安小圈

第620期

等保测评师 · 考试

1、请简述一般安全管理体系建设分为哪四大类文件，每大类请例举1-2类相关文件。

答案

对框架和各层面的理解，每大类只需例举出1-2个同类项的文件名即可，不需要和标准答案完全匹配

一级文件：安全管理体系的总体方针和安全策略《网络安全总体策略》

二级文件：安全管理体系的管理制度《安全岗位人员管理制度》《中心机房管理制度》《防病毒管理制度》《资产管理制度》《终端安全管理制度》等

三级文件：作业指导性文件《网络设备基础配置规范》《信息系统灾备切换操作指导书》《虚拟机模板部署作业指导书》等

四级文件：表单类文件《安全产品巡检checklist》《网络安全月度报告会会议记录》《网络安全培训签到表》《信息资产清单》等

详解

考察测评人员对安全管理体系

2、假如你是一家企业信息技术部门的运维工程师，现有一个对互联网提供web服务的业务系统即将上线运行，该系统采用虚拟化方式部署于企业私有云平台上。为保障该系统顺利通过网络安全等级保护测评，由你负责计算环境层面的安全加固工作。那么你需要针对哪些对象实施安全加固，其中最关键的加固措施有哪些，请简述你的看法。

答案

需对业务系统相关的虚拟服务器操作系统、数据库管理系统、中间件、业务应用系统和运维管理终端等进行安全加固。加固的主要措施包括双因素身份鉴别、管理员权限分离、较详细的日志审计功能、入侵防范、恶意代码防护以及数据的机密性和完整性等。

详解

解析内容描述，主要考察考生对安全计算环境所涉及的保护对象和基本要求的熟悉程度，保护对象能答出操作系统、数据库和应用系统即可，基本要求能答出双因素身份鉴别、管理员权限分离和日志审计即可。

3、在网络安全建设过程中通过在网络中部署审计措施，实现对用户行为的审计。请简述等级保护《基本要求》第三级系统安全区域边界中的相关条款对应的解决方案。

答案

答：在等级保护《基本要求》第三级中安全区域边界对审计的要求条款，主要是提出了对用户行为进行审计的要求。

1）首先，要求对关键节点的所有用户的行为进行审计，因此需要在网络中各关键节点部署综合审计系统（行为审计措施），实现对所有用户的网络访问行为进行审计。

2）其次，对审计记录内容进行了要求，需要对事件的日期和时间、用户、事件类型、事件是否成功等内容进行记录，因此需要对审计策略进行配置、完善，以达到审计要求。

3）第三，需要对审计记录进行必要的保护，因此需要在网络中部署日志服务器或类似的审计备份措施，实时或定时将日志备份到日志备份措施。

4）最后，需要对远程访问、访问互联网的用户行为等进行单独的审计和分析，因此需要在审计措施中针对远程访问行为（VPN远程访问等）、终端访问互联网行为配置独立的审计策略，针对以上行为进行安全审计，并实现审计分析。

详解

4、某大型企业互联网销售系统按照等级保护《基本要求》第二级的相关要求进行建设，业务系统及基础运行环境于3年前建成。现因业务升级，经专家评审系统定级变更为第三级。因此需要针对基础网络平台、各项安全措施及应用系统进行安全整改建设。

请依据下图回答问题。

问题：

1、请简述该企业基础网络安全建设是否合理，建议进行哪些整改以满足等级保护第三级针对安全通信网络的要求？

2、应增加哪些措施以提高网络的可用性及安全防护能力，从而满足等级保护第三级网络对安全区域边界的要求？

3、应增加哪些措施，用于提高网络的集中管理能力，从而满足对安全管理中心的要求？

答案

1、网络在区域划分上不够合理，首先现有网络结构缺少独立的业务系统区域，业务服务器汇聚交换机与核心网络直接相连，且与其他网络区域缺少必要的隔离措施；缺少安全管理区域，无法通过独立的安全管理区对业务系统及基础运行环境进行集中管理。因此，在安全整改过程中，建议增加独立的业务系统区与安全管理区。建议增加冗余设备，如广域网接入交换机、互联网DMZ接入交换机，保障网络的高可用性。

