常见简单题
等保测评师(初级)简答题
607.请简述等级保护安全管理测评和安全技术测评之间的区别与联系,并举例说明
答案:
①、主要区别在于:二者关注的方面不同,而且获取证据采取的主要测评方式不同。(2分)
②、安全管理测评主要关注与信息系统相关各类人员、及人员参与的活动是否得到有效的管理控制,是否从政策、制度、流程、记录等方面进行规范化管理;因此安全管理测评主要通过人员访谈和文档检查实现。(2分)
③、安全技术测评主要关注软硬件产品是否在信息系统中得到合理部署,网络结构是否得到合理的划分,部署的软硬件产品的安全功能是否得到正确的配置;因此安全技术测评主要通过配置检查获得证据。(2分)
④、两者之间既互相独立,又互相关联 (1分)
譬如主机恶意代码防范、在技术测评关注是否部署防病毒服务器并正确配置恶意代码检测和病毒库更新功能,在系统运维管理方面测评关注有人来维护和管理病毒服务器,对恶意代码扫描结果进行分析。(一个示例2分,实例不唯一)
⑤、只有通过安全技术和安全管理两方面的测评,综合分析判断,才能对信息系统的安全状况作为客观、准确的评价。(1分)
608.依据《基本要求》(GB、T22239-2019),针对第三级信息系统而言,在安全计算环境中适用于服务器设备对应哪些安全子类?安全计算环境中安全审计的内容是什么?相比于第二级信息系统,三级信息系统安全审计内容增加的是哪一条?
答案:
安全计算环境中适用于服务器设备对应的安全子类:
Linux:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据备份恢复
Windows:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据备份恢复
Oracle:身份鉴别、访问控制、安全审计、入侵防范、数据备份恢复
Mysql:身份鉴别、访问控制、安全审计、入侵防范、数据备份恢复
安全审计要求包括:
A)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
B)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
C)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
D)应对审计进程进行保护.,防止未经授权的中断
三级信息系统安全审计内容比第二级增加了d)应对审计进程进行保护.,防止未经授权的中断。
609.某单位系统出现了永恒之蓝安全事故,系统服务期间还开启了远程服务,请从网络和安全管理角度进行分析和提出整改建议
答案:
分析:系统具有这个永恒之蓝漏洞,445、135、137、138、139端口开放,被攻击者扫描探测到并进行了攻击
整改建议:
①、主机层面关闭445、135、137、138、139高危端口,开启防火墙,关闭网络共享,要是业务实在需要用远程管理的话,更改3389端口,网络层面在安全设备拒绝高危端口连接,限制服务器远程管理地址
②、管理层面的建议的话就是定期对系统进行漏扫活渗透测试,发现漏洞及时打补丁修复,装杀毒
610.针对运维管理方面集中管控中“e)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理”,作为安全(系统)管理员应该怎么办?
假如你是安全管理员,如何开展对安全策略、恶意代码、补丁升级等安全相关事项进行集中管控的工作
答案:
安全管理员:
在安全管理区域部署集中管理措施,实现对各类型设备(如:防火墙,IPS,waf等)安全策略的统一管理,实现对网络恶意代码防护设备、主机操作系统恶意代码软件规则库的统一升级,实现对各类型设备(主机操作系统、数据库操作系统等)的补丁升级进行集中管理
系统管理员:
① 、系统管理员需要在测试环境对补丁进行升级,测试无问题之后打到生产系统中。
②、系统管理员需要对网络安全设备,服务器,数据库,应用系统中进行漏洞扫描,实时关注漏洞平台和安全厂商更新的漏洞情况,做好恶意代码检测和防护。
③、系统管理员需要对安全策略进行检测和对安全策略的有效性进行验证,对发现多余或无用的安全策略应通知安全管理员删除或禁用。
611.安全管理中心的集中管控包括什么?
