1、请简述等级保护安全管理测评和安全技术测评之间的区别与联系,并举例说明
①、主要区别在于:二者关注的方面不同,而且获取证据采取的主要测评方式不同。(2分)
②、安全管理测评主要关注与信息系统相关各类人员、及人员参与的活动是否得到有效的管理控制,是否从政策、制度、流程、记录等方面进行规范化管理;因此安全管理测评主要通过人员访谈和文档检查实现。(2分)
③、安全技术测评主要关注软硬件产品是否在信息系统中得到合理部署,网络结构是否得到合理的划分,部署的软硬件产品的安全功能是否得到正确的配置;因此安全技术测评主要通过配置检查获得证据。(2分)
譬如主机恶意代码防范、在技术测评关注是否部署防病毒服务器并正确配置恶意代码检测和病毒库更新功能,在系统运维管理方面测评关注有人来维护和管理病毒服务器,对恶意代码扫描结果进行分析。(一个示例2分,实例不唯一)
⑤、只有通过安全技术和安全管理两方面的测评,综合分析判断,才能对信息系统的安全状况作为客观、准确的评价。(1分)
2、依据《基本要求》(GB、T22239-2019),针对第三级信息系统而言,在安全计算环境中适用于服务器设备对应哪些安全子类?安全计算环境中安全审计的内容是什么?相比于第二级信息系统,三级信息系统安全审计内容增加的是哪一条?
Linux:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据备份恢复
Windows:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据备份恢复
Oracle:身份鉴别、访问控制、安全审计、入侵防范、数据备份恢复
Mysql:身份鉴别、访问控制、安全审计、入侵防范、数据备份恢复
A)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
B)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
C)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
三级信息系统安全审计内容比第二级增加了d)应对审计进程进行保护.,防止未经授权的中断。
3、某单位系统出现了永恒之蓝安全事故,系统服务期间还开启了远程服务,请从网络和安全管理角度进行分析和提出整改建议
分析:系统具有这个永恒之蓝漏洞,445、135、137、138、139端口开放,被攻击者扫描探测到并进行了攻击
①、主机层面关闭445、135、137、138、139高危端口,开启防火墙,关闭网络共享,要是业务实在需要用远程管理的话,更改3389端口,网络层面在安全设备拒绝高危端口连接,限制服务器远程管理地址
②、管理层面的建议的话就是定期对系统进行漏扫活渗透测试,发现漏洞及时打补丁修复,装杀毒
4、针对运维管理方面集中管控中“e)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理”,作为安全(系统)管理员应该怎么办?
假如你是安全管理员,如何开展对安全策略、恶意代码、补丁升级等安全相关事项进行集中管控的工作
在安全管理区域部署集中管理措施,实现对各类型设备(如:防火墙,IPS,waf等)安全策略的统一管理,实现对网络恶意代码防护设备、主机操作系统恶意代码软件规则库的统一升级,实现对各类型设备(主机操作系统、数据库操作系统等)的补丁升级进行集中管理
① 、系统管理员需要在测试环境对补丁进行升级,测试无问题之后打到生产系统中。
②、系统管理员需要对网络安全设备,服务器,数据库,应用系统中进行漏洞扫描,实时关注漏洞平台和安全厂商更新的漏洞情况,做好恶意代码检测和防护。
③、系统管理员需要对安全策略进行检测和对安全策略的有效性进行验证,对发现多余或无用的安全策略应通知安全管理员删除或禁用。
5、安全管理中心的集中管控包括什么?
①. 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控
② . 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理
③ . 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测
④. 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求
④ . 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;
⑥. 应能对网络中发生的各类安全事件进行识别、报警和分析
6、给你一个场景,提出安全加固的建议
答案:重点解析一下身份鉴别,访问控制、入侵防范、安全审计、可信验证、数据完整性、数据保密性、数据备份恢复、个人信息保护
7、作为管理人员技术测评人员来说,熟悉不熟悉测评的流程、测评的对象、选取的方法、重点项的测评内容**
以三级系统为例,在三级系统中我们测评的对象应基本覆盖所有主要的设备、设施、人员、文档等。对于管理测评来说:我们主要是以该定级对象的管理制度、记录表单、操作规程、安全主管人员、各方面负责人员、具体负责安全管理的当事人等作为测评对象。对于技术测评来说:我们选取测评对象时应保证相同配置的设备应每类至少抽查两台(三级)作为测评对象,四级系统每类至少三台作为测评对象;主要对象有:主机房、安全设备、系统网络架构、边界网络设备、网络互联设备(路由器、核心交换机)、服务器、业务终端系统、数据库等作为测评对象。
测评的流程主要分为测评准备、方案制定、现场测评、报告编制四个步骤。
测评准备活动包括工作启动、信息收集和分析、工具和表单准备三项主要任务;
方案制定活动包括被测对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制等六项主要任务。
现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三个主要任务,测评的方式为访问、核查和测试;
在现场测评工作后,测评机构应对现场测评获得的测评测评结果根据单项测评结果判定、单元测评结果判定、整体测评、系统安全保障评估、安全问题风险分析、等级测评结论形成、测评报告编制等步骤撰写报告。
8、数据备份和恢复的方式
B) 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地。
C)应提供重要数据处理系统的热冗余,保证系统的高可用性。
9、请简述在三级系统中对网络设备的测评内容
A)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
B)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
C)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
D)应采口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
B)应重命名或删除默认账户,修改默认账户的默认口令;
C)应及时删除或停用多余的、过期的账户,避免共享账户的存在;
D)应授予管理用户所需的最小权限,实现管理用户的权限分离;
E)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
F)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
C)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
E)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
A)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
C)应提供重要数据处理系统的热冗余,保证系统的高可用性。
10、审计可分为哪些类?各类审计的内容又是什么?
