等保测评师 · 考试
有些简答题初级和中级会有重复,所以之后就不再严格区分了。一般来说,初级考得比较细致,技术细节考得比较多。中级就考得有点宏观,主要考察对测评项目整体组织的掌握能力。
①、
主要区别在于:
二者关注的方面不同,而且获取证据采取的主要测评方式不同。
②、安全管理测评主要关注与信息系统相关各类人员、及人员参与的活动是否得到有效的管理控制,是否从政策、制度、流程、记录等方面进行规范化管理;因此安全管理测评主要通过人员访谈和文档检查实现。
③、安全技术测评主要关注软硬件产品是否在信息系统中得到合理部署,网络结构是否得到合理的划分,部署的软硬件产品的安全功能是否得到正确的配置;因此安全技术测评主要通过配置检查获得证据。
譬如主机恶意代码防范、在技术测评关注是否部署防病毒服务器并正确配置恶意代码检测和病毒库更新功能,在系统运维管理方面测评关注有人来维护和管理病毒服务器,对恶意代码扫描结果进行分析。(示例不唯一)
⑤、只有通过安全技术和安全管理两方面的测评,综合分析判断,才能对信息系统的安全状况作为客观、准确的评价。
2、定级、建设整改、等级测评的依据标准和作用
定级:GB/T22240-2020 《信息安全技术 网络安全等级保护定级指南》
建设:GB/T22239-2019 《信息安全技术 网络安全等级保护基本要求》
GB/T25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》
测评:GB/T28448-2019 《信息安全技术 网络安全等级保护测评要求》
GB/T28449-2018 《信息安全技术 网络安全等级保护测评过程指南》
网络安全等级保护标准体系涵盖了国家标准、行业标准和企业标准
在定级阶段,网络运营者主要使用GB/T22240-2020和相应的行业或企业或企业标准来划分定级对象和确定安全保护等级;
在安全建设阶段,网络运营者主要使用GB/T22239-2019、GB/T25070-2019和相应的行业或企业标准来进行规划设计和建设工作;
在等级测评阶段,测评机构主要依据GB/T28448-2019、GB/T28449-2018和相应的行业或企业标准来规范和指导等级测评工作。
3、数据库常见的威胁有哪些?数据库测评属于哪个安全层面的?数据库测评有哪些控制点。(15分)
数据库常见威胁包括非授权访问、特权提升、SQL注入针对漏洞进行攻击、绕过访问控制进行非授权访问等。
数据库测评控制点涉及到5个方面的内容分别为:身份鉴别、访问控制、安全审计、入侵防范以及数据备份恢复。
A) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
B) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
C) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
D) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
B) 应重命名或删除默认账户,修改默认账户的默认口令;
C) 应及时删除或停用多余的、过期的账户,避免共享账户的存在;
D) 应授予管理用户所需的最小权限,实现管理用户的权限分离;
E) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
F) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
A) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
B) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
C) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
A) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;b)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
B) 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地
4、依据《基本要求》(GB/T 22239-2019),针对第三级信息系统而言,在安全计算环境中适用于服务器设备对应哪些安全子类?安全计算环境中安全审计的内容是什么?相比于第二级信息系统,三级信息系统安全审计内容增加的是那一条?
三级信息系统在安全计算环境中对于服务器设备,安全子类主要包括:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据备份恢复。
①、应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
②、审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
③、应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
相比于第二级信息系统,三级信息系统安全审计内容增加了 “应对审计进程进行保护,防止未经授权的中断”这一条
5、在等级测评2.0中,三级系统网络架构是从哪些方面描述的,请具体说明网络架构所包括的测评点?
网络架构是满足业务运行的重要组成部分,如何根据业务系统的特点构建网络是非常关键的。首先应关注整个网络的资源分布、架构是否合理。只有架构安全了,才能在其上实现各种技术功能,达到通信网络保护的目的。本层面重点针对网络设备的性能要求;业务系统对网络带宽的需求;网络区域的合理划分;区城间的有效防护;网络通信线路以及设备的冗余等要求进行解读说明。
①、应保证网络设备的业务处理能力满足业务高峰期需要。
③、应划分不同的网络区域并按照方便管理和控制的原则为各网络区域分配地址。
④、应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
⑤、应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
6、安全建设管理的流程、定级备案流程
安全建设管理流程包括:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、
工程实施、测试验收、系统交付、等级测评、服务供应商的选择。
① 应以书面形式说明保护对象的安全保护等级及确定等级的方法和理由;
② 应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定;(若初步定级结果为第二级、第三级,可组织本行业和网络安全行业专家进行评审,若为四级,则需网络安全等级保护专家评审委员会专家进行评审。)
③ 应保证定级结果经过相关部门的批准;(上级部门或本单位相关部门批准。)
④ 应将备案材料报主管部门和相应公安机关备案。(有主管部门的,备案材料需向主管部门和公安机关备案,没有主管部门的,备案材料需向相应公安机关备案。)
7、回答工具测试接入点的原则,及注意事项?
