信息安全等级保护工作的指导意见”的通知, 2011.
[2]尚邦治.做好信息安全等级保护工作[J].中国卫生信息管理杂志, 2005.
[3]王建英, 陈文霞, 胡雯, 张鹏.医院信息安全分析及措施[J].中国病案, 2013.
[4]王俊.医院信息安全等级保护管理体系的构建[J].医学信息, 2013.
学习是劳动,是充满思想的劳动。游手好闲的学习并不比学习游手好闲好。今天考试网小编为大家带来的是2017二级建造师《水利水电》试题精华,欢迎各位考生借鉴参考。
一、单项选择题
第 1 题
根据《水利水电工程等级划分及洪水标准》(SL252—)的规定,某泵站工程等别为Ⅱ等,其次要建筑物级别应为( )级。
A. 2 B. 3
C. 4 D.5
正确答案:B,
第 2 题
某水闸底板混凝土所用砂的细度模数(Mx)为2.6,该砂属于( )砂。
A.粗 B.中
C.细 D.特细
正确答案:B,
第 3 题
干硬性混凝土拌合物的和易性指标是 ( )
A.维勃稠度 B.分层度
C.坍落度 D.黏聚度
正确答案:A,
第 4 题 >
某水电工程坐落在河谷狭窄、两岸地形陡峻、山岩坚实的山区河段,设计采用全段围堰法导 流,此工程宜采用( )导流。
A.束窄河床 B.明渠
C.涵管 D.隧洞
正确答案:D,
第 5 题
钻孔爆破时,衡量浅孔和深孔的临界孔深是( )m。
A. 3 B. 4
C. 5 D. 6
正确答案:C,
第 6 题
测定混凝土面板堆石坝的堆石干密度一般采用( )法。
A.环刀 B.烘干
C.灌砂 D.灌水
正确答案:D,
第 7 题 (单项选择题)(每题 1.00 分) 题目分类:未按章节分类的试题(如真题 模拟预测题) > 单项选择题 >
根据水利水电工程施工安全用电要求,在特别潮湿场所的照明电源的最大电压为( )V。
A.12 B. 24
C.36 D. 38
正确答案:A,
第 8 题
根据《水利工程建设项目管理规定》(水建[1995]128号),水利水电工程完成建设目标的标志是 ( )
A.合同工程完工验收 B.专项验收
C.后评价 D.竣工验收
正确答案:D,
第 9 题 根据《水库大坝安全鉴定办法》(水建管[]271号),大坝首次安全鉴定应在竣工验收后 ( )年内进行。
A. 1 B.3
C. 5 D. 7
正确答案:C,
第 10 题
某中型泵站工程基础施工期间采用深井降水,此深井降水用电负荷应为( )类。
A.一 B. 二
C.三 D.四
正确答案:A,
二、多项选择题
第 1 题 根据《水土保持法》,建设项目中的水土保持设施应与主体工程同时
A.批准 B.设计
C.施工 D.投产使用
E.验收
正确答案:B,C,D,
第 2 题 土坝坝身控制测量包括 ()
A.坝轴线测设 B.平面控制测量
C.坡脚线放样 D.高程控制测量
E.清基开挖线放样
正确答案:B,D,
第 3 题
反映钢筋塑性性能的基本指标有 ()
A.屈服强度 B.伸长率
C.极限强度 D.冷弯性能
E.冷拉性能
正确答案:B,D,
第 4 题 抛投块料截流按不同的抛投合龙方法分为 ()
A.塞堵 B.平堵
C.盖堵 D.立堵
E.混合堵
正确答案:B,D,E,
第5 题 在水库加固工程蓄水安全鉴定工作中,必须进行鉴定的工程项目包括()
A.大坝 B.溢洪道
C.电站引水洞进口工程 D.电站厂房
E.下游消能防冲工程
正确答案:A,B,C,E,
第 6 题 (多项选择题)(每题 2.00 分) 题目分类:未按章节分类的试题(如真题 模拟预测题) > 多项选择题 >
水利工程建设项目的.施工招标应当具备的条件包括()
A.初步设计已经批准 B.招标设计已经完成
C.监理单位已确定 D.已办理报建手续
E.施工现场“四通一平”已完成
正确答案:A,B,C,
第 7 题 (多项选择题)(每题 2.00 分) 题目分类:未按章节分类的试题(如真题 模拟预测题) > 多项选择题 >
在工程建设实施阶段,质量监督机构监督的对象包括( )等单位。
A.建设 B.设计
C.施工 D.监理
E.运行管理
正确答案:A,B,C,D,
第 8 题 (多项选择题)(每题 2.00 分) 题目分类:未按章节分类的试题(如真题 模拟预测题) > 多项选择题 >
水利水电工程施工单位管理人员中,属于安全生产考核对象的有 ( 〕
A.施工单位主要负责人 B.项目负责人
C.专职安全生产管理人员 D.项目总工程师
E.特殊工程施工人员
正确答案:A,B,C,
