等保考試初級技術(shù)解答題匯總

1、關(guān)鍵點網(wǎng)絡(luò)安全測評1) 結(jié)構(gòu)安全應(yīng)該保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要； 應(yīng)該保證網(wǎng)絡(luò)的各個部分的帶寬滿足業(yè)務(wù)高峰期需要；應(yīng)在業(yè)務(wù)終端與服務(wù)器之間進行路由控制，簡歷安全的訪問路徑； 繪制與當(dāng)前運行狀況相符合的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；根據(jù)各個部門工作智能，重要性和所涉及信息的重要程度等一些因素，劃分不同的子網(wǎng)或者網(wǎng)段，并按照方 便管理和控制的原則為各子網(wǎng)，網(wǎng)段分配地址段；避免將重要的網(wǎng)段不是在網(wǎng)絡(luò)邊界處且直接連接到外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù) 手段隔離；按照對業(yè)務(wù)的重要次序來指定帶寬的分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵時優(yōu)先保護重要主機；2) 邊界完整性檢

2、查能夠應(yīng)對非授權(quán)的設(shè)備私自連接到內(nèi)部網(wǎng)絡(luò)的行為進行檢查，能夠做到準(zhǔn)確定位，并能夠?qū)ζ溥M行有效阻斷；應(yīng)該能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自連接到外部網(wǎng)絡(luò)的行為進行檢查，能夠做到準(zhǔn)確定位，并對其進行有效的阻斷；3) 入侵防范應(yīng)該在網(wǎng)絡(luò)邊界處監(jiān)視以下行為的攻擊：端口掃描，強力攻擊，木馬后門攻擊，拒絕服務(wù)攻擊，緩沖區(qū)溢出攻擊， IP 碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊當(dāng)檢測到攻擊行為時，能夠記錄攻擊源IP ，攻擊類型，攻擊目的，攻擊時間，在發(fā)生嚴(yán)重入侵事件時應(yīng)該提供報警；4) 惡意代碼防范應(yīng)該在網(wǎng)絡(luò)邊界處對惡意代碼進行檢查和清除； 維護惡意代碼庫的升級和檢測系統(tǒng)升級；5) 訪問控制應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功

3、能；應(yīng)能根據(jù)會話狀態(tài)的信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制力度為端口級；應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTP, SMTP POP3?協(xié)議命令級的控制；應(yīng)該在會話處于非活躍一段時間后自動終止連接；應(yīng)該限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)； 重要網(wǎng)絡(luò)應(yīng)該采取技術(shù)手段防止地址欺騙；應(yīng)該按照用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用 戶；應(yīng)該限制具有撥號訪問權(quán)限的用戶數(shù)量；6) 安全審計應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況，網(wǎng)絡(luò)流量，用戶行為等進行日志記錄； 審計記錄應(yīng)該包括：事件的日期和時間，用戶，事件類型，事件是否成功等相關(guān)信息；應(yīng)能

4、夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表； 應(yīng)對審計記錄進行保護，避免受到未預(yù)期的刪除，修改或者覆蓋；7) 網(wǎng)絡(luò)設(shè)備保護應(yīng)該對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別； 應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制；網(wǎng)絡(luò)設(shè)備用戶的表示應(yīng)該唯一； 主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或者兩種以上組合鑒別技術(shù)來進行身份鑒別；身份鑒別信息應(yīng)該具有不易被冒用的特點，口令應(yīng)該具有復(fù)雜度要求并且定期更換； 應(yīng)該具有登錄失敗處理的能力，可采取結(jié)束會話，限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時的時候自動退出等措施； 當(dāng)網(wǎng)絡(luò)設(shè)備進行遠程管理時，應(yīng)該采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸?shù)倪^程中被竊聽；應(yīng)該實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離；主機安全測

5、評1) 身份鑒別應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份表示和鑒別； 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份鑒別信息應(yīng)該具有不易被冒用的特點，口令應(yīng)該具有復(fù)雜度要求并且定 期更換；啟用登錄失敗處理功能，可采取結(jié)束會話，限制非法登錄次數(shù)和自動退出等措施； 當(dāng)對服務(wù)器進行遠程管理時，應(yīng)該采取必要措施，防止信息在網(wǎng)絡(luò)傳輸過程中被竊聽；應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫的不同用戶分配不同的用戶名，確保用戶名具有唯一性；應(yīng)采取兩種或者兩種以上的認(rèn)證對管理員用戶進行鑒別；2) 訪問控制實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；應(yīng)該啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；應(yīng)該嚴(yán)格限制默認(rèn)賬戶的訪問權(quán)限，重命名系

6、統(tǒng)默認(rèn)賬戶，修改這些賬戶的默認(rèn)口令；及時刪除多余的，過期的賬戶，避免共享賬戶的存在；應(yīng)對重要的資源設(shè)置敏感標(biāo)記；應(yīng)該根據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作；3) 安全審計審計范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)和數(shù)據(jù)庫用戶；審計內(nèi)容應(yīng)該包括重要的用戶行為，系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；審計的記錄應(yīng)該包括時間的日期，時間，類型。主體標(biāo)識，客體標(biāo)識和結(jié)果等；應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行數(shù)據(jù)分析，并生成審計報表；應(yīng)保護審計進程，避免受到未預(yù)期的中斷；應(yīng)該保護審計記錄，避免受到未預(yù)期的刪除，修改和覆蓋等；4) 剩余信息保護應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系

7、統(tǒng)用骨灰的鑒別信息所在的存儲空間，被釋放活再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是存在內(nèi)存中；應(yīng)確保系統(tǒng)內(nèi)的文件，目錄和數(shù)據(jù)庫記錄等資源所在存儲空間，被釋放活重新分配給其他用戶前得到完全清楚；5) 入侵防范應(yīng)該能夠檢測到對重要服務(wù)器進行入侵的行為，能夠記錄入侵的源IP ，攻擊的類型，目的，時間，并在發(fā)生嚴(yán)重入侵事件時提供報警；能夠?qū)χ匾绦虻耐暾赃M行檢測，并在檢測到完整性收到破壞后具有恢復(fù)措施；操作系統(tǒng)應(yīng)該遵循最小安裝原則，僅僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新；6) 惡意代碼防范應(yīng)安裝防范惡意代碼的軟件，并及時更新防范惡意代碼

8、軟件版本和惡意代碼庫；主機防范惡意代碼庫產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫；應(yīng)支持防惡意代碼的同意管理；7) 資源控制通過設(shè)置終端接入方式，網(wǎng)絡(luò)地址范圍等條件限制終端登錄；應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定；應(yīng)對重要服務(wù)器進行監(jiān)視，包括監(jiān)視服務(wù)器的CPU硬盤，內(nèi)存，網(wǎng)絡(luò)等資源的使用情況；應(yīng)該限制單一用戶對系統(tǒng)資源的最大或最小使用限度；應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進行檢測和報警；應(yīng)用安全測評1) 身份鑒別應(yīng)提供專用的登錄控制模塊對登錄用戶進行身邊標(biāo)記和鑒別；應(yīng)對同一個用戶采用兩種或者兩種以上組合的鑒別技術(shù)實現(xiàn)用書身份鑒別；應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢

9、查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識，身份鑒別信息應(yīng)該不易被冒用；應(yīng)能夠提供登錄失敗的處理功能，可采取結(jié)束會話，限制非法登錄次數(shù)和自動退出等措施；應(yīng)用身份鑒別，用戶身份標(biāo)識唯一性檢查，用戶身份鑒別信息復(fù)雜度檢查，以及登錄失敗處理能力，并根據(jù)安全策略配置相關(guān)參數(shù)；2) 訪問控制應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文件，數(shù)據(jù)庫表等客體的訪問；訪問控制的覆蓋范圍應(yīng)該包括與資源訪問相關(guān)的注意，客體以及他們之間的操作；應(yīng)該由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)賬戶的訪問權(quán)限；應(yīng)授予不同賬戶為完成各自承擔(dān)任務(wù)所需要的最小權(quán)限，并在他們之間形成相互制約的關(guān)系；應(yīng)具有對重要信息戲院設(shè)置敏感標(biāo)

10、記的功能；應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作；3) 安全審計應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全時間進行審計；應(yīng)保證無法單獨終端審計進程，無法刪除，修改或者覆蓋審計記錄；審計的記錄應(yīng)該包括時間的日期，時間，類型。主體標(biāo)識，客體標(biāo)識和結(jié)果等；應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行數(shù)據(jù)分析，并生成審計報表；4) 剩余信息的保護 應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用骨灰的鑒別信息所在的存儲空間，被釋放活再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是存在內(nèi)存中；應(yīng)確保系統(tǒng)內(nèi)的文件，目錄和數(shù)據(jù)庫記錄等資源所在存儲空間，被釋放活重新分配給其他用戶前得到完全清楚；5) 通信完

11、整性 應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性；6) 通信的保密性在通信雙方簡歷連接之前，應(yīng)用系統(tǒng)應(yīng)該利用密碼技術(shù)進行會話的初始化驗證；應(yīng)對通信過程中的整個報文活會話過程進行加密；7) 抗抵賴應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或者接收者提供數(shù)據(jù)原發(fā)者證據(jù)的功能；應(yīng)具有在請求情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能；8) 軟件容錯 應(yīng)提供數(shù)據(jù)有效性校驗功能，保證通過人機接口或者通過通信接口輸入的數(shù)據(jù)格式或者長度符合系統(tǒng)設(shè)定要求；應(yīng)該提供自我保護功能，當(dāng)故障發(fā)生時自動保護當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進行恢復(fù)；9) 資源控制當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未做任何響應(yīng)，另一方能夠自動結(jié)束

12、會話；應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)連接數(shù)進行限制； 應(yīng)能夠?qū)蝹€賬戶的多重并發(fā)會話進行限制；應(yīng)能夠?qū)σ粋€時間段內(nèi)可能的并發(fā)會話書進行限制；能夠?qū)σ粋€訪問賬戶或者一個請求進程占用的資源分配最大限額和最小限額進行控制；應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進行檢測和報警；數(shù)據(jù)安全測評1、數(shù)據(jù)完整性應(yīng)能夠檢測系統(tǒng)管理數(shù)據(jù)，鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性是否受到破壞，并在檢測到完整性 錯誤時采取必要的恢復(fù)機制；應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)，鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程中完整性是否收到破壞，并在檢測到破壞的時候能夠采取必要的恢復(fù)措施；2、數(shù)據(jù)保密性應(yīng)采用加密或者其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)，鑒別

13、信息和重要業(yè)務(wù)數(shù)據(jù)傳輸?shù)谋Ｃ苄?；?yīng)采用加密或者其他有效措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)，鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲的保密性；3、備份和恢復(fù)應(yīng)提供本地數(shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放；應(yīng)提供數(shù)據(jù)異地備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地；應(yīng)采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點存在單點故障；應(yīng)提供主要網(wǎng)絡(luò)設(shè)備，通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性；1、 基本要求，在應(yīng)用安全層面的訪問控制要求中，三級系統(tǒng)較二級系統(tǒng)增加的措施有哪些？答：三級比二級增加的要求項有：應(yīng)提供對 重要信息資源設(shè)置 敏感標(biāo)記 的功能；應(yīng)按照安全策略嚴(yán)格控制 用戶對有敏感標(biāo)

14、記重要信息資源的訪問 。2、在主機測試前期調(diào)研活動中，收集信息的內(nèi)容(至少寫出六項)？在選擇主機測評對象時應(yīng)該注意哪些要點？答：至少需要收集服務(wù)器主機的設(shè)備名稱、型號、所屬網(wǎng)絡(luò)區(qū)域、操作系統(tǒng)版本、IP 地址、安裝的應(yīng)用軟件名稱、主要業(yè)務(wù)應(yīng)用、涉及數(shù)據(jù)、是否熱備、重要程度、責(zé)任部門。測評對象選擇時應(yīng)該注意重要性、代表性、完整性、安全性、共享性五大原則。3、 基本要求中，對于三級信息系統(tǒng)，網(wǎng)絡(luò)安全層面應(yīng)采取哪些安全技術(shù)措施?答：網(wǎng)絡(luò)層面需要考慮結(jié)構(gòu)安全、訪問控制、安全審計、邊界完整性、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護、數(shù)據(jù)備份與恢復(fù)。4、主機按照其規(guī)?；蛳到y(tǒng)功能來區(qū)分為哪些類？主機安全在測評時

15、會遇到哪些類型操作系統(tǒng)？網(wǎng)絡(luò)安全三級信息系統(tǒng)的安全子類是什么？三級網(wǎng)絡(luò)安全的安全審計內(nèi)容是什么？答：1、巨型、大型、中型、小型、微型計算機及單片機。2、Windows Linux,Sun Solaris,IBM AIX,HP-UX等等。3、結(jié)構(gòu)安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護。4、a、應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄。b、審計記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。c、應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表。d、應(yīng)對審計記錄進行保護、避免受到未預(yù)期的刪除、修改或覆蓋等。

