【专题连载】等级保护测评师 |（中级）简答题

安小圈

第619期

等保测评师 · 考试

有些简答题初级和中级会有重复，所以之后就不再严格区分了。一般来说，初级考得比较细致，技术细节考得比较多。中级就考得有点宏观，主要考察对测评项目整体组织的掌握能力。

1、安全管理测评和安全技术测评联系及区别，并举例

答案：

①、主要区别在于：二者关注的方面不同，而且获取证据采取的主要测评方式不同。

②、安全管理测评主要关注与信息系统相关各类人员、及人员参与的活动是否得到有效的管理控制，是否从政策、制度、流程、记录等方面进行规范化管理；因此安全管理测评主要通过人员访谈和文档检查实现。

③、安全技术测评主要关注软硬件产品是否在信息系统中得到合理部署，网络结构是否得到合理的划分，部署的软硬件产品的安全功能是否得到正确的配置；因此安全技术测评主要通过配置检查获得证据。

④、两者之间既互相独立，又互相关联

譬如主机恶意代码防范、在技术测评关注是否部署防病毒服务器并正确配置恶意代码检测和病毒库更新功能，在系统运维管理方面测评关注有人来维护和管理病毒服务器，对恶意代码扫描结果进行分析。（示例不唯一）

⑤、只有通过安全技术和安全管理两方面的测评，综合分析判断，才能对信息系统的安全状况作为客观、准确的评价。

2、定级、建设整改、等级测评的依据标准和作用

答案：

答案一：

定级：1389、17859、861

建设整改：24856、25058、25070

等级测评：28449、28448

答案二：

定级：GB/T22240-2020 《信息安全技术网络安全等级保护定级指南》

建设：GB/T22239-2019 《信息安全技术网络安全等级保护基本要求》

GB/T25070-2019 《信息安全技术网络安全等级保护安全设计技术要求》

测评：GB/T28448-2019 《信息安全技术网络安全等级保护测评要求》

GB/T28449-2018 《信息安全技术网络安全等级保护测评过程指南》

网络安全等级保护标准体系涵盖了国家标准、行业标准和企业标准

序列关系：

在定级阶段，网络运营者主要使用GB/T22240-2020和相应的行业或企业或企业标准来划分定级对象和确定安全保护等级；

在安全建设阶段，网络运营者主要使用GB/T22239-2019、GB/T25070-2019和相应的行业或企业标准来进行规划设计和建设工作；

在等级测评阶段，测评机构主要依据GB/T28448-2019、GB/T28449-2018和相应的行业或企业标准来规范和指导等级测评工作。

3、数据库常见的威胁有哪些？数据库测评属于哪个安全层面的？数据库测评有哪些控制点。（15分）

答案：

数据库常见威胁包括非授权访问、特权提升、SQL注入针对漏洞进行攻击、绕过访问控制进行非授权访问等。

数据库测评属于安全计算环境这个安全层面。

数据库测评控制点涉及到5个方面的内容分别为：身份鉴别、访问控制、安全审计、入侵防范以及数据备份恢复。

身份鉴别要求项：

A) 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

B) 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

C) 当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

D) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

访问控制要求项：

A) 应对登录的用户分配账户和权限；

B) 应重命名或删除默认账户，修改默认账户的默认口令；

C) 应及时删除或停用多余的、过期的账户，避免共享账户的存在；

D) 应授予管理用户所需的最小权限，实现管理用户的权限分离；

E) 应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

F) 访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

安全审计要求项：

A) 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

B) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

C) 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

D) 应对审计进程进行保护，防止未经授权的中断。

入侵防范要求项：

A) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；b)应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；

数据备份恢复要求项：

A) 应提供重要数据的本地数据备份与恢复功能；

B) 应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地

4、依据《基本要求》（GB/T 22239-2019）,针对第三级信息系统而言，在安全计算环境中适用于服务器设备对应哪些安全子类？安全计算环境中安全审计的内容是什么？相比于第二级信息系统，三级信息系统安全审计内容增加的是那一条？