答案:
①. 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控
② . 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理
③ . 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测
④. 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求
④ . 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;
⑥. 应能对网络中发生的各类安全事件进行识别、报警和分析
612.给你一个场景,提出安全加固的建议
答案:重点解析一下身份鉴别,访问控制、入侵防范、安全审计、可信验证、数据完整性、数据保密性、数据备份恢复、个人信息保护
613**.作为管理人员技术测评人员来说,熟悉不熟悉测评的流程、测评的对象、选取的方法、重点项的测评内容**
答案:
以三级系统为例,在三级系统中我们测评的对象应基本覆盖所有主要的设备、设施、人员、文档等。对于管理测评来说:我们主要是以该定级对象的管理制度、记录表单、操作规程、安全主管人员、各方面负责人员、具体负责安全管理的当事人等作为测评对象。对于技术测评来说:我们选取测评对象时应保证相同配置的设备应每类至少抽查两台(三级)作为测评对象,四级系统每类至少三台作为测评对象;主要对象有:主机房、安全设备、系统网络架构、边界网络设备、网络互联设备(路由器、核心交换机)、服务器、业务终端系统、数据库等作为测评对象。
测评的流程主要分为测评准备、方案制定、现场测评、报告编制四个步骤。
测评准备活动包括工作启动、信息收集和分析、工具和表单准备三项主要任务;
方案制定活动包括被测对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制等六项主要任务。
现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三个主要任务,测评的方式为访问、核查和测试;
在现场测评工作后,测评机构应对现场测评获得的测评测评结果根据单项测评结果判定、单元测评结果判定、整体测评、系统安全保障评估、安全问题风险分析、等级测评结论形成、测评报告编制等步骤撰写报告。
614.数据备份和恢复的方式
答案:
A) 应提供重要数据的本地数据备份与恢复功能;
B) 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地。
C)应提供重要数据处理系统的热冗余,保证系统的高可用性。
615.请简述在三级系统中对网络设备的测评内容
答案:
身份鉴别
A)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
B)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
C)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
D)应采口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
访问控制
A)应对登录的用户分配账户和权限;
B)应重命名或删除默认账户,修改默认账户的默认口令;
C)应及时删除或停用多余的、过期的账户,避免共享账户的存在;
D)应授予管理用户所需的最小权限,实现管理用户的权限分离;
E)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
F)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
入侵防范
B)应关闭不需要的系统服务、默认共享和高危端口;
C)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
E)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
可信验证
A)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
数据备份
A)应提供重要数据的本地数据备份与恢复功能;
C)应提供重要数据处理系统的热冗余,保证系统的高可用性。恢复
616.可分为哪些类?各类审计的内容又是什么?
答案:
系统级审计,应用级审计,用户级审计。
系统级审计:要求至少能够记录登录结果、登录标识、登录尝试的日期和时间、退出的日期和时间、所使用的设备、登录后运行的内容、修改配置文件的请求等。
应用级审计:跟踪监控和记录诸如打开和关闭数据文件,读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。
用户级审计:跟踪通常记录用户直接启动的所有命令、所有的标识和鉴别尝试的所有访问的文件和资源。
617.简述信息系统安全审计有以下五个重要的安全目的。
答案:
(1)审计回顾对个人客体的访问、个人详细的访问过程的历史、系统支持的各种保护机制的效能;
(2)发现非法使用和旁路保护机制的企图,尝试失败重复的次数;
(3)发现超越自己权限的用户操作;
(4)对妄图旁路系统保护机制的犯罪者构成技术屏障和法律威慑;
(5)为用户提供记录和发现企图旁路保护机制的方式。
618.系统安全审计的作用是什么?
答案:
安全审计具有以下主要作用:
(1)对潜在的攻击者起到震慑或警告作用;
(2)对于已经发生的系统破坏行为提供有效的追纠证据;
(3)提供有价值的系统使用日志,帮助管理人员及时发现系统入侵行为或潜在的系统漏洞;
(4)提供系统运行的统计日志,使管理人员能够发现系统性能上的不足或需要改进与加强的地方。
619.网络安全的网络设备防护的内容是什么?(12分)
答案:
①、应对登录网络设备的用户进行身份鉴别;
②、应对网络设备管理员的登陆地址进行限制;
