等保测评师 · 考试
1、请简述一般安全管理体系建设分为哪四大类文件,每大类请例举
1-2
类相关文件。
对框架和各层面的理解,每大类只需例举出
1-2
个同类项的文件名即可,不需要和标准答案完全匹配
一级文件:安全管理体系的总体方针和安全策略《网络安全总体策略》
二级文件:安全管理体系的管理制度《安全岗位人员管理制度》《中心机房管理制度》《防病毒管理制度》《资产管理制度》《终端安全管理制度》等
三级文件:作业指导性文件《网络设备基础配置规范》《信息系统灾备切换操作指导书》《虚拟机模板部署作业指导书》等
四级文件:表单类文件《安全产品巡检
checklist
》《网络安全月度报告会会议记录》《网络安全培训签到表》《信息资产清单》等
2、假如你是一家企业信息技术部门的运维工程师,现有一个对互联网提供
web
服务的业务系统即将上线运行,该系统采用虚拟化方式部署于企业私有云平台上。为保障该系统顺利通过网络安全等级保护测评,由你负责计算环境层面的安全加固工作。那么你需要针对哪些对象实施安全加固,其中最关键的加固措施有哪些,请简述你的看法。
需对业务系统相关的虚拟服务器操作系统、数据库管理系统、中间件、业务应用系统和运维管理终端等进行安全加固。加固的主要措施包括双因素身份鉴别、管理员权限分离、较详细的日志审计功能、入侵防范、恶意代码防护以及数据的机密性和完整性等。
解析内容描述,主要考察考生对安全计算环境所涉及的保护对象和基本要求的熟悉程度,保护对象能答出操作系统、数据库和应用系统即可,基本要求能答出双因素身份鉴别、管理员权限分离和日志审计即可。
3、在网络安全建设过程中通过在网络中部署审计措施,实现对用户行为的审计。请简述等级保护《基本要求》第三级系统安全区域边界中的相关条款对应的解决方案。
答:在等级保护《基本要求》第三级中安全区域边界对审计的要求条款,主要是提出了对用户行为进行审计的要求。
1
)首先,要求对关键节点的所有用户的行为进行审计,因此需要在网络中各关键节点部署综合审计系统(行为审计措施),实现对所有用户的网络访问行为进行审计。
2
)其次,对审计记录内容进行了要求,需要对事件的日期和时间、用户、事件类型、事件是否成功等内容进行记录,因此需要对审计策略进行配置、完善,以达到审计要求。
3
)第三,需要对审计记录进行必要的保护,因此需要在网络中部署日志服务器或类似的审计备份措施,实时或定时将日志备份到日志备份措施。
4
)最后,需要对远程访问、访问互联网的用户行为等进行单独的审计和分析,因此需要在审计措施中针对远程访问行为(
VPN
远程访问等)、终端访问互联网行为配置独立的审计策略,针对以上行为进行安全审计,并实现审计分析。
4、某大型企业互联网销售系统按照等级保护《基本要求》第二级的相关要求进行建设,业务系统及基础运行环境于
3
年前建成。现因业务升级,经专家评审系统定级变更为第三级。因此需要针对基础网络平台、各项安全措施及应用系统进行安全整改建设。
请依据下图回答问题。
1、
请简述该企业基础网络安全建设是否合理,建议进行哪些整改以满足等级保护第三级针对安全通信网络的要求?
2、
应增加哪些措施以提高网络的可用性及安全防护能力,从而满足等级保护第三级网络对安全区域边界的要求?
3、
应增加哪些措施,用于提高网络的集中管理能力,从而满足对安全管理中心的要求?
答案
1、
网络在区域划分上不够合理,首先现有网络结构缺少独立的业务系统区域,业务服务器汇聚交换机与核心网络直接相连,且与其他网络区域缺少必要的隔离措施;缺少安全管理区域,无法通过独立的安全管理区对业务系统及基础运行环境进行集中管理。因此,在安全整改过程中,建议增加独立的业务系统区与安全管理区。建议增加冗余设备,如广域网接入交换机、互联网
DMZ
接入交换机,保障网络的高可用性。
2、
建议增加的安全措施如下:
1)
增加冗余的防火墙设备,实现广域网边界、业务系统区边界及安全管理中心的访问控制措施;
2)
在互联网
DMZ
区增加冗余的
WAF
等应用层安全防护措施,并实现检测报警;
3)
增加网络恶意代码防护措施,如病毒网关或
UTM
设备的防恶意代码功能;
4)
在核心交换区增加对未知的新型攻击行为的检测措施,如抗
APT
系统;
5)
在核心交换区增加入侵检测措施,实现对恶意攻击的实时检测、报警;
6)
在核心交换区增加综合审计措施,实现对用户行为,尤其是远程访问以及访问互联网的行为审计;
7)
在网络中增加无线接入网关,实现对无线网络的有效管控,实现对终端设备的认证、授权及准入。
3、
增加如下集中管理措施,提高安全管理的效率,以达到对安全管理中心的安全要求:
1)
在安全管理区增加综合网管系统,实现对业务系统及基础运行环境的实时监控;
2)
在安全管理区增加集中审计措施,如日志集中审计分析系统等;
3)
在安全管理区增加堡垒机设备,实现对管理账户的集中管理及操作审计;
4)
增加补丁管理系统,实现对系统补丁的集中管理;
5)
增加终端安全管理系统,实现对网络准入、准出的管控;
6)
增加双因素认证系统,实现对管理员的强身份认证;(如:动态令牌、
CA
证书);
7)
增加态势感知系统,实现对各类安全事件的识别、分析、报警;
8)
增加网络版防病毒系统,实现全网的防病毒系统集中管理。
详解
本题为综合考核题,考核了安全通信网络中网络架构、通信传输,安全区域边界中边界防护、访问控制、入侵防范、恶意代码防护、安全审计以及安全管理中心的相关内容,为基础网络的安全提供整体解决方案。
5、简述对网络安全等级为第三级的等级保护对象开展网络设备测评的内容。
答案
1
.核查身份鉴别相关内容,包括身份鉴别的方式,身份鉴别信息的复杂程度,登录失败处理功能、远程管理时身份鉴别信息的保护等。
2
.核查访问控制相关内容,包括账户及权限的设置情况,默认账户、共享账户、过期账户及多余账户的情况。
3
.核查安全审计相关内容,包括审计功能开启情况,审计内容及审计记录的保护情况。
4
.核查入侵防范相关内容,包括端口关闭情况,远程管理时地址限定的情况,以及设备漏洞修复情况。
5
.核查网络设备配置数据备份恢复相关内容,包括网络设备配置数据是否进行了备份及备份方式。
详解
6、
描述第三级安全管理体系应包含哪些模块?画出整个管理体系的架构并描述各个模块的作用。