第 9 题 (多项选择题)(每题 2.00 分) 题目分类:未按章节分类的试题(如真题 模拟预测题) > 多项选择题 >
根据《小型水电站建设工程验收规程》(SL168 — 96),小型水电站工程验收工作分为( ) 验收。
A.分部工程 B.单位工程
C.阶段 D.机组启动
E.竣工
正确答案:C,D,E,
第 10 题 (多项选择题)(每题 2.00 分) 题目分类:未按章节分类的试题(如真题 模拟预测题) > 多项选择题 >
下列属于泵站出水建筑物的有 ( )
A.沉砂建筑物 B.前池
C.冲砂建筑物 D.出水池
E.压力水箱
来源:明朝万达 作者: 发布时间:2008-12-0
210月31日,中国信息安全测评中心揭牌仪式在北京中关村软件园隆重举行,正式拉开了中国信息安全测评中心启用新名称、履行新职能的重要一幕。
来自国家质检总局、工业和信息化部、国家发改委等近三十个中央国家机关相关部门的领导,和来自信息安全界的知名院士专家,以及信息安全产业界的代表百余人亲临现场表示祝贺。
信息安全测评认证是信息安全保障的基础性工作,特别是在当前我国信息技术与产业的核心竞争力还不强,关键技术、关键设备还受制于人的情况下,严格把住信息技术产品的市场准入关尤为重要。党中央、国务院对信息安全测评认证工作高度重视,早在1997年第一届国务院信息化工作领导小组就授权国家质检总局启动了信息安全产品测评认证体系建设工作。经过几年的筹建和试运行,2001年中央批准在国家质检总局设立了“中国信息安全产品测评认证中心”,负责我国的信息安全测评与认证工作。经过十年的发展,基本建立了对信息安全产品、信息系统安全性、信息安全服务资质和信息安全专业人员资质进行测评认证的能力;形成了较为完备的组织工作体系;对一千多个产品、系统和服务厂商实施了测评认证,对数千名信息安全专业人员进行了认证和国家注册;主持制定了二十多项体现我国特色的测评技术国家标准;为十多个中央和国家部委提供了安全技术测评服务,在保障国家信息安全方面发挥了重要作用。
2004年10月,中国信息安全产品测评认证中心根据国家质检总局等八部委联合下发的《关于建立国家信息安全认证认可体系的通知》中实行测评和认证职能分离的要求,将信息安全产品的认证工作移交给新成立的“中国信息安全认证中心”,并更名为“中国信息安全测评中心”,继续承担信息安全产品的测评工作,为认证工作提供科学、权威、客观、公正的技术依据;与此同时,增加对我国基础信息网络和重要信息系统进行风险评估的新职能。
根据中央领导“加快安全测评中心的建设”的重要指示精神,中国信息安全测评中心在国家质检总局、工业和信息化部、中编办、国家发改委、财政部、科技部等有关部门的大力支持下,先后落实了人员编制、办公条件、科研装备和运行经费,作为国家风险评估专控队伍,近年来承担了对我国基础信息网络和重要信息系统以及奥运
网络信息系统的风险评估与安全检查工作任务,发现了大量安全漏洞和网络失泄密隐患,提出了有效整改建议,及时堵塞了漏洞、消除了隐患,为确保北京奥运会的成功举办和维护国家信息安全发挥了重要作用。
信息安全等级测评机构能力
要求
(试行)
Competence for operation of bodies performing testing and evaluation of classified protection of information system security
200×-××-×× 发布 200×-××-×× 实施
公安部信息安全等级保护评估中心
信息安全等级测评机构能力要求
目录 2 3 4 5 6 7 8 9 范围......................................................................3 名词解释..................................................................3 基本条件..................................................................3 组织管理能力..............................................................4 测评实施能力..............................................................5 