信息安全等级测评师初级考试问答题20.doc

1、网络安全的网络设备防护的内容是什么？（其他要点也要背） 答：应对登录网络设备的用户进行身份鉴别应对网络设备管理员的登陆地址进行限制网络设备用户的标识应唯一主要网络设备应对同一用户选择两种或者两种以上组合的鉴别技术来进行身份鉴别身份鉴别信息应具有不易被冒用的特点，口令应有复杂度的要求并定期更换应具有登录失败处理功能，可采取结束会话、限制非法登陆次数和当网络登陆连接超时自动退出等措施当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听应实现设备特权用户的权限分离2、入侵检测系统分为哪几种，各有什么特点？答：主机型入侵检测系统（HIDS），网络型入侵检测系统（NIDS）。 HIDS往往以系统日志、应用程序日志作为数据源；检测主机上的命令序列比检测网络流更简单，系统的复杂性也少得多，所以主机检测系统误报率比网络入侵检测系统的误报率低；它除了检测自身的主机以外，根本不检测网络上的情况，而且对入侵行为分析的工作量将随着主机数量的增加而增加，因此全面部署主机入侵检测系统代价比较大，企业很难将所有主机用主机入侵检测系统保护，只能选择部分主机进行保护，那么未安装主机入侵检测系统的机器将成为保护的盲点，入侵者可利用这些机器达到攻击的目标。依赖于服务器固有的日志和监视能力。如果服务器上没有配置日志功能，则必须重新配置，这将给运行中的业务系统带来不可预见的性能影响。（需要在主机进行软件安装，消耗资源）NIDS一般部署在比较重要的网段内，它不需要改变服务器等主机的配置，由于它不会在业务系统的主机中安装额外的软件，从而不会影响这些机器的CPU、I/O与磁盘等资源的使用，不会影响业务系统的性能。NIDS的数据源是网络上的数据包。通过线路窃听的手段对捕获的网络分组进行处理，从中获取有用的信息。一个网段上只需要安装一个或几个这样的系统，便可以检测整个网络的情况，比较容易实现。由于现在网络的日趋复杂和高速网络的普及，这种结构正接受越来越大的挑战。（不需要在主机进行软件安装、容易实现）3、访问控制的三要素是什么？按访问控制策略划分，可分为哪几类？按层面划分，可分为哪几类？答：访问控制的三要素是：主体、客体、操作按访问控制策略划分可分为： 自主访问控制 强制访问控制 基于角色的访问控制按层面划分可分为： 网络访问控制 主机访问控制 应用访问控制 物理访问控制4、安全审计按对象不同，可分为哪些类？各类审计的内容又是什么？ 答：系统级审计、应用级审计、用户级审计系统级审计：要求至少能够记录登陆结果、登陆标识、登陆尝试的日期和时间、退出的日期和时间、所使用的设备、登陆后运行的内容、修改配置文件的请求等。应用级审计：跟踪监控和记录诸如打开和关闭数据文件，读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。 用户级审计：跟踪通常记录用户直接启动所有命令、所有的标识和鉴别尝试的所有访问的文件和资源。5、身份认证的信息主要有哪几类？并每项列举不少于2个的事例。 答：身份认证的信息可分为以下几类：用户知道的信息，如个人标识、口令等。用户所持有的证件，如门卡、智能卡、硬件令牌等。用户所特有的特征，指纹、虹膜、视网膜扫描结果等。6、数字证书的含义、分类和主要用途，所采用的密码体制？答：数字证书是由认证中心生成并经认证中心数字签名的，标志网络用户身份信息的一系列数据，用来在网络通信中识别通信各方的身份。从证书用途来看，数字证书可分为签名证书和加密证书。签名证书主要用于对用户信息进行签名，以保证信息的不可否认性；加密证书主要用于对用户传送信息进行加密，以保证信息的真实性和完整性。 数字证书采用非对称秘钥体制，即利用一对互相匹配的私钥/公钥进行加密、解密。其中私钥用于进行解密和签名，公钥用于加密和验证签名。7、试解释SQL注入攻击的原理，以及它产生的不利影响。答：SQL注入攻击的原理是从客户端提交特殊的代码，WEB应用程序如果没有做严格的检查就将其形成SQL命令发送给数据库，从数据库返回的信息中，攻击者可以获得程序及服务器的信息，从而进一步获得其他资料。SQL注入攻击可以获取WEB应用程序和数据库系统的信息，还可以通过SQL注入攻击窃取敏感数据，篡改数据，破坏数据，甚至以数据库系统为桥梁进一步入侵服务器操作系统，从而带来更为巨大的破坏。8、入侵威胁有哪几种？