网络安全技术第三章案例分析题答案.docxVIP

第PAGE页共NUMPAGES页

网络安全技术第三章案例分析题答案

案例分析题（共5题，总分30分）

题目一（3题，共6分）

背景：某金融机构位于上海，其核心业务系统存储大量客户敏感信息。2023年5月，该机构发现部分数据库记录出现异常修改，且日志中存在多条伪造的登录行为。安全团队初步判断可能是内部员工恶意操作，但需进一步确认。

问题：

1.该机构应采取哪些技术手段调查内部威胁？（3分）

2.若调查发现某员工离职后仍能访问系统，可能存在哪些风险？（2分）

3.如何完善该机构的访问控制策略以降低类似事件发生？（1分）

题目二（4题，共8分）

背景：某电商公司总部位于深圳，2023年双十一期间遭遇DDoS攻击，导致网站访问缓慢，部分订单系统瘫痪。攻击流量主要来自东南亚地区的僵尸网络。

问题：

1.该公司应如何快速识别并缓解DDoS攻击？（2分）

2.攻击者选择东南亚僵尸网络的原因可能是什么？（2分）

3.该公司应采取哪些措施预防未来类似攻击？（2分）

4.若公司购买了云清洗服务，应如何优化配置以提高效率？（2分）

题目三（5题，共10分）

背景：某政府单位位于北京，其政务系统于2023年12月遭受勒索软件攻击。攻击者通过钓鱼邮件植入恶意软件，加密系统文件并索要赎金。安全团队在发现时已无法恢复关键数据。

问题：

1.攻击者选择钓鱼邮件作为攻击媒介的可能原因是什么？（2分）

2.该单位应如何备份和恢复系统以防范勒索软件？（3分）

3.攻击者加密文件后要求支付比特币，该单位如何应对？（2分）

4.若未来再次发生类似事件，该单位应改进哪些安全机制？（2分）

题目四（3题，共6分）

背景：某制造业企业位于江苏，其生产控制系统（ICS）于2023年10月被植入Stuxnet类恶意软件，导致部分设备运行异常。安全团队通过分析内存快照发现恶意代码的传播路径。

问题：

1.Stuxnet类恶意软件为何难以检测？（2分）

2.该企业应如何隔离ICS网络以防止横向扩散？（2分）

3.若恶意软件已感染核心设备，应采取哪些补救措施？（2分）

题目五（5题，共10分）

背景：某医疗机构位于广州，其电子病历系统于2023年9月遭遇SQL注入攻击，导致部分患者数据泄露。攻击者利用系统漏洞获取数据库权限，并下载敏感文件。

问题：

1.该机构应如何修复SQL注入漏洞？（2分）

2.攻击者下载敏感文件后可能用于哪些非法活动？（2分）

3.该机构应如何加强数据库安全防护？（2分）

4.若患者数据泄露，该机构需承担哪些法律责任？（2分）

答案与解析

答案一（6分）

1.调查手段：

-日志分析：检查系统、数据库、应用日志，查找异常登录、权限变更、数据修改等行为。

-终端检测：使用EDR（终端检测与响应）工具扫描员工设备，排查恶意软件或异常进程。

-内部流量监控：分析网络流量，识别非正常数据传输或加密通信。

-用户行为分析（UBA）：通过机器学习识别异常操作模式，如高频权限申请、深夜访问等。

2.风险点：

-数据泄露：离职员工可能窃取客户信息或商业机密。

-权限滥用：若未及时撤销权限，离职员工仍可访问敏感系统。

-恶意破坏：员工可能故意删除数据或篡改记录。

3.访问控制优化：

-最小权限原则：按需分配权限，避免员工过度访问。

-定期权限审计：每月审查账户权限，及时撤销离职员工权限。

-多因素认证（MFA）：强制启用MFA，降低密码泄露风险。

答案二（8分）

1.缓解措施：

-流量清洗服务：使用云服务商（如阿里云、腾讯云）的DDoS防护产品，自动识别并过滤攻击流量。

-黑洞路由：将攻击流量导向黑洞路由器，阻断恶意访问。

-速率限制：配置防火墙规则，限制单IP或协议的访问频率。

2.攻击动机：

-成本低廉：东南亚僵尸网络通常价格低廉，易获取。

-运营商弱监管：部分东南亚运营商对僵尸网络管理不严格，便于隐藏。

-地理分散性：多IP来源可降低溯源难度。

3.预防措施：

-流量分析：部署SIEM（安全信息与事件管理）系统，实时监控异常流量。

-DNS防护：使用CDN（内容分发网络）缓存DNS解析，避免DDoS攻击。

-员工培训：定期开展安全意识培训，减少人为失误。

4.云清洗服务优化：

-分层防护：结合云防火墙和清洗服务，先过滤低速流量再清洗高速流量。

-黑白名单：配置可信IP白名单，减少误伤正常流量。

-策略调整：根据攻击类型动态调整清洗规则，提高清洗效率。

答案三（10分）

1.钓鱼邮件动机：

-员工疏忽：钓鱼邮件利用员工缺乏安全意识，通过伪造邮件域名或附件诱骗点击。

-成本低廉：相比其他攻击方式，钓鱼邮件制作简单且成本低。

2.备份与恢复策略：

-定期备份：每日备