1、信息安全等级测评师(初级技术)简答题1、基本要求,在应用安全层面的访问控制要求中,三级系统较二级系统增加的措施有哪些, 答:三级比二级增加的要求项有: 应提供对重要信息资源设置敏感标记的功能; 应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。 2、在主机测试前期调研活动中,收集信息的内容(至少写出六项),在选择主机测评对象时应该注意哪些要点, 答:至少需要收集服务器主机的设备名称、型号、所属网络区域、操作系统版本、IP地址、安装的应用软件名称、主要业务应用、涉及数据、是否热备、重要程度、责任部门。 测评对象选择时应该注意 重要性、代表性、完整性、安全性、共享性五大原则。 3、基本要求
2、中,对于三级信息系统,网络安全层面应采取哪些安全技术措施,画出图并进行描述(不考虑安全加固)。 答:网络层面需要考虑结构安全、访问控制、安全审计、边界完整性、入侵防范、恶意代码防范、网络设备防护、数据备份与恢复。 4、主机按照其规模或系统功能来区分为哪些类,主机安全在测评时会遇到哪些类型操作系统,网络安全三级信息系统的安全子类是什么,三级网络安全的安全审计内容是什么, 答:1、巨型、大型、中型、小型、微型计算机及单片机。 2、Windows,Linux,Sun Solaris,IBM AIX,HP-UX等等。 3、结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防
3、护。 4、a、应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。 b、审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 c、应能够根据记录数据进行分析,并生成审计报表。 d、应对审计记录进行保护、避免受到未预期的删除、修改或覆盖等。 5、数据库常见威胁有哪些,针对于工具测试需要注意哪些内容, 答:(1)非授权访问、特权提升、SQL注入、针对漏洞进行攻击、绕过访问控制进行非授权访问等。 (2)工具测试接入测试设备前,首先要有被测系统人员确定测试条件是否具备。测试条件包括被测网络设备、主机、安全设备等是否都在正常运行,测试时间段是否为可测试时
4、间段等等。 接入系统的设备、工具的IP地址等配置要经过被测系统相关人员确认。 对于测试过程中可能造成的对目标系统的网络流量及主机性能等等方面的影响(例如口令探测可能会造成的账号锁定等情况),要事先告知被测系统相关人员。 对于测试过程中的关键步骤、重要证据,要及时利用抓图等取证工具进行取证。 对于测试过程中出现的异常情况(服务器出现故障、网络中断等等)要及时记录。 测试结束后,需要被测方人员确认被测系统状态正常并签字后离场。 6、回答工具测试接入点的原则,及注意事项, 答:工具测试接入点的原则: 首要原则是不影响目标系统正常运行的前提下严格按照方案选定范围进行测试。 1)由低级别系统向高级别系统
5、探测; 2)同一系统同等重要程度功能区域之间要相互探测; 3)有较低重要程度区域向较高重要程度区域探测; 4)由外链接口向系统内部探测; 5)跨网络隔离设备(包括网络设备和安全设备)要分段探测。 注意事项: 1)工具测试介入测试设备之前,首先要有被测系统人员确定测试条件是否具备。测试条件包括被测网络设备、主机、安全设备等是否都在正常运行,测试时间段是否为可测试时间段,等等。 2)接入系统的设备、工具的ip地址等配置要经过被测系统相关人员确认。 3)对于测试过程中可能造成的对目标系统的网络流量及主机性能方面的影响(例如口令探测可能会造成的账号锁定等情况),要事先告知被测系统相关人员。 4)对于测
6、试过程中的关键步骤、重要证据,要及时利用抓图等取证。 5)对于测试过程中出现的异常情况(服务器出现故障、网络中断)要及时记录。 6)测试结束后,需要被测方人员确认被测系统状态正常并签字后退场。 7、采取什么措施可以帮助检测到入侵行为, 答:部署IDS/IPS,使用主机防火墙(软件)、硬件防火墙、在路由交换设备上设置策略、采用审计设备等。 8、请根据基本要求中对于主机的相关要求,按照你的理解,写出由问题可能导致的安全风险,并给出相应的解决方案。 或给出一张(主机测评)检查表,有8条不符合项目,请结合等级保护要求,及你的理解,描述存在的风险,并给出解决建议。 序号 安全问题 1 未采用两种或两种以
