信息项目安全等级测评师(初级技术)简答题.doc
《信息项目安全等级测评师(初级技术)简答题.doc》由会员分享,可在线阅读,更多相关《信息项目安全等级测评师(初级技术)简答题.doc(9页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、|1、 基本要求 ,在应用安全层面的访问控制要求中,三级系统较二级系统增加的措施有哪些?答:三级比二级增加的要求项有:应提供对重要信息资源设置敏感标记的功能;应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。2、在主机测试前期调研活动中,收集信息的内容(至少写出六项)?在选择主机测评对象时应该注意哪些要点?答:至少需要收集服务器主机的设备名称、型号、所属网络区域、操作系统版本、IP 地址、安装的应用软件名称、主要业务应用、涉及数据、是否热备、重要程度、责任部门。测评对象选择时应该注意 重要性、代表性、完整性、安全性、共享性五大原则。3、 基本要求中,对于三级信息系统,网络安全层面应采取
2、哪些安全技术措施?画出图并进行描述(不考虑安全加固) 。答:网络层面需要考虑结构安全、访问控制、安全审计、边界完整性、入侵防范、恶意代码防范、网络设备防护、数据备份与恢复。|4、主机按照其规模或系统功能来区分为哪些类?主机安全在测评时会遇到哪些类型操作系统?网络安全三级信息系统的安全子类是什么?三级网络安全的安全审计内容是什么?答:1、巨型、大型、中型、小型、微型计算机及单片机。2、 Windows,Linux,Sun Solaris,IBM AIX,HP-UX 等等。3、结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。4、 a、应对网络系统中的网络设备运行
3、状况、网络流量、用户行为等进行日志记录。b、审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。c、应能够根据记录数据进行分析,并生成审计报表。d、应对审计记录进行保护、避免受到未预期的删除、修改或覆盖等。5、数据库常见威胁有哪些?针对于工具测试需要注意哪些内容?答:(1)非授权访问、特权提升、 SQL 注入、针对漏洞进行攻击、绕过访问控制进行非授权访问等。(2 )工具测试接入测试设备前,首先要有被测系统人员确定测试条件是否具备。测试条件包括被测网络设备、主机、安全设备等是否都在正常运行,测试时间段是否为可测试时间段等等。接入系统的设备、工具的 IP 地址等配
4、置要经过被测系统相关人员确认。对于测试过程中可能造成的对目标系统的网络流量及主机性能等等方面的影响(例如口令探测可能会造成的账号锁定等情况) ,要事先告知被测系统相关人员。对于测试过程中的关键步骤、重要证据,要及时利用抓图等取证工具进行取证。对于测试过程中出现的异常情况(服务器出现故障、网络中断等等)要及时记录。测试结束后,需要被测方人员确认被测系统状态正常并签字后离场。6、回答工具测试接入点的原则,及注意事项?答:工具测试接入点的原则:首要原则是不影响目标系统正常运行的前提下严格按照方案选定范围进行测试。1)由低级别系统向高级别系统探测;2)同一系统同等重要程度功能区域之间要相互探测;3)有
5、较低重要程度区域向较高重要程度区域探测;4)由外链接口向系统内部探测;5)跨网络隔离设备(包括网络设备和安全设备)要分段探测。注意事项:1)工具测试介入测试设备之前,首先要有被测系统人员确定测试条件是否具备。测试条件包括被测网络设备、主机、安全设备等是否都在正常运行,测试时间段是否为可测试时间段,等等。2)接入系统的设备、工具的 ip 地址等配置要经过被测系统相关人员确认。3)对于测试过程中可能造成的对目标系统的网络流量及主机性能方面的影响(例如口令探测可能会造成的账号锁定等情况) ,要事先告知被测系统相关人员。|4)对于测试过程中的关键步骤、重要证据,要及时利用抓图等取证。5)对于测试过程中
