信息安全測評簡答題

1、1、簡單介紹可采取哪些措施進(jìn)行有效地控制攻擊事件和惡意代碼？（20分）答：1、安裝并合理配置主機(jī)防火墻2、安裝并合理配置網(wǎng)絡(luò)防火墻3、安裝并合理配置IDS/IPS4、嚴(yán)格控制外來介質(zhì)的使用5、防御和查殺結(jié)合、整體防御、防管結(jié)合、多層防御6、設(shè)置安全管理平臺，補(bǔ)丁升級平臺，防病毒平臺等對防病的系統(tǒng)進(jìn)行升級、漏洞進(jìn)行及時安裝補(bǔ)丁，病毒庫定期更新7、定期檢查網(wǎng)絡(luò)設(shè)備和安全設(shè)備的日志審計(jì)，發(fā)現(xiàn)可疑現(xiàn)象可及時進(jìn)行做出相應(yīng)處理。8、為了有效防止地址攻擊和拒絕服務(wù)攻擊可采取，在會話處于非 活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接。9、為了有效防止黑客入侵，可對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制和對具有撥號功能用戶

2、的數(shù)量進(jìn)行限制，遠(yuǎn)程撥號的用戶也許他就是一個黑客。10、采取雙因子認(rèn)證和信息加密可增強(qiáng)系統(tǒng)的安全性。2、身份認(rèn)證的信息主要有哪幾類？并每項(xiàng)列舉不少于2個的事例。答：身份認(rèn)證的信息可分為以下幾類：1）用戶知道的信息，如個人標(biāo)識、口令等。2）用戶所持有的證件，如門卡、智能卡、硬件令牌等。3）用戶所特有的特征，指紋、虹膜、視網(wǎng)膜掃描結(jié)果等。3、數(shù)字證書的含義，分類和主要用途，所采用的密碼體制？答：1）數(shù)字證書是由認(rèn)證中心生成并經(jīng)認(rèn)證中心數(shù)字簽名的，標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用來在網(wǎng)絡(luò)通信中識別通信各方的身份。 2）從證書的用途來看，數(shù)字證書可分為簽名證書和加密證書。 3）簽名證書主要用于對用

3、戶信息進(jìn)行簽名，以保證信息的不可否認(rèn)性； 加密證書主要用于對用戶傳送信息進(jìn)行加密，以保證信息的真實(shí)性和 完整性。 4）數(shù)字證書采用非對稱密鑰體制。即利用一對互相匹配的私鑰/公鑰進(jìn)行加密、解密。其中私鑰用于進(jìn)行解密和簽名；公鑰用于加密和驗(yàn)證簽名。4、試解釋SQL注入攻擊的原理，以及它產(chǎn)生的不利影響。答：SQL注入攻擊的原理是從客戶端提交特殊的代碼，Web應(yīng)用程序如果沒做嚴(yán)格的檢查就將其形成SQL命令發(fā)送給數(shù)據(jù)庫，從數(shù)據(jù)庫返回的信息中，攻擊者可以獲得程序及服務(wù)器的信息，從而進(jìn)一步獲得其他資料。SQL注入攻擊可以獲取Web應(yīng)用程序和數(shù)據(jù)庫系統(tǒng)的信息，還可以通過SQL注入5、ARP地址欺騙的分類、原理

4、是什么？可采取什么措施進(jìn)行有效控制？（10分）答：一種是對網(wǎng)絡(luò)設(shè)備ARP表的欺騙，其原理是截獲網(wǎng)關(guān)數(shù)據(jù)。它通知網(wǎng)絡(luò)設(shè)備一系列錯誤的內(nèi)網(wǎng)MAC地址，并按照一定的的頻率不斷進(jìn)行，使真實(shí)的的地址信息無法通過更新保存在網(wǎng)絡(luò)設(shè)備中，結(jié)果網(wǎng)絡(luò)設(shè)備的所有的數(shù)據(jù)只能發(fā)給錯誤的MAC地址，造成正常PC無法收到信息。 另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。其原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的途徑上網(wǎng)。 措施：一、在網(wǎng)絡(luò)設(shè)備中把所有pc的ip-mac輸入到一個靜態(tài)表中，這叫ip-mac綁定；二、在內(nèi)網(wǎng)所有pc上設(shè)置網(wǎng)關(guān)的靜態(tài)arp信息，這叫pc ip-mac綁定。一般要求兩個工作都要做，稱為

