等保测评实体分享three

四、简答题

1、网络安全的网络设备防护的内容是什么

答：（1）应对登录网络设备的用户进行身份鉴别；

   （2）应对网络设备管理员的登录地址进行限制；

   （3）网络设备用户的标识应唯一；

   （4）主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；

   （5）身份鉴别信息应具有不易被冒用的特点，口令应有复杂度的要求并定期更换；

   （6）应具有登录失败处理功能，可采取结束会话、限制非法登录次数和网络连接超时时自动退出等措施。

   （7）当对网络设备进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；

   （8）应实现设备特权用户的权限分离。

2、入侵检测系统分为哪几种各有什么特点

答：主机型入侵检测系统（HIDS），网络型入侵检测系统（NIDS）。

HIDS一般部署在下述四种情况中：

（1）网络带宽太高无法进行网络监控；

（2）网络带宽太低不能承受网络IDS的开销；

（3）网络环境是高度交换且交换机上没有镜像端口；

（4）不需要广泛的入侵检测。

HIDS往往以系统日志、应用程日志作为数据源；检测主机上的命令序列比检测网络流更简单，系统的复杂性也少得多，所以主机检测系统误报率比网络入侵检测系统的误报率要低；它除了检测自身的主机以外，根本不检测网络上的情况，而且对入侵行为分析的工作量将随着主机数量的增加而增加，因此全面部署主机入侵检测系统代价比较大，企业很难将所有主机用主机入侵检测系统保护，只能选择部分主机进行保护，那些未安装主机入侵检测系统的机器将成为保护的盲点，入侵者可利用这些机器达到攻击的目标。依赖于服务器固有的日志和监视能力，如果服务器上没有配置日志功能，则必须重新配置，这将给运行中的业务系统带来不可预见的性能影响。

NIDS一般部署在比较重要的网段内，它不需要改变服务器等主机的配置，由于它不会在业务系统的主机中安装额外的软件，从而不会影响这些机器的CPU、I/O与磁盘等资源的使用，不会影响业务系统的性能。NIDS的数据源是网络上的数据包，通过线路窃听的手段对捕获的网络分组进行处理，从中获取有用的信息。一个网段上只需要安装一个或几个这样的系统，便可以检测整个网络的情况，比较容易实现。由于现在网络的日趋复杂和高速网络的普及，这种结构正接受着越来越大的挑战。

3、访问控制的三要素是什么按访问控制策略划分，可分为哪几类按层面划分，可分为哪几类   答：访问控制的三要素是：主体、客体、操作。

  按访问控制策略划分可分为：（1）自主访问控制 （2）强制访问控制 （3）基于角色的访问控制

  按层面划分可分为：（1）网络访问控制 （2）主机访问控制 （3）应用访问控制 （4）物理访问控制

4、安全审计按对象不同，可分为哪些类各类审计的内容又是什么

  答：分为系统级审计，应用级审计，用户级审计。

  系统级审计：要求至少能够记录的登录结果、登录标识、登录尝试的日期和时间、退出的日期和时间、所使用的设备、登录后运行的内容、修改配置文件的请求等。

  应用级审计：跟踪监控和记录诸如打开和关闭数据文件，读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。

  用户级审计：跟踪通常记录用户直接启动的所有命令、所有的标识和鉴别尝试的所有访问的文件和资源。

5、基本要求中，在应用安全层面的访问控制要求中，三级系统较二级系统增加的措施有哪些

答：三级比二级增加的要求项有：应提供对重要信息资源设置敏感标记的功能；应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。

6、在主机测评前期调研活动中，收集信息的内容（至少写出六项）在选择主机测评对象时应该注意哪些要点

答：至少需要收集服务器主机的设备名称、型号、操作系统、IP地址、安装的应用软件情况、主要的业务情况、重要程度、是否热备等信息。测评对象选择时应该注意重要性、代表性、完整性、安全性、共享性五大原则。

7、主机常见测评的问题

答：（1）检测用户的安全防范意识，检查主机的管理文档

   （2）网络服务的配置

   （3）安装有漏洞的软件包

   （4）缺省配置

   （5）不打补丁或补丁不全

   （6）网络安全敏感信息的泄露

   （7）缺乏安全防范体系

   （8）信息资产不明，缺乏分类的处理

   （9）安全管理信息单一，缺乏单一的分信息和管理平台

8、数据库常见威胁有哪些正对于工具测试需要主要 哪些内容

答:①非授权访问、特权提升、SQL注入针对漏洞进行攻击、绕过 访问控制进行非授权访问等②)工具测试接入测试设备之前,首先要有被测系统人员确定测试条件是否具备。测试条件包括被测网络设备、主机、安全设备等是否都在正常运行，测试时间段是否为可测试时间段等等。接入系统的设备、工具和IP地址等配置要经过被测系统相关人员确认。对于测试过程可能造成的对目标系统的网络流量及主机性能等方面的影响，要事先告知被测系统相关人员对于测试过程中的关键步骤、重要证据要及时利用抓图工具取证。对于测试过程中出现的异常情况要及时记录，需要被测方人员确认被测系统状态正常并签字后离场。

9、主机按照其规模或系统功能来区分为哪些类主机安全在测评时，会遇到哪些类型操作系统网络安全三级信息系统的安全子类是什么三级网络安全的安全审计内容是什么

答：（1）巨型、大型、中型、小型、微型计算机和单片机

   （2）目前运行在主机上的主流操作系统有：windows、linux、sunsolaris、ibm aix、hp-ux等

   （3）结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护

（4）应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。审计记录应包括：事件的日期和时间、用户、事件类型、事件 是否成功及其他与审计相关的信息。应能够根据记录数据进行分析，并生成审计报表。应对审计记录 进行保护，避免手袋未预期的删除、修改或覆盖等。

