測評師考試設計題整理01定級為S2A2G2,描述網(wǎng)絡存在的問題答案：1、邊界訪問控制設備缺少，解調(diào)制設備ABC處無防火墻2、未對關鍵網(wǎng)絡節(jié)點處（如核心交換機處）監(jiān)視網(wǎng)絡攻擊行為，缺少IPS/IDS等設備3、未對關鍵網(wǎng)絡節(jié)點處進行惡意代碼檢測4、未對網(wǎng)絡邊界、重要網(wǎng)絡節(jié)點進行安全審計，缺少APT、全流量分析設備5、未給予可信跟對邊界設備進行可信驗證6、缺少日志服務器、綜合日志審計設備等。02根據(jù)拓撲圖，進行修改，修改后的拓撲圖：這個圖一要弄懂，學通，很經(jīng)典的案例！考試的時候以不變應萬變！答案：一、設備清單：下一代防火墻（含IPS、AV）綜合日志審計系統(tǒng)堡壘機數(shù)據(jù)庫審計系統(tǒng)殺毒軟件數(shù)據(jù)備份系統(tǒng)網(wǎng)絡準入VPN入侵檢測漏洞掃描系統(tǒng)HTTPS負載均衡防火墻安全隔離網(wǎng)閘APT蜜罐CA認證系統(tǒng)態(tài)勢感知平臺云安全防護平臺二、部署設備1、防火墻：在互聯(lián)網(wǎng)出口的增加一臺防火墻保證出口防火墻的高可用性，2、負載均衡：在ISP運營商接入處部署一臺負載均衡用于鏈路負載，保證鏈路的高可用性，3、網(wǎng)閘：在DMZ區(qū)部署一臺網(wǎng)閘用于內(nèi)部數(shù)據(jù)的擺渡及白名單訪問控制，4、APT或威脅情報分析系統(tǒng)：在核心交換機旁路部署一臺APT或威脅情報分析系統(tǒng)來替換傳統(tǒng)的入侵檢測系統(tǒng)，對新型的網(wǎng)絡攻擊進行檢測和分析攻擊者的路徑、來源和身份等信息；5、蜜罐：安全管理區(qū)部署蜜罐系統(tǒng)將出口流量引至該系統(tǒng)中來虛擬應用環(huán)境誘捕攻擊者、鎖定攻擊路徑固定證據(jù)，此系統(tǒng)在每年的專項行動和HW行動中可以發(fā)揮出最大效益，6、部署CA認證系統(tǒng)：對內(nèi)部人員的賬戶、證書統(tǒng)一管理實現(xiàn)強身份認證，同時還滿足雙因素認證要求，態(tài)勢感知平臺將所有設備日志匯總到平臺進行匯總，利用計算模型、搜索引擎和大數(shù)據(jù)算法等技術手段分析出網(wǎng)絡安全威脅，進而提前發(fā)現(xiàn)即將發(fā)生的安全事件進行預警，當然還有一個關鍵點是可以統(tǒng)一風險展示，界面酷炫，可視化高，7、數(shù)據(jù)防泄露系統(tǒng)（DLP）：數(shù)據(jù)安全才是重中之重，數(shù)據(jù)是一個企業(yè)的核心資產(chǎn)、是命脈，但是最大的安全威脅往往來自內(nèi)部，所以在預算充足的情況還建議部署一臺數(shù)據(jù)防泄露系統(tǒng)（DLP）來對所有流經(jīng)出去的核心數(shù)據(jù)做標記、做策略來限制數(shù)據(jù)被非法轉(zhuǎn)移、刪除、拖庫等行為，最大程度的保證數(shù)據(jù)的安全，也能滿足正在起草的數(shù)據(jù)安全法中的一些基本要求。03場景：某單位建有業(yè)務1和業(yè)務2兩個業(yè)務系統(tǒng)，其中業(yè)務1向互聯(lián)網(wǎng)公眾提供服務，業(yè)務2向單位內(nèi)部員工和外聯(lián)單位提供服務。兩套系統(tǒng)均通過認證服務器實現(xiàn)對應用系統(tǒng)用戶的登錄驗證，通過補丁服務器和防病毒服務器實現(xiàn)對系統(tǒng)補丁和病毒庫的及時更新，各服務器內(nèi)所產(chǎn)生的日志均傳送至日志服務器保存。