51.作为管理人员技术测评人员来说,熟悉不熟悉测评的流程、测评的对象、选取的方法、重点项的测评内容。(66期)
以三级系统为例,在三级系统中我们测评的对象应基本覆盖所有主要的设备、设施、人员、文档等。对于管理测评来说:我们主要是以该定级对象的管理制度、记录表单、操作规程、安全主管人员、各方面负责人员、具体负责安全管理的当事人等作为测评对象。对于技术测评来说:我们选取测评对象时应保证相同配置的设备应每类至少抽查两台(三级)作为测评对象,四级系统每类至少三台作为测评对象;主要对象有:主机房、安全设备、系统网络架构、边界网络设备、网络互联设备(路由器、核心交换机)、服务器、业务终端系统、数据库等作为测评对象。
测评的流程主要分为测评准备、方案制定、现场测评、报告编制四个步骤。
测评准备活动包括工作启动、信息收集和分析、工具和表单准备三项主要任务;
方案制定活动包括被测对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制等六项主要任务。
现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三个主要任务,测评的方式为访问、核查和测试;
在现场测评工作后,测评机构应对现场测评获得的测评测评结果根据单项测评结果判定、单元测评结果判定、整体测评、系统安全保障评估、安全问题风险分析、等级测评结论形成、测评报告编制等步骤撰写报告。
52.依据《基本要求》(GB、T22239-2019),针对第三级信息系统而言,在安全计算环境中适用于服务器设备对应哪些安全子类?安全计算环境中安全审计的内容是什么?相比于第二级信息系统,三级信息系统安全审计内容增加的是哪一条?(65期)
(1)安全计算环境中适用于服务器设备对应的安全子类:
linux:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据备份恢复
windows:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据备份恢复
oracle:身份鉴别、访问控制、安全审计、入侵防范、数据备份恢复
mysql:身份鉴别、访问控制、安全审计、入侵防范、数据备份恢复
(2)安全审计要求包括:
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
d)应对审计进程进行保护.,防止未经授权的中断
(3)d)应对审计进程进行保护,防止未经授权的中断。
53.主机服务器按照规模或系统功能来区分为哪些类?主机安全在测评时会遇到哪些类型操作系统?网络安全三级信息系统的安全子类是什么?三级网络安全的安全审计内容是什么?
(1)巨型、大型、中型、小型、微型计算机及单片机。
(2)Windows ,Linux ,SunSolaris ,IBMAIX ,HP-UX 等等。
(3)结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设 备防护。
(4)a、应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。
b、审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相 关的信息。
c、应能够根据记录数据进行分析,并生成审计报表。
d、应对审计记录进行保护、避免受到未预期的删除、修改或覆盖等。
54.定级为S2A2G2,描述网络存在的问题。(65期)
(1)系统没有进行区域划分,没有划分外联接入区和安全管理区
(2)系统的边界没有隔离和防护:在下级单位和视频信源的边界处应部署防火墙,并配置相应的访问控制策略
(3)没有部署网络防恶意代码产品,不能在关键网络节点处对恶意代码进行检测和清除
(4)没有部署入侵检测产品,不能对网络中的关键节点处监视网络攻击行为
(5)没有部署安全审计设备,不能对系统中的日志进行备份和保护
(6)边界访问控制设备缺少,解掉设备A、B、C处防火墙等
(7)未对关键网络节点处(如核心交换机)监视网络攻击行为,缺少IDS或IPS设备
(8)未对网络关键节点处进行安全审计,缺少APT,全流量分析等
(9)未基于可信根对边界设备进行可行验证
(10)缺少日志服务器、综合日志审计设备等
55.安全管理中心--集中管控(62.71.72期)
(1)应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控
(2)应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理
(3)应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测