答案：

三级信息系统在安全计算环境中对于服务器设备，安全子类主要包括：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据备份恢复。

安全计算环境中安全审计内容包括：

①、应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。

②、审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

③、应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。

④、应对审计进程进行保护，防止未经授权的中断。

相比于第二级信息系统，三级信息系统安全审计内容增加了 “应对审计进程进行保护，防止未经授权的中断”这一条

5、在等级测评2.0中，三级系统网络架构是从哪些方面描述的，请具体说明网络架构所包括的测评点？

答案：

网络架构是满足业务运行的重要组成部分，如何根据业务系统的特点构建网络是非常关键的。首先应关注整个网络的资源分布、架构是否合理。只有架构安全了,才能在其上实现各种技术功能，达到通信网络保护的目的。本层面重点针对网络设备的性能要求；业务系统对网络带宽的需求;网络区域的合理划分;区城间的有效防护；网络通信线路以及设备的冗余等要求进行解读说明。

测评点包括：

①、应保证网络设备的业务处理能力满足业务高峰期需要。

②、应保证网络各个部分的带宽满足业务高峰期需要。

③、应划分不同的网络区域并按照方便管理和控制的原则为各网络区域分配地址。

④、应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

⑤、应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。

6、安全建设管理的流程、定级备案流程

答案：

安全建设管理流程包括：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、

工程实施、测试验收、系统交付、等级测评、服务供应商的选择。

定级备案流程：

① 应以书面形式说明保护对象的安全保护等级及确定等级的方法和理由；

② 应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定；（若初步定级结果为第二级、第三级，可组织本行业和网络安全行业专家进行评审，若为四级，则需网络安全等级保护专家评审委员会专家进行评审。）

③ 应保证定级结果经过相关部门的批准；（上级部门或本单位相关部门批准。）

④ 应将备案材料报主管部门和相应公安机关备案。（有主管部门的，备案材料需向主管部门和公安机关备案，没有主管部门的，备案材料需向相应公安机关备案。）

7、回答工具测试接入点的原则，及注意事项？

答案：

工具测试接入点的原则：

首要原则是不影响目标系统正常运行的前提下严格按照方案选定范围进行测试。

1）由低级别系统向高级别系统探测；

2）同一系统同等重要程度功能区域之间要相互探测；

3）由较低重要程度区域向较高重要程度区域探测；

4）由外联接口向系统内部探测；

5）跨网络隔离设备（包括网络设备和安全设备）要分段探测。

注意事项:

工具测试接入测试设备之前，首先要有被测系统人员确定测试条件是否具备。测试条件包括被测网络设备、主机、安全设备等是否都在正常运行，测试时间段是否为可测试时间段等等。

接入系统的设备、工具的ip地址等配置要经过被测系统相关人员确认。

对于测试过程中可能造成的对目标系统的网络流量及主机性能方面的影响（例如口令探测可能会造成的账号锁定等情况），要事先告知被测系统相关人员。

对于测试过程中的关键步骤、重要证据，要及时利用抓图等取证。

对于测试过程中出现的异常情况（服务器出现故障、网络中断）要及时记录。

测试结束后，需要被测方人员确认被测系统状态正常并签字后退场。

8、请简述等级保护安全管理测评和安全技术测评之间的区别与联系，并举例说明。

答案：

安全技术测评体现了“从外部到内部”的纵深防御思想，对等级保护的安全防护应考虑从通信网络、区域边界和计算环境从外到内的整体防护，同时考虑其所处的物理环境的安全防护，对级别较高的还需要考虑对分布在整个系统中的安全功能或安全组件的集中技术管理手段。安全管理测评体现了“从要素到活动”的综合管理思想，安全管理需要的“机构”“制度”和“人员”三要素缺一不可，同时应对系统的建设整改过程和运行维护过程中重要活动实施控制和管理，对级别较高的需要构建完备的安全管理体系。

安全技术测评主要关注点体现在具体的安全防护措施是否满足相应的要求，安全策略是否合理，策略是否生效等具体的技术措施的实现。安全管理主要关注安全工作内容是否完善，是否形成管理体系，从政策、制度、规范、流程等方面落实完善。

