1、信息安全与网络安全管理考试题及参与答案1、简述计算机网络安全的定义 网络安全是指计算机网络系统中的硬件、数据、程序等不会因为无意或恶意的原因而遭到破坏、篡改、泄露,防止非授权的使用或访问,系统能够保持服务的连续性,以及能够可靠的运行。2、什么是系统安全政策? 安全政策。定义如何配置系统和网络,如何确保计算机机房和数据中心的安全以及如何进行身份鉴别和身份认证。同时,还确定如何进行访问控制、审计、报告和处理网络连接、加密和反病毒。还规定密码选择、账户到期、登录尝试失败处理等相关领域的程序和步骤。3、如果一个组织(或企业)的系统安全管理或网络管理人员,接到人事部门通知被解职,应该按照一般的安全策略执
2、行那些安全措施?一个员工离开单位,他的网络应用账户应及时被禁用,他的计算机接入应立即禁止。如果配有便携笔记本式计算机或其它相关硬件设备,应及时进行收回。同时,在员工离职时,他们的身份验证工具如:身份卡、硬件令牌、智能卡等都同时收回。无论离职员工何时是否离开,一旦得知该员工即将离职,应对其所能够接触到的信息资源(尤其是敏感信息)进行备份处理。因为,一般情形下,员工的离职是一个充满情绪化的时期,尽管大多数人不会做出什么过分之举,但是保证安全总比出了问题再补救要有效。总之,无论是雇佣策略还是雇佣终止策略,都有需要考虑当地的政治和法律因素。在制定策略时,应避免出现如性别和种族歧视等违反法律或一般道德规
3、范的条款。4、简述计算机网络攻击的主要特点。损失巨大。由于攻击和入侵的对象是网络上的计算机,所以一旦他们取得成功,就会使网络中成千上万台计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。威胁社会和国家安全。一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。手段多样,手法隐蔽。计算机攻击的手段可以说五花八门。以软件攻击为主。几乎所有的网络入侵都是通过对软件的截取和攻击从而破坏整个计算机系统的。5、简述信息系统风险评估(风险分析)的主要内容。(又称风险分析)指将可能发生的安全事件所造成的损失进行定量化估计。如某类安全事件发生的概率
4、、此类安全事件发生后对组织的数据造成的损失、恢复损失的数据需要增加的成本等。一般情况下,只有结束数据资产评估后,才能进行风险评估。只有认定具有价值或价值较高的数据才有必要进行风险评估。6、简述比较数据完全备份、增量备份和差异备份的特点和异同。完全备份:指将所有的文件和数据都备份到存储介质中。完全备份的实现技术很简单,但是需要花费大量的时间、存储空间和 I/O 带宽。它是最早的、最简单的备份类型。差异备份:对上一次完全备份之后才进行改变的数据和文件才需要进行复制存储。差异备份与完全备份相比,只需要记录部分数据,更为迅速。差异备份分为两个步骤:第一步,制作一个完全备份;第二步,对比检测当前数据与第
5、一步骤中完全备份之间的差异。故差异备份必须在一次完全备份之后才可能开始,而且需要定时执行一次完全备份。这时的“定时”时间段取决于预先定义的备份策略。差异备份的恢复也分为两个步骤:第一步,加载最后一次的完全备份数据;第二步,使用差异备份的部分来更新变化过的文件。优点:差异备份在备份速度上比完全备份快。但是在备份中,必须保证系统能够计算从某一个时刻起改变过的文件。所以从空间上,差异备份只需要少量的存储空间就可以对文件或数据实现备份。增量备份:仅仅复制上一次全部备份后或上一次增量备份后才更新的数据。它与差异备份相类似,与差异备份相比,只需要备份上一次任何一种备份之后改变的文件。所以,其备份速度更快。
