信息安全等級測評師( ( 初級技術) ) 簡答題
1、《基本要求》,在應用安全層面的訪問控制要求中��,三級系統較二級系統增加的措施有哪些,
答:三級比二級增加的要求項有:
應提供對重要信息資源設置敏感標記的功能;
應按照安全策略嚴格控制用戶對有敏感標記重要信息資源的訪問。
2��、在主機測試前期調研活動中,收集信息的 測評對象選擇時應該注意 重要性���、代表性���、完整性���、安全性���、共享性五大原則���。
3��、《基本要求》中��,對于三級信息系統���,網絡安全層面應采取哪些安全技術措施,畫出圖并進行描述(不考慮安全加固)��。
答:網絡層面需要考慮結構安全、訪問控制���、安全審計、邊界完整性��、入侵防范��、惡意代碼防范��、網絡設備防護、數據備份與恢復��。
4��、主機按照其規?��;蛳到y功能來區分為哪些類,主機安全在測評時會遇到哪些類型操作系統,網絡安全三級信息系統的安全子類是什么,三級網絡安全的安全審計 b���、審計記錄應包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他
與審計相關的信息��。
c��、應能夠根據記錄數據進行分析��,并生成審計報表。
d、應對審計記錄進行保護���、避免受到未預期的刪除、修改或覆蓋等��。
5��、數據庫常見威脅有哪些,針對于工具測試需要注意哪些 對于測試過程中出現的異常情況(服務器出現故障���、網絡中斷等等)要及時記錄���。
測試結束后���,需要被測方人員確認被測系統狀態正常并簽字后離場��。
6、回答工具測試接入點的原則���,及注意事項,
答:工具測試接入點的原則:
首要原則是不影響目標系統正常運行的前提下嚴格按照方案選定范圍進行測試。
1)由低級別系統向高級別系統探測;
2)同一系統同等重要程度功能區域之間要相互探測;
3)有較低重要程度區域向較高重要程度區域探測;
4)由外鏈接口向系統內部探測;
5)跨網絡隔離設備(包括網絡設備和安全設備)要分段探測��。
注意事項:
1)工具測試介入測試設備之前���,首先要有被測系統人員確定測試條件是否具備���。測試條件包括被測網絡設備���、主機��、安全設備等是否都在正常運行,測試時間段是否為可測試時間段��,等等��。
2)接入系統的設備���、工具的 ip 地址等配置要經過被測系統相關人員確認���。
3)對于測試過程中可能造成的對目標系統的網絡流量及主機性能方面的影響(例如口令探測可能會造成的賬號鎖定等情況)���,要事先告知被測系統相關人員���。
4)對于測試過程中的關鍵步驟��、重要證據,要及時利用抓圖等取證���。
5)對于測試過程中出現的異常情況(服務器出現故障���、網絡中斷)要及時記錄���。
6)測試結束后��,需要被測方人員確認被測系統狀態正常并簽字后退場。
7、采取什么措施可以幫助檢測到入侵行為,
答:部署 IDS/IPS���,使用主機防火墻(軟件)、硬件防火墻、在路由交換設備上設置策略��、采用審計設備等��。
8、請根據《基本要求》中對于主機的相關要求���,按照你的理解,寫出由問題可能導致的安全風險,并給出相應的解決方案。
或給出一張(主機測評)檢查表,有 8 條不符合項目,請結合等級保護要求��,及你的理解���,描述存在的風險���,并給出解決建議��。
解決方案及分析略��。
答:主機常見測評的問題
1、檢測用戶的安全防范意識���,檢查主機的管理文檔(弱口令、安全配置文檔)
2���、網絡服務的配置(不能有過多的網絡服務,防 ping)
3���、安裝有漏洞的軟件包(安裝過時的軟件包)
4、缺省配置(口令缺省配置��,可能被人錄用)
5��、不打補丁或補丁不全(以沒有通過測試等為由拒絕補丁的安裝)
6���、網絡安全敏感信息的泄露(.net 服務��、database 命令,最小原則下��,這
些命令是禁用的)
7���、缺乏安全防范體系(防病毒體系不健全��、linux 沒有成熟的軟件,按要求
也是要有的記錄)
8���、信息資產的不明,缺乏分類的處理(如一臺服務器不知道干什么用的���,上 面有很多服務)
9、安全管理信息單一��、缺乏統一的分析和管理平臺(安全管理平臺��,補丁
升級平臺���,防病毒平臺等)
10��、重技術,輕管理���。
9、1.信息安全等級保護的五個標準步驟是什么,信息安全等級保護的定義是什么,信息安全等級保護五個等級是怎樣定義的,(10 分)
(1) 信息系統定級��、備案��、安全建設整改���、等級測評��、監督檢查。
(2)對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲��、傳輸、處
