等级保护测评考试真题汇总简答题部分.pdf

等级保护测评考试 简答题部分 等级保护测评考试 简答题部分 应用 应用 1 基本要求中 在应用安全层面的访问控制要求中 三级系统 较二级系统增加的措施有哪些 答 三级比二级增加的要求项有 应提供对重要信息资源设置敏 感标记的功能 应按照安全策 略严格控制用户对有敏感标记重要 信息资源的访问 2 在应用安全测评中 如何理解安全审计的 a 应该覆盖到每个用户的安全审计功能 对应用 系统重要安全事件进行审计 主机 主机 1 在主机测评前期调研活动中 收集信息的内容 至少写出六项 在选择主机测评对象 时应该注意哪些要点 10 分 答 至少需要收集服务器主机的设备名称 型号 操作系统 IP 地址 安装的应用软件情 况 主要的业务情况 重要程度 是否热备等信息 测评对象选择时应该注意重要性 代表 性 完整性 安全性 共享性五大原则 2 主机常见评测的问题 答 检测用户的安全防范意识 检查主机的管理文档 网络服务 的配置 安装有漏洞的 软件包 缺省配置 不打补丁或补丁不 全 网络安全敏感信息的泄露 7 缺乏安全防范 体系 信息资产不明 缺乏分类的处理 安全管理信息单一 缺乏单一的分析和管理平台 3 数据库常见威胁有哪些 针对于工具测试需要注意哪些内容 答 非授权访问 特权提升 SQL 注入针对漏洞进行攻击 绕过 访问控制进行非授权访问等 工具测试接入测试设备之前 首先要有被测系统人员确定测试条件是否具备 测试条件包括 被测网络设备 主机 安全设备等是否都在 正常运行 测试时间段是否为可测试时间段等等 接入系统的设备 工具和 IP 地址等配置要经过被测系统相关人员确认 对于测试过程可能造成 的对目标系统的网络流量及主机性能等方面的影响 要事先告知被测系统相关人员对于测试过 程中的关键步骤 重要证据要及时利用抓图工具取证 对于测试过程中出现的异常情况要及时记 录 需要被测方人员确认被测系统状态正常并签字后离场 4 主机按照其规模或系统功能来区分为哪些类 主机安全在测评时 会遇到哪些类型操作系统 网络安全三级信息系统的安全子类是什么 三级网络安全的安全审计的内容是什么 答 巨型 大型 中型 小型 微型计算机和单片机 目前运行在主机上的主流操作系统 有 windows linux sunsolaris ibm aix hp ux 等等 结构安全 访问控制 安全 审计 边界完整性检查 入侵防范 恶意代码防范 网络设备防护 应对网络系统中的网络 设备运行状况 网络流量 用户行为等进行 日志记录 审计记录应包括 事件的日期和时间 用户 时间类型 事件是否成 功及其他与审计相关的信息 应能够根据记录数据进行分析 并 生成审计报表 应对审计记录进行保护 避免受到未预期的删除 修改或覆盖等 5 工具测试接入点原则及注意事项 答 首要原则是不影响目标系统正常运行的前提下严格按照方案选定范围进行测试 低级 别系统向高级别系统探测 同一系统同等重要程度功能区 域之间要相互探测 较低重要程 度区域向较高重要程度区域探 测 由外联接口向系统内部探测 跨网络隔离设备要分段探测 注意事项 工具测试接入测试设备之前 首先要有被测系统人 员确定测试条件是否具备 测 试条件包括被测网络设备 主机 安全设备等是否都在正常运行 测试时间段是否为可测试时 间段 等等 接入系统的设备 工具的 ip 地址等配置要经过被测系统 相关人员确认 对于 测试过程中可能造成的对目标系统的网络 流量及主机性能方面的影响 要实现告知被测系统相 关人员 对于测试过程中的关键步骤 重要证据要及时利用抓图等取证 对于测试过程中 出现的异常情况要及时记录 测试结束后 需要被测方人员确认被测系统状态正常并签字后 退场 6 在主机评测前期调研活动中 收集信息的内容 在选择主机 测评对象时应注意哪些要点 答 至少需要收集服务器主机的设备名称 型号 操作系统 IP 地址 安装的应用软件情况 主要的业务情况 重要程度 是否热备等信息 测评对象选择时应注意重要性 代表性 完整性 安全性 共享性五大原则 7 回答你对安全审计的理解 并结合实际案例说明安全审计的部署 