等级测评师(技术初级)考试题题集

等级保护测评师初级技术考试⽬录等级保护政策和相关标准应⽤部分 (1)⽹络安全测评部分 (3)主机安全部分 (4)应⽤测评部分 (6)数据库 (7)⼯具测试 (13)等级保护政策和相关标准应⽤部分《中华⼈民共和国计算机信息系统安全保护条例》国务院令 147号计算机信息系统实⾏安全等级保护。

安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定《国家信息化领导⼩组关于加强信息安全保障⼯作的意见》中发办[2003] 27号要加强信息安全标准化⼯作，抓紧制定急需的信息安全管理和技术标准，形成与国际标准相衔接的中国特⾊的信息安全标准体系什么是等级保护⼯作信息安全等级保护⼯作是⼀项由信息系统主管部门、运营单位、使⽤单位、安全产品提供⽅、安全服务提供⽅、检测评估机构、信息安全监督管理部门等多⽅参与，涉及技术与管理两个领域的复杂系统⼯程等级保护制度的地位和作⽤是国家信息安全保障⼯作的基本制度、基本国策是促进信息化、维护国家信息安全的根本保障是开展信息安全⼯作的基本⽅法，有效抓⼿等级保护的主要⽬的明确重点、突出重点、保护重点优化信息安全资源的配置明确信息安全责任拖动信息安全产业发展公安机关组织开展等级保护⼯作的依据1.《警察法》规定：警察履⾏“监督管理计算机信息系统的安全保护⼯作”的职责2.国务院令147号“公安部主管全国计算机信息系统安全保护⼯作”，“等级保护的具体办法，由公安部会同有关部门制定”3.2008年国务院三定⽅案，公安部新增职能：“监督、检查、指导信息安全等级保护⼯作”机构公安部⽹络安全保卫局各省⽹络警察总队地市⽹络警察⽀队区县⽹络警察⼤队部分职责制定信息安全政策打击⽹络违法犯罪互联⽹安全管理重要信息系统安全监督⽹络与信息安全信息通报国家信息安全职能部门职责分⼯公安机关牵头部门，监督、检查、指导信息安全等级保护⼯作国家保密部门负责等级保护⼯作中有关保密⼯作的监督、检查、指导。

