試題三

閱讀以下說明，回答問題1至問題4，將解答填入答題紙對(duì)應(yīng)的解答欄內(nèi)。

[說明]

案例一

安全測(cè)評(píng)工程師小張對(duì)某單位的信息系統(tǒng)進(jìn)行安全滲透測(cè)試時(shí)，首先獲取A系統(tǒng)部署的WebServer版本信息然后利用A系統(tǒng)的軟件中間件漏洞，發(fā)現(xiàn)可以遠(yuǎn)程在A系統(tǒng)服務(wù)器上執(zhí)行命令。小張控制A服務(wù)器后，嘗試并成功修改網(wǎng)頁。通過向服務(wù)器區(qū)域橫向掃描，發(fā)現(xiàn)B和C服務(wù)器的root密碼均為123456,利用該密碼成功登錄到服務(wù)器并獲取root權(quán)限。

案例二

網(wǎng)絡(luò)管理員小王在巡查時(shí)發(fā)現(xiàn)網(wǎng)站訪問日志中有多條非正常記錄。

其中，日志1訪問記錄為:

www.xx.com/ param=1'and updatexml(1, concat(0x7e  (SEL ECT MD5(1234),0x7e), 1)

日志2訪問記錄為

www.xx.com/js/url. substring(0, indexN2)}/ alert(url);url+=

小王立即采取措施,加強(qiáng)Web安全防范。

案例三

某信息系統(tǒng)在2018年上線時(shí)，在公安機(jī)關(guān)備案為等級(jí)保護(hù)第三級(jí),單位主管認(rèn)為系統(tǒng)已經(jīng)定級(jí),此后無須再做等保安全評(píng)測(cè)。

[問題1] (6分)

信息安全管理機(jī)構(gòu)是行使單位信息安全管理職能的重要機(jī)構(gòu)，各個(gè)單位應(yīng)設(shè)立(1)領(lǐng)導(dǎo)小組,作為本單位信息安全工作的較高領(lǐng)導(dǎo)決策機(jī)構(gòu)。設(shè)立信息安全管理崗位并明確職責(zé)，至少應(yīng)包含安全主管和“三員”崗位，其中“三員”崗位中:(2)崗位職責(zé)包括信息系統(tǒng)安全監(jiān)督和網(wǎng)絡(luò)安全管理溝通、協(xié)調(diào)和組織處信息安全事件等;系統(tǒng)管理員崗位職責(zé)包括網(wǎng)絡(luò)安全設(shè)備和服務(wù)器的配置、部署、運(yùn)行維護(hù)和日常管理等工作;(3)崗位職責(zé)包括對(duì)安全、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫等管理人員的操作行為進(jìn)行審計(jì),監(jiān)督信息安全制度執(zhí)行情況。

[問題2] (9分)

1.請(qǐng)分析案例一信息系統(tǒng)存在的安全隱患和問題(至少回答5點(diǎn))；

2.針對(duì)案例一存在的安全隱患和問題，提出相應(yīng)的整改措施(至少回答4點(diǎn))

[問題3] (6分)

1. 案例二中，日志1所示訪問記錄是(4)攻擊，日志2所示訪問記錄是(5)攻擊。

2. 案例二中，小王應(yīng)采取哪些措施加強(qiáng)web安全防范？

[問題4] (4分)

案例三中，單位主管的做法明顯不符合網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求，請(qǐng)問，該信息系統(tǒng)應(yīng)該至少(6)年進(jìn)行一次等保安全評(píng)測(cè)，該信息系統(tǒng)的網(wǎng).絡(luò)日志至少應(yīng)保存(7)個(gè)月。