安小圈
第622期
等保测评师 · 考试
1. 题目
请简述《网络安全等级保护基本要求》的主要用途和内容。
答案
(1)主要用途
网络按照重要性和被破坏后对国家安全、社会秩序、公共利益的危害性分为五个安全保护等级。不同安全保护等级的网络有着不同的安全需求,为此,针对不同等级的网络提出了相应的基本安全保护要求,这些要求构成了《网络安全等级保护基本要求》。该要求以《计算机信息系统安全保护等级划分准则》(GB17859-1999)为基础,提出了各级网络应当具备的安全保护能力,并从技术和管理两方面提出了相应的措施,为网络运营者在网络安全建设中提供参照。
(2)主要内容
《基本要求》的技术部分吸收和借鉴了《计算机信息系统安全保护等级划分准则》及相关标准,采纳了身份鉴别、数据完整性、自主访问控制、强制访问控制、审计、客体重用(改为剩余信息保护)、标记、可信路径等八个安全机制,并将这些机制根据各级的安全目标,扩展到网络层、主机系统层、应用层和数据层。《基本要求》的管理部分充分借鉴了ISO/IEC17799:2005等国际流行的信息安全管理方面的标准。
详解
2. 题目
请简述《网络安全等级保护测评要求》的主要用途和内容。
答案
(1)主要用途
根据《信息安全等级保护管理办法》的规定,网络建设完成后,网络运营者应当选择符合规定条件的测评机构,依据《网络安全等级保护测评要求》等技术标准,定期对网络的安全等级状况开展等级测评。《网络安全等级保护测评要求》依据《网络安全等级保护基本要求》规定了对网络进行等级保护测试评估的内容和方法,用于规范和指导测评人员的等级测评活动。
(2)主要内容
本标准分为12章及附录部分。第5章概要描述了等级测评方法及单项测评和整体测评组成。第6章至第9章分别描述了第一级至第四级的测评要求,每级分别遵从《基本要求》的框架,从安全通用部分、云计算安全测评扩展部分、移动互联安全测评扩展部分、物联网安全测评扩展部分、工业控制系统安全测评扩展要求等五个方面展开,技术方面从安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面展开,安全管理方面从安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面展开。第10章略去了第五级的测评要求。第11章描述了系统整体测评方法。第12章概要说明了给出测评结论的方法及内容等。附录部分描述了各种测评方法的测评强度、大数据可参考的安全评估方法、测评指标编码规则及专用缩略语等。
详解
3. 题目
请简述《网络安全等级保护测评过程指南》(GB/T 28449-2018)的主要用途和内容。
答案
(1)主要用途
根据《信息安全等级保护管理办法》的规定,网络建设完成后,网络运营者应当选择符合规定条件的测评机构,依据《网络安全等级保护测评要求》等技术标准,定期对网络的安全保护状况开展等级测评。《网络安全等级保护测评过程指南》规范了等级测评的工作过程,阐述了等级测评的工作任务、分析方法及工作结果等,为等级测评机构、网络运营者在等级测评工作中提供指导。
(2)主要内容
《测评过程指南》以测评机构对第三级网络的首次等级测评活动过程为主要线索,定义了等级测评的主要活动和任务,包括测评准备活动、方案编制活动、现场测评活动、报告编制活动四项活动。每项活动都介绍了工作流程、主要工作任务、输出文档、双方职责等,并对各工作任务描述了任务输入和输出产品等。
详解
4. 题目
在网络安全建设过程中,应充分考虑安全通信网络作为基础网络平台的安全性。请阐述在网络设计、建设过程中针对安全通信网络的设计要点。
答案
(每个要点2分)
答:在网络安全建设过程中,应充分考虑基础网络平台的安全建设,网络架构及通讯传输的设计要点包括:
-
应依据基础网络所承载的业务系统对设备的性能需求进行设备选型,并考虑业务发展所需的性能冗余。 -
应依据基础网络所承载的业务系统对网络带宽的需求,设计各网络出口链路带宽,同时考虑内部网络交换所需的链路带宽。 -
基础网络平台应按照方便管理的原则及实际业务需要,划分出不同的网络区域,如核心网络区、网络接入区(互联网、广域网等)、DMZ区、业务应用区、安全管理区、办公终端区等。 -
各网络边界、各网络区域边界应部署访问控制措施进行边界隔离。 -
在第三级、第四级网络中,应充分考虑网络架构的冗余措施,如关键节点设备冗余、网络出口链路冗余、网络区域间链路冗余等。 -
应采用密码技术保障远程数据传输时的数据保密性和完整性。
详解
本题重点考察对等级保护《基本要求》中安全通信网络章节相关条款的理解,内容涉及网络架构和通信传输,如网络、安全设备的处理性能,网络各关键链路的带宽,网络区域的划分,边界隔离及访问控制,设备冗余,链路加密措施等。
5. 题目
安全运维时,漏洞扫描工具等安全运维设备在接入时需遵守的工作原则与注意事项是什么?
