信息安全等級測評師( ( 初級技術(shù)) ) 簡答題

　1、《基本要求》，在應(yīng)用安全層面的訪問控制要求中，三級系統(tǒng)較二級系統(tǒng)增加的措施有哪些,

　答:三級比二級增加的要求項(xiàng)有:

　應(yīng)提供對重要信息資源設(shè)置敏感標(biāo)記的功能;

　應(yīng)按照安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的訪問。

　2、在主機(jī)測試前期調(diào)研活動(dòng)中，收集信息的 測評對象選擇時(shí)應(yīng)該注意 重要性、代表性、完整性、安全性、共享性五大原則。

　3、《基本要求》中，對于三級信息系統(tǒng)，網(wǎng)絡(luò)安全層面應(yīng)采取哪些安全技術(shù)措施,畫出圖并進(jìn)行描述(不考慮安全加固)。

　答:網(wǎng)絡(luò)層面需要考慮結(jié)構(gòu)安全、訪問控制、安全審計(jì)、邊界完整性、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)、數(shù)據(jù)備份與恢復(fù)。

　4、主機(jī)按照其規(guī)�；蛳到y(tǒng)功能來區(qū)分為哪些類,主機(jī)安全在測評時(shí)會(huì)遇到哪些類型操作系統(tǒng),網(wǎng)絡(luò)安全三級信息系統(tǒng)的安全子類是什么,三級網(wǎng)絡(luò)安全的安全審計(jì) b、審計(jì)記錄應(yīng)包括:事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他

　與審計(jì)相關(guān)的信息。

　c、應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表。

　d、應(yīng)對審計(jì)記錄進(jìn)行保護(hù)、避免受到未預(yù)期的刪除、修改或覆蓋等。

　5、數(shù)據(jù)庫常見威脅有哪些,針對于工具測試需要注意哪些 對于測試過程中出現(xiàn)的異常情況(服務(wù)器出現(xiàn)故障、網(wǎng)絡(luò)中斷等等)要及時(shí)記錄。

　測試結(jié)束后，需要被測方人員確認(rèn)被測系統(tǒng)狀態(tài)正常并簽字后離場。

　6、回答工具測試接入點(diǎn)的原則，及注意事項(xiàng),

　答:工具測試接入點(diǎn)的原則:

　首要原則是不影響目標(biāo)系統(tǒng)正常運(yùn)行的前提下嚴(yán)格按照方案選定范圍進(jìn)行測試。

　1)由低級別系統(tǒng)向高級別系統(tǒng)探測;

　2)同一系統(tǒng)同等重要程度功能區(qū)域之間要相互探測;

　3)有較低重要程度區(qū)域向較高重要程度區(qū)域探測;

　4)由外鏈接口向系統(tǒng)內(nèi)部探測;

　5)跨網(wǎng)絡(luò)隔離設(shè)備(包括網(wǎng)絡(luò)設(shè)備和安全設(shè)備)要分段探測。

　注意事項(xiàng):

　1)工具測試介入測試設(shè)備之前，首先要有被測系統(tǒng)人員確定測試條件是否具備。測試條件包括被測網(wǎng)絡(luò)設(shè)備、主機(jī)、安全設(shè)備等是否都在正常運(yùn)行，測試時(shí)間段是否為可測試時(shí)間段，等等。

　2)接入系統(tǒng)的設(shè)備、工具的 ip 地址等配置要經(jīng)過被測系統(tǒng)相關(guān)人員確認(rèn)。

　3)對于測試過程中可能造成的對目標(biāo)系統(tǒng)的網(wǎng)絡(luò)流量及主機(jī)性能方面的影響(例如口令探測可能會(huì)造成的賬號鎖定等情況)，要事先告知被測系統(tǒng)相關(guān)人員。

　4)對于測試過程中的關(guān)鍵步驟、重要證據(jù)，要及時(shí)利用抓圖等取證。

　5)對于測試過程中出現(xiàn)的異常情況(服務(wù)器出現(xiàn)故障、網(wǎng)絡(luò)中斷)要及時(shí)記錄。

　6)測試結(jié)束后，需要被測方人員確認(rèn)被測系統(tǒng)狀態(tài)正常并簽字后退場。

　7、采取什么措施可以幫助檢測到入侵行為,

　答:部署 IDS/IPS，使用主機(jī)防火墻(軟件)、硬件防火墻、在路由交換設(shè)備上設(shè)置策略、采用審計(jì)設(shè)備等。

　8、請根據(jù)《基本要求》中對于主機(jī)的相關(guān)要求，按照你的理解，寫出由問題可能導(dǎo)致的安全風(fēng)險(xiǎn)，并給出相應(yīng)的解決方案。