7、上组合的鉴别技术对管理用户进行身份鉴别; 2 重要设备未实现硬件冗余。 3、 主机系统和数据库系统未重命名系统默认账户。 4 主机系统未启动审计功能,或审计范围不足,不能记录用户对操作系统的操作和对文件访问情况。 5 未采用最小安装原则,开启了多余服务如HP-UNIX系统的tftf、exec、ntalk等等,Windows系统的Remote Register、DHCP clinet 、DNS client 等等 6 Windows服务器均开启了系统默认共享如:C$ D$ 等等 7 Windows 服务器使用系统自带的远程终端管理软件进行远程管理,未采取必要措施防止鉴别信息在网络传输过程中被窃听
8、。 8 1、系统未指定口令过期时间和设置口令复杂度等;2、未设置登录超时或设置不合理;3、未设置登录失败处理功能。 解决方案及分析略。 答:主机常见测评的问题 1、检测用户的安全防范意识,检查主机的管理文档(弱口令、安全配置文档) 2、网络服务的配置(不能有过多的网络服务,防ping) 3、安装有漏洞的软件包(安装过时的软件包) 4、缺省配置(口令缺省配置,可能被人录用) 5、不打补丁或补丁不全(以没有通过测试等为由拒绝补丁的安装) 6、网络安全敏感信息的泄露(.net服务、database命令,最小原则下,这 些命令是禁用的) 7、缺乏安全防范体系(防病毒体系不健全、linux没有成熟的软件
9、,按要求 也是要有的记录) 8、信息资产的不明,缺乏分类的处理(如一台服务器不知道干什么用的,上 面有很多服务) 9、安全管理信息单一、缺乏统一的分析和管理平台(安全管理平台,补丁 升级平台,防病毒平台等) 10、重技术,轻管理。 9、1.信息安全等级保护的五个标准步骤是什么,信息安全等级保护的定义是什么,信息安全等级保护五个等级是怎样定义的,(10分) (1) 信息系统定级、备案、安全建设整改、等级测评、监督检查。 (2)对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生
10、的信息安全事件分等级响应、处置。(答出三个分等级即可) (3)第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 10、网络安全的网络设备防护的内容是什么,(12
11、分) 答:?、应对登录网络设备的用户进行身份鉴别; ?、应对网络设备管理员的登陆地址进行限制; ?、网络设备用户的标识应唯一; ?、主要网络设备应对同一用户选择两种或者两种以上组合的鉴别技术来进行身份鉴 别; ?、身份鉴别信息应具有不易被冒用的特点,口令应有复杂度的要求并定期更换; ?、应具有登录失败处理功能,可采取结束回话、限制非法登录次数和当网络登陆连 接超时自动退出等措施; ?、当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中 被窃听; ?、应实现设备特权用户的权限分离。 11、入侵检测系统分为哪几种,各有什么特点,(10分) 答:主机型入侵检测系统(HIDS),网
12、络型入侵检测系统(NIDS)。 HIDS一般部署在下述四种情况下: 1 )网络带宽高太高无法进行网络监控 2 )网络带宽太低不能承受网络IDS的开销 3 )网络环境是高度交换且交换机上没有镜像端口 4 )不需要广泛的入侵检测 HIDS往往以系统日志、应用程序日志作为数据源;检测主机上的命令序列比检测网络流更简单,系统的复杂性也少得多,所以主机检测系统误报率比网络入侵检测系统的误报率要低;他除了检测自身的主机以外,根本不检测网络上的情况,而且对入侵行为分析的工作量将随着主机数量的增加而增加,因此全面部署主机入侵检测系统代价比较大,企业很难将所有主机用主机入侵检测系统保护,只能选择部分主机进行保护