设施和设备安全与保障能力...................................................7 质量管理能力..............................................................8 规范性保证能力............................................................8 风险控制能力.............................................................10 可持续性发展能力.........................................................10 11 测评机构能力约束性要求...................................................11 信息安全等级测评机构能力要求
前言
公安部颁布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号),决定加快等级保护测评体系建设工作。信息安全等级测评机构的建设是测评体系建设的重要内容,为确保有效指导测评机构的能力建设,规范其测评活动,满足信息安全等级保护工作要求,特制定本规范。
《信息安全等级测评机构能力要求》(以下简称《能力要求》)是等级保护测评体系建设指导性文件之一。本规范吸取国际、国内测评与检查机构能力评定的相关内容,结合信息安全等级测评工作的特点,对测评机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力等提出基本能力要求,为规范等级测评机构的建设和管理,及其能力评估工作的开展提供依据。
信息安全等级测评机构能力要求
信息安全等级测评机构能力要求 范围
本规范规定了测评机构的能力要求。
本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。名词解释
2.1 等级测评
等级测评是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。2.2 等级测评机构
等级测评机构,是指具备测评机构基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室推荐,从事等级测评工作的机构。基本条件
依据《信息安全等级保护测评工作管理规范》(试行),信息安全等级测评机构(以下简称测评机构)应当具备以下基本条件:
a)在中华人民共和国境内注册成立(港澳台地区除外);
b)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外); c)产权关系明晰,注册资金100万元以上;
d)从事信息系统检测评估相关工作两年以上,无违法记录;
e)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
f)具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人; g)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求;
h)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度; i)对国家安全、社会秩序、公共利益不构成威胁;j)应当具备的其他条件。信息安全等级测评机构能力要求 组织管理能力
4.1 测评机构管理者应掌握等级保护政策文件,熟悉相关的标准规范。
4.2 测评机构应按一定方式组织并设立相关部门,明确其职责、权限和相互关系,保证各项工作的有序开展。
4.3 测评机构应具有胜任等级测评工作的专业技术人员和管理人员,大学本科(含)以上学历所占比例不低于60%。其中测评技术人员不少于10人。
4.4 测评机构应设置满足等级测评工作需要的岗位,如测评技术员、测评项目组长、技术主管、质量主管、保密安全员和档案管理员等(不论称谓如何),并配备足够的、相对稳定并具备相应能力的工作人员。
4.5 测评机构应制定完善的规章制度,包括但不限于以下内容: a)保密管理制度
制度中应明确保密对象的范围、人员保密职责、各项保密措施与要求,以及违反保密制度的罚则等内容。b)项目管理制度