5、ip-mac雙向綁定。6、三級信息系統(tǒng)中，網(wǎng)絡(luò)安全中的設(shè)備安全有哪些檢查項(xiàng)？（10分）a)應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；b)應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；c)網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；e)身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；f)應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等措施；g)當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；h)應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。7、回答工具測試接入點(diǎn)的原則，及注意事項(xiàng)？答

6、：工具測試接入點(diǎn)的原則：首要原則是不影響目標(biāo)系統(tǒng)正常運(yùn)行的前提下嚴(yán)格按照方案選定范圍進(jìn)行測試。 1）由低級別系統(tǒng)向高級別系統(tǒng)探測； 2）同一系統(tǒng)同等重要程度功能區(qū)域之間要相互探測； 3）有較低重要程度區(qū)域向較高重要程度區(qū)域探測； 4）由外鏈接口向系統(tǒng)內(nèi)部探測； 5）跨網(wǎng)絡(luò)隔離設(shè)備（包括網(wǎng)絡(luò)設(shè)備和安全設(shè)備）要分段探測。注意事項(xiàng):1)工具測試介入測試設(shè)備之前，首先要有被測系統(tǒng)人員確定測試條件是否具備。測試條件包括被測網(wǎng)絡(luò)設(shè)備、主機(jī)、安全設(shè)備等是否都在正常運(yùn)行，測試時間段是否為可測試時間段，等等。2)接入系統(tǒng)的設(shè)備、工具的ip地址等配置要經(jīng)過被測系統(tǒng)相關(guān)人員確認(rèn)。3)對于測試過程中可能造成的對目標(biāo)系

7、統(tǒng)的網(wǎng)絡(luò)流量及主機(jī)性能方面的影響（例如口令探測可能會造成的賬號鎖定等情況），要事先告知被測系統(tǒng)相關(guān)人員。4)對于測試過程中的關(guān)鍵步驟、重要證據(jù)，要及時利用抓圖等取證。5)對于測試過程中出現(xiàn)的異常情況（服務(wù)器出現(xiàn)故障、網(wǎng)絡(luò)中斷）要及時記錄。6)測試結(jié)束后，需要被測方人員確認(rèn)被測系統(tǒng)狀態(tài)正常并簽字后退場。8、簡述單位、組織的信息安全管理工作如何與公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全檢查部門（公安網(wǎng)監(jiān)部門）相配合。（10）答： 單位、組織的信息安全管理工作與公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門之間的配合主要體現(xiàn)在以下方面： （1）單位、組織的信息安全管理，必須遵循信息安全法律、法規(guī)對于安全管理職責(zé)、備案、禁止行為、

8、安全管理制度和安全技術(shù)機(jī)制要求等方面的內(nèi)容規(guī)定。 （2）法律、法規(guī)賦予公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門對信息安全的監(jiān)管職責(zé)，各單位、組織必須接受和配合公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門的監(jiān)督和檢查。 （3）在發(fā)生信息安全案件后，單位、組織應(yīng)當(dāng)及時向公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門報案，并在取證和調(diào)查等環(huán)節(jié)給予密切配合。9、國家為什么要實(shí)施信息安全等級保護(hù)制度答：1、信息安全形勢嚴(yán)峻 1）來自境內(nèi)外敵對勢力的入侵、攻擊、破壞越來越嚴(yán)重。 2）針對基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的違法犯罪持續(xù)上升。 3）基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全隱患嚴(yán)重。2、維護(hù)國家安全的需要 1）基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)已成為國