13、,那些未安装主机入侵检测系统的机器将成为保护的忙点,入侵者可利用这些机器达到攻击的目标。依赖于服务器固有的日志和监视能力,。如果服务器上没有配置日志功能,则必须重新配置,这将给运行中的业务系统带来不可预见的性能影响。 NIDS一般部署在比较重要的网段内,它不需要改变服务器等主机的配置,由于他不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。NIDS的数据源是网络上的数据包。通过线路窃听的手段对捕获的网络分组进行处理,从中获取有用的信息。一个网段上只需要安装一个或几个这样的系统,便可以检测整个网络的情况,比较容易实现。由于现在网
14、络的日趋复杂和高速网络的普及,这种结构正接受者越来越大的挑战。 12、访问控制的三要素是什么,按访问控制策略划分,可分为哪几类,按层面划分,可分为哪几类,(10分) 答:访问控制的三要素是:主体,客体,操作。 按访问控制策略划分可分为: 按层面划分分可分为: 1)自主访问控制 1)网络访问控制 2)强制访问控制 2)主机访问控制 3)基于角色的访问控制。 3)应用访问控制 4)物理访问控制 13、安全审计按对象不同,可分为哪些类,各类审计的内容又是什么,(12分) 答:系统级审计,应用级审计,用户级审计。 系统级审计:要求至少能够记录登陆结果、登录标识、登陆尝试的日期和时间、退出的日期和时间、
15、所使用的设备、登陆后运行的内容、修改配置文件的请求等。 应用级审计:跟踪监控和记录诸如打开和关闭数据文件,读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。 用户级审计:跟踪通常记录用户直接启动的所有命令、所有的标识和鉴别尝试的所有访问的文件和资源。 14、身份认证的信息主要有哪几类,并每项列举不少于2个的事例。 答:身份认证的信息可分为以下几类: 1)用户知道的信息,如个人标识、口令等。 2)用户所持有的证件,如门卡、智能卡、硬件令牌等。 3)用户所特有的特征,指纹、虹膜、视网膜扫描结果等。 15、数字证书的含义,分类和主要用途,所采用的密码体制, 答:1)数字证书是由认证中心
16、生成并经认证中心数字签名的,标志网络用户 身份信息的一系列数据,用来在网络通信中识别通信各方的身份。 2)从证书的用途来看,数字证书可分为签名证书和加密证书。 3)签名证书主要用于对用户信息进行签名,以保证信息的不可否认性; 加密证书主要用于对用户传送信息进行加密,以保证信息的真实性和 完整性。 4)数字证书采用非对称密钥体制。即利用一对互相匹配的私钥/公钥进行 加密、解密。其中私钥用于进行解密和签名;公钥用于加密和验证签名。 16、试解释SQL注入攻击的原理,以及它产生的不利影响。 答:SQL注入攻击的原理是从客户端提交特殊的代码,Web应用程序如果没做严格的 检查就将其形成SQL命令发送给
17、数据库,从数据库返回的信息中,攻击者可以获得程 序及服务器的信息,从而进一步获得其他资料。 SQL注入攻击可以获取Web应用程序和数据库系统的信息,还可以通过SQL注入 攻击窃取敏感数据,篡改数据,破坏数据,甚至以数据库系统为桥梁进一步入侵服务器 操作系统,从而带来更为巨大的破坏。 17、入侵威胁有哪几种,入侵行为有哪几种,造成入侵威胁的入侵行为主要是哪两种,各自的含义是什么, 答:1、入侵威胁可分为: 2、入侵行为可分为: 3、主要入侵行为: 1)外部渗透 1)物理入侵 1)系统入侵 2)内部渗透 2)系统入侵 2)远程入侵 3)不法行为 3)远程入侵 4、1)系统入侵是指入侵者在拥有系统的
18、一个低级帐号权限下进行的破坏活动; 2)远程入侵是指入侵者通过网络渗透到一个系统中。 18、系统定级的一般流程是什么, 答:1、确定作为定级对象的信息系统; 2、确定业务信息安全受到破坏时所侵害的客体;根据不同的受害客体, 从各个方面综合评定业务信息安全被破坏对课题的侵害程度。根据业 务信息的重要性和受到破坏后的危害性确定业务信息安全等级。 3、确定系统服务安全受到破坏时所侵害的客体;根据不同的受害客体, 从各个方面综合评定系统服务安全被破坏对课题的侵害程度。根据系 统服务的重要性和受到破坏后的危害性确定业务信息安全等级。 4、定级对象的等级由业务信息安全等级和系统服务安全等级的较高者 决定。
