)
案例分析
1. 校园网站备案与整改分析
某学校门户网站用于发布通知公告、招生信息和新闻动态。网站由信息中心维护,面向互联网开放。检查发现:后台管理员账号多人共用,密码长期不更换;网站服务器未及时更新补丁;访问日志只保存3天;未形成网站安全管理制度;网站未按等级保护要求整理定级备案材料。
请结合等级保护基础要求,对该门户网站的安全现状进行分析。答题时可从是否纳入等保工作、可能等级考虑、存在的风险、整改方向和管理责任等角度展开,不要求固定格式。
2. 学生成绩查询系统安全分析
某学生成绩查询系统供学生查询课程成绩,供教师录入和修改成绩。系统保存学生姓名、学号、班级、课程成绩等数据。近期发现:部分教师账号使用弱口令;系统未区分教师、学生和管理员权限;数据库每天自动备份,但从未做过恢复测试;系统操作日志无人查看。
请结合等级保护对象、数据安全和访问控制等知识,对该系统进行开放分析。可以从资产识别、风险影响、权限管理、备份恢复、日志审计和整改优先级等角度选择论述。
综合应用
1. 简述等级保护实施流程
某单位新建业务系统即将上线,领导要求按照网络安全等级保护要求开展合规建设。请结合课程内容,说明从系统上线前到上线后的等级保护实施流程。
请根据你对等级保护工作的理解,设计一套适用于该新建业务系统的实施思路。答题可按流程展开,也可按“谁来做、做什么、留下什么材料、如何持续改进”的方式展开,重点体现工作闭环。
2. 基础测评整改方案
某二级业务系统接受安全检查时发现:服务器存在弱口令;办公网和业务服务器网络未隔离;没有账号权限审批记录;数据库备份保存在服务器本机;机房没有访客登记;安全制度长期未更新。
请结合二级系统的基础安全要求,提出你的整改分析和实施建议。答题不限定分类方式,可从技术整改、管理整改、证据材料、后续运维等角度进行说明。