③、网络设备用户的标识应唯一;
④、主要网络设备应对同一用户选择两种或者两种以上组合的鉴别技术来进行身份鉴别;
⑤、身份鉴别信息应具有不易被冒用的特点,口令应有复杂度的要求并定期更换;
⑥、应具有登录失败处理功能,可采取结束回话、限制非法登录次数和当网络登陆连接超时自动退出等措施;
⑦、当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
⑧、应实现设备特权用户的权限分离。
620.入侵检测系统分为哪几种,各有什么特点?(10分)
答案:
主机型入侵检测系统(HIDS),网络型入侵检测系统(NIDS)。
HIDS一般部署在下述四种情况下:
1 )网络带宽高太高无法进行网络监控
2 )网络带宽太低不能承受网络IDS的开销
3 )网络环境是高度交换且交换机上没有镜像端口
4 )不需要广泛的入侵检测
HIDS往往以系统日志、应用程序日志作为数据源;检测主机上的命令序列比检测网络流更简单,系统的复杂性也少得多,所以主机检测系统误报率比网络入侵检测系统的误报率要低;他除了检测自身的主机以外,根本不检测网络上的情况,而且对入侵行为分析的工作量将随着主机数量的增加而增加,因此全面部署主机入侵检测系统代价比较大,企业很难将所有主机用主机入侵检测系统保护,只能选择部分主机进行保护,那些未安装主机入侵检测系统的机器将成为保护的忙点,入侵者可利用这些机器达到攻击的目标。依赖于服务器固有的日志和监视能力,。如果服务器上没有配置日志功能,则必须重新配置,这将给运行中的业务系统带来不可预见的性能影响。
NIDS一般部署在比较重要的网段内,它不需要改变服务器等主机的配置,由于他不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。NIDS的数据源是网络上的数据包。通过线路窃听的手段对捕获的网络分组进行处理,从中获取有用的信息。一个网段上只需要安装一个或几个这样的系统,便可以检测整个网络的情况,比较容易实现。由于现在网络的日趋复杂和高速网络的普及,这种结构正接受者越来越大的挑战。
621.访问控制的三要素是什么?按访问控制策略划分,可分为哪几类?按层面划分,可分为哪几类?(10分)
答案:
访问控制的三要素是:主体,客体,操作。
按访问控制策略划分可分为: 按层面划分可分为:
1)自主访问控制 1)网络访问控制
2)强制访问控制 2)主机访问控制
3)基于角色的访问控制。 3)应用访问控制
4)物理访问控制
622**.ARP地址欺骗的分类、原理是什么?可采取什么措施进行有效控制?**(10分)
答案:
一种是对网络设备ARP表的欺骗,其原理是截获网关数据。它通知网络设备一系列错误的内网MAC地址,并按照一定的的频率不断进行,使真实的的地址信息无法通过更新保存在网络设备中,结果网络设备的所有的数据只能发给错误的MAC地址,造成正常PC无法收到信息。
另一种是对内网PC的网关欺骗。其原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的途径上网。
措施:
一、在网络设备中把所有pc的ip-mac输入到一个静态表中,这叫ip-mac绑定;
二、在内网所有pc上设置网关的静态arp信息,这叫pc ip-mac绑定。一般要求两个工作都要做,称为ip-mac双向绑定。
623.三级信息系统中,网络安全中的设备安全有哪些检查项?(10分)
答案:
A) 应对登录网络设备的用户进行身份鉴别;
B) 应对网络设备的管理员登录地址进行限制;
C) 网络设备用户的标识应唯一;
D) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
E) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
F) 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
G) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
H) 应实现设备特权用户的权限分离。
624.回答工具测试接入点的原则,及注意事项?
答案:
工具测试接入点的原则:
首要原则是不影响目标系统正常运行的前提下严格按照方案选定范围进行测试。
1)由低级别系统向高级别系统探测;
2)同一系统同等重要程度功能区域之间要相互探测;
3)有较低重要程度区域向较高重要程度区域探测;
4)由外链接口向系统内部探测;
5)跨网络隔离设备(包括网络设备和安全设备)要分段探测。
注意事项:
1)工具测试介入测试设备之前,首先要有被测系统人员确定测试条件是否具备。测试条件包括被测网络设备、主机、安全设备等是否都在正常运行,测试时间段是否为可测试时间段,等等。
2)接入系统的设备、工具的ip地址等配置要经过被测系统相关人员确认。
3)对于测试过程中可能造成的对目标系统的网络流量及主机性能方面的影响(例如口令探测可能会造成的账号锁定等情况),要事先告知被测系统相关人员。
4)对于测试过程中的关键步骤、重要证据,要及时利用抓图等取证。
5)对于测试过程中出现的异常情况(服务器出现故障、网络中断)要及时记录。
6)测试结束后,需要被测方人员确认被测系统状态正常并签字后退场。
625.《基本要求》,在应用安全层面的访问控制要求中,三级系统较二级系统增加的措施有哪些?(10 分)
答案:
三级比二级增加的要求项有:应提供对重要信息资源设置敏感标记的功能;应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。
626.在主机测评前期调研活动中,收集信息的内容(至少写出六项)?在选择主机测评对象 时应该注意哪些要点?(10 分)
答案:
至少需要收集服务器主机的设备名称、型号、操作系统、IP 地址、安装的应用软件 情况、主要的业务情况、重要程度、是否热备等信息。 测评对象选择时应该注意重要性、代表性、完整性、安全性、共享性五大原则。
627.数字证书的含义,分类和主要用途,所采用的密码体制?