答案
答:首要原则是在不影响目标系统正常运行的前提下,严格按照方案选定范围进行测试。
工作原则:
-
低级别系统向高级别系统探测。 -
同一系统同等重要程度功能区域之间要相互探测。 -
较低重要程度区域向较高重要程度区域探测。 -
由外联接口向系统内部探测。 -
跨网络隔离设备要分段探测。
注意事项:
-
漏扫工具接入测试设备之前,首先确定测试系统的测试条件是否具备(包括被测网络设备、主机、安全设备等是否都在正常运行),测试时间段是否为可测试时间段等。 -
接入系统的设备、工具的IP地址等配置要经过反复确认。 -
对于测试过程中可能造成的对测试系统的网络流量及主机性能方面的影响,要向相关领导汇报。 -
对于扫描过程中的关键步骤、重要证据要及时利用截图等方式取证。 -
对于测试过程中出现的异常情况要及时记录。
详解
解析思路:安全运维设备的接入需考虑不影响目标系统的业务,并根据事件的发生前、发生时、发生后的顺序安排注意事项。
6. 题目
场景:某单位建有业务1和业务2两个业务系统,其中业务1向互联网公众提供服务,业务2向单位内部员工和外联单位提供服务。两套系统均通过认证服务器实现对应用系统用户的登录验证,通过补丁服务器和防病毒服务器实现对系统补丁和病毒库的及时更新,各服务器内所产生的日志均传送至日志服务器保存。单位员工办公终端和系统运维终端部署于终端区。安全支撑区部署一台入侵检测设备,并通过对经过核心交换的流量进行分析实现对入侵行为的检测报警,同时安全支撑区部署有一台安全审计设备。目前访问控制策略在防火墙上做了较为严格的配置,通过交换机划分了各个VLAN。具体拓扑结构如下图所示。业务1定级结果为:S3A3G3,业务2定级结果为:S2A2G2。
结合以上场景及拓扑分析业务1系统在网络架构方面存在哪些安全隐患?
答案
-
网络区域划分不合理,业务1和业务2安全级别和服务对象都不相同,应划分不同区域部署。办公终端和运维终端部署于同一区域,未划分不同的区域。 -
服务器区与外联区以及终端区之间缺少相应的隔离手段,保障服务器区的安全性。 -
网络结构中存在单点故障,防火墙、核心交换机等关键节点设备均为单设备运行,一旦出现故障,直接影响业务系统的正常运行。
详细解析
从场景描述来看,业务1和业务2首先安全级别不一样,而且服务对象也不一样,业务2不需要向互联网提供服务,将这两个系统笼统划在一个区内明显不合理。另外,对于运维终端和办公终端也未明确划分不同区域。外联单位通过核心交换直接访问服务器,中间缺少安全隔离措施。核心交换一旦发生故障,将直接导致系统内所有服务全部中断;防火墙中断将直接导致业务1不能正常对外提供服务。
详解
7. 题目
内容描述:以下是某个单位信息系统网络拓扑图,被测单位拟将此系统定为二级,作为测评人员请结合“GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》”第二级安全通用要求中“安全通信网络”及“安全区域边界”的相关要求,在不考虑设备相关安全配置的前提下,简述此网络结构存在的安全问题并给出整改建议。
答案
通过分析网络拓扑发现以下安全问题:
-
网络边界未部署访问控制设备。 -
网络中未部署入侵防御/入侵检测设备。 -
网络中未部署防恶意代码设备。 -
网络中未部署集中审计设备。
整改建议:
-
建议网络边界部署访问控制设备,并启用访问控制策略,策略细粒度达到端口级。 -
建议网络中部署入侵防御/入侵检测设备,并定期更新特征库版本。 -
建议网络中部署防病毒网关,并定期更新病毒库版本。 -
建议部署集中审计设备,实现对网络设备、安全设备、服务器的集中审计。
详解
详细解析
8. 题目
当定级对象分别为提供IaaS、PaaS和SaaS三种不同服务模式的云计算平台时,请简要描述不同服务模式的云计算平台的测评对象应如何选择。
答案
根据不同服务模式下云服务商与云服务客户对计算资源拥有的不同控制范围,云计算平台的测评对象分别为:
-
IaaS云计算平台
测评对象主要包括设施、硬件、资源抽象控制层等相关组件。 -
PaaS云计算平台
测评对象主要包括设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台等相关组件。 -
SaaS云计算平台