测评机构应依据《信息系统安全等级保护定级指南》等技术标准制定符合自身特点的测评项目管理程序,主要应包括测评工作的组织形式、工作职责,测评各阶段的工作内容和管理要求等。
c)质量管理制度(包含设备管理和文件档案管理等)
应以保证质量为前提对测评机构的设备、文件档案等提出各项要求。设备管理制度应包括对于仪器设备的购置、使用和维护的质量管理要求。文件档案管理制度应包括机构人员在文件档案管理中的相关职责、文件档案借阅、保管直至销毁的各项规定等。d)人员管理制度
应包括人员录用、考核、日常管理以及离职等方面的内容和要求。e)培训教育制度
应包括培训计划的制定、培训工作的实施、培训的考核与上岗以及人员培训档案建立等的内容和要求。
f)申诉、投诉及争议处理制度
应明确包括测评机构各岗位人员在申、投诉和争议处理活动中相应的职责,建立从受理、确认到处置、答复等环节的完整程序。
信息安全等级测评机构能力要求 测评实施能力
5.1 人员能力
5.1.1 测评机构从事等级测评工作的专业技术人员(以下简称测评人员)应具有把握国家政策,理解和掌握相关技术标准,熟悉等级测评的方法、流程和工作规范等方面的知识及能力,并有依据测评结果做出专业判断以及出具等级测评报告等任务的能力。
5.1.2 测评人员应参加由公安部信息安全等级保护评估中心举办的专门培训、考试并取得中心颁发的《等级测评师证书》(等级测评师分为初级、中级和高级)。等级测评人员需持证上岗。
5.1.3 初级、中级和高级等级测评师具体能力要求如下: a)初级等级测评师
了解信息安全等级保护的相关政策、标准; 熟悉信息安全基础知识;
熟悉信息安全产品分类,了解其功能、特点和操作方法;
掌握等级测评方法,能够根据测评指导书客观、准确、完整地获取各项测评证据;
掌握测评工具的操作方法,能够合理设计测试用例获取所需测试数据; 能够按照报告编制要求整理测评数据。b)中级等级测评师
熟悉信息安全等级保护相关政策、法规; 熟悉信息安全等级保护相关政策、法规;
正确理解信息安全等级保护标准体系和主要标准内容,能够跟踪国内、国际信息安全相关标准的发展;
掌握信息安全基础知识,熟悉信息安全测评方法,具有信息安全技术研究的基础和实践经验;
具有较丰富的项目管理经验, 熟悉测评项目的工作流程和质量管理的方法,具有较强的组织协调和沟通能力;
能够独立开发测评指导书,熟悉测评指导书的开发、版本控制和评审流程; 能够根据信息系统的特点,编制测评方案,确定测评对象、测评指标和测评信息安全等级测评机构能力要求
方法;
具有综合分析和判断的能力,能够依据测评报告模板要求编制测评报告,能够整体把握测评报告结论的客观性和准确性。具备较强的文字表达能力; 了解等级保护各个工作环节的相关要求。能够针对测评中发现的问题,提出合理化的整改建议。c)高级等级测评师
熟悉和跟踪国内、外信息安全的相关政策、法规及标准的发展; 对信息安全等级保护标准体系及主要标准有较为深入的理解; 具有信息安全理论研究的基础、实践经验和研究创新能力;
具有丰富的质量体系管理和项目管理经验,具有较强的组织协调和管理能力;
熟悉等级保护工作的全过程,熟悉定级、等级测评、建设整改各个工作环节的要求。
5.1.4 测评技术员、测评项目组长和技术主管岗位人员应分别取得初、中、高级等级测评师证书,其比例应满足等级测评工作需要。
5.1.5测评机构应指定一名技术主管,全面负责等级测评方面的技术工作。5.2 测评能力
5.2.1 测评机构应通过提供案例、过程记录等资料,证明其具有从事信息系统检测评估相关工作两年以上的工作经验。
5.2.2 测评机构应保证在其能力范围内从事测评工作,并有足够的资源来满足测评工作要求,具体体现在以下方面:
a)安全技术测评实施能力,包括物理安全测评、网络安全测评、主机系统安全测评、应用安全和数据安全测评等方面测评指导书的开发、使用、维护及获取相关结果的专业判断;
b)安全管理测评实施能力,包括安全管理机构测评、安全管理制度测评、人员安全管理测评、系统建设管理测评、系统运维管理测评等方面测评指导书的开发、使用、维护及获取相关结果的专业判断;
c)安全测试与分析能力,指根据实际测评要求,开发与测试相关的工作指导书,借助专用测评设备和工具,实现主流协议分析、漏洞发现与验证等方面的能力; d)整体测评实施能力,指根据测评报告的单元测评的结果记录部分、结果汇总部
信息安全等级测评机构能力要求
分和问题分析部分,从安全控制间、层面间和区域间出发考虑,给出整体测评的具体结果的能力。