答案:
1)数字证书是由认证中心生成并经认证中心数字签名的,标志网络用户身份信息的一系列数据,用来在网络通信中识别通信各方的身份。
2)从证书的用途来看,数字证书可分为签名证书和加密证书。
3)签名证书主要用于对用户信息进行签名,以保证信息的不可否认性;加密证书主要用于对用户传送信息进行加密,以保证信息的真实性和完整性。
4)数字证书采用非对称密钥体制。即利用一对互相匹配的私钥/公钥进行
加密、解密。其中私钥用于进行解密和签名;公钥用于加密和验证签名。
628.试解释SQL注入攻击的原理,以及它产生的不利影响。
答案:
SQL注入攻击的原理是从客户端提交特殊的代码,Web应用程序如果没做严格的检查就将其形成SQL命令发送给数据库,从数据库返回的信息中,攻击者可以获得程序及服务器的信息,从而进一步获得其他资料。
SQL注入攻击可以获取Web应用程序和数据库系统的信息,还可以通过SQL注入
629**.简述单位、组织的信息安全管理工作如何与公安机关公共信息网络安全检查部门(公安网监部门)相配合。**(10)
答案:
单位、组织的信息安全管理工作与公安机关公共信息网络安全监察部门之间的配合主要体现在以下方面:
(1)单位、组织的信息安全管理,必须遵循信息安全法律、法规对于安全管理职责、备案、禁止行为、安全管理制度和安全技术机制要求等方面的内容规定。
(2)法律、法规赋予公安机关公共信息网络安全监察部门对信息安全的监管职责,各单位、组织必须接受和配合公安机关公共信息网络安全监察部门的监督和检查。
(3)在发生信息安全案件后,单位、组织应当及时向公安机关公共信息网络安全监察部门报案,并在取证和调查等环节给予密切配合。
630.国家为什么要实施信息安全等级保护制度
答案:
A)、信息安全形势严峻
1)来自境内外敌对势力的入侵、攻击、破坏越来越严重。
2)针对基础信息网络和重要信息系统的违法犯罪持续上升。
3)基础信息网络和重要信息系统安全隐患严重。
B)、维护国家安全的需要
1)基础信息网络与重要信息系统已成为国家关键基础设施。
2)信息安全是国家安全的重要组成部分。
3)信息安全是非传统安全,信息安全本质是信息对抗、技术对抗。
4)我国的信息安全保障工作基础还很薄弱。
631.主机按照其规模或系统功能来区分为哪些类?主机安全在测评时会遇到哪些类型操作系统?网络安全三级信息系统的安全子类是什么?三级网络安全的安全审计的内容是什么?。(15分)
答案:
1)巨型 大型 中型 小型、微型计算机和单片机。
2)有Windows、Linux、Sun Solaris 、IBM AIX、HP-UX等等
3)结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。
4)a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。
B) 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
C) 应能够根据记录数据进行分析,并生成审计报表。
D) 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
632.主机常见评测的问题?
答案:
①检测用户的安全防范意识,检查主机的管理文档。
②网络服务的配置。
③安装有漏洞的软件包。
④缺省配置。
⑤不打补丁或补丁不全。
⑥网络安全敏感信息的泄露。
⑦缺乏安全防范体系。
⑧信息资产不明,缺乏分类的处理。
⑨安全管理信息单一,缺乏单一的分析和管理平台。
633.数据库常见威胁有哪些?针对于工具测试需要注意哪些内容?
答案:
①非授权访问、特权提升、SQL注入针对漏洞进行攻击、绕过访问控制进行非授权访问等。
②工具测试接入测试设备之前,首先要有被测系统人员确定测试条件
是否具备。测试条件包括被测网络设备、主机、安全设备等是否都在 正常运行,测试时间段是否为可测试时间段等等。接入系统的设备、工具和IP地址等配置要经过被测系统相关人员确认。对于测试过程可能造成的对目标系统的网络流量及主机性能等方面的影响,要事先告知被测系统相关人员对于测试过程中的关键步骤、重要证据要及时利用抓图工具取证。对于测试过程中出现的异常情况要及时记录,需要被测方人员确认被测系统状态正常并签字后离场。
634.简述防火墙的功能和分类
答案:
功能:1对内部网实现了集中的安全管理;
能防止非授权用户进入内部网络
可以方便监视网络的安全井及时报警
可以实现NAT
可以实现重点网段的分离
所有访问都经过防火墙因此它是审计和记录网络的访问和使用的理想位置
635.云数据存放在云平台中可能存在的问题以及处理措施?(10)
答案:
云数据存放在云平台中也需保障数据的三大安全性:保密性、完整性和可用性。
云数据存放在云平台中存在的安全问题有:
①、云数据在云平台中的保密性所存在的问题主要有:云数据的泄露包括数据存储位置造成的泄露,管理对数据使用不当所造成的泄露,云平台遭受黑客攻击所造成的数据泄露等;
②、云数据在云平台中的完整性和可用性所存在的问题主要有:数据在迁移过程中所造成的数据丢失或破坏,因对数据的管理不当所造成的数据丢失等。
主要的处理措施:
应与具有合法资质的中国大陆的云服务商合作,使用其云平台;
应对云平台的管理员进行严格的管理,实现权限分离和最小化的权限管理,防止因为权限过大造成管理员访问了不必要的数据造成数据泄露;
应对云平台中的云数据进行加密;
应定期对数据进行备份,包括本地备份、同平台备份和跨平台的云数据备份,并定期进行恢复性验证保证数据完整性和可用性。
等保测评师(中级)简答题
80.安全管理测评和安全技术测评联系及区别,并举例
答案:
安全技术测评体现了“从外部到内部”的纵深防御思想,对等级保护的安全防护应考虑从通信网络、区域边界和计算环境从外到内的整体防护,同时考虑其所处的物理环境的安全防护,对级别较高的还需要考虑对分布在整个系统中的安全功能或安全组件的集中技术管理手段。安全管理测评体现了“从要素到活动”的综合管理思想,安全管理需要的“机构”“制度”和“人员”三要素缺一不可,同时应对系统的建设整改过程和运行维护过程中重要活动实施控制和管理,对级别较高的需要构建完备的安全管理体系。