并负责涉及国家秘密信息系统分级保护国家密码管理部门：负责等级保护⼯作中有关密码⼯作的监督、检查、指导⼯业和信息化部门：负责等级保护⼯作中部门间的协调定级备案建设整改测评监督检查《关于信息安全等级保护⼯作的实施意见》公通字[2004] 66号《计算机信息系统安全保护等级划分准则》 GB17859-1999 简称《划分准则》《信息安全等级保护管理办法》公通字[2007] 43号简称《管理办法》《信息系统安全等级保护实施指南》简称《实施指南》《信息系统安全保护等级定级指南》 GB/T 22240-2008 简称《定级指南》《信息系统安全等级保护基本要求》 GB/T22239-2008 简称《基本要求》《信息系统安全等级保护测评要求》简称《测评要求》《信息系统安全等级保护测评过程指南》简称《测评过程指南》测评主要参照标准信息系统安全等级保护基本要求信息系统安全等级保护测评要求信息系统安全等级保护测评过程指南等级保护⼯作中⽤到的主要标准基础17859实施指南定级环节定级指南整改建设环节基本要求等级测评环节测评要求测评过程指南定级⽅法PPT61确定定级对象确定业务信息安全受到破坏时所侵害的客体综合评定业务信息系统安全被破坏对客体的侵害程度得到业务信息安全等级确定系统服务安全受到破坏时所侵害的客体综合评定系统服务安全被破坏对客体的侵害程度得到系统服务安全等级⽹络安全测评部分7个控制点 33个要求项结构安全访问控制⼊侵防范边界完整性检查恶意代码防范设备防护安全审计检查范围理解标准：理解标准中涉及⽹络部分的每项基本要求明确⽬的：检查的最终⽬的是判断该信息系统的⽹络安全综合防护能⼒注意事项结构安全 7点重要a 应保证主要⽹络设备的业务处理能⼒具备冗余空间，满⾜业务⾼峰期需要b 应保证⽹络各个部分的带宽满⾜业务⾼峰期需要c 应在业务终端与业务服务器之间进⾏路由控制建⽴安全的访问路径d 应绘制与当前运⾏情况相符的⽹络拓扑结构图e 应根据各个部门的⼯作职能、重要性和所涉及信息的重要程度等因素，划分不同的⼦⽹或⽹段，并按照⽅便管理和控制的原则为各个⼦⽹、⽹段分配地址段f 应避免将重要⽹段部署在⽹络边界处且直接连接外部信息系统，重要⽹段与其他⽹段之间采取可靠的技术隔离⼿段g 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在⽹络发⽣拥堵的时候优先保护重要主机访问控制a 应在⽹络边界部署访问控制设备，启⽤访问控制功能b 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能⼒，控制粒度为端⼝级c 应对进出⽹络的信息内容进⾏过滤，实现对应⽤层HTTP 80、 21、TELNET 23、SMTP 25、POP3 110 等协议命令集的控制 (协议需要记忆)d 应在会话处于⾮活跃⼀定时间或会话结束后终⽌⽹络连接e 应限制⽹络最⼤流量数及⽹络连接数f 重要⽹段应采取技术⼿段防⽌地址欺骗g 应按⽤户和系统之间的允许访问规则，决定允许或拒绝⽤户对受控系统进⾏资源访问，控制粒度为单个⽤户h 应限制具有拨号访问权限的⽤户数量安全审计 4项a 应对⽹络系统中的⽹络设备运⾏状况、⽹络流量、⽤户⾏为等进⾏⽇志记录b 审计记录包括：事件的⽇期和时间、⽤户、事件类型、事件是否成功及其他与审计相关的信息c 应能够根据记录进⾏分析，并⽣成审计报表d 应对审计记录进⾏保护，避免受到未预期的删除、修改或覆盖等测评步骤1、⽹络全局性测评结构安全边界完整性检查⼊侵防范恶意代码防范2、⽹络设备、安全设备测评访问控制安全审计⽹络设备防护备份与恢复a 应提供本地数据备份与恢复功能，完全数据备份⾄少每天⼀次，备份介质场外存放b 应提供异地数据备份功能，利⽤通信⽹络将关键数据定时批量传送⾄备⽤场地c 应采⽤冗余技术设计⽹络拓扑结构、避免关键节点存在单点故障d 应提供主要⽹络设备、通信线路和数据处理系统的硬件冗余、保证系统的⾼可⽤性3、测评结果汇总整理对全局性检查结果和各单项检查结果进⾏汇总核对检查结果，记录内容真实有效，勿有遗漏主机安全部分主机安全测评1.主机按照其规模或系统功能来区分，可分为巨型、⼤型、中型、⼩型、微型计算机和单⽚机2.主机安全是由操作系统⾃⾝安全配置、相关安全软件以及第三⽅安全设备等来实现，主机测评则是依据基本要求对主机安全进⾏符合性检查3.⽬前运⾏在主机上流⾏的操作系统有 windows linux sun_solaris ibm_aix hp_ux测评准备⼯作很重要1.信息收集服务器的设备名称、型号、所属⽹络区域、操作系统版本、IP、安装应⽤软件的名称、主要业务应⽤、涉及数据、是否热备、重要程度、责任部门信息收集的原则重要！～完整性原则重要性原则安全性原则共享性原则代表性原则2.测评指导书准备根据信息收集的内容、结合主机所属等级、编写测评指导书⾝份鉴别访问控制安全审计剩余信息保护⼊侵防范恶意代码防范系统资源控制备份与恢复⾝份鉴别 6项a 应对登录操作系统和数据库系统的⽤户进⾏⾝份标识和鉴别b 操作系统和数据库系统管理⽤户⾝份标识应具有不易被冒⽤的特点，⼝令有复杂度要求并要求定期更换c 应启⽤登录失败处理功能，可采取结束会话、限制⾮法登录次数和⾃动退出等措施d 当对服务器进⾏远程管理时，应采取必要措施，防⽌鉴别信息在⽹络传输过程中被窃听e 为操作系统和数据库的不同⽤户分配不同的⽤户名，确保⽤户名具有唯⼀性f 应采⽤两种或两种以上组合的鉴别技术对管理⽤户进⾏⾝份鉴别⾝份鉴别共有6个检查项1.⾝份的标识2.密码⼝令的复杂度设置3.登录失败的处理4.远程管理的传输模式5.⽤户名的唯⼀性6.⾝份组合鉴别技术什么是双因⼦鉴别重要！～个⼈所知道的信息个⼈所持有的物品个⼈的⽣理特征个⼈的⾏为特征访问控制 7个检查项1.对系统的访问控制功能2.管理⽤户的⾓⾊分配3.操作系统和数据库系统管理员的权限分离4.默认⽤户的访问权限5.账户的清理6.重要信息资源的敏感标记设置7.对有敏感标记信息资源的访问和控制安全审计 6个检查项1.审计范围2.审计的事件3.审计记录格式4.审计报表得⽣成5.审计进程保护6.审计记录的保护剩余信息保护 2项1.鉴别信息清空2.⽂件记录等的清空⼊侵防范 3项1.⼊侵⾏为的记录和报警2.重要⽂件的完整性保护3.最⼩安装原则恶意代码防范1.安装防恶意代码软件2.主机的防恶意代码库和⽹络防恶意代码库的差别3.防恶意代码软件的统⼀管理除了安装防病毒软件还有什么能解决重要！～1安全补丁管理平台2防⽕墙3⼊侵检测系统4对系统和数据进⾏尝备份系统资源控制 5项1.应通过设定终端接⼊⽅式、⽹络地址范围等条件限制终端登录。

