等保考试初级技术解答题汇总(共8页).docx

精选优质文档-倾情为你奉上关键点网络安全测评 1) 结构安全 l 应该保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；l 应该保证网络的各个部分的带宽满足业务高峰期需要； l 应在业务终端与服务器之间进行路由控制，简历安全的访问路径； l 绘制与当前运行状况相符合的网络拓扑结构图； l 根据各个部门工作智能，重要性和所涉及信息的重要程度等一些因素，划分不同的子网或者网段，并按照方便管理和控制的原则为各子网，网段分配地址段； l 避免将重要的网段不是在网络边界处且直接连接到外部信息系统，重要网段与其他网段之间采取可靠的技术手段隔离； l 按照对业务的重要次序来指定带宽的分配优先级别，保证在网络发生拥堵时优先保护重要主机； 2) 边界完整性检查 l 能够应对非授权的设备私自连接到内部网络的行为进行检查，能够做到准确定位，并能够对其进行有效阻断； l 应该能够对内部网络用户私自连接到外部网络的行为进行检查，能够做到准确定位，并对其进行有效的阻断； 3) 入侵防范 l 应该在网络边界处监视以下行为的攻击：端口扫描，强力攻击，木马后门攻击，拒绝服务攻击，缓冲区溢出攻击，IP碎片攻击和网络蠕虫攻击l 当检测到攻击行为时，能够记录攻击源IP，攻击类型，攻击目的，攻击时间，在发生严重入侵事件时应该提供报警； 4) 恶意代码防范 l 应该在网络边界处对恶意代码进行检查和清除； l 维护恶意代码库的升级和检测系统升级； 5) 访问控制 l 应在网络边界部署访问控制设备，启用访问控制功能； l 应能根据会话状态的信息为数据流提供明确的允许/拒绝访问的能力，控制力度为端口级； l 应对进出网络的信息内容进行过滤，实现对应用层HTTP，FTP，TELNET，SMTP，POP3等协议命令级的控制；l 应该在会话处于非活跃一段时间后自动终止连接； l 应该限制网络最大流量数及网络连接数； l 重要网络应该采取技术手段防止地址欺骗； l 应该按照用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户； l 应该限制具有拨号访问权限的用户数量； 6) 安全审计 l 应对网络系统中的网络设备运行状况，网络流量，用户行为等进行日志记录； l 审计记录应该包括：事件的日期和时间，用户，事件类型，事件是否成功等相关信息； l 应能够根据记录数据进行分析，并生成审计报表； l 应对审计记录进行保护，避免受到未预期的删除，修改或者覆盖； 7) 网络设备保护 l 应该对登录网络设备的用户进行身份鉴别； l 应对网络设备的管理员登录地址进行限制； l 网络设备用户的表示应该唯一； l 主要网络设备应对同一用户选择两种或者两种以上组合鉴别技术来进行身份鉴别； l 身份鉴别信息应该具有不易被冒用的特点，口令应该具有复杂度要求并且定期更换； l 应该具有登录失败处理的能力，可采取结束会话，限制非法登录次数和当网络登录连接超时的时候自动退出等措施； l 当网络设备进行远程管理时，应该采取必要措施防止鉴别信息在网络传输的过程中被窃听； l 应该实现设备特权用户的权限分离； 主机安全测评 1) 身份鉴别 l 应对登录操作系统和数据库系统的用户进行身份表示和鉴别； l 操作系统和数据库系统管理用户身份鉴别信息应该具有不易被冒用的特点，口令应该具有复杂度要求并且定期更换； l 启用登录失败处理功能，可采取结束会话，限制非法登录次数和自动退出等措施； l 当对服务器进行远程管理时，应该采取必要措施，防止信息在网络传输过程中被窃听； l 应为操作系统和数据库的不同用户分配不同的用户名，确保用户名具有唯一性；l 应采取两种或者两种以上的认证对管理员用户进行鉴别； 2) 访问控制 l 实现操作系统和数据库系统特权用户的权限分离； l 应该启用访问控制功能，依据安全策略控制用户对资源的访问；l 应该严格限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令； l 及时删除多余的，过期 的账户，避免共享账户的存在； l 应对重要的资源设置敏感标记； l 应该根据安全策略严格控制用户对有敏感标记重要信息资源的操作； 3) 安全审计 l 审计范围应覆盖到服务器和重要客户端上的每个操作系统和数据库用户； l 审计内容应该包括重要的用户行为，系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件； l 审计的记录应该包括时间的日期，时间，类型。