等级保护测评师初级技术考试资料
等级保护测评师初级技术考试
等级保护测评师初级技术考试⽬录等级保护政策和相关标准应⽤部分 (1)⽹络安全测评部分 (3)主机安全部分 (4)应⽤测评部分 (6)数据库 (7)⼯具测试 (13)等级保护政策和相关标准应⽤部分《中华⼈民共和国计算机信息系统安全保护条例》国务院令 147号计算机信息系统实⾏安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定《国家信息化领导⼩组关于加强信息安全保障⼯作的意见》中发办[2003] 27号要加强信息安全标准化⼯作,抓紧制定急需的信息安全管理和技术标准,形成与国际标准相衔接的中国特⾊的信息安全标准体系什么是等级保护⼯作信息安全等级保护⼯作是⼀项由信息系统主管部门、运营单位、使⽤单位、安全产品提供⽅、安全服务提供⽅、检测评估机构、信息安全监督管理部门等多⽅参与,涉及技术与管理两个领域的复杂系统⼯程等级保护制度的地位和作⽤是国家信息安全保障⼯作的基本制度、基本国策是促进信息化、维护国家信息安全的根本保障是开展信息安全⼯作的基本⽅法,有效抓⼿等级保护的主要⽬的明确重点、突出重点、保护重点优化信息安全资源的配置明确信息安全责任拖动信息安全产业发展公安机关组织开展等级保护⼯作的依据1.《警察法》规定:警察履⾏“监督管理计算机信息系统的安全保护⼯作”的职责2.国务院令147号“公安部主管全国计算机信息系统安全保护⼯作”,“等级保护的具体办法,由公安部会同有关部门制定”3.2008年国务院三定⽅案,公安部新增职能:“监督、检查、指导信息安全等级保护⼯作”机构公安部⽹络安全保卫局各省⽹络警察总队地市⽹络警察⽀队区县⽹络警察⼤队部分职责制定信息安全政策打击⽹络违法犯罪互联⽹安全管理重要信息系统安全监督⽹络与信息安全信息通报国家信息安全职能部门职责分⼯公安机关牵头部门,监督、检查、指导信息安全等级保护⼯作国家保密部门负责等级保护⼯作中有关保密⼯作的监督、检查、指导。
并负责涉及国家秘密信息系统分级保护国家密码管理部门:负责等级保护⼯作中有关密码⼯作的监督、检查、指导⼯业和信息化部门:负责等级保护⼯作中部门间的协调定级备案建设整改测评监督检查《关于信息安全等级保护⼯作的实施意见》公通字[2004] 66号《计算机信息系统安全保护等级划分准则》 GB17859-1999 简称《划分准则》《信息安全等级保护管理办法》公通字[2007] 43号简称《管理办法》《信息系统安全等级保护实施指南》简称《实施指南》《信息系统安全保护等级定级指南》 GB/T 22240-2008 简称《定级指南》《信息系统安全等级保护基本要求》 GB/T22239-2008 简称《基本要求》《信息系统安全等级保护测评要求》简称《测评要求》《信息系统安全等级保护测评过程指南》简称《测评过程指南》测评主要参照标准信息系统安全等级保护基本要求信息系统安全等级保护测评要求信息系统安全等级保护测评过程指南等级保护⼯作中⽤到的主要标准基础17859实施指南定级环节定级指南整改建设环节基本要求等级测评环节测评要求测评过程指南定级⽅法PPT61确定定级对象确定业务信息安全受到破坏时所侵害的客体综合评定业务信息系统安全被破坏对客体的侵害程度得到业务信息安全等级确定系统服务安全受到破坏时所侵害的客体综合评定系统服务安全被破坏对客体的侵害程度得到系统服务安全等级⽹络安全测评部分7个控制点 33个要求项结构安全访问控制⼊侵防范边界完整性检查恶意代码防范设备防护安全审计检查范围理解标准:理解标准中涉及⽹络部分的每项基本要求明确⽬的:检查的最终⽬的是判断该信息系统的⽹络安全综合防护能⼒注意事项结构安全 7点重要a 应保证主要⽹络设备的业务处理能⼒具备冗余空间,满⾜业务⾼峰期需要b 应保证⽹络各个部分的带宽满⾜业务⾼峰期需要c 应在业务终端与业务服务器之间进⾏路由控制建⽴安全的访问路径d 应绘制与当前运⾏情况相符的⽹络拓扑结构图e 应根据各个部门的⼯作职能、重要性和所涉及信息的重要程度等因素,划分不同的⼦⽹或⽹段,并按照⽅便管理和控制的原则为各个⼦⽹、⽹段分配地址段f 应避免将重要⽹段部署在⽹络边界处且直接连接外部信息系统,重要⽹段与其他⽹段之间采取可靠的技术隔离⼿段g 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在⽹络发⽣拥堵的时候优先保护重要主机访问控制a 应在⽹络边界部署访问控制设备,启⽤访问控制功能b 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能⼒,控制粒度为端⼝级c 应对进出⽹络的信息内容进⾏过滤,实现对应⽤层HTTP 80、 21、TELNET 23、SMTP 25、POP3 110 等协议命令集的控制 (协议需要记忆)d 应在会话处于⾮活跃⼀定时间或会话结束后终⽌⽹络连接e 应限制⽹络最⼤流量数及⽹络连接数f 重要⽹段应采取技术⼿段防⽌地址欺骗g 应按⽤户和系统之间的允许访问规则,决定允许或拒绝⽤户对受控系统进⾏资源访问,控制粒度为单个⽤户h 应限制具有拨号访问权限的⽤户数量安全审计 4项a 应对⽹络系统中的⽹络设备运⾏状况、⽹络流量、⽤户⾏为等进⾏⽇志记录b 审计记录包括:事件的⽇期和时间、⽤户、事件类型、事件是否成功及其他与审计相关的信息c 应能够根据记录进⾏分析,并⽣成审计报表d 应对审计记录进⾏保护,避免受到未预期的删除、修改或覆盖等测评步骤1、⽹络全局性测评结构安全边界完整性检查⼊侵防范恶意代码防范2、⽹络设备、安全设备测评访问控制安全审计⽹络设备防护备份与恢复a 应提供本地数据备份与恢复功能,完全数据备份⾄少每天⼀次,备份介质场外存放b 应提供异地数据备份功能,利⽤通信⽹络将关键数据定时批量传送⾄备⽤场地c 应采⽤冗余技术设计⽹络拓扑结构、避免关键节点存在单点故障d 应提供主要⽹络设备、通信线路和数据处理系统的硬件冗余、保证系统的⾼可⽤性3、测评结果汇总整理对全局性检查结果和各单项检查结果进⾏汇总核对检查结果,记录内容真实有效,勿有遗漏主机安全部分主机安全测评1.