在我国，依据《中华人民共和国标准化法》可以将标准划分为：国家标准、行业标准、地方..

免费智能真题库 > 历年试卷 > 信息安全工程师 > 2019年上半年信息安全工程师上午试卷综合知识

第58题

知识点：系统安全信息安全技术网络安全等级保护基本要求（GB/T 22239—2019）标准化地方标准国家标准企业标准信息安全信息系统安全信息系统安全等级信息系统安全等级保护基本要求行业标准

关键词：安全等级国家标准信息安全信息系统安全安全系统安全信息系统章/节：网络安全测评质量管理与标准

在我国，依据《中华人民共和国标准化法》可以将标准划分为：国家标准、行业标准、地方标准和企业标准4个层次。《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）属于（）。

A. 国家标准

B. 行业标准

C. 地方标准

D. 企业标准

相关试题：信息系统安全等级保护测评标准

更多>

第24题 2016年下半年

65%

第2题 2017年上半年

72%

《计算机信息系统安全保护等级划分准则》（GB17859——1999）中规定了计算机系统安全保护能力的五个等级，其中要求对所..

第46题 2017年上半年

73%

计算机系统的安全级别分为四级：D、C（C1、C2）、B（B1、B2、B3）和A。其中被称为选择保护级的是（）。


知识点讲解
· 系统安全 · 信息安全技术网络安全等级保护基本要求（GB/T 22239—2019） · 标准化 · 地方标准 · 国家标准 · 企业标准 · 信息安全 · 信息系统安全 · 信息系统安全等级 · 信息系统安全等级保护基本要求 · 行业标准

系统安全

华为EulerOS通过了公安部信息安全技术操作系统安全技术要求四级认证。EulerOS能够提供可配置的加固策略、内核级OS安全能力等各种安全技术以防止入侵，保障客户的系统安全。

信息安全技术网络安全等级保护基本要求（GB/T 22239—2019）

本标准规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求。本标准适用于指导分等级的非涉密对象的安全建设和监督管理。（注：第五级等级保护对象是非常重要的监督管理对象，对其有特殊的管理模式和安全要求，所以不在本标准中进行描述。）

标准化

标准化概念

标准、标准化及标准化对象

标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践经验的综合成果为基础，经有关方面协商一致，一个公认机构的批准，以特定形式发布，作为共同遵守的准则和依据。

标准化是指在经济、技术、科学及管理等社会实践中，对重复性事物和概念通过制订、发布和实施标准达到统一，以获最佳秩序和社会效益的活动。

在国民经济的各个领域中，凡具有多次重复使用和需要制定标准的具体产品，以及各种定额、规划、要求、方法、概念等，都可称为标准化对象。标准化对象一般可分为两大类：一类是标准化的具体对象，即需要制定标准的具体事物；另一类是标准化总体对象，即各种具体对象的总和所构成的整体，通过它可以研究各种具体对象的共同属性、本质和普遍规律。

标准化的目的及工作任务

标准化的实质是通过制定、发布和实施标准达到统一，其目的是获得最佳秩序和社会效益。

中国标准化工作的任务是制定标准、组织实施标准和对标准的实施进行监督。国际标准化组织（ISO）的主要任务是制订国际标准、协调世界范围内的标准化工作。标准化的问题由来已久。中国自秦代开始，历代王朝都有法定度量衡标准以及法定违反标准的罚则。现代标准化是近二、三百年发展起来的。工业革命将标准化问题提上了日程。标准化包括制定标准和贯彻标准，已取得世界上各国和国际社会的重视。

标准化的基本特性和作用

标准化的基本特性主要包括抽象性、技术性、经济性、连续性（或继承性）、约束性和政策性。其作用如下：

（1）标准化为科学管理奠定了基础。所谓科学管理是依据生产技术的发展规律和客观经济规律对企业进行管理，而各种科学管理制度的形式都以标准化为基础。

（2）促进经济全面发展，提高经济效益。标准化应用于科学研究，可以避免在研究上的重复劳动；应用于产品设计，可以缩短设计周期；应用于生产，可使生产在科学的和有秩序的基础上进行；应用于管理，可促进统一、协调、高效率等。

