测评师考试设计题整-理

测评师考试设计题整理01定级为S2A2G2,描述网络存在的问题答案：1、边界访问控制设备缺少，解调制设备ABC处无防火墙2、未对关键网络节点处（如核心交换机处）监视网络攻击行为，缺少IPS/IDS等设备3、未对关键网络节点处进行恶意代码检测4、未对网络边界、重要网络节点进行安全审计，缺少APT、全流量分析设备5、未给予可信跟对边界设备进行可信验证6、缺少日志服务器、综合日志审计设备等。02根据拓扑图，进行修改，修改后的拓扑图：这个图一要弄懂，学通，很经典的案例！考试的时候以不变应万变！答案：一、设备清单：下一代防火墙（含IPS、AV）综合日志审计系统堡垒机数据库审计系统杀毒软件数据备份系统网络准入VPN入侵检测漏洞扫描系统HTTPS负载均衡防火墙安全隔离网闸APT蜜罐CA认证系统态势感知平台云安全防护平台二、部署设备1、防火墙：在互联网出口的增加一台防火墙保证出口防火墙的高可用性，2、负载均衡：在ISP运营商接入处部署一台负载均衡用于链路负载，保证链路的高可用性，3、网闸：在DMZ区部署一台网闸用于内部数据的摆渡及白名单访问控制，4、APT或威胁情报分析系统：在核心交换机旁路部署一台APT或威胁情报分析系统来替换传统的入侵检测系统，对新型的网络攻击进行检测和分析攻击者的路径、来源和身份等信息；5、蜜罐：安全管理区部署蜜罐系统将出口流量引至该系统中来虚拟应用环境诱捕攻击者、锁定攻击路径固定证据，此系统在每年的专项行动和HW行动中可以发挥出最大效益，6、部署CA认证系统：对内部人员的账户、证书统一管理实现强身份认证，同时还满足双因素认证要求，态势感知平台将所有设备日志汇总到平台进行汇总，利用计算模型、搜索引擎和大数据算法等技术手段分析出网络安全威胁，进而提前发现即将发生的安全事件进行预警，当然还有一个关键点是可以统一风险展示，界面酷炫，可视化高，7、数据防泄露系统（DLP）：数据安全才是重中之重，数据是一个企业的核心资产、是命脉，但是最大的安全威胁往往来自内部，所以在预算充足的情况还建议部署一台数据防泄露系统（DLP）来对所有流经出去的核心数据做标记、做策略来限制数据被非法转移、删除、拖库等行为，最大程度的保证数据的安全，也能满足正在起草的数据安全法中的一些基本要求。03场景：某单位建有业务1和业务2两个业务系统，其中业务1向互联网公众提供服务，业务2向单位内部员工和外联单位提供服务。两套系统均通过认证服务器实现对应用系统用户的登录验证，通过补丁服务器和防病毒服务器实现对系统补丁和病毒库的及时更新，各服务器内所产生的日志均传送至日志服务器保存。单位员工办公终端和系统运维终端部署于终端区。安全支撑区部署一台入侵检测设备，并通过对经过核心交换的流量进行分析实现对入侵行为的检测报警，同时安全支撑区部署有一台安全审计设备。目前访问控制策略在防火墙上做了较为严格的配置，通过交换机划分了各个VLAN。具体拓扑结构如下图所示。业务1定级结果为：S3A3G3，业务2定级结果为：S2A2G2。结合以上场景及拓扑分析业务1系统在网络架构方面存在哪些安全隐患？分析：1、从场景描述来看，业务1和业务2首先安全级别不一样，而且服务对象也不一样，业务2不需要向互联网提供服务，将这两个系统笼统划在一个区内明显不合理。2、另外，对于运维终端和办公终端也未明确划分不同区域。3、外联单位通过核心交换直接访问服务器，中间缺少安全隔离措施。

核心交换一旦发生故障，将直接导致系统内所有服务全部中断；

防火墙中断将直接导致业务1不能正常对外提供服务。答案：1、网络区域划分不合理，业务1和业务2安全级别和服务对象都不相同，应划分不同区域部署。办公终端和运维终端部署于同一区域，未划分不同的区域。2、服务器区与外联区以及终端区之间缺少相应的隔离手段，保障服务器区的安全性。3、网络结构中存在单点故障，防火墙、核心交换机等关键节点设备均为单设备运行，一旦出现故障，直接影响业务系统的正常运行。04以下是某个单位信息系统网络拓扑图，被测单位拟将此系统定为二级，作为测评人员请结合“GB/T22239-2019《信息安全技术网络安全等级保护基本要求》”第二级安全通用要求中“安全通信网络”及“安全区域边界”的相关要求，在不考虑设备相关安全配置的前提下，简述此网络结构存在的安全问题并给出整改建议。通过分析网络拓扑发现以下安全问题：1.