6、但是,增量备份数据或文件的恢复方法稍微复杂,它需要在某个完全备份恢复的数据基础上,然后将该时间点以后所有的增量备份都更新到数据库中。其备份空间占据,比差异备份所需的空间更少。每种备份方式都各有优缺点,采用时,需要在备份策略中仔细评估每一种备份方式的时用性,最终选择备份方法。备份类型比较表:完全备份 差异备份 增量备份 德尔塔备份所需空间 大 中等 中等 小恢复 简单 简单 麻烦 复杂备份速度 慢 较快 快 最快7、说明信息安全等级保护一般分为几个等级,并简述第三级信息安全保护的要求内容。信息系统根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、
7、法人和其他组织的合法权益的危害程度等,由低到高划分为五级。具体的安全保护等级划分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共安全。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成严重损害。8、物联网安全问题主要表现在那几个方
8、面? 目前,互联网在发展过程中遇到了两大体系性瓶颈,一个是地址不够,另一个是网络的安全问题。地址的问题通过 IPv6 能够解决,但是网络安全问题目前却没有好的解决之道。如果不能解决网络的可管、可控以及服务质量问题,将会在很大程度上影响物联网的进一步发展。根据物联网自身的特点,物联网除了面对移动通信网络的传统网络安全问题之外,还存在着一些与已有移动网络安全不同的特殊安全问题。这是由于物联网是由大量的机器构成,缺少人对设备的有效监控,并且数量庞大,设备集群等相关特点造成的,这些安全问题主要有以下几个方面。(1)物联网机器/感知节点的本地安全问题由于物联网的应用可以取代人来完成一些复杂、危险和机械的
9、工作。所以物联网机器/感知节点多数部署在无人监控的场景中。那么攻击者就可以轻易地接触到这些设备,从而对他们造成破坏,甚至通过本地操作更换机器的软硬件。(2)感知网络的传输与信息安全问题感知节点通常情况下功能简单(如自动温度计) 、携带能量少(使用电池),使得它们无法拥有复杂的安全保护能力,而感知网络多种多样,从温度测量到水文监控,从道路导航到自动控制,它们的数据传输和消息也没有特定的标准,所以没法提供统一的安全保护体系。(3)核心网络的传输与信息安全问题核心网络具有相对完整的安全保护能力,但是由于物联网中节点数量庞大,且以集群方式存在,因此会导致在数据传播时,由于大量机器的数据发送使网络拥塞,
10、产生拒绝服务攻击。此外,现有通信网络的安全架构都是从人通信的角度设计的,并不适用于机器的通信。使用现有安全机制会割裂物联网机器间的逻辑关系。(4)物联网业务的安全问题由于物联网设备可能是先部署后连接网络,而物联网节点又无人看守,所以如何对物联网设备进行远程签约信息和业务信息配置就成了难题。另外,庞大且多样化的物联网平台必然需要一个强大而统一的安全管理平台,否则独立的平台会被各式各样的物联网应用所淹没,但如此一来,如何对物联网机器的日志等安全信息进行管理成为新的问题,并且可能割裂网络与业务平台之间的信任关系,导致新一轮安全问题的产生。二、应用论述题。1、分析信息安全的弱点和风险来源。(1)信息安
11、全的木桶理论木桶理论:一个由许多长短不同的木板箍成的木桶,决定其容水量大小的并非是其中最长的那块木板或全部木板的平均值,而是取决于其中最短的那块木板。在信息安全中,认为信息安全的防护强度取决于“信息安全防线”中最为薄弱的环节。即最薄弱的环节存在最大的安全威胁,只有针对该环节进行改进才能提高信息安全的整体防护强度。(2)信息安全威胁的来源信息威胁的来源于四个方面:技术弱点、配置失误、政策漏洞、人员因素。典型技术弱点。ACP/IP 网络。由于其协议是一个开放的标准,主要用于互联网通信,开放的网络导致其不能保障信息传输的完整性和未经授权的存取等攻击手段做出适当的防护。操作系统漏洞。主流操作系统如 U
