網絡安全等級測評師（中級）考核試題與答案

網絡安全等級測評師（中級）考核試題一、判斷題1、通過白名單方式綁定無線接入終端設備的MAC地址，則認為對參與無線通信的設備進行了身份鑒別。[判斷題]*對錯√2、發(fā)電廠的不同機組之間的網絡邊界可以不采取入侵防范措施。[判斷題]*對√錯3、安全事件的可能性，由資產價值和脆弱性決定。[判斷題]*對錯√4、針對第三級等級保護對象進行測評時，測評對象在數(shù)量上抽樣，種類上全部覆蓋。[判斷題]*對錯√5、測評記錄中應明確記錄測評方法和證據(jù)來源，記錄必要的對象特征和細節(jié)描述，應提供充分的符合性判定依據(jù)。[判斷題]*對√錯6、作為云租戶的測評委托單位全部職責包括：測評前備份系統(tǒng)和數(shù)據(jù)，并了解測評工作基本情況；協(xié)助測評機構獲得現(xiàn)場測評授權；安排測評配合人員,配合測評工作的開展；對風險告知書進行簽字確認；配合人員如實回答測評人員的問詢，對某些需要驗證的內容上機進行操作，協(xié)助測評人員實施工具測試并提供有效建議，降低安全測評對系統(tǒng)運行的影響，完成業(yè)務相關內容的問詢、驗證和測試，對測評證據(jù)和證據(jù)源進行確認，確認測試后被測設備狀態(tài)完好。[判斷題]*對錯√7、ISO/IEC27000標準族中的核心標準包括ISO/IEC27001《信息安全管理體系-要求》、ISO/IEC27002《信息安全管理實用規(guī)則》。[判斷題]*對√錯8、安全區(qū)域邊界對象主要根據(jù)系統(tǒng)中網絡訪問控制設備的部署情況來確定。[判斷題]*對錯√9、安全區(qū)域邊界如果以串接方式部署了訪問控制設備，并啟用了合理的訪問控制策略，則可認為“跨越邊界的訪問和數(shù)據(jù)流通過邊界設備提供的受控接口進行通信”。[判斷題]*對錯√10、只有在邊界訪問控制設備訪問控制規(guī)則最后一條為全拒絕時，才認為該邊界“默認情況下除允許通信外受控接口拒絕所有通信”。[判斷題]*對錯√11、防病毒網關能夠對通過的所有應用協(xié)議進行惡意代碼檢測和防護。[判斷題]*對錯√12、交換機在收到未知源地址的幀時直接丟棄。[判斷題]*對√錯13、可信驗證的目標是保證系統(tǒng)和應用的信息不被非授權對象訪問。[判斷題]*對錯√14、密碼協(xié)議指兩個或兩個以上參與者使用密碼算法，為達到加密保護或安全認證目的而約定的交互規(guī)則。[判斷題]*對√錯15、SSLVPN主要用于數(shù)據(jù)發(fā)送者的不可否認性。[判斷題]*對錯√16、側信道攻擊是利用密碼的物理實現(xiàn)過程獲取的信息進行的攻擊，而不是利用算法的理論弱點或者進行窮舉攻擊。[判斷題]*對√錯17、WindowsXP的密碼存放在系統(tǒng)所在的%windir%\System32\Config下HOST文件中。[判斷題]*對錯√18、網絡安全核心目標CIA每個字母分別代表機密性、完整性、可用性。[判斷題]*對√錯19、根據(jù)網絡安全等級保護第四級測評要求，驗證移動應用軟件管理策略的有效性，應核查系統(tǒng)中對移動應用軟件配置的管理策略是否合理，并檢查是否存在多余或者過期規(guī)則。[判斷題]*對√錯二、選擇題1、綜合得分單項基準分的計算方式為。（）[單選題]*A.100/要求項總數(shù)B.100/適用項總數(shù)√C.100/測評單項總數(shù)D.100/測評且適用的單項總數(shù)2、測評對象選取的說法正確的是。（）[單選題]*A.相同配置設備：一、二級1臺；三、四級2臺B.相同配置設備：一級1臺；二級2臺；三、四級3臺C.相同配置設備：所有級別2臺D.相同配置設備：一級1臺；二、三級2臺；四級3臺√3、依據(jù)GB/T22239，應采用密碼技術保證重要審計數(shù)據(jù)的。（）[單選題]*A.保密性B.可用性C.完整性√D.一致性4、某業(yè)務系統(tǒng)收集了用戶的身份證號，應采用密碼技術進行加密存儲。