安全技术测评主要关注点体现在具体的安全防护措施是否满足相应的要求,安全策略是否合理,策略是否生效等具体的技术措施的实现。安全管理主要关注安全工作内容是否完善,是否形成管理体系,从政策、制度、规范、流程等方面落实完善。
安全技术测评方法主要采用检查测试,确定具体的安全防护措施和安全配置。安全管理测评方法主要采用访谈核查,确认制度信息是否完整,制度是否落实。安全管理测评师对安全技术测评的补充,同时与技术测评相互验证。
例如:安全技术测评中,网络设备的安全审计记录的信息,检测并验证日志信息信息是否完整,日志记录是否备份,记录是否有效等。在安全管理测评中,核查是否存在完善的安全运维管理日志审计记录文件,是否保留日志审计记录文档。
81.定级、建设整改、等级测评的依据标准和作用
答案:
答案一:
定级:1389、17859、861
建设整改:24856、25058、25070
等级测评:28449、28448
答案二:
定级:GB/T22240-2020 《信息安全技术 网络安全等级保护定级指南》
建设:GB/T22239-2019 《信息安全技术 网络安全等级保护基本要求》
GB/T25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》
测评:GB/T28448-2019 《信息安全技术 网络安全等级保护测评要求》
GB/T28449-2018 《信息安全技术 网络安全等级保护测评过程指南》
网络安全等级保护标准体系涵盖了国家标准、行业标准和企业标准
序列关系:
在定级阶段,网络运营者主要使用GB/T22240-2020和相应的行业或企业或企业标准来划分定级对象和确定安全保护等级;
在安全建设阶段,网络运营者主要使用GB/T22239-2019、GB/T25070-2019和相应的行业或企业标准来进行规划设计和建设工作;
在等级测评阶段,测评机构主要依据GB/T28448-2019、GB/T28449-2018和相应的行业或企业标准来规范和指导等级测评工作。
82.数据库常见的威胁有哪些?数据库测评属于哪个安全层面的?数据库测评有哪些控制点。(15分)
答案:
数据库常见威胁包括非授权访问、特权提升、SQL注入针对漏洞进行攻击、绕过访问控制进行非授权访问等。
数据库测评属于安全计算环境这个安全层面。
数据库测评控制点涉及到5个方面的内容分别为:身份鉴别、访问控制、安全审计、入侵防范以及数据备份恢复。
身份鉴别要求项:
A) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
B) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
C) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
D) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
访问控制要求项:
A) 应对登录的用户分配账户和权限;
B) 应重命名或删除默认账户,修改默认账户的默认口令;
C) 应及时删除或停用多余的、过期的账户,避免共享账户的存在;
D) 应授予管理用户所需的最小权限,实现管理用户的权限分离;
E) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
F) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
安全审计要求项:
A) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
B) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
C) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
D) 应对审计进程进行保护,防止未经授权的中断。
入侵防范要求项:
A) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;b)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
数据备份恢复要求项:
A) 应提供重要数据的本地数据备份与恢复功能;
B) 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地
83.依据《基本要求》(GB/T 22239-2019),针对第三级信息系统而言,在安全计算环境中适用于服务器设备对应哪些安全子类?安全计算环境中安全审计的内容是什么?相比于第二级信息系统,三级信息系统安全审计内容增加的是那一条?(10分)
答案:
三级信息系统在安全计算环境中对于服务器设备,安全子类主要包括:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据备份恢复。
安全计算环境中安全审计内容包括:
①、应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
②、审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
③、应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
④、应对审计进程进行保护,防止未经授权的中断。
相比于第二级信息系统,三级信息系统安全审计内容增加了 “应对审计进程进行保护,防止未经授权的中断”这一条
84.在等级测评2.0中,三级系统网络架构是从哪些方面描述的,请具体说明网络架构所包括的测评点?(15分)
答案:
网络架构是满足业务运行的重要组成部分,如何根据业务系统的特点构建网络是非常关键的。首先应关注整个网络的资源分布、架构是否合理。只有架构安全了,才能在其上实现各种技术功能,达到通信网络保护的目的。本层面重点针对网络设备的性能要求;业务系统对网络带宽的需求;网络区域的合理划分;区城间的有效防护;网络通信线路以及设备的冗余等要求进行解读说明。
测评点包括:
①、应保证网络设备的业务处理能力满足业务高峰期需要。
②、应保证网络各个部分的带宽满足业务高峰期需要。
③、应划分不同的网络区域并按照方便管理和控制的原则为各网络区域分配地址。