首要原则是不影响目标系统正常运行的前提下严格按照方案选定范围进行测试。
5)跨网络隔离设备(包括网络设备和安全设备)要分段探测。
工具测试接入测试设备之前,首先要有被测系统人员确定测试条件是否具备。测试条件包括被测网络设备、主机、安全设备等是否都在正常运行,测试时间段是否为可测试时间段等等。
接入系统的设备、工具的ip地址等配置要经过被测系统相关人员确认。
对于测试过程中可能造成的对目标系统的网络流量及主机性能方面的影响(例如口令探测可能会造成的账号锁定等情况),要事先告知被测系统相关人员。
对于测试过程中的关键步骤、重要证据,要及时利用抓图等取证。
对于测试过程中出现的异常情况(服务器出现故障、网络中断)要及时记录。
测试结束后,需要被测方人员确认被测系统状态正常并签字后退场。
8、请简述等级保护安全管理测评和安全技术测评之间的区别与联系,并举例说明。
安全技术测评体现了“从外部到内部”的纵深防御思想,对等级保护的安全防护应考虑从通信网络、区域边界和计算环境从外到内的整体防护,同时考虑其所处的物理环境的安全防护,对级别较高的还需要考虑对分布在整个系统中的安全功能或安全组件的集中技术管理手段。安全管理测评体现了“从要素到活动”的综合管理思想,安全管理需要的“机构”“制度”和“人员”三要素缺一不可,同时应对系统的建设整改过程和运行维护过程中重要活动实施控制和管理,对级别较高的需要构建完备的安全管理体系。
安全技术测评主要关注点体现在具体的安全防护措施是否满足相应的要求,安全策略是否合理,策略是否生效等具体的技术措施的实现。安全管理主要关注安全工作内容是否完善,是否形成管理体系,从政策、制度、规范、流程等方面落实完善。
安全技术测评方法主要采用检查测试,确定具体的安全防护措施和安全配置。安全管理测评方法主要采用访谈核查,确认制度信息是否完整,制度是否落实。安全管理测评师对安全技术测评的补充,同时与技术测评相互验证。
例如:安全技术测评中,网络设备的安全审计记录的信息,检测并验证日志信息信息是否完整,日志记录是否备份,记录是否有效等。在安全管理测评中,核查是否存在完善的安全运维管理日志审计记录文件,是否保留日志审计记录文档。
9、工具测评对各层面的作用,进行简单举例
利用工具测试不仅可以直接获取到目标系统本身存在的系统、应用等方面的漏洞,同时也可以通过在不同的区域接入测试工具所得到的测试结果,判断不同区域之间的访问控制情况。利用工具测试,结合其他核查手段,可以为测试结果的客观和准确提供保证。
① 应保证网络设备的业务处理能力满足业务高峰期需要;
③ 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
④ 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;
⑤ 应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
通过工具测试,可以验证区域划分的手段,有时也能简单有效发现一些VLAN划分上的问题。
① 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;
② 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;
③ 应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;
④ 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。
通过工具测试,可以验证IDS/IPS的检查能力和报警功能,在特定区域发送一部分模拟攻击或者扫描数据包,同时观察IDS/IPS设备日志、报警。
① 应遵循最小安装的原则,仅安装需要的组件和应用程序;
③ 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
④ 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
⑤ 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
⑥ 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
通过工具测试,可以验证设备服务端口的关闭情况,设备是否存在漏洞,以及对漏洞的修补情况。
10、简述除杀毒软件之外的至少三种安全技术机制,能够辅助有效地计算机病毒防治?
①、安装并合理配置主机防火墙,关闭不必要的端口和服务。
②、安装并合理配置网络防火墙,关闭不必要的网络端口和过滤不必要的应用协议。
⑥ 、防御和查杀结合、整体防御、防管结合、多层防御
⑥、设置安全管理平台,态势感知系统,补丁升级平台,漏洞进行及时安装补丁,病毒库定期更新。
⑦、定期检查网络设备和安全设备的日志审计,发现可疑现象可及时进行做出相应处理。
11、中级测评师的能力要求是什么
正确理解信息安全等级保护标准体系和主要标准内容,能够跟踪国内、国际信息安全相关标准的发展;
掌握信息安全基础知识,熟悉信息安全测评方法,具有信息安全技术研究的基础和实践经验;
具有较丰富的项目管理经验, 熟悉测评项目的工作流程和质量管理的方法,具有较强的组织协调和沟通能力;
能够独立开发测评指导书,熟悉测评指导书的开发、版本控制和评审流程;
能够根据信息系统的特点,编制测评方案,确定测评对象、测评指标和测评方法;
具有综合分析和判断的能力,能够依据测评报告模板要求编制测评报告,能够整体把握测评报告结论的客观性和准确性。