主机按照其规模或系统功能来区分,可分为巨型、⼤型、中型、⼩型、微型计算机和单⽚机2.主机安全是由操作系统⾃⾝安全配置、相关安全软件以及第三⽅安全设备等来实现,主机测评则是依据基本要求对主机安全进⾏符合性检查3.⽬前运⾏在主机上流⾏的操作系统有 windows linux sun_solaris ibm_aix hp_ux测评准备⼯作很重要1.信息收集服务器的设备名称、型号、所属⽹络区域、操作系统版本、IP、安装应⽤软件的名称、主要业务应⽤、涉及数据、是否热备、重要程度、责任部门信息收集的原则重要!~完整性原则重要性原则安全性原则共享性原则代表性原则2.测评指导书准备根据信息收集的内容、结合主机所属等级、编写测评指导书⾝份鉴别访问控制安全审计剩余信息保护⼊侵防范恶意代码防范系统资源控制备份与恢复⾝份鉴别 6项a 应对登录操作系统和数据库系统的⽤户进⾏⾝份标识和鉴别b 操作系统和数据库系统管理⽤户⾝份标识应具有不易被冒⽤的特点,⼝令有复杂度要求并要求定期更换c 应启⽤登录失败处理功能,可采取结束会话、限制⾮法登录次数和⾃动退出等措施d 当对服务器进⾏远程管理时,应采取必要措施,防⽌鉴别信息在⽹络传输过程中被窃听e 为操作系统和数据库的不同⽤户分配不同的⽤户名,确保⽤户名具有唯⼀性f 应采⽤两种或两种以上组合的鉴别技术对管理⽤户进⾏⾝份鉴别⾝份鉴别共有6个检查项1.⾝份的标识2.密码⼝令的复杂度设置3.登录失败的处理4.远程管理的传输模式5.⽤户名的唯⼀性6.⾝份组合鉴别技术什么是双因⼦鉴别重要!~个⼈所知道的信息个⼈所持有的物品个⼈的⽣理特征个⼈的⾏为特征访问控制 7个检查项1.对系统的访问控制功能2.管理⽤户的⾓⾊分配3.操作系统和数据库系统管理员的权限分离4.默认⽤户的访问权限5.账户的清理6.重要信息资源的敏感标记设置7.对有敏感标记信息资源的访问和控制安全审计 6个检查项1.审计范围2.审计的事件3.审计记录格式4.审计报表得⽣成5.审计进程保护6.审计记录的保护剩余信息保护 2项1.鉴别信息清空2.⽂件记录等的清空⼊侵防范 3项1.⼊侵⾏为的记录和报警2.重要⽂件的完整性保护3.最⼩安装原则恶意代码防范1.安装防恶意代码软件2.主机的防恶意代码库和⽹络防恶意代码库的差别3.防恶意代码软件的统⼀管理除了安装防病毒软件还有什么能解决重要!~1安全补丁管理平台2防⽕墙3⼊侵检测系统4对系统和数据进⾏尝备份系统资源控制 5项1.应通过设定终端接⼊⽅式、⽹络地址范围等条件限制终端登录。
信息安全等级保护初级测评师模拟试题二
信息安全等级保护初级测评师模拟试题二It was last revised on January 2, 20211 信息安全等级测评师测试一、单选题(14分)1、下列不属于网络安全测试范畴的是( C ) A. 结构安全 B. 边界完整性检查 C. 剩余信息保护 D. 网络设备防护2、下列关于安全审计的内容说法中错误的是( D )。
A. 应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录。
B. 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
C. 应能根据记录数据进行分析,并生成报表。
D. 为了节约存储空间,审计记录可以随意删除、修改或覆盖。
3、在思科路由器中,为实现超时10分钟后自动断开连接,实现的命令应为下列哪一个。
( A ) A. exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0 104、用于发现攻击目标。
( A ) A. ping扫描 B. 操作系统扫描 C. 端口扫描 D. 漏洞扫描Ping扫描:用于发现攻击目标操作系统识别扫描:对目标主机运行的操作系统进行识别端口扫描:用于查看攻击目标处于监听或运行状态的...5、防火墙提供的接入模式中包括。
( ABCD ) A. 网关模式 B. 透明模式 C. 混合模式 D. 旁路接入模式6、路由器工作在。
( C ) A. 应用层 B. 链接层 C. 网络层 D. 传输层7、防火墙通过__控制来阻塞邮件附件中的病毒。
( A ) A.数据控制B.连接控制C.ACL控制D.协议控制二、多选题(36分)1、不同设VLAN之间要进行通信,可以通过__。
( A B ) A交换机B路由器 C网闸 D入侵检测 E入侵防御系统2、能够起到访问控制功能的设备有__。
( ABD ) A网闸 B三层交换机 C入侵检测系统 D防火墙3、路由器可以通过来限制带宽。
等保测评考试题库及答案
