等保题库2（管理制度_测试工具_云计算）

Security Classification: 【C-1】 | Publish Time:2024-09-02 | Category:等保 | Edit

Expiry Notice: The article was published three months ago. Please independently assess the validity of the technical methods and code mentioned within. :)

AI Summary: 本文主要涉及信息安全等级保护的要求和管理制度，包括： 1. 三级信息系统在访问控制方面比二级系统增加了对敏感信息资源的标记和控制访问的要求。 2. 主机测试前期调研需收集设备名称、型号、操作系统版本等信息，选择测评对象时需遵循重要性、代表性等原则。 3. 网络安全层面需采取结构安全、访问控制等措施。 4. 主机按规模分为不同类型，安全审计内容包括日志记录和审计记录保护。 5. 常见数据库威胁有非授权访问和SQL注入，工具测试需注意测试条件和影响。 6. 测试接入点原则强调由低级别系统向高级别系统探测等。 7. 检测入侵行为可通过部署IDS/IPS等措施。 8. 列出主机测评检查表中的安全问题及解决方案。 9. 信息安全等级保护的步骤包括系统定级和安全建设整改，定义了五个等级的安全影响。管理制度包括安全管理、人员管理、建设管理、运维管理等，针对不同方面提出了具体措施和要求。测试工具接入时需确认测试条件并遵循接入原则。云计算安全涉及物理环境、通信网络、计算环境等方面的安全管理和审计要求。 --- (From Model:gpt-4o-mini-2024-07-18)

## 简答题

1、《基本要求》，在应用安全层面的访问控制要求中，三级系统较二级系统增加的措施有哪些？

答：三级比二级增加的要求项有：

**应提供对重要信息资源设置敏感标记的功能；**

**应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。**

2、在主机测试前期调研活动中，收集信息的内容（至少写出六项）？在选择主机测评对象时应该注意哪些要点？

答：至少需要收集服务器主机的设备名称、型号、所属网络区域、操作系统版本、IP地址、安装的应用软件名称、主要业务应用、涉及数据、是否热备、重要程度、责任部门。

测评对象选择时应该注意 **重要性、代表性、完整性、安全性、共享性**五大原则。

3、《基本要求》中，对于三级信息系统，网络安全层面应采取哪些安全技术措施？画出图并进行描述（不考虑安全加固）。

答：网络层面需要考虑**结构安全、访问控制、安全审计、边界完整性、入侵防范、恶意代码防范、网络设备防护、数据备份与恢复。**

![](https://img.meituan.net/imgupload/f8c1fd1585b964ee0182f3153d727838205459.png)

