A、教员工认识网络设备 B、做好安全策略 C、设置双重异构防火墙 D、定期组织企业内部的全员信息安全意识强化培训
66. 包过滤在本地端接收数据包时,一般不保留上下文,只根据( )做决定。
A、以前数据包的内容 B、目前数据包的内容 C、以前数据包的数据信息 D、目前数据包的数据信息
68. 入侵检测技术起源于( )技术。
A、网络管理 B、数据库 C、防火墙 D、安全审计
69. 作为组织具有价值的信息或资源,( )是安全策略保护的对象。 A、系统 B、资产 C、财产 D、信息
70. 审计追踪日志中,一般不会包括( )信息。
A、授权用户列表 B、被获取的数据 C、进行尝试的终端 D、事件或交易尝试的类型
72. 渗透性测试属于( )所采用的方法。
A、资产识别 B、安全措施识别 C、威胁识别 D、脆弱性识别
73. ( )类型的攻击,攻击者在远程计算机使用一个自复制产生流量的程序。 A、字典攻击 B、病毒攻击 C、非法服务器攻击 D、劫持攻击
74. 以下对安全风险的描述最准确的是( )。 A、安全风险是指一种特定脆弱性利用一种或一组威胁造成组织的资产损失或损害的可能性 B、安全风险是指资产的脆弱性被威胁利用的情形 C、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性 D、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失事件
75. 以下( )威胁不可以通过防火墙设置予以缓解或解决。
A、针对特定协议和端口的蠕虫攻击 B、针对电脑的扫描 C、针对特定网络服务的拒绝服务攻击 D、针对网页ASP脚本的数据库注入攻击
76. 假设网络 202.110.8.0 是一个危险的网络,那么就可以用( )禁止内部主机和该网 络进行通信。
A、源地址过滤 B、根据防火墙具体配置,设置源地址或目的地址过滤 C、源端口过滤 D、目的地址过滤
77. 防火墙的路由模式配置中DNAT策略里的转换后的地址一般为 ( )。
A、防火墙外网口地址 B、服务器的IP地址 C、防火墙DMZ口地址 D、防火墙内网口地址
16
78. 在安全评估过程中,采取( )手段,可以模拟黑客入侵过程,检测系统安全脆弱性。
A、脆弱性评估 B、手工检查 C、渗透性测试 D、风险分析测试
79. UNIX 和 Windows NT 操作系统是符合( )级别的安全标准。 A、A级 B、D级 C、C级 D、B级
80. 防火墙的透明模式配置中在网桥上配置的ip主要用于( )。 A、管理 B、双机热备 C、NAT转换 D、保证连通性
题二(2):判断题:
1. 入侵检测系统IDS通过对计算机网络或计算机系统中的若干关键点的信息收集和信息分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,并实时做出安全响应。( ) 2. 国家电网公司管理信息大区中的信息内外网间使用的是正向隔离装置。( )
3. 如果某个网络告知有威胁来自我方网络。在这种情况下,我们在验证对方身份后,将管理权限给予对方,同时自己对本方网络进行调查监控,做好相互配合。( )
4. 病毒是一段可执行代码,可以将自己负载在一个宿主程序中。病毒感染可执行文件或脚本程序,从不感染数据文件和文档。( )
5. 安全的口令,长度不得小于 6 位字符串,要求是字母和数字或特殊字符的混合,用户 名和口令禁止相同。( )
6. 加密技术不仅可以保证信息的机密性,而且可以保证信息的完整性,还能够实现通信用户间的身份认证和不可否认性。( )
7. 任何一种协议都是建立在双方的基础上的,信息流也是双向的,所以在考虑允许内部用户访问Internet时,必须允许数据包不但可以出站而且可以入站。( )
8. 允许内部主机以Telnet方式访问Internet上的任何主机,包过滤防火墙策略配置中内部访问外部的策略的源端口为23。( ) 9. 宏属于恶意代码。( )
10. 在 Windows 操作系统安全模式下,木马程序不能启动。( ) 11. 入侵检测系统可以弥补企业安全防御系统中的安全缺陷和漏洞。( )
