信息安全與網絡安全管理考試題及參與答案

1、信息安全與網絡安全管理考試題及參與答案1、簡述計算機網絡安全的定義網絡安全是指計算機網絡系統(tǒng)中的硬件、數(shù)據(jù)、程序等不會因為無意或惡意的原因而遭到破壞、篡改、泄露，防止非授權的使用或訪問，系統(tǒng)能夠保持服務的連續(xù)性，以及能夠可靠的運行。2、什么是系統(tǒng)安全政策？安全政策。定義如何配置系統(tǒng)和網絡，如何確保計算機機房和數(shù)據(jù)中心的安全以及如何進行身份鑒別和身份認證。同時，還確定如何進行訪問控制、審計、報告和處理網絡連接、加密和反病毒。還規(guī)定密碼選擇、賬戶到期、登錄嘗試失敗處理等相關領域的程序和步驟。3、如果一個組織（或企業(yè)）的系統(tǒng)安全管理或網絡管理人員，接到人事部門通知被解職，應該按照一般的安全策略執(zhí)行那

2、些安全措施？一個員工離開單位，他的網絡應用賬戶應及時被禁用，他的計算機接入應立即禁止。如果配有便攜筆記本式計算機或其它相關硬件設備，應及時進行收回。同時，在員工離職時，他們的身份驗證工具如：身份卡、硬件令牌、智能卡等都同時收回。無論離職員工何時是否離開，一旦得知該員工即將離職，應對其所能夠接觸到的信息資源（尤其是敏感信息）進行備份處理。因為，一般情形下，員工的離職是一個充滿情緒化的時期，盡管大多數(shù)人不會做出什么過分之舉，但是保證安全總比出了問題再補救要有效。總之，無論是雇傭策略還是雇傭終止策略，都有需要考慮當?shù)氐恼魏头梢蛩?。在制定策略時，應避免出現(xiàn)如性別和種族歧視等違反法律或一般道德規(guī)范的

3、條款。4、簡述計算機網絡攻擊的主要特點。損失巨大。由于攻擊和入侵的對象是網絡上的計算機，所以一旦他們取得成功，就會使網絡中成千上萬臺計算機處于癱瘓狀態(tài)，從而給計算機用戶造成巨大的經濟損失。威脅社會和國家安全。一些計算機網絡攻擊者出于各種目的經常把政府要害部門和軍事部門的計算機作為攻擊目標，從而對社會和國家安全造成威脅。手段多樣，手法隱蔽。計算機攻擊的手段可以說五花八門。以軟件攻擊為主。幾乎所有的網絡入侵都是通過對軟件的截取和攻擊從而破壞整個計算機系統(tǒng)的。5、簡述信息系統(tǒng)風險評估（風險分析）的主要內容。（又稱風險分析）指將可能發(fā)生的安全事件所造成的損失進行定量化估計。如某類安全事件發(fā)生的概率、此

4、類安全事件發(fā)生后對組織的數(shù)據(jù)造成的損失、恢復損失的數(shù)據(jù)需要增加的成本等。一般情況下，只有結束數(shù)據(jù)資產評估后，才能進行風險評估。只有認定具有價值或價值較高的數(shù)據(jù)才有必要進行風險評估。6、簡述比較數(shù)據(jù)完全備份、增量備份和差異備份的特點和異同。完全備份：指將所有的文件和數(shù)據(jù)都備份到存儲介質中。完全備份的實現(xiàn)技術很簡單，但是需要花費大量的時間、存儲空間和I/O帶寬。它是最早的、最簡單的備份類型。差異備份：對上一次完全備份之后才進行改變的數(shù)據(jù)和文件才需要進行復制存儲。差異備份與完全備份相比，只需要記錄部分數(shù)據(jù)，更為迅速。差異備份分為兩個步驟：第一步，制作一個完全備份；第二步，對比檢測當前數(shù)據(jù)與第一步驟中

5、完全備份之間的差異。故差異備份必須在一次完全備份之后才可能開始，而且需要定時執(zhí)行一次完全備份。這時的“定時”時間段取決于預先定義的備份策略。差異備份的恢復也分為兩個步驟：第一步，加載最后一次的完全備份數(shù)據(jù)；第二步，使用差異備份的部分來更新變化過的文件。優(yōu)點：差異備份在備份速度上比完全備份快。但是在備份中，必須保證系統(tǒng)能夠計算從某一個時刻起改變過的文件。所以從空間上，差異備份只需要少量的存儲空間就可以對文件或數(shù)據(jù)實現(xiàn)備份。增量備份：僅僅復制上一次全部備份后或上一次增量備份后才更新的數(shù)據(jù)。它與差異備份相類似，與差異備份相比，只需要備份上一次任何一種備份之后改變的文件。所以，其備份速度更快。但是，增

6、量備份數(shù)據(jù)或文件的恢復方法稍微復雜，它需要在某個完全備份恢復的數(shù)據(jù)基礎上，然后將該時間點以后所有的增量備份都更新到數(shù)據(jù)庫中。具備份空間占據(jù)，比差異備份所需的空間更少。每種備份方式都各有優(yōu)缺點，采用時，需要在備份策略中仔細評估每一種備份方式的時用性，最終選擇備份方法。備份類型比較表：完全備份差異備份增量備份德爾塔備份所需空間大中等中等小恢復簡單簡單麻煩復雜備份速度慢較快快最快7、說明信息安全等級保護一般分為幾個等級，并簡述第三級信息安全保護的要求內容。信息系統(tǒng)根據(jù)其在國家安全、經濟建設、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等，

7、由低到高劃分為五級。具體的安全保護等級劃分為以下五級：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共安全。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成嚴重損害。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成嚴重損害8、物聯(lián)網安全問題主要表現(xiàn)在那幾個方面?目前，互聯(lián)網在發(fā)展過程中遇到了兩大體

8、系性瓶頸，一個是地址不夠，另一個是網絡的安全問題。地址的問題通過IPv6能夠解決，但是網絡安全問題目前卻沒有好的解決之道。如果不能解決網絡的可管、可控以及服務質量問題，將會在很大程度上影響物聯(lián)網的進一步發(fā)展。根據(jù)物聯(lián)網自身的特點，物聯(lián)網除了面對移動通信網絡的傳統(tǒng)網絡安全問題之外，還存在著一些與已有移動網絡安全不同的特殊安全問題。這是由于物聯(lián)網是由大量的機器構成，缺少人對設備的有效監(jiān)控,并且數(shù)量龐大，設備集群等相關特點造成的，這些安全問題主要有以下幾個方面。(1)物聯(lián)網機器/感知節(jié)點的本地安全問題由于物聯(lián)網的應用可以取代人來完成一些復雜、危險和機械的工作。所以物聯(lián)網機器/感知節(jié)點多數(shù)部署在無人監(jiān)

9、控的場景中。那么攻擊者就可以輕易地接觸到這些設備，從而對他們造成破壞，甚至通過本地操作更換機器的軟硬件。(2)感知網絡的傳輸與信息安全問題感知節(jié)點通常情況下功能簡單(如自動溫度計)、攜帶能量少(使用電池)，使得它們無法擁有復雜的安全保護能力，而感知網絡多種多樣，從溫度測量到水文監(jiān)控，從道路導航到自動控制，它們的數(shù)據(jù)傳輸和消息也沒有特定的標準，所以沒法提供統(tǒng)一的安全保護體系。(3)核心網絡的傳輸與信息安全問題核心網絡具有相對完整的安全保護能力，但是由于物聯(lián)網中節(jié)點數(shù)量龐大，且以集群方式存在，因此會導致在數(shù)據(jù)傳播時，由于大量機器的數(shù)據(jù)發(fā)送使網絡擁塞,產生拒絕服務攻擊。此外,現(xiàn)有通信網絡的安全架構都

10、是從人通信的角度設計的，并不適用于機器的通信。使用現(xiàn)有安全機制會割裂物聯(lián)網機器間的邏輯關系。(4)物聯(lián)網業(yè)務的安全問題由于物聯(lián)網設備可能是先部署后連接網絡，而物聯(lián)網節(jié)點又無人看守，所以如何對物聯(lián)網設備進行遠程簽約信息和業(yè)務信息配置就成了難題。另外，龐大且多樣化的物聯(lián)網平臺必然需要一個強大而統(tǒng)一的安全管理平臺,否則獨立的平臺會被各式各樣的物聯(lián)網應用所淹沒，但如此一來，如何對物聯(lián)網機器的日志等安全信息進行管理成為新的問題，并且可能割裂網絡與業(yè)務平臺之間的信任關系導致新一輪安全問題的產生。二、應用論述題。1、分析信息安全的弱點和風險來源。(1)信息安全的木桶理論木桶理論：一個由許多長短不同的木板箍成

11、的木桶，決定其容水量大小的并非是其中最長的那塊木板或全部木板的平均值，而是取決于其中最短的那塊木板。在信息安全中，認為信息安全的防護強度取決于“信息安全防線”中最為薄弱的環(huán)節(jié)。即最薄弱的環(huán)節(jié)存在最大的安全威脅，只有針對該環(huán)節(jié)進行改進才能提高信息安全的整體防護強度。(2)信息安全威脅的來源信息威脅的來源于四個方面：技術弱點、配置失誤、政策漏洞、人員因素。典型技術弱點。ACP/IP網絡。由于其協(xié)議是一個開放的標準，主要用于互聯(lián)網通信，開放的網絡導致其不能保障信息傳輸?shù)耐暾院臀唇浭跈嗟拇嫒〉裙羰侄巫龀鲞m當?shù)姆雷o。操作系統(tǒng)漏洞。主流操作系統(tǒng)如UNIXWindowsLinux等，由于各種原因導致其存

12、在漏洞，必須由系統(tǒng)管理員經過安全配置、密切跟蹤安全報告以及及時對操作系統(tǒng)進行更新和補丁更新操作才能保證其安全性。配置失誤。由于操作者執(zhí)行安全操作不到位或對安全技術理解不透引起的配置失誤。如：系統(tǒng)賬戶存在易被猜測的用戶名和密碼。管理員技術不足以適應崗位或由于疏忽、惰性的原因，未對默認的高權限系統(tǒng)賬戶進行處理。設備未得到良好配置。如路由器、交換機或服務器使用帶有漏洞的默認配置方式，或路由器的路由表未經過良好的維護，服務器的訪問控制列表存在漏洞等。政策漏洞。政策制定中未經過良好的協(xié)調和協(xié)商，存在不可能執(zhí)行的政策，或政策本身違反法律條文或已有規(guī)章制度。人員因素。是造成安全威脅的最主要因素。通常，人員因

13、素導致的安全威脅分為惡意攻擊者導致的安全威脅和無惡意的人員導致的安全威脅。典型的惡意攻擊者造成的安全威脅是：A、道德品質低下。攻擊者實施以詐騙、盜竊或報復為目的攻擊，尤其以報復為目的攻擊對組織來說最為危險。R偽裝或欺騙。其核心在于通過偽裝和欺騙來獲取攻擊者所需要的信息。C拒絕服務攻擊。攻擊者的目的是為了干擾正常的組織運作，借此達到攻擊的目的。典型的無惡意的人員者造成的安全威脅是：A突發(fā)事故。突發(fā)事故可能導致設備損壞或線路故障等。B、缺少安全意識。組織成員缺乏必要的安全意識，不曾接受過必要的安全培訓。C、工作負擔不合理。參與安全工作的工作人員與工作量不能較好匹配，協(xié)同工作能力低下或者工作流程分配

14、不合理，可能造成設備的配置錯誤，也可能出現(xiàn)工作人員相互推卸責任。2、論述系統(tǒng)突發(fā)事件響應策略的主要內容和實現(xiàn)方式。是提前設計好的，并需要對所有可能突發(fā)事件情況進行推測和預測制定的行動方案。一般覆蓋事件發(fā)生的幾個階段。包括：準備階段、識別事件、檢測和調查、限制、修復和消除、后續(xù)步驟。(1)準備階段員工提前接受對應對突發(fā)事件的培訓，以理解在突發(fā)事件發(fā)生后的報告鏈或命令鏈，并能夠按照預定方案進行行動。另外，購置應對處置突發(fā)事件時所使用的必要設備(如檢測、限制和恢復工具等)。具體準備工作有：成立突發(fā)事件響應工作專家小組，可以是臨時的，也可以是常設的。一般由領導、網絡系統(tǒng)安全分析人員、(臨時或永久的)法

15、律專家組成。進行緊急決策、事件技術分析、指導取證及保留和訴訟、及時準確的信息發(fā)布公開等工作的展開。(2)識別事件是進行安全事件響應流程的起點和第一步驟。如出現(xiàn)對網絡的嗅探或端口掃描，可能是發(fā)動一次大規(guī)模攻擊的前兆，如果在此階段就能準確識別事件，就可以采取一定的措施避免攻擊的進一步擴大。但是，安全人員在沒有確定一個安全事件發(fā)生之前，就貿然地進入處理安全事件的緊急狀態(tài)，也是一個非常糟糕的決定。因為一次普通的ping操作或一個簡單的http連接都有可能造成誤報。而IDS雖可以檢測一些事件的發(fā)生，但可能這些事件不一定是安全事件或潛在的攻擊威脅。只能進行初步的篩選，還須進一步手工檢查和識別。所以，參與識