④、应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
⑤、应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
85.安全建设管理的流程、定级备案流程
答案:
安全建设管理流程包括:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、
工程实施、测试验收、系统交付、等级测评、服务供应商的选择。
定级备案流程:
① 应以书面形式说明保护对象的安全保护等级及确定等级的方法和理由;
② 应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定;(若初步定级结果为第二级、第三级,可组织本行业和网络安全行业专家进行评审,若为四级,则需网络安全等级保护专家评审委员会专家进行评审。)
③ 应保证定级结果经过相关部门的批准;(上级部门或本单位相关部门批准。)
④ 应将备案材料报主管部门和相应公安机关备案。(有主管部门的,备案材料需向主管部门和公安机关备案,没有主管部门的,备案材料需向相应公安机关备案。)
86**.回答工具测试接入点的原则,及注意事项?**
答案:
工具测试接入点的原则:
首要原则是不影响目标系统正常运行的前提下严格按照方案选定范围进行测试。
1)由低级别系统向高级别系统探测;
2)同一系统同等重要程度功能区域之间要相互探测;
3)由较低重要程度区域向较高重要程度区域探测;
4)由外联接口向系统内部探测;
5)跨网络隔离设备(包括网络设备和安全设备)要分段探测。
注意事项:
工具测试接入测试设备之前,首先要有被测系统人员确定测试条件是否具备。测试条件包括被测网络设备、主机、安全设备等是否都在正常运行,测试时间段是否为可测试时间段等等。
接入系统的设备、工具的ip地址等配置要经过被测系统相关人员确认。
对于测试过程中可能造成的对目标系统的网络流量及主机性能方面的影响(例如口令探测可能会造成的账号锁定等情况),要事先告知被测系统相关人员。
对于测试过程中的关键步骤、重要证据,要及时利用抓图等取证。
对于测试过程中出现的异常情况(服务器出现故障、网络中断)要及时记录。
测试结束后,需要被测方人员确认被测系统状态正常并签字后退场。
87.请简述等级保护安全管理测评和安全技术测评之间的区别与联系,并举例说明。(15分)
答案:
安全技术测评体现了“从外部到内部”的纵深防御思想,对等级保护的安全防护应考虑从通信网络、区域边界和计算环境从外到内的整体防护,同时考虑其所处的物理环境的安全防护,对级别较高的还需要考虑对分布在整个系统中的安全功能或安全组件的集中技术管理手段。安全管理测评体现了“从要素到活动”的综合管理思想,安全管理需要的“机构”“制度”和“人员”三要素缺一不可,同时应对系统的建设整改过程和运行维护过程中重要活动实施控制和管理,对级别较高的需要构建完备的安全管理体系。
安全技术测评主要关注点体现在具体的安全防护措施是否满足相应的要求,安全策略是否合理,策略是否生效等具体的技术措施的实现。安全管理主要关注安全工作内容是否完善,是否形成管理体系,从政策、制度、规范、流程等方面落实完善。
安全技术测评方法主要采用检查测试,确定具体的安全防护措施和安全配置。安全管理测评方法主要采用访谈核查,确认制度信息是否完整,制度是否落实。安全管理测评师对安全技术测评的补充,同时与技术测评相互验证。
例如:安全技术测评中,网络设备的安全审计记录的信息,检测并验证日志信息信息是否完整,日志记录是否备份,记录是否有效等。在安全管理测评中,核查是否存在完善的安全运维管理日志审计记录文件,是否保留日志审计记录文档。
88.考工具测评对层面的作用,进行简单举例
答案:
利用工具测试不仅可以直接获取到目标系统本身存在的系统、应用等方面的漏洞,同时也可以通过在不同的区域接入测试工具所得到的测试结果,判断不同区域之间的访问控制情况。利用工具测试,结合其他核查手段,可以为测试结果的客观和准确提供保证。
举例说明:
安全网络通信中网络架构项要求包括:
① 应保证网络设备的业务处理能力满足业务高峰期需要;
② 应保证网络各个部分的带宽满足业务高峰期需要;
③ 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
④ 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;
⑤ 应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
通过工具测试,可以验证区域划分的手段,有时也能简单有效发现一些VLAN划分上的问题。
安全区域边界中入侵防范项要求包括:
① 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;
② 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;
③ 应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;
④ 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。
通过工具测试,可以验证IDS/IPS的检查能力和报警功能,在特定区域发送一部分模拟攻击或者扫描数据包,同时观察IDS/IPS设备日志、报警。
安全计算环境中入侵防范项要求包括:
① 应遵循最小安装的原则,仅安装需要的组件和应用程序;
② 应关闭不需要的系统服务、默认共享和高危端口;
③ 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
④ 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
⑤ 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
⑥ 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
通过工具测试,可以验证设备服务端口的关闭情况,设备是否存在漏洞,以及对漏洞的修补情况。
89.主机常见评测的问题?