题二(3):简答题:
1. 入侵检测系统主要分为哪两类,它们各自的特点是什么? 基于主机的入侵检测系统和基于网络的入侵检测系统。
(1)基于主机的入侵检测系统。 用于保护单台主机不受网络攻击行为的侵害,需要安装在被保护的主机上。 直接与操作系统相关,控制文件系统以及重要系统文件,确保操作系统不会被随意删除。 按检测对象不同,分为两种:
1)网络链接检测。 网络链接检测是对试图进入主机的数据流进行检测,分析确定是否有入侵行为,避免或减少这些数据流进入主机系统后造成损害。 作用:有效地检测出是否存在攻击探测行为。 管理员:设置好访问控制列表,审核。
2)主机文件检测。 主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。
17
(2)基于网络的入侵检测系统。 1)网络链接检测。
网络链接检测是对试图进入主机的数据流进行检测,分析确定是否有入侵行为,避免或减少这些数据流进入主机系统后造成损害。 作用:有效地检测出是否存在攻击探测行为。 管理员:设置好访问控制列表,审核。
2)主机文件检测。 主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。
3. 桌面计算机病毒和木马主要有哪些传播途径?
计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码,具有自我繁殖、大量传播和破坏系统 的特点。计算机病毒主要通过文件系统、电子邮件、网页、即时通信软件和点对点软件、操 作系统漏洞、U 盘、移动硬盘等进行传播。
木马程序是指潜伏在电脑中,受外部用户控制以窃取本机信息或控制权的程序。它是具有欺骗性的恶意程序,是一种基于远程控制的黑客工具,具有隐蔽性、非授权性和恶意窃取 信息的特点。木马程序主要通过邮件附件、程序下载、网页、U 盘、移动硬盘等进行传播。
题二(4):仿真题:
1. Windows 2003 平台安全性加固
按照国家电网公司“SG186 工程”信息化建设要求,公司开发建设了某应用系统,系统采用 Windows 2003 平台提供服务,根据等级保护建设和公司信息安全要求,需要根据如下具体要求对系统进行配置和安全加固。
(1)对操作系统的用户进行身份标识及具有不易被冒用的特点。禁用不必要的账号,并对用户口令复杂度设定及用户口令定期更换设置,同时设置系统管理员账号为非常规账号。
(2)增强日志审核,调整审核策略,调整事件日志的大小和覆盖策略。 (3)为进一步提高系统安全性,禁用匿名用户连接(空连接),禁用系统显示上次登录的用户名,删除主机默认共享,禁止 dump file 的产生。
(1)的答案:
1)本地安全设置 | 账户策略 | 密码策略,对密码策略进行设置。密码复杂性要求:启 用。密码长度最小值:8 字符;密码最短存留期:0 天。
2)本地安全设置 | 账户策略 | 账户锁定策略,对账户锁定策略进行设置;复位账户锁 定计数器:15 分钟。账户锁定时间:15 分钟。账户锁定阈值:5 次。
3)更改默认管理员账号,本地安全设置 | 本地策略 | 安全选项 | 重命名系统管理员账号。 4)计算机管理 | 系统工具 | 本地用户和组 | 用户,删除非法账号或多余账号。 (2)的答案:
1)本地安全设置 | 本地策略 | 审核策略,进行审核策略调整。修改安全策略为下述值: 审核策略更改成功
审核登录事件
2)管理工具 | 事件查看器,设置应用程序、安全性、系统三者的默认“最大日志文件 大小”和
18
“覆盖策略”。
应用程序、安全性、系统三者的“最大日志文件大小”调整为 16384K;覆盖策略调整为 “改写久于 30 天的事件”。 (3)的答案:
1)禁止匿名用户连接,修改注册表如下键值:
HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa
“restrictanonymous”的值修改为“1”,类型为 REG_DWORD。 2)禁止系统显示上次登录的用户名,修改注册表如下键值:
HKLM\\Software\\Microsoft\\WindowsNT\\CurrentVersion\\Winlogon\\ DontDisplayLastUserName 把 REG_SZ 的键值改成 1。
3)删除主机默认共享,增加注册表键值。
HKLM\\SYSTEM\\CurrentControlSet\\Services\\lanmanserver\\parameters Autoshareserver 项,并设置该值为“1”。
4)禁止 dump file 的产生。
控制面板 | 系统属性 | 高级 | 启动和故障恢复,把“写入调试信息”改成无。
2. 配置Windows Server 2003服务器安全设置
如何对默认安装的 Windows Server 2003 服务器进行安全设置操作,以防范 IPC$入侵。 1、操作注册表,实现禁止空连接进行枚举。 2、Windows命令操作。
(1)察看各共享资源。 (2)删除列出的共享资源。 3、操作注册表,删除默认共享。 4、取消网络的文件和打印机共享。 5、防止IPC$入侵通道的TCP端口筛选。
1、禁止空连接进行枚举(此操作并不能阻止空连接的建立)。 RestrictAnonymous:0x00000001 2、Windows命令操作。
(1)察看本地共享资源:net share
(2)删除admin共享:net share admin$ /delete (3)删除C共享:net share c$ /detete 3、修改注册表,删除默认共享。
AutoShareServer:0x00000000
4、取消“文件和打印机共享”与网络适配器的绑定
Microsoft网络的文件和打印机共享:Microsoft 网络文件的共享和打印机的共享被取消 5、利用 TCP/IP 筛选。
TCP端口设置:不能出现139或者443端口
19
题三(1):选择题
1. 下列描述中,属于SNMP、Telnet和FTP共性的安全问题的是( )。
A、主要的服务守护进程存在严重系统漏洞 B、明文传输特性 C、都可以匿名连接 D、在建立连接过程中,缺少认证手段
2. 责任机制对于实现安全性策略是很重要的,从系统用户来说,( )在严格的责任机制中的作用最小。
A、审计要求 B、密码 C、授权控制 D、身份鉴别控制
3. 下列不属于风险评估的方法是( )。
A、定性分析 B、定量分析 C、综合定量定性分析 D、数字分析
4. 如果将风险管理分为风险评估和风险减缓,那么以下哪个不属于风险减缓的内容( )。 A、计算风险 B、选择合适的安全措施 C、授受残余风险 D、实现安全措施
5. 在信息系统安全中,风险由以下( )因素共同构成的。
A、攻击和脆弱性 B、威胁和攻击 C、威胁和破坏 D、威胁和脆弱性
6. PKI系统所有的安全操作都是通过( )来实现的 。 A、网络认证 B、数字证书 C、密码技术 D、安全协议
7. 对不同的身份鉴别方法所提供的防止重放攻击的功效,按照从大到小的顺序,以下排列正确的是( )。
A、仅有密码,密码及个人标识号(PIN),口令响应,一次性密码 B、密码及个人标识号(PIN),口令响应,一次性密码,仅有密码 C、口令响应,密码及个人标识号(PIN) ,一次性密码,仅有密码 D、口令响应,,一次性密码,密码及个人标识号(PIN),仅有密码
10. 下面哪一项不是主机型入侵检测系统的优点( )。 A、性能价格比高 B、视野集中 C、占资源少 D、敏感细腻
11. 什么是入侵检测,下列哪一个说法最准确( )。
A、用于检测系统中那些违背了安全策略或危及系统安全的行为或活动 B、检测黑客行为 C、检测内部人员的越权行为 D、检测内部工作人员的行为
12. 状态检测技术能在( )实现所有需要的防火墙能力。 A、网络层 B、数据层 C、应用层 D、传输层
17. 外部机构访问信息系统所需进行的风险分析不需要考虑下列哪一事项( )。
A、第三方的访问对本机构信息架构可能产生的安全风险及影响 B、第三方需要访问的信息类型
20