网络边界未部署访问控制设备。2.网络中未部署入侵防御/入侵检测设备。3.网络中未部署防恶意代码设备。4.网络中未部署集中审计设备。整改建议：1.建议网络边界部署访问控制设备，并启用访问控制策略，策略细粒度达到端口级。2.建议网络中部署入侵防御/入侵检测设备，并定期更新特征库版本。3.建议网络中部署防病毒网关，并定期更新病毒库版本。4.建议部署集中审计设备，实现对网络设备、安全设备、服务器的集中审计。答案二：安全通信网络-控制项一、网络架构1、问题：网络拓扑图中，业务处理域直接连接到核心交换机，缺乏有效的网络分段和隔离措施。整改建议：应采用VLAN（虚拟局域网）技术对不同业务系统进行逻辑隔离，确保不同业务系统之间的通信安全。同时，可以考虑部署网络隔离设备，如防火墙，进一步增强网络隔离效果。2、问题：图中仅显示了两台核心交换机，但未明确说明是否具备冗余配置。整改建议：应确保核心网络设备具备冗余配置，如采用双机热备或负载均衡等方式，提高网络的可用性和稳定性。二、通信传输问题：图中未显示任何网络通信加密措施。整改建议：应在重要网络通信链路上部署加密设备或采用加密通信协议，如IPSec、SSL等，确保数据传输的安全性。答案：答案同上同下

自己悟吧05某三级等保系统拓扑图，通过身份认证系统进行设备登录认证，通过设备管理系统进行终端管控，在安全通信网络与安全区域边界层面中的不符合点并写出整改意见。答案：D06某大型企业互联网销售系统按照等级保护《基本要求》第二级的相关要求进行建设，业务系统及基础运行环境于3年前建成。现因业务升级，经专家评审系统定级变更为第三级。因此需要针对基础网络平台、各项安全措施及应用系统进行安全整改建设。问题：1、请简述该企业基础网络安全建设是否合理，建议进行哪些整改以满足等级保护第三级针对安全通信网络的要求？2、应增加哪些措施以提高网络的可用性及安全防护能力，从而满足等级保护第三级网络对安全区域边界的要求？3、应增加哪些措施，用于提高网络的集中管理能力，从而满足对安全管理中心的要求？4、画出整改后的网络拓扑示意图。答案：一、分析拓扑图1、网络在区域划分上不够合理，首先现有网络结构缺少独立的业务系统区域，业务服务器汇聚交换机与核心网络直接相连，且与其他网络区域缺少必要的隔离措施；2、缺少安全管理区域，无法通过独立的安全管理区对业务系统及基础运行环境进行集中管理。因此，在安全整改过程中，建议增加独立的业务系统区与安全管理区。建议增加冗余设备，如广域网接入交换机、互联网DMZ接入交换机，保障网络的高可用性。二、建议增加的安全措施如下：1、增加冗余的防火墙设备，实现广域网边界、业务系统区边界及安全管理中心的访问控制措施；2、在互联网DMZ区增加冗余的WAF等应用层安全防护措施，并实现检测报警；3、增加网络恶意代码防护措施，如病毒网关或UTM设备的防恶意代码功能；4、在核心交换区增加对未知的新型攻击行为的检测措施，如抗APT系统；5、在核心交换区增加入侵检测措施，实现对恶意攻击的实时检测、报警IPS/IDS；6、在核心交换区增加综合审计措施，实现对用户行为，尤其是远程访问以及访问互联网的行为审计；7、在网络中增加无线接入网关，实现对无线网络的有效管控，实现对终端设备的认证、授权及准入。三、增加如下集中管理措施，提高安全管理的效率，以达到对安全管理中心的安全要求：1、在安全管理区增加综合网管系统，实现对业务系统及基础运行环境的实时监控；2、在安全管理区增加集中审计措施，如日志集中审计分析系统等；3、在安全管理区