試題三

閱讀以下說明，回答問題1至問題4，將解答填入答題紙對應的解答欄內。

[說明]

案例一

安全測評工程師小張對某單位的信息系統進行安全滲透測試時，首先獲取A系統部署的WebServer版本信息然后利用A系統的軟件中間件漏洞，發現可以遠程在A系統服務器上執行命令。小張控制A服務器后，嘗試并成功修改網頁。通過向服務器區域橫向掃描，發現B和C服務器的root密碼均為123456,利用該密碼成功登錄到服務器并獲取root權限。

案例二

網絡管理員小王在巡查時發現網站訪問日志中有多條非正常記錄。

其中，日志1訪問記錄為:

www.xx.com/ param=1'and updatexml(1, concat(0x7e  (SEL ECT MD5(1234),0x7e), 1)

日志2訪問記錄為

www.xx.com/js/url. substring(0, indexN2)}/ alert(url);url+=

小王立即采取措施,加強Web安全防范。

案例三

某信息系統在2018年上線時，在公安機關備案為等級保護第三級,單位主管認為系統已經定級,此后無須再做等保安全評測。

[問題1] (6分)

信息安全管理機構是行使單位信息安全管理職能的重要機構，各個單位應設立(1)領導小組,作為本單位信息安全工作的較高領導決策機構。設立信息安全管理崗位并明確職責，至少應包含安全主管和“三員”崗位，其中“三員”崗位中:(2)崗位職責包括信息系統安全監督和網絡安全管理溝通、協調和組織處信息安全事件等;系統管理員崗位職責包括網絡安全設備和服務器的配置、部署、運行維護和日常管理等工作;(3)崗位職責包括對安全、網絡、系統、應用、數據庫等管理人員的操作行為進行審計,監督信息安全制度執行情況。

[問題2] (9分)

1.請分析案例一信息系統存在的安全隱患和問題(至少回答5點)；

2.針對案例一存在的安全隱患和問題，提出相應的整改措施(至少回答4點)

[問題3] (6分)

1. 案例二中，日志1所示訪問記錄是(4)攻擊，日志2所示訪問記錄是(5)攻擊。

2. 案例二中，小王應采取哪些措施加強web安全防范？

[問題4] (4分)

案例三中，單位主管的做法明顯不符合網絡安全等級保護制度要求，請問，該信息系統應該至少(6)年進行一次等保安全評測，該信息系統的網.絡日志至少應保存(7)個月。