等保测评考试题库及答案一、单选题(每题2分,共10题)1. 等保测评中,对于信息系统的保护级别,以下哪个选项是正确的?A. 一级保护B. 二级保护C. 三级保护D. 四级保护答案:C2. 信息系统安全保护等级分为几个级别?A. 二个B. 三个C. 四个D. 五个答案:D3. 以下哪项不是等保测评的内容?A. 物理安全B. 网络安全C. 信息安全D. 个人隐私答案:D4. 等保测评的周期通常为多久?A. 每半年一次B. 每年一次C. 每两年一次D. 每三年一次答案:B5. 等保测评中,对于信息系统的访问控制,以下哪项是必须实施的?A. 用户身份验证B. 系统权限分配C. 访问记录审计D. 以上都是答案:D二、多选题(每题3分,共5题)1. 等保测评中,以下哪些属于物理安全的要求?A. 机房环境控制B. 电源和空调系统C. 硬件设备防盗D. 人员出入管理答案:A、B、C、D2. 网络安全测评中,以下哪些属于安全通信网络的要求?A. 网络隔离B. 网络监控C. 网络入侵防范D. 网络流量控制答案:A、B、C、D3. 信息安全测评中,以下哪些属于数据安全及备份的要求?A. 数据加密B. 数据备份C. 数据完整性校验D. 数据恢复答案:A、B、C、D4. 等保测评中,以下哪些属于安全管理制度的要求?A. 安全策略B. 安全组织C. 安全培训D. 安全审计答案:A、B、C、D5. 等保测评中,以下哪些属于安全运维的要求?A. 系统维护B. 漏洞管理C. 应急响应D. 安全事件处理答案:A、B、C、D三、判断题(每题1分,共5题)1. 等保测评只针对政府机关的信息系统。
(错误)2. 等保测评的结果可以作为信息系统安全等级的依据。
(正确)3. 等保测评不需要定期进行。
(错误)4. 等保测评只关注信息系统的技术安全,不涉及管理安全。
(错误)5. 等保测评的结果对外保密,不对外公布。
(错误)四、简答题(每题5分,共2题)1. 简述等保测评的目的是什么?答案:等保测评的目的是为了确保信息系统的安全,通过系统化的安全评估,发现并修复潜在的安全漏洞,提升信息系统的整体安全防护能力,保障信息资产的安全。
(word完整版)等保初级测评师模拟试题
信息安全等级测评师模拟考试考试形式:考试形式:闭卷一、单选题(每题 1.5 分,共 30 分)单选题(1.以下关于等级保护的地位和作用的说法中不正确的是( C )A.是国家信息安全保障工作的基本制度、基本国策。
B.是开展信息安全工作的基本方法。
C.是提高国家综合竞争力的主要手段。
D.是促进信息化、维护国家信息安全的根本保障。
2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是: A )(A.突出重要系统,涉及所有等级, 试点示范,行业推广,国家强制执行。
B.利用信息安全等级保护综合工作平台使等级保护工作常态化。
C.管理制度建设和技术措施建设同步或分步实施。
D.加固改造缺什么补什么也可以进行总体安全建设整改规划。
3.以下关于定级工作说法不正确的是: A )(A.确定定级对象过程中,定级对象是指以下内容:起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。
B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。
C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。
D.新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。
4. 安全建设整改的目的是( D )(1)探索信息安全工作的整体思路;(2)确定信息系统保护的基线要求;(3)了解信息系统的问题和差距;(4)明确信息系统安全建设的目标;(5)提升信息系统的安全保护能力;A.(1)(2)(3)(5)、、、B.(3)(4)(5)、、C.(2)(3)(4)(5)、、、D.全部1考试时间:考试时间:120 分钟5.下列说法中不正确的是( B )A. 定级/备案是信息安全等级保护的首要环节。
B. 等级测评是评价安全保护现状的关键。
C. 建设整改是等级保护工作落实的关键。
D. 监督检查是使信息系统保护能力不断提高的保障。
等保初级测评师模拟试题
信息安全等级测评师模拟考试考试形式:闭卷考试时间:120分钟一、单选题(每题1.5分,共30分)1.以下关于等级保护的地位和作用的说法中不正确的是()A.是国家信息安全保障工作的基本制度、基本国策。
B.是开展信息安全工作的基本方法。
C.是提高国家综合竞争力的主要手段。
D.是促进信息化、维护国家信息安全的根本保障。
2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是:()A.突出重要系统,涉及所有等级, 试点示范,行业推广,国家强制执行。
B.利用信息安全等级保护综合工作平台使等级保护工作常态化。
C.管理制度建设和技术措施建设同步或分步实施。
D.加固改造缺什么补什么也可以进行总体安全建设整改规划。
3.以下关于定级工作说法不正确的是:()A.确定定级对象过程中,定级对象是指以下内容:起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。
