执行命令deception detect-network id id-number ip-address mask [ vpn-instance vpn-instance-name ],配置诱捕的检测网段。
缺省情况下,交换机上未配置诱捕的检测网段。
b.执行命令deception decoy-network id id-number destination ip-address [ mask ] [ destination-port port &<1-20> ] [ vpn-instance vpn-instance-name ],配置诱饵网段。
缺省情况下,交换机上未配置诱饵网段。
考虑web服务器安全应考虑:
数据库信息是否加密存储
web服务器权限是否合理
使用IIS还是apache搭建web服务器
网页防篡改的原理:
发现网页篡改后,用户访问该页面会被阻断
如果发现网页被篡改,waf阻断访问流量
waf设备通过缓存文件与服务器文件进行水印比较,判断网页是否被篡改
信息系统安全测评的原则
客观性
符合性
公正性
日志收集方式:
文本:系统生成文本成本低,很多计算机语言都包含了可以生成文本日志的框架
JDBC:JDBC是实现JAVA与应用程序和各种不同数据库对话的一种机制
SNMP TRAP:snmp trap是一种被管理设备主动发送个nms的一种机制
syslog:syslog属于一种主从协议,syslog接收端会传出一个小的文字信息(1024kb)到发送端
NMS是Network Management System的缩写,意思是网络管理系统,简称网管。告警,性能,配置,安全,计费是网管的五大功能。
网络诱捕技术部署:
核心交换机旁挂防火墙作为诱捕探针,可以复用防火墙其他功能
核心交换机旁挂防火墙作为诱捕探针,对攻击路径覆盖全
安全策略中动作配置为deny的流量不会再进行审计策略处理
安全策略中动作配置为permit的流量,审计策略和安全策略是并行处理
云端数据安全传输需要数据加密保证
ipv4网络与ipv6网络边界设备需要支持ipv4/ipv6双协议栈
ipv6 over ipv4 gre隧道由于gre隧道没有加密功能,无法保证安全性
ipv6 over ipv4 手动隧道需要静态指定隧道的源ipv4地址和目的ipv4地址
ISATAP(Intra-Site Automatic Tunnel Addressing Protocol)是一种IPv6转换传送机制,允许IPv6数据包通过IPv4网络上双栈节点传输。
不同于6over4,ISATAP视IPv4网络为一个非广播多路访问网络的数据链路层,因此它不需要底层的IPv4网络基础设施来支持多播。
在信息收集的需要
网络设备的IP地址、开放端口以及主机的操作系统类型等信息
对于安全目标职责分离的原因是
为了避免安全人员个人的更改波及到其他人
华为UMA最多同时支持2中认证的登录方式
UMA堡垒机
华为云数据中心网络架构包含
Agile-controller DCN
Openstack
交换机
防火墙
Agile Controller-DCN控制器是华为CloudFabric云数据中心网解决方案的核心组件
反病毒设备中可以阻断病毒的是防火墙
IT管理员和开发人员不希望未经授权的人员访问网络资源,可以通过准入控制控制实现网络访问控制
使用审计功能后,可以记录用户访问的所有URL或指定URL及浏览网页的标题、WebBBS以及微博的发帖内容、http或ftp下载文件行为
畸形报文攻击
Smurf攻击
teardrop攻击
fragele攻击
cc攻击是针对页面的攻击,是一种ddos攻击
入侵防御中,预定义签名的缺省动作包括放行,告警和阻断
自定义签名的动作分为阻断和告警。
自定义签名和预定义签名没有优先级,当流量同时命中自定义签名和预定义签名时,最终动作以最为严格的签名为准。
关于IPV6无状态自动配置地址
每台路由器都为了让二层网络上的主机和其它路由器知道自己的存在,定期以组播方式发送携带网络配置参数的RA报文。
路由器发现功能是ipv6弟子自动配置功能的基础,主要通过RA和RS报文实现的。
IPv6支持无状态地址自动配置,需要结合使用诸如DCHP之类的辅助协议
RA Router Advertisment 路由公告
RS Router Solicitation Message路由器请求报文
实现业务安全坚韧性的方法:
部署以威胁为中心的安全体系,实现被动安全
态势感知等技术实现主动安全
根据ISP/IEC15408/CC规划业务安全
ISP:国际标准化规格
ISO/IEC15408可以称之为是信息安全产品通用测评标准
