試題三

閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內。

[說明]

案例一

安全測評工程師小張對某單位的信息系統(tǒng)進行安全滲透測試時，首先獲取A系統(tǒng)部署的WebServer版本信息然后利用A系統(tǒng)的軟件中間件漏洞，發(fā)現(xiàn)可以遠程在A系統(tǒng)服務器上執(zhí)行命令。小張控制A服務器后，嘗試并成功修改網(wǎng)頁。通過向服務器區(qū)域橫向掃描，發(fā)現(xiàn)B和C服務器的root密碼均為123456,利用該密碼成功登錄到服務器并獲取root權限。

案例二

網(wǎng)絡管理員小王在巡查時發(fā)現(xiàn)網(wǎng)站訪問日志中有多條非正常記錄。

其中，日志1訪問記錄為:

www.xx.com/ param=1'and updatexml(1, concat(0x7e  (SEL ECT MD5(1234),0x7e), 1)

日志2訪問記錄為

www.xx.com/js/url. substring(0, indexN2)}/ alert(url);url+=

小王立即采取措施,加強Web安全防范。

案例三

某信息系統(tǒng)在2018年上線時，在公安機關備案為等級保護第三級,單位主管認為系統(tǒng)已經(jīng)定級,此后無須再做等保安全評測。

[問題1] (6分)

信息安全管理機構是行使單位信息安全管理職能的重要機構，各個單位應設立(1)領導小組,作為本單位信息安全工作的較高領導決策機構。設立信息安全管理崗位并明確職責，至少應包含安全主管和“三員”崗位，其中“三員”崗位中:(2)崗位職責包括信息系統(tǒng)安全監(jiān)督和網(wǎng)絡安全管理溝通、協(xié)調和組織處信息安全事件等;系統(tǒng)管理員崗位職責包括網(wǎng)絡安全設備和服務器的配置、部署、運行維護和日常管理等工作;(3)崗位職責包括對安全、網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)庫等管理人員的操作行為進行審計,監(jiān)督信息安全制度執(zhí)行情況。

[問題2] (9分)

1.請分析案例一信息系統(tǒng)存在的安全隱患和問題(至少回答5點)；

2.針對案例一存在的安全隱患和問題，提出相應的整改措施(至少回答4點)

[問題3] (6分)

1. 案例二中，日志1所示訪問記錄是(4)攻擊，日志2所示訪問記錄是(5)攻擊。

2. 案例二中，小王應采取哪些措施加強web安全防范？

[問題4] (4分)

案例三中，單位主管的做法明顯不符合網(wǎng)絡安全等級保護制度要求，請問，該信息系統(tǒng)應該至少(6)年進行一次等保安全評測，該信息系統(tǒng)的網(wǎng).絡日志至少應保存(7)個月。