《信息安全等级测评师(初级技术)简答题.docx》由会员分享,可在线阅读,更多相关《信息安全等级测评师(初级技术)简答题.docx(7页珍藏版)》请在第一文库网上搜索。
1、1、基本要求,在应用安全层面的访问控制要求中,三级系统较二级系统增加的措施有哪些?答:三级比二级增加的要求项有:应提供对重要信息资源设置敏感标记的功能;应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。2、在主机测试前期调研活动中,收集信息的内容(至少写出六项)?在选择主机测评对象时应该注意哪些要点?答:至少需要收集服务器主机的设备名称、型号、所属网络区域、操作系统版本、IP地址、安装的应用软件名称、主要业务应用、涉及数据、是否热备、重要程度、责任部门。测评对象选择时应该注意重要性、代表性、完整性、安全性、共享性五大原则。3、基本要求中,对于三级信息系统,网络安全层面应采取哪些安全技术
2、措施?画出图并进行描述(不考虑安全加固)。答:网络层面需要考虑结构安全、访问控制、安全审计、边界完整性、入侵防范、恶意代码防范、网络设备防护、数据备份与恢复。4、主机按照其规模或系统功能来区分为哪些类?主机安全在测评时会遇到哪些类型操作系统?网络安全三级信息系统的安全子类是什么?三级网络安全的安全审计内容是什么?答:1、巨型、大型、中型、小型、微型计算机及单片机。2、Windows91inux7SunSoIarisJBMAIXzHP-UX等等。3、结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。4、a、应对网络系统中的网络设备运行状况、网络流量、用户行为等进
3、行日志记录。b、审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。c、应能够根据记录数据进行分析,并生成审计报表。d、应对审计记录进行保护、避免受到未预期的删除、修改或覆盖等。5、数据库常见威胁有哪些?答:(1)非授权访问、特权提升、SQ1注入、针对漏洞进行攻击、绕过访问控制进行非授权访问等。7、采取什么措施可以帮助检测到入侵行为?答:部署IDS/IPS,使用主机防火墙(软件)、硬件防火墙、在路由交换设备上设置策略、采用审计设备等。8、请根据基本要求中对于主机的相关要求,按照你的理解,写出由问题可能导致的安全风险,并给出相应的解决方案。或给出一张(主机测评)
4、检查表,有8条不符合项目,请结合等级保护要求,及你的理解,描述存在的风险,并给出解决建议。序号安全问题1未采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别;2重要设备未实现硬件冗余。3、主机系统和数据库系统未重命名系统默认账户。4主机系统未启动审计功能,或审计范围不足,不能记录用户对操作系统的操作和对文件访问情况。5未采用最小安装原则,开启了多余服务如HP-UNIX系统的tftf、exec、nta1k等等,WindOWS系统的RemOteRegiSter、DHCPc1inet、DNSc1ient等等6WindOWS服务器均开启了系统默认共享如:C$D$等等7Windows服务器使用系统自
5、带的远程终端管理软件进行远程管理,未采取必要措施防止鉴别信息在网络传输过程中被窃听。81、系统未指定口令过期时间和设置口令复杂度等;2、未设置登录超时或设置不合理;3、未设置登录失败处理功能。解决方案及分析略。答:主机常见测评的问题1、检测用户的安全防范意识,检查主机的管理文档(弱口令、安全配置文档)2、网络服务的配置(不能有过多的网络服务,防Ping)3、安装有漏洞的软件包(安装过时的软件包)4、缺省配置(口令缺省配置,可能被人录用)5、不打补丁或补丁不全(以没有通过测试等为由拒绝补丁的安装)6、网络安全敏感信息的泄露(.net服务、database命令,最小原则下,这些命令是禁用的)7、缺