入侵行为有哪几种？造成入侵威胁的入侵行为主要是哪两种，各自的含义是什么？答：入侵威胁可分为：外部渗透。内部渗透。不法行为。 入侵行为可分为：物理入侵。系统入侵。远程入侵。主要入侵行为：系统入侵。远程入侵。系统入侵是指入侵者在拥有系统的一个低级账号权限下进行的破坏活动。远程入侵是指入侵者通过网络渗透到一个系统中。9、系统定级的一般流程是什么？答：确定作为定级对象的信息系统确定业务信息安全受到破坏时所侵害的客体，根据不同的受害客体，从各个方面综合评定业务信息安全被破坏对客体的侵害程度，根据业务信息的重要性和受到破坏后的危害性确定业务信息安全等级。确定系统服务安全受到破坏时所侵害的客体，根据不同的受害客体，从各个方面综合评定系统服务安全被破坏对客体的侵害程度，根据系统服务的重要性和受到破坏后的危害性确定系统服务安全等级。定级对象的等级由业务信息安全等级和系统服务安全等级的较高者决定。10、简述单位、组织的信息安全管理工作如何与公安机关公共信息网络安全检查部门相配合？答：单位、组织的信息安全管理工作与公安机关公共信息网络安全监察部门之间的配合主要体现在以下方面： 单位、组织的信息安全管理必须遵循信息安全法律、法规对于安全管理职责、备案、禁止行为、安全管理制度和安全技术机制要求等方面的内容规定。 法律、法规赋予公安机关公共信息网络安全监察部门对信息安全的监管职责，各单位、组织必须接受和配合公安机关； 在发生信息安全案件后，单位、组织应当及时向公安机关公共信息网络安全监察部门报案，并在取证和调查等环节给予密切配合。11、国家为什么要实施安全等级保护制度？答：信息安全形势严峻： 来自境内外敌对势力的入侵、攻击、破坏越来越严重。 针对基础信息网络和重要信息系统的违法犯罪持续上升。 基础信息网络和重要信息系统安全隐患严重。维护国家安全的需要： 基础信息网络与重要信息系统已成为国家关键基础设施。 信息安全是国家安全的重要组成部分。 信息安全是非传统安全，信息安全本质是信息对抗、技术对抗。 我国的信息安全保证工作基础还很薄弱。12、主机常见评测的问题？答：检测用户的安全防范意识，检查主机的管理文档。网络服务的配置。安装有漏洞的软件包。缺省配置。不打补丁或补丁不全。网络安全敏感信息的泄露。缺乏安全防范体系。信息资产不明，缺乏分类的处理。安全管理信息单一，缺乏统一的分析和管理平台。13、简单介绍可采取哪些措施进行有效地控制攻击事件和恶意代码？答：安装并合理配置主机防火墙。安装并合理配置网络防火墙。安装并合理配置IDS/IPS。严格控制外来介质的使用。防御和查杀结合、整体防御、防管结合、多层防御。设置安全管理平台、补丁升级平台、防病毒平台等对防毒的系统进行升级、漏洞进行及时安装补丁，病毒库定时更新。定期检查网络设备和安全设备的日志审计，发现可疑对象可及时进行做出相应处理。为了有效防止地址攻击和拒绝服务攻击可采取在会话处于非活跃一定时间或会话结束后终止网络连接。为了有效防止黑客入侵，可对网络设备的管理员登陆地址进行限制和对其具有拨号功能用户的数量进行限制，远程拨号的用户也许它就是一个黑客。采取双因子认证和信息加密可增强系统的安全性。14、信息安全等级保护的五个标准步骤是什么？信息安全等级保护的定义是什么？信息安全等级保护五个等级是怎么样定义的？ 答：定级、备案、建设整改、等级测评、监督和检查。分等级实行安全保护、对安全产品实行按等级管理、对安全事件按等级响应、处置。一级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成严重损害，但不损害国家安全、社会秩序和公共利益。二级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成严重损害，或对社会秩序和公共利益造成损害，但不损害国家利益。三级：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或对国家利益造成损害。四级：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或对国家造成严重损害。五级：信息系统受到破坏后，会对国家利造成特别严重损害。15、主机按照其规模或系统功能来区分为哪些类？主机安全在测评时会遇到哪些类型操作系统？网络安全三级信息系统的安全子类是什么？三级网络安全的安全审计的内容是什么？答：巨型、大型、中型、小型、微型计算机和单片机。