16、5、數(shù)據(jù)庫常見威脅有哪些？答：非授權(quán)訪問、特權(quán)提升、SQL注入、針對漏洞進行攻擊、繞過訪問控制進行非授權(quán)訪問等。6、回答工具測試接入點的原則，及注意事項？答：工具測試接入點的原則 ：首要原則是不影響目標(biāo)系統(tǒng)正常運行的前提下嚴(yán)格按照方案選定范圍進行測試。1）由低級別系統(tǒng)向高級別系統(tǒng)探測；2）同一系統(tǒng)同等重要程度功能區(qū)域之間要相互探測；3）有較低重要程度區(qū)域向較高重要程度區(qū)域探測；4）由外鏈接口向系統(tǒng)內(nèi)部探測；5）跨網(wǎng)絡(luò)隔離設(shè)備（包括網(wǎng)絡(luò)設(shè)備和安全設(shè)備）要分段探測。注意事項:1） 工具測試介入測試設(shè)備之前，首先要有被測系統(tǒng)人員確定測試條件是否具備。測試條件包括被測網(wǎng)絡(luò)設(shè)備、主機、安全設(shè)備等是否都在

17、正常運行，測試時間段是否為可測試時間段，等等。2） 接入系統(tǒng)的設(shè)備、工具的ip 地址等配置要經(jīng)過被測系統(tǒng)相關(guān)人員確認(rèn)。3）對于測試過程中可能造成的對目標(biāo)系統(tǒng)的網(wǎng)絡(luò)流量及主機性能方面的影響（例如口令探測可能會造成的賬號鎖定等情況），要事先告知被測系統(tǒng)相關(guān)人員。4） 對于測試過程中的關(guān)鍵步驟、重要證據(jù)，要及時利用抓圖等取證。5） 對于測試過程中出現(xiàn)的異常情況（服務(wù)器出現(xiàn)故障、網(wǎng)絡(luò)中斷）要及時記錄。6）測試結(jié)束后，需要被測方人員確認(rèn)被測系統(tǒng)狀態(tài)正常并簽字后退場。7、采取什么措施可以幫助檢測到入侵行為？答：部署IDS/IPS ,使用主機防火墻（軟件）、硬件防火墻、在路由交換設(shè)備上設(shè)置策略、采用審計設(shè)備

18、等。8、請根據(jù)基本要求中對于主機的相關(guān)要求，按照你的理解，寫出由問題可能導(dǎo)致的安全風(fēng)險，并給出相應(yīng)的解決方案?；蚪o出一張（主機測評）檢查表，有8 條不符合項目，請結(jié)合等級保護要求，及你的理解，描述存在的風(fēng)險，并給出解決建議。解決方案及分析略。9、主機常見測評的問題1、檢測用戶的安全防范意識，檢查主機的管理文檔（弱口令、安全配置文檔）2、網(wǎng)絡(luò)服務(wù)的配置（不能有過多的網(wǎng)絡(luò)服務(wù)，防ping ）3、安裝有漏洞的軟件包（安裝過時的軟件包）4、缺省配置（口令缺省配置，可能被人錄用）5、不打補丁或補丁不全（以沒有通過測試等為由拒絕補丁的安裝）6、網(wǎng)絡(luò)安全敏感信息的泄露（.net 服務(wù)、 database 命

19、令，最小原則下，這些命令是禁用的）7、缺乏安全防范體系（防病毒體系不健全、linux 沒有成熟的軟件，按要求也是要有的記錄）8、信息資產(chǎn)的不明，缺乏分類的處理（如一臺服務(wù)器不知道干什么用的，上面有很多服務(wù)）9、安全管理信息單一、缺乏統(tǒng)一的分析和管理平臺（安全管理平臺，補丁升級平臺，防病毒平臺等10、重技術(shù)，輕管理。10、信息安全等級保護的五個標(biāo)準(zhǔn)步驟是什么？信息安全等級保護的定義是什么？信息安全等級保護五個等級是怎樣定義的？（10 分）（ 1）信息系統(tǒng)定級、備案、安全建設(shè)整改、等級測評、監(jiān)督檢查。（ 2）對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的系統(tǒng)