6、乏安全防范体系(防病毒体系不健全、IinUX没有成熟的软件,按要求也是要有的记录)8、信息资产的不明,缺乏分类的处理(如一台服务器不知道干什么用的,上面有很多服务)9、安全管理信息单一、缺乏统一的分析和管理平台(安全管理平台,补丁升级平台,防病毒平台等)10、重技术,轻管理。10、网络安全的网络设备防护的内容是什么?(12分)答:、应对登录网络设备的用户进行身份鉴别;、应对网络设备管理员的登陆地址进行限制;、网络设备用户的标识应唯一;、主要网络设备应对同一用户选择两种或者两种以上组合的鉴别技术来进行身份鉴别;、身份鉴别信息应具有不易被冒用的特点,口令应有复杂度的要求并定期更换;、应具有登录失败
7、处理功能,可采取结束会话、限制非法登录次数和当网络登陆连接超时自动退出等措施;、当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;、应实现设备特权用户的权限分离。11、入侵检测系统分为哪几种,各有什么特点?(10分)答:主机型入侵检测系统(HIDS),网络型入侵检测系统(NIDS)。HIDS一般部署在下述四种情况下:1)网络带宽高太高无法进行网络监控2)网络带宽太低不能承受网络IDS的开销3)网络环境是高度交换且交换机上没有镜像端口4)不需要广泛的入侵检测HIDS往往以系统日志、应用程序日志作为数据源;检测主机上的命令序列比检测网络流更简单,系统的复杂性也少得多,所
8、以主机检测系统误报率比网络入侵检测系统的误报率要低;他除了检测自身的主机以外,根本不检测网络上的情况,而且对入侵行为分析的工作量将随着主机数量的增加而增加,因此全面部署主机入侵检测系统代价比较大,企业很难将所有主机用主机入侵检测系统保护,只能选择部分主机进行保护,那些未安装主机入侵检测系统的机器将成为保护的忙点,入侵者可利用这些机器达到攻击的目标。依赖于服务器固有的日志和监视能力,。如果服务器上没有配置日志功能,则必须重新配置,这将给运行中的业务系统带来不可预见的性能影响。NIDS一般部署在比较重要的网段内,它不需要改变服务器等主机的配置,由于他不会在业务系统的主机中安装额外的软件,从而不会影
9、响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。NIDS的数据源是网络上的数据包。通过线路窃听的手段对捕获的网络分组进行处理,从中获取有用的信息。一个网段上只需要安装一个或几个这样的系统,便可以检测整个网络的情况,比较容易实现。由于现在网络的日趋复杂和高速网络的普及,这种结构正接受者越来越大的挑战。12、访问控制的三要素是什么?按访问控制策略划分,可分为哪几类?按层面划分,可分为哪几类?do分)答:访问控制的三要素是:主体,客体,操作。按访问控制策略划分可分为:按层面划分分可分为:1)自主访问控制1)网络访问控制2)强制访问控制2)主机访问控制3)基于角色的访问控制。3)
10、应用访问控制4)物理访问控制13、安全审计按对象不同,可分为哪些类?各类审计的内容又是什么?(12分)答:系统级审计,应用级审计,用户级审计。系统级审计:要求至少能够记录登陆结果、登录标识、登陆尝试的日期和时间、退出的日期和时间、所使用的设备、登陆后运行的内容、修改配置文件的请求等。应用级审计:跟踪监控和记录诸如打开和关闭数据文件,读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。用户级审计:跟踪通常记录用户直接启动的所有命令、所有的标识和鉴别尝试的所有访问的文件和资源。14、身份认证的信息主要有哪几类?并每项列举不少于2个的事例。答:身份认证的信息可分为以下几类:D用户知道的信