主体标识，客体标识和结果等； l 应能够根据记录数据进行数据分析，并生成审计报表； l 应保护审计进程，避免受到未预期的中断； l 应该保护审计记录，避免受到未预期的删除，修改和覆盖等； 4) 剩余信息保护 l 应保证操作系统和数据库系统用骨灰的鉴别信息所在的存储空间，被释放活再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是存在内存中； l 应确保系统内的文件，目录和数据库记录等资源所在存储空间，被释放活重新分配给其他用户前得到完全清楚； 5) 入侵防范 l 应该能够检测到对重要服务器进行入侵的行为，能够记录入侵的源 IP，攻击的类型，目的，时间，并在发生严重入侵事件时提供报警； l 能够对重要程序的完整性进行检测，并在检测到完整性收到破坏后具有恢复措施； l 操作系统应该遵循最小安装原则，仅仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新； 6) 恶意代码防范 l 应安装防范恶意代码的软件，并及时更新防范恶意代码软件版本和恶意代码库； l 主机防范恶意代码库产品应具有与网络防恶意代码产品不同的恶意代码库； l 应支持防恶意代码的同意管理； 7) 资源控制 l 通过设置终端接入方式，网络地址范围等条件限制终端登录； l 应根据安全策略设置登录终端的操作超时锁定； l 应对重要服务器进行监视，包括监视服务器的CPU，硬盘，内存，网络等资源的使用情况； l 应该限制单一用户对系统资源的最大或最小使用限度； l 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警； 应用安全测评 1) 身份鉴别 l 应提供专用的登录控制模块对登录用户进行身边标记和鉴别； l 应对同一个用户采用两种或者两种以上组合的鉴别技术实现用书身份鉴别； l 应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息应该不易被冒用； l 应能够提供登录失败的处理功能，可采取结束会话，限制非法登录次数和自动退出等措施； l 应用身份鉴别，用户身份标识唯一性检查，用户身份鉴别信息复杂度检查，以及登录失败处理能力，并根据安全策略配置相关参数； 2) 访问控制 l 应提供访问控制功能，依据安全策略控制用户对文件，数据库表等客体的访问； l 访问控制的覆盖范围应该包括与资源访问相关的注意，客体以及他们之间的操作； l 应该由授权主体配置访问控制策略，并严格限制默认账户的访问权限； l 应授予不同账户为完成各自承担任务所需要的最小权限，并在他们之间形成相互制约的关系； l 应具有对重要信息戏院设置敏感标记的功能； l 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作； 3) 安全审计 l 应提供覆盖到每个用户的安全审计功能，对应用系统重要安全时间进行审计； l 应保证无法单独终端审计进程，无法删除，修改或者覆盖审计记录； l 审计的记录应该包括时间的日期，时间，类型。主体标识，客体标识和结果等； l 应能够根据记录数据进行数据分析，并生成审计报表； 4) 剩余信息的保护 l 应保证操作系统和数据库系统用骨灰的鉴别信息所在的存储空间，被释放活再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是存在内存中； l 应确保系统内的文件，目录和数据库记录等资源所在存储空间，被释放活重新分配给其他用户前得到完全清楚； 5) 通信完整性 应采用密码技术保证通信过程中数据的完整性； 6) 通信的保密性 l 在通信双方简历连接之前，应用系统应该利用密码技术进行会话的初始化验证； l 应对通信过程中的整个报文活会话过程进行加密； 7) 抗抵赖 l 应具有在请求的情况下为数据原发者或者接收者提供数据原发者证据的功能； l 应具有在请求情况下为数据原发者或接收者提供数据接收证据的功能； 8) 软件容错 应提供数据有效性校验功能，保证通过人机接口或者通过通信接口输入的数据格式或者长度符合系统设定要求； 应该提供自我保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复； 9) 资源控制 l 当应用系统的通信双方中的一方在一段时间内未做任何响应，另一方能够自动结束会话； l 应能够对系统的最大并发连接数进行限制； l 应能够对单个账户的多重并发会话进行限制； l 应能够对一个时间段内可能的并发会话书进行限制； l 能够对一个访问账户或者一个请求进程占用的资源分配最大限额和最小限额进行控制； l 应能够对系统服务水平降低到预先规定的最小值进行检测和报警； 数据安全测评 1、数据完整性 l 应能够检测系统管理数据，鉴别信息和重要业务数据在传输过程中完整性是否受到破坏，并在检测到完整性错误时采取必要的恢复机制； l 应能够检测到系统管理数据，鉴别信息和重要业务数据在存储过程中完整性是否收到破坏，并在检测到破坏的时候能够采取必要的恢复措施； 2、数据保密性 l 应采用加密或者其他有效措施实现系统管理数据，鉴别信息和重要业务数据传输的保密性； l 应采用加密或者其他有效措施实现系统管理数据，鉴别信息和重要业务数据存储的保密性； 3、备份和恢复 l 应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放； l 应提供数据异地备份功能，利用通信网络将关键数据定时批量传送至备用场地； l 应采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障； 应提供主要网络设备，通信线路和数据处理系统的硬件冗余，保证系统的高可用性；1、基本要求，在应用安全层面的访问控制要求中，三级系统较二级系统增加的措施有哪些？ 答：三级比二级增加的要求项有： 应提供对重要信息资源设置敏感标记的功能； 应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。    2、在主机测试前期调研活动中，收集信息的内容（至少写出六项）？在选择主机测评对象时应该注意哪些要点？ 答：至少需要收集服务器主机的设备名称、型号、所属网络区域、操作系统版本、IP地址、安装的应用软件名称、主要业务应用、涉及数据、是否热备、重要程度、责任部门。     测评对象选择时应该注意重要性、代表性、完整性、安全性、共享性五大原则。    3、基本要求中，对于三级信息系统，网络安全层面应采取哪些安全技术措施?答：网络层面需要考虑结构安全、访问控制、安全审计、边界完整性、入侵防范、恶意代码防范、网络设备防护、数据备份与恢复。4、主机按照其规模或系统功能来区分为哪些类？主机安全在测评时会遇到哪些类型操作系统？网络安全三级信息系统的安全子类是什么？三级网络安全的安全审计内容是什么？ 答：1、巨型、大型、中型、小型、微型计算机及单片机。 2、Windows，Linux,Sun Solaris,IBM AIX,HP-UX等等。 3、结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。 4、a、应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。b、审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。c、应能够根据记录数据进行分析，并生成审计报表。