必要时可画图 8 给出一张 主机测评 检查表 有 8 条不符合项目 请结合等级保护要求 及你的理解 描述存在的风险 并给出解决建议 9 如下图 组策略 的配置中有哪些项的设置不满足 剩余信息保护 的要求 且这些项该如 何设置 网络 网络 1 基本要求 中 对于三级信息系统 网络安全层面应采取哪些安全技术措施 画出示 例图并进行描述 不考虑安全加固 20 分 答 网络层面需要考虑结构安全 访问控制 安全审计 边界完整性 入侵防范 恶意代码 防范 网络设备防护 数据备份与恢复八个方面的安全 具体再画图描述 2 网络安全的网络设备防护的内容是什么 其他要点也要背 答 应对登录网络设备的用户进行身份鉴别 应对网络设备管理员的登陆地址进行限制 网 络设备用户的标识应唯一 主要网络设备应对同一用户选择两种或者两种以上组合的鉴 别技 术来进行身份鉴别 身份鉴别信息应具有不易被冒用的特点 口令应有复杂度的要 求并定期 更换 应具有登录失败处理功能 可采取结束回话 限制非法登陆次 数和当网络登陆连接超时 自动退出等措施 当对网络设备进行远程管理时 应采取必要措施防止鉴别信息在网络传输过 程中被窃听 应实现设备特权用户的权限分离 3 1 根据如下图的网络拓扑图 选择网络安全测评的检测对象 2 题目列出一个思科路由器的配置文件 再给出一个思科路由器的核查表 格式如教材的附 录 C 2 内容包括访问控制 安全审计 网络设备防护三个大项 要求根据配置文件的内容 填写结果记录 并判断是否符合要求 4 在等级保护测评中 从哪些方面对网络整体架构进行分析 请具体描述 入侵检测 入侵检测 1 入侵检测系统分为哪几种 各有什么特点 答 主机型入侵检测系统 HIDS 网络型入侵检测系统 NIDS HIDS 一般部署在下述四种情况下 1 网络带宽高太高无法进行网络监控 2 网络带宽太 低不能承受网络 IDS 的开销 3 网络环境是高度交换且交换机上没有镜像端口 4 不需要广泛 的入侵检测 HIDS 往往以系统日志 应用程序日志作为数据源 检测主机上的命令序列比检测 网 络流更简单 系统的复杂性也少得多 所以主机检测系统误报率比网络入侵检测系统的误报率要 低 他除了检测自身的主机以外 根本不检测网络上的情况 而且对入侵行为分析的工作量将随 着主机数量的增加而增加 因此全面部署主机入侵检测系统代价比较大 企业很难将所有主机用 主机入侵检测系统保护 只能选择部分主机进行保护 那些未安装主机入侵检测系统的机器将成 为保护的忙点 入侵者可利用这些机器达到攻击的目标 依赖于服务器固有的日志和监视能力 如果服务器上没有配置日志功能 则必须重新配置 这将给运行中的业务系统带来不可预见的性 能影响 NIDS 一般部署在比较重要的网段内 它不需要改变服务器等主机的配置 由于他不会在业 务系统的主机中安装额外的软件 从而不会影响这些机器的 CPU I O 与磁盘等资源的使用 不 会影响业务系统的性能 NIDS 的数据源是网络上的数据包 通过线路窃听的手段对捕获的网络 分组进行处理 从中获取有用的信息 一个网段上只需要安装一个或几个这样的系统 便可以检 测整个网络的情况 比较容易实现 由于现在网络的日趋复杂和高速网络的普及 这种结构正接 受者越来越大的挑战 2 入侵威胁有哪几种 入侵行为有哪几种 造成入侵威胁的入侵行 为主要是哪两种 各自的含 义是什么 答 入侵威胁可分为 外部渗透 内部渗透 不法行为 入侵行为可分为 物理入侵 系统入侵 远程入侵 主要入侵行为 系统入侵 远程入侵 系统入侵是指入侵者在拥有 系统的一个低级账号权限下进行的破坏活动 远程入侵是指入侵者通过网络渗透到一个系统中 3 简单介绍可采取哪些措施进行有效地控制攻击事件和恶意代码 答 安装并合理配置主机防火墙 安装并合理配置网络防火墙 安装并合理配置 IDS IPS 严格控制外来介质的使用 防御和查 杀结合 整体防御 防管结合 多层防御 设置安全管理平台 补 丁升级平台 防病毒平台等对防毒的系统进行升级 漏洞进行及时安 装 补丁 病毒库定时更新 7 定期检查网络设备和安全设备的日志审 计 