16、別的人員應該包括系統(tǒng)管理員和網絡管理員，如果識別確實是一個攻擊或安全事件，及時提高警戒級別，報告相關高層人員，按照預定處置方案進行處理，包括招集事件響應小組，分配相關資源等行動。(3)調查與檢測是進行安全事件響應流程的起點和第一步驟。其主要任務是對事件中涉及的日志、文件、記錄及其相關資料和數(shù)據(jù)進行研究和分析，從而最終確定事件發(fā)生的原因和事件的影響范圍。調查的結果最終能夠判定安全事件到底是一次攻擊還是一次更大規(guī)模攻擊的前夕；是一次隨機事件還是一次誤報；安全事件發(fā)生的原因和誘因何在？對引發(fā)事件的原因進行分類，并判定該次安全事件對整個網絡造成的影響進行評估，為下一步的修復提供參考。故準確地發(fā)現(xiàn)安全事

17、件的原因，對修復和預防具有重要的作用。如：在諸多引發(fā)安全事件的原因中，病毒和惡意代碼通常是最為普遍的，一般用戶做不到像安全人員那樣敏感，無意中引發(fā)病毒或安裝木馬程序。一般可以采取借助軟件包分析工具或反病毒軟件來識別病毒，查殺之。(4)限制、修復和消除限制事件的影響和發(fā)展：限制安全事件的進一步發(fā)展和造成的負面影響。常采取以下的限制活動：A、通知并警告攻擊者。對于內部攻擊或已知來源于外部的攻擊，可直接對攻擊者發(fā)出警告，并同時切斷他與網絡的連接。如需進一步對其進行起訴，應征詢法律顧問的意見后，并在收集證據(jù)中使用經過取證培訓的人員R切斷攻擊者與網絡系統(tǒng)的通信：是最為普通的做法，也是最快捷的響應方式。例

18、如：通過添加或修改防火墻的過濾規(guī)則，對路由或IDS增加規(guī)則，停用特定的軟件或硬件組件。若攻擊者是通過特定的賬戶獲得非授權訪問時，則通過禁用或刪除這個賬戶的方法進行限制。C對事件來源進行分析：通過分析事件，找出當前系統(tǒng)中存在的不足之處，并通過必要的手段暫堵住這一漏洞。例如：入侵者是通過軟件系統(tǒng)的漏洞進入系統(tǒng)的，則通過給軟件系統(tǒng)加裝補丁的方式將其限制。另外，當安全管理員恢復系統(tǒng)和進行漏洞補丁時，往往需要暫切斷與網絡(或INTERNETS聯(lián))的連接，這時用戶不能獲得網絡服務，將導致正常工作或經濟和信譽上的重大損失，此時，需要在保障安全與經濟利益之間做出選擇。修復系統(tǒng)：指恢復機構和組織在攻擊之前的正常

19、處理方案。它包括重新設置權限并填補漏洞；逐步恢復服務。嚴重時，啟動災難恢復計劃（DRP,調取異地備份資料等。DR先安全流程中的一個重要組成部分。消除事件的影響：消除攻擊事件或攻擊者給網絡系統(tǒng)造成的影響。主要包括：A、統(tǒng)一的補丁或升級：對補丁進行測試，確定無誤后，才能對系統(tǒng)進行大規(guī)模、大批量的打補丁操作，對軟件或硬件進行統(tǒng)一的升級或補丁。R清查用戶賬戶和文件資源：若攻擊者采用的是超越權限或漏洞用戶等方式，則清理相關賬戶，對攻擊發(fā)生后的建立的用戶賬戶進行詳細的檢查。若攻擊事件是病毒或惡意代碼引起的，一般應檢查關鍵文件的健康狀況，防止有計算機病毒或木馬程序潛伏。禁用一些不必要的賬戶。G檢查物理設備：如果攻擊者采用物理方式或社會工程學方式進行攻擊，須徹底檢查物理設備。如果發(fā)現(xiàn)有遭受損壞、破壞的，應及時修復或處理，并作出相應的措施防止再次發(fā)生。后續(xù)階段。由多項任務組成。包括：A、記錄和報告。在在整個事件響應過程中，都應進行詳細記錄。包括辨識事件、調查事件、響應步驟、修復系統(tǒng)、改進意見等一系列步驟。它對今后應對類似攻擊時，將是非常寶貴的資料。如果需要借助法律程序，則還須提供額外的、符合法律規(guī)范的報告文檔。另外，這些收集的資料，除了提交給高層管理者外，同時可提供給其他組織成員進行警示和提醒，必要時可充時到相關