在我国除实施一般意义上的ISO9001的质量认证外,还应当参考如iso/iec15408(cc)、cem 公共测评方法等这几个比较通用的标准来制定我国自己的相应标准
针对社会工程学
防止信息的泄露以及控制信息的发布
waf的主要功能
ddos,网页防篡改,cc防护
主机发现是通过网络扫描实现的
当扫描者与被扫描的IP在同一个网段时,仅仅靠ARP请求与应答过程就可以确定该IP是否活跃
当扫描者与被扫描的IP不再同一个网段时,特定IP主机是否存活无法用ARP报文来实现
配置入侵防御配置文件后,测试过程中发现防御功能未起效
安全策略中未调用入侵防御配置文件
未加载license
入侵防御配置文件未提交编译
配置文件配置错误
可以通过端口号粗略判断主机使用的操作系统,例如主机开了TCP3389端口,则主机很可能运行windows系统
高级主机识别技术分为主动协议识别和被动协议识别,主动识别隐蔽式较差
不同的操作系统对某些字段的支持以及使用偏好不同,因此可以通过报文中的特定字段来判断对端主机的操作系统
数字水印在防伪溯源和版权保护方面有重要作用
需要在用户授权的情况下才能进行渗透测试,否则属于违法行为
安全的三要素
机密性
可用性
完整性
ISMS中内部审核描述
启动审核阶段需要定制审核计划包括审核目的和范围、审核依据的文件、审核组成员、审核日期及安排等内容
所有记录文件按照相关要求进行保存归档
审核实施需要按照审计计划进行,通过现场观察、询问、验证等方法进行内部审核工作
Information Security Management Systems信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。
信息安全保障的关键要素
安全运维与管理
安全产品与技术
人员
事件-条件-动作(Event -Condition-Action),简称ECA规则。其一般的策略是当一个事件发生后,采用事件监视器来捕获该事件,然后依据ECA规则进行条件判断,选择合适的动作。
样本获得,训练,抽取特征,输出模型
网络诱捕技术
网络诱捕技术的优势在于能够提前防御威胁,客户损失小
网络诱捕系统利用网络混淆技术,通过展现虚假资源、欺骗网络探测行为、从而发现攻击者
网络诱捕能够干扰攻击的信息收集过程、暴露攻击者的意图
安全审计内容中,数据公共审计对象的是
应用
源IP
时间
威胁日志描述
查看威胁日志之前需要确保FW上已经配置入侵防御,反病毒或攻击防范功能
在日志的攻击取证字段,只有审计管理员有查看获取数据包的权限
仅威胁类型入侵时,威胁日志会显示CVE变好的具体信息
默认的僵木蠕是什么级别?
病毒、网络攻击及僵木蠕的风险等级系统默认定义为“较高”
加密流量检测原理
通过前端ECA探针提取加密流量的明文数据,包括TLS握手信息、TCP统计信息、DNS/HTTP相关信息,并将他们上报给CIS系统
基于分析取证的特征向量,采用机器学习的方法,采用样本数据进行训练,从而生成分类器模型
安全研究人员通过和群殴的黑白样本集,结合开源情报,域名,IP,SSL等信息,提取加密流量的特性信息
关于APT的描述
常使用0-day攻击
外联通道通常加密,不易检测
遵循网络攻击链流程
按照等保要求,涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统的核心子系统都应实施五级
通过构建特殊的输入作为参数传入web应用程序、通过破坏数据库语句的原始逻辑、进而执行攻击者所希望的操作,使用的是注入
传统数据库防护方案的主要防护措施
部署边界安全防护设备,如NGFW,IPS,IDS
数据库灾备
部署安全内容安全防护。如:上网行为管理,堡垒机,数据库审计
传统运维特征描述:
访问控制没有严格的限制
华为云网络攻击防护采用安全组,网络ACL的方式防护内容
关于双机IPSEC VPN场景描述正确的是
配置放行IKE报文的安全策略时,如果需要使用协议、端口作为匹配条件、则需要放开ESP服务和UDP500端口
需要在防火墙上配置安全策略放行IKE报文
防火墙需要配置安全策略放行心跳报文
IPv6全球单播地址范围为2000::/3
关于IPv6 ACL描述
对符合匹配条件的流量执行操作,有permit和deny两种
ACL配置完毕后,不会立刻生效
IPV6 ACL是ipv6流量匹配工具,可以将负荷匹配条件的IPV6流量与其他ipv6流量区分开来
NGFW支持多种匹配条件,例如,按照IPV6源地址,ipv6目的地址、承载的协议类型等条件对IPV6进行过滤
当采用portal与MAC优先认证结合的认证方案时,需要确保用户与接入设备之间为二层网络,且接入设备与用户所在区域相连接的接口为二层无力接口或者二层eth-trunk接口