系统级审计:要求至少能够记录登录结果、登录标识、登录尝试的日期和时间、退出的日期和时间、所使用的设备、登录后运行的内容、修改配置文件的请求等。
应用级审计:跟踪监控和记录诸如打开和关闭数据文件,读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。
用户级审计:跟踪通常记录用户直接启动的所有命令、所有的标识和鉴别尝试的所有访问的文件和资源。
11、简述信息系统安全审计有以下五个重要的安全目的。
(1)审计回顾对个人客体的访问、个人详细的访问过程的历史、系统支持的各种保护机制的效能;
(2)发现非法使用和旁路保护机制的企图,尝试失败重复的次数;
(4)对妄图旁路系统保护机制的犯罪者构成技术屏障和法律威慑;
(5)为用户提供记录和发现企图旁路保护机制的方式。
12、系统安全审计的作用是什么?
(2)对于已经发生的系统破坏行为提供有效的追纠证据;
(3)提供有价值的系统使用日志,帮助管理人员及时发现系统入侵行为或潜在的系统漏洞;
(4)提供系统运行的统计日志,使管理人员能够发现系统性能上的不足或需要改进与加强的地方。
13.网络安全的网络设备防护的内容是什么?
④、主要网络设备应对同一用户选择两种或者两种以上组合的鉴别技术来进行身份鉴别;
⑤、身份鉴别信息应具有不易被冒用的特点,口令应有复杂度的要求并定期更换;
⑥、应具有登录失败处理功能,可采取结束回话、限制非法登录次数和当网络登陆连接超时自动退出等措施;
⑦、当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
14.入侵检测系统分为哪几种,各有什么特点?
主机型入侵检测系统(HIDS),网络型入侵检测系统(NIDS)。
HIDS往往以系统日志、应用程序日志作为数据源;检测主机上的命令序列比检测网络流更简单,系统的复杂性也少得多,所以主机检测系统误报率比网络入侵检测系统的误报率要低;他除了检测自身的主机以外,根本不检测网络上的情况,而且对入侵行为分析的工作量将随着主机数量的增加而增加,因此全面部署主机入侵检测系统代价比较大,企业很难将所有主机用主机入侵检测系统保护,只能选择部分主机进行保护,那些未安装主机入侵检测系统的机器将成为保护的忙点,入侵者可利用这些机器达到攻击的目标。依赖于服务器固有的日志和监视能力,。如果服务器上没有配置日志功能,则必须重新配置,这将给运行中的业务系统带来不可预见的性能影响。
NIDS一般部署在比较重要的网段内,它不需要改变服务器等主机的配置,由于他不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。NIDS的数据源是网络上的数据包。通过线路窃听的手段对捕获的网络分组进行处理,从中获取有用的信息。一个网段上只需要安装一个或几个这样的系统,便可以检测整个网络的情况,比较容易实现。由于现在网络的日趋复杂和高速网络的普及,这种结构正接受者越来越大的挑战。
15.访问控制的三要素是什么?按访问控制策略划分,可分为哪几类?按层面划分,可分为哪几类?
1)网络访问控制 2)主机访问控制 3)应用访问控制 4)物理访问控制
16、ARP地址欺骗的分类、原理是什么?可采取什么措施进行有效控制?
一种是对网络设备ARP表的欺骗,其原理是截获网关数据。它通知网络设备一系列错误的内网MAC地址,并按照一定的的频率不断进行,使真实的的地址信息无法通过更新保存在网络设备中,结果网络设备的所有的数据只能发给错误的MAC地址,造成正常PC无法收到信息。
另一种是对内网PC的网关欺骗。其原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的途径上网。
一、在网络设备中把所有pc的ip-mac输入到一个静态表中,这叫ip-mac绑定;
二、在内网所有pc上设置网关的静态arp信息,这叫pc ip-mac绑定。一般要求两个工作都要做,称为ip-mac双向绑定。
17、三级信息系统中,网络安全中的设备安全有哪些检查项?
D) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
E) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
F) 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
G) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
18、回答工具测试接入点的原则,及注意事项?
首要原则是不影响目标系统正常运行的前提下严格按照方案选定范围进行测试。
5)跨网络隔离设备(包括网络设备和安全设备)要分段探测。
1)工具测试介入测试设备之前,首先要有被测系统人员确定测试条件是否具备。测试条件包括被测网络设备、主机、安全设备等是否都在正常运行,测试时间段是否为可测试时间段,等等。
2)接入系统的设备、工具的ip地址等配置要经过被测系统相关人员确认。
3)对于测试过程中可能造成的对目标系统的网络流量及主机性能方面的影响(例如口令探测可能会造成的账号锁定等情况),要事先告知被测系统相关人员。
4)对于测试过程中的关键步骤、重要证据,要及时利用抓图等取证。
5)对于测试过程中出现的异常情况(服务器出现故障、网络中断)要及时记录。
6)测试结束后,需要被测方人员确认被测系统状态正常并签字后退场。
19、《基本要求》,在应用安全层面的访问控制要求中,三级系统较二级系统增加的措施有哪些?
三级比二级增加的要求项有:应提供对重要信息资源设置敏感标记的功能;应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。
20、在主机测评前期调研活动中,收集信息的内容(至少写出六项)?在选择主机测评对象时应该注意哪些要点?
至少需要收集服务器主机的设备名称、型号、操作系统、IP 地址、安装的应用软件 情况、主要的业务情况、重要程度、是否热备等信息。测评对象选择时应该注意重要性、代表性、完整性、安全性、共享性五大原则。
连载回顾:
