版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)
文檔簡介
1、1、《基本要求基本要求》,在應(yīng)用安全層面的訪問控制要求中,三級系統(tǒng)較二,在應(yīng)用安全層面的訪問控制要求中,三級系統(tǒng)較二級系統(tǒng)增加的措施有哪些?級系統(tǒng)增加的措施有哪些?答:三級比二級增加的要求項有:應(yīng)提供對重要信息資源設(shè)置敏感標(biāo)記的功能;應(yīng)提供對重要信息資源設(shè)置敏感標(biāo)記的功能;應(yīng)按照安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的訪問。應(yīng)按照安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的訪問。2、在主機測試前期調(diào)研活動中,收集信息的內(nèi)容(至少
2、寫出六項)?、在主機測試前期調(diào)研活動中,收集信息的內(nèi)容(至少寫出六項)?在選擇主機測評對象時應(yīng)該注意哪些要點?在選擇主機測評對象時應(yīng)該注意哪些要點?答:至少需要收集服務(wù)器主機的設(shè)備名稱、型號、所屬網(wǎng)絡(luò)區(qū)域、操作系統(tǒng)版本、IP地址、安裝的應(yīng)用軟件名稱、主要業(yè)務(wù)應(yīng)用、涉及數(shù)據(jù)、是否熱備、重要程度、責(zé)任部門。測評對象選擇時應(yīng)該注意重要性、代表性、完整性、安全性、共享性重要性、代表性、完整性、安全性、共享性五大原則。3、《基本要求基本要求》中,
3、對于三級信息系統(tǒng),網(wǎng)絡(luò)安全層面應(yīng)采取哪些中,對于三級信息系統(tǒng),網(wǎng)絡(luò)安全層面應(yīng)采取哪些安全技術(shù)措施?畫出圖并進行描述(不考慮安全加固)安全技術(shù)措施?畫出圖并進行描述(不考慮安全加固)。答:網(wǎng)絡(luò)層面需要考慮結(jié)構(gòu)安全、訪問控制、安全審計、邊界完整性、入侵防范、惡意代結(jié)構(gòu)安全、訪問控制、安全審計、邊界完整性、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護、數(shù)據(jù)備份與恢復(fù)。碼防范、網(wǎng)絡(luò)設(shè)備防護、數(shù)據(jù)備份與恢復(fù)。4)對于測試過程中的關(guān)鍵步驟、重要證據(jù),要及時
4、利用抓圖等取證。5)對于測試過程中出現(xiàn)的異常情況(服務(wù)器出現(xiàn)故障、網(wǎng)絡(luò)中斷)要及時記錄。6)測試結(jié)束后,需要被測方人員確認(rèn)被測系統(tǒng)狀態(tài)正常并簽字后退場。7、采取什么措施可以幫助檢測到入侵行為?、采取什么措施可以幫助檢測到入侵行為?答:部署IDSIPS,使用主機防火墻(軟件)、硬件防火墻、在路由交換設(shè)備上設(shè)置策略、采用審計設(shè)備等。8、請根據(jù)、請根據(jù)《基本要求基本要求》中對于主機的相關(guān)要求,按照你的理解,寫中對于主機的相關(guān)要求,按照你的理解
5、,寫出由問題可能導(dǎo)致的安全風(fēng)險,并給出相應(yīng)的解決方案。出由問題可能導(dǎo)致的安全風(fēng)險,并給出相應(yīng)的解決方案?;蚪o出一張(主機測評)檢查表,有8條不符合項目,請結(jié)合等級保護要求,及你的理解,描述存在的風(fēng)險,并給出解決建議。序號安全問題1未采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別;2重要設(shè)備未實現(xiàn)硬件冗余。3、主機系統(tǒng)和數(shù)據(jù)庫系統(tǒng)未重命名系統(tǒng)默認(rèn)賬戶。4主機系統(tǒng)未啟動審計功能,或?qū)徲嫹秶蛔?,不能記錄用戶對操作系統(tǒng)的操作和對文件訪
6、問情況。5未采用最小安裝原則,開啟了多余服務(wù)如HPUNIX系統(tǒng)的tftf、exec、ntalk等等,Windows系統(tǒng)的RemoteRegister、DHCPcli、DNSclient等等6Windows服務(wù)器均開啟了系統(tǒng)默認(rèn)共享如:C$D$等等7Windows服務(wù)器使用系統(tǒng)自帶的遠程終端管理軟件進行遠程管理,未采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。81、系統(tǒng)未指定口令過期時間和設(shè)置口令復(fù)雜度等;2、未設(shè)置登錄超時或設(shè)置不合理
7、;3、未設(shè)置登錄失敗處理功能。解決方案及分析略。答:主機常見測評的問題1、檢測用戶的安全防范意識,檢查主機的管理文檔(弱口令、安全配置文檔)2、網(wǎng)絡(luò)服務(wù)的配置(不能有過多的網(wǎng)絡(luò)服務(wù),防ping)3、安裝有漏洞的軟件包(安裝過時的軟件包)4、缺省配置(口令缺省配置,可能被人錄用)5、不打補丁或補丁不全(以沒有通過測試等為由拒絕補丁的安裝)6、網(wǎng)絡(luò)安全敏感信息的泄露(.服務(wù)、database命令,最小原則下,這些命令是禁用的)7、缺乏安全防
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 信息安全等級測評師(初級技術(shù))簡答題
- 信息安全等級測評師簡答題整理
- 信息安全等級測評師簡答題整理
- 信息安全等級測評師(初級技術(shù))簡答題整理一題在手考試不愁
- 信息安全等級測評師初級考試問答題
- 信息安全等級測評師初級考試問答題20
- 信息安全等級測評師初級考試問答題20
- 信息安全等級保護初級測評師模擬試題
- 《信息安全等級測評師培訓(xùn)教程(初級)》學(xué)習(xí)筆記
- 《信息安全等級測評師培訓(xùn)教程(初級)》學(xué)習(xí)筆記
- 信息安全等級保護測評技術(shù)標(biāo)準(zhǔn)和需求
- 節(jié)能技術(shù)簡答題
- 信息管理簡答題
- 安全知識競賽簡答題
- 信息系統(tǒng)安全等級保護測評
- 信息系統(tǒng)安全等級保護測評
- 信息系統(tǒng)安全等級保護測評
- 民航安全檢查簡答題
- 網(wǎng)絡(luò)安全簡答題
- 信息技術(shù)基礎(chǔ)知識簡答題
評論
0/150
提交評論