安全技术测评方法主要采用检查测试，确定具体的安全防护措施和安全配置。安全管理测评方法主要采用访谈核查，确认制度信息是否完整，制度是否落实。安全管理测评师对安全技术测评的补充，同时与技术测评相互验证。

例如：安全技术测评中，网络设备的安全审计记录的信息，检测并验证日志信息信息是否完整，日志记录是否备份，记录是否有效等。在安全管理测评中，核查是否存在完善的安全运维管理日志审计记录文件，是否保留日志审计记录文档。

9、工具测评对各层面的作用，进行简单举例

答案：

利用工具测试不仅可以直接获取到目标系统本身存在的系统、应用等方面的漏洞，同时也可以通过在不同的区域接入测试工具所得到的测试结果，判断不同区域之间的访问控制情况。利用工具测试，结合其他核查手段，可以为测试结果的客观和准确提供保证。

举例说明：

安全网络通信中网络架构项要求包括：

① 应保证网络设备的业务处理能力满足业务高峰期需要；

② 应保证网络各个部分的带宽满足业务高峰期需要；

③ 应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；

④ 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段；

⑤ 应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性。

通过工具测试，可以验证区域划分的手段，有时也能简单有效发现一些VLAN划分上的问题。

安全区域边界中入侵防范项要求包括：

① 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；

② 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；

③ 应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析；

④ 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警。

通过工具测试，可以验证IDS/IPS的检查能力和报警功能，在特定区域发送一部分模拟攻击或者扫描数据包，同时观察IDS/IPS设备日志、报警。

安全计算环境中入侵防范项要求包括：

① 应遵循最小安装的原则，仅安装需要的组件和应用程序；

② 应关闭不需要的系统服务、默认共享和高危端口；

③ 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；

④ 应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；

⑤ 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；

⑥ 应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。

通过工具测试，可以验证设备服务端口的关闭情况，设备是否存在漏洞，以及对漏洞的修补情况。

10、简述除杀毒软件之外的至少三种安全技术机制，能够辅助有效地计算机病毒防治？

答案：

①、安装并合理配置主机防火墙，关闭不必要的端口和服务。

②、安装并合理配置网络防火墙，关闭不必要的网络端口和过滤不必要的应用协议。

③、安装并合理配置IDS/IPS

⑤ 、严格控制外来介质的使用

⑥ 、防御和查杀结合、整体防御、防管结合、多层防御

⑥、设置安全管理平台，态势感知系统，补丁升级平台，漏洞进行及时安装补丁，病毒库定期更新。

⑦、定期检查网络设备和安全设备的日志审计，发现可疑现象可及时进行做出相应处理。

11、中级测评师的能力要求是什么

答案：

熟悉信息安全等级保护相关政策、法规；

正确理解信息安全等级保护标准体系和主要标准内容，能够跟踪国内、国际信息安全相关标准的发展；

掌握信息安全基础知识，熟悉信息安全测评方法，具有信息安全技术研究的基础和实践经验；

具有较丰富的项目管理经验, 熟悉测评项目的工作流程和质量管理的方法，具有较强的组织协调和沟通能力；

能够独立开发测评指导书，熟悉测评指导书的开发、版本控制和评审流程；

能够根据信息系统的特点，编制测评方案，确定测评对象、测评指标和测评方法；

具有综合分析和判断的能力，能够依据测评报告模板要求编制测评报告，能够整体把握测评报告结论的客观性和准确性。

具备较强的文字表达能力；

了解等级保护各个工作环节的相关要求。

能够针对测评中发现的问题，提出合理化的整改建议。

12、在主机测试前期调研活动中，收集信息的内容(至少写出六项) ?在选择主机测评对象时应该注意哪些要点?

答案：

至少需要收集服务器主机的设备名称、型号、所属网络区域、操作系统版本、IP地址、安装的应用软件名称、主要业务应用、涉及数据、是否热备、重要程度、责任部门。

测评对象选择时应该注意重要性、代表性、完整性、安全性、共享性五大原则。

13、云数据存放在云平台中可能存在的问题以及处理措施?