9、家關(guān)鍵基礎(chǔ)設(shè)施。 2）信息安全是國家安全的重要組成部分。 3）信息安全是非傳統(tǒng)安全，信息安全本質(zhì)是信息對抗、技術(shù)對抗。4）我國的信息安全保障工作基礎(chǔ)還很薄弱。10、主機(jī)常見測評的問題1）檢測用戶的安全防范意識，檢查主機(jī)的管理文檔（弱口令、安全配置文檔）2）網(wǎng)絡(luò)服務(wù)的配置（不能有過多的網(wǎng)絡(luò)服務(wù)，防ping） 3）安裝有漏洞的軟件包（安裝過時的軟件包）4）缺省配置（口令缺省配置，可能被人錄用）5）不打補(bǔ)丁或補(bǔ)丁不全（以沒有通過測試等為由拒絕補(bǔ)丁的安裝）6）網(wǎng)絡(luò)安全敏感信息的泄露（.net服務(wù)、database命令，最小原則下，這些命令是禁用的） 7）缺乏安全防范體系（防病毒體系不健全、linux沒

10、有成熟的軟件，按要求也是要有的記錄） 8）信息資產(chǎn)的不明，缺乏分類的處理（如一臺服務(wù)器不知道干什么用的，上面有很多服務(wù)）9）安全管理信息單一、缺乏統(tǒng)一的分析和管理平臺（安全管理平臺，補(bǔ)丁升級平臺，防病毒平臺等）11、 基本要求 ，在應(yīng)用安全層面的訪問控制要求中，三級系統(tǒng)較二級系統(tǒng)增加的措施有哪些？（10 分） 答：三級比二級增加的要求項(xiàng)有：應(yīng)提供對重要信息資源設(shè)置敏感標(biāo)記的功能；應(yīng)按照安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的訪問。 12、在主機(jī)測評前期調(diào)研活動中，收集信息的內(nèi)容（至少寫出六項(xiàng)）？在選擇主機(jī)測評對象時應(yīng)該注意哪些要點(diǎn)？（10 分）答：至少需要收集服務(wù)器主機(jī)的設(shè)備名稱、型號、

11、操作系統(tǒng)、IP 地址、安裝的應(yīng)用軟件情況、主要的業(yè)務(wù)情況、重要程度、是否熱備等信息。 測評對象選擇時應(yīng)該注意重要性、代表性、完整性、安全性、共享性五大原則。 13、 基本要求中，對于三級信息系統(tǒng)，網(wǎng)絡(luò)安全層面應(yīng)采取哪些安全技術(shù)措施？畫出示例圖并進(jìn)行描述（不考慮安全加固） 。 （20 分 答：網(wǎng)絡(luò)層面需要考慮結(jié)構(gòu)安全、訪問控制、安全審計(jì)、邊界完整性、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)、數(shù)據(jù)備份與恢復(fù)八個方面的安全。 （具體再畫圖描述）1、網(wǎng)絡(luò)安全的網(wǎng)絡(luò)設(shè)備防護(hù)的內(nèi)容是什么？（12分）答：、應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；、應(yīng)對網(wǎng)絡(luò)設(shè)備管理員的登陸地址進(jìn)行限制；、網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；、

12、主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或者兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；、身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度的要求并定期更換；、應(yīng)具有登錄失敗處理功能，可采取結(jié)束回話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登陸連接超時自動退出等措施；、當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；、應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。14、入侵檢測系統(tǒng)分為哪幾種，各有什么特點(diǎn)？（10分）答：主機(jī)型入侵檢測系統(tǒng)（HIDS），網(wǎng)絡(luò)型入侵檢測系統(tǒng)（NIDS）。HIDS一般部署在下述四種情況下：1 ）網(wǎng)絡(luò)帶寬高太高無法進(jìn)行網(wǎng)絡(luò)監(jiān)控 2 ）網(wǎng)絡(luò)帶寬太低不能承受網(wǎng)絡(luò)IDS的開銷3 ）網(wǎng)絡(luò)環(huán)境