（3）标准化是科研、生产、使用三者之间的桥梁。一项新技术或科研成果一旦纳入相应标准，就能迅速得到推广和应用，从而促进技术进步。

（4）标准化为组织现代化生产创造了前提条件，通过制定和使用标准来保证各生产部门的活动，在技术上保持高度的统一和协调，以使生产正常进行。

（5）促进对自然资源的合理利用，保持生态平衡，维护人类社会当前和长远的利益。

（6）合理发展产品品种，提高企业应变能力，以更好地满足社会需求。

（7）保证产品质量，维护消费者利益。

（8）在社会生产组成部分之间进行协调，确立共同遵循的准则，建立稳定的秩序。

（9）促进国际技术交流和贸易发展，提高产品在国际市场上的竞争能力。

（10）保障身体健康和生命安全，环保标准、卫生标准和安全标准制定发布后，用法律形式强制执行，对保障人民的身体健康和生命财产安全具有重大作用。

标准化基本过程及分类

标准是标准化活动的产物，其目的和作用都是要通过制定和贯彻具体的标准来体现的。标准化是一个可分为几个子过程的活动过程，一般包括标准产生（调查、研究、形成草案、批准发布）子过程，标准实施（宣传、普及、监督、咨询）子过程和标准更新（复审、废止或修订）子过程等。

标准化工作是一项复杂的系统工程，标准为适应不同的要求，从而构成一个庞大而复杂的系统，为便于研究和应用的目的，可以从不同的角度和属性对标准进行分类。根据适用范围可以分类如下：

（1）国际标准。由国际标准化团体制定、公布和通过的标准。通常，国际标准是指ISO和IEC以及ISO所出版的国际标准题目关键词索引（KWIC Index）中收录的其他国际组织制定、发布的标准等。国际标准在世界范围内统一使用，没有强制的含义，各国可以自愿采用。

（2）国家标准。由一个国家的政府或国家级的机构制定或批准，适用于全国范围的标准，如我国国家标准（GB）、美国国家标准（ANSI）、德国国家标准（DIN）、英国国家标准（BS）和日本国工业标准（JIS）等。

（3）区域标准。区域标准又称地区标准，泛指世界上按地理、经济或政治划分的某一区域标准化团体所通过的标准。

（4）行业标准。由行业机构、学术团体或国防机构制定，并适用于某个业务领域的标准，如美国电气和电子工程师学会标准（IEEE）、中华人民共和国国家军用标准（GJB）、美国军用标准（MIL-S）、美国国防部标准（DOD-STD）等。

（5）地方标准。由一个国家的地方一级行政机构（省、州或加盟共和国）制定的标准。它一般由地方所属的各企业与单位执行。

（6）企业标准。由企业或公司批准、发布的标准，某些产品标准由其上级主管机构批准、发布。例如，美国IBM公司通用产品部制定的“程序设计开发指南”仅供该公司内部使用。企业为达到或超过上级标准而对产品质量指标制定高于现行上级标准的内部控制的企业标准，目的在于促进产品质量提高。

（7）项目规范。由某一科研生产项目组织制定，且为该项任务专用的软件工程规范。例如，计算机集成制造系统（CIMS）的软件工程规范。

我国标准分为国家标准、行业标准、地方标准和企业标准4类。

标准的编号

国际、国外标准代号及编号

国际及国外标准编号的基本结构为“标准代号+专业类号+顺序号+年代号”。其中，“标准代号”大多采用缩写字母，例如IEC代表国际电工委员会（International Electrotechnical Commission）、API代表美国石油协会（American Petroleum Institute）、ASTM代表美国材料与试验协会（American Society for Testing and Materials）等；“专业类号”有字母、数字、字母数字混合式三种形式；“顺序号”和“年号”的形式与我国基本相同，例如国际标准ISO代号及编号格式为：ISO+标准号+［杠+分标准号］+冒号+发布年号（方括号中的内容可有可无），ISO8402：1987和ISO9000-1：1994分别是ISO标准的编号。

我国标准代号及编号

我国标准编号的基本结构为“标准代号+顺序号+年代号”。

（1）国家标准代号由大写汉字拼音字母构成，强制性国家标准代号为GB，推荐性国家标准代号为GB/T。

（2）行业标准代号由汉字拼音大写字母组成，再加上斜线T组成推荐性行业标准（如××/T）。行业标准代号由国务院各有关行政主管部门提出其所管理的行业标准范围的申请报告，国务院标准化行政主管部门审查确定并正式公布该行业标准代号。已正式公布的行业代号有QJ（航天）、SJ（电子）、JB（机械）和JR（金融系统）等。