B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。
C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。
D.新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。
4. 安全建设整改的目的是()(1)探索信息安全工作的整体思路;(2)确定信息系统保护的基线要求;(3)了解信息系统的问题和差距;(4)明确信息系统安全建设的目标;(5)提升信息系统的安全保护能力;A.(1)、(2)、(3)、(5)B.(3)、(4)、(5)C.(2)、(3)、(4)、(5)D.全部5.下列说法中不正确的是()A. 定级/备案是信息安全等级保护的首要环节。
B. 等级测评是评价安全保护现状的关键。
C. 建设整改是等级保护工作落实的关键。
D. 监督检查是使信息系统保护能力不断提高的保障。
6.配置如下两条访问控制列表:access-list 1 permit 10.110.10.1 0.0.255.255access-list 2 permit 10.110.100.100 0.0.255.255访问控制列表1和2,所控制的地址范围关系是:()A. 1和2的范围相同B. 1的范围在2的范围内C. 2的范围在1的范围内D. 1和2的范围没有包含关系7. Oracle数据库中,以下()命令可以删除整个表中的数据,并且无法回滚。
等级保护测评师初级技术考试资料修订稿
等级保护测评师初级技术考试资料内部编号:(YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128)目录等级保护政策和相关标准应用部分《中华人民共和国计算机信息系统安全保护条例》国务院令 147号计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定《国家信息化领导小组关于加强信息安全保障工作的意见》中发办[2003] 27号要加强信息安全标准化工作,抓紧制定急需的信息安全管理和技术标准,形成与国际标准相衔接的中国特色的信息安全标准体系什么是等级保护工作信息安全等级保护工作是一项由信息系统主管部门、运营单位、使用单位、安全产品提供方、安全服务提供方、检测评估机构、信息安全监督管理部门等多方参与,涉及技术与管理两个领域的复杂系统工程等级保护制度的地位和作用是国家信息安全保障工作的基本制度、基本国策是促进信息化、维护国家信息安全的根本保障是开展信息安全工作的基本方法,有效抓手等级保护的主要目的明确重点、突出重点、保护重点优化信息安全资源的配置明确信息安全责任拖动信息安全产业发展公安机关组织开展等级保护工作的依据1.《警察法》规定:警察履行“监督管理计算机信息系统的安全保护工作”的职责2.国务院令147号“公安部主管全国计算机信息系统安全保护工作”,“等级保护的具体办法,由公安部会同有关部门制定”3.2008年国务院三定方案,公安部新增职能:“监督、检查、指导信息安全等级保护工作”机构公安部网络安全保卫局各省网络警察总队地市网络警察支队区县网络警察大队部分职责制定信息安全政策打击网络违法犯罪互联网安全管理重要信息系统安全监督网络与信息安全信息通报国家信息安全职能部门职责分工公安机关牵头部门,监督、检查、指导信息安全等级保护工作国家保密部门负责等级保护工作中有关保密工作的监督、检查、指导。
并负责涉及国家秘密信息系统分级保护国家密码管理部门:负责等级保护工作中有关密码工作的监督、检查、指导工业和信息化部门:负责等级保护工作中部门间的协调定级备案建设整改测评监督检查《关于信息安全等级保护工作的实施意见》公通字[2004] 66号《计算机信息系统安全保护等级划分准则》 GB17859-1999 简称《划分准则》《信息安全等级保护管理办法》公通字[2007] 43号简称《管理办法》《信息系统安全等级保护实施指南》简称《实施指南》《信息系统安全保护等级定级指南》 GB/T 22240-2008 简称《定级指南》《信息系统安全等级保护基本要求》 GB/T22239-2008 简称《基本要求》《信息系统安全等级保护测评要求》简称《测评要求》《信息系统安全等级保护测评过程指南》简称《测评过程指南》测评主要参照标准信息系统安全等级保护基本要求信息系统安全等级保护测评要求信息系统安全等级保护测评过程指南等级保护工作中用到的主要标准基础17859实施指南定级指南整改建设环节基本要求等级测评环节测评要求测评过程指南定级方法PPT61确定定级对象确定业务信息安全受到破坏时所侵害的客体综合评定业务信息系统安全被破坏对客体的侵害程度得到业务信息安全等级确定系统服务安全受到破坏时所侵害的客体综合评定系统服务安全被破坏对客体的侵害程度得到系统服务安全等级网络安全测评部分7个控制点 33个要求项结构安全访问控制入侵防范边界完整性检查恶意代码防范安全审计检查范围理解标准:理解标准中涉及网络部分的每项基本要求明确目的:检查的最终目的是判断该信息系统的网络安全综合防护能力注意事项结构安全 7点重要a 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要b 应保证网络各个部分的带宽满足业务高峰期需要c 