信息安全等级测评师(初级技术)简答题1、《基本要求》，在应用安全层面的访问控制要求中，三级系统较二级系统增加的措施有哪些？答：三级比二级增加的要求项有：应提供对重要信息资源设置敏感标记的功能；应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。

2、在主机测试前期调研活动中，收集信息的内容（至少写出六项）？在选择主机测评对象时应该注意哪些要点？答：至少需要收集服务器主机的设备名称、型号、所属网络区域、操作系统版本、地址、安装的应用软件名称、主要业务应用、涉及数据、是否热备、重要程度、责任部门。

测评对象选择时应该注意重要性、代表性、完整性、安全性、共享性五大原则。

3、《基本要求》中，对于三级信息系统，网络安全层面应采取哪些安全技术措施？画出图并进行描述（不考虑安全加固）。

答：网络层面需要考虑结构安全、访问控制、安全审计、边界完整性、入侵防范、恶意代码防范、网络设备防护、数据备份与恢复。

4、主机按照其规模或系统功能来区分为哪些类？主机安全在测评时会遇到哪些类型操作系统？网络安全三级信息系统的安全子类是什么？三级网络安全的安全审计内容是什么？答：1、巨型、大型、中型、小型、微型计算机及单片机。

2、，等等。

3、结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。

4、a、应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。

b、审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

c、应能够根据记录数据进行分析，并生成审计报表。

d、应对审计记录进行保护、避免受到未预期的删除、修改或覆盖等。

5、数据库常见威胁有哪些？针对于工具测试需要注意哪些内容？答：（1）非授权访问、特权提升、注入、针对漏洞进行攻击、绕过访问控制进行非授权访问等。

（2）工具测试接入测试设备前，首先要有被测系统人员确定测试条件是否具备。

测试条件包括被测网络设备、主机、安全设备等是否都在正常运行，测试时间段是否为可测试时间段等等。

信息安全等级测评师模拟考试考试形式：闭卷考试时间：120分钟一、单选题（每题1.5分，共30分）1.以下关于等级保护的地位和作用的说法中不正确的是（）A.是国家信息安全保障工作的基本制度、基本国策。

B.是开展信息安全工作的基本方法。

C.是提高国家综合竞争力的主要手段。

D.是促进信息化、维护国家信息安全的根本保障。

2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（）A.突出重要系统，涉及所有等级, 试点示范，行业推广，国家强制执行。

B.利用信息安全等级保护综合工作平台使等级保护工作常态化。

C.管理制度建设和技术措施建设同步或分步实施。

D.加固改造缺什么补什么也可以进行总体安全建设整改规划。

3.以下关于定级工作说法不正确的是：（）A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。

B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。

C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。

D.新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。

4. 安全建设整改的目的是（）（1）探索信息安全工作的整体思路；（2）确定信息系统保护的基线要求；（3）了解信息系统的问题和差距；（4）明确信息系统安全建设的目标；（5）提升信息系统的安全保护能力；A.（1）、（2）、（3）、（5）B.（3）、（4）、（5）C.（2）、（3）、（4）、（5）D.全部5.下列说法中不正确的是（）A. 定级/备案是信息安全等级保护的首要环节。