單位員工辦公終端和系統(tǒng)運維終端部署于終端區(qū)。安全支撐區(qū)部署一臺入侵檢測設備，并通過對經(jīng)過核心交換的流量進行分析實現(xiàn)對入侵行為的檢測報警，同時安全支撐區(qū)部署有一臺安全審計設備。目前訪問控制策略在防火墻上做了較為嚴格的配置，通過交換機劃分了各個VLAN。具體拓撲結構如下圖所示。業(yè)務1定級結果為：S3A3G3，業(yè)務2定級結果為：S2A2G2。結合以上場景及拓撲分析業(yè)務1系統(tǒng)在網(wǎng)絡架構方面存在哪些安全隱患？分析：1、從場景描述來看，業(yè)務1和業(yè)務2首先安全級別不一樣，而且服務對象也不一樣，業(yè)務2不需要向互聯(lián)網(wǎng)提供服務，將這兩個系統(tǒng)籠統(tǒng)劃在一個區(qū)內(nèi)明顯不合理。2、另外，對于運維終端和辦公終端也未明確劃分不同區(qū)域。3、外聯(lián)單位通過核心交換直接訪問服務器，中間缺少安全隔離措施。

核心交換一旦發(fā)生故障，將直接導致系統(tǒng)內(nèi)所有服務全部中斷；

防火墻中斷將直接導致業(yè)務1不能正常對外提供服務。答案：1、網(wǎng)絡區(qū)域劃分不合理，業(yè)務1和業(yè)務2安全級別和服務對象都不相同，應劃分不同區(qū)域部署。辦公終端和運維終端部署于同一區(qū)域，未劃分不同的區(qū)域。2、服務器區(qū)與外聯(lián)區(qū)以及終端區(qū)之間缺少相應的隔離手段，保障服務器區(qū)的安全性。3、網(wǎng)絡結構中存在單點故障，防火墻、核心交換機等關鍵節(jié)點設備均為單設備運行，一旦出現(xiàn)故障，直接影響業(yè)務系統(tǒng)的正常運行。04以下是某個單位信息系統(tǒng)網(wǎng)絡拓撲圖，被測單位擬將此系統(tǒng)定為二級，作為測評人員請結合“GB/T22239-2019《信息安全技術網(wǎng)絡安全等級保護基本要求》”第二級安全通用要求中“安全通信網(wǎng)絡”及“安全區(qū)域邊界”的相關要求，在不考慮設備相關安全配置的前提下，簡述此網(wǎng)絡結構存在的安全問題并給出整改建議。通過分析網(wǎng)絡拓撲發(fā)現(xiàn)以下安全問題：1.

網(wǎng)絡邊界未部署訪問控制設備。2.網(wǎng)絡中未部署入侵防御/入侵檢測設備。3.網(wǎng)絡中未部署防惡意代碼設備。4.網(wǎng)絡中未部署集中審計設備。整改建議：1.建議網(wǎng)絡邊界部署訪問控制設備，并啟用訪問控制策略，策略細粒度達到端口級。2.建議網(wǎng)絡中部署入侵防御/入侵檢測設備，并定期更新特征庫版本。3.建議網(wǎng)絡中部署防病毒網(wǎng)關，并定期更新病毒庫版本。4.建議部署集中審計設備，實現(xiàn)對網(wǎng)絡設備、安全設備、服務器的集中審計。答案二：安全通信網(wǎng)絡-控制項一、網(wǎng)絡架構1、問題：網(wǎng)絡拓撲圖中，業(yè)務處理域直接連接到核心交換機，缺乏有效的網(wǎng)絡分段和隔離措施。整改建議：應采用VLAN（虛擬局域網(wǎng)）技術對不同業(yè)務系統(tǒng)進行邏輯隔離，確保不同業(yè)務系統(tǒng)之間的通信安全。同時，可以考慮部署網(wǎng)絡隔離設備，如防火墻，進一步增強網(wǎng)絡隔離效果。2、問題：圖中僅顯示了兩臺核心交換機，但未明確說明是否具備冗余配置。整改建議：應確保核心網(wǎng)絡設備具備冗余配置，如采用雙機熱備或負載均衡等方式，提高網(wǎng)絡的可用性和穩(wěn)定性。二、通信傳輸問題：圖中未顯示任何網(wǎng)絡通信加密措施。整改建議：應在重要網(wǎng)絡通信鏈路上部署加密設備或采用加密通信協(xié)議，如IPSec、SSL等，確保數(shù)據(jù)傳輸?shù)陌踩浴４鸢福捍鸢竿贤?/p>

