2021年信息安全工程师考试案例分析讨论.docxVIP

2021年信息安全工程师考试案例分析讨论 信息安全工程师考试案例分析讨论（二） \o 信息安全工程师考试因为是首次开考，案例分析试题资源比较少，希赛软考学院为大家整理了几篇信息安全工程师案例分析讨论，期望对大家能有所帮助。 案例背景： 张三是一个大型软件企业程序员，其工作是编写和测试部分工具软件。她所在企业采取两班轮换制：白天进行程序开发和联机操作，晚上完成产品批处理工作。张三经过访问工作负荷数据了解到，晚上批处理工作是白天编程工作补充。也就是说，在晚班时增加程序设计工作，不会太多地影响她人使用计算机操作性能。 张三利用晚班时间，花费多个小时编程，开发了一个管理自己股票清单程序，以后又回到她企业产品批处理工作。她编程对系统消耗很小，耗材极少，几乎觉察不到。 张三做法违反法律吗？行为道德吗？ 讨论： 1、资产拥有权问题。计算机资产和时间人员资产。只为企业工作需要提供资源。 2、一人行为对她人影响问题。尽管程序对系统消耗很小，程序也简单，通常情况也可能无影响。但不能确保程序中没有漏洞。如有就会对系统造成严重影响或故障。 3、普遍性问题。假如张三行为能够接收，很多人全部这么作，就可能影响系统效率。 4、检测可能性和处罚问题。不轻易发觉并不是不能检测到，假如企业确定她行为不妥，就会受四处罚。 案例背景 最近网上热炒一个帖子，一名清华理科生依据影星王珞丹微博，推理出王珞丹住址。关键过程包含，依据王珞丹微博提到她当演员这么多年，还没在四环以里买房子，而且在其它微博中提到她在四环堵车情况，能够知道王珞丹住四环外，然后再依据她发两张从家里拍小区照片，大致知道小区中有一个大四方形花坛。然后在谷歌 earth上找北京，找到有方形花坛小区，然后再依据照片拍摄位置和角度，就找到了王珞丹住住址。 奥运会举行前，因为国家领导万无一失要求，北京进行了大规模信息系统安全性检验，我参与了很多系统安全性测试，碰到了这么一个案例。 北京某区政府门户网站上，经过搜索网站，找到了一个邮箱使用说明,该网页说明了怎样使用区政府公务员邮件系统。其中有以下描述： 从这一段描述中，能够取得以下信息，邮箱命名方法通常见汉字拼音第一个字母，密码默认六个1,那么对于攻击者，只要在网上找找，就能找到区关键领导名字、关键部门名称，再据此进行攻击。不过在此次测试中不需要，因为帮助说明最终给出了区关键领导邮件地址（编写者是为了方便人员发邮件，直接告诉她人，给哪个部门发邮件发哪个邮箱等）。对这些公布邮件进行了简单口令测试（纲领只测了五分钟后），相关键领导邮箱密码还未改变，有两位领导已经改变，不过改得有些简单，123456，和没改一样。登录进行，看到了给领导发汇报材料，请示之类。还好我只是测试人员，不是XX功人员，不然以此领导邮箱群发个XX功宣传邮件，我想在当初保奥运严格要求形势下，应该反应会比较猛烈，后果很严重。 从铁人王进喜照片泄密案到现在影星隐私泄露表明，很多时候，信息安全问题是在不经意间产生。公开信息会出卖你，不要太不认为意，信息安全如是，生活中如是。 案例背景 七月，处理了一起服务器入侵事件，这起事件能够说是很一般入侵案件，每十二个月全部会处理很多起，也没有什么技术含量，只是这起案件带来了部分对安全思索。因为前几天写一个案例被杨泉老师说要作为案例在讲课时候进行介绍，为了给以后各位老师们提供素材，所以准备逐步把自己做这么多年安全中碰到过案例逐步写出了，给各位CISP老师和其它信息安全培训讲师做参考。 事件起因很简单：管理员发觉一台服务器被入侵，不过不知道怎样被入侵，恰好此单位信息化领导是好友，请我去帮忙看看。简单了解了一下情况，服务器前有防火墙，只开放了80、3389端口，服务器补丁打全了。根据老习惯怀疑可能SQL注入，不过看web日志前，习惯性先简单看了看服务器日志，发觉服务器安全日志中存在多个互联网IP地址从远程终端登录统计，甚至有在夜间。于是问了一下管理员和开发商人员，在统计时间段内是否进行过登录，回复均没有在那个时间登录过，初步判定可能是密码被猜出来，攻击者直接从终端服务进行了远程登录，登录到系统上进行了操作。 问管理员密码情况怎样，管理员说我们密码安全性应该比很好，有字母、有特殊字符，而且12位长，问之什么密码，答约：zaq12wsxZAQ! WSX。大家看起来应该比较复杂，仔细看一下你计算机键盘，其实就是最左边一排键，从下按到上，兜一圈按下来，然后按着shift键再重按一次。自认为聪慧管理员啊，这种密码设置方法，攻击者全部知道了，不再是安全密码了，案例很简单，似乎没有什么参考价值，其实其中牵涉到了密码设置问题。 账号密码设置是信息安全中最基础安全方法，尽管很简单，不过任然有大量安全事件和密码相关，怎样设置一个好密码，其实是一门学问。很多安全资料。全部提到设置密码，提