制度制定是否全面； 制度执行是否到位； 执行过程是否 留痕等 l 核查相关人员的法律意识； 人员岗位及权限是否进行划 分 ， 岗位及权限是否匹配； 人员培训情况等 l 核查 “三同步一评估”落实情况及攻防演习情况 l 核查应急处置能力、 应急处置措施及手段 4 个 层 面 4.10 密评管理要求 应急处置 管理制度 人员管理 建设运行 密码技术是否被正确、 有效使用 ， 以满足信息系统的

现 不同安全域之间的安全边界隔离和访问控制。 39 5.4.网络及安全设备部署 40 5.4.1.WEB 应用防火墙 5.4.1.1. 部署作用 WEB 防护系统是结合多年应用安全的攻防理论和应急响应实际经 验 积累基础上研发完成，是三维一体的网站防护产品，可以同时向网 站 提供：防攻击、防篡改、防 ARP 三重保护。该产品致力于全面防护 各 类恶意攻击，保护网站页面不被篡改，避免被钓鱼攻击或跨站脚本 ■操作系统加固 ■网络安全加固 ■应用服务加固 ■网络设备、安全设备加固 91 5.7.应急预案和应急演练 委派专家为贵单位梳理和制定信息安全突发事件应急预案，委 派工程师配合贵单位做攻防应急演。 5.8.安全等保认证协助服务 依据 GB/T 22239-2008《信息安全技术信息系统安全等级保 护 基本要求》从安全技术和安全管理两个层面，对客户信息系统进 行 差距评估，评估 间内作出故障响应，第一时间由驻现场维护人员启动备份系统，同 时将指派具有解决故障能力的软件工程师、数据库工程师以及网络 工程师组成的紧急服务小组解决问题。 6.5.1.3. 安全应急演练 由我公司委派工程师配合贵单位做攻防应急演练。 160 出现突发情况 报项目经理 项目经理协调、处理 采取措施避免 类似事件发生 结束 问题报告单 处理记录 情况通报单 6.5.1.4. 服务应急基本流程 维护服务应急处理流程

，并支持本地调测， 实现从开发到验证的高效闭环。 3.4 智能体安全可信 随着智能体技术的快速发展，与现实世界存在诸多恶意诈骗、恶意诱导类似，智能体的功 能越强大，它潜在的风险也越大，攻防技术需要不断进化与演进。基于可信基础设施的硬件可 信根，华为鸿蒙智能体通过数据安全、模型安全、部署安全、应用安全、运营安全等防线，构 建鸿蒙智能体全链路安全体系。 - 29 - Agent 时代

应用基本要求》，密码应用第三级信息系统应采 用密码技术保证信息系统应用的重要数据在存储 过程中的完整性。 3217 判断题 根据GB/T 39786《信息安全技术 信息系统密码 应用基本要求》，在密码应用攻防对抗演习中发 现的密码应用安全缺陷，由于不是在密评中发现 的，所以不必进行整改。 3218 判断题 3219 判断题 GB/T 39786《信息安全技术 信息系统密码应用 基本要求》规定，密码应用第三级信息系统应采 一般不能明文导出到密码产品外部。 根据GB/T 39786《信息安全技术 信息系统密码 应用基本要求》，在密码应用第三级及以上信息 系统运行过程中，应严格执行既定的密码应用安 全管理制度，应定期开展密码应用安全性评估及 攻防对抗演习，并根据评估结果进行整改。 3224 判断题 根据GB/T 39786《信息安全技术 信息系统密码 应用基本要求》，密钥备份行为是审计涉及的范 围，有必要生成审计信息，包括备份的主体、备 测评实施，其中测评实施第二条会关联到其他哪 些测评单元（ ）。 3396 多项选择题 根据GB/T43206《信息安全技术 信息系统密码 应用测评要求》，以下属于“定期开展密码应用 安全性评估及攻防对抗演习”测评实施要点的是 （ ）。 3397 多项选择题 3398 多项选择题 某信息系统设备和计算安全层面，通过SM2签 名验签的方式对应用服务器的日志记录进行完整 性保护，测评人员提取了4组十六进制字符串的