（3）地方标准代号由大写汉字拼音DB加上省、自治区、直辖市行政区划代码的前两位数字（北京市11、天津市12、上海市31等）组成，再加上斜线T组成推荐性地方标准（如DB××/T），不加斜线T为强制性地方标准（如DB××）。

（4）企业标准的代号由汉字大写拼音字母Q加斜线再加企业代号组成（如Q/×××），企业代号可由大写拼音字母或阿拉伯数字或两者兼用组成。

信息技术标准化

信息技术标准化是围绕信息技术开发、信息产品的研制和信息系统建设、运行与管理而开展的一系列标准化工作。其中主要包括信息技术术语、信息表示、汉字信息处理技术、媒体、软件工程、数据库、网络通信、电子数据交换、电子卡、管理信息系统、计算机辅助技术等方面标准化。

信息编码标准化

编码是一种信息表现形式。在一定条件下，它对事物或概念的描述比自然语言要直接、简洁、准确和有力。要保证信息编码的一致性，就要对编码对象的确定，对象特性的选择，编码方法和代码设计进行标准化。对信息进行编码实际上是对文字、音频、图形和图像等信息进行处理，使之量化，从而便于利用各种通信设备进行信息传递和利用计算机进行信息处理。为了统一编码系统，人们制定了各种标准代码，如国际上较通用的ASCII码等。

条码标准化

条码是一种特殊的代码，即一组规则排列的条、空及其对应字符组成的标记，用以表示一定的信息。条码中的条、空分别由两种不同深浅的颜色（通常为黑、白色）表示，并满足一定的光学对比度要求，其目的是便于光电扫描设备识读后将数据输入计算机。

汉字编码标准化

汉字编码是对每一个汉字按一定的规律用若干个字母、数字、符号表示出来。汉字编码的方法很多，主要有数字编码、拼音编码和字形编码。我国在汉字编码标准化方面制定的国家标准主要包括信息交换用汉字编码字符集，共有6集。其中，GB2312—80信息交换用汉字编码字符集是基本集，收入常用基本汉字和字符7445个；GB7589—87和GB7590—87分别是第二辅助集和第四辅助集，各收入现代规范汉字7426个；GB/T12345—90是辅助集，它与第三辅助集和第五辅助集分别是与基本集、第二辅助集和第四辅助集相对应的繁体字的汉字字符集。除汉字编码标准化外，汉字信息处理标准化的内容还包括汉字键盘输入的标准化；汉字文字识别输入和语音识别输入的标准化；汉字输出字体和质量的标准化；汉字属性和汉语词语的标准化等。

ISO9000:2000标准

ISO9000标准是一系列标准的统称。其质量管理模式为企业管理注入新的活力和生机，给质量管理体系提供评价基础，为企业进行世界贸易带来质量可信度。过程方法的概念，顾客需求的考虑，以及将持续改进的思想贯穿于整个标准，把组织的质量管理体系满足顾客要求的能力和程度体现在标准的要求之中。ISO9000:2000标准的推出标志着国际标准化活动已从名词术语、试验方法及产品质量三大传统领域迈向了管理体系的标准化与认证。ISO9000:2000族标准的构成如下：

（1）4个核心标准，即ISO9000:2000《基本原理和术语》、ISO9001:2000《质量管理体系-要求》、ISO9004:2000《质量管理体系-业绩改进指南》和ISO19011:2000《质量和环境管理审核指南》。

（2）1个支持标准，即ISO10012《测量设备的质量保证要求》。

（3）6个技术报告，即ISO10006《项目管理指南》、ISO10007《技术状态管理指南》、ISO10013《质量管理体系文件指南》、ISO10014《质量经济性指南》、ISO10015《教育和培训指南》和ISO10017《统计技术在ISO9001中的应用指南》。

（4）3个小册子，即质量管理原理、选择和使用指南，小型企业的应用指南和一个技术规范。

地方标准

地方标准代号以大写汉语拼音字母“DB”加上省、自治区、直辖市行政区划代码前两位数，再加斜线“／”组成强制性地方标准代号。再加“T”组成推荐性地方标准代号。地方标准编号由地方标准代号、标准顺序号及年号构成。