11、息,如个人标识、口令等。2)用户所持有的证件,如门卡、智能卡、硬件令牌等。3)用户所特有的特征,指纹、虹膜、视网膜扫描结果等。15、数字证书的含义,分类和主要用途,所采用的密码体制?答:1)数字证书是由认证中心生成并经认证中心数字签名的,标志网络用户身份信息的一系列数据,用来在网络通信中识别通信各方的身份。2)从证书的用途来看,数字证书可分为签名证书和加密证书。3)签名证书主要用于对用户信息进行签名,以保证信息的不可否认性;加密证书主要用于对用户传送信息进行加密,以保证信息的真实性和完整性。4)数字证书采用非对称密钥体制。即利用一对互相匹配的私钥/公钥进行加密、解密。其中私钥用于进行解密和签名
12、;公钥用于加密和验证签名。16、试解释SQ1注入攻击的原理,以及它产生的不利影响。答:SQ1注入攻击的原理是从客户端提交特殊的代码,Web应用程序如果没做严格的检查就将其形成SQ1命令发送给数据库,从数据库返回的信息中,攻击者可以获得程序及服务器的信息,从而进一步获得其他资料。SQ1注入攻击可以获取Web应用程序和数据库系统的信息,还可以通过SQ1注入攻击窃取敏感数据,篡改数据,破坏数据,甚至以数据库系统为桥梁进一步入侵服务器操作系统,从而带来更为巨大的破坏。17、入侵威胁有哪几种?入侵行为有哪几种?造成入侵威胁的入侵行为主要是哪两种,各自的含义是什么?答:1、入侵威胁可分为:2、入侵行为可分
13、为:3、主要入侵行为:1)外部渗透D物理入侵1)系统入侵2)内部渗透2)系统入侵2)远程入侵3)不法行为3)远程入侵4、1)系统入侵是指入侵者在拥有系统的一个低级帐号权限下进行的破坏活动;2)远程入侵是指入侵者通过网络渗透到一个系统中。18、系统定级的一般流程是什么?答:1、确定作为定级对象的信息系统;2、确定业务信息安全受到破坏时所侵害的客体;根据不同的受害客体,从各个方面综合评定业务信息安全被破坏对课题的侵害程度。根据业务信息的重要性和受到破坏后的危害性确定业务信息安全等级。3、确定系统服务安全受到破坏时所侵害的客体;根据不同的受害客体,从各个方面综合评定系统服务安全被破坏对课题的侵害程度
14、。根据系统服务的重要性和受到破坏后的危害性确定业务信息安全等级。4、定级对象的等级由业务信息安全等级和系统服务安全等级的较高者决定。19、简述单位、组织的信息安全管理工作如何与公安机关公共信息网络安全检查部门(公安网监部门)相配合。(10)答:单位、组织的信息安全管理工作与公安机关公共信息网络安全监察部门之间的配合主要体现在以下方面:(1)单位、组织的信息安全管理,必须遵循信息安全法律、法规对于安全管理职责、备案、禁止行为、安全管理制度和安全技术机制要求等方面的内容规定。(2)法律、法规赋予公安机关公共信息网络安全监察部门对信息安全的监管职责,各单位、组织必须接受和配合公安机关公共信息网络安全
15、监察部门的监督和检查。(3)在发生信息安全案件后,单位、组织应当及时向公安机关公共信息网络安全监察部门报案,并在取证和调查等环节给予密切配合。20、国家为什么要实施信息安全等级保护制度答:1、信息安全形势严峻1)来自境内外敌对势力的入侵、攻击、破坏越来越严重。2)针对基础信息网络和重要信息系统的违法犯罪持续上升。3)基础信息网络和重要信息系统安全隐患严重。2、维护国家安全的需要1)基础信息网络与重要信息系统已成为国家关键基础设施。2)信息安全是国家安全的重要组成部分。3)信息安全是非传统安全,信息安全本质是信息对抗、技术对抗。4)我国的信息安全保障工作基础还很薄弱。21、三级信息系统中网络安全的结构安全有哪些小项?(io分)a) 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;b) 应保证网络各个部分的带宽满足业务高峰期需要;c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;d) 应绘制与当前运行情况相符的网络拓扑结构图;e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分
免费区 