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径d 应绘制与当前运行情况相符的网络拓扑结构图e 应根据各个部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各个子网、网段分配地址段f 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段g 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机访问控制a 应在网络边界部署访问控制设备,启用访问控制功能b 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级c 应对进出网络的信息内容进行过滤,实现对应用层HTTP 80、FTP 20 21、TELNET 23、SMTP 25、POP3 110 等协议命令集的控制 (协议需要记忆)d 应在会话处于非活跃一定时间或会话结束后终止网络连接e 应限制网络最大流量数及网络连接数f 重要网段应采取技术手段防止地址欺骗g 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户h 应限制具有拨号访问权限的用户数量安全审计 4项a 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录b 审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息c 应能够根据记录进行分析,并生成审计报表d 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等测评步骤1、网络全局性测评结构安全边界完整性检查入侵防范恶意代码防范2、网络设备、安全设备测评访问控制安全审计网络设备防护备份与恢复a 应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放b 应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地c 应采用冗余技术设计网络拓扑结构、避免关键节点存在单点故障d 应提供主要网络设备、通信线路和数据处理系统的硬件冗余、保证系统的高可用性3、测评结果汇总整理对全局性检查结果和各单项检查结果进行汇总核对检查结果,记录内容真实有效,勿有遗漏主机安全部分主机安全测评1.主机按照其规模或系统功能来区分,可分为巨型、大型、中型、小型、微型计算机和单片机2.主机安全是由操作系统自身安全配置、相关安全软件以及第三方安全设备等来实现,主机测评则是依据基本要求对主机安全进行符合性检查3.目前运行在主机上流行的操作系统有 windows linux sun_solaris ibm_aix hp_ux测评准备工作很重要1.信息收集服务器的设备名称、型号、所属网络区域、操作系统版本、IP、安装应用软件的名称、主要业务应用、涉及数据、是否热备、重要程度、责任部门信息收集的原则重要!~完整性原则重要性原则安全性原则共享性原则代表性原则2.测评指导书准备根据信息收集的内容、结合主机所属等级、编写测评指导书身份鉴别访问控制安全审计剩余信息保护入侵防范恶意代码防范系统资源控制备份与恢复身份鉴别 6项a 应对登录操作系统和数据库系统的用户进行身份标识和鉴别b 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令有复杂度要求并要求定期更换c 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施d 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听e 为操作系统和数据库的不同用户分配不同的用户名,确保用户名具有唯一性f 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别身份鉴别共有6个检查项1.身份的标识2.密码口令的复杂度设置3.登录失败的处理4.远程管理的传输模式5.用户名的唯一性6.身份组合鉴别技术什么是双因子鉴别重要!~个人所知道的信息个人所持有的物品个人的生理特征个人的行为特征访问控制 7个检查项1.对系统的访问控制功能2.管理用户的角色分配3.操作系统和数据库系统管理员的权限分离4.默认用户的访问权限5.账户的清理6.重要信息资源的敏感标记设置7.对有敏感标记信息资源的访问和控制安全审计 6个检查项1.审计范围2.审计的事件3.审计记录格式4.审计报表得生成5.审计进程保护6.审计记录的保护剩余信息保护 2项1.鉴别信息清空2.文件记录等的清空入侵防范 3项1.入侵行为的记录和报警2.重要文件的完整性保护3.最小安装原则恶意代码防范1.安装防恶意代码软件2.主机的防恶意代码库和网络防恶意代码库的差别3.防恶意代码软件的统一管理除了安装防病毒软件还有什么能解决重要!~1安全补丁管理平台2防火墙3入侵检测系统4对系统和数据进行尝备份系统资源控制 5项1.应通过设定终端接入方式、网络地址范围等条件限制终端登录。
等保考试初级技术解答题汇总
