常见简单题
等保测评师(初级)简答题
607.请简述等级保护安全管理测评和安全技术测评之间的区别与联系,并举例说明
答案:
①、主要区别在于:二者关注的方面不同,而且获取证据采取的主要测评方式不同。(2分)
②、安全管理测评主要关注与信息系统相关各类人员、及人员参与的活动是否得到有效的管理控制,是否从政策、制度、流程、记录等方面进行规范化管理;因此安全管理测评主要通过人员访谈和文档检查实现。(2分)
③、安全技术测评主要关注软硬件产品是否在信息系统中得到合理部署,网络结构是否得到合理的划分,部署的软硬件产品的安全功能是否得到正确的配置;因此安全技术测评主要通过配置检查获得证据。(2分)
④、两者之间既互相独立,又互相关联 (1分)
譬如主机恶意代码防范、在技术测评关注是否部署防病毒服务器并正确配置恶意代码检测和病毒库更新功能,在系统运维管理方面测评关注有人来维护和管理病毒服务器,对恶意代码扫描结果进行分析。(一个示例2分,实例不唯一)
⑤、只有通过安全技术和安全管理两方面的测评,综合分析判断,才能对信息系统的安全状况作为客观、准确的评价。(1分)
608.依据《基本要求》(GB、T22239-2019),针对第三级信息系统而言,在安全计算环境中适用于服务器设备对应哪些安全子类?安全计算环境中安全审计的内容是什么?相比于第二级信息系统,三级信息系统安全审计内容增加的是哪一条?
答案:
安全计算环境中适用于服务器设备对应的安全子类:
Linux:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据备份恢复
Windows:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据备份恢复
Oracle:身份鉴别、访问控制、安全审计、入侵防范、数据备份恢复
Mysql:身份鉴别、访问控制、安全审计、入侵防范、数据备份恢复
安全审计要求包括:
A)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
B)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
C)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
D)应对审计进程进行保护.,防止未经授权的中断
三级信息系统安全审计内容比第二级增加了d)应对审计进程进行保护.,防止未经授权的中断。
609.某单位系统出现了永恒之蓝安全事故,系统服务期间还开启了远程服务,请从网络和安全管理角度进行分析和提出整改建议
答案:
分析:系统具有这个永恒之蓝漏洞,445、135、137、138、139端口开放,被攻击者扫描探测到并进行了攻击
整改建议:
①、主机层面关闭445、135、137、138、139高危端口,开启防火墙,关闭网络共享,要是业务实在需要用远程管理的话,更改3389端口,网络层面在安全设备拒绝高危端口连接,限制服务器远程管理地址
②、管理层面的建议的话就是定期对系统进行漏扫活渗透测试,发现漏洞及时打补丁修复,装杀毒
610.针对运维管理方面集中管控中“e)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理”,作为安全(系统)管理员应该怎么办?
假如你是安全管理员,如何开展对安全策略、恶意代码、补丁升级等安全相关事项进行集中管控的工作
答案:
安全管理员:
在安全管理区域部署集中管理措施,实现对各类型设备(如:防火墙,IPS,waf等)安全策略的统一管理,实现对网络恶意代码防护设备、主机操作系统恶意代码软件规则库的统一升级,实现对各类型设备(主机操作系统、数据库操作系统等)的补丁升级进行集中管理
系统管理员:
① 、系统管理员需要在测试环境对补丁进行升级,测试无问题之后打到生产系统中。
②、系统管理员需要对网络安全设备,服务器,数据库,应用系统中进行漏洞扫描,实时关注漏洞平台和安全厂商更新的漏洞情况,做好恶意代码检测和防护。
③、系统管理员需要对安全策略进行检测和对安全策略的有效性进行验证,对发现多余或无用的安全策略应通知安全管理员删除或禁用。
611.安全管理中心的集中管控包括什么?
答案:
①. 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控
② . 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理
③ . 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测
④. 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求
④ . 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;
⑥. 应能对网络中发生的各类安全事件进行识别、报警和分析
612.给你一个场景,提出安全加固的建议
答案:重点解析一下身份鉴别,访问控制、入侵防范、安全审计、可信验证、数据完整性、数据保密性、数据备份恢复、个人信息保护
613**.作为管理人员技术测评人员来说,熟悉不熟悉测评的流程、测评的对象、选取的方法、重点项的测评内容**
答案:
以三级系统为例,在三级系统中我们测评的对象应基本覆盖所有主要的设备、设施、人员、文档等。对于管理测评来说:我们主要是以该定级对象的管理制度、记录表单、操作规程、安全主管人员、各方面负责人员、具体负责安全管理的当事人等作为测评对象。对于技术测评来说:我们选取测评对象时应保证相同配置的设备应每类至少抽查两台(三级)作为测评对象,四级系统每类至少三台作为测评对象;主要对象有:主机房、安全设备、系统网络架构、边界网络设备、网络互联设备(路由器、核心交换机)、服务器、业务终端系统、数据库等作为测评对象。
测评的流程主要分为测评准备、方案制定、现场测评、报告编制四个步骤。
测评准备活动包括工作启动、信息收集和分析、工具和表单准备三项主要任务;
方案制定活动包括被测对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制等六项主要任务。
现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三个主要任务,测评的方式为访问、核查和测试;
在现场测评工作后,测评机构应对现场测评获得的测评测评结果根据单项测评结果判定、单元测评结果判定、整体测评、系统安全保障评估、安全问题风险分析、等级测评结论形成、测评报告编制等步骤撰写报告。
614.数据备份和恢复的方式
答案:
A) 应提供重要数据的本地数据备份与恢复功能;
B) 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地。
C)应提供重要数据处理系统的热冗余,保证系统的高可用性。
615.请简述在三级系统中对网络设备的测评内容
答案:
身份鉴别
A)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
B)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
C)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
D)应采口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
访问控制
A)应对登录的用户分配账户和权限;
B)应重命名或删除默认账户,修改默认账户的默认口令;
C)应及时删除或停用多余的、过期的账户,避免共享账户的存在;
D)应授予管理用户所需的最小权限,实现管理用户的权限分离;
E)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
F)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
入侵防范
B)应关闭不需要的系统服务、默认共享和高危端口;
C)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
E)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
可信验证
A)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
数据备份
A)应提供重要数据的本地数据备份与恢复功能;
C)应提供重要数据处理系统的热冗余,保证系统的高可用性。恢复
616.可分为哪些类?各类审计的内容又是什么?
答案:
系统级审计,应用级审计,用户级审计。
系统级审计:要求至少能够记录登录结果、登录标识、登录尝试的日期和时间、退出的日期和时间、所使用的设备、登录后运行的内容、修改配置文件的请求等。
应用级审计:跟踪监控
扫一扫
6万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