4、主机按照其规模或系统功能来区分为哪些类？主机安全在测评时会遇到哪些类型操作系统？网络安全三级信息系统的安全子类是什么？三级网络安全的安全审计内容是什么？

答：1、巨型、大型、中型、小型、微型计算机及单片机。

2、**Windows****，Linux,Sun Solaris,IBM AIX,HP-UX****等等。**

3、结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。

4、**a****、应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。**

**b****、审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。**

**c****、应能够根据记录数据进行分析，并生成审计报表。**

**d****、应对审计记录进行保护、避免受到未预期的删除、修改或覆盖等**。

5、数据库常见威胁有哪些？针对于工具测试需要注意哪些内容？

答：（1）**非授权访问、特权提升、****SQL****注入、针对漏洞进行攻击、绕过访问控制进行非授权访问等。**

（2）

工具测试接入测试设备前，首先要有被测系统人员确定测试条件是否具备。

测试条件包括被测网络设备、主机、安全设备等是否都在正常运行，测试时间段是否为可测试时间段等等。

接入系统的设备、工具的IP地址等配置要经过被测系统相关人员确认。

对于测试过程中可能造成的对目标系统的网络流量及主机性能等等方面的影响（例如口令探测可能会造成的账号锁定等情况），要事先告知被测系统相关人员。

对于测试过程中的关键步骤、重要证据，要及时利用抓图等取证工具进行取证。

对于测试过程中出现的异常情况（服务器出现故障、网络中断等等）要及时记录。

测试结束后，需要被测方人员确认被测系统状态正常并签字后离场。

6、规划工具测试接入点原则是什么？

答：**1****、由低级别系统向高级别系统探测；**

**2****、同一系统同等重要程度功能区域之间要相互探测；**

**3****、由较低重要程度区域向较高重要程度区域探测；**

**4****、由外联接口向系统内部探测；**

**5****、跨网络隔离设备（包括网络设备和安全设备）要分段探测；**

7、采取什么措施可以帮助检测到入侵行为？

答：部署IDS/IPS，使用主机防火墙（软件）、硬件防火墙、在路由交换设备上设置策略、采用审计设备等。

8、请根据《基本要求》中对于主机的相关要求，按照你的理解，写出由问题可能导致的安全风险，并给出相应的解决方案。

或给出一张（主机测评）检查表，有8条不符合项目，请结合等级保护要求，及你的理解，描述存在的风险，并给出解决建议。

答：

| 序号 | 安全问题                                                     |
| ---- | ------------------------------------------------------------ |
| 1    | 未采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别；   |
| 2    | 重要设备未实现硬件冗余。                                     |
| 3    | 主机系统和数据库系统未重命名系统默认账户。                   |
| 4    | 主机系统未启动审计功能，或审计范围不足，不能记录用户对操作系统的操作和对文件访问情况。 |
| 5    | 未采用最小安装原则，开启了多余服务如HP-UNIX系统的tftf、exec、ntalk等等，Windows系统的Remote Register、DHCP clinet 、DNS client 等等 |
| 6    | Windows服务器均开启了系统默认共享如：C$ D$ 等等              |
| 7    | Windows 服务器使用系统自带的远程终端管理软件进行远程管理，未采取必要措施防止鉴别信息在网络传输过程中被窃听。 |
| 8    | 1、系统未指定口令过期时间和设置口令复杂度等；2、未设置登录超时或设置不合理；3、未设置登录失败处理功能。 |