d、应对审计记录进行保护、避免受到未预期的删除、修改或覆盖等。5、数据库常见威胁有哪些？答：非授权访问、特权提升、SQL注入、针对漏洞进行攻击、绕过访问控制进行非授权访问等。 6、回答工具测试接入点的原则，及注意事项？ 答：工具测试接入点的原则： 首要原则是不影响目标系统正常运行的前提下严格按照方案选定范围进行测试。 1）由低级别系统向高级别系统探测；  2）同一系统同等重要程度功能区域之间要相互探测； 3）有较低重要程度区域向较高重要程度区域探测； 4）由外链接口向系统内部探测；  5）跨网络隔离设备（包括网络设备和安全设备）要分段探测。注意事项: 1)工具测试介入测试设备之前，首先要有被测系统人员确定测试条件是否具备。测试条件包括被测网络设备、主机、安全设备等是否都在正常运行，测试时间段是否为可测试时间段，等等。 2)接入系统的设备、工具的ip地址等配置要经过被测系统相关人员确认。 3)对于测试过程中可能造成的对目标系统的网络流量及主机性能方面的影响（例如口令探测可能会造成的账号锁定等情况），要事先告知被测系统相关人员。 4)对于测试过程中的关键步骤、重要证据，要及时利用抓图等取证。 5)对于测试过程中出现的异常情况（服务器出现故障、网络中断）要及时记录。 6)测试结束后，需要被测方人员确认被测系统状态正常并签字后退场。7、采取什么措施可以帮助检测到入侵行为？ 答：部署IDS/IPS，使用主机防火墙（软件）、硬件防火墙、在路由交换设备上设置策略、采用审计设备等。     8、请根据基本要求中对于主机的相关要求，按照你的理解，写出由问题可能导致的安全风险，并给出相应的解决方案。 或给出一张（主机测评）检查表，有8条不符合项目，请结合等级保护要求，及你的理解，描述存在的风险，并给出解决建议。 解决方案及分析略。9、主机常见测评的问题 1、检测用户的安全防范意识，检查主机的管理文档（弱口令、安全配置文档）2、网络服务的配置（不能有过多的网络服务，防ping） 3、安装有漏洞的软件包（安装过时的软件包）4、缺省配置（口令缺省配置，可能被人录用） 5、不打补丁或补丁不全（以没有通过测试等为由拒绝补丁的安装） 6、网络安全敏感信息的泄露（.net服务、database命令，最小原则下，这些命令是禁用的）7、缺乏安全防范体系（防病毒体系不健全、linux没有成熟的软件，按要求也是要有的记录）8、信息资产的不明，缺乏分类的处理（如一台服务器不知道干什么用的，上面有很多服务） 9、安全管理信息单一、缺乏统一的分析和管理平台（安全管理平台，补丁升级平台，防病毒平台等10、重技术，轻管理。10、信息安全等级保护的五个标准步骤是什么？信息安全等级保护的定义是什么？信息安全等级保护五个等级是怎样定义的？（10分） （1）信息系统定级、备案、安全建设整改、等级测评、监督检查。 （2）对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。（答出三个分等级即可） （3）公民、法人和其他组织的、国家安全、社会秩序和公共利益。 12、入侵检测系统分为哪几种，各有什么特点？（10分） 答：主机型入侵检测系统（HIDS），网络型入侵检测系统（NIDS）。 HIDS一般部署在下述四种情况下： 1）网络带宽高太高无法进行网络监控2）网络带宽太低不能承受网络IDS的开销 3）网络环境是高度交换且交换机上没有镜像端口   4）不需要广泛的入侵检测 HIDS往往以系统日志、应用程序日志作为数据源；检测主机上的命令序列比检测网络流更简单，系统的复杂性也少得多，所以主机检测系统误报率比网络入侵检测系统的误报率要低；他除了检测自身的主机以外，根本不检测网络上的情况，而且对入侵行为分析的工作量将随着主机数量的增加而增加，因此全面部署主机入侵检测系统代价比较大，企业很难将所有主机用主机入侵检测系统保护，只能选择部分主机进行保护，那些未安装主机入侵检测系统的机器将成为保护的忙点，入侵者可利用这些机器达到攻击的目标。依赖于服务器固有的日志和监视能力，。