13、是高度交換且交換機(jī)上沒有鏡像端口 4 ）不需要廣泛的入侵檢測HIDS往往以系統(tǒng)日志、應(yīng)用程序日志作為數(shù)據(jù)源；檢測主機(jī)上的命令序列比檢測網(wǎng)絡(luò)流更簡單，系統(tǒng)的復(fù)雜性也少得多，所以主機(jī)檢測系統(tǒng)誤報率比網(wǎng)絡(luò)入侵檢測系統(tǒng)的誤報率要低；他除了檢測自身的主機(jī)以外，根本不檢測網(wǎng)絡(luò)上的情況，而且對入侵行為分析的工作量將隨著主機(jī)數(shù)量的增加而增加，因此全面部署主機(jī)入侵檢測系統(tǒng)代價比較大，企業(yè)很難將所有主機(jī)用主機(jī)入侵檢測系統(tǒng)保護(hù)，只能選擇部分主機(jī)進(jìn)行保護(hù)，那些未安裝主機(jī)入侵檢測系統(tǒng)的機(jī)器將成為保護(hù)的忙點(diǎn)，入侵者可利用這些機(jī)器達(dá)到攻擊的目標(biāo)。依賴于服務(wù)器固有的日志和監(jiān)視能力，。如果服務(wù)器上沒有配置日志功能，則必須重新配

14、置，這將給運(yùn)行中的業(yè)務(wù)系統(tǒng)帶來不可預(yù)見的性能影響。NIDS一般部署在比較重要的網(wǎng)段內(nèi)，它不需要改變服務(wù)器等主機(jī)的配置，由于他不會在業(yè)務(wù)系統(tǒng)的主機(jī)中安裝額外的軟件，從而不會影響這些機(jī)器的CPU、I/O與磁盤等資源的使用，不會影響業(yè)務(wù)系統(tǒng)的性能。NIDS的數(shù)據(jù)源是網(wǎng)絡(luò)上的數(shù)據(jù)包。通過線路竊聽的手段對捕獲的網(wǎng)絡(luò)分組進(jìn)行處理，從中獲取有用的信息。一個網(wǎng)段上只需要安裝一個或幾個這樣的系統(tǒng)，便可以檢測整個網(wǎng)絡(luò)的情況，比較容易實(shí)現(xiàn)。由于現(xiàn)在網(wǎng)絡(luò)的日趨復(fù)雜和高速網(wǎng)絡(luò)的普及，這種結(jié)構(gòu)正接受者越來越大的挑戰(zhàn)。15、訪問控制的三要素是什么？按訪問控制策略劃分，可分為哪幾類？按層面劃分，可分為哪幾類？（10分）答：訪

15、問控制的三要素是：主體，客體，操作。 按訪問控制策略劃分可分為: 按層面劃分分可分為：1）自主訪問控制 1）網(wǎng)絡(luò)訪問控制2）強(qiáng)制訪問控制 2）主機(jī)訪問控制3）基于角色的訪問控制。 3）應(yīng)用訪問控制 4）物理訪問控制16、安全審計(jì)按對象不同，可分為哪些類？各類審計(jì)的內(nèi)容又是什么？（12分）答：系統(tǒng)級審計(jì)，應(yīng)用級審計(jì)，用戶級審計(jì)。系統(tǒng)級審計(jì)：要求至少能夠記錄登陸結(jié)果、登錄標(biāo)識、登陸嘗試的日期和時間、退出的日期和時間、所使用的設(shè)備、登陸后運(yùn)行的內(nèi)容、修改配置文件的請求等。應(yīng)用級審計(jì)：跟蹤監(jiān)控和記錄諸如打開和關(guān)閉數(shù)據(jù)文件，讀取、編輯和刪除記錄或字段的特定操作以及打印報告之類的用戶活動。用戶級審計(jì)：跟蹤

16、通常記錄用戶直接啟動的所有命令、所有的標(biāo)識和鑒別嘗試的所有訪問的文件和資源。17、在中國信息系統(tǒng)分為五級，各級的定義是什么？幾級以上屬于重要信息系統(tǒng)？答：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成 損害，但不損害國家安全、社會秩序和公共利益。 第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生 嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。 第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者 對國家安全造成損害。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害， 或者對國家安全造成嚴(yán)重?fù)p害。第五級，信息