关键点网络安全测评1)结构安全●应该保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;●应该保证网络的各个部分的带宽满足业务高峰期需要;●应在业务终端与服务器之间进行路由控制,简历安全的访问路径;●绘制与当前运行状况相符合的网络拓扑结构图;●根据各个部门工作智能,重要性和所涉及信息的重要程度等一些因素,划分不同的子网或者网段,并按照方便管理和控制的原则为各子网,网段分配地址段;●避免将重要的网段不是在网络边界处且直接连接到外部信息系统,重要网段与其他网段之间采取可靠的技术手段隔离;●按照对业务的重要次序来指定带宽的分配优先级别,保证在网络发生拥堵时优先保护重要主机;2)边界完整性检查●能够应对非授权的设备私自连接到内部网络的行为进行检查,能够做到准确定位,并能够对其进行有效阻断;●应该能够对内部网络用户私自连接到外部网络的行为进行检查,能够做到准确定位,并对其进行有效的阻断;3)入侵防范●应该在网络边界处监视以下行为的攻击:端口扫描,强力攻击,木马后门攻击,拒绝服务攻击,缓冲区溢出攻击,IP碎片攻击和网络蠕虫攻击●当检测到攻击行为时,能够记录攻击源IP,攻击类型,攻击目的,攻击时间,在发生严重入侵事件时应该提供报警;4)恶意代码防范●应该在网络边界处对恶意代码进行检查和清除;●维护恶意代码库的升级和检测系统升级;5)访问控制●应在网络边界部署访问控制设备,启用访问控制功能;●应能根据会话状态的信息为数据流提供明确的允许/拒绝访问的能力,控制力度为端口级;●应对进出网络的信息内容进行过滤,实现对应用层HTTP,FTP,TELNET,SMTP,POP3等协议命令级的控制;●应该在会话处于非活跃一段时间后自动终止连接;●应该限制网络最大流量数及网络连接数;●重要网络应该采取技术手段防止地址欺骗;●应该按照用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;●应该限制具有拨号访问权限的用户数量;6)安全审计●应对网络系统中的网络设备运行状况,网络流量,用户行为等进行日志记录;●审计记录应该包括:事件的日期和时间,用户,事件类型,事件是否成功等相关信息;●应能够根据记录数据进行分析,并生成审计报表;●应对审计记录进行保护,避免受到未预期的删除,修改或者覆盖;7)网络设备保护●应该对登录网络设备的用户进行身份鉴别;●应对网络设备的管理员登录地址进行限制;●网络设备用户的表示应该唯一;●主要网络设备应对同一用户选择两种或者两种以上组合鉴别技术来进行身份鉴别;●身份鉴别信息应该具有不易被冒用的特点,口令应该具有复杂度要求并且定期更换;●应该具有登录失败处理的能力,可采取结束会话,限制非法登录次数和当网络登录连接超时的时候自动退出等措施;●当网络设备进行远程管理时,应该采取必要措施防止鉴别信息在网络传输的过程中被窃听;●应该实现设备特权用户的权限分离;主机安全测评1)身份鉴别●应对登录操作系统和数据库系统的用户进行身份表示和鉴别;●操作系统和数据库系统管理用户身份鉴别信息应该具有不易被冒用的特点,口令应该具有复杂度要求并且定期更换;●启用登录失败处理功能,可采取结束会话,限制非法登录次数和自动退出等措施;●当对服务器进行远程管理时,应该采取必要措施,防止信息在网络传输过程中被窃听;●应为操作系统和数据库的不同用户分配不同的用户名,确保用户名具有唯一性;●应采取两种或者两种以上的认证对管理员用户进行鉴别;2)访问控制●实现操作系统和数据库系统特权用户的权限分离;●应该启用访问控制功能,依据安全策略控制用户对资源的访问;●应该严格限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令;●及时删除多余的,过期的账户,避免共享账户的存在;●应对重要的资源设置敏感标记;●应该根据安全策略严格控制用户对有敏感标记重要信息资源的操作;3)安全审计●审计范围应覆盖到服务器和重要客户端上的每个操作系统和数据库用户;●审计内容应该包括重要的用户行为,系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;●审计的记录应该包括时间的日期,时间,类型。
等级测评师初级技术试题
等级测评师初级技术试题1、⼆级中,应根据会话状态信息数为数据流提供明确的允许或拒绝访问能⼒,控制粒度为⽹段级。
(√,三级的控制粒度是端⼝级)2、三级中,在应⽤层⾯要求对主体和客体进⾏安全标记。
(√,三级要求强制访问控制)3、三级中,MS sql server 的审核级别应为“⽆”。
(×,是“全部”)4、按三级要求,应对⾮法接⼊客户端进⾏检查、定位。
2.按三级要求,并对重要数据、鉴别信息等实现存储保密性。
3.sybase数据库中,未启⽤xxx则不具备审计功能4.oracle数据库不能对密码进⾏复杂度进⾏设置错5.windows 的power users组具有对事件⽇志的删除权限错1、双因⼦鉴别不仅要求访问者知道⼀些鉴别信息,还需要访问者拥有鉴别特征。
(√)1、动态路由是⽹络管理员⼿⼯配置的路由信息,也可由路器⾃动地建⽴并且能够根据实际情况的变化适时地进⾏调整。
(×)2、星型⽹络拓扑结构中,对中⼼设备的性能要求⽐较⾼。
(√)3、访问控制就是防⽌未授权⽤户访问系统资源。
(√)4、考虑到经济成本,在机房安装过录像监控之后,可不再布置报警系统。
