哈尔滨等保测评知识分享（七）

21.测评方式

（1）访谈：

测评人员通过与测评对象有关人员（个人/群体）进行交流、讨论等活动获取相关证据表明测评对象安全保护措施是否落实的一种方法。在访谈的范围上，应基本覆盖所有的安全相关人员类型，在数量上可以抽样。

（2）核查：

是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明其安全保护措施是否有效的一种方法。

（3）核查与访谈的关系：

通过访谈获得肯定答案，通过核查验证访谈结果。

22.入侵检测系统分为哪几种，各有什么特点? 

入侵检测是对入侵行为的发觉.它从计算机网络或计算机系统的关键点收集信息并进行 分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的对象.经入侵检测发现 入侵行为后，可以采取相应的安全措施， 如报警、记录、切断拦截等， 从而提高网络系统的 安全应变能力。

（1）主机型入侵检测系统（HIDS）

【部署环境】一般部署在下述四种情况下：

·网络带宽太高无法进行网络监控;

·网络带宽太低不能承受网络IDS的开销;

·网络环境是高度交换且交换机上没有镜像端口;

·不需要广泛的入侵检测。

【检测源】HIDS往往以系统日志、应用程序日志作为数据源，

【检测方法】检测主机上的命令序列比检测网络流更简单，系统的复杂性也少得多，所以主机检测系统误报率比网络入侵检测系统的误报率要低；

【优点+缺点】他除了检测自身的主机以外，根本不检测网络上的情况，而且对入侵行为分析的工作量将随着主机数量的增加而增加，因此全面部署主机入侵检测系统代价比较大，企业很难将所有主机用主机入侵检测系统保护，只能选择部分主机进行保护，那些未安装主机入侵检测系统的机器将成为保护的盲点，入侵者可利用这些机器达到攻击的目标。依赖于服务器固有的日志和监视能力。如果服务器上没有配置日志功能，则必须重新配置，这将给运行中的业务系统带来不可预见的性能影响。

（2）网络型入侵检测系统（NIDS）

【部署环境】一般部署在比较重要的网段内，它不需要改变服务器等主机的配置，由于他不会在业务系统的主机中安装额外的软件，从而不会影响这些机器的CPU、I/0与磁盘等资源的使用，不会影响业务系统的性能。

【检测源】NIDS的数据源是网络上的数据包。

【检测方法】通过线路窃听的手段对捕获的网络分组进行处理，从中获取有用的信息。

【优点+缺点】一个网段上只需要安装一个或几个这样的系统，便可以检测整个网络的情况，比较容易实现。由于现在网络的日趋复杂和高速网络的普及，这种结构正接受者越来越大的挑战。

23.入侵威胁有哪几种?入侵行为有哪几种?造成入侵威胁的入侵行为主要是哪两种，各自的含义是什么?入侵行为的目的是什么？

入侵威胁可分为：外部渗透、内部渗透、不法行为。

入侵行为可分为：物理入侵、系统入侵、远程入侵。

主要入侵行为：系统入侵、远程入侵。

系统入侵是指入侵者在拥有系统的一个低级账号权限下进行的破坏活动。

远程入侵是指入侵者通过网络渗透到一个系统中。

入侵者的目的各不相同，分为善意的和恶意的。大体来说入侵者在入侵一个系统者时会 想达到以下一种或者几种目的： 执行进程，获取文件和数据， 获取超级用户权限， 进行非授权操作，使系统拒绝服务，篡改信息，批露信息。

24.简单介绍可采取哪些措施进行有效地控制攻击事件和恶意代码?

（1）安装并合理配置主机防火墙。

（2）安装并合理配置网络防火墙。

（3）安装并合理配置IDS/IPS.

（4）严格控制外来介质的使用。

（5）防御和查杀结合、整体防御、防管结合、多层防御。

（6）设置安全管理平台、补丁升级平台、防病毒平台等对防毒的系统进行升级、漏洞进行及时安装补丁，病毒库定时更新。

（7）定期检查网络设备和安全设备的日志审计，发现可疑对象可及时进行做出相应处理。

（8）为了有效防止地址攻击和拒绝服务攻击可采取在会话处于非活跃一定时间或会话结束后终止网络连接。

（9）为了有效防止黑客入侵，可对网络设备的管理员登陆地址进行限制和对其具有拨号功能用户的数量进行限制，远程拨号的用户也许它就是一个黑客。

（10）采取双因子认证和信息加密可增强系统的安全性。

25.采取什么措施可以帮助检测到入侵行为? 

部署IPS/IDS，使用主机防火墙（软件)、硬件防火墙、在路由交换设备上设置策略、采用审计设备等。

26.身份认证的信息主要有哪几类？并每项列举不少于2个的事例。

（1）用户知道的信息，如个人标识、口令等。

（2）用户所持有的证件，如门卡、智能卡、硬件令牌等。

（3）用户所特有的特征，指纹、虹膜、视网膜扫描结果等。

（4）用户所特有的行为特征，如语音识别、笔记等。

27.数字证书的含义，分类和主要用途，所采用的密码体制？

（1）数字证书是由认证中心生成并经认证中心数字签名的，标志网络用户身份信息的一系列数据，用来在网络通信中识别通信各方的身份。

（2）从证书的用途来看，数字证书可分为签名证书和加密证书。

（3）签名证书主要用于对用户信息进行签名，以保证信息的不可否认性；

（4）加密证书主要用于对用户传送信息进行加密，以保证信息的真实性和完整性。

（5）数字证书采用非对称密钥体制。即利用一对互相匹配的私钥/公钥进行加密、解密。其中私钥用于进行解密和签名；公钥用于加密和验证签名。

28.试解释SQL注入攻击的原理，以及它产生的不利影响。

SQL注入攻击的原理是从客户端提交特殊的代码，Web应用程序如果没做严格的检查就将其形成SQL命令发送给数据库，从数据库返回的信息中，攻击者可以获得程序及服务器的信息，从而进一步获得其他资料。

SQL注入攻击可以获取Web应用程序和数据库系统的信息，还可以通过SQL注入攻击窃取敏感数据，篡改数据，破坏数据，甚至以数据库系统为桥梁进一步入侵服务器操作系统，从而带来更为巨大的破坏。

29.ARP地址欺骗的分类、原理是什么？可采取什么措施进行有效控制？

一种是对网络设备ARP表的欺骗，其原理是截获网关数据。它通知网络设备一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在网络设备中，结果网络设备的所有的数据只能发给错误的MAC地址，造成正常PC无法收到信息。

另一种是对内网PC的网关欺骗。其原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的途径上网。

措施：

• 在网络设备中把所有pc的ip-mac输入到一个静态表中，这叫ip-mac绑定；
• 在内网所有pc上设置网关的静态arp信息，这叫pc ip-mac绑定。一般要求两个工作都要做，称为ip-mac双向绑定。

30.简述单位、组织的信息安全管理工作如何与公安机关公共信息网络安全检查部门（公安网监部门）相配合。

单位、组织的信息安全管理工作与公安机关公共信息网络安全监察部门之间的配合主要体现在以下方面：

（1）单位、组织的信息安全管理，必须遵循信息安全法律、法规对于安全管理职责、备案、禁止行为、安全管理制度和安全技术机制要求等方面的内容规定。

（2）法律、法规赋予公安机关公共信息网络安全监察部门对信息安全的监管职责，各单位、组织必须接受和配合公安机关公共信息网络安全监察部门的监督和检查。

（3）在发生信息安全案件后，单位、组织应当及时向公安机关公共信息网络安全监察部门报案，并在取证和调查等环节给予密切配合。