等级保护测评师简答题(附答案).pdfVIP

等级保护测评师简答题（附答案）

1、简述单位、组织的信息安全管理工作如何与公安机关公共信息网络安全检查部门（公安

网监部门）相配合。

答：

单位、组织的信息安全管理工作与公安机关公共信息网络安全监察部门之间的配合主要体现

在以下方面：

（1）单位、组织的信息安全管理，必须遵循信息安全法律、法规对于安全管理职责、备案、

禁止行为、安全管理制度和安全技术机制要求等方面的内容规定。

（2）法律、法规赋予公安机关公共信息网络安全监察部门对信息安全的监管职责，各单位、

组织必须接受和配合公安机关公共信息网络安全监察部门的监督和检查。

（3）在发生信息安全案件后，单位、组织应当及时向公安机关公共信息网络安全监察部门

报案，并在取证和调查等环节给予密切配合。

2、国家为什么要实施信息安全等级保护制度

答：

1、信息安全形势严峻

1）来自境内外敌对势力的入侵、攻击、破坏越来越严重。

2）针对基础信息网络和重要信息系统的违法犯罪持续上升。

3）基础信息网络和重要信息系统安全隐患严重。

2、维护国家安全的需要

1）基础信息网络与重要信息系统已成为国家关键基础设施。

2）信息安全是国家安全的重要组成部分。

3）信息安全是非传统安全，信息安全本质是信息对抗、技术对抗。

4）我国的信息安全保障工作基础还很薄弱。

3、安全审计按对象不同，可分为哪些类？各类审计的内容又是什么？（12分）

答：系统级审计，应用级审计，用户级审计。

系统级审计：要求至少能够记录登陆结果、登录标识、登陆尝试的日期和时间、退出的日期

和时间、所使用的设备、登陆后运行的内容、修改配置文件的请求等。

应用级审计：跟踪监控和记录诸如打开和关闭数据文件，读取、编辑和删除记录或字段的特

定操作以及打印报告之类的用户活动。

用户级审计：跟踪通常记录用户直接启动的所有命令、所有的标识和鉴别尝试的所有访问的

文件和资源。

4、身份认证的信息主要有哪几类？并每项列举不少于2个的事例。

答：身份认证的信息可分为以下几类：

1）用户知道的信息，如个人标识、口令等。

2）用户所持有的证件，如门卡、智能卡、硬件令牌等。

3）用户所特有的特征，指纹、虹膜、视网膜扫描结果等。

5、回答你对安全审计的理解，并结合实际案例说明安全审计的部署

6、入侵检测系统分为哪几种，各有什么特点？（10分）

答：主机型入侵检测系统（HIDS），网络型入侵检测系统（NIDS）。

HIDS一般部署在下述四种情况下：

1）网络带宽高太高无法进行网络监控

2）网络带宽太低不能承受网络IDS的开销

3）网络环境是高度交换且交换机上没有镜像端口

4）不需要广泛的入侵检测

HIDS往往以系统日志、应用程序日志作为数据源；检测主机上的命令序列比检测网络

流更简单，系统的复杂性也少得多，所以主机检测系统误报率比网络入侵检测系统的误报率

要低；他除了检测自身的主机以外，根本不检测网络上的情况，而且对入侵行为分析的工作

量将随着主机数量的增加而增加，因此全面部署主机入侵检测系统代价比较大，企业很难将

所有主机用主机入侵检测系统保护，只能选择部分主机进行保护，那些未安装主机入侵检测

系统的机器将成为保护的忙点，入侵者可利用这些机器达到攻击的目标。依赖于服务器固有

的日志和监视能力，。如果服务器上没有配置日志功能，则必须重新配置，这将给运行中的

业务系统带来不可预见的性能影响。

NIDS一般部署在比较重要的网段内，它不需要改变服务器等主机的配置，由于他

不会在业务系统的主机中安装额外的软件，从而不会影响这些机器的CPU、I/O与磁盘等资

源的使用，不会影响业务系统的性能。NIDS的数据源是网络上的数据包。通过线路窃听的

手段对捕获的网络分组进行处理，从中获取有用的信息。一个网段上只需要安装一个或几个

这样的系统，便可以检测整个网络的情况，比较容易实现。由于现在网络的日趋复杂和高速

网络的普及，这种结构正接受者越来越大的挑战。

7、ARP地址欺骗的分类、原理是什么？可采取什么措施进行有效控制？（10分）

答：一种是对网络设备ARP表的欺骗，其原理是截获网关数据。它通知网络设备一系列错

误的内网MAC地址，并按照一定的的频率不断进行，使真实的的地址信息无法通过更新保

存在网络设备中，结果网络设备的所有的数据只能发给错误的MAC地址，造成正常PC无法

收到信息。

另一种是对内网PC的网关欺骗。其原理是建立假网关，让被它欺骗的PC向假网关发数据，

而不是通过正常的途径上网。