搜索
《信息安全与网络安全管理》考试题及参与答案1、简述计算机网络安全的定义网络安全是指计算机网络系统中的硬件、数据、程序等不会因为无意或恶意的原因而遭到破坏、篡改、泄露,防止非授权的使用或访问,系统能够保持服务的连续性,以及能够可靠的运行。2、什么是系统安全政策?安全政策。定义如何配置系统和网络,如何确保计算机机房和数据中心的安全以及如何进行身份鉴别和身份认证。同时,还确定如何进行访问控制、审计、报告和处理网络连接、加密和反病毒。还规定密码选择、账户到期、登录尝试失败处理等相关领域的程序和步骤。3、如果一个组织(或企业)的系统安全管理或网络管理人员,接到人事部门通知被解职,应该按照一般的安全策略执行那些安全措施?一个员工离开单位,他的网络应用账户应及时被禁用,他的计算机接入应立即禁止。如果配有便携笔记本式计算机或其它相关硬件设备,应及时进行收回。同时,在员工离职时,他们的身份验证工具如:身份卡、硬件令牌、智能卡等都同时收回。无论离职员工何时是否离开,一旦得知该员工即将离职,应对其所能够接触到的信息资源(尤其是敏感信息)进行备份处理。因为,一般情形下,员工的离职是一个充满情绪化的时期,尽管大多数人不会做出什么过分之举,但是保证安全总比出了问题再补救要有效。总之,无论是雇佣策略还是雇佣终止策略,都有需要考虑当地的政治和法律因素。在制定策略时,应避免出现如性别和种族歧视等违反法律或一般道德规范的条款。4、简述计算机网络攻击的主要特点。①损失巨大。由于攻击和入侵的对象是网络上的计算机,所以一旦他们取得成功,就会使网络中成千上万台计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。②威胁社会和国家安全。一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。③手段多样,手法隐蔽。计算机攻击的手段可以说五花八门。④以软件攻击为主。几乎所有的网络入侵都是通过对软件的截取和攻击从而破坏整个计算机系统的。5、简述信息系统风险评估(风险分析)的主要内容。(又称风险分析)指将可能发生的安全事件所造成的损失进行定量化估计。如某类安全事件发生的概率、此类安全事件发生后对组织的数据造成的损失、恢复损失的数据需要增加的成本等。一般情况下,只有结束数据资产评估后,才能进行风险评估。只有认定具有价值或价值较高的数据才有必要进行风险评估。6、简述比较数据完全备份、增量备份和差异备份的特点和异同。①完全备份:指将所有的文件和数据都备份到存储介质中。完全备份的实现技术很简单,但是需要花费大量的时间、存储空间和I/O带宽。它是最早的、最简单的备份类型。②差异备份:对上一次完全备份之后才进行改变的数据和文件才需要进行复制存储。差异备份与完全备份相比,只需要记录部分数据,更为迅速。差异备份分为两个步骤:第一步,制作一个完全备份;第二步,对比检测当前数据与第一步骤中完全备份之间的差异。故差异备份必须在一次完全备份之后才可能开始,而且需要定时执行一次完全备份。这时的“定时”时间段取决于预先定义的备份策略。差异备份的恢复也分为两个步骤:第一步,加载最后一次的完全备份数据;第二步,使用差异备份的部分来更新变化过的文件。优点:差异备份在备份速度上比完全备份快。但是在备份中,必须保证系统能够计算从某一个时刻起改变过的文件。所以从空间上,差异备份只需要少量的存储空间就可以对文件或数据实现备份。③增量备份:仅仅复制上一次全部备份后或上一次增量备份后才更新的数据。它与差异备份相类似,与差异备份相比,只需要备份上一次任何一种备份之后改变的文件。所以,其备份速度更快。但是,增量备份数据或文件的恢复方法稍微复杂,它需要在某个完全备份恢复的数据基础上,然后将该时间点以后所有的增量备份都更新到数据库中。其备份空间占据,比差异备份所需的空间更少。