（）[單選題]*A.MD5B.RSA1024C.DESD.SM4√5、等級測評風險主要包括。（）[單選題]*A.影響系統(tǒng)正常運行的風險B.敏感信息泄露風險C.木馬植入風險D.以上都是√6、是項目管理中最重要的角色，是由執(zhí)行組織委派，領導團隊實現(xiàn)項目目標的個人。（）[單選題]*A.項目經理√B.技術專家C.項目專家D.單位領導7、關于訪談、核查和測試三種測評方法，以下說法正確的是。（）[單選題]*A.針對單項測評，只需要使用一種測評方法；B.訪談應全面，盡量發(fā)散性提出問題，以獲得更多更具體的證據(jù)；C.測試包括功能測試、性能測試和滲透測試等；√D.核查即針對制度文檔進行觀察和分析。8、如果客戶想要一個可完全操作得環(huán)境，需要很少的維護或管理，那么哪種云服務模型可能是最好的。（）[單選題]*A.IaaSB.PaaSC.SaaS√D.混合云9、以下哪項不適合納入SLA？（）[單選題]*A.指定時段允許的用戶賬戶數(shù)量B.云服務商和云服務客戶雙方都有哪些人員負責和授權宣布緊急情況，并將服務轉換到應急允許狀態(tài)√C.允許云服務商和云服務客戶之間傳輸和接收的數(shù)據(jù)量D.從正常操作轉換到應急操作允許的時間10、下列哪一項是RFID的邏輯安全機制。（）[單選題]*A.Kill命令機制B.主動干擾C.散列鎖定√D.阻塞標簽11、物聯(lián)網的核心技術是。（）[單選題]*A.射頻識別√B.集成電路C.無線電D.操作系統(tǒng)12、以下哪一項不屬于工具測試的作用。（）[單選題]*A.完成對信息系統(tǒng)的授權模擬攻擊，發(fā)現(xiàn)系統(tǒng)安全性方面的問題√B.可以直接獲得目標系統(tǒng)本身存在的操作系統(tǒng)、應用方面的漏洞C.通過在不同區(qū)域接入測試工具得到的測試結果，判斷不同區(qū)域之間的訪問控制情況D.與其他核查手段結合，為測試結果的客觀性和準確性提供保證13、以下哪一項不屬于工具測試的流程。（）[單選題]*A.收集目標系統(tǒng)信息B.規(guī)劃接入點C.現(xiàn)場測試D.漏洞發(fā)現(xiàn)√14、對于動態(tài)開放端口的應用協(xié)議（如OPC協(xié)議），如何實現(xiàn)安全的訪問控制?（）[單選題]*A.通過限定源目的地址為單個IP地址，并配置目的端口為“任意”的策略來保障動態(tài)開放端口的協(xié)議數(shù)據(jù)流可通過訪問控制設備B.通過抓包分析該協(xié)議通信的端口使用情況，再以最小開放方式人工配置五元組策略C.訪問控制設備分析通信過程中的端口協(xié)商數(shù)據(jù)包，后臺自動以最小開放方式配置五元組策略√D.配置全通策略，保障動態(tài)開放端口協(xié)議通信可用性15、《中華人民共和國密碼法》施行時間？（）[單選題]*A.2019年10月26日B.2020年1月1日√C.2020年5月1日D.2021年1月1日16、以下_____算法被國家密碼管理局警示是有風險的算法。（）[單選題]*A.MD5B.SHA-1C.DESD.以上都是√17、從一張數(shù)字證書無法得到_______信息。（）[單選題]*A.證書用途B.主體公鑰信息C.有效日期D.證書簽發(fā)機構公鑰信息√18、《密碼法》中所稱的密碼，是指采用特定變換的方法對信息進行____、____的技術、產品和服務。（）[單選題]*A.機密性保護、完整性保護B.加密解密、簽名驗簽C.加密保護、安全認證√D.標識、認證19、我國密碼標準定義的雜湊密碼是______。（）[單選題]*A.SHA256B.SM2C.SM3√D.SM420、以GM/T開頭的標準，屬于______。（）[單選題]*A.密碼國家標準B.密碼行業(yè)標準√C.密碼企業(yè)標準D.密碼地方標準21、下面關于密碼設計原則中不正確的是。（）[單選題]*A.算法公開，密鑰保密B.算法不能公開，密鑰可以公開√C.