1.身份认证的信息主要有哪几类?并每项列举不少于2个的事例。
身份认证的信息可分为以下几类:
1)用户知道的信息,如个人标识、口令等。
2)用户所持有的证件,如门卡、智能卡、硬件令牌等。
3)用户所特有的特征,指纹、虹膜、视网膜扫描结果等。
2.数字证书的含义,分类和主要用途,所采用的密码体制?
1)数字证书是由认证中心生成并经认证中心数字签名的,标志网络用户身份信息的一系列数据,用来在网络通信中识别通信各方的身份。
2)从证书的用途来看,数字证书可分为签名证书和加密证书。
3)签名证书主要用于对用户信息进行签名,以保证信息的不可否认性;加密证书主要用于对用户传送信息进行加密,以保证信息的真实性和完整性。
4)数字证书采用非对称密钥体制。即利用一对互相匹配的私钥/公钥进行加密、解密。其中私钥用于进行解密和签名;公钥用于加密和验证签名。
3.试解释SQL注入攻击的原理,以及它产生的不利影响。
SQL注入攻击的原理是从客户端提交特殊的代码,Web应用程序如果没做严格的检查就将其形成SQL命令发送给数据库,从数据库返回的信息中,攻击者可以获得程序及服务器的信息,从而进一步获得其他资料。
SQL注入攻击可以获取Web应用程序和数据库系统的信息,还可以通过SQL注入攻击窃取敏感数据,篡改数据,破坏数据,甚至以数据库系统为桥梁进一步入侵服务器操作系统,从而带来更为巨大的破坏。
4.入侵威胁有哪几种?入侵行为有哪几种?造成入侵威胁的入侵行为主要是哪两种,各自的含义是什么?
答:1、入侵威胁可分为: 2、入侵行为可分为: 3、主要入侵行为:
1)外部渗透 1)物理入侵 1)系统入侵
2)内部渗透 2)系统入侵 2)远程入侵
3)不法行为 3)远程入侵
主要入侵行为:
1)系统入侵是指入侵者在拥有系统的一个低级帐号权限下进行的破坏活动;
2)远程入侵是指入侵者通过网络渗透到一个系统中。
5.系统定级的一般流程是什么?
- 确定作为定级对象的信息系统;
- 确定业务信息安全受到破坏时所侵害的客体;根据不同的受害客体,从各个方面综合评定业务信息安全被破坏对课题的侵害程度。根据业务信息的重要性和受到破坏后的危害性确定业务信息安全等级。
- 确定系统服务安全受到破坏时所侵害的客体;根据不同的受害客体,从各个方面综合评定系统服务安全被破坏对课题的侵害程度。根据系统服务的重要性和受到破坏后的危害性确定业务信息安全等级。
- 定级对象的等级由业务信息安全等级和系统服务安全等级的较高者决定。
6.网络安全的网络设备防护的内容是什么?
①、应对登录网络设备的用户进行身份鉴别;
②、应对网络设备管理员的登陆地址进行限制;
③、网络设备用户的标识应唯一;
④、主要网络设备应对同一用户选择两种或者两种以上组合的鉴别技术来进行身份鉴别;
⑤、身份鉴别信息应具有不易被冒用的特点,口令应有复杂度的要求并定期更换;
⑥、应具有登录失败处理功能,可采取结束回话、限制非法登录次数和当网络登陆连接超时自动退出等措施;
⑦、当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
⑧、应实现设备特权用户的权限分离。
7.入侵检测系统分为哪几种,各有什么特点?
主机型入侵检测系统(HIDS),网络型入侵检测系统(NIDS)。
HIDS一般部署在下述四种情况下:
1 )网络带宽高太高无法进行网络监控
2 )网络带宽太低不能承受网络IDS的开销
3 )网络环境是高度交换且交换机上没有镜像端口
4 )不需要广泛的入侵检测
HIDS往往以系统日志、应用程序日志作为数据源;检测主机上的命令序列比检测网络流更简单,系统的复杂性也少得多,所以主机检测系统误报率比网络入侵检测系统的误报率要低;他除了检测自身的主机以外,根本不检测网络上的情况,而且对入侵行为分析的工作量将随着主机数量的增加而增加,因此全面部署主机入侵检测系统代价比较大,企业很难将所有主机用主机入侵检测系统保护,只能选择部分主机进行保护,那些未安装主机入侵检测系统的机器将成为保护的忙点,入侵者可利用这些机器达到攻击的目标。依赖于服务器固有的日志和监视能力,。如果服务器上没有配置日志功能,则必须重新配置,这将给运行中的业务系统带来不可预见的性能影响。
NIDS一般部署在比较重要的网段内,它不需要改变服务器等主机的配置,由于他不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。NIDS的数据源是网络上的数据包。通过线路窃听的手段对捕获的网络分组进行处理,从中获取有用的信息。一个网段上只需要安装一个或几个这样的系统,便可以检测整个网络的情况,比较容易实现。由于现在网络的日趋复杂和高速网络的普及,这种结构正接受者越来越大的挑战。
8.访问控制的三要素是什么?按访问控制策略划分,可分为哪几类?按层面划分,可分为哪几类?
访问控制的三要素是:主体,客体,操作。
按访问控制策略划分可分为: 按层面划分分可分为:
自主访问控制 1)网络访问控制
强制访问控制 2)主机访问控制
基于角色的访问控制。 3)应用访问控制
- 物理访问控制
9.安全审计按对象不同,可分为哪些类?各类审计的内容又是什么?
系统级审计,应用级审计,用户级审计。
系统级审计:要求至少能够记录登陆结果、登录标识、登陆尝试的日期和时间、退出的日期和时间、所使用的设备、登陆后运行的内容、修改配置文件的请求等。
应用级审计:跟踪监控和记录诸如打开和关闭数据文件,读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。
用户级审计:跟踪通常记录用户直接启动的所有命令、所有的标识和鉴别尝试的所有访问的文件和资源。
10.简述单位、组织的信息安全管理工作如何与公安机关公共信息网络安全检查部门(公安网监部门)相配合。
单位、组织的信息安全管理工作与公安机关公共信息网络安全监察部门之间的配合主要体现在以下方面:
(1)单位、组织的信息安全管理,必须遵循信息安全法律、法规对于安全管理职责、备案、禁止行为、安全管理制度和安全技术机制要求等方面的内容规定。
(2)法律、法规赋予公安机关公共信息网络安全监察部门对信息安全的监管职责,各单位、组织必须接受和配合公安机关公共信息网络安全监察部门的监督和检查。
(3)在发生信息安全案件后,单位、组织应当及时向公安机关公共信息网络安全监察部门报案,并在取证和调查等环节给予密切配合。
11.国家为什么要实施信息安全等级保护制度
1、信息安全形势严峻
1)来自境内外敌对势力的入侵、攻击、破坏越来越严重。
2)针对基础信息网络和重要信息系统的违法犯罪持续上升。
3)基础信息网络和重要信息系统安全隐患严重。
2、维护国家安全的需要
1)基础信息网络与重要信息系统已成为国家关键基础设施。
2)信息安全是国家安全的重要组成部分。
3)信息安全是非传统安全,信息安全本质是信息对抗、技术对抗。
我国的信息安全保障工作基础还很薄弱。
12.主机常见测评的问题
检测用户的安全防范意识,检查主机的管理文档(弱口令、安全配置文档)
网络服务的配置(不能有过多的网络服务,防ping)
安装有漏洞的软件包(安装过时的软件包)
缺省配置(口令缺省配置,可能被人录用)
不打补丁或补丁不全(以没有通过测试等为由拒绝补丁的安装)
网络安全敏感信息的泄露(.net服务、database命令,最小原则下,这些命令是禁用的)
缺乏安全防范体系(防病毒体系不健全、linux没有成熟的软件,按要求也是要有的记录)
信息资产的不明,缺乏分类的处理(如一台服务器不知道干什么用的,上面有很多服务)
安全管理信息单一、缺乏统一的分析和管理平台(安全管理平台,补丁升级平台,防病毒平台等)
13.三级信息系统中网络安全的结构安全有哪些小项?
应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
应保证网络各个部分的带宽满足业务高峰期需要;
应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
应绘制与当前运行情况相符的网络拓扑结构图;
应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
14.在中国信息系统分为五级,各级的定义是什么?几级以上属于重要信息系统?
答:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成
损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
15.简单介绍可采取哪些措施进行有效地控制攻击事件和恶意代码?