20、分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。（答出三個分等級即可）（ 3）公民、法人和其他組織的、國家安全、社會秩序和公共利益。12、入侵檢測系統(tǒng)分為哪幾種，各有什么特點？（10 分）答：主機型入侵檢測系統(tǒng)（HIDS） ，網(wǎng)絡(luò)型入侵檢測系統(tǒng)（NIDS） 。HIDS一般部署在下述四種情況下：1）網(wǎng)絡(luò)帶寬高太高無法進行網(wǎng)絡(luò)監(jiān)控2）網(wǎng)絡(luò)帶寬太低不能承受網(wǎng)絡(luò)IDS 的開銷3）網(wǎng)絡(luò)環(huán)境是高度交換且交換機上沒有鏡像端口4）不需要廣泛的入侵檢測HIDS往往以系統(tǒng)日志、應(yīng)用程序日志作為數(shù)據(jù)源；檢測主機上的命令序列比檢測網(wǎng)絡(luò)流更簡單，系統(tǒng)的復(fù)

21、雜性也少得多，所以主機檢測系統(tǒng)誤報率比網(wǎng)絡(luò)入侵檢測系統(tǒng)的誤報率要低；他除了檢測自身的主機以外，根本不檢測網(wǎng)絡(luò)上的情況，而且對入侵行為分析的工作量將隨著主機數(shù)量的增加而增加，因此全面部署主機入侵檢測系統(tǒng)代價比較大，企業(yè)很難將所有主機用主機入侵檢測系統(tǒng)保護，只能選擇部分主機進行保護，那些未安裝主機入侵檢測系統(tǒng)的機器將成為保護的忙點，入侵者可利用這些機器達到攻擊的目標(biāo)。依賴于服務(wù)器固有的日志和監(jiān)視能力，。如果服務(wù)器上沒有配置日志功能，則必須重新配置，這將給運行中的業(yè)務(wù)系統(tǒng)帶來不可預(yù)見的性能影響。NIDS一般部署在比較重要的網(wǎng)段內(nèi)，它不需要改變服務(wù)器等主機的配置，由于他不會在業(yè)務(wù)系統(tǒng)的主機中安裝額外的

22、軟件，從而不會影響這些機器的CPU、 I/O 與磁盤等資源的使用，不會影響業(yè)務(wù)系統(tǒng)的性能。NIDS的數(shù)據(jù)源是網(wǎng)絡(luò)上的數(shù)據(jù)包。通過線路竊聽的手段對捕獲的網(wǎng)絡(luò)分組進行處理，從中獲取有用的信息。一個網(wǎng)段上只需要安裝一個或幾個這樣的系統(tǒng)，便可以檢測整個網(wǎng)絡(luò)的情況，比較容易實現(xiàn)。由于現(xiàn)在網(wǎng)絡(luò)的日趨復(fù)雜和高速網(wǎng)絡(luò)的普及，這種結(jié)構(gòu)正接受者越來越大的挑戰(zhàn)。13、訪問控制的三要素是什么？按訪問控制策略劃分，可分為哪幾類？按層面劃分，可分為哪幾類？（10 分）答：訪問控制的三要素是：主體，客體，操作。按訪問控制策略劃分可分為:按層面劃分分可分為：1）自主訪問控制1）網(wǎng)絡(luò)訪問控制2）強制訪問控制2）主機訪問控制3）

23、基于角色的訪問控制。3）應(yīng)用訪問控制4）物理訪問控制14、安全審計按對象不同，可分為哪些類？各類審計的內(nèi)容又是什么？（12 分）答：系統(tǒng)級審計，應(yīng)用級審計，用戶級審計。系統(tǒng)級審計：要求至少能夠記錄登陸結(jié)果、登錄標(biāo)識、登陸嘗試的日期和時間、退出的日期和時間、所使用的設(shè)備、登陸后運行的內(nèi)容、修改配置文件的請求等。應(yīng)用級審計：跟蹤監(jiān)控和記錄諸如打開和關(guān)閉數(shù)據(jù)文件，讀取、編輯和刪除記錄或字段的特定操作以及打印報告之類的用戶活動。用戶級審計：跟蹤通常記錄用戶直接啟動的所有命令、所有的標(biāo)識和鑒別嘗試的所有訪問的文件和資源。15、身份認(rèn)證的信息主要有哪幾類？并每項列舉不少于2 個的事例。答：身份認(rèn)證的信息可

24、分為以下幾類：1）用戶知道的信息，如個人標(biāo)識、口令等。2）用戶所持有的證件，如門卡、智能卡、硬件令牌等。3）用戶所特有的特征，指紋、虹膜、視網(wǎng)膜掃描結(jié)果等。4）用戶所特有的行為特征，如語音識別、筆記等。16、數(shù)字證書的含義，分類和主要用途，所采用的密碼體制？答： 1）數(shù)字證書是由認(rèn)證中心生成并經(jīng)認(rèn)證中心數(shù)字簽名的，標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用來在網(wǎng)絡(luò)通信中識別通信各方的身份。2）從證書的用途來看，數(shù)字證書可分為簽名證書和加密證書。3）簽名證書主要用于對用戶信息進行簽名，以保證信息的不可否認(rèn)性；加密證書主要用于對用戶傳送信息進行加密，以保證信息的真實性和完整性。4）數(shù)字證書采用非對稱密鑰