算法應能抵御已知的攻擊D.算法應盡可能提高運算效率22、下面密碼算法中，哪一個不屬于商用密碼算法？（）[單選題]*A.SM2B.SM3C.DES√D.SM423、Oracle數(shù)據(jù)庫中，以下______命令可以刪除整個表中的數(shù)據(jù)，并且無法回滾。（）[單選題]*A.DropB.DeleteC.Truncate√D.Cascade24、應保證移動終端______、______并______終端管理客戶端軟件。（）[單選題]*A.管理、注冊、卸載B.安裝、運行、卸載C.安裝、注冊、運行√D.管理、注冊、運行25、移動終端應接受移動終端管理服務端的______管理、設備遠程控制，如：遠程鎖定、遠程擦除等。（）[單選題]*A．全功能B．設備硬件接口C.策略D.設備生命周期√三、多選題1、MES系統(tǒng)等級測評需要增加的工業(yè)控制安全擴展部分要求有。（）[多選題]*A.安全通信網絡√B.安全區(qū)域邊界√C.安全計算環(huán)境D.安全管理中心2、“訪談”方法應用時，應注意以下要求。（）[多選題]*A.訪談不能有誘導性√B.問題應具有開放性√C.訪談所獲取的結論性內容主要作為實證D.優(yōu)先采用訪談測評方法3、密碼是目前世界上公認的，保障網絡與信息安全的關鍵核心技術。（）[多選題]*A.最有效√B.最可靠√C.最經濟√D.最實用4、以下屬于對稱密碼算法的是。（）[多選題]*A.ZUC算法√B.RSA算法C.SM4算法√D.DES算法√5、在等級測評過程中可以通過采取以下措施規(guī)避風險。（）[多選題]*A.簽署委托測評協(xié)議√B.簽署保密協(xié)議√C.簽署現(xiàn)場測評授權書√D.驗證測試避開業(yè)務高峰期√6、云計算等級測評實施時，測評對象確定還需考慮以下方面。（）[多選題]*A.虛擬設備√B.云操作系統(tǒng)、云業(yè)務管理平臺、虛擬機監(jiān)視器√C.云服務客戶網絡控制器√D.云應用開發(fā)平臺√7、等級測評方法主要包括。（）[多選題]*A.訪談√B.核查√C.測試√D.交流8、根據(jù)GB/T22240-2020給出的定級對象基本特征和GB/T35589-2017給出的大數(shù)據(jù)參考架構，大數(shù)據(jù)相關等級保護對象可以抽象為等組件。（）[多選題]*A.大數(shù)據(jù)資源√B.大數(shù)據(jù)管理平臺C.大數(shù)據(jù)應用√D.大數(shù)據(jù)平臺√9、以下屬于大數(shù)據(jù)應用的是。（）[多選題]*A.文字搜索系統(tǒng)√B.翻譯系統(tǒng)√C.郵件系統(tǒng)D.產品推送廣告系統(tǒng)√10、項目具有的特性有。（）[多選題]*A.獨特性√B.臨時性C.復雜性√D.漸進明細√11、一般項目的制約因素有，除了這四大主要因素外，還需要考慮風險、資源和干系人等。（）[多選題]*A.質量√B范圍√C.成本√D.進度√12、項目管理是指在項目活動中運用專門的，使項目能夠在有限資源限定條件下，實現(xiàn)或超過設定的需求和期望的過程。（）[多選題]*A.知識√B.技能√C.工具√D.方法√13、相較于2019版等級測評報告模板，2021版等級測評報告模板的主要修訂內容包括。（）[多選題]*A.將數(shù)據(jù)作為獨立測評對象√B.刪除控制點得分計算√C.調整綜合得分計算公式√D.規(guī)范了等級測評結論擴展表√14、針對二級以上云租戶系統(tǒng)，以下可以判定為高風險的場景包括。（）[多選題]*A.云計算平臺承載高于其安全保護等級(SxAxGx)的業(yè)務應用系統(tǒng)B.業(yè)務應用系統(tǒng)部署在低于其安全保護等級(SxAxGx)的云計算平臺上√C.業(yè)務應用系統(tǒng)部署在未進行等級保護測評的云計算平臺上√D.業(yè)務應用系統(tǒng)部署在測評報告超出有效期的云計算平臺上√15、依據(jù)GB/T28448-2019測評要求，等級保護第三級重要數(shù)據(jù)傳輸過程的保密性，所涉及的測評對象主要為哪些。