e)风险分析能力,指依据等级保护的相关规范和标准,采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测评系统安全造成的影响的能力; 5.2.3 测评机构应有完备的测评工作流程,有计划、按步骤地开展测评工作,并保证测评活动的每个环节都得到有效的控制。
a)测评准备阶段,收集被测系统的相关资料信息,填写规范的系统调查表,全面掌握被测评系统的详细情况,为测评工作的开展打下基础;
b)方案编制阶段,正确合理地确定测评对象、测评指标及测评内容等,并依据现行有效的技术标准、规范开发测评方案、测评指导书、测评结果记录表格等。测评方案应通过技术评审并有相关记录,测评指导书应进行版本有效性维护,且满足以下要求:
符合相关的等级测评标准;
提供足够详细的信息以确保测评数据获取过程的规范性和可操作性。c)现场测评阶段,严格执行测评方案和测评指导书中的内容和要求,并依据操作规程熟练地使用测评设备和工具,规范、准确、完整的填写测评结果记录,获取足够证据,客观、真实、科学地反映出系统的安全保护状况,测评过程应予以监督并记录;
d)报告编制阶段,找出整个信息系统安全保护现状与相应等级的保护要求之间的差距,分析差距可能导致被测评系统面临的风险,给出等级测评结论,形成测评报告,测评报告应依据公安部统一制订的《信息系统安全等级测评报告模版(试行)》的格式和内容要求编写,测评报告应通过评审并有相关记录。设施和设备安全与保障能力
6.1 测评机构应具备必要的办公环境、设备、设施和管理系统,使用的技术装备、设施原则上应当符合以下条件:
a)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;
b)产品的核心技术、关键部件具有我国自主知识产权; 信息安全等级测评机构能力要求
c)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
d)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能; e)对国家安全、社会秩序、公共利益不构成危害。
f)信息安全产品应获得公安部计算机信息安全产品销售许可证。
6.2 测评机构应配备满足等级测评工作需要的测评设备和工具,如漏洞扫描器、协议分析仪、渗透测试工具等。测评设备和工具应通过权威机构的检测并可提供检测报告(见附录《信息安全等级测评设备和工具指引》)。
6.3 测评机构应具备符合相关要求的机房以及必要的软、硬件设备,用于满足信息系统仿真、技术培训和模拟测试的需要。
6.4 测评机构应确保测评设备和工具运行状态良好,并通过校准或比对等手段保证其提供准确的测评数据。
6.5 测评设备和工具均应有正确的标识。质量管理能力
7.1 管理体系建设
7.1.1 测评机构应建立、实施和维护符合等级测评工作需要的文件化的管理体系,并确保测评机构各级人员能够理解和执行。
7.1.2测评机构应当制定相应的质量目标,不断提升自身的测评质量和管理水平。7.1.3测评机构应指定一名质量主管,明确其质量保证的职责。质量主管不应受可能有损工作质量的影响或利益冲突,并有权直接与测评机构最高管理层沟通。7.2 管理体系维护
7.2.1测评机构应保证管理体系的有效运行,发现问题及时反馈并采取纠正措施,确保其有效性。
7.2.2
测评机构应当严格遵守申诉、投诉及争议处理制度,并应记录采取的措施。规范性保证能力
8.1 公正性保证能力
8.1.1 测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。
信息安全等级测评机构能力要求
8.1.2 测评机构的人员应不受可能影响其测评结果的来自于商业、财务和其他方面的压力。
8.2 可信与保密性保证能力
8.2.1测评机构的单位法人及主要工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录。
8.2.2 测评机构应通过提供单位性质、股权结构、出资情况、法人及股东身份等信息的文件材料,证明其机构合规、产权关系明晰,资金注册达到要求(100万元)。8.2.3 测评机构应建立并保存工作人员的人员档案,包括人员基本信息、社会背景、工作经历、培训记录、专业资格、奖惩情况等,保障人员的稳定和可靠。8.2.4 测评机构使用的测试设备和工具应具备全面的功能列表,且不存在功能列表之外的隐蔽功能。