6、出现的异常情况(服务器出现故障、网络中断)要及时记录。6)测试结束后,需要被测方人员确认被测系统状态正常并签字后退场。7、采取什么措施可以帮助检测到入侵行为?答:部署 IDS/IPS,使用主机防火墙(软件) 、硬件防火墙、在路由交换设备上设置策略、采用审计设备等。8、请根据基本要求 中对于主机的相关要求,按照你的理解,写出由问题可能导致的安全风险,并给出相应的解决方案。或给出一张(主机测评)检查表,有 8 条不符合项目,请结合等级保护要求,及你的理解,描述存在的风险,并给出解决建议。序号 安全问题1 未采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别;2 重要设备未实现硬件冗余。3、 主
7、机系统和数据库系统未重命名系统默认账户。4 主机系统未启动审计功能,或审计范围不足,不能记录用户对操作系统的操作和对文件访问情况。5 未采用最小安装原则,开启了多余服务如 HP-UNIX 系统的 tftf、exec、ntalk 等等,Windows 系统的 Remote Register、DHCP clinet 、DNS client 等等6 Windows 服务器均开启了系统默认共享如: C$ D$ 等等7 Windows 服务器使用系统自带的远程终端管理软件进行远程管理,未采取必要措施防止鉴别信息在网络传输过程中被窃听。8 1、系统未指定口令过期时间和设置口令复杂度等;2 、未设置登录超时
8、或设置不合理;3、未设置登录失败处理功能。解决方案及分析略。答:主机常见测评的问题1、检测用户的安全防范意识,检查主机的管理文档(弱口令、安全配置文档)2、网络服务的配置(不能有过多的网络服务,防 ping) 3、安装有漏洞的软件包(安装过时的软件包)4、缺省配置(口令缺省配置,可能被人录用)5、不打补丁或补丁不全(以没有通过测试等为由拒绝补丁的安装)6、网络安全敏感信息的泄露(.net 服务、database 命令,最小原则下,这些命令是禁用的) 7、缺乏安全防范体系(防病毒体系不健全、linux 没有成熟的软件,按要求也是要有的记录) 8、信息资产的不明,缺乏分类的处理(如一台服务器不知道
9、干什么用的,上面有很多服务)9、安全管理信息单一、缺乏统一的分析和管理平台(安全管理平台,补丁升级平台,防病毒平台等)10、重技术,轻管理。|9、1.信息安全等级保护的五个标准步骤是什么?信息安全等级保护的定义是什么?信息安全等级保护五个等级是怎样定义的?(10 分)(1 ) 信息系统定级、备案、安全建设整改、等级测评、监督检查。(2 )对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。 (答出三个分等级即可)(3 )第一级,信息系统受到破坏
10、后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。10、网络安全的网络设备防护的内容是什么?(12 分)答:、应对登录网络设备的用户进行身份鉴别;、应对网络设备管理员的登陆地址进行限制;、网络设
11、备用户的标识应唯一;、主要网络设备应对同一用户选择两种或者两种以上组合的鉴别技术来进行身份鉴别;、身份鉴别信息应具有不易被冒用的特点,口令应有复杂度的要求并定期更换;、应具有登录失败处理功能,可采取结束回话、限制非法登录次数和当网络登陆连接超时自动退出等措施;、当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;、应实现设备特权用户的权限分离。|11、入侵检测系统分为哪几种,各有什么特点?(10 分)答:主机型入侵检测系统(HIDS) ,网络型入侵检测系统(NIDS) 。HIDS 一般部署在下述四种情况下:1 )网络带宽高太高无法进行网络监控 2 )网络带宽太低不能承
12、受网络 IDS 的开销3 )网络环境是高度交换且交换机上没有镜像端口 4 )不需要广泛的入侵检测HIDS 往往以系统日志、应用程序日志作为数据源;检测主机上的命令序列比检测网络流更简单,系统的复杂性也少得多,所以主机检测系统误报率比网络入侵检测系统的误报率要低;他除了检测自身的主机以外,根本不检测网络上的情况,而且对入侵行为分析的工作量将随着主机数量的增加而增加,因此全面部署主机入侵检测系统代价比较大,企业很难将所有主机用主机入侵检测系统保护,只能选择部分主机进行保护,那些未安装主机入侵检测系统的机器将成为保护的忙点,入侵者可利用这些机器达到攻击的目标。依赖于服务器固有的日志和监视能力, 。如
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 项目 安全 等级 测评 初级 技术 答题
限制150内