10、工具测试接入点原则及注意事项

答：首要原则是不影响目标系统正常运行的前提下严格按照方案选定范围进行测试。

1. 低级别系统向高级别系统探测
2. 同一系统同等重要程度功能区域之间要相互探测
3. 较低级别程度区域向较高重要区域探测
4. 由外联接口向系统内部探测
5. 跨网络隔离设备要分段探测

注意事项：

（1）工具测试接入测试设备之前，首先要有被测系统人员确定测试条件是否具备。（测试条件包括被测网络设备、主机、安全设备等是否都在正常运行），测试时间段是否为可测试时间段等。

（2）接入系统的设备、工具的IP地址等配置要经过被测系统相关人员确认

（3）对于测试过程中可能造成的对目标系统的网络流量及主机性能方面的影响，要实现告知被测系统相关人员。

（4）对于测试过程中的关键步骤、重要证据要及时利用抓图取证

（5）对于测试过程中出行的异常情况要及时记录

（6）测试结束后，需要被测方人员确认被测系统状态正常并签字后退场

11、ARP的原理和分类

ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。

在以太网中，一个主机和另一个主机进行直接通信，必须要知道目标主机的MAC地址。就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

普通ARP(正向ARP)：通过ip地址获得MAC地址

翻转ARP(RARP)：通过MAC地址获得ip地址

免费ARP：查询想使用的ip地址是否在局域网中已被占用

逆向ARP(IARP)：通过物理地址获得ip地址

代理ARP:路由器收到ARP request时，发现源目ip不在相同网段，就会饰演代理ARP角色，代为回答，告诉查询者它想要的MAC地址。

12、备份方式

增量备份差异备份完全备份

1）全量备份备份全部选中的文件夹，并不依赖文件的存档属性来确定备份那些文件。（在备份过程中，任何现有的标记都被清除，每个文件都被标记为已备份，换言之，清除存档属性）。全量备份就是指对某一个时间点上的所有数据或应用进行的一个完全拷贝。实际应用中就是用一盘磁带对整个系统进行全量备份，包括其中的系统和所有数据。这种备份方式最大的好处就是只要用一盘磁带，就可以恢复丢失的数据。因此大大加快了系统或数据的恢复时间。然而它的不足之处在于，各个全备份磁带中的备份数据存在大量的重复信息；另外，由于每次需要备份的数据量相当大，因此备份所需时间较长。

2）增量备份增量备份是针对于上一次备份（无论是哪种备份）：备份上一次备份后（包含全量备份、差异备份、增量备份），所有发生变化的文件。（增量备份过程中，只备份有标记的选中的文件和文件夹，它清除标记，既：备份后标记文件，换言之，清除存档属性）。增量备份是指在一次全备份或上一次增量备份后，以后每次的备份只需备份与前一次相比增加和者被修改的文件。这就意味着，第一次增量备份的对象是进行全备后所产生的增加和修改的文件；第二次增量备份的对象是进行第一次增量备份后所产生的增加和修改的文件，如此类推。这种备份方式最显着的优点就是：没有重复的备份数据，因此备份的数据量不大，备份所需的时间很短。但增量备份的数据恢复是比较麻烦的。您必须具有上一次全备份和所有增量备份磁带（一旦丢失或损坏其中的一盘磁带，就会造成恢复的失败），并且它们必须沿着从全备份到依次增量备份的时间顺序逐个反推恢复，因此这就极大地延长了恢复时间。

举例来说：如果系统在星期四的早晨发生故障，丢失大批数据，那么现在就需要将系统恢复到星期三晚上的状态。这时管理员需要首先找出星期一的那盘完全备份磁带进行系统恢复，然后再找出星期二的磁带来恢复星期二的数据，然后在找出星期三的磁带来恢复星期三的数据。很明显这比第一种策略要麻烦得多。另外这种备份可靠性也差。在这种备份下，各磁带间的关系就象链子一样，一环套一环，其中任何一盘磁带出了问题都会导致整条链子脱节。

3）差异备份差异备份是针对完全备份：备份上一次的完全备份后发生变化的所有文件。（差异备份过程中，只备份有标记的那些选中的文件和文件夹。它不清除标记，既：备份后不标记为已备份文件，换言之，不清除存档属性）。差异备份是指在一次全备份后到进行差异备份的这段时间内，对那些增加或者修改文件的备份。在进行恢复时，我们只需对第一次全量备份和最后一次差异备份进行恢复。差异备份在避免了另外两种备份策略缺陷的同时，又具备了它们各自的优点。首先，它具有了增量备份需要时间短、节省磁盘空间的优势；其次，它又具有了全备份恢复所需磁带少、恢复时间短的特点。系统管理员只需要两盘磁带，即全备份磁带与灾难发生前一天的差异备份磁带，就可以将系统恢复。

举例来说：在星期一，网络管理员按惯例进行系统全量备份；在星期二，假设系统内只多了一个资产清单，于是管理员只需将这份资产清单一并备份下来即可；在星期三，系统内又多了一份产品目录，于是管理员不仅要将这份目录，还要连同星期二的那份资产清单一并备份下来。如果在星期四系统内有多了一张工资表，那么星期四需要备份的内容就是：工资表+产品目录+资产清单。

区别：

完全备份是备份所有数据，增量备份和差异备份只备份变更数据。完全备份与增量备份和差异备份相比：增量备份和差异备份的时间少、效率高，占用磁盘的空间小；