(4)应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求
(5)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;
(6)应能对网络中发生的各类安全事件进行识别、报警和分析
56.手机APP收集用户手机号,密码,通讯录,银行卡号,交易密码,个人位置,分析可能存在的风险。(72期)
1. 手机号泄露:用户的手机号是身份验证和找回密码的重要手段,如果该信息被泄露,攻击者可能会利用它进行恶意活动,例如身份盗窃或网络钓鱼攻击。
2. 密码泄露:如果用户的密码被泄露,攻击者可能会直接使用这些密码访问用户的个人信息,例如银行账户或电子邮件等。
3. 通讯录泄露:通讯录通常包含用户的亲朋好友的联系方式和敏感信息,如果泄露,攻击者可能会利用这些信息进行社交工程攻击或骚扰。
4. 银行卡号和交易密码泄露:如果这些信息被泄露,攻击者可能会直接使用这些信息进行网上欺诈或盗窃等金融犯罪。
5. 个人位置泄露:用户的个人位置信息可能包含其住址和工作地点等敏感信息,如果泄露,攻击者可能会利用这些信息进行针对性攻击或骚扰。
57.金融app 让客户主动搜集其个人信息(包含手机号、金融账号和登录交易密码)等,用授权的方式搜集设备信息、定位信息等,频繁上传位置信息,完全上传通讯录等。问有哪些安全风险。(72期)
58.针对运维管理方面集中管控中“e)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理”,作为安全(系统)管理员应该怎么办?(65期)
(1)安全管理员:
在安全管理区域部署集中管理措施,实现对各类型设备(如:防火墙,IPS,waf等)安全策略的统一管理,实现对网络恶意代码防护设备、主机操作系统恶意代码软件规则库的统一升级,实现对各类型设备(主机操作系统、数据库操作系统等)的补丁升级进行集中管理
(2)系统管理员:
·系统管理员需要在测试环境对补丁进行升级,测试无问题之后打到生产系统中。
·系统管理员需要对网络安全设备,服务器,数据库,应用系统中进行漏洞扫描,实时关注漏洞平台和安全厂商更新的漏洞情况,做好恶意代码检测和防护。
·系统管理员需要对安全策略进行检测和对安全策略的有效性进行验证,对发现多余或无用的安全策略应通知安全管理员删除或禁用。
59.请简述等级保护安全管理测评和安全技术测评之间的区别与联系,并举例说明。(65.63期)
(1)回答一:
安全技术主要通过在信息系统中合理配置软硬件并正确部署其安全功能实现,技术测评所针对的信息系统中的软硬件,按照相关标准,采用核查、访谈、测评的方式,对系统中的软硬件部署、相关安全配置策略进行测评,在一定情况下,需要在经被测评方同意后,登陆相关设备进行测评。
安全管理主要通过制度、人员、管控等方面进行测评,采用核查、访谈的方法,核查被测评对象在各方面标准之间的差距,根据组织的特定管理要求和业务需求提出参考下改进意见或建议联系。
两者既互相独立,又互相联系,确保测评对象安全不可分割的两部分。
(2)回答二:
安全技术测评体现了“从外部到内部”的纵深防御思想,对等级保护的安全防护应考虑从通信网络、区域边界和计算环境从外到内的整体防护,同时考虑其所处的物理环境的安全防护,对级别较高的还需要考虑对分布在整个系统中的安全功能或安全组件的集中技术管理手段。安全管理测评体现了“从要素到活动”的综合管理思想,安全管理需要的“机构”“制度”和“人员”三要素缺一不可,同时应对系统的建设整改过程和运行维护过程中重要活动实施控制和管理,对级别较高的需要构建完备的安全管理体系。
安全技术测评主要关注点体现在具体的安全防护措施是否满足相应的要求,安全策略是否合理,策略是否生效等具体的技术措施的实现。安全管理主要关注安全工作内容是否完善,是否形成管理体系,从政策、制度、规范、流程等方面落实完善。
安全技术测评方法主要采用检查测试,确定具体的安全防护措施和安全配置。安全管理测评方法主要采用访谈核查,确认制度信息是否完整,制度是否落实。安全管理测评师对安全技术测评的补充,同时与技术测评相互验证。
例如:安全技术测评中,网络设备的安全审计记录的信息,检测并验证日志信息信息是否完整,日志记录是否备份,记录是否有效等。在安全管理测评中,核查是否存在完善的安全运维管理日志审计记录文件,是否保留日志审计记录文档。
60.防火墙入侵检测项。(74期初)
通过监视各种操作,分析,审计各种数据和现象来实时检测入侵行为的过程,它是一种积极的动态的安全防御技术,用于入侵检测的所有软硬件系统,发现有违反安全策略的行为或系统存在被攻击的痕迹,立即启用有关安全机制进行应对。
扫一扫
2119
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