　或給出一張(主機(jī)測評)檢查表，有 8 條不符合項(xiàng)目，請結(jié)合等級保護(hù)要求，及你的理解，描述存在的風(fēng)險(xiǎn)，并給出解決建議。

　解決方案及分析略。

　答:主機(jī)常見測評的問題

　1、檢測用戶的安全防范意識，檢查主機(jī)的管理文檔(弱口令、安全配置文檔)

　2、網(wǎng)絡(luò)服務(wù)的配置(不能有過多的網(wǎng)絡(luò)服務(wù)，防 ping)

　3、安裝有漏洞的軟件包(安裝過時(shí)的軟件包)

　4、缺省配置(口令缺省配置，可能被人錄用)

　5、不打補(bǔ)丁或補(bǔ)丁不全(以沒有通過測試等為由拒絕補(bǔ)丁的安裝)

　6、網(wǎng)絡(luò)安全敏感信息的泄露(.net 服務(wù)、database 命令，最小原則下，這

　些命令是禁用的)

　7、缺乏安全防范體系(防病毒體系不健全、linux 沒有成熟的軟件，按要求

　也是要有的記錄)

　8、信息資產(chǎn)的不明，缺乏分類的處理(如一臺服務(wù)器不知道干什么用的，上 面有很多服務(wù))

　9、安全管理信息單一、缺乏統(tǒng)一的分析和管理平臺(安全管理平臺，補(bǔ)丁

　升級平臺，防病毒平臺等)

　10、重技術(shù)，輕管理。

　9、1.信息安全等級保護(hù)的五個(gè)標(biāo)準(zhǔn)步驟是什么,信息安全等級保護(hù)的定義是什么,信息安全等級保護(hù)五個(gè)等級是怎樣定義的,(10 分)

　(1) 信息系統(tǒng)定級、備案、安全建設(shè)整改、等級測評、監(jiān)督檢查。

　(2)對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處

　理這些信息的系統(tǒng)分等級實(shí)行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。(答出三個(gè)分等級即可)

　(3)第一級，信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益造成損害，但

　不損害國家安全、社會(huì)秩序和公共利益。

　第二級，信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會(huì)秩序和公共利益造成損害，但不損害國家安全。

　第三級，信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。

　第四級，信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。

　第五級，信息系統(tǒng)受到破壞后，會(huì)對國家安全造成特別嚴(yán)重?fù)p害。

　10、網(wǎng)絡(luò)安全的網(wǎng)絡(luò)設(shè)備防護(hù)的 別;

　?、身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度的要求并定期更換; ?、應(yīng)具有登錄失敗處理功能，可采取結(jié)束回話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登陸連 接超時(shí)自動(dòng)退出等措施;

　?、當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中 被竊聽;

　?、應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。

　11、入侵檢測系統(tǒng)分為哪幾種，各有什么特點(diǎn),(10 分) 答:主機(jī)型入侵檢測系統(tǒng)(HIDS)，網(wǎng)絡(luò)型入侵檢測系統(tǒng)(NIDS)。

　HIDS 一般部署在下述四種情況下:

　1 )網(wǎng)絡(luò)帶寬高太高無法進(jìn)行網(wǎng)絡(luò)監(jiān)控

　2 )網(wǎng)絡(luò)帶寬太低不能承受網(wǎng)絡(luò) IDS 的開銷

　3 )網(wǎng)絡(luò)環(huán)境是高度交換且交換機(jī)上沒有鏡像端口

　4 )不需要廣泛的入侵檢測

　HIDS 往往以系統(tǒng)日志、應(yīng)用程序日志作為數(shù)據(jù)源;檢測主機(jī)上的命令序列比檢測網(wǎng)絡(luò)流更簡單，系統(tǒng)的復(fù)雜性也少得多，所以主機(jī)檢測系統(tǒng)誤報(bào)率比網(wǎng)絡(luò)入侵檢測系統(tǒng)的誤報(bào)率要低;他除了檢測自身的主機(jī)以外，根本不檢測網(wǎng)絡(luò)上的情況，而且對入侵行為分析的工作量將隨著主機(jī)數(shù)量的增加而增加，因此全面部署主機(jī)入侵檢測系統(tǒng)代價(jià)比較大，企業(yè)很難將所有主機(jī)用主機(jī)入侵檢測系統(tǒng)保護(hù)，只能選擇部分主機(jī)進(jìn)行保護(hù)，那些未安裝主機(jī)入侵檢測系統(tǒng)的機(jī)器將成為保護(hù)的忙點(diǎn)，入侵者可利用這些機(jī)器達(dá)到攻擊的目標(biāo)。依賴于服務(wù)器固有的日志和監(jiān)視能力，。如果服務(wù)器上沒有配置日志功能，則必須重新配置，這將給運(yùn)行中的業(yè) 務(wù)系統(tǒng)帶來不可預(yù)見的性能影響。