自己悟吧05某三級等保系統(tǒng)拓撲圖，通過身份認證系統(tǒng)進行設備登錄認證，通過設備管理系統(tǒng)進行終端管控，在安全通信網(wǎng)絡與安全區(qū)域邊界層面中的不符合點并寫出整改意見。答案：D06某大型企業(yè)互聯(lián)網(wǎng)銷售系統(tǒng)按照等級保護《基本要求》第二級的相關要求進行建設，業(yè)務系統(tǒng)及基礎運行環(huán)境于3年前建成?，F(xiàn)因業(yè)務升級，經(jīng)專家評審系統(tǒng)定級變更為第三級。因此需要針對基礎網(wǎng)絡平臺、各項安全措施及應用系統(tǒng)進行安全整改建設。問題：1、請簡述該企業(yè)基礎網(wǎng)絡安全建設是否合理，建議進行哪些整改以滿足等級保護第三級針對安全通信網(wǎng)絡的要求？2、應增加哪些措施以提高網(wǎng)絡的可用性及安全防護能力，從而滿足等級保護第三級網(wǎng)絡對安全區(qū)域邊界的要求？3、應增加哪些措施，用于提高網(wǎng)絡的集中管理能力，從而滿足對安全管理中心的要求？4、畫出整改后的網(wǎng)絡拓撲示意圖。答案：一、分析拓撲圖1、網(wǎng)絡在區(qū)域劃分上不夠合理，首先現(xiàn)有網(wǎng)絡結構缺少獨立的業(yè)務系統(tǒng)區(qū)域，業(yè)務服務器匯聚交換機與核心網(wǎng)絡直接相連，且與其他網(wǎng)絡區(qū)域缺少必要的隔離措施；2、缺少安全管理區(qū)域，無法通過獨立的安全管理區(qū)對業(yè)務系統(tǒng)及基礎運行環(huán)境進行集中管理。因此，在安全整改過程中，建議增加獨立的業(yè)務系統(tǒng)區(qū)與安全管理區(qū)。建議增加冗余設備，如廣域網(wǎng)接入交換機、互聯(lián)網(wǎng)DMZ接入交換機，保障網(wǎng)絡的高可用性。二、建議增加的安全措施如下：1、增加冗余的防火墻設備，實現(xiàn)廣域網(wǎng)邊界、業(yè)務系統(tǒng)區(qū)邊界及安全管理中心的訪問控制措施；2、在互聯(lián)網(wǎng)DMZ區(qū)增加冗余的WAF等應用層安全防護措施，并實現(xiàn)檢測報警；3、增加網(wǎng)絡惡意代碼防護措施，如病毒網(wǎng)關或UTM設備的防惡意代碼功能；4、在核心交換區(qū)增加對未知的新型攻擊行為的檢測措施，如抗APT系統(tǒng)；5、在核心交換區(qū)增加入侵檢測措施，實現(xiàn)對惡意攻擊的實時檢測、報警IPS/IDS；6、在核心交換區(qū)增加綜合審計措施，實現(xiàn)對用戶行為，尤其是遠程訪問以及訪問互聯(lián)網(wǎng)的行為審計；7、在網(wǎng)絡中增加無線接入網(wǎng)關，實現(xiàn)對無線網(wǎng)絡的有效管控，實現(xiàn)對終端設備的認證、授權及準入。三、增加如下集中管理措施，提高安全管理的效率，以達到對安全管理中心的安全要求：1、在安全管理區(qū)增加綜合網(wǎng)管系統(tǒng)，實現(xiàn)對業(yè)務系統(tǒng)及基礎運行環(huán)境的實時監(jiān)控；2、在安全管理區(qū)增加集中審計措施，如日志集中審計分析系統(tǒng)等；3、在安全管理區(qū)