答案：

云数据存放在云平台中也需保障数据的三大安全性:保密性、完整性和可用性。云数据存放在云平台中存在的安全问题有:

①.云数据在云平台中的保密性所存在的问题主要有:云数据的泄露包括数据存储位置造成的泄露，管理对数据使用不当所造成的泄露，云平台遭受黑客攻击所造成的数据泄露等;

②.云数据在云平台中的完整性和可用性所存在的问题主要有:数据在迁移过程中所造成的数据丢失或破坏,因对数据的管理不当所造成的数据丢失等。

主要的处理措施;

① .应与具有合法资质的中国大陆的云服务商合作,使用其云平台;

②.应云平台的管理员进行严格的管理，实现权限分离和最小化的权限管理，防止因为权限过大造成管理员访问了不必要的数据造成数据泄露。

③.应对云平台中的云数据进行加密。

④.应定期对数据进行备份，包括本地备份、同平台备份和跨平台的云数据备份，并定期进行恢复性验证保证数据的完整性和可用性。

14、等级保护2.0中,三级系统网络安全设备防护有哪些要求项

答案：

身份鉴别、访问控制、安全审计，入侵防范，恶意代码防范，可信验证身份鉴别

A)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换;

B)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。

C)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听;

D)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现;

访问控制要求项;

A)应对登录的用户分配账户和权限;

B)应重命名或删除默认账户，修改默认账户的默认口令;

C)应及时删除或停用多余的、过期的账户，避免共享账户的存在;

D)应授予管理用户所需的最小权限，实现管理用户的权限分离;

E)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则;

F)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;

安全审计要求项:

A)应启用安全审计功能，审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

B)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

C)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等;

D)应对审计进程进行保护,防止未经授权的中断。

入侵防范要求项:

A)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;

B)应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏

15、请完成以下任务:

1）描述对象选择方法并给出结果;

2）描述测评指标的选择方法;

3）描述生成主机或网络测评作业指导书的主要步骤和注意事项;

4）根据测评经验，选择工具测试的接入点和扫描路径（可用文字描述)。

答案：

1）在确定测评对象时,需遵循以下原则:

A恰当性,选择的设备、软件系统等应能满足相应等级的测评强度要求;

B重要性,应抽查对被测系统来说重要的服务器、数据库和网络设备等;

C安全性,应抽查对外暴露的网络边界;

D共享性,应抽查共享设备和数据交换平台/设备;

E代表性,抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统类型

2）

A根据被测系统调查表格,得出被测系统的定级结果,包括业务信息安全保护等级和系统服务安全保护等级,从而得出被测系统应采取的安全保护措施 ASG 组合情况

B从 GB/T 22239-2008 中选择相应等级的安全要求作为测评指标,包括对 ASG三类安全要求的选择。举例来说,假设某信息系统的定级结果为∶安全保护等级为3级,业务信息安全保护等级为2级,系统服务安全保护等级为3级;则该系统的测评指标将包括GB/T22239-2008"技术要求"中的3级通用安全保护类要求(G3),2 级业务信息安全类要求(S2),3级系统服务保证类要求(A3)，以及第3级“管理要求"中的所有要求。

C对于由多个不同等级的信息系统组成的被测系统,应分别确定各个定级对象的测评指标。如果多个定级对象共用物理环境或管理体系,而且测评指标不能分开,则不能分开的这些测评指标应采用就高原则。

D分别针对每个定级对象加以描述,包括系统的定级结果、指标选择两部分。其中,指标选择可以列表的形式给出。

3）测评指导书是具体指导测评人员如何进行测评活动的文件.是现场测评的工具、方法和操作步骤等的详细描述,是保证测评活动可以重现的根本。因此,测评指导书应当尽可能详尽、充分。

①确定测评对象

②选择测评指标

③分解/量化测评指标

④确定测评实施:测评方法、测评步骤、结果记录

⑤确定预期结果

⑥验证测评指导书

⑦形成测评指导书

4）选择工具测试的接入点

①从外到内