网络安全等级测评师能力评估(中级)三套样题案例分析题参考答案

声明:样卷由公安部关键信息基础设施保护中心发布,相关内容来自互联网,非官方标准答案,仅供学习参考

中级设计题(一):

下图为某公司互联网的业务网络结构示意图。目标客户想要在当前网络架构的基础上完善一下网络架构, 增强该网络架构的安全性。作为一个成熟的等保测评师,请根据你所掌握的知识,等保 2.0 第三级安全要求中“安全通信网络”及“安全区域边界”的相关规定,分析一下当前该网络结构还有哪些不足,提出对应的问题,并针对这些问题提供相应的加固建议,帮助客户完善网络架构,杜绝潜在的威胁。

备注:图中防火墙仅具备基础访问控制功能,且当前未配置任何访问控制策略。

图片

解析:

根据提供的网络拓扑图和等保2.0第三级要求,当前网络架构在安全通信网络和安全区域边界方面存在以下不足及加固建议:

一、安全通信网络层面的问题与加固建议

1.存在问题:

(1)网络冗余缺失:互联网出口、核心路由器及防火墙均为单点设备,存在单点故障风险,不符合等保2.0关于“网络设备冗余”的要求。

(2)通信线路无备份:互联网接入链路无冗余备份,若线路故障会导致业务中断。

(3)内部通信未加密:内部网络流量(如业务服务器与数据库间)未加密传输,易被窃听或篡改。

2.加固建议:

(1)部署双机热备与链路聚合:核心路由器、防火墙采用主备模式(如VRRP/HSRP),并配置链路聚合(LACP)提升带宽及可靠性。

(2)增加多链路冗余:申请至少两条不同运营商互联网线路,通过BGP协议实现自动切换。

(3)实施内部通信加密:业务服务器与数据库间采用IPSec VPN或TLS加密通信,防止数据泄露。

二、安全区域边界层面的问题与加固建议

1.存在问题:

(1)边界防护薄弱:防火墙未配置任何访问控制策略,且仅具备基础功能,无法有效隔离互联网与内网。

(2)区域划分不清晰:业务服务器、数据库、管理区均处于同一网络平面,未实现逻辑隔离(如VLAN分区)。

(3)缺乏入侵检测机制:无IPS/IDS设备,无法检测恶意流量或攻击行为(如SQL注入、爆破攻击)。

(4)无线网络无隔离:无线AP直接连接内部交换机,若被攻破将直通核心业务网。

2.加固建议:

(1)严格配置防火墙策略:启用防火墙最小化访问控制:仅开放业务必要端口(如Web开放80/443),禁止互联网直接访问数据库及管理区。

(2)划分安全域并部署内部防火墙:将网络划分为多个安全域(如互联网域、业务服务器域、数据库域、管理域),域间通过防火墙策略控制访问。

(3)部署入侵防御系统(IPS):在互联网出口旁路部署IPS,实时检测并阻断攻击流量(如DDoS、漏洞利用)。

(4)隔离无线网络:将无线网络划分至独立VLAN,并通过防火墙限制仅能访问互联网及必要业务系统。

三、其他关键加固措施

部署Web应用防火墙(WAF):在业务服务器前部署WAF,防护Web层攻击(如跨站脚本、SQL注入)。

强化日志审计与监控:部署日志审计系统,集中收集防火墙、服务器日志,并关联分析安全事件。

定期漏洞扫描与渗透测试:每季度对全网进行漏洞扫描,每年至少一次渗透测试,及时修复高危漏洞。

中级设计题(二)

某单位内网发生异常流量,经排查发现内网一台管理服务器在近期开启了远程管理服务(未启用多因素认证),并且该服务器的操作系统长期未打 SMB 相关补丁,出现了 PSEXEC 远程链接痕迹(可疑的横向移动利用工具痕迹)。请结合下图,从网络与安全管理两个角度进行事件分析与整改建议。

图片

解析:

一、事件分析

(1)初始入侵:攻击者通过管理服务器开放的远程管理服务(如RDP) 弱认证(无多因素认证)直接入侵,获取服务器权限。

(2)横向移动1:利用该服务器未修复的SMB漏洞(如永恒之蓝类漏洞),通过PsExec等工具在内网横向移动,进一步攻陷应用服务器A、B。

(3)横向移动2:通过窃取的凭证或密码爆破,向核心业务区(核心数据库、核心应用服务器)渗透,可能通过反向Shell、木马建立持久化控制。

二、整改建议(网络与安全管理)

(一)网络层面整改

1.分区隔离与访问控制:(1)在服务器区防火墙设置严格访问策略,仅允许特定IP(如运维IP段)访问管理服务器的远程管理服务(3389/22端口)。(2)在核心业务区前部署内部防火墙,禁止服务器区直接访问核心数据库(除非必需),实现网络层次化隔离。