19、 19、简述单位、组织的信息安全管理工作如何与公安机关公共信息网络安全检查部门(公安网监部门)相配合。(10) 答: 单位、组织的信息安全管理工作与公安机关公共信息网络安全监察部门之间的配合主要体现在以下方面: (1)单位、组织的信息安全管理,必须遵循信息安全法律、法规对于安全管理职责、备案、禁止行为、安全管理制度和安全技术机制要求等方面的内容规定。 (2)法律、法规赋予公安机关公共信息网络安全监察部门对信息安全的监管职责,各单位、组织必须接受和配合公安机关公共信息网络安全监察部门的监督和检查。 (3)在发生信息安全案件后,单位、组织应当及时向公安机关公共信息网络安全监察部门报案,并在取证和调
20、查等环节给予密切配合。 20、国家为什么要实施信息安全等级保护制度 答:1、信息安全形势严峻 1)来自境内外敌对势力的入侵、攻击、破坏越来越严重。 2)针对基础信息网络和重要信息系统的违法犯罪持续上升。 3)基础信息网络和重要信息系统安全隐患严重。 2、维护国家安全的需要 1)基础信息网络与重要信息系统已成为国家关键基础设施。 2)信息安全是国家安全的重要组成部分。 3)信息安全是非传统安全,信息安全本质是信息对抗、技术对抗。 4)我国的信息安全保障工作基础还很薄弱。 21、三级信息系统中网络安全的结构安全有哪些小项,(10分) a) 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰
21、期需要; b) 应保证网络各个部分的带宽满足业务高峰期需要; c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径; d) 应绘制与当前运行情况相符的网络拓扑结构图; e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段; f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段; g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。 22、简单介绍可采取哪些措施进行有效地控制攻击事件和恶意代码,(20
22、分) 答:1、安装并合理配置主机防火墙 2、安装并合理配置网络防火墙 3、安装并合理配置IDS/IPS 4、严格控制外来介质的使用 5、防御和查杀结合、整体防御、防管结合、多层防御 6、设置安全管理平台,补丁升级平台,防病毒平台等对防病的系统进行升级、漏洞进行及时安装补丁,病毒库定期更新 7、定期检查网络设备和安全设备的日志审计,发现可疑现象可及时进行做出相应处理。 8、为了有效防止地址攻击和拒绝服务攻击可采取,在会话处于非活跃一定时间或会话结束后终止网络连接。 9、为了有效防止黑客入侵,可对网络设备的管理员登录地址进行限制和对具有拨号功能用户的数量进行限制,远程拨号的用户也许他就是一个黑客。
23、 10、采取双因子认证和信息加密可增强系统的安全性。 23、ARP地址欺骗的分类、原理是什么,可采取什么措施进行有效控制,(10分) 答:一种是对网络设备ARP表的欺骗,其原理是截获网关数据。它通知网络设备一系列错误的内网MAC地址,并按照一定的的频率不断进行,使真实的的地址信息无法通过更新保存在网络设备中,结果网络设备的所有的数据只能发给错误的MAC地址,造成正常PC无法收到信息。 另一种是对内网PC的网关欺骗。其原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的途径上网。 措施:一、在网络设备中把所有pc的ip-mac输入到一个静态表中,这叫ip-mac绑定;二、在内网所有
24、pc上设置网关的静态arp信息,这叫pc ip-mac绑定。一般要求两个工作都要做,称为ip-mac双向绑定。 中学扫黑除恶专项斗争三年行动实施方案为深入贯彻落实中共中央、国务院关于开展扫黑除恶专项斗争的通知及全国、全省扫黑除恶专项斗争电视电话会议和全市扫黑除恶专项斗争会议精神,根据温县教育局和乡中心校有关通知精神,结合我校工作实际,特制订本实施方案。一、指导思想 认真贯彻落实党的十九大精神,以习近平新时代中国特色社会主义思想为指导,严格落实市、县关于扫黑除恶工作部署和要求,大力实施专项治理、系统治理、综合治理、依法治理、源头治理,统筹推进平安校园建设和基层组织建设,维护教育系统和谐稳定,办好
