等保测评试题分享下

三、判断题

1、双因子鉴别不仅要求访问者知道一些鉴别信息，还需要访问者拥有鉴别特征。（√）

2、口令度复杂度应有要求，所以复杂的口令可以不用修改。（×）

3、为特权用户设置口令时，应当使用enablepassword命令，该命令用于设定具有管理权限的口令。（×）

4、在SSL握手信息中，采用了RSA、MD5等加密技术来实现机密性和数据完整性。（×）

5、VLAN技术是基于应用层和网络层之间的隔离技术。（×）

6、标准访问控制列表通过网络地址和传输中的数据类型进行信息流控制，且只允许过滤目的地址。（×）

7、CSMA/CD访问方法的缺点是冲突会降低网络性能。（√）

8、包过滤型防火墙是最传统的最基本的防火墙，可以工作在网络层，对数据包的源地址、源端口等进

行过滤。（√）

9、网络嗅探是指攻击者使用工具软件在网络借口上合法获取他人数据。（×）

10、文件权限读写和执行的三种标志符号依次是r-w-x。（√）

11、每个Linux/UNIX系统中都有一个特权用户，就是root用户。（×）

12、在Linux系统中，通常通过文件/etc/login.defs和/etc/default/useradd，对口令生命期进行综合配置，但是这些设置仅仅在新用户账户创建时候适用，适用chang命令可以修改已存在的账户的口令周期。（√）

13、依据GB/T 22239-2008，三级信息系统应对“系统管理数据”、“鉴别信息”和“重要业务数据”实现存储保密性。（√）

14、在应用系统现场等级测评活动中，不需要对应用系统的安全功能进行验证。（×）

15、在Sybase中，如果不存在sybsecurity库，则说明未安装审计工具。（√）

16、对于测试过程可能造成的对目标系统的网络流量及主机性能等方面的影响，要实现告知被测系统相关人员。（√）

17、按三级要求，应对重要数据、鉴别信息等实现存储保密性。（√）

18、oracle数据库不能对密码进行复杂度设置。（×）

19、给主机动态分配IP的协议是ARP协议。（×）是DHCP

20、二级中，应根据会话状态信息数为数据流提供明确的允许或拒绝访问能力，控制粒度为网段级。（√）三级的控制粒度是端口级。

21、三级中，在应用层面要求对主体和客体进行安全标记。（√）三级要求强制访问控制。

22、三级中，MS sql server的审核级别应为“无”。（×）是“全部”

23、三级应用系统中，要求“应采用验证码技术保证通信中数据的完整性”。（×）这是二级要求，三级要求利用密码技术。

24、包过滤防火墙是最基本最传统的防火墙，它可以运行在应用层，….。（×）只运行在网络层和传输层。

25、windows中的power users组默认具有对事件日志的删除权限。（×）power users组即超级用户组，只具备部分管理员权限。

26、与windows不同的是，Linux/UNIX中不存在预置账户。（×）

27、公安部、国家保密局、国家密码管理局、原国务院信息办共同印发的《信息安全等级保护管理办法》即43号文。（√）

四、简答题

1、网络安全的网络设备防护的内容是什么?

答：（1）应对登录网络设备的用户进行身份鉴别；

（2）应对网络设备管理员的登录地址进行限制；

（3）网络设备用户的标识应唯一；

（4）主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；

（5）身份鉴别信息应具有不易被冒用的特点，口令应有复杂度的要求并定期更换；

（6）应具有登录失败处理功能，可采取结束会话、限制非法登录次数和网络连接超时时自动退出等措施。

（7）当对网络设备进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；

（8）应实现设备特权用户的权限分离。

2、入侵检测系统分为哪几种？各有什么特点？

答：主机型入侵检测系统（HIDS），网络型入侵检测系统（NIDS）。

HIDS一般部署在下述四种情况中：

（1）网络带宽太高无法进行网络监控；

（2）网络带宽太低不能承受网络IDS的开销；

（3）网络环境是高度交换且交换机上没有镜像端口；

（4）不需要广泛的入侵检测。

HIDS往往以系统日志、应用程日志作为数据源；检测主机上的命令序列比检测网络流更简单，系统的复杂性也少得多，所以主机检测系统误报率比网络入侵检测系统的误报率要低；它除了检测自身的主机以外，根本不检测网络上的情况，而且对入侵行为分析的工作量将随着主机数量的增加而增加，因此全面部署主机入侵检测系统代价比较大，企业很难将所有主机用主机入侵检测系统保护，只能选择部分主机进行保护，那些未安装主机入侵检测系统的机器将成为保护的盲点，入侵者可利用这些机器达到攻击的目标。依赖于服务器固有的日志和监视能力，如果服务器上没有配置日志功能，则必须重新配置，这将给运行中的业务系统带来不可预见的性能影响。

NIDS一般部署在比较重要的网段内，它不需要改变服务器等主机的配置，由于它不会在业务系统的主机中安装额外的软件，从而不会影响这些机器的CPU、I/O与磁盘等资源的使用，不会影响业务系统的性能。NIDS的数据源是网络上的数据包，通过线路窃听的手段对捕获的网络分组进行处理，从中获取有用的信息。一个网段上只需要安装一个或几个这样的系统，便可以检测整个网络的情况，比较容易实现。由于现在网络的日趋复杂和高速网络的普及，这种结构正接受着越来越大的挑战。

3、访问控制的三要素是什么？按访问控制策略划分，可分为哪几类？按层面划分，可分为哪几类？

答：访问控制的三要素是：主体、客体、操作。

按访问控制策略划分可分为：（1）自主访问控制（2）强制访问控制（3）基于角色的访问控制

按层面划分可分为：（1）网络访问控制（2）主机访问控制（3）应用访问控制（4）物理访问控制

4、安全审计按对象不同，可分为哪些类？各类审计的内容又是什么？

答：分为系统级审计，应用级审计，用户级审计。

系统级审计：要求至少能够记录的登录结果、登录标识、登录尝试的日期和时间、退出的日期和时间、所使用的设备、登录后运行的内容、修改配置文件的请求等。

应用级审计：跟踪监控和记录诸如打开和关闭数据文件，读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。

用户级审计：跟踪通常记录用户直接启动的所有命令、所有的标识和鉴别尝试的所有访问的文件和资源。

5、基本要求中，在应用安全层面的访问控制要求中，三级系统较二级系统增加的措施有哪些？

答：三级比二级增加的要求项有：应提供对重要信息资源设置敏感标记的功能；应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。

6、在主机测评前期调研活动中，收集信息的内容（至少写出六项）？在选择主机测评对象时应该注意哪些要点？

答：至少需要收集服务器主机的设备名称、型号、操作系统、IP地址、安装的应用软件情况、主要的业务情况、重要程度、是否热备等信息。测评对象选择时应该注意重要性、代表性、完整性、安全性、共享性五大原则。

7、主机常见测评的问题？

答：（1）检测用户的安全防范意识，检查主机的管理文档

（2）网络服务的配置

（3）安装有漏洞的软件包

（4）缺省配置

（5）不打补丁或补丁不全

（6）网络安全敏感信息的泄露

（7）缺乏安全防范体系