B. 等级测评是评价安全保护现状的关键。

C. 建设整改是等级保护工作落实的关键。

D. 监督检查是使信息系统保护能力不断提高的保障。

6.配置如下两条访问控制列表：access-list 1 permit 10.110.10.1 0.0.255.255access-list 2 permit 10.110.100.100 0.0.255.255访问控制列表1和2，所控制的地址范围关系是：（）A. 1和2的范围相同B. 1的范围在2的范围内C. 2的范围在1的范围内D. 1和2的范围没有包含关系7. Oracle数据库中，以下（）命令可以删除整个表中的数据，并且无法回滚。

一、单选题（20分）1、下列不属于网络安全测试范畴的是？（）A、结构安全B、边界完整性检查C、剩余信息保护D、网络设备防护2、在思科路由器中，为实现超时10分钟后自动断开连接，实现的命令应为下列哪一个？（）A、exec-timeout 10 0B、exec-timeout 0 10C、idle-timeout 10 0D、idle-timeout 0 103、如下两条访问控制列表：access-list 1 permit 10、110、10、1 0、0、255、255access-list 2 permit 10、110、100、100 0、0、255、255这两条控制列表所控制的地址范围关系是？（）A、1 和2 的范围相同B、1 的范围在2 的范围内C、2 的范围在1的范围内D、1 和2 的范围没有关系4、下列关于安全审计的内容说法中错误的是？（）A、应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录。

B、审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

C、应能根据记录数据进行分析，并生成报表。

D、为了节约存储空间，审计记录可以随意删除、修改或覆盖。

5、渗透测试（工具测试中）那种方式用于发现测试目标？（）A、网络扫描B、操作系统扫描C、端口扫描D、漏洞扫描6、Oracle数据库中，以下哪条命令可以删除整个表中的数据，并且无法回滚？（）A、DropB、DeleteC、TruncateD、Cascade7、下面哪个不是生成树的优点？（）A、生成树可以管理冗余链路，在链路发生故障时可以恢复网络连接B、生成树可以防止环路的产生C、生成树可以防止广播风暴D、生成树能够节省网络带宽8、关于防火墙的功能，以下哪个描述描述是错误的？（）A、防火墙可以检查进出内部网的通信量B、防火墙可以使用应用网关技术在应用层上建立协议过滤和转发功能C、防火墙可以使用过滤技术在网络层对数据包进行选择D、防火墙可以阻止来自内部的威胁和攻击9、拒绝服务攻击的后果是？（）A.服务不可用B.应用程序及信息不可用C.系统宕机、正常通信被阻止D.上面几项都是10、以下哪种方式为非法用户利用合法用户的身份，访问系统资源？（）A、身份假冒B、信息窃取C、数据篡改D、越权访问11、linux主机系统中以下说法不正确的是？（）A.PASS_MAX_DAYS 90 是指登陆密码有效期为90天。

信息安全等级测评师考试一、判断题（10×1=10分）1、路由器仅可以对某个端口的访问情况进行屏蔽。

（×）2、三级信息系统应采取双因子认证对管理用户身份进行鉴别。

（√）3、ARP地址欺骗分为对网络设备ARP表的欺骗和对内网PC的网关欺骗（√）4、在windows系统中，重要目录不对everyone用户开放。

（√）5、一个企事业单位的不同vlan之间可直接进行通信，和外网则不可以（×）6、三级系统的配置文件权限值不能大于644，可执行文件不能大于755（√）7、病毒、木马、蠕虫都属于恶意代码。

（√）8、三级系统的鉴别信息要求至少8位，并有复杂度要求。

（×）9、网络设备的某条不合格，则此项标准可直接判断为不合格。

（×）10、三级系统应避免将重要网段部署在网络边界处且直接连接外部系统（×）二、单项选择题（15×2=30分）1、假如你向一台远程主机发送特定的数据包，却不想远程主机响应你的数据包。

这时你使用哪一种类型的进攻手段？（ B ）A、缓冲区溢出B、地址欺骗C、拒绝服务D、暴力攻击2、你有一个共享文件夹，你将它的NTFS权限设置为sam用户可以修改，共享权限设置为sam用户可以读取，当sam从网络访问这个共享文件夹的时候，他有什么样的权限？（ A ）A、读取B、写入C、修改D、完全控制3、入侵检测系统在进行信号分析时，一般通过三种常用的技术手段，以下哪一种不属于通常的三种技术手段：（ D ）A．模式匹配 B．统计分析C．完整性分析 D．密文分析4、攻击是指借助于客户机/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。