- CIS系统提供了对APT等高级威胁的检测手段。其核心思想是以持续的检测应对持续的攻击。
ipv6 network prefix translation协议可以隐藏内部ipv6地址
ipv6 nat急速可以保证非授权用户无法直接对真是ipv6地址建立连接
ipv6 nat技术支持一对多的地址翻译
在华为数据中心安全解决方案中承担南向下发安全策略任务的是secomanager
数据中心防火墙的作用
隔离不同VDC流量
防护VDC南北流量
隔离VDC内不同VPC的流量
在华为用户管理解决方案中,用户组织架构是基于用户进行权限管控的基础
静态数据脱敏通常应用于非生产环境,动态数据脱敏通常应用于生产环境
在开启IPS功能后,可以配置签名过滤器来提取相同特征的签名,如果有流量匹配上了签名过滤器,会进行
告警
阻断
缺省
渗透测试中,漏洞利用后,往往最容易获取的权限就是一个webshell,但是由于权限比较低,无法执行一些特定命令进行进一步渗透,这时需要本地提权
基于邮件内容的过滤中
邮件附件控制
邮件地址检查
匿名邮件检测
NAS存储方案的优点
即插即用
存储部署简单
管理容易且成本低
存储性能高,并不是nas的优点
预定义的签名的动作可以被修改
预定义的签名的内容不可以被修改
载荷检查是针对DDos HTTP慢速攻击
waf设备不能部署针对WEB网站的ddos攻击防护
错误!
属于敏感信息的是
网站源码
个人姓名
个人银行账户
沙箱和防火墙联动防范病毒,当未知病毒文件第一次被沙箱检测时,防火墙不能及时阻断该文件的传输
错误
在WAF的纵深防御体系中,以下属于内容安全检查的范畴是
敏感言论提交
如果攻击者使用虚假源地址发动TCP flood攻击,使用源验证最有效
等保2.0的基本要求中,安全机构包括:
岗位设置,人员配备,授权和审批,沟通和合作,审核和检查
关于信息安全管理体系ISMS的描述
ISMS的规划设计包括建立阶段、实施和运行阶段、监视和评审阶段、保持和改进阶段
ISMS的实施过程包括规划和建立、实施和运行、监视和评审四个阶段
ISMS和等级保护的共同之处有都可以加强对信息安全保障工作、对安全管理的要求有相同点、能够相互促进和补充
下列哪项攻击可以通过单点设备检测出来
口令暴力破解
在事件响应的阶段中,安全人员需要做的是控制事件
威胁日志的描述
仅威胁类型为入侵时,威胁日志会显示CV变好的具体信息
查看威胁日志之前需要确保FW上已配置入侵防御,反病毒或攻击防范功能
在日志的攻击取证字段中,只有审计管理员可以查看获取的数据包权限
安全运营中心的描述
点状防御有面对日志数量庞大、安全告警信息彼此割裂、处理效率低的缺点
SOC能够做到统一的收集、存储、处理企业各类与安全相关的检测告警信息
SOC能够解决点状防御在运行过程中产生的大量日志和事件造成的信息相对孤立的问题
部署CIS数据采集功能的描述,正确的一项
日志采集器将日志传输到大数据平台时,推荐使用SSL方式,因为SSL方式比较安全,但开销更大
在防火墙虚拟系统向根系统下的elog输出日志的场景中,
port range日志不能输出到虚拟系统对应的elog,只能输出到根系统对接的elog
安全审计内容中,属于公共审计对象
时间
源IP
应用
公共审计对象包括:源目IP,源目端口,协议,应用,时间
构建特殊输入作为参数传入web应用程序,破坏数据库语句的原始逻辑,进而执行危险攻击
注入
云端业务终端的主要原因
漏洞
病毒
网络攻击
应用层流量型攻击
http flood
双机场景L2TP over IPSEC
防火墙会给客户端分配ip
建立隧道用户可正常访问internet
客户端设置的参数要与防火墙上的设置参数一致
客户端应对双机虚拟地址发起拨号连接
华为提出“分区防御,统一监测”的安全方案,需在以下区域部署防火墙
互联网边界
业务服务区
办公网络
以下关于防火墙服务器负载均衡功能中的实服务器IP地址规划的描述
不能与虚拟服务器地址相同
不能与服务器网关的IP地址相同
不能与FW的出接口IP地址相同
ipv6的组播地址为FF00::/8
双击热备描述
防火墙业务接口在二层,上下行连接路由器的组网,建议使用负载分担组网
防火墙接口在三层,上下行连接路由器组网,可以使用主备备份组网
通过密码进行身份认证
你知道什么
waf配置流程
查看日志,了解网络中安全事件
增加保护站点
自定义规则组
上线后调整策略
如果攻击者学习使用虚假源地址发动TCP flood攻击,则使用一下哪种攻击手段最有效
源验证
以下不属于病毒免杀的是
修改系统文件
沙箱无法跟下列哪个设备联动反病毒
路由器
格式化电脑意味着文件已经彻底删除,无法进行修复。错!
