1.请简述等级保护安全管理测评和安全技术测评之间的区别与联系，并举例说明。

答案：主要区别在于：二者关注的方面不同，而且获取证据采取的主要测评方式不同。

安全管理测评主要关注与信息系统相关各类人员、及人员参与的活动、是否得到有效的管理控制，是否从政策、制度、流程、记录等方面进行规范化管理；因此安全管理测评主要通过人员访谈和文档检查实现。

安全技术测评主要关注软硬件产品是否在信息系统中得到合理部署，网络结构是否得到合理的划分，部署的软硬件产品的安全功能是否得到正确的配置；因此安全技术测评主要通过配置检查获得证据。

两者之间既互相独立，又互相关联

譬如主机恶意代码防范、在技术测评关注是否部署防病毒服务器并正确配置恶意代码检测和病毒库更新功能，在系统运维管理方面测评关注有人来维护和管理病毒服务器，对恶意代码扫描结果进行分析。

只有通过安全技术和安全管理两方面的测评，综合分析判断，才能对信息系统的安全状况作为客观、准确的评价。

2.依据《基本要求》（GB/T 22239-2019），针对第三级信息系统而言，在安全计算环境中适用于服务器设备对应哪些安全子类？安全计算环境中安全审计的内容是什么？相比于第二级系统，第三级系统安全审计内容增加的是哪一条？

答案：

安全子类有：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据备份恢复。

安全计算环境中安全审计的内容要求包括：

a）应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

c）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

d应对审计进程进行保护，防止未经授权的中断。

第三级系统比第二级系统增加的条款是：应对审计进程进行保护，防止未经授权的中断。

3.简述网络安全等级保护等级为第三级的系统开展网络设备的测评内容。

答案：

1）核查身份鉴别相关内容，包括身份鉴别的方式，身份鉴别信息的复杂程度，登录失败处理功能、远程管理时身份鉴别信息的保护等。

2）核查访问控制相关内容，包括账户及权限的设置情况，默认账户、共享账户、过期账户及多余账户的情况。

3）核查安全审计相关内容，包括审计功能开启情况，审计内容及审计记录的保护情况。

4）核查入侵防范相关内容，包括端口关闭情况，远程管理时地址限定的情况，以及设备漏洞修复情况。

5）核查网络设备配置数据备份恢复相关内容，包括网络设备配置数据是否进行了备份及备份方式。

4.在等级测评中，从哪些方面对网络整体架构进行分析？请具体描述。

答案：主要从网络设备的性能、业务系统对网络带宽的需求、网络区域的合理划分、区域间的有效防护、网络通信线路及设备的冗余等方面进行分析。

1）网络设备的性能：分析主要网络设备是否具备足够的处理能力，以确保设备的业务处理能力具备冗余空间。

2）业务系统对网络带宽的需求：分析网络各个部分的带宽是否满足业务高峰期需要。如果存在带宽无法满足业务高峰期需要的情况，分析是否在主要网络设备上进行带宽配置，以保证关键业务应用的带宽需求。

3）网络区域的合理划分：分析网络区域的划分原则是否合理，网络区域划分结果是否与总体安全策略要求一致。

4）区域间的有效防护：分析是否遵循纵深防御的思路，确保重要网络区域未部署在网络边界处，分析重要网络区域与其他网络区域之间是否采取了可靠的技术隔离手段。

5）网络通信线路及设备的冗余：分析是否采用冗余技术设计网络拓扑结构，以确保在通信线路或设备发生故障时提供备用方案，有效增强网络的可靠性。

5.数据库常见的威胁有哪些？在网络安全等级保护2.0测评中，数据库安全性测评属于哪个安全层面？测评过程中，数据库测评的主要包括哪些控制点？

答案：

1）数据库常见的威胁有：滥用过高权限、滥用合法权、权限提升、平台漏洞、SQL注入、审计记录不足、拒绝服务、数据库通信协议漏洞、身份验证不足、备份数据暴露（答出3个即可）。

2）数据库的安全测评属于安全计算环境。

3）数据库测评的主要控制点有：身份鉴别、访问控制、安全审计、入侵防范、数据备份恢复。

6.某单位系统出现“永恒之蓝”安全事件，造成了服务器24小时蓝屏严重影响系统运行。事后调查发现该单位网络和系统安全管理制度缺失，系统运维期间服务器开启了远程服务，该操作未经审批。请从网络和系统安全管理角度分析本次事件并给出可行性的整改建议。

答案:

该单位可能存在运维人员未及时更新系统漏洞补丁，运维期间未严格控制远程运维开通审批，操作结束未关闭服务。

建议尽快完善网络和系统安全管理制度，明确人员责任，从补丁升级、远程运维、详细记录操作日志等方面更新补充管理制度。此外，网络攻击应急响应机制不完善，应按计划完成应急预案演练。

详细解析：

1）网络和系统运维管理员未及时更新系统漏洞，系统运行极易遭受攻击者利用系统漏洞发起的网络攻击，应及时跟踪更新补丁升级，更新前对补丁有效性进行测试验证；

2）运维期间远程运维管控审批不严格，操作审计日志缺失，运维操作后未及时关闭远程服务，开启高危端口导致攻击者利用3389端口漏洞进行网络攻击。应建立远程运维审批流程，认真填写审批表，留存操作审计日志；

3）网络攻击应急响应机制不完善，未明确至责任人及时启动相应的应急预案，每年应开展一次应急演练，修订管理网络攻击应急响应机制。

7.请简要描述作为一名系统安全管理人员，如何开展安全策略、恶意代码、补丁升级的集中管理工作。

答案：

在安全管理区域部署集中管理措施，应实现对各类型设备安全策略的统一管理，设备包括防火墙、入侵防御系统IPS、入侵检测系统IDS、应用防火墙WAF等。应实现对网络恶意代码防护设备、主机操作系统恶意代码防护软件的病毒规则库统一升级策略，应实现对各类型设备的补丁升级进行集中管理，设备包括主机操作系统、数据库操作系统等。

8.请简述安全管理中心中集中管控的测评项有哪些。

答案：

1．应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控；

2.应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理；

3.应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测；

4.应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存事件符合法律法规要求；

5、应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。

6.应能对网络中发生的各类安全事件进行识别、报警和分析。

9.假如你是一家企业信息技术部门的运维工程师，现有一个对互联网提供web服务的业务系统即将上线运行，该系统采用虚拟化方式部署于企业私有云平台上。为保障该系统顺利通过网络安全等级保护测评，由你负责计算环境层面的安全加固工作。那么你需要针对哪些对象实施安全加固，其中最关键的加固措施有哪些，请简述你的看法。

答案：

需对业务系统相关的虚拟服务器操作系统、数据库管理系统、中间件、业务应用系统和运维管理终端等进行安全加固。

加固的主要措施包括双因素身份鉴别、管理员权限分离、较详细的日志审计功能、入侵防范、恶意代码防护以及数据的机密性和完整性等。

详细解析：

主要考察考生对安全计算环境所涉及的保护对象和基本要求的熟悉程度，保护对象能答出操作系统、数据库和应用系统即可，基本要求能答出双因素身份鉴别、管理员权限分离和日志审计即可。

10.简述以下安全技术测评和管理测评的主要测评内容或对象

问题1.针对恶意代码防护的安全检测中重点检测的内容是什么？

问题2.安全管理的主要测评对象有哪些？

问题1答案：

1、安装有恶意代码类防护系统；

2、正确配置了防护策略；

3、定时进行了更新；

4、有相应的恶意代码处理机制和记录；

5、如果有基于TPM的可信验证机制，默认符合。

问题2答案：

测安全管理的测评对象包括人员和文档：

1.人员包括单位负责人、安全主管等和机房管理员等

2.文档包括管理类文档（如策略、制度、规程等）、记录类文档（如运维记录等）、其他类文档（如第三方扫描报告、机房验收报告等）。

11.信息安全等级保护的五个标准步骤是什么？信息安全等级保护的定义是什么？信息安全等级保护五个等级是怎样定义的？

答案：

（1）信息系统定级、备案、安全建设整改、等级测评、监督检查。

（2）对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。（答出三个分等级即可）

（3）第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

12.数据库测评中常见的问题有哪些，注意事项有哪些？

答：1.数据库测评中经常遇到数据库未禁用默认账户，未修改默认口令；

2.数据库采用默认安全性设置，未设置登录失败、账户锁定策略、最大连接数等配置；

3.数据库开启日志记录不完整，未开启审计且未部署第三方审计软件或设备；

4.数据库远程登录未采用加密模式；

5.数据库未根据用户设置合理权限，存在多人共用同一账号；

测评过程中注意事项：

1.数据库测评过程中应注意数据的安全，对数据进行安全备份；2.尽量选择备机进行测评；3.在测评过程中注意操作命令，用较低权限的账户进行登录，防止发生误操作；4.远程登录数据库采用加密模式；5.做好应急预案；6.调用相关数据表时，尽量不要模糊查询，防止占用较多资源，尽量选择非高峰期操作；7.对数据库做漏洞扫描时，对漏扫策略进行设置，防止宕机；

-完-