理這些信息的系統分等級實行安全保護���,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應��、處置���。(答出三個分等級即可)
(3)第一級���,信息系統受到破壞后��,會對公民、法人和其他組織的合法權益造成損害���,但
不損害國家安全、社會秩序和公共利益��。
第二級��,信息系統受到破壞后��,會對公民、法人和其他組織的合法權益產生嚴重損害��,或者對社會秩序和公共利益造成損害��,但不損害國家安全��。
第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級���,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害��。
第五級��,信息系統受到破壞后���,會對國家安全造成特別嚴重損害��。
10、網絡安全的網絡設備防護的 別;
?、身份鑒別信息應具有不易被冒用的特點,口令應有復雜度的要求并定期更換; ?��、應具有登錄失敗處理功能���,可采取結束回話���、限制非法登錄次數和當網絡登陸連 接超時自動退出等措施;
?��、當對網絡設備進行遠程管理時,應采取必要措施防止鑒別信息在網絡傳輸過程中 被竊聽;
?、應實現設備特權用戶的權限分離。
11���、入侵檢測系統分為哪幾種,各有什么特點,(10 分) 答:主機型入侵檢測系統(HIDS),網絡型入侵檢測系統(NIDS)��。
HIDS 一般部署在下述四種情況下:
1 )網絡帶寬高太高無法進行網絡監控
2 )網絡帶寬太低不能承受網絡 IDS 的開銷
3 )網絡環境是高度交換且交換機上沒有鏡像端口
4 )不需要廣泛的入侵檢測
HIDS 往往以系統日志���、應用程序日志作為數據源;檢測主機上的命令序列比檢測網絡流更簡單��,系統的復雜性也少得多���,所以主機檢測系統誤報率比網絡入侵檢測系統的誤報率要低;他除了檢測自身的主機以外��,根本不檢測網絡上的情況,而且對入侵行為分析的工作量將隨著主機數量的增加而增加���,因此全面部署主機入侵檢測系統代價比較大,企業很難將所有主機用主機入侵檢測系統保護��,只能選擇部分主機進行保護���,那些未安裝主機入侵檢測系統的機器將成為保護的忙點���,入侵者可利用這些機器達到攻擊的目標���。依賴于服務器固有的日志和監視能力��,���。如果服務器上沒有配置日志功能��,則必須重新配置��,這將給運行中的業 務系統帶來不可預見的性能影響���。
NIDS 一般部署在比較重要的網段 按層面劃分分可分為:
1)自主訪問控制 1)網絡訪問控制
2)強制訪問控制 2)主機訪問控制
3)基于角色的訪問控制���。
3)應用訪問控制
4)物理訪問控制
13��、安全審計按對象不同��,可分為哪些類,各類審計的 身份信息的一系列數據,用來在網絡通信中識別通信各方的身份���。
2)從證書的用途來看,數字證書可分為簽名證書和加密證書��。
3)簽名證書主要用于對用戶信息進行簽名��,以保證信息的不可否認性; 加密證書主要用于對用戶傳送信息進行加密���,以保證信息的真實性和 完整性��。
4)數字證書采用非對稱密鑰體制。即利用一對互相匹配的私鑰/公鑰進行 加密���、解密。其中私鑰用于進行解密和簽名;公鑰用于加密和驗證簽名��。
16��、試解釋 SQL 注入攻擊的原理��,以及它產生的不利影響。
答:SQL 注入攻擊的原理是從客戶端提交特殊的代碼��,Web 應用程序如果沒做嚴格的 檢查就將其形
成 SQL 命令發送給數據庫���,從數據庫返回的信息中��,攻擊者可以獲得程 序及服務器的信息���,從而進一步獲得其他資料。
SQL 注入攻擊可以獲取 Web 應用程序和數據庫系統的信息���,還可以通過 SQL 注入 攻擊竊取敏感數據,篡改數據��,破壞數據���,甚至以數據庫系統為橋梁進一步入侵服務器 操作系統��,從而帶來更為巨大的破壞��。
17、入侵威脅有哪幾種,入侵行為有哪幾種,造成入侵威脅的入侵行為主要是哪兩種,各自的含義是什么,
答:1��、入侵威脅可分為: 2���、入侵行為可分為: 3��、主要入侵行為:
1)外部滲透 1)物理入侵 1)系統入侵
2) 2)系統入侵 2)遠程入侵
3)不法行為 3)遠程入侵
4��、1)系統入侵是指入侵者在擁有系統的一個低級帳號權限下進行的破壞活動;
2)遠程入侵是指入侵者通過網絡滲透到一個系統中。
18��、系統定級的一般流程是什么,
答:1���、確定作為定級對象的信息系統;