（）[多選題]*A.業(yè)務應用系統(tǒng)√B.數(shù)據(jù)庫管理系統(tǒng)√C.中間件和系統(tǒng)管理軟件√D.交換機16、依據(jù)GB/T28448-2019測評要求，等級保護第三級身份鑒別第一條關于用戶身份及身份鑒別信息的要求，測評實施內容主要包括哪些。（）[多選題]*A.應核查用戶在登錄時是否采用了身份鑒別措施√B.應核查用戶列表確認用戶身份標識是否具有唯一性√C.應核查用戶配置信息或測試驗證是否不存在空口令用戶√D.應核查用戶鑒別信息有復雜度要求并定期更換√17、以下哪些產品可以實現(xiàn)數(shù)據(jù)的集中審計和分析。（）[多選題]*A.SOC（安全運營中心）√B.日志分析系統(tǒng)√C.網絡安全態(tài)勢感知系統(tǒng)√D.SIEM（安全信息和事件管理）√18、基于IaaS模式，云服務商實現(xiàn)自身控制部分的集中監(jiān)測，可以包括。（）[多選題]*A.租戶應用B.租戶網絡C.虛擬機使用情況√D.物理機使用情況√19、基于IaaS模式，云服務客戶實現(xiàn)自身控制部分的集中監(jiān)測，可以包括。（）[多選題]*A.租戶應用√B.租戶網絡√C.虛擬機使用情況√D.物理機使用情況20、云服務客戶購買了IaaS服務，部署用戶業(yè)務系統(tǒng)時，需要考慮的安全是。（）[多選題]*A.數(shù)據(jù)層安全√B.虛擬化安全C.主機層（包括虛擬機、宿主機等）安全D.虛擬網絡層安全√21、某公司的三級系統(tǒng)--個人征信系統(tǒng)服務器與公司辦公終端處于同一網段，僅用一臺二層交換機相連接。不滿足《基本要求》的哪些條款？（）[多選題]*A.應避免將重要網絡區(qū)域部署在邊界處，重要網絡區(qū)域與其他網絡區(qū)域之間應采取可靠的技術隔離手段√B.應提供通信線路、關鍵網絡設備和關鍵計算設備的硬件冗余，保證系統(tǒng)的可用性√C.應劃分不同的網絡區(qū)域，并按照方便管理和控制的原則為各網絡區(qū)域分配地址√D.應在網絡邊界或區(qū)域之間根據(jù)訪問控制策略設置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信√22、通過交換機或路由器ACL進行訪問控制，其不足主要在于。（）[多選題]*A.無法實現(xiàn)基于五元組的精細控制B.不支持基于會話狀態(tài)的訪問控制√C.策略數(shù)量較多時，對設備性能影響較大√D.不支持基于應用協(xié)議的訪問控制√23、針對“基于應用協(xié)議的訪問控制”，以下說法正確的是。（）[多選題]*A.基于應用協(xié)議的訪問控制安全性高于基于目的端口的訪問控制√B.可通過在訪問控制設備上，創(chuàng)建服務對象綁定傳輸層協(xié)議端口方式實現(xiàn)應用協(xié)議的識別C.在下一代防火墻上，其它元素相同的情況下，選擇目的端口為80和選擇目的服務為HTTP的訪問控制效果一樣D.路由器、交換機不支持基于應用協(xié)議的訪問控制√24、電子郵件系統(tǒng)的安全防護重點包括。（）[多選題]*A.垃圾郵件防范√B.惡意代碼防范√C.郵件篡改防范D.敏感信息泄露防范√25、關于雜湊函數(shù)，下列說法正確的是。（）[多選題]*A.輸入長度必須是固定長度B.輸入長度可以任意長√C.輸入長度必須比摘要值長D.輸出長度是固定值√26、對于XSS漏洞，以下防御手段有效的是？（）[多選題]*A.部署web應用防火墻√B.使用htmlentities函數(shù)，把字符轉換為HTML實體。√C.使用驗證碼D.cookie關鍵字段設置HttpOnly屬性√27、這段代碼存在的安全問題不會產生什么安全漏洞？（）[多選題]*$username=$_GET(username);Echo$usernamemysql_query(“select*fromorderswhereusername=”$username”ordir(mysql_error():?