测评对象主要包括设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件等相关组件。 -
![【专题连载】等级保护测评师 | 简答题(六)]( "【专题连载】等级保护测评师 | 简答题(六)")
详解
详细解析:重点考察对不同服务模式下云服务商与云服务客户的安全责任边界划分的掌握情况,以及对云计算平台的测评对象选择的能力。
9. 题目
某第三级等保测评项目中,测评师在测评中发现某windows主机CPU占用率100%,且经常无故重启,并且通过访谈,发现已经持续一段时间,且已有多台主机存在此问题,请对相应控制点单项判定结果进行判定,然后再从至少3个可能涉及到的层面或控制点对该问题进行风险分析。
答案
答:根据此主机状况初步说明可能已感染蠕虫类病毒,其安全计算环境中的入侵防范及恶意代码防范单项测评结果均为不符合。风险分析:该状况说明被测资产恶意代码软件过期、未启用或未安装,且可能存在高危端口未关闭,会遭受恶意代码攻击及入侵攻击,导致系统运行的严重不稳定,甚至形成挖矿病毒等对系统产生严重威胁。还可从以下几个方面进行风险分析:
-
系统区域边界是否能对恶意代码行为进行检测和清除,并及时报警。 -
系统是否与其他系统进行有效技术隔离,有无非法外连和非法内连。 -
系统运维是否限制外来U盘管控,是否具有接口管控措施。 -
有无人员管理、设备管理、资产管理等管理制度且遵照执行。 -
有无恶意代码软件安装及病毒库及时更新机制。 -
是否具有网络层面流量分析工具等。
详解
考察方向:
-
是否可以针对设备现状进行控制点分类,并进行单向判定,并作出正确的判定结果。 -
区域间弥补(系统处于物理环境是否相对安全,系统是否与其他系统进行有效技术隔离)。 -
层面间弥补(有无非法外连和非法内连,有无人员管理、设备管理、资产管理等管理制度且遵照执行)。 -
控制点间弥补(有无恶意代码软件安装及病毒库及时更新机制)。
10. 题目
第三级信息系统安全审计在哪些层面有要求,安全审计的目的分别是什么?系统在测评中发现安全审计各层面要求均未实现,该如何进行整改?
答案
-
安全审计的层面:安全审计在安全区域边界层面、安全计算环境层面均有要求。
-
安全审计的目的:
-
安全区域边界层面
在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;还能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 -
安全计算环境层面
重要核心网络设备、安全设备、操作系统、数据库等启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。 -
整改建议:
-
安全区域边界层面
建议在网络边界、重要网络节点,部署综合安全审计系统或类似功能的系统平台,对重要的用户行为和重要安全事件进行日志审计,便于对相关事件或行为进行追溯。 -
安全计算环境层面
建议在重要核心设备、安全设备、操作系统、数据库性能允许的前提下,开启用户操作类和安全事件类审计策略,实现对相关设备操作与安全行为的全面审计记录,保证发生安全问题时能够及时溯源。或者使用堡垒机或其他第三方审计工具进行日志审计,能有效记录用户行为和重要安全事件,可视为等效措施。
详解
(此部分可根据具体需求进一步展开,对整改建议的实施细节、技术选型、管理措施等进行详细阐述。)
连载回顾:
-
【专题连载】等级保护测评师 | 报考条件及培训教材 -
【专题连载】等级保护测评师 |(初级)简答题(一) -
【专题连载】等级保护测评师 |(初级)简答题(二) -
【专题连载】等级保护测评师 |(中级)简答题 -
【专题连载】等级保护测评师 | 简答题(四) -
【专题连载】等级保护测评师 | 简答题(五)
END
| 咨询 | ||
|
|
||
|
|
|
等保测评2.0技术自查阶段 |
||
| (上) | (中) | (下) |
 |
等保咨询服务主要是做什么? | |
 |
||
原文始发于微信公众号(安小圈):【专题连载】等级保护测评师 | 简答题(六)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论