12、NIX、Windows、Linux 等,由于各种原因导致其存在漏洞,必须由系统管理员经过安全配置、密切跟踪安全报告以及及时对操作系统进行更新和补丁更新操作才能保证其安全性。配置失误。由于操作者执行安全操作不到位或对安全技术理解不透引起的配置失误。如:系统账户存在易被猜测的用户名和密码。管理员技术不足以适应岗位或由于疏忽、惰性的原因,未对默认的高权限系统账户进行处理。设备未得到良好配置。如路由器、交换机或服务器使用带有漏洞的默认配置方式,或路由器的路由表未经过良好的维护,服务器的访问控制列表存在漏洞等。政策漏洞。政策制定中未经过良好的协调和协商,存在不可能执行的政策,或政策本身违反法律条文或已有
13、规章制度。人员因素。是造成安全威胁的最主要因素。通常,人员因素导致的安全威胁分为恶意攻击者导致的安全威胁和无恶意的人员导致的安全威胁。典型的恶意攻击者造成的安全威胁是:A、道德品质低下。攻击者实施以诈骗、盗窃或报复为目的攻击,尤其以报复为目的攻击对组织来说最为危险。B、伪装或欺骗。其核心在于通过伪装和欺骗来获取攻击者所需要的信息。C、拒绝服务攻击。攻击者的目的是为了干扰正常的组织运作,借此达到攻击的目的。典型的无恶意的人员者造成的安全威胁是:A、突发事故。突发事故可能导致设备损坏或线路故障等。B、缺少安全意识。组织成员缺乏必要的安全意识,不曾接受过必要的安全培训。C、工作负担不合理。参与安全工
14、作的工作人员与工作量不能较好匹配,协同工作能力低下或者工作流程分配不合理,可能造成设备的配置错误,也可能出现工作人员相互推卸责任。2、论述系统突发事件响应策略的主要内容和实现方式。是提前设计好的,并需要对所有可能突发事件情况进行推测和预测制定的行动方案。一般覆盖事件发生的几个阶段。包括:准备阶段、识别事件、检测和调查、限制、修复和消除、后续步骤。(1)准备阶段员工提前接受对应对突发事件的培训,以理解在突发事件发生后的报告链或命令链,并能够按照预定方案进行行动。另外,购置应对处置突发事件时所使用的必要设备(如检测、限制和恢复工具等) 。具体准备工作有:成立突发事件响应工作专家小组,可以是临时的,
15、也可以是常设的。一般由领导、网络系统安全分析人员、 (临时或永久的)法律专家组成。进行紧急决策、事件技术分析、指导取证及保留和诉讼、及时准确的信息发布公开等工作的展开。(2)识别事件是进行安全事件响应流程的起点和第一步骤。如出现对网络的嗅探或端口扫描,可能是发动一次大规模攻击的前兆,如果在此阶段就能准确识别事件,就可以采取一定的措施避免攻击的进一步扩大。但是,安全人员在没有确定一个安全事件发生之前,就贸然地进入处理安全事件的紧急状态,也是一个非常糟糕的决定。因为一次普通的 ping 操作或一个简单的 http 连接都有可能造成误报。而 IDS 虽可以检测一些事件的发生,但可能这些事件不一定是安
16、全事件或潜在的攻击威胁。只能进行初步的筛选,还须进一步手工检查和识别。所以,参与识别的人员应该包括系统管理员和网络管理员,如果识别确实是一个攻击或安全事件,及时提高警戒级别,报告相关高层人员,按照预定处置方案进行处理,包括招集事件响应小组,分配相关资源等行动。(3)调查与检测是进行安全事件响应流程的起点和第一步骤。其主要任务是对事件中涉及的日志、文件、记录及其相关资料和数据进行研究和分析,从而最终确定事件发生的原因和事件的影响范围。调查的结果最终能够判定安全事件到底是一次攻击还是一次更大规模攻击的前夕;是一次随机事件还是一次误报;安全事件发生的原因和诱因何在?对引发事件的原因进行分类,并判定该
17、次安全事件对整个网络造成的影响进行评估,为下一步的修复提供参考。故准确地发现安全事件的原因,对修复和预防具有重要的作用。如:在诸多引发安全事件的原因中,病毒和恶意代码通常是最为普遍的,一般用户做不到像安全人员那样敏感,无意中引发病毒或安装木马程序。一般可以采取借助软件包分析工具或反病毒软件来识别病毒,查杀之。(4)限制、修复和消除限制事件的影响和发展:限制安全事件的进一步发展和造成的负面影响。常采取以下的限制活动:A、通知并警告攻击者。对于内部攻击或已知来源于外部的攻击,可直接对攻击者发出警告,并同时切断他与网络的连接。如需进一步对其进行起诉,应征询法律顾问的意见后,并在收集证据中使用经过取证