(×)5、审计⽇志的主要功能是可以对安全事件进⾏追踪和发现⼊侵⾏为降低安全事件的发⽣。
(√)6、在三级信息系统中,每个系统默认账户和⼝令原则上都是要进⾏修改的(√)7、剩余信息保护是三级系统⽐⼆级系统新增内容。
(√)8、权限如果分配不合理,有可能会造成安全事件⽆从查找。
(√)9、三级信息系统中,为了数据的完整性,我们可以采⽤CRC的校验码措施(×)10、在进⾏信息安全测试中,我们⼀般不需要⾃⼰动⼿进⾏测试。
(√)2、⼝令复杂度应有要求,所以复杂的⼝令可以不⽤修改。
( X )3、为特权⽤户设置⼝令时,应当使⽤enablepassword命令,该命令⽤于设定具有管理权限的⼝令。
( X )4、在SSL握⼿信息中,采⽤了RSA、MD5等加密技术来实现机密性和数据完整性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全审计SQL的检查方法1、在“企业管理器=》右键单击注册名称=》单击:“属性”=》安全性,查看每个注册的“审核级别”是否为“全部”2、询问数据库管理员,是否采取第三方工具或其他措施增强SQL Server的日志功能。
3、用不同的用户登录数据库系统并进行不同的操作,在SQL SERVER数据库中查看日志记录。
ORACLE的检查方法Select value from v$parameter where name='audit_trail'Show parmeter audit_trail查看是否开启审计功能Show parameter audit audit_sys_operations查看是否对所有sys用户的操作进行了记录Select sel,uqd,del,ins from dba_obj_audit_opts,查看是否对sel,upd,del,ins操作进行了审计Select*from dba_stmt_audit_opts,查看审计是否设置成功Select*from dba_priv_audit_opts查看权限审计选项审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。
用户可以通过alter system set audit_trail=none并重启实例关闭审计功能,查看是否成功Sp_config'remote login timeout(s);,查看是否设置了超时时间查看空闲超时设置,select limit from dba_profiles where profile='DEFAULT and resource_name='IDLE_TIME'.应限制单个用户对系统资源的最大或最小使用限度。
ORACLE的检查方法Select username,profile from dba_users确定用户使用的profile,针对指定用户的profile,查看其限制(以default为例)。
Select limit from dba_profiles where profile='DEFAULT'and resource_name='CPU_PER_USER',查看是否对每个用户所允许的并行会话数进行了限制。
Select limit from dba_profiles where profile='DEFAULT'and resource_name='CPU_PER_SESSION',查看是否对一个会话可以使用的CPU时间进行了限制。
Select limit from dba_profiles where profile='DEFAULT'and resource_name='CPU_PER_IDLE_TIME',查看是否对允许空闲会话的时间进行了限制。
备份与恢复应用和数据库应提供数据本地备份与恢复功能,完全数据备份至少每天一次备份介质场外存储考试要点1.应用系统的特点a测评范围较广和数据库、操作系统等成熟产品不同,应用系统现场测评除检查安全配置外,还需验证其安全功能是否正确b测评中不确定因素较多,测评较为困难需根据业务和数据流程确定测评重点和范围应用系统安全漏洞发现困难,很难消除代码级的安全隐患c测评结果分析较为困难应用系统与平台软件,如Web平台、操作系统、数据库系统、网络等都存在关联关系2.应用系统的测评方法a通过访谈,了解安全措施的实施情况和其他成熟产品不同,应用系统只有在充分了解其部署情况和业务流程后,才能明确测评的范围和对象,分析其系统的脆弱性和面临的主要安全威胁,有针对性的进行测评b通过检查,查看其是否进行了正确的配置有的安全功能(如口令长度限制、错误登录尝试次数等)需要在应用系统上进行配置,则查看其是否进行了正确的配置,与安全策略是否一致。
无需进行配置的,则应查看其部署情况是否与访谈一致。
c如果条件允许,需进行测试可通过测试验证安全功能是否正确,配置是否生效。
代码级的安全漏洞在现场查验比较困难,则可进行漏洞扫描和渗透测试,如果条件允许,则可进行代码白盒测试。
3.应用系统难理解的地方4.应用系统如何测评a身份鉴别应提供专用的登录控制模块对登录用户进行身份标识和鉴别;应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
条款理解三级或三级以上系统要求必须提供两种(两次口令鉴别不属于两种鉴别技术)或两种以上组合的鉴别技术进行身份鉴别,在身份鉴别强度上有了更大的提高。