答案:
①、检测用户的安全防范意识,检查主机的管理文档。
③ 、网络服务的配置。
④ 、安装有漏洞的软件包。
⑤ 、缺省配置。
⑥ 、不打补丁或补丁不全。
⑦ 、网络安全敏感信息的泄露。
⑧ 、缺乏安全防范体系。
⑨ 、信息资产不明,缺乏分类的处理。
⑨、安全管理信息单一,缺乏单一的分析和管理平台。
90.简述除杀毒软件之外的至少三种安全技术机制,能够辅助有效地计算机病毒防治?(15分)
答案:
①、安装并合理配置主机防火墙,关闭不必要的端口和服务。
②、安装并合理配置网络防火墙,关闭不必要的网络端口和过滤不必要的应用协议。
③、安装并合理配置IDS/IPS
⑤ 、严格控制外来介质的使用
⑥ 、防御和查杀结合、整体防御、防管结合、多层防御
⑥、设置安全管理平台,态势感知系统,补丁升级平台,漏洞进行及时安装补丁,病毒库定期更新。
⑦、定期检查网络设备和安全设备的日志审计,发现可疑现象可及时进行做出相应处理。
91.中级测评师的能力要求是什么
答案:
熟悉信息安全等级保护相关政策、法规;
正确理解信息安全等级保护标准体系和主要标准内容,能够跟踪国内、国际信息安全相关标准的发展;
掌握信息安全基础知识,熟悉信息安全测评方法,具有信息安全技术研究的基础和实践经验;
具有较丰富的项目管理经验, 熟悉测评项目的工作流程和质量管理的方法,具有较强的组织协调和沟通能力;
能够独立开发测评指导书,熟悉测评指导书的开发、版本控制和评审流程;
能够根据信息系统的特点,编制测评方案,确定测评对象、测评指标和测评方法;
具有综合分析和判断的能力,能够依据测评报告模板要求编制测评报告,能够整体把握测评报告结论的客观性和准确性。
具备较强的文字表达能力;
了解等级保护各个工作环节的相关要求。
能够针对测评中发现的问题,提出合理化的整改建议。
92.在主机测试前期调研活动中,收集信息的内容(至少写出六项) ?在选择主机测评对象时应该注意哪些要点?
答案:
至少需要收集服务器主机的设备名称、型号、所属网络区域、操作系统版本、IP地址、安装的应用软件名称、主要业务应用、涉及数据、是否热备、重要程度、责任部门。
测评对象选择时应该注意重要性、代表性、完整性、安全性、共享性五大原则。
93.云数据存放在云平台中可能存在的问题以及处理措施?