8.2.5测评机构应重视安全保密工作,指派安全保密工作的责任人。
8.2.6 测评机构应根据国家有关保密规定制定保密管理制度,并定期对工作人员进行保密教育,测评机构和测评人员应当保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等。
8.2.7
测评机构应明确岗位保密要求,与全体人员签订《保密责任书》,规定其应当履行的安全保密义务和承担的法律责任,并负责检查落实。
8.2.8 测评机构应采取技术和管理措施来确保等级测评相关信息的安全、保密和可控,这些信息包括但不限于: a)被测评单位提供的资料;
b)等级测评活动生成的数据和记录; c)依据上述信息做出的分析与专业判断。
8.2.9 测评机构应借助有效的技术手段,确保等级测评相关信息的整个数据生命周期的安全和保密。8.3 测评方法与程序的规范性
测评机构应保证与等级测评工作有关的所有工作程序、指导书、标准规范、工作表格、核查记录表等现行有效并便于测评人员获得。8.4 测评记录的规范性
a)测评记录应当清晰规范,并获得被测评方的书面确认; 信息安全等级测评机构能力要求
b)测评机构应具有安全保管记录的能力,所有的测评记录应保存三年以上。8.5 测评报告的规范性
a)测评机构应按照公安部统一制订的《信息系统安全等级测评报告模版(试行)》格式出具测评报告;
b)测评报告应包括所有测评结果、根据这些结果做出的专业判断以及理解和解释这些结果所需要的所有信息,以上信息均应正确、准确、清晰地表述;
c)测评报告由测评项目组长作为第一编制人,技术主管(或质量主管)负责审核,机构管理者或其授权人员签发或批准;
d)能力评估合格的测评机构应依据《信息安全等级保护测评工作管理规范》第六条,对出具的等级测评报告统一加盖等级测评机构能力合格专用标识并登记归档。风险控制能力
9.1 测评机构应充分估计测评可能给被测系统带来的风险,风险包括但不限于以下方面:
a)测评机构由于自身能力或资源不足造成的风险;
b)测试验证活动可能对被测系统正常运行造成影响的风险; c)测试设备和工具接入可能对被测系统正常运行造成影响的风险;
d)测评过程中可能发生的被测系统重要信息(如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档等)泄漏的风险等。
9.2 测评机构应通过多种措施对上述被测系统可能面临的风险加以规避和控制。可持续性发展能力
10.1 测评机构应根据自身情况制定战略规划,通过不断的投入保证测评机构的持续建设和发展。
10.2 测评机构应定期对管理体系进行评审并持续改进,不断提高管理要求。设定中、远期目标(如获得相应管理体系资质认可),通过目标的实现,逐步提升质量管理能力。10.3 测评机构应建立文件化的培训制度,以确保其工作人员在专业技术和管理方面持续满足等级测评工作的需要。
10.4 测评机构应投入专门的力量来从事测评实践总结和测评技术研究工作,测评机构间应进行经验交流和技术研讨,保持与测评技术发展的同步性。
信息安全等级测评机构能力要求 测评机构能力约束性要求
测评机构不得从事下列活动:
a)影响被测评信息系统正常运行,危害被测评信息系统安全; b)泄露知悉的被测评单位及被测信息系统的国家秘密和工作秘密;
c)故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假,未如实出具等级测评报告;
d)未按规定格式出具等级测评报告;
e)非授权占有、使用等级测评相关资料及数据文件; f)分包或转包等级测评项目;
g)信息安全产品(专用测评设备和工具以外)开发、销售和信息系统安全集成; h)限定被测评单位购买、使用其指定的信息安全产品;
数据采集与监控(Supervisory Control And Data Acquisition,SCADA)、分布式控制系统(Distributed Control System,DCS)、过程控制系统(Process Control System,PCS)、可编程逻辑控制器(Programmable Logic Controller,PLC)等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域,用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。