- 安装并合理配置主机防火墙
- 安装并合理配置网络防火墙
- 安装并合理配置IDS/IPS
- 严格控制外来介质的使用
- 防御和查杀结合、整体防御、防管结合、多层防御
- 设置安全管理平台,补丁升级平台,防病毒平台等对防病的系统进行升级、漏洞进行及时安装补丁,病毒库定期更新
- 定期检查网络设备和安全设备的日志审计,发现可疑现象可及时进行做出相应处理。
- 为了有效防止地址攻击和拒绝服务攻击可采取,在会话处于非活跃一定时间或会话结束后终止网络连接。
- 为了有效防止黑客入侵,可对网络设备的管理员登录地址进行限制和对具有拨号功能用户的数量进行限制,远程拨号的用户也许他就是一个黑客。
- 采取双因子认证和信息加密可增强系统的安全性。
16.信息安全等级保护的五个标准步骤是什么?信息安全等级保护的定义是什么?信息安全等级保护五个等级是怎样定义的?
(1)信息系统定级、备案、安全建设整改、等级测评、监督检查。
(2)对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。(答出三个分等级即可)
(3)
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
17.主机按照其规模或系统功能来区分为哪些类?主机安全在测评时会遇到哪些类型操作系统?网络安全三级信息系统的安全子类是什么?三级网络安全的安全审计的内容是什么?。
(1)巨型 大型 中型 小型、微型计算机和单片机。
(2)目前运行在主机上的主流的操纵系统有?
有Windows、Linux、Sun Solaris 、IBM AIX、HP-UX等等
(3)结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。
(4)
a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。
b) 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
c) 应能够根据记录数据进行分析,并生成审计报表。
d) 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
18.数据库常见威胁有哪些?针对于工具测试需要注意哪些内容?
(1)非授权访问,特权提升、SQL注入、针对漏洞进行攻击、绕过访问控制进行非授权访问等。
(2)工具测试接入测试设备之前,首先要有被测系统人员确定测试条件是否具备。测试条件包括被测网络设备、主机、安全设备等是否都在正常运行,测试时间段是否为可测试时间段等等。接入系统的设备、工具的IP地址等配置要经过被测系统相关人员确认。对于测试过程可能造成的对目标系统的网络流量及主机性能等等方面的影响(例如口令探测可能会造成的帐号锁定等情况),要事先告知被测系统相关人员对于测试过程中的关键步骤、重要证据,要及时利用抓图等取证工具取证。对于测试过程中出现的异常情况(服务器出现故障、网络中断等等)要及时记录测试结束后,需要被测方人员确认被测系统状态正常并签字后离场。
1、云计算的特征:
可将云计算的主要特征归纳为下列五类。云计算特征也是界定一种模式是否为云计算的关键。
1) 按需自助
在不需或仅需较少云服务商参与的情况下,云服务客户能根据需要获得所需计算资源,如自主确定
资源占用时间和数最等。
2) 无处不在的网络访问
云服务客户通过标准接入机制,利用计算机、移动电话、平板电脑等终端通过网络随
时随地使用服务。
3) 资源池化
云服务商将资源(如计算资源、存储资源、网络资源等)提供给多个云服务客户使用,
这些物理的、虚拟的资源根据云服务客户的需求进行动态分配或重新分配。
4) 快速弹性
云服务商能提供快速和弹性的云计算服务。云服务客户能够在任何位置和任何时间获取
需要的资源。计算资源的数量没有"界限”,没有时间限制。
5) 可度量的服务
云计算可按照多种计最方式(如按次付费或充值使用等),自动控制或量化资源,计量
的对象可以是存储空间、计算能力、网络带宽或账户数等。
2. 云计算服务模式
可将云计算服务模式分为以下三个大类。
1) 基础设施即服务
基础设施即服务(Infrastructure as ~ Service, IaaS) 主要提供一些基础资源,包拒诸民
务器、网络、存储等服务,由自动化的、可靠的、扩展性强的动态计算资源构成。IaaS
模式下,用户能够部署和运行任意软件,包括操作系统和应用程序,无须管理或控制云
计算基础设施,但能控制操作系统的选择、存储空间、应用的部署,也有可能获得网络
组件的控制。
2) 平台即服务
平台即服务(Platfrom as a Service, PaaS) 的主要作用是将一个软件开发和运行平台
作为服务提供给云服务用户,能够为云服务用户提供定制化研发的中间件平台、数据库和
大数据应用等。对于开发者来说,只需要关注自身系统的业务逻辑,能够快速、方便地创
建Web 应用,无须关注CPU、存储、磁盘、网络等基础设施资源。
3) 软件即服务
软件即服务(Software as a Service, Saas),通过网络为最终云服务用户提供应用服务。
绝大多数SaaS 应用都是直接在浏览器中运行的,不需要云服务用户下载安装任何程序。
对云服务用户来说,软件的开发、管理、部署都交给了第三方,云服务用户不需要关心技
术问题,可以拿来即用。