目前运行在主机上的主流操作系统有：windows、linux、sunsolaris、ibm aix、hp-ux等等。结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其它与审计相关的信息。应能够根据记录数据进行分析，并生成审计报表。应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。 16：数据库常见威胁有哪些？针对于工具测试需要注意哪些内容？ 答：非授权访问、特权提升、SQL注入针对漏洞进行攻击、绕过访问控制进行非授权访问等。工具测试接入测试设备之前，首先要有被测系统人员确定测试条件是否具备。测试条件包括被测网络设备、主机、安全设备等是否都在 正常运行，测试时间段是否为可测试时间段等等。接入系统的设备、工具和IP地址等配置要经过被测系统相关人员确认。对于测试过程可能造成的对目标系统的网络流量及主机性能等方面的影响，要事先告知被测系统相关人员。对于测试过程中的关键步骤、重要证据要及时利用抓图工具取证。对于测试过程中出现的异常情况要及时记录，需要被测方人员确认被测系统状态正常并签字后离场。17、ARP地址欺骗的分类、原理是什么？可采取什么措施进行有效控制？答：一种是对网络设备ARP表的欺骗，其原理是截获网关数据。它通知网络设备一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在网络设备中，结果网络设备的所有数据只能发给错误的MAC地址，造成正常PC无法收到信息。另一种是对内网PC的网关欺骗。其原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的途径上网。措施：一、在网络设备中把所有PC的IP-MAC输入到一个静态表中，这叫IP-MAC绑定；二、在内网所有PC上设置网关的静态ARP信息，这叫PC IP-MAC绑定。一般要求两个工作都要做，成为双向绑定。18、工具测试接入点原则及注意事项？答：首要原则是不影响目标系统正常运行的前提下严格按照方案选定范围进行测试。 低级别系统向高级别系统探测。同一系统同等重要程度功能区域之间要相互探测。较低重要程度区域向较高重要程度区域探测。由外联接口向系统内部探测。跨网络隔离设备要分段探测。 注意事项：工具测试接入测试设备之前，首先要有被测系统人员确定测试条件是否具备。(测试条件包括被测网络设备、主机、安全设备等是否都在正常运行)，测试时间段是否为可测试时间段等等。接入系统的设备、工具的ip地址等配置要经过被测系统相关人员确认。对于测试过程中可能造成的对目标系统的网络流量及主机性能方面的影响，要实现告知被测系统相关人员。对于测试过程中的关键步骤、重要证据要及时利用抓图等取证。对于测试过程中出现的异常情况要及时记录。测试结束后，需要被测方人员确认被测系统状态正常并签字后退场。19、基本要求中，在应用安全层面的访问控制要求中，三级系统较二级系统增加的措施有哪些？答：三级比二级增加的要求项有：应提供对重要信息资源设置敏感标记的功能；应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。20、在主机评测前期调研活动中，收集信息的内容？在选择主机测评对象时应注意哪些要点？答：至少需要收集服务器主机的设备名称、型号、操作系统、IP地址、安装的应用软件情况、主要的业务情况、重要程度、是否热备等信息。测评对象选择时应注意重要性、代表性、完整性、安全性、共享性五大原则。答案：一、1.C2.A3.A4.D5.B6.A7.C8.D9.C10.D11.D12.D13.A14.C15.B16.A17.A18.A19.D20.D二、不定项选择题1.ABC2.ABCD3.D4.ABDE5.AC6.BD7.ABC8.AC9.A10.ABC三、判断题1.错2.错3.对4.错5.错6.对7.对8.错9.对10.错四、简答题1.（1）信息系统定级、备案、安全建设整改、等级测评、监督检查。（2）对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。（答出三个分等级即可）（3）第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。2.（1）巨型大型中型小型、微型计算机和单片机