检查方法询问系统管理员,了解身份鉴别措施的部署和实施情况。
根据了解的情况,检查应用系统是否按照策略要求进行了相应的配置,在条件允许的情况下,验证功能(包括应用口令暴力破解等测试手段)是否正确。
b访问控制要求项应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;应具有对重要信息资源设置敏感标记的功能;应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
条款理解三级系统要求访问控制的粒度达到文件、数据库表级,权限之间具有制约关系(如三权分离,管理、审计和操作权限),并利用敏感标记控制用户对重要信息资源的操作。
检查方法询问系统管理员,了解访问控制措施的部署和实施情况。
根据了解的情况,检查应用系统是否按照策略要求进行了相应的配置,在条件允许的情况下,验证功能是否正确。
c安全审计要求项应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。
条款理解三级系统强调对每个用户的重要操作进行审计,重要操作一般包括登录/退出、改变访问控制策略、增加/删除用户、改变用户权限和增加/删除/查询数据等。
检查方法询问系统管理员,了解安全审计措施的部署和实施情况。
重点检查应用系统是否对每个用户的重要操作进行了审计,同时可通过进行一些操作,查看应用系统是否进行了正确的审计。
c剩余信息保护要求项应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。
条款理解该项要求是为了防止某个用户非授权获取其他用户的鉴别信息、文件、目录和数据库记录等资源,应用系统应加强内存和其他资源管理。
检查方法询问系统管理员,了解剩余信息保护方面采取的措施。
根据了解的情况,测试其采取的措施是否有效,如以某个用户进行操作,操作完成退出系统后系统是否保留有未被删除的文件等。
d通信完整性要求项应采用密码技术保证通信过程中数据的完整性。
条款理解该项要求强调采取密码技术来保证通信过程中的数据完整性,普通加密技术无法保证密件在传输过程中不被替换,还需利用Hash函数(如MD5、SHA和MAC)用于完整性校验,但不能利用CRC生成的校验码来进行完整性校验。
检查方法询问系统管理员,了解通信完整性方面采取的措施。
可通过查看文档或源代码等方法来验证措施是否落实。
e通信保密性要求项在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;应对通信过程中的整个报文或会话过程进行加密。
条款理解该项要求强调整个报文或会话过程进行加密,同时,如果在加密隧道建立之前需要传递密码等信息,则应采取密码技术来保证这些信息的安全。
检查方法询问系统管理员,了解通信保密性方面采取的措施,分析其会话初始化过程是否安全。
可通过抓包工具(如Sniffer pro)获取通信双方的内容,查看系统是否对通信双方的内容进行了加密。
F抗抵赖要求项应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能;应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。
条款理解该项要求强调应用系统提供抗抵赖措施(如数字签名),从而保证发送和接收方都是真实存在的用户。
检查方法询问系统管理员,了解抗抵赖方面采取的措施。
可通过查看文档或源代码等方法来验证措施是否落实。
g软件容错要求项应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。
条款理解为了防止SQL注入等攻击,软件应对用户输入数据的长度和格式等进行限制。
检查方法询问系统管理员,了解软件容错方面采取的措施。
可通过查看文档或源代码等方法来验证措施是否落实,并在界面上输入超过长度或不符合要求格式(如hi’or1=1--)的数据,验证其功能是否正确。
h资源控制要求项当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;应能够对系统的最大并发会话连接数进行限制;应能够对单个帐户的多重并发会话进行限制;应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额;应能够对系统服务水平降低到预先规定的最小值进行检测和报警;应提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。
条款理解资源控制是为了保证大多数用户能够正常的使用资源,防止服务中断,应用系统应采取限制最大并发连接数、请求帐户的最大资源限制等措施。
检查方法询问系统管理员,了解资源控制措施的部署和实施情况。
根据了解的情况,检查应用系统是否配备了相应的功能,在条件允许的情况下,验证功能是否正确i数据完整性要求项应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。
条款理解该项要求强调不仅要保证管理数据、鉴别信息和重要业务数据传输数据的完整性,而且要保证存储过程中的完整性并且在检测到完整性受到破坏时采取恢复措施。