比如，“DB**／****-2000”为某省、自治区或直辖市2000年制定的某项强制性地方标准；“DB**/T****-2000”为某省、自治区或直辖市2000年制定的某项推荐性地方标准。

国家标准

我国的国家标准代号是以“国标”两个字的大写汉语拼音“Guo Biao”的第一个字母“GB”来表示的，强制性国家标准代号为“GB”，推荐性国家标准的代号为“GB/T”。国家标准的编号由国家标准的代号、标准发布顺序号和标准发布年代号（四位数组成）。

（1）强制性国家标准

（2）推荐性国家标准

（3）国家实物标准（样品），由国家标准化行政主管部门统一编号，编号方法为国家实物标准代号（为汉字拼音大写字母“GSB”）加《标准文献分类法》的一级类目、二级类目的代号及二级类目范围内的顺序、四位数年代号相结合的办法。

企业标准

企业标准的代号，一般以“Q”（企）字为分子，以免与国家标准和行业标准相混淆；企业标准代号前，一般应冠以所在省份的简称；企业标准代号的分母，一律采用汉语拼音字母表示。

企业标准的编号由企业代号、标准顺序号和年代号组成。例如，

信息安全

信息安全的5个基本要素为机密性、完整性、可用性、可控性和可审查性。

（1）机密性。确保信息不暴露给未受权的实体或进程。

（2）完整性。只有得到允许的人才能修改数据，并能够判别出数据是否已被篡改。

（3）可用性。得到授权的实体在需要时可访问数据。

（4）可控性。可以控制授权范围内的信息流向及行为方式。

（5）可审查性。对出现的安全问题提供调查的依据和手段。

随着信息交换的激增，安全威胁所造成的危害越来越受到重视，因此对信息保密的需求也从军事、政治和外交等领域迅速扩展到民用和商用领域。所谓安全威胁，是指某个人、物、事件对某一资源的机密性、完整性、可用性或合法性所造成的危害。某种攻击就是威胁的具体实现。安全威胁分为两类：故意（如黑客渗透）和偶然（如信息发往错误的地址）。

典型的安全威胁举例如下表所示。

典型的安全威胁

信息系统安全

信息系统安全的概念

信息系统安全指信息系统及其所存储、传输和处理的信息的保密性、完整性和可用性的表征，一般包括保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，以保障信息系统功能的正常发挥，维护信息系统的安全运行。

信息系统安全的侧重点会随着信息系统使用者的需求不同而发生变化，例如：

.个人用户最关心的信息系统安全问题是如何保证涉及个人隐私的问题。企业用户看重的是如何保证涉及商业利益的数据的安全。

.从网络运行和管理者角度说，最关心的信息系统安全问题是如何保护和控制其他人对本地网络信息进行访问、读写等操作。

.对安全保密部门和国家行政部门来说，最关心的信息系统安全问题是如何对非法的、有害的或涉及国家机密的信息进行有效过滤和防堵，避免非法泄露。

.从社会教育和意识形态角度来说，最关心的则是如何杜绝和控制网络上的不健康内容。有害的黄色内容会对社会的稳定和人类的发展造成不良影响。

信息系统安全的属性

信息系统安全的属性主要包括：

.保密性：是应用系统的信息不被泄露给非授权的用户、实体或过程，或供其利用的特性，即防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。保密性建立在可用性基础之上，是保障应用系统信息安全的重要手段。应用系统常用的保密技术如下：

最小授权原则：对信息的访问权限仅授权给需要从事业务的用户使用。

防暴露：防止有用信息以各种途径暴露或传播出去。

信息加密：用加密算法对信息进行加密处理，非法用户无法对信息进行解密从而无法读懂有效信息。

物理保密：利用各种物理方法，如限制、隔离、掩蔽和控制等措施，来保护信息不被泄露。

.完整性：是信息未经授权不能进行改变的特性，即应用系统的信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放和插入等破坏和丢失的特性。保障应用系统完整性的主要方法如下：