发现可疑对象可及时进 行做出相应处理 为了有效防止地址攻 击和拒绝服务攻击可采取在会话处于非活跃一定时间 或会话结束后 终止网络连接 为了有效防止黑客入侵 可对网络设备的管理员登 陆地址进行 限制和对其具有拨号功能用户的数量进行限制 远程拨号 的用户也许它就是一个黑客 10 采 取双因子认证和信息加密可增强系统的安全性 4 ARP 地址欺骗的分类 原理是什么 可采取什么措施进行有效 控制 答 一种是对网络设备 ARP 表的欺骗 其原理是截获网关数据 它 通知网络设备一系列错误的 内网 MAC 地址 并按照一定的频率不断 进行 使真实的地址信息无法通过更新保存在网络设备 中 结果网络 设备的所有数据只能发给错误的 MAC 地址 造成正常 PC 无法收到 信息 另一种是对内网 PC 的网关欺骗 其原理是建立假网关 让被它 欺骗的 PC 向假网关发数 据 而不是通过正常的途径上网 措施 在网络设备中把所有 PC 的 IP MAC 输入到一个静态表中 一 这叫 IP MAC 绑 定 二 在内网所有 PC 上设置网关的静态 ARP 信 息 这叫 PC IP MAC 绑定 一般要求两个 工作都要做 成为双向绑 定 5 采取什么措施可以帮助检测到入侵行为 答 部署 IPS IDS 使用主机防火墙 软件 硬件防火墙 在路由交换设备上设置策略 采用 审计设备等 访问控制 访问控制 1 访问控制的三要素是什么 按访问控制策略划分 可分为哪几类 按层面划分 可分为哪几 类 答 访问控制的三要素是 主体 客体 操作 按访问控制策略划分可分为 自主访问控制 强制访问控制 基于角色的访问控制 按层面划分可分为 网络访问控制 主机访问控制 应用访问控制 物理访问控制 安全审计 安全审计 1 安全审计按对象不同 可分为哪些类 各类审计的内容又是什么 答 系统级审计 应用级审计 用户级审计 系统级审计 系统级审计 要求至少能够记录登陆结果 登陆 标识 登陆尝试的 日期和时间 退出的日期和时间 所使用的设备 登陆后运行的内容 修 改配置文件的请求等 应用级审计应用级审计 跟踪监控和记录诸如打开和关闭数据文件 读取 编 辑 和删除记录或字段的特定操作以及打印报告之类的用户活动 用户级审计 用户级审计 跟踪通常记录用 户直接启动所有命令 所有的标识和 鉴别尝试的所有访问的文件和资源 2 身份认证的信息主要有哪几类 并每项列举不少于 2 个的事例 答 身份认证的信息可分为以下几类 1 用户知道的信息 如个人标识 口令等 2 用户所持 有的证件 如门卡 智能卡 硬件令牌等 3 用户所特有的特征 指纹 虹膜 视网膜扫描结 果等 6 数字证书的含义 分类和主要用途 所采用的密码体制 答 数字证书是由认证中心生成并经认证中心数字签名的 标志网 络用户身份信息的一系列 数据 用来在网络通信中识别通信各方的身 份 从证书用途来看 数字证书可分为签名证书 和加密证书 签名证书主要用于对用户信息进行签名 以保证信息的不可否认性 加密证书主 要用于对用户传送信息进行加密 以保证信息的真实性和完整性 数字证书采用非对称秘钥体 制 即利用一对互相匹配的私钥 公钥 进行加密 解密 其中私钥用于进行解密和签名 公钥用 于加密和验证签名 7 试解释 SQL 注入攻击的原理 以及它产生的不利影响 答 SQL 注入攻击的原理是从客户端提交特殊的代码 WEB 应用程序如果没有做严格的检查就将 其命令发送给数据库 从数据库返回的信息中 攻击者可以获得程序及服务器的信息 从而进一 步获得其他资料 SQL 注入攻击可以获取 WEB 应用程序和数据库系统的信息 还可以通过 SQL 注 入攻击窃取敏感数据 篡改数据 破坏数据 甚至以数据库系统为桥梁进一步入侵服务器操作系 统 从而带来更为巨大的破坏 8 信息安全等级保护的五个标准步骤是什么 信息安全等级保护的定义是什么 信息安全等级 保护五个等级是怎么样定义的 答 定级 备案 建设整改 等级测评 监督和检查 分等级实行安全保护 对安全产品 实行按等级管理 对安全事件按 等级响应 处置 一级 信息系统受到破坏后 会对公民 法 人和其他组织的合法