如果服务器上没有配置日志功能，则必须重新配置，这将给运行中的业务系统带来不可预见的性能影响。 NIDS一般部署在比较重要的网段内，它不需要改变服务器等主机的配置，由于他不会在业务系统的主机中安装额外的软件，从而不会影响这些机器的CPU、I/O与磁盘等资源的使用，不会影响业务系统的性能。NIDS的数据源是网络上的数据包。通过线路窃听的手段对捕获的网络分组进行处理，从中获取有用的信息。一个网段上只需要安装一个或几个这样的系统，便可以检测整个网络的情况，比较容易实现。由于现在网络的日趋复杂和高速网络的普及，这种结构正接受者越来越大的挑战。      13、访问控制的三要素是什么？按访问控制策略划分，可分为哪几类？按层面划分，可分为哪几类？（10分） 答：访问控制的三要素是：主体，客体，操作。    按访问控制策略划分可分为:      按层面划分分可分为： 1）自主访问控制                 1）网络访问控制 2）强制访问控制                 2）主机访问控制 3）基于角色的访问控制。  3）应用访问控制                        4）物理访问控制     14、安全审计按对象不同，可分为哪些类？各类审计的内容又是什么？（12分） 答：系统级审计，应用级审计，用户级审计。 系统级审计：要求至少能够记录登陆结果、登录标识、登陆尝试的日期和时间、退出的日期和时间、所使用的设备、登陆后运行的内容、修改配置文件的请求等。 应用级审计：跟踪监控和记录诸如打开和关闭数据文件，读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。 用户级审计：跟踪通常记录用户直接启动的所有命令、所有的标识和鉴别尝试的所有访问的文件和资源。      15、身份认证的信息主要有哪几类？并每项列举不少于2个的事例。 答：身份认证的信息可分为以下几类： 1）用户知道的信息，如个人标识、口令等。 2）用户所持有的证件，如门卡、智能卡、硬件令牌等。3）用户所特有的特征，指纹、虹膜、视网膜扫描结果等。4）用户所特有的行为特征，如语音识别、笔记等。      16、数字证书的含义，分类和主要用途，所采用的密码体制？ 答：1）数字证书是由认证中心生成并经认证中心数字签名的，标志网络用户身份信息的一系列数据，用来在网络通信中识别通信各方的身份。    2）从证书的用途来看，数字证书可分为签名证书和加密证书。 3）签名证书主要用于对用户信息进行签名，以保证信息的不可否认性；加密证书主要用于对用户传送信息进行加密，以保证信息的真实性和完整性。 4）数字证书采用非对称密钥体制。即利用一对互相匹配的私钥/公钥进行加密、解密。其中私钥用于进行解密和签名；公钥用于加密和验证签名。      17、试解释SQL注入攻击的原理，以及它产生的不利影响。 答：SQL注入攻击的原理是从客户端提交特殊的代码，Web应用程序如果没做严格的  检查就将其形成SQL命令发送给数据库，从数据库返回的信息中，攻击者可以获得程序及服务器的信息，从而进一步获得其他资料。  SQL注入攻击可以获取Web应用程序和数据库系统的信息，还可以通过SQL注入 攻击窃取敏感数据，篡改数据，破坏数据，甚至以数据库系统为桥梁进一步入侵服务器 操作系统，从而带来更为巨大的破坏。         18、入侵威胁有哪几种？入侵行为有哪几种？造成入侵威胁的入侵行为主要是哪两种，各自的含义是什么？ 答：1、入侵威胁可分为： 2、入侵行为可分为：  3、主要入侵行为：        1）外部渗透           1）物理入侵          1）系统入侵     2）内部渗透           2）系统入侵          2）远程入侵     3）不法行为           3）远程入侵  4、1）系统入侵是指入侵者在拥有系统的一个低级帐号权限下进行的破坏活动； 2）远程入侵是指入侵者通过网络渗透到一个系统中。19、系统定级的一般流程是什么？  