2010年,席卷全球工业界的震网(Stuxnet)蠕虫,已感染了全球超过45 000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒,伊朗政府也确认该国的布什尔核电站遭到该蠕虫的攻击。“震网”病毒事件充分反映出工业控制系统信息安全面临着严峻的形势[1,2,3]。作为世界上第一个以工业控制系统为攻击目标的病毒,“震网”的出现更是引发了国际范围内加速推进基础设施安全防御的呼声。
1 电力工控系统信息安全测评体系设计
在深入分析我国电力工控系统信息安全测评体系建设需求的基础上,参考国际、国家信息安全工程管理标准[4,5],结合电力行业多年信息安全防护实践经验,提出由实验验证环境、产品检测能力和安全服务能力3部分组成的电力工控系统信息安全测评体系框架(见图1)。
实验验证环境将根据典型电力工控系统架构和我国电力系统特点进行建设,包括应用系统层、通信规约层、终端设备层在内的安全实验验证基础设施;实验验证环境将根据典型电力工控系统架构和我国电力系统特点进行建设,包括建设至少包括应用系统层、通信规约层、终端设备层在内的安全实验验证基础设施;开发信息安全防护技术和产品、验证现有安全防护技术及产品的防护能力、安全测评方法和工具有效性及安全性;设计开发针对电力工控系统、终端设备、电力专用通信规约、无线设备等的测评技术和测评工具,测试针对工控系统的渗透攻防技术;为安全测评服务提供仿真培训环境,以提高信息安全运行维护人员技术能力。
产品检测能力的建设将根据我国电力工控系统安全标准和规范,建设工控系统产品检测中心,研究与制定工控系统安全服务产品检测规范和实施指南,为主站系统及终端设备供应商提供产品安全检测服务,为电力企业提供系统和设备出厂检测服务。
安全服务能力的建设包括组织架构和人才队伍两大方面,具体包括:建立健全常态化信息安全服务机制,研究与制定安全评估与加固、上线前安全测评、等级保护测评等工作规范、流程、实施指南、作业指导,为电力企业在线运行的工控系统提供常态化信息安全测评服务。
2 电力工控系统信息安全测评体系建设方案
电力工控系统信息安全测评体系是开放、动态、持续改进的系统,它将“无序、零散、被动”的应对信息安全转变为“系统、连贯、主动”的组织信息安全活动。电力工控系统信息安全测评体系的建设是一个系统工程,需借鉴吸收国际和国外先进的信息安全技术、管理经验,基于现有国家信息安全标准体系研究和标准制定成果,结合电力工控系统设计、开发、建设、实施、运维、废弃等生命周期各阶段的信息安全需求和服务经验,研究提出符合实际的电力控制系统信息安全测评体系总体框架,满足国家重要基础行业的生产控制系统信息安全服务需要。体系建设主要包括实验验证环境建设、产品检测能力建设和安全服务能力建设3方面内容。
2.1 实验验证环境建设
电力工控系统信息安全实验验证环境的建设将根据典型电力工控系统架构和我国电力系统特点,建设包括主站系统层、通信网络层、终端设备层在内的实验验证环境,开发、验证安全防护技术防护能力、安全测评方法和工具有效性及安全性,测试针对工控系统的渗透攻防技术,为安全测评提供仿真环境,培训安全服务人员能力。
电力工控系统分布广泛,在发、输、变、配、用、调等六大环节的数据采集与监控以及过程控制等方面均有应用。因此,在设计和搭建此实验验证环境时应充分考虑电力生产控制系统的架构,包括主站/控制中心(本地、异地)、现场设备、通信网络、调度数据展现、远程接入客户端、现场设备和移动存储介质等主要资产和功能组件(见图2)。全面体现电力工控系统实时性要求高、网络相对封闭、可靠性要求高、不能接受宕机、设备处理能力有限、通信协议专有等特点。
2.2 产品检测能力建设
产品检测能力的建设将根据我国电力工控系统安全标准和规范,建设工控系统产品检测中心,研究与制定工控系统安全服务产品检测规范和实施指南,为工控系统生产商提供产品研发安全咨询和检测服务,也可为电力企业提供工控系统出厂检测服务。
为了验证电力工控系统及相关设备安全功能的有效性、发掘并分析电力工控系统及终端设备的安全脆弱性、模拟黑客植入恶意代码或预留后门程序进行攻击,需要基于我国电力工控系统的组成架构,参照国际上电力工控系统有关标准和我国等级保护基本要求[6,7,8],搭建对电力工控系统的安全性测试环境。在该环境中对软件运行承载环境进行大规模仿真和模拟;对其安全性能,尤其是特殊架构中的关键设备、工控网络协议和所用密码机制,进行漏洞挖掘及脆弱性检测等工作,从而验证电力工控系统专用设备安全性与标准要求的符合性。