2、建议增加的安全措施如下：

1）增加冗余的防火墙设备，实现广域网边界、业务系统区边界及安全管理中心的访问控制措施；

2）在互联网DMZ区增加冗余的WAF等应用层安全防护措施，并实现检测报警；

3）增加网络恶意代码防护措施，如病毒网关或UTM设备的防恶意代码功能；

4）在核心交换区增加对未知的新型攻击行为的检测措施，如抗APT系统；

5）在核心交换区增加入侵检测措施，实现对恶意攻击的实时检测、报警；

6）在核心交换区增加综合审计措施，实现对用户行为，尤其是远程访问以及访问互联网的行为审计；

7）在网络中增加无线接入网关，实现对无线网络的有效管控，实现对终端设备的认证、授权及准入。

3、增加如下集中管理措施，提高安全管理的效率，以达到对安全管理中心的安全要求：

1）在安全管理区增加综合网管系统，实现对业务系统及基础运行环境的实时监控；

2）在安全管理区增加集中审计措施，如日志集中审计分析系统等；

3）在安全管理区增加堡垒机设备，实现对管理账户的集中管理及操作审计；

4）增加补丁管理系统，实现对系统补丁的集中管理；

5）增加终端安全管理系统，实现对网络准入、准出的管控；

6）增加双因素认证系统，实现对管理员的强身份认证；（如：动态令牌、CA证书）；

7）增加态势感知系统，实现对各类安全事件的识别、分析、报警；

8）增加网络版防病毒系统，实现全网的防病毒系统集中管理。

详解

本题为综合考核题，考核了安全通信网络中网络架构、通信传输，安全区域边界中边界防护、访问控制、入侵防范、恶意代码防护、安全审计以及安全管理中心的相关内容，为基础网络的安全提供整体解决方案。

5、简述对网络安全等级为第三级的等级保护对象开展网络设备测评的内容。

答案

1．核查身份鉴别相关内容，包括身份鉴别的方式，身份鉴别信息的复杂程度，登录失败处理功能、远程管理时身份鉴别信息的保护等。

2．核查访问控制相关内容，包括账户及权限的设置情况，默认账户、共享账户、过期账户及多余账户的情况。

3．核查安全审计相关内容，包括审计功能开启情况，审计内容及审计记录的保护情况。

4．核查入侵防范相关内容，包括端口关闭情况，远程管理时地址限定的情况，以及设备漏洞修复情况。

5．核查网络设备配置数据备份恢复相关内容，包括网络设备配置数据是否进行了备份及备份方式。

详解

6、描述第三级安全管理体系应包含哪些模块？画出整个管理体系的架构并描述各个模块的作用。

答案

1）安全制度体系应包括网络安全方针、安全策略、安全管理制度和规定、安全技术规范和标准、安全操作规程、安全工作流程及安全记录单。2）安全制度体系框架图如下：

3）各模块作用： 

信息安全方针：纲领性的安全策略主文档。网络安全各个方面所应遵守的原则方法和指导性策略。

安全管理制度：各类管理规定、管理办法和暂行规定。具体的管理规定、管理办法和实施办法，是必须具有可操作性，而且必须得到有效推行和实施的。

安全技术规范和标准：各类技术规范、安全标准。在安全管理实施中应遵守的安全要求和安全规定。

安全操作规程：详细的操作手册。指导运维工作的安全操作手册，应严格执行的技术规范。

安全工作流程：安全管理实施的流程。依照安全管理制度制定的工作流程，在实施中能够有效执行。

安全记录单：各类记录表格、单据。安全工作流程和安全操作规程形成的记录文档，能够有效记录操作过程及结果。

详解

本题主要考察对整个制度管理体系的理解。

7、某单位的第三级信息系统正处于设计阶段，为了达到等级保护第三级的要求，其应用系统在身份鉴别方面应设计哪些功能?