协议：通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段。

纠错编码方法：由此完成检错和纠错功能。最简单和常用的纠错编码方法是奇偶校验法。

密码校验和方法：是抗篡改和传输失败的重要手段。

数字签名：用于保障信息的真实性。

公证：请求系统管理或中介机构证明信息的真实性。

.可用性：是应用系统信息可被授权实体访问并按需求使用的特性，即信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。可用性一般用系统正常使用时间和整个工作时间之比来度量。可用性还应该满足以下要求：身份识别与确认、访问控制、业务流控制、路由选择控制和审计跟踪。

.不可抵赖性：也称作不可否认性，在应用系统的信息交互过程中，确信参与者的真实同一性，即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认已发送信息，利用递交接收证据可以防止收信方事后否认已经接收的信息。

信息系统安全管理体系

信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理。

不同安全等级的安全管理机构可按下列顺序逐步建立自己的信息系统安全组织机构管理体系：

.配备安全管理人员。

.建立安全职能部门。

.成立安全领导小组。

.主要负责人出任领导。

.建立信息安全保密管理部门。

信息系统安全管理体系参见《GB/T 20269～2006信息安全技术信息系统安全管理要求》，该标准把信息系统安全管理分为八大类，每个类分为若干族，针对每个族设置了相应的管理要素。八大类分别为：政策和制度、机构和人员管理、风险管理、环境和资源管理、运行和维护管理、业务持续性管理、监督和检查管理、生存周期管理。

信息系统安全技术体系参见《GB/T 20271—2006信息安全技术信息系统通用安全技术要求》，该标准把信息系统安全技术分为：

.物理安全：包括环境安全、设备安全和记录介质安全。

.运行安全：包括风险分析、信息系统安全性检测分析、信息系统安全监控、安全审计、信息系统边界安全防护、备份与故障恢复、恶意代码防护、信息系统的应急处理、可信计算和可信连接技术。

.数据安全：包括身份鉴别、用户标识与鉴别、用户主体绑定、抗抵赖、自主访问控制、标记、强制访问控制、数据完整性保护、用户数据保密性保护、数据流控制、可信路径和密码支持。

信息系统安全等级

GB 17895—1999《计算机信息系统安全保护等级划分准则》中将信息安全分为五个等级，分别为：

.自主保护级。

.系统审计保护级。

.安全标记保护级。

.结构化保护级。

.访问验证保护级。

信息系统安全等级保护基本要求

《GB/T 22239—2008信息安全技术信息系统安全等级保护基本要求》包含以下重点内容。

信息系统安全保护能力等级

信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高划分为五级。

第一级安全保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁发起的恶意攻击，一般的自然灾难，以及其他相当危害程度的威胁所造成的关键资源损害，并且在系统遭到损害后，能够恢复部分功能。

第二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁发起的恶意攻击，一般的自然灾难，以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。

第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富的资源资源的威胁发起的恶意攻击，较为严重的自然灾难，以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。

第四级安全保护能力：应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁发起的恶意攻击，严重的自然灾难，以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。

第五级安全保护能力（略）。

基本技术要求和基本管理要求

基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的基本要求。根据实现方式不同，基本安全要求分为基本技术要求和基本管理要求。技术类安全要求与信息系统管理提供的技术安全机制相关，主要通过在信息系统中部署软硬件并正确配置其安全功能来实现；管理类安全要求与信息系统中各种角色参与的活动相关，主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。

基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出；基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出。基本技术要求和基本管理要求是信息安全不可分割的两个方面。

根据保护侧重点不同，技术类安全要求进一步细分为：保护数据存储、传输、处理过程中不被泄露、破坏和免受未授权的修改的信息安全类要求（简记为S）；保护系统连续正常运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求（简记为A）；通用安全保护类要求（简记为G）。

行业标准

行业标准代号由汉字拼音大写字母组成。行业标准的编号由行业标准代号、标准发布顺序及标准发布年代号（四位数）组成。行业标准也分为强制性和推荐性标准。下表中给出的是强制性行业标准代号，推荐性行业标准的代号是在强制性行业标准代号后面加“/T”，例如农业行业的推荐性行业标准代号是NY/T。

中华人民共和国行业标准代号

续表

（1）强制性行业标准。

（2）推荐性行业标准编号。

题号导航 2019年上半年信息安全工程师上午试卷综合知识

本试卷我的完整做题情况



	第58题在手机中做本题