2��、確定業務信息安全受到破壞時所侵害的客體;根據不同的受害客體��, 從各個方面綜合評定業務信息安全被破壞對課題的侵害程度。根據業 務信息的重要性和受到破壞后的危害性確定業務信息安全等級��。
3��、確定系統服務安全受到破壞時所侵害的客體;根據不同的受害客體��, 從各個方面綜合評定系統服務安全被破壞對課題的侵害程度。根據系 統服務的重要性和受到破壞后的危害性確定業務信息安全等級��。
4��、定級對象的等級由業務信息安全等級和系統服務安全等級的較高者
決定。
19��、簡述單位、組織的信息安全管理工作如何與公安機關公共信息網絡安全檢查部門(公安網監部門)相配合。(10)
答: 單位���、組織的信息安全管理工作與公安機關公共信息網絡安全監察部門之間的配合主要體現在以下方面:
(1)單位、組織的信息安全管理,必須遵循信息安全法律��、法規對于安全管理職責���、
備案���、禁止行為��、安全管理制度和安全技術機制要求等方面的內容規定���。
(2)法律���、法規賦予公安機關公共信息網絡安全監察部門對信息安全的監管職責��,各
單位、組織必須接受和配合公安機關公共信息網絡安全監察部門的監督和檢查��。
(3)在發生信息安全案件后��,單位���、組織應當及時向公安機關公共信息網絡安全監察
部門報案��,并在取證和調查等環節給予密切配合。
20、國家為什么要實施信息安全等級保護制度
答:1���、信息安全形勢嚴峻
1)來自境內外敵對勢力的入侵、攻擊、破壞越來越嚴重��。
2)針對基礎信息網絡和重要信息系統的違法犯罪持續上升���。
3)基礎信息網絡和重要信息系統安全隱患嚴重���。
2���、維護國家安全的需要
1)基礎信息網絡與重要信息系統已成為國家關鍵基礎設施��。
2)信息安全是國家安全的重要組成部分。
3)信息安全是非傳統安全��,信息安全本質是信息對抗���、技術對抗��。
4)我國的信息安全保障工作基礎還很薄弱���。
21���、三級信息系統中網絡安全的結構安全有哪些小項,(10 分) a)
b)
c)
d)
e)
f)
g)
應保證主要網絡設備的業務處理能力具備冗余空間��,滿足業務高峰期需要; 應保證網絡各個部分的帶寬滿足業務高峰期需要; 應在業務終端與業務服務器之間進行路由控制建立安全的訪問路徑; 應繪制與當前運行情況相符的網絡拓撲結構圖; 應根據各部門的工作職能、重要性和所涉及信息的重要程度等因素���,劃分不同的子網或網段,并按照方便管理和控制的原則為各子網��、網段分配地址段; 應避免將重要網段部署在網絡邊界處且直接連接外部信息系統��,重要網段與其他網段之間采取可靠的技術隔離手段; 應按照對業務服務的重要次序來指 定帶寬分配優先級別���,保證在網絡發生擁堵的時候優先保護重要主機���。
22、簡單介紹可采取哪些措施進行有效地控制攻擊事件和惡意代碼,(20 分)
答:1���、安裝并合理配置主機防火墻
2、安裝并合理配置網絡防火墻
3���、安裝并合理配置 IDS/IPS
4、嚴格控制外來介質的使用
5��、防御和查殺結合���、整體防御、防管結合��、多層防御
6��、設置安全管理平臺��,補丁升級平臺,防病毒平臺等對防病的系統進行升級��、漏洞進行及時安裝補丁��,病毒庫定期更新
7���、定期檢查網絡設備和安全設備的日志審計���,發現可疑現象可及時進行做出相應處理��。
8、為了有效防止地址攻擊和拒絕服務攻擊可采取��,在會話處于非活躍一定時間或會話結束后終止網絡連接��。
9��、為了有效防止黑客入侵,可對網絡設備的管理員登錄地址進行限制和對具有撥號功能用戶的數量進行限制���,遠程撥號的用戶也許他就是一個黑客。
10���、采取雙因子認證和信息加密可增強系統的安全性���。
23��、ARP 地址欺騙的分類��、原理是什么,可采取什么措施進行有效控制,(10 分)
答:一種是對網絡設備 ARP 表的欺騙,其原理是截獲網關數據��。它通知網絡設備一系
列錯誤的內網 MAC 地址��,并按照一定的的頻率不斷進行���,使真實的的地址信息無法通過更新保存在網絡設備中���,結果網絡設備的所有的數據只能發給錯誤的 MAC地址���,造成正常 PC 無法收到信息��。
另一種是對內網 PC 的網關欺騙。其原理是建立假網關��,讓被它欺騙的 PC 向假網關發數據��,而不是通過正常的途徑上網��。
措施:一、在網絡設備中把所有 pc 的 ip-mac 輸入到一個靜態表中,這叫 ip-mac 綁定;
二��、在內網所有 pc 上設置網關的靜態 arp 信息��,這叫 pc ip-mac 綁定���。一般要
求兩個工作都要做��,稱為 ip-mac 雙向綁定���。
推薦訪問:
信息安全
等級
測評師