17、系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。18、實(shí)行信息安全等級保護(hù)制度的目的 信息安全等級保護(hù)是國家信息安全保障工作的基本制度、基本策略、基本方法。開展信息安全等級保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)國家信息安全的根本保障，是信息安全保障工作中國家意志的體現(xiàn)。 有效解決我國信息安全面臨的威脅和存在的主要問題，充分體現(xiàn)“適度安全、保護(hù)重點(diǎn)”的目的，有效保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定的重要信息系統(tǒng)的安全，有效提高我國信息安全保障工作的整體水平。19、簡述單位、組織的信息安全管理工作如何與公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全檢查部門（公安網(wǎng)監(jiān)部門）相配合。（10）答： 單位、組織的信息安全管

18、理工作與公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門之間的配合主要體現(xiàn)在以下方面： （1）單位、組織的信息安全管理，必須遵循信息安全法律、法規(guī)對于安全管理職責(zé)、備案、禁止行為、安全管理制度和安全技術(shù)機(jī)制要求等方面的內(nèi)容規(guī)定。 （2）法律、法規(guī)賦予公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門對信息安全的監(jiān)管職責(zé)，各單位、組織必須接受和配合公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門的監(jiān)督和檢查。 （3）在發(fā)生信息安全案件后，單位、組織應(yīng)當(dāng)及時向公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門報案，并在取證和調(diào)查等環(huán)節(jié)給予密切配合。20、國家為什么要實(shí)施信息安全等級保護(hù)制度答：1、信息安全形勢嚴(yán)峻 1）來自境內(nèi)外敵對勢力的入侵、攻擊、破壞越來越嚴(yán)重

19、。 2）針對基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的違法犯罪持續(xù)上升。 3）基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全隱患嚴(yán)重。2、維護(hù)國家安全的需要 1）基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)已成為國家關(guān)鍵基礎(chǔ)設(shè)施。 2）信息安全是國家安全的重要組成部分。 3）信息安全是非傳統(tǒng)安全，信息安全本質(zhì)是信息對抗、技術(shù)對抗。4）我國的信息安全保障工作基礎(chǔ)還很薄弱。21、主機(jī)常見測評的問題1、檢測用戶的安全防范意識，檢查主機(jī)的管理文檔（弱口令、安全配置文檔）2、網(wǎng)絡(luò)服務(wù)的配置（不能有過多的網(wǎng)絡(luò)服務(wù)，防ping） 3、安裝有漏洞的軟件包（安裝過時的軟件包）4、缺省配置（口令缺省配置，可能被人錄用）5、不打補(bǔ)丁或補(bǔ)丁不全（以沒有通過測試等為

20、由拒絕補(bǔ)丁的安裝）6、網(wǎng)絡(luò)安全敏感信息的泄露（.net服務(wù)、database命令，最小原則下，這 些命令是禁用的） 7、缺乏安全防范體系（防病毒體系不健全、linux沒有成熟的軟件，按要求也是要有的記錄） 8、信息資產(chǎn)的不明，缺乏分類的處理（如一臺服務(wù)器不知道干什么用的，上面有很多服務(wù)）9、安全管理信息單一、缺乏統(tǒng)一的分析和管理平臺（安全管理平臺，補(bǔ)丁升級平臺，防病毒平臺等）22、在主機(jī)測評前期調(diào)研活動中，收集信息的內(nèi)容（至少寫出六項(xiàng)）？在選擇主機(jī)測評對象時應(yīng)該注意哪些要點(diǎn)？（10 分） 答：至少需要收集服務(wù)器主機(jī)的設(shè)備名稱、型號、操作系統(tǒng)、IP 地址、安裝的應(yīng)用軟件情況、主要的業(yè)務(wù)情況、重要程度、是否熱備等信息。 測評對象選擇時應(yīng)該注意重要性、代表性、完整性、安全性、共享性五大原則。23、開展安全等級保護(hù)工作依據(jù)的主要標(biāo)準(zhǔn)有哪些 1、計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（GB17859-1999）2、信息系統(tǒng)安全等級保護(hù)實(shí)施指南3、信息系統(tǒng)安全等級保護(hù)定級指南4、信息系統(tǒng)安全等級保護(hù)基本要求（國標(biāo)報批稿試用，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會文件 信安字200712號）5、信息安全技術(shù) 服務(wù)器安全技術(shù)要求GB/T20273-2006和信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)技術(shù)要求G