25、體制。即利用一對互相匹配的私鑰/ 公鑰進行加密、解密。其中私鑰用于進行解密和簽名；公鑰用于加密和驗證簽名。17、試解釋SQL注入攻擊的原理，以及它產(chǎn)生的不利影響。答：SQLS入攻擊的原理是從客戶端提交特殊的代碼，Web應(yīng)用程序如果沒做嚴(yán)格的檢查就將其形成SQL命令發(fā)送給數(shù)據(jù)庫，從數(shù)據(jù)庫返回的信息中，攻擊者可以獲得程序及服務(wù)器的信息，從而進一步獲得其他資料。SQLtt入攻擊可以獲取WetS用程序和數(shù)據(jù)庫系統(tǒng)的信息，還可以通過 SQL注入攻擊竊取敏感數(shù)據(jù)，篡改數(shù)據(jù)，破壞數(shù)據(jù)，甚至以數(shù)據(jù)庫系統(tǒng)為橋梁進一步入侵服務(wù)器操作系統(tǒng)，從而帶來更為巨大的破壞。18、入侵威脅有哪幾種？入侵行為有哪幾種？造成入侵威

26、脅的入侵行為主要是哪兩種，各自的含義是什么？答： 1、入侵威脅可分為：2、入侵行為可分為：3、主要入侵行為：1）外部滲透1）物理入侵1）系統(tǒng)入侵2）內(nèi)部滲透2）系統(tǒng)入侵2）遠程入侵3）不法行為3）遠程入侵4、 1）系統(tǒng)入侵是指入侵者在擁有系統(tǒng)的一個低級帳號權(quán)限下進行的破壞活動；2）遠程入侵是指入侵者通過網(wǎng)絡(luò)滲透到一個系統(tǒng)中。19、系統(tǒng)定級的一般流程是什么？答： 1、確定作為定級對象的信息系統(tǒng)；2、確定業(yè)務(wù)信息安全受到破壞時所侵害的客體；根據(jù)不同的受害客體，從各個方面綜合評定業(yè)務(wù)信息安全被破壞對課題的侵害程度。根據(jù)業(yè)務(wù)信息的重要性和受到破壞后的危害性確定業(yè)務(wù)信息安全等級。3、確定系統(tǒng)服務(wù)安全受到

27、破壞時所侵害的客體；根據(jù)不同的受害客體，從各個方面綜合評定系統(tǒng)服務(wù)安全被破壞對課題的侵害程度。根據(jù)系統(tǒng)服務(wù)的重要性和受到破壞后的危害性確定業(yè)務(wù)信息安全等級。4、定級對象的等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級的較高者決定。20、簡述單位、組織的信息安全管理工作如何與公安機關(guān)公共信息網(wǎng)絡(luò)安全檢查部門（公安網(wǎng)監(jiān)部門）相配合。（ 10）答： 單位、組織的信息安全管理工作與公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門之間的配合主要體現(xiàn)在以下方面：（ 1）單位、組織的信息安全管理，必須遵循信息安全法律、法規(guī)對于安全管理職責(zé)、備案、禁止行為、安全管理制度和安全技術(shù)機制要求等方面的內(nèi)容規(guī)定。（ 2）法律、法規(guī)賦予公安

28、機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門對信息安全的監(jiān)管職責(zé)，各單位、組織必須接受和配合公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門的監(jiān)督和檢查。（ 3）在發(fā)生信息安全案件后，單位、組織應(yīng)當(dāng)及時向公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門報案，并在取證和調(diào)查等環(huán)節(jié)給予密切配合。21、國家為什么要實施信息安全等級保護制度答： 1、信息安全形勢嚴(yán)峻1） 來自境內(nèi)外敵對勢力的入侵、攻擊、破壞越來越嚴(yán)重。2） 針對基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的違法犯罪持續(xù)上升。3） 基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全隱患嚴(yán)重。2、維護國家安全的需要1）基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)已成為國家關(guān)鍵基礎(chǔ)設(shè)施。2）信息安全是國家安全的重要組成部分。3）信息安全是非傳統(tǒng)安全，