等级保护测评考试（简答题部分）应用：1、基本要求中，在应用安全层面的访问控制要求中，三级系统较二级系统增加的措施有哪些？答：三级比二级增加的要求项有：应提供对重要信息资源设置敏感标记的功能；应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。

2、在应用安全测评中，如何理解安全审计的“a）应该覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计”？主机：1、在主机测评前期调研活动中，收集信息的内容（至少写出六项）？在选择主机测评对象时应该注意哪些要点？（10分）答：至少需要收集服务器主机的设备名称、型号、操作系统、IP地址、安装的应用软件情况、主要的业务情况、重要程度、是否热备等信息。

测评对象选择时应该注意重要性、代表性、完整性、安全性、共享性五大原则。

2、主机常见评测的问题？答：①检测用户的安全防范意识，检查主机的管理文档。

②网络服务的配置。

③安装有漏洞的软件包。

④缺省配置。

⑤不打补丁或补丁不全。

⑥网络安全敏感信息的泄露。

7缺乏安全防范体系。

⑧信息资产不明，缺乏分类的处理。

⑨安全管理信息单一，缺乏单一的分析和管理平台。

3、数据库常见威胁有哪些？针对于工具测试需要注意哪些内容？答：①非授权访问、特权提升、SQL注入针对漏洞进行攻击、绕过访问控制进行非授权访问等。

②工具测试接入测试设备之前，首先要有被测系统人员确定测试条件是否具备。

测试条件包括被测网络设备、主机、安全设备等是否都在正常运行，测试时间段是否为可测试时间段等等。

接入系统的设备、工具和IP地址等配置要经过被测系统相关人员确认。

对于测试过程可能造成的对目标系统的网络流量及主机性能等方面的影响，要事先告知被测系统相关人员对于测试过程中的关键步骤、重要证据要及时利用抓图工具取证。

对于测试过程中出现的异常情况要及时记录，需要被测方人员确认被测系统状态正常并签字后离场。

4、主机按照其规模或系统功能来区分为哪些类？主机安全在测评时会遇到哪些类型操作系统？网络安全三级信息系统的安全子类是什么？三级网络安全的安全审计的内容是什么？答：①巨型、大型、中型、小型、微型计算机和单片机。

②目前运行在主机上的主流操作系统有：windows、linux、sunsolaris、ibm aix、hp-ux等等。

③结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。

④应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。

审计记录应包括：事件的日期和时间、用户、时间类型、事件是否成功及其他与审计相关的信息。

应能够根据记录数据进行分析，并生成审计报表。

应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。

5、工具测试接入点原则及注意事项？答：首要原则是不影响目标系统正常运行的前提下严格按照方案选定范围进行测试。

①低级别系统向高级别系统探测。

②同一系统同等重要程度功能区域之间要相互探测。

③较低重要程度区域向较高重要程度区域探测。

④由外联接口向系统内部探测⑤跨网络隔离设备要分段探测。

注意事项：①工具测试接入测试设备之前，首先要有被测系统人员确定测试条件是否具备。

(测试条件包括被测网络设备、主机、安全设备等是否都在正常运行)，测试时间段是否为可测试时间段等等。

②接入系统的设备、工具的ip地址等配置要经过被测系统相关人员确认。

③对于测试过程中可能造成的对目标系统的网络流量及主机性能方面的影响，要实现告知被测系统相关人员。

④对于测试过程中的关键步骤、重要证据要及时利用抓图等取证。

⑤对于测试过程中出现的异常情况要及时记录。

⑥测试结束后，需要被测方人员确认被测系统状态正常并签字后退场。

6、在主机评测前期调研活动中，收集信息的内容？在选择主机测评对象时应注意哪些要点？答：至少需要收集服务器主机的设备名称、型号、操作系统、IP地址、安装的应用软件情况、主要的业务情况、重要程度、是否热备等信息。

测评对象选择时应注意重要性、代表性、完整性、安全性、共享性五大原则7、回答你对安全审计的理解，并结合实际案例说明安全审计的部署（必要时可画图）8、给出一张（主机测评）检查表，有8条不符合项目，请结合等级保护要求，及你的理解，描述存在的风险，并给出解决建议9、如下图“组策略”的配置中有哪些项的设置不满足“剩余信息保护”的要求，且这些项该如何设置？网络：1、《基本要求》中，对于三级信息系统，网络安全层面应采取哪些安全技术措施？画出示例图并进行描述（不考虑安全加固）。

（20分）答：网络层面需要考虑结构安全、访问控制、安全审计、边界完整性、入侵防范、恶意代码防范、网络设备防护、数据备份与恢复八个方面的安全。

（具体再画图描述）2、网络安全的网络设备防护的内容是什么？（其他要点也要背）答：①应对登录网络设备的用户进行身份鉴别②应对网络设备管理员的登陆地址进行限制③网络设备用户的标识应唯一④主要网络设备应对同一用户选择两种或者两种以上组合的鉴别技术来进行身份鉴别⑤身份鉴别信息应具有不易被冒用的特点，口令应有复杂度的要求并定期更换⑥应具有登录失败处理功能，可采取结束回话、限制非法登陆次数和当网络登陆连接超时自动退出等措施⑦当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听⑧应实现设备特权用户的权限分离。