答：1、确定作为定级对象的信息系统； 2、确定业务信息安全受到破坏时所侵害的客体；根据不同的受害客体，从各个方面综合评定业务信息安全被破坏对课题的侵害程度。根据业务信息的重要性和受到破坏后的危害性确定业务信息安全等级。 3、确定系统服务安全受到破坏时所侵害的客体；根据不同的受害客体，从各个方面综合评定系统服务安全被破坏对课题的侵害程度。根据系统服务的重要性和受到破坏后的危害性确定业务信息安全等级。      4、定级对象的等级由业务信息安全等级和系统服务安全等级的较高者决定。     20、简述单位、组织的信息安全管理工作如何与公安机关公共信息网络安全检查部门（公安网监部门）相配合。（10） 答： 单位、组织的信息安全管理工作与公安机关公共信息网络安全监察部门之间的配合主要体现在以下方面：  （1）单位、组织的信息安全管理，必须遵循信息安全法律、法规对于安全管理职责、备案、禁止行为、安全管理制度和安全技术机制要求等方面的内容规定。  （2）法律、法规赋予公安机关公共信息网络安全监察部门对信息安全的监管职责，各单位、组织必须接受和配合公安机关公共信息网络安全监察部门的监督和检查。   （3）在发生信息安全案件后，单位、组织应当及时向公安机关公共信息网络安全监察部门报案，并在取证和调查等环节给予密切配合。   21、国家为什么要实施信息安全等级保护制度 答：1、信息安全形势严峻                      1） 来自境内外敌对势力的入侵、攻击、破坏越来越严重。 2） 针对基础信息网络和重要信息系统的违法犯罪持续上升。  3） 基础信息网络和重要信息系统安全隐患严重。 2、维护国家安全的需要  1）基础信息网络与重要信息系统已成为国家关键基础设施。  2）信息安全是国家安全的重要组成部分。  3）信息安全是非传统安全，信息安全本质是信息对抗、技术对抗。 4）我国的信息安全保障工作基础还很薄弱。 22、简单介绍可采取哪些措施进行有效地控制攻击事件和恶意代码？（20分） 答：1、安装并合理配置主机防火墙 2、安装并合理配置网络防火墙 3、安装并合理配置IDS/IPS4、严格控制外来介质的使用 5、防御和查杀结合、整体防御、防管结合、多层防御 6、设置安全管理平台，补丁升级平台，防病毒平台等对防病的系统进行升级、漏洞进行及时安装补丁，病毒库定期更新 7、定期检查网络设备和安全设备的日志审计，发现可疑现象可及时进行做出相应处理。8、为了有效防止地址攻击和拒绝服务攻击可采取，在会话处于非活跃一定时间或会话结束后终止网络连接。 9、为了有效防止黑客入侵，可对网络设备的管理员登录地址进行限制和对具有拨号功能用户的数量进行限制，远程拨号的用户也许他就是一个黑客。10、采取双因子认证和信息加密可增强系统的安全性。    23、ARP地址欺骗的分类、原理是什么？可采取什么措施进行有效控制？（10分） 答：1、对网络设备ARP表的欺骗，其原理是截获网关数据。它通知网络设备一系列错误的内网MAC地址，并按照一定的的频率不断进行，使真实的的地址信息无法通过更新保存在网络设备中，结果网络设备的所有的数据只能发给错误的MAC地址，造成正常PC无法收到信息。   2、对内网PC的网关欺骗。其原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的途径上网。    措施：一、在网络设备中把所有pc的ip-mac输入到一个静态表中，这叫ip-mac绑定；二、在内网所有pc上设置网关的静态arp信息，这叫pc ip-mac绑定。一般要求两个工作都要做，称为ip-mac双向绑定。24、网络安全前期调研：1. 获取网络拓扑、外联线路、网络设备安全设备2. 明确边界设备、核心设备以及其他主要设备注意事项3. 考虑设备的重要程度可以采用抽取的方式4. 不能出现遗漏，避免出现退弱点5. 最终在测评方案中与用户明确检查范围网络设备、安全设备列表。25、应用系统的攻击手段：常见攻击手段：口令破解、信息窃听、绕过访问控制、后门攻击。针对web应用的攻击：跨站脚本攻击、SQL注入、缓冲区溢出、拒绝服务攻击等。l 专心-专注-专业