被测系统服务所面向的对象大量个人用户,因此违法违规收集个人信息行为是测评过程中关注的重点问题,需根据国家及行业主管机构发布的个人信息相关规定进行核查。
安全管理测评主要关注与信息系统相关各类人员及人员参与的活动是否得到有效管理控制,安全技术测评则关注软硬件产品是否在信息系统中得到合理部署及其安全功能是否得到正确配置。两者既互相独立又互相关联,只有通过两方面的测评,才能对信息系统的安全状况作出客观、准确的评价。
针对恶意代码防护的安全检测中,重点检测的内容包括:是否有恶意代码类防护系统的安装、防护策略的正确配置、定时更新、相应的恶意代码处理机制和记录等。
安全管理的测评对象包括人员和文档。人员包括单位负责人、安全主管等和机房管理员等。文档包括管理类文档(如策略、制度、规程等)、记录类文档(如运维记录等)、其他类文档(如第三方扫描报告、机房验收报告等)。
工具测试在等级测评过程中发挥着重要作用。例如,在通信网络安全、安全区域边界、安全计算环境等方面,通过工具测试可以验证网络架构的安全性、访问控制策略的有效性、设备访问控制的安全性等。
等保测评师 · 考试
1. 题目
某金融产品APP,在使用过程中,要求用户主动提供手机号、密码、资金账户号码、交易密码等信息。此外,还通过权限申请的方式自动收集了设备信息、实时位置信息、通讯录、短信等信息,并发现存在频繁收集用户定位信息、直接上传用户整个通讯录信息的行为。
答案
:
此APP要求用户主动提供的信息收集方面,跟与其业务功能相关,包括用于交易收集资金账号和交易密码等。但在通过权限收集方面,发现APP收集用户定位信息过于频繁、直接上传用户整个通讯录信息,违反了收集信息的最小必要原则,具有高安全风险。
详解
:
被测系统服务所面向的对象是大量个人用户,因此违法违规收集个人信息行为也是测评过程中关注的重点问题,需根据国家及行业主管机构发布的个人信息相关规定进行核查。
2. 题目
某单位三级系统,在测评过程中,通过登录数据库服务器发现未配置身份鉴别策略,同时通过访谈了解到,在日常运维中,运维人员通过堡垒机对该服务器进行管理,堡垒机采用口令和动态令牌。针对测评指标“应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现”,请判断是否满足,并说明理由?
答案
:
不符合,虽然运维人员通过堡垒机对该服务器进行管理,堡垒机采用口令和动态令牌,但也可通过账号口令登录服务器,口令可能被恶意用户猜测获得,合法用户身份被仿冒,导致系统被非授权访问。
详解
:
此题是考察考生对指标的理解和风险的判断。
3. 题目
请简述等级保护安全管理测评和安全技术测评之间的区别与联系,并举例说明。(15分)
答案
:
主要区别在于:二者关注的方面不同,而且获取证据采取的主要测评方式不同。
-
安全管理测评主要关注与信息系统相关各类人员及人员参与的活动是否得到有效的管理控制,是否从政策、制度、流程、记录等方面进行规范化管理;因此安全管理测评主要通过人员访谈和文档检查实现。(2分)
-
安全技术测评主要关注软硬件产品是否在信息系统中得到合理部署,网络结构是否得到合理的划分,部署的软硬件产品的安全功能是否得到正确的配置;因此安全技术测评主要通过配置检查获得证据。(2分)
两者之间既互相独立,又互相关联。譬如主机恶意代码防范,在技术测评关注是否部署防病毒服务器并正确配置恶意代码检测和病毒库更新功能,在系统运维管理方面测评关注有人来维护和管理病毒服务器,对恶意代码扫描结果进行分析。(一个示例2分,实例不唯一)只有通过安全技术和安全管理两方面的测评,综合分析判断,才能对信息系统的安全状况作出客观、准确的评价。(1分)
4. 题目
依据《基本要求》(GB/T 22239-2019),针对第三级等级保护对象而言,在安全计算环境中适用于服务器设备对应哪些安全子类?安全计算环境中安全审计的内容是什么?相比于第二级等级保护对象,第三级等级保护对象安全审计内容增加的是哪一条?(10分)
答案
:
1)安全子类有:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据备份恢复。
2)本项要求包括:
-
a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
-
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
-
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
-
3)第三级等级保护对象比第二级等级保护对象增加的条款是:应对审计进程进行保护,防止未经授权的中断。
5. 题目
数据库常见的威胁有哪些?在网络安全等级保护2.0测评中,数据库安全性测评属于哪个安全层面?测评过程中,数据库测评主要包括哪些控制点?(10分)
答案
:
1)数据库常见的威胁有:滥用过高权限、滥用合法权、权限提升、平台漏洞、SQL注入、审计记录不足、拒绝服务、数据库通信协议漏洞、身份验证不足、备份数据暴露(答出3个即可)。
2)数据库的安全测评属于安全计算环境。
3)数据库测评的主要控制点有:身份鉴别、访问控制、安全审计、入侵防范、数据备份恢复。
6. 题目
某公司需要建设一套业务系统,并且该业务系统有一定的安全需求(安全保护等级拟定第二级(含)以上),需要进行等保测评保护工作。请回答下列问题(15分)
问题1
:从安全建设管理出发需要完成哪些方面的工作?(10分)
答案
:
需要完成10个层面的要求:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。(10分,每个层面1分)
问题2
:请说明安全建设管理中定级和备案需要完成哪些工作?(5分)
答案
:
1)应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由;(2分)
2)应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定;(1分)
3)应保证定级结果经过相关部门的批准;(1分)
4)应将备案材料报主管部门和相应公安机关备案。(1分)
7. 题目
请举例说明工具测试在等级测评过程中发挥的作用(针对相关层面分别介绍,至少说明5个以上)?(15分)
答案
:
1)针对安全通信网络-网络架构,通过工具测试,可以验证区域划分的手段及其有效性,有时也能简单有效发现一些VLAN划分上的问题。(3分)
2)针对安全区域边界-访问控制,通过工具测试,可以验证网络边界访问策略的有效性,有时能够验证控制的粒度。(3分)
3)针对安全区域边界-入侵防范,通过工具测试,可以验证IDS/IPS的检查能力和报警功能,在特定区域发送一部分模拟攻击或扫描数据包,同时观察IDS/IPS设备日志、报警。(3分)
4)针对安全计算环境-访问控制,通过工具测试,可以对默认口令、多余账户、弱口令等给出结果,辅助验证设备访问控制的有效性或存在的缺陷。(3分)
5)针对安全计算环境-入侵防范,通过工具测试,可以验证设备服务端口的关闭情况,设备是否存在漏洞,以及对漏洞的修补情况。(3分)
6)其他可能还有,如验证数据传输是否加密等。
8. 题目
请简述安全管理中心中集中管控的测评项有哪些。(10分)
答案
:
1.应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;(2分)
2.应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;(2分)
3.应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;(2分)
4.应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存事件符合法律法规要求;(2分)
5.应能对网络中发生的各类安全事件进行识别、报警和分析。(1分)
6.应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。(1分)
9. 题目