2.网络流量监控与入侵检测:(1)在核心交换机旁路部署IDS/IPS,检测SMB爆破、PsExec异常连接、横向移动流量等行为。(2)对内部流量进行加密通信(如IPSec VPN),防止凭证窃听。

(二)安全管理层面整改

1.强化身份认证与访问管理:(1)对所有远程管理服务强制启用多因素认证(MFA)(如RDP+短信/令牌认证);(2)实行最小权限原则,定期审查账户权限(尤其是管理员账户)。

2.漏洞与补丁管理:(1)建立自动化补丁管理流程,优先修复高危漏洞(如SMB漏洞)。(2)定期进行漏洞扫描(每周至少1次),重点针对暴露在外的服务。

3.安全监测与响应:(1)部署终端检测与响应(EDR) 工具,监控PsExec、WMI、PowerShell等可疑行为。(2)建立安全事件应急响应流程,发现异常流量时立即隔离受影响主机。

日志审计与溯源:(1)集中收集所有设备日志(防火墙、服务器、交换机),使用SIEM系统(如Elasticsearch+Splunk)关联分析异常行为。(2)保留至少6个月日志,用于攻击链复盘与取证。

三、补充建议

1.网络分段:将管理服务器、应用服务器、数据库划分到不同VLAN,通过防火墙策略控制互通。

2.应用白名单:在服务器上部署白名单工具(如AppLocker),禁止未授权程序(如黑客工具)运行。

3.员工安全意识培训:防范社工攻击,避免密码复用或弱密码。

中级设计题(三)

该拓扑为某医院三级系统网络拓扑图,请根据等保 2.0 的中对于安全通信网络,安全区域边界的要求,说明该拓扑中不符合的地方,并提出对应整改意见。

根据您提供的医院三级系统网络拓扑图及等保2.0中安全通信网络和安全区域边界的要求,以下是图中存在的不符合项及对应的整改意见:

图片

解析:

一、安全通信网络

要求概述:保证网络设备的业务处理能力满足业务高峰需要,通信线路、带宽和性能具备冗余可靠性,避免单点故障。

不符合项1:核心交换机单点风险

问题:图中核心交换机A和B虽看似有冗余,但互联网与卫生专网的接入未明确显示线路及设备冗余(如双链路、双设备),且核心交换区与安全设备之间的连接可能存在单点故障风险。

整改意见:

核心交换机应采用双机热备(HSRP/VRRP)模式,且互联链路应做聚合(LACP)以提高带宽和可靠性。

互联网与卫生专网应分别通过不同的防火墙链路接入,避免共用物理接口。

二、安全区域边界

要求概述:应在网络边界、区域之间实施访问控制、入侵防范、恶意代码防范等安全机制。

不符合项2:互联网与卫生专网边界隔离不足

问题:互联网区域与卫生专网区域直接通过防火墙连接,但未明确是否进行逻辑隔离(如VPN、网闸),存在跨网入侵风险。

整改意见:

应在互联网与卫生专网之间部署网闸或防火墙隔离策略,仅允许授权流量通过,并禁止双向直接路由。

建议部署入侵检测系统(IDS) 或入侵防御系统(IPS) 在边界监测异常流量。

不符合项3:无线网络与内网未有效隔离

问题:无线AP直接连接至二层交换机,与内部办公网络(电脑、服务器)处于同一网络平面,一旦无线网络被入侵,内网将面临直接威胁。

整改意见:

无线网络应划分独立VLAN,并通过防火墙策略控制访问内部服务器的权限。

部署无线入侵检测系统(WIDS)并对接入设备进行身份认证(如802.1X)。

不符合项4:服务器区域缺少细分与防护

问题:应用服务器与数据中心服务器处于同一区域,未进行细分隔离(如Web服务器、数据库服务器未分层部署),一旦某服务器被攻破,易引发横向渗透。

整改意见:

应将服务器按业务类型和安全等级划分不同区域(如Web区、App区、DB区),区域间部署防火墙进行访问控制。

在服务器区域前部署WAF(Web应用防火墙) 保护应用服务。

不符合项5:上网行为管理设备位置不合理

问题:上网行为管理设备直接连接在核心交换区,若其本身存在漏洞,可能成为攻击跳板。

整改意见:

应将上网行为管理设备部署在DMZ区域或互联网出口区域,仅代理互联网访问流量,不与内网直接通信。

三、其他建议

1.部署日志审计系统,集中收集防火墙、交换机、服务器等日志,便于安全事件追溯。

2.实施网络安全态势感知平台,对全网流量进行监测与分析。

3.定期进行渗透测试与漏洞扫描,及时发现并修复安全漏洞。