18、培训的人员B、切断攻击者与网络系统的通信:是最为普通的做法,也是最快捷的响应方式。例如:通过添加或修改防火墙的过滤规则,对路由或 IDS 增加规则,停用特定的软件或硬件组件。若攻击者是通过特定的账户获得非授权访问时,则通过禁用或删除这个账户的方法进行限制。C、对事件来源进行分析:通过分析事件,找出当前系统中存在的不足之处,并通过必要的手段暂堵住这一漏洞。例如:入侵者是通过软件系统的漏洞进入系统的,则通过给软件系统加装补丁的方式将其限制。另外,当安全管理员恢复系统和进行漏洞补丁时,往往需要暂切断与网络(或 INTERNET 互联)的连接,这时用户不能获得网络服务,将导致正常工作或经济和信誉上的重
19、大损失,此时,需要在保障安全与经济利益之间做出选择。修复系统:指恢复机构和组织在攻击之前的正常处理方案。它包括重新设置权限并填补漏洞;逐步恢复服务。严重时,启动灾难恢复计划(DRP) ,调取异地备份资料等。DRP 是安全流程中的一个重要组成部分。消除事件的影响:消除攻击事件或攻击者给网络系统造成的影响。主要包括:A、统一的补丁或升级:对补丁进行测试,确定无误后,才能对系统进行大规模、大批量的打补丁操作,对软件或硬件进行统一的升级或补丁。B、清查用户账户和文件资源:若攻击者采用的是超越权限或漏洞用户等方式,则清理相关账户,对攻击发生后的建立的用户账户进行详细的检查。若攻击事件是病毒或恶意代码引起
20、的,一般应检查关键文件的健康状况,防止有计算机病毒或木马程序潜伏。禁用一些不必要的账户。C、检查物理设备:如果攻击者采用物理方式或社会工程学方式进行攻击,须彻底检查物理设备。如果发现有遭受损坏、破坏的,应及时修复或处理,并作出相应的措施防止再次发生。后续阶段。由多项任务组成。包括:A、记录和报告。在在整个事件响应过程中,都应进行详细记录。包括辨识事件、调查事件、响应步骤、修复系统、改进意见等一系列步骤。它对今后应对类似攻击时,将是非常宝贵的资料。如果需要借助法律程序,则还须提供额外的、符合法律规范的报告文档。另外,这些收集的资料,除了提交给高层管理者外,同时可提供给其他组织成员进行警示和提醒,
21、必要时可充时到相关的安全培训教材中。这是某种意义上知识共享的重要组成部分。B、过程调整(即流程调整) 。它包括:当前的相关政策是否对本次发生的安全事件的解决的帮助?政策起到何种支持作用;在本次事件的处理中,学习到哪些新的经验与教训;若再次发生类似事件,今后应如何应对?效果又会有何区别。取证和保存证据。事件发生后,采取获取和保存具法律效力的证据或事实证明的一系列行为。一般在事件发生后,希望提起诉讼、追查攻击者以至于获得赔偿所必须的手段。计算机证据具有与其它证据不具有的特点。即往往不能被直接感受到;通常是书面的证据。所以,获取证据时需要格外注意以下几点:A、发生攻击后,应在第一时间保护计算机的软件
22、、硬件环境。如立即进行当前系统快照、切断网络和远程连接、记录电子邮件、Web 和 DNS 的当前 cache等。若技术能力有限,可聘请或咨询专业的取证技术人员进行证据的保存工作。B、收集证据时必须进行适当的标记,如标记发现者、被发现日期、时间、地点等信息。C、保护证据还会受到过冷、过热、潮湿、静电、电磁和震动的影响。若暂时不需要运输和传送的,应保存在物理访问受限制和进行物理访问受控制的环境中。D、分析调查时,尽量采用原始证据的副本(如磁盘镜像、系统快照等) ,不要使用原始证据设备。但镜像制作时,应采用按位复制或按扇区复制等较为低级的复制方法,并制作散列摘要。同时,保持证据的连续性(取证链完整) 。如一系列的人和事物能够证明获得的证据,在什么时间、什么地点、存储在何处、谁控制的拥有证据等。因为,一旦不能保证证据的连续性,该证据可能将不被法律机构认同或接受。