（ C ）A．缓冲区溢出攻击 B．拒绝服务C．分布式拒绝服务 D．口令攻击5、信息安全需求不包括。

( D )A.保密性、完整性B.可用性、可控性C.不可否认性D. 语义正确性6、下面属于被动攻击的手段是。

信息安全等级测评师模拟测试（3）-技术初级一、单选题（20分）1、以下关于信息系统安全建设整改工作方中说珐中不正确的是？（）A、突出重要系统，涉及所有等级，试点示范，行业推广。

B、利用信息安全等圾保护测评工作使等级保护工作常态化。

C、管理制度建设和技术措施建设同步或分步实施。

D、加快改造，缺什么补什么，也可以进总体安全建设整改规划。

2、《测评要求》和哪一个文件是对用户系统测评的依据？（）A、《信息系统安全等级保护实施指南》。

B、《信息系统安全保护等级定级指南》。

C、《信息系统安全等级保护基本要求》。

D、《信息系统安全等级保护管理办法》。

3、测评单位开展工作的政策依据是？（）A、公通字[2004] 66号。

B、公信安[2008] 736。

C、公信安[2010] 303号。

D、发改高技[2008] 2071。

4、linux中关于登陆程序的配置文件默认的为？（）A、Jetc/pam.d/system-authB、/etc/login.defsC、/etc/shadowD、/etc/passwd5、以下关于信息安全等级保护标准体系说法不正确的？（）A、基础标准：GB 17859—1999《计算机信息系统安全保护等级划分准则》, 在此基础上制定出技术类、管理类、产品类标准。

B、安全要求：GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》一~信息系统安全等级保护的行业规范。

C、系统定级：GB／T18336—2008《信息安全技术信息系统安全评估准则》——信息系统安全等级保护行业定级评估。

D、方法指导：《信息系统安全等级保护实施指南》、《信息系统等级保护安全设计技术要求》。

E、现状分析：《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》。

6、等保三级中网络安全包括（）个要求项？A、20。

B、26。

C、33。

D、36。

7、信息系统为支撑其所承载业务而提供的程序化过程，称为（）。

一、判断（10X1）1、二级中，应根据会话状态信息数为数据流提供明确的允许或拒绝访问能力，控制粒度为网段级。

（√，三级的控制粒度是端口级）2、三级中，在应用层面要求对主体和客体进行安全标记。

（√，三级要求强制访问控制）3、三级中，MS sql server的审核级别应为“无”。

（×，是“全部”）4、5、三级应用系统中，要求“应采用验证码技术保证通信中数据的完整性”。

（×，这是二级要求，三级要求利用密码技术）6、三级系统网络安全中，要求对非法接入行为进行检测，准确定位。

（×，同时要求能够进行有效阻断）7、包过滤防火墙是最基本最传统的防火墙，它可以运行在应用层，….（×，包过滤防火墙只运行在网络层和传输层）8、windows 中的power users组默认具有对事件日志的删除权限。

（×，power users组即超级用户组只具备部分管理员权限）9、与windows不同的是，Linux/unix中不存在预置账户。

（×，Linux/unix中存在预置账户）10、公安部、国家保密局、国家密码管理局、原国务院信息办共同印发的《信息安全等级保护管理办法》即43号文。

（√）二、单选（15X2）1、win2000 中审核账户登录是审核（）A.用户登录或退出本地计算机B.管理员创建添加删除用户账户C.用户申请域控制登录验证D. 日志记录管理2、下面属于被动网络攻击的是（）A．物理破坏 B.重放 C.拒绝服务 D.口令嗅探3、《基本要求》三级系统中，要求对网络设备进行登录失败处理功能。

在现场测评中，某思科路由器（IOS12.2）的配置文件中无相关配置信息，则（）A．此项不符合 B.此项不适用 C.此项符合 D.需进一步确认4、能够提供和实现通信中数据完整性检验的（）A．MD5+加密 B.CRC C. CRC +加密 D.加密5、作为抵抗外部人员攻击的最后防线的是（）A. 物理安全B.网络安全C. 主机安全D.应用系统6、等保3级中，恶意代码应该在___进行检测和清除()A.内网B.网络边界C.主机D.。