每种备份方式都各有优缺点,采用时,需要在备份策略中仔细评估每一种备份方式的时用性,最终选择备份方法。备份类型比较表:完全备份差异备份增量备份德尔塔备份所需空间大中等中等小恢复简单简单麻烦复杂备份速度慢较快快最快7、说明信息安全等级保护一般分为几个等级,并简述第三级信息安全保护的要求内容。信息系统根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高划分为五级。具体的安全保护等级划分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共安全。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成严重损害。8、物联网安全问题主要表现在那几个方面?目前,互联网在发展过程中遇到了两大体系性瓶颈,一个是地址不够,另一个是网络的安全问题。地址的问题通过IPv6能够解决,但是网络安全问题目前却没有好的解决之道。如果不能解决网络的可管、可控以及服务质量问题,将会在很大程度上影响物联网的进一步发展。根据物联网自身的特点,物联网除了面对移动通信网络的传统网络安全问题之外,还存在着一些与已有移动网络安全不同的特殊安全问题。这是由于物联网是由大量的机器构成,缺少人对设备的有效监控,并且数量庞大,设备集群等相关特点造成的,这些安全问题主要有以下几个方面。(1)物联网机器/感知节点的本地安全问题由于物联网的应用可以取代人来完成一些复杂、危险和机械的工作。所以物联网机器/感知节点多数部署在无人监控的场景中。那么攻击者就可以轻易地接触到这些设备,从而对他们造成破坏,甚至通过本地操作更换机器的软硬件。(2)感知网络的传输与信息安全问题感知节点通常情况下功能简单(如自动温度计)、携带能量少(使用电池),使得它们无法拥有复杂的安全保护能力,而感知网络多种多样,从温度测量到水文监控,从道路导航到自动控制,它们的数据传输和消息也没有特定的标准,所以没法提供统一的安全保护体系。(3)核心网络的传输与信息安全问题核心网络具有相对完整的安全保护能力,但是由于物联网中节点数量庞大,且以集群方式存在,因此会导致在数据传播时,由于大量机器的数据发送使网络拥塞,产生拒绝服务攻击。此外,现有通信网络的安全架构都是从人通信的角度设计的,并不适用于机器的通信。使用现有安全机制会割裂物联网机器间的逻辑关系。(4)物联网业务的安全问题由于物联网设备可能是先部署后连接网络,而物联网节点又无人看守,所以如何对物联网设备进行远程签约信息和业务信息配置就成了难题。另外,庞大且多样化的物联网平台必然需要一个强大而统一的安全管理平台,否则独立的平台会被各式各样的物联网应用所淹没,但如此一来,如何对物联网机器的日志等安全信息进行管理成为新的问题,并且可能割裂网络与业务平台之间的信任关系,导致新一轮安全问题的产生。二、应用论述题。1、分析信息安全的弱点和风险来源。(1)信息安全的木桶理论木桶理论:一个由许多长短不同的木板箍成的木桶,决定其容水量大小的并非是其中最长的那块木板或全部木板的平均值,而是取决于其中最短的那块木板。在信息安全中,认为信息安全的防护强度取决于“信息安全防线”中最为薄弱的环节。即最薄弱的环节存在最大的安全威胁,只有针对该环节进行改进才能提高信息安全的整体防护强度。(2)信息安全威胁的来源信息威胁的来源于四个方面:技术弱点、配置失误、政策漏洞、人员因素。①典型技术弱点。ACP/IP网络。由于其协议是一个开放的标准,主要用于互联网通信,开放的网络导致其不能保障信息传输的完整性和未经授权的存取等攻击手段做出适当的防护。操作系统漏洞。主流操作系统如UNIX、Windows、Linux等,由于各种原因导致其存在漏洞,必须由系统管理员经过安全配置、密切跟踪安全报告以及及时对操作系统进行更新和补丁更新操作才能保证其安全性。