同时,制定电力工控系统产品安全检测标准规范以及实施指南。检测标准规范应包括典型电厂工控系统及终端设备产品架构、功能要求、性能要求、安全要求等测试要求,并围绕工控系统制定产品检测保证要求,如交付和运行保证、指导性文档、测试保证、脆弱性保证、风险规避等;实施指南应包括电厂典型工控系统及终端设备的检测范围、检测流程、检测方法、安全管理及风险管控、检测工具管理规程、检测机构及人员管理等。
2.3 安全服务能力建设
电力工控系统安全服务能力的建设包括构建与完善组织架构和人才队伍,建立健全常态化信息安全服务机制,研究与制定安全评估与加固、上线前安全测评、等保测评等工作规范、流程,为电力企业在线运行的工控系统提供常态化信息安全测评服务。
安全服务能力建设应以电力工控系统全生命周期各阶段的安全需求为服务依据,以系统信息安全实验验证环境和产品检测体系为基础,为电力企业工控系统提供常态化安全测评服务,从调研、设计开发,到实施、运维、废弃等各个环节提供安全咨询、建议和信息安全技术保障。
电力工控系统对系统运行安全性、可靠性和稳定性要求很高,因此,安全测评服务应当以保证系统正常稳定运行、保证风险可控在控为前提,测评人员需具备信息安全测评、加固、设计等能力和资质,应当掌握电力生产控制相关的业务知识背景,所使用的测评工具和方法不能对在运系统造成任何影响。电力工控系统安全测评除了具有丰富的服务内容,还需要严格的管控措施以及稳定、可靠、可控的技术和管理支撑,拟建设的电力工控系统安全服务能力架构如图3所示。
3 结语
随着无线智能终端、基于云计算技术防护系统、RFID类产品和系统等各类新技术和新产品的发展和应用,以及“震网”等专门针对物理隔离网络的新型攻击病毒的出现,高价值的工业控制系统日益成为新的攻击目标,因此,研究并建立电力工控系统信息安全测评体系愈发显得重要而迫切,并将对电力生产乃至国民经济的安全运行产生重大影响。
摘要:工业控制系统广泛应用于社会生产活动中,其安全性直接关系到国家安全和社会稳定。文章分析了电力工业控制系统面临的安全威胁和安全防护现状,提出了一个由实验验证环境、产品检测能力和安全服务能力等3部分组成的电力工控系统信息安全测评体系框架,并探讨了体系的建设方案。通过测评体系的建设可进行测评标准规范的研究和工具研发,为工控产品生产商提供产品安全检测服务,为电力企业在运工控系统提供常态化信息安全服务。
关键词:电力工业控制系统,信息安全,测评体系
参考文献
[1]李战宝,潘卓.透视“震网”病毒[A].第26次全国计算机安全学术交流会[C].北京:中国计算机学会计算机安全专业委员会,2011.
[2]Symantec W32.Stuxnet dossier version1.3[EB/OL].http://www.wired.com/images_blogs/threatlevel/2010/11/w32_stuxnet_dossier.pdf,2010-11-12.
[3]安天实验室.Stuxnet蠕虫攻击工业控制系统事件的综合报告[EB/OL].http://www.antiy.com/cn/security/2010/Report_On_the_Attacking_of_Worm_Struxnet_by_antiy_labs.htm,2010-9-27.
[4]ISO/IEC21827:Information technologySystems Security Engineering-Capability Maturity Model[S].2002.
[5]GB/T20282—2006:信息安全技术信息系统安全工程管理要求[S].2006.
[6]NIST SP800-53:Recommended Security Controls for Federal Information Systems[S].2009.
[7]NIST SP800-82:Guide to Industrial Control Systems Security[S].2011.
【信息安全测评师试题】推荐阅读:
信息安全试题06-27
电力信息化与信息安全06-08
信息安全团队06-05
信息安全策略集06-08
信息安全保密操作规程05-26
1.信息安全保密制度05-26
企业信息安全审查重点05-29
公司信息安全学习心得05-30
信息安全原理与应用06-05
构建企业信息安全体系06-13