服务识别的状态描述
服务识别是一种识别服务器上提供的服务类型的侦查技术
ssh协议会主动告知访问者自己的版本信息
攻击者可根据服务版本检索到相关的漏洞,并加以利用
交换机的诱捕配置
-
- 执行命令deception detect-network id id-number ip-address mask [ vpn-instance vpn-instance-name ],配置诱捕的检测网段。 缺省情况下,交换机上未配置诱捕的检测网段。
- 执行命令deception decoy-network id id-number destination ip-address [ mask ] [ destination-port port &<1-20> ] [ vpn-instance vpn-instance-name ],配置诱饵网段。 缺省情况下,交换机上未配置诱饵网段。
在WAF纵深防御体系中,属于内容安全检查范畴
敏感言论的提交
属于敏感信息的
个人姓名,个人银行账户
彻底摧毁数据可以采用
消磁法
复写
捣碎法
漏洞测试中获取信息的手段
使用工具扫描服务器的开放端口
XSS漏洞是通过发送不合法数据库命令形成注入漏洞。错!
安全物理环境:
物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、湿温度控制、电力供应、电磁防护
安全通信网络
网络架构、通信传输、可信验证
安全区域边界
边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证
安全计算环境
身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证
安全管理中心
系统管理、审计管理、安全管理、集中管控
安全管理制度
安全策略、管理制度、制定和发布、评审和修订
安全管理机构
岗位设置、人员配备、授权和审批、沟通和合作、审核和检查
安全管理人员
人员录用、人员离岗、安全意识教育和培训、外部人员访问管理
安全建设管理
定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商的选择
安全运维管理
环境管理、资产管理、介质管理、设备维护管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理
不属于网络攻击变化趋势
攻击方式变化小
以下哪项行为不具备信息安全风险
关闭不必要主机端口
网络诱捕方案原理错误的是
攻击者在目标设备上安装程序的行为也能被诱捕器捕获
属于上网审计行为的内容是
用户使用搜索引擎的关键字
收发邮件行为
用户QQ账号及其上下线时间
传统被动防御无法很好防范APT攻击,原因之一是传统防御方法无法关联分析威胁
在安全团队能力建设中,一般分为管理岗和技术岗,不属于技术岗位关键职责是
负责定制企业级的信息安全技术规划和技术规划
目前暂时无法对TLS进行加密的C&C攻击进行防御。错!
等保2.0相对于等保1.0的主要变化
各级别安全要求更详细
增加了扩展要求
安全通用要求分类更细致
等保测评工作流程更细化
哪些实现要素是云端操作全程可控的
安全策略部署
风险可识别
操作可审计
数字证书可以保证数据传输中通信对公钥的可信度
部署在不同物理资源池的同一VPC网络的两个子网默认不能互访
关于安全防护正确的是
当FW部署在NAT设备后面时,可能会出现大量同一源IP地址访问不同目的端口的流量,此种场景下不能开启端口扫描攻击防范
上网用户单点登录的认证方式与认证域的描述
单点登录用户需要在防火墙上线、基于用户进行策略控控制,因此单点登录用户也必须隶属于某个认证域
如果服务器上不存在其他的认证域,则default认证域上线
单点登录中,防火墙也可以根据IP/MAC地址与用户的绑定关系,识别本地用户所属的认证域
关于ipv6无状态地址DAD检查的描述,错误的是
试验地址能进行单播通信
关于健康检查正确的是
在配置健康检查的协议和端口时,需要认证对端是否开放了相应的协议和端口
关于用户认证描述正确的是
安全策略放行但身份认证不通过的用户不能正常访问资源
如果用户是MAC地址单向绑定用户,则其他用户也可使用该MAC地址正常登陆
按照国家网络安全法规定,私有云需要遵循信息安全等级保护基本要求,但不一定需要遵守云计算扩展要求。错!
关于普通用户造成的安全风险,错误的是
误操作导致运维数据库被删除,破坏
在华为用户管理解决方案中,以下关于用户组织架构的描述中,正确的是
用户组织架构是基于用户进行权限管理的基础
黑客控制的僵尸网络用于传播病毒,不能发动ddos。错!
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