②配置失误。由于操作者执行安全操作不到位或对安全技术理解不透引起的配置失误。如:系统账户存在易被猜测的用户名和密码。管理员技术不足以适应岗位或由于疏忽、惰性的原因,未对默认的高权限系统账户进行处理。设备未得到良好配置。如路由器、交换机或服务器使用带有漏洞的默认配置方式,或路由器的路由表未经过良好的维护,服务器的访问控制列表存在漏洞等。③政策漏洞。政策制定中未经过良好的协调和协商,存在不可能执行的政策,或政策本身违反法律条文或已有规章制度。④人员因素。是造成安全威胁的最主要因素。通常,人员因素导致的安全威胁分为恶意攻击者导致的安全威胁和无恶意的人员导致的安全威胁。典型的恶意攻击者造成的安全威胁是:A、道德品质低下。攻击者实施以诈骗、盗窃或报复为目的攻击,尤其以报复为目的攻击对组织来说最为危险。B、伪装或欺骗。其核心在于通过伪装和欺骗来获取攻击者所需要的信息。C、拒绝服务攻击。攻击者的目的是为了干扰正常的组织运作,借此达到攻击的目的。典型的无恶意的人员者造成的安全威胁是:A、突发事故。突发事故可能导致设备损坏或线路故障等。B、缺少安全意识。组织成员缺乏必要的安全意识,不曾接受过必要的安全培训。C、工作负担不合理。参与安全工作的工作人员与工作量不能较好匹配,协同工作能力低下或者工作流程分配不合理,可能造成设备的配置错误,也可能出现工作人员相互推卸责任。2、论述系统突发事件响应策略的主要内容和实现方式。是提前设计好的,并需要对所有可能突发事件情况进行推测和预测制定的行动方案。一般覆盖事件发生的几个阶段。包括:准备阶段、识别事件、检测和调查、限制、修复和消除、后续步骤。(1)准备阶段员工提前接受对应对突发事件的培训,以理解在突发事件发生后的报告链或命令链,并能够按照预定方案进行行动。另外,购置应对处置突发事件时所使用的必要设备(如检测、限制和恢复工具等)。具体准备工作有:成立突发事件响应工作专家小组,可以是临时的,也可以是常设的。一般由领导、网络系统安全分析人员、(临时或永久的)法律专家组成。进行紧急决策、事件技术分析、指导取证及保留和诉讼、及时准确的信息发布公开等工作的展开。(2)识别事件是进行安全事件响应流程的起点和第一步骤。如出现对网络的嗅探或端口扫描,可能是发动一次大规模攻击的前兆,如果在此阶段就能准确识别事件,就可以采取一定的措施避免攻击的进一步扩大。但是,安全人员在没有确定一个安全事件发生之前,就贸然地进入处理安全事件的紧急状态,也是一个非常糟糕的决定。因为一次普通的ping操作或一个简单的http连接都有可能造成误报。而IDS虽可以检测一些事件的发生,但可能这些事件不一定是安全事件或潜在的攻击威胁。只能进行初步的筛选,还须进一步手工检查和识别。所以,参与识别的人员应该包括系统管理员和网络管理员,如果识别确实是一个攻击或安全事件,及时提高警戒级别,报告相关高层人员,按照预定处置方案进行处理,包括招集事件响应小组,分配相关资源等行动。(3)调查与检测是进行安全事件响应流程的起点和第一步骤。其主要任务是对事件中涉及的日志、文件、记录及其相关资料和数据进行研究和分析,从而最终确定事件发生的原因和事件的影响范围。调查的结果最终能够判定安全事件到底是一次攻击还是一次更大规模攻击的前夕;是一次随机事件还是一次误报;安全事件发生的原因和诱因何在?对引发事件的原因进行分类,并判定该次安全事件对整个网络造成的影响进行评估,为下一步的修复提供参考。故准确地发现安全事件的原因,对修复和预防具有重要的作用。如:在诸多引发安全事件的原因中,病毒和恶意代码通常是最为普遍的,一般用户做不到像安全人员那样敏感,无意中引发病毒或安装木马程序。一般可以采取借助软件包分析工具或反病毒软件来识别病毒,查杀之。(4)限制、修复和消除①限制事件的影响和发展:限制安全事件的进一步发展和造成的负面影响。常采取以下的限制活动:A、通知并警告攻击者。