解决方案及分析略。

9、1.信息安全等级保护的五个标准步骤是什么？信息安全等级保护的定义是什么？

信息安全等级保护五个等级是怎样定义的？（10分）

（1） 信息系统定级、备案、安全建设整改、等级测评、监督检查。

（2）对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。（答出三个分等级即可）

（3）第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

### **管理制度：**

#### 1安全管理制度

**安全策略**

a工作总体目标、范围、原则和策略

**管理制度**

a建立安全管理制度

b建立操作规程

c形成制度体系

**制定和发布**

a由专人负责制度的制定

b进行正式发布，并采取版本控制

**评审和修订**

a定期对制度的合理性和适用性进行评审，对不足进行修订

#### 2安全管理机构

**岗位设置**

a设立领导小组

b设立安全管理职能部门

c设立系统管理员、审计管理员和安全管理员

**人员配备**

a配备系统管理员、审计管理员和安全管理员

b配备专职的安全管理员

**授权和审批**

a明确审批事项、审批部门和批准人

b建立逐级审批程序

c定期审查审批事项

**沟通和合作**

a定期展开内部协商会议

b加强与其他组织的沟通

c建立外联单位联系列表

**审核和检查**

a定期进行常规安全检查

b定期进行全面安全检查

c形成安全检查报告

#### 3安全管理人员

**人员录用**

a由专人负责人员录用

b对身份和背景进行审查，对技能进行考核

c签署保密协议，与关键岗位人员签署岗位责任协议

**人员离岗**

a终止离岗人员的访问权限

b具有调离手续并承诺调离后的保密义务

**安全意识教育和培训**

a进行安全意识教育和岗位培训

b制定培训计划

c定期进行技能考核

**外部人员访问管理**

a访问前得到授权

b书面申请访问权限

c人员离场后清除访问权限

d签署保密协议

#### 4安全建设管理

**定级和备案**

a以书面形式说明保护对象的安全保护等级

b由专家对定级结果进行审定

c定级结果经过相关部门的批准

d提交材料进行备案

**安全方案设计**

a选择基本安全措施

b进行安全方案的设计

c对设计的方案进行审定，批准后方可实施

**产品采购和使用**

a网络安全产品符合国家规定

b密码产品符合国家规定

c进行选型测试

**自行软件开发**

a开发环境和生成环境分离

b制定开发管理制度

c制定编码安全规范

d具备软件设计文档

e开发过程中进行安全测试

f控制对程序资源库的访问

g保证由专职人员开发

**外包软件开发**

a交付前检测恶意代码

b提供软件设计文档和使用指南

c提供软件源代码并进行审查

**工程实施**

a由专人负责管理

b制定工程实施方案

c由第三方工程监理控制实施过程

**测试验收**

a制定测试验收方案，进行测试验收并出具报告

b进行安全性测试并出具报告

**系统交付**

a根据交付清单清点设备

b进行技能培训

c提供指导性文档

**等级测评**

a定期进行等级测评

b重大变更时进行等级测评

c选择符合规定的测评机构

服务供应商管理

a选择符合规定的服务供应商

b履行网络安全相关义务

c定期评估服务供应商提供的服务

#### 5安全运维管理

**环境管理**

a专人负责机房安全

b建立机房管理制度

c不在重要区域接待来访人员

**资产管理**

a编制资产清单

b对资产进行标识管理

c对标识方法作出规定

**介质管理**

a介质存储在安全的环境中

b对介质在物理传输中的过程进行控制

**设备维护管理**

a由专人定期维护

b建立维护相关的制度

c设备需经过审批才可带离机房

d应保证设备上的敏感信息无法被恢复重用

**漏洞和风险管理**

a及时修补漏洞

b定期开展安全测评

**网络和系统安全管理**

a划分不同的管理员角色

b由专人管理账户

c建立网络和系统安全的管理制度

d定制操作手册

e记录运维日志

f由专人监控日志

g控制变更性运维

h控制运维工具的使用

i控制远程远程的开通

j保证外连得到授权

**恶意代码防范管理**

a进行恶意代码检查

b定期验证防范措施的有效性

**配置管理**

a保存基本的配置信息

b对配置信息的改变进行控制

密码管理

a符合国家相关标准

b使用经过认证的密码技术和产品

**变更管理**

a明确变更需求

b建立申报和控制程序

c建立变更恢复程序

**备份与恢复管理**

a识别需要备份的数据

b定期备份数据

c进行恢复测试

**安全事件处置**

a及时报告安全事件

b制定安全事件报告和制度

c分析事情产生的原因

d对重大时间采取不同的处理程序

**应急预案管理**

a规定统一的应急预案框架

b制定重要事件的应急预案

c进行应急预案的培训

d定期对应急预案进行评估

**外包运维管理**

a运维商符合国家规定

b与运维商签订相关协议

c具有按照等级保护要求开展运维的能力

d在协议中明确所有安全要求

### **测试工具：**

#### 1注意内容

测试工具接入设备前，首先要确定测试条件是否具备（包括被测设备是否正常运行，是否为可测试时间段等），并签订授权书

测试工具的IP地址和相关参数等配置要经过被测方人员确认

对于测试过程中可能造成的对目标系统的网络流量及主机性能方面的影响（例如口令探测可能会造成的账号锁定等情况），要事先告知被测系统相关人员

对于测试过程中的关键步骤、重要证据，要及时利用抓图等取证工具进行取证

对于测试过程中出现的异常情况（服务器故障、网络中断）要及时记录

测试结束后，需要被测方人员确认被测系统状态正常并签字后离场

#### 2接入原则

由外联接口向系统内部探测

由低级别系统向高级别系统探测

由较低重要区域向较高重要区域探测

同等重要程度的区间要相互探测

跨网络隔离设备（包括网络设备和安全设备）要分段探测

### 云计算：

#### 1安全物理环境

**基础设施位置**

a基础设施位于中国境内

#### 2安全通信网络

**网络架构**

a平台安全保护等级>=承载的应用系统

b云租户之间虚拟网络隔离

c提供边界防护和入侵防范

d允许云租户自定义安全策略

e提供第三方安全产品或服务

#### 3安全区域边界

访问控制

a云租户之间部署访问控制策略

b不同区域之间部署访问控制策略

**入侵防范**

a检测云租户发起的网络攻击并记录

b检测对网络节点发起的网络攻击并记录

c检测虚拟机之间以及与宿主机的异常流量

d检测到攻击时进行告警

**安全审计**

a审计云租户和云服务商对虚拟机执行的重要操作

b云服务商对数据的操作能够被云租户审计

#### 4安全计算环境

**身份鉴别**

a双向身份鉴别

**访问控制**

a访问控制策略随虚拟机一同迁移

b允许云租户设置访问控制策略

**入侵防范**

a检测虚拟机之间的资源隔离失效

b检测虚拟机被非授权新建或重启

c检测恶意代码蔓延情况

**镜像和快照保护**

a提供镜像加固

b提供镜像和快照的完整性校验功能

c防止镜像被未授权访问

**数据完整性和保密性**

a数据存储在中国境内

b云租户授权云服务商管理数据

c虚拟机迁移过程中的完整性

d支持云租户部署密钥进行加密数据

**数据备份恢复**

a云租户需本地保存备份数据

b云租户允许查看数据存储位置

c云服务商提供若干副本

d协助迁移到其他云

**剩余信息保护**

a虚拟机内存和存储在回收时完全清除

b云租户删除数据时所有副本均删除

#### 5安全管理中心

集中管控

a提供统一的资源管理方案

b划分带外区和外内区，流量分离

c各自控制部分的集中日志审计

d各自控制部分的设备运行监控

#### 6安全建设管理

云服务商选择

a选择合规的云服务商

b规定各项服务内容

c签订服务水平协议

d服务到底时将数据清除

e签订保密协议

供应链管理

a供应商符合国家规定

b供应商将安全事件和威胁信息传递给云租户

c供应商将重要变更传递给云租户

#### 7安全运维管理

云计算环境管理

在中国境内运维

Comment List

Comment

© Copyright: This article is an original work and the copyright belongs to the Panacea's blog unless marked as Reproduced

Please contact the blogger for authorization to reprint

等保题库2（管理制度_测试工具_云计算）

© Copyright: This article is an original work and the copyright belongs to the Panacea's blog unless marked as ReproducedPlease contact the blogger for authorization to reprint

© Copyright: This article is an original work and the copyright belongs to the Panacea's blog unless marked as Reproduced

Please contact the blogger for authorization to reprint