答案:
云数据存放在云平台中也需保障数据的三大安全性:保密性、完整性和可用性。云数据存放在云平台中存在的安全问题有:
①.云数据在云平台中的保密性所存在的问题主要有:云数据的泄露包括数据存储位置造成的泄露,管理对数据使用不当所造成的泄露,云平台遭受黑客攻击所造成的数据泄露等;
②.云数据在云平台中的完整性和可用性所存在的问题主要有:数据在迁移过程中所造成的数据丢失或破坏,因对数据的管理不当所造成的数据丢失等。
主要的处理措施;
① .应与具有合法资质的中国大陆的云服务商合作,使用其云平台;
②.应云平台的管理员进行严格的管理,实现权限分离和最小化的权限管理,防止因为权限过大造成管理员访问了不必要的数据造成数据泄露。
③.应对云平台中的云数据进行加密。
④.应定期对数据进行备份,包括本地备份、同平台备份和跨平台的云数据备份,并定期进行恢复性验证保证数据的完整性和可用性。
94.等级保护2.0中,三级系统网络安全设备防护有哪些要求项
答案:
身份鉴别、访问控制、安全审计,入侵防范,恶意代码防范,可信验证身份鉴别
A)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
B)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
C)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
D)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现;
访问控制要求项;
A)应对登录的用户分配账户和权限;
B)应重命名或删除默认账户,修改默认账户的默认口令;
C)应及时删除或停用多余的、过期的账户,避免共享账户的存在;
D)应授予管理用户所需的最小权限,实现管理用户的权限分离;
E)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
F)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
安全审计要求项:
A)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
B)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
C)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
D)应对审计进程进行保护,防止未经授权的中断。
入侵防范要求项:
A)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
B)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏
95.请完成以下任务:
1)描述对象选择方法并给出结果;
2)描述测评指标的选择方法;
3)描述生成主机或网络测评作业指导书的主要步骤和注意事项;
4)根据测评经验,选择工具测试的接入点和扫描路径(可用文字描述)。
答案:
1)在确定测评对象时,需遵循以下原则:
A恰当性,选择的设备、软件系统等应能满足相应等级的测评强度要求;
B重要性,应抽查对被测系统来说重要的服务器、数据库和网络设备等;
C安全性,应抽查对外暴露的网络边界;
D共享性,应抽查共享设备和数据交换平台/设备;
E代表性,抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统类型
2)
A根据被测系统调查表格,得出被测系统的定级结果,包括业务信息安全保护等级和系统服务安全保护等级,从而得出被测系统应采取的安全保护措施 ASG 组合情况
B从 GB/T 22239-2008 中选择相应等级的安全要求作为测评指标,包括对 ASG三类安全要求的选择。举例来说,假设某信息系统的定级结果为∶安全保护等级为3级,业务信息安全保护等级为2级,系统服务安全保护等级为3级;则该系统的测评指标将包括GB/T22239-2008"技术要求"中的3级通用安全保护类要求(G3),2 级业务信息安全类要求(S2),3级系统服务保证类要求(A3),以及第3级“管理要求"中的所有要求。
C对于由多个不同等级的信息系统组成的被测系统,应分别确定各个定级对象的测评指标。如果多个定级对象共用物理环境或管理体系,而且测评指标不能分开,则不能分开的这些测评指标应采用就高原则。
D分别针对每个定级对象加以描述,包括系统的定级结果、指标选择两部分。其中,指标选择可以列表的形式给出。
3)测评指导书是具体指导测评人员如何进行测评活动的文件.是现场测评的工具、方法和操作步骤等的详细描述,是保证测评活动可以重现的根本。因此,测评指导书应当尽可能详尽、
充分。
①确定测评对象
②选择测评指标
③分解/量化测评指标
④确定测评实施:测评方法、测评步骤、结果记录
⑤确定预期结果
⑥验证测评指导书
⑦形成测评指导书
4)选择工具测试的接入点
①从外到内
②从其他网络到本地网络-
③同一网络区域内
A.在接入点JA接入扫描器,模拟Internet用户,探测对外服务功能区上各服务器对
Internet暴露的安全漏洞情况。并根据漏洞扫描的结果接入渗透测试工具集,试图。利用服务器的安全漏洞入侵服务器。
B.在接入点JB接入扫描器,模拟外联单位.探测对外服务功能区上各服务器对外联-单位暴露的安全漏洞情况。并根据漏洞扫描的结果接入渗透测试工具集,试图利用服务器的安全漏洞入侵服务器。
C.在接入点JC接入扫描器.直接测试对外服务功能区上各服务器对网络暴露的安全漏洞情况。同时,试图穿过防火墙,探测业务处理功能区上各服务器对外暴露的安-全漏洞情况。并根据漏洞扫描的结果接入渗透测试工具集,试图利用业务处理功能-区上各服务器的安全漏洞入侵服务器。
测评工具和接入点
本次测评的信息系统为3级信息系统.根据3级信息系统的测评强度要求,在测试的广度上,应基本覆盖不同类型的机制,在数量、范围上可以抽样;在测试的深度上,应执行功能测试和渗透测试,功能测试可能涉及机制的功能规范、高级设计和操作规程等文档,渗透测试可能涉及机制的所有可用文档,并试图智取进入信息系统等。因此,对其进行测评.应涉及到漏洞扫描工具、渗透测评工具集等多种测试工具。
针对被测系统的网络边界和测评设备、主机和业务应用系统的情况.需要在被测系统及
其互联网络中设置6个测试工具接入点——接入点A到JF,如图7所示,“接入点"标注表示进行工具测试时,需要从该接入点接入,对应的箭头路线表示工具测试数据的主要流向示
709
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