答案

1）应用系统在添加用户的模块中，应具有用户身份标识唯一性的检测功能；

2）应用系统在设置或修改用户口令的模块中，应具有口令复杂度验证功能，要求口令长度8位以上，至少包括大写字母、小写字母、数字和特殊字符这四种要求中的三种；

3）应用系统需具有口令定期更换的检测功能，如每隔90天系统提示用户强制更换口令，更换时间可配置；

4）应用系统需具有提供登录失败处理功能，对用户的连续登录失败数进行计数，超出设置的次数阀值时，账户被锁定一段时间或由系统管理员进行解锁；

5）应用系统的用户口令应实现传输过程和存储过程的加密，并使用安全的加密算法；

6）应用系统需采取两种或两种以上的鉴别方式对用户进行身份鉴别，如用户名/口令+数字证书USBkey等。

8、某业务系统为第三级系统，请以控制点“身份鉴别”为例，举例说明应用系统如何进行防护。

答案

一、在口令复杂度和定期更换方面，应实现对口令长度、口令复杂度、口令更换周期的限制功能，如口令长度8位以上，由数字、大小写字母、特殊字符等组成，每3个月强制更改一次口令等，并提供配置相关功能的操作界面。

二、在登录失败处理方面，应限制登录失败次数，如失败3次即锁定账户，由管理员进行解锁。

三、在网络传输过程中，应采取必要措施防止鉴别信息在网络传输过程中被窃听，如应用系统采用HTTPS协议等。

四、应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现，如管理员采用UKEY+PIN码方式登录应用系统，其中一种鉴别技术使用符合国家密码有关部门要求的密码技术实现。

9、某业务系统为第三级系统，请以控制点“安全审计”为例，举例说明应用系统如何进行防护。

答案

一、应对业务应用系统进行审计功能建设，审计的维度应该不简单的以IP地址为对象，而是应该能够对应到信息系统的账户，并对账户的各类操作行为和重点事件进行系统内部或外部审计。

二、重要信息系统的审计信息例如审计日志信息应至少包括操作行为或事件的日期和时间、用户、事件类型、事件执行结果等信息，如果审计信息不包括上述内容，则可能无法通过审计信息查找事件发生原因、发现问题的根源。

三、业务应用系统或者提供安全审计功能的软硬件应能够保障审计信息的存储空间，例如将审计信息发送到统一的日志审计系统进行保存，避免由于业务应用审计信息的恶意删除情况发生。

10、某单位系统出现“永恒之蓝”安全事件，造成了服务器24小时蓝屏严重影响系统运行。事后调查发现该单位网络和系统安全管理制度缺失，系统运维期间服务器开启了远程服务，该操作未经审批。请从网络和系统安全管理角度分析本次事件并给出可行性的整改建议。

答案

该单位可能存在运维人员未及时更新系统漏洞补丁，运维期间未严格控制远程运维开通审批，操作结束未关闭服务。

建议尽快完善网络和系统安全管理制度，明确人员责任，从补丁升级、远程运维、详细记录操作日志等方面更新补充管理制度。此外，网络攻击应急响应机制不完善，应按计划完成应急预案演练。

详解

1、网络和系统运维管理员未及时更新系统漏洞，系统运行极易遭受攻击者利用系统漏洞发起的网络攻击，应及时跟踪更新补丁升级，更新前对补丁有效性进行测试验证；（重点考察方向）

2、运维期间远程运维管控审批不严格，操作审计日志缺失，运维操作后未及时关闭远程服务，开启高危端口导致攻击者利用3389端口漏洞进行网络攻击。应建立远程运维审批流程，认真填写审批表，留存操作审计日志；（重点考察方向）

3、网络攻击应急响应机制机制不完善，未明确至责任人及时启动相应的应急预案，每年应开展一次应急演练，修订管理网络攻击应急响应机制。

 连载回顾： 

• 【专题连载】等级保护测评师 | 报考条件及培训教材
• 【专题连载】等级保护测评师 |（初级）简答题（一）
• 【专题连载】等级保护测评师 |（初级）简答题（二）
• 【专题连载】等级保护测评师 |（中级）简答题
  

END

【原文来源：手把手教你做等保】

• " 3保1评 " 各测评机构要求

• 网络安全等级保护备案实施细则（试行）

咨询

等保测评中的问题与建议

浅谈安全咨询发展、局限与突破

专题 | 网络安全咨询到底交付的是什么？

等保测评2.0技术自查阶段
(上)	(中)	(下)
	等保咨询服务主要是做什么？
	【等保定级】上海“一网通办” 上如何做等保定级备案

原文始发于微信公众号（安小圈）：【专题连载】等级保护测评师 | 简答题(四）