　NIDS 一般部署在比較重要的網(wǎng)段 按層面劃分分可分為:

　1)自主訪問控制 1)網(wǎng)絡(luò)訪問控制

　2)強(qiáng)制訪問控制 2)主機(jī)訪問控制

　3)基于角色的訪問控制。

　3)應(yīng)用訪問控制

　4)物理訪問控制

　13、安全審計(jì)按對象不同，可分為哪些類,各類審計(jì)的 身份信息的一系列數(shù)據(jù)，用來在網(wǎng)絡(luò)通信中識別通信各方的身份。

　2)從證書的用途來看，數(shù)字證書可分為簽名證書和加密證書。

　3)簽名證書主要用于對用戶信息進(jìn)行簽名，以保證信息的不可否認(rèn)性; 加密證書主要用于對用戶傳送信息進(jìn)行加密，以保證信息的真實(shí)性和 完整性。

　4)數(shù)字證書采用非對稱密鑰體制。即利用一對互相匹配的私鑰/公鑰進(jìn)行 加密、解密。其中私鑰用于進(jìn)行解密和簽名;公鑰用于加密和驗(yàn)證簽名。

　16、試解釋 SQL 注入攻擊的原理，以及它產(chǎn)生的不利影響。

　答:SQL 注入攻擊的原理是從客戶端提交特殊的代碼，Web 應(yīng)用程序如果沒做嚴(yán)格的 檢查就將其形

　成 SQL 命令發(fā)送給數(shù)據(jù)庫，從數(shù)據(jù)庫返回的信息中，攻擊者可以獲得程 序及服務(wù)器的信息，從而進(jìn)一步獲得其他資料。

　SQL 注入攻擊可以獲取 Web 應(yīng)用程序和數(shù)據(jù)庫系統(tǒng)的信息，還可以通過 SQL 注入 攻擊竊取敏感數(shù)據(jù)，篡改數(shù)據(jù)，破壞數(shù)據(jù)，甚至以數(shù)據(jù)庫系統(tǒng)為橋梁進(jìn)一步入侵服務(wù)器 操作系統(tǒng)，從而帶來更為巨大的破壞。

　17、入侵威脅有哪幾種,入侵行為有哪幾種,造成入侵威脅的入侵行為主要是哪兩種，各自的含義是什么,

　答:1、入侵威脅可分為: 2、入侵行為可分為: 3、主要入侵行為:

　1)外部滲透 1)物理入侵 1)系統(tǒng)入侵

　2) 2)系統(tǒng)入侵 2)遠(yuǎn)程入侵

　3)不法行為 3)遠(yuǎn)程入侵

　4、1)系統(tǒng)入侵是指入侵者在擁有系統(tǒng)的一個(gè)低級帳號權(quán)限下進(jìn)行的破壞活動(dòng);

　2)遠(yuǎn)程入侵是指入侵者通過網(wǎng)絡(luò)滲透到一個(gè)系統(tǒng)中。

　18、系統(tǒng)定級的一般流程是什么,

　答:1、確定作為定級對象的信息系統(tǒng);

　2、確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體;根據(jù)不同的受害客體， 從各個(gè)方面綜合評定業(yè)務(wù)信息安全被破壞對課題的侵害程度。根據(jù)業(yè) 務(wù)信息的重要性和受到破壞后的危害性確定業(yè)務(wù)信息安全等級。

　3、確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體;根據(jù)不同的受害客體， 從各個(gè)方面綜合評定系統(tǒng)服務(wù)安全被破壞對課題的侵害程度。根據(jù)系 統(tǒng)服務(wù)的重要性和受到破壞后的危害性確定業(yè)務(wù)信息安全等級。

　4、定級對象的等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級的較高者

　決定。

　19、簡述單位、組織的信息安全管理工作如何與公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全檢查部門(公安網(wǎng)監(jiān)部門)相配合。(10)

　答: 單位、組織的信息安全管理工作與公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門之間的配合主要體現(xiàn)在以下方面:

　(1)單位、組織的信息安全管理，必須遵循信息安全法律、法規(guī)對于安全管理職責(zé)、

　備案、禁止行為、安全管理制度和安全技術(shù)機(jī)制要求等方面的內(nèi)容規(guī)定。

　(2)法律、法規(guī)賦予公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門對信息安全的監(jiān)管職責(zé)，各

　單位、組織必須接受和配合公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門的監(jiān)督和檢查。

　(3)在發(fā)生信息安全案件后，單位、組織應(yīng)當(dāng)及時(shí)向公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察

　部門報(bào)案，并在取證和調(diào)查等環(huán)節(jié)給予密切配合。

　20、國家為什么要實(shí)施信息安全等級保護(hù)制度

　答:1、信息安全形勢嚴(yán)峻

　1)來自境內(nèi)外敵對勢力的入侵、攻擊、破壞越來越嚴(yán)重。

　2)針對基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的違法犯罪持續(xù)上升。

　3)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全隱患嚴(yán)重。

　2、維護(hù)國家安全的需要

　1)基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)已成為國家關(guān)鍵基礎(chǔ)設(shè)施。

　2)信息安全是國家安全的重要組成部分。

　3)信息安全是非傳統(tǒng)安全，信息安全本質(zhì)是信息對抗、技術(shù)對抗。

　4)我國的信息安全保障工作基礎(chǔ)還很薄弱。

　21、三級信息系統(tǒng)中網(wǎng)絡(luò)安全的結(jié)構(gòu)安全有哪些小項(xiàng),(10 分) a)

　b)

　c)

　d)

　e)

　f)

　g)

　應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要; 應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要; 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑; 應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖; 應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段; 應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段; 應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指 定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。

　22、簡單介紹可采取哪些措施進(jìn)行有效地控制攻擊事件和惡意代碼,(20 分)

　答:1、安裝并合理配置主機(jī)防火墻

　2、安裝并合理配置網(wǎng)絡(luò)防火墻

　3、安裝并合理配置 IDS/IPS

　4、嚴(yán)格控制外來介質(zhì)的使用

　5、防御和查殺結(jié)合、整體防御、防管結(jié)合、多層防御

　6、設(shè)置安全管理平臺，補(bǔ)丁升級平臺，防病毒平臺等對防病的系統(tǒng)進(jìn)行升級、漏洞進(jìn)行及時(shí)安裝補(bǔ)丁，病毒庫定期更新

　7、定期檢查網(wǎng)絡(luò)設(shè)備和安全設(shè)備的日志審計(jì)，發(fā)現(xiàn)可疑現(xiàn)象可及時(shí)進(jìn)行做出相應(yīng)處理。

　8、為了有效防止地址攻擊和拒絕服務(wù)攻擊可采取，在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接。

　9、為了有效防止黑客入侵，可對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制和對具有撥號功能用戶的數(shù)量進(jìn)行限制，遠(yuǎn)程撥號的用戶也許他就是一個(gè)黑客。

　10、采取雙因子認(rèn)證和信息加密可增強(qiáng)系統(tǒng)的安全性。

　23、ARP 地址欺騙的分類、原理是什么,可采取什么措施進(jìn)行有效控制,(10 分)

　答:一種是對網(wǎng)絡(luò)設(shè)備 ARP 表的欺騙，其原理是截獲網(wǎng)關(guān)數(shù)據(jù)。它通知網(wǎng)絡(luò)設(shè)備一系

　列錯(cuò)誤的內(nèi)網(wǎng) MAC 地址，并按照一定的的頻率不斷進(jìn)行，使真實(shí)的的地址信息無法通過更新保存在網(wǎng)絡(luò)設(shè)備中，結(jié)果網(wǎng)絡(luò)設(shè)備的所有的數(shù)據(jù)只能發(fā)給錯(cuò)誤的 MAC地址，造成正常 PC 無法收到信息。

　另一種是對內(nèi)網(wǎng) PC 的網(wǎng)關(guān)欺騙。其原理是建立假網(wǎng)關(guān)，讓被它欺騙的 PC 向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的途徑上網(wǎng)。

　措施:一、在網(wǎng)絡(luò)設(shè)備中把所有 pc 的 ip-mac 輸入到一個(gè)靜態(tài)表中，這叫 ip-mac 綁定;

　二、在內(nèi)網(wǎng)所有 pc 上設(shè)置網(wǎng)關(guān)的靜態(tài) arp 信息，這叫 pc ip-mac 綁定。一般要

　求兩個(gè)工作都要做，稱為 ip-mac 雙向綁定。

相關(guān)熱詞搜索：信息安全 等級 測評師