25、人民满意的教育。二、基本原则(一)坚持党的领导。在以习近平同志为核心的党中央坚强领导下,充分发挥党总揽全局、协调各方的作用,坚决贯彻中央和省委、市委、县委决策部署,全面推进扫黑除恶专项斗争。(二)坚持扫黑除恶专项斗争与推进反腐败斗争相结合。有效整合资源,依法严厉打击扰乱、影响学校正常工作秩序和育人环境的黑恶势力,对充当黑恶势力“保护伞”的公职人员“零容忍”。(三)坚持打防结合、标本兼治。落实属地管理和行业监管责任,在集中打击黑恶势力同时,注重发现日常管理防控漏洞、薄弱环节和制度规范空白短板,建立健全打击防范涉黑涉恶犯罪长效机制着力完善制度体系。三、目标任务经过三年努力,扫黑除恶专项斗争取得显著
26、成效,平安校园创建水平明显提高,校园周边环境和治安状况根本改善,广大师生的安全感和满意度明显增强,营造浓厚氛围和良好环境。四、组织机构成立招贤乡中心校扫黑除恶专项斗争领导小组,组长由校长杨国振担任,成员由各班主任担任。学校政教办具体负责日常工作。五、工作重点全县教育系统扫黑除恶工作重点是:(一)侵占学校公用财产的违法犯罪行为;(二)非法侵入学校扰乱正常教育教学秩序、侵害师生生命财产安全等违法犯罪行为;(三)在学校周边敲诈勒索学生财物的违法犯罪行为;(四)体罚、虐待、性骚扰等侵害学生的违法犯罪行为;(五)使用非法车辆接送学生上下学及其它交通违法行为;(六)校园内外欺凌学生行为;(七)干扰、阻挠学
27、校建设等违法犯罪行为;(八)各类非法“校园贷”及电信诈骗等违法犯罪行为;(九)各类非法宗教、邪教活动等违法犯罪行为;(十)其它黑恶势力违法犯罪行为及其“保护伞”。六、工作步骤和时间安排扫黑除恶专项斗争从2018年至2020年底,为期3年,排查、打击、监管、建设等工作压茬推进、滚动开展。总体分为三个阶段:(一)第一阶段(2018年),动员部署,集中打击全校要迅速成立领导小组、制定方案、动员部署。一是各学校要主动联系法制副校长或法制辅导员到校上一堂以“扫黑恶、保平安”工作为内容的法制宣传课(有图片及讲稿);二是要通过倡议书、发放扫黑除恶专项斗争普及读本等活动,提高群众对扫黑除恶、平安创建等工作的积
28、极性和公众知晓率;三要通过召开专题学习动员会、固定宣传板面、法制宣传栏、班级黑板报等形式,宣传国家相关政策法规和扫黑除恶专项斗争工作的重要意义;四要通过悬挂横幅、播放电子显示屏以及发送校讯通、微信等方式营造宣传氛围;五是各学校要结合日常安全隐患排查,广泛发动广大师生和学生家长积极参与,全面开展线索调查,建立台账,对账盘点,确保依法处理。(二)第二阶段(2019年),打管结合,边打边建重点开展校园周边治安环境治理,加大对侵害师生人身、财产安全各类违法行为的打击力度。发现涉嫌黑恶势力侵害学生人身、财产安全,妨害校园周边治安秩序及拉扰、胁迫在校学生参加黑恶势力犯罪的,要及时报告局安全办,并迅速报告公
29、安机关介入处置。各学校要严格整改安全管理漏洞、制度机制空白和方法手段等问题,初步建立教育系统主动防范、发现、打击黑恶犯罪的制度机制。(3) 第三阶段(2020年),督导检查,建章立制学校要健全完善遏制黑恶势力滋生蔓延的机制情况开展督导检查,对仍然存在的薄弱环节和突出问题进行专项治理。进一步健全源头预防、预警预测、专项治理、基层治理、考核奖惩机制,进一步形成扫黑除恶专项斗争的常态化、制度化。通过开展检查和制度建设,确保责任落实到位,长效机制基本形成、运行良好,扫黑除恶专项斗争取得压倒性胜利。七、工作要求(一)加强组织领导。学校要把扫黑除恶专项斗争作为一项重大政治任务,摆上突出位置,列入重要日程,
30、勇于担当,敢于碰硬,旗帜鲜明地支持保障政法机关依法办案。(二)严格落实责任制。各班主任是专项斗争第一责任人,要亲自研究部署,亲自督导检查,形成一级抓一级,层层抓落实的斗争格局。要严格落实社会治安综合治理领导责任制,将专项斗争纳入综治和平安校园创建考核体系,将考核结果作为对学校领导和班子综合考核评价的重要内容。专项斗争期间,中心校将组织督导组到各学校督导检查,对重视不够、组织不力、造成后果的,发现“保护伞”线索不追查、不报告、不移交的,依纪依法问责。(三)强化工作保障。各学校要及时研究解决扫黑除恶遇到的实际困难和问题,将开展专项斗争所需经费足额保障。教育局将对专项斗争领导不力、措施不硬、工作落后的学校,要充分采取通报批评、挂牌督办、诫勉谈话等形式严厉严肃问责。20