3、1)根据如下图的网络拓扑图，选择网络安全测评的检测对象。

2)题目列出一个思科路由器的配置文件，再给出一个思科路由器的核查表（格式如教材的附录C.2，内容包括访问控制、安全审计、网络设备防护三个大项）。

要求根据配置文件的内容，填写结果记录，并判断是否符合要求。

4、在等级保护测评中，从哪些方面对网络整体架构进行分析？请具体描述。

入侵检测：1、入侵检测系统分为哪几种，各有什么特点？答：主机型入侵检测系统（HIDS），网络型入侵检测系统（NIDS）。

HIDS一般部署在下述四种情况下：1）网络带宽高太高无法进行网络监控;2）网络带宽太低不能承受网络IDS的开销;3）网络环境是高度交换且交换机上没有镜像端口;4）不需要广泛的入侵检测HIDS往往以系统日志、应用程序日志作为数据源；检测主机上的命令序列比检测网络流更简单，系统的复杂性也少得多，所以主机检测系统误报率比网络入侵检测系统的误报率要低；他除了检测自身的主机以外，根本不检测网络上的情况，而且对入侵行为分析的工作量将随着主机数量的增加而增加，因此全面部署主机入侵检测系统代价比较大，企业很难将所有主机用主机入侵检测系统保护，只能选择部分主机进行保护，那些未安装主机入侵检测系统的机器将成为保护的忙点，入侵者可利用这些机器达到攻击的目标。

依赖于服务器固有的日志和监视能力。

如果服务器上没有配置日志功能，则必须重新配置，这将给运行中的业务系统带来不可预见的性能影响。

NIDS一般部署在比较重要的网段内，它不需要改变服务器等主机的配置，由于他不会在业务系统的主机中安装额外的软件，从而不会影响这些机器的CPU、I/O与磁盘等资源的使用，不会影响业务系统的性能。

NIDS的数据源是网络上的数据包。

通过线路窃听的手段对捕获的网络分组进行处理，从中获取有用的信息。

一个网段上只需要安装一个或几个这样的系统，便可以检测整个网络的情况，比较容易实现。

由于现在网络的日趋复杂和高速网络的普及，这种结构正接受者越来越大的挑战。

2、入侵威胁有哪几种？入侵行为有哪几种？造成入侵威胁的入侵行为主要是哪两种，各自的含义是什么？答：入侵威胁可分为：①外部渗透。

②内部渗透。

③不法行为。

入侵行为可分为：①物理入侵。

②系统入侵.③远程入侵.主要入侵行为：①系统入侵。

②远程入侵。

系统入侵是指入侵者在拥有系统的一个低级账号权限下进行的破坏活动。

远程入侵是指入侵者通过网络渗透到一个系统中。

3、简单介绍可采取哪些措施进行有效地控制攻击事件和恶意代码？答：①安装并合理配置主机防火墙。

②安装并合理配置网络防火墙。

③安装并合理配置IDS/IPS.④严格控制外来介质的使用。

⑤防御和查杀结合、整体防御、防管结合、多层防御。

⑥设置安全管理平台、补丁升级平台、防病毒平台等对防毒的系统进行升级、漏洞进行及时安装补丁，病毒库定时更新。

7定期检查网络设备和安全设备的日志审计，发现可疑对象可及时进行做出相应处理。

⑧为了有效防止地址攻击和拒绝服务攻击可采取在会话处于非活跃一定时间或会话结束后终止网络连接。

⑨为了有效防止黑客入侵，可对网络设备的管理员登陆地址进行限制和对其具有拨号功能用户的数量进行限制，远程拨号的用户也许它就是一个黑客。

10采取双因子认证和信息加密可增强系统的安全性。

4、ARP地址欺骗的分类、原理是什么？可采取什么措施进行有效控制？答：一种是对网络设备ARP表的欺骗，其原理是截获网关数据。

它通知网络设备一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在网络设备中，结果网络设备的所有数据只能发给错误的MAC地址，造成正常PC无法收到信息。

另一种是对内网PC的网关欺骗。

其原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的途径上网。

措施：在网络设备中把所有PC的IP-MAC输入到一个静态表中，一、这叫IP-MAC绑定；二、在内网所有PC上设置网关的静态ARP信息，这叫PC IP-MAC绑定。

一般要求两个工作都要做，成为双向绑定。

5、采取什么措施可以帮助检测到入侵行为？答：部署IPS/IDS，使用主机防火墙（软件）、硬件防火墙、在路由交换设备上设置策略、采用审计设备等。

访问控制：1、访问控制的三要素是什么？按访问控制策略划分,可分为哪几类？按层面划分,可分为哪几类？答：访问控制的三要素是：主体、客体、操作；按访问控制策略划分可分为：①自主访问控制②强制访问控制③基于角色的访问控制按层面划分可分为：①网络访问控制②主机访问控制③应用访问控制④物理访问控制安全审计：1、安全审计按对象不同，可分为哪些类？各类审计的内容又是什么？答：系统级审计、应用级审计、用户级审计①系统级审计：要求至少能够记录登陆结果、登陆标识、登陆尝试的日期和时间、退出的日期和时间、所使用的设备、登陆后运行的内容、修改配置文件的请求等。

②应用级审计：跟踪监控和记录诸如打开和关闭数据文件，读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。

③用户级审计：跟踪通常记录用户直接启动所有命令、所有的标识和鉴别尝试的所有访问的文件和资源。

2、身份认证的信息主要有哪几类？并每项列举不少于2个的事例。

答：身份认证的信息可分为以下几类：1）用户知道的信息，如个人标识、口令等。

2）用户所持有的证件，如门卡、智能卡、硬件令牌等。

3）用户所特有的特征，指纹、虹膜、视网膜扫描结果等。

6、数字证书的含义、分类和主要用途，所采用的密码体制？答：①数字证书是由认证中心生成并经认证中心数字签名的，标志网络用户身份信息的一系列数据，用来在网络通信中识别通信各方的身份。