>A.命令執(zhí)行漏洞√B.SQL注入漏洞C.文件包含漏洞√D.反射XSS漏洞√28、下列哪一種VPN協(xié)議不提供本地數(shù)據(jù)庫加密功能？（）[多選題]*A.IPsecB.L2F√C.L2TP√D.PPTP√FC.L2TPD.PPTPFC.L2TPD.PPTPE.P2P29、Oracle中的三種系統(tǒng)文件分別是？（）[多選題]*A.數(shù)據(jù)文件DBF√B.控制文件CTL√C.日志文件LOG√D.歸檔文件ARC30、關于表分區(qū)的說法正確的有？（）[多選題]*A.表分區(qū)存儲在表空間中√B.表分區(qū)可用于任意的數(shù)據(jù)類型的表C.表分區(qū)不能用于含有自定義類型的表√D.表分區(qū)的每個分區(qū)都必須具有明確的上界值31、以下哪幾項屬于等保三級移動互聯(lián)網安全擴展要求中的移動應用管控測評范圍內？（）[多選題]*A.應只允許指定證書簽名的應用軟件安裝和運行√B.應具有軟件白名單功能，應能根據(jù)白名單控制應用軟件安裝、運行√C.應具有接受移動終端管理服務端推送的移動應用軟件管理策略，并根據(jù)該策略對軟件實施管控的能力D.應具有選擇應用軟件安裝、運行的功能√四、簡答題1、測評時如何確定系統(tǒng)的安全區(qū)域邊界；工業(yè)控制系統(tǒng)具有哪些典型的安全區(qū)域邊界。[填空題]*答案要點：第一，調研系統(tǒng)網絡結構，得到與實際系統(tǒng)一致的網絡拓撲圖；第二，分析網絡拓撲中所包含的安全區(qū)域、各區(qū)域所處的層級；第三，分析各區(qū)域間的連通情況、安全防護需求，結合訪問控制設備的部署情況，得出系統(tǒng)所有的安全區(qū)域邊界。通常分為外部邊界、內部邊界。外部邊界如工業(yè)控制系統(tǒng)與企業(yè)辦公系統(tǒng)邊界；內部邊界又包括層級邊界、區(qū)域邊界。層級邊界，如生產管理層與企業(yè)資源層邊界、過程監(jiān)控層與生產管理層邊界；區(qū)域邊界，如制造業(yè)的不同車間、電廠的不同機組等。2、簡述等級保護測評與風險評估的關系。[填空題]*答案解析：答案要點：依據(jù)GB/T22239或行業(yè)標準對應級別的條款要求，逐項測評，并進行必要的安全掃描和滲透測試（特殊情況除外），參考風險評估思路，綜合分析不符合/部分符合項的安全風險并確定風險等級（定性：高中低），根據(jù)既定的計分方式進行綜合評分。給出確定的測評結論：優(yōu)良中差。依據(jù)GB/T20984所給出的方法，針對約定評估對象(可以為業(yè)務系統(tǒng)、組織的全部信息系統(tǒng)、或約定的特定范圍)，以資產為核心，分析資產價值，面臨的威脅、存在的脆弱性，主要以定量的方式計算各資產的安全風險。根據(jù)約定的風險評價原則，定性方式給出評估對象的風險情況。其中，標準中明確脆弱性評估可參考其他標準或文件（如照GB/T22239）。等級保護測評在安全問題風險分析時，參考風險分析原理，綜合考慮安全問題關聯(lián)資產、關聯(lián)威脅，根據(jù)最大可能安全危害（損失），并結合聯(lián)盟團標“高危判例”確定每個安全問題的風險等級。然后進行整體測評，對風險等級進行必要的調整。3、請簡述等級測評風險有哪些，該采取哪些措施規(guī)避風險？[填空題]*答案解析：答案要點：等級測評風險主要包括：影響系統(tǒng)正常運行的風險、敏感信息泄露風險、木馬植入風險。在等級測評過程中，應采取的規(guī)避風險措施包括：簽署委托測評協(xié)議、簽署保密協(xié)議、簽署現(xiàn)場測評授權書、驗證測試避開業(yè)務高峰期、測評現(xiàn)場還原等。4、請結合測評實施工作簡述測評人員的行為規(guī)范有哪些？[填空題]*答案解析：答案要點：測評人員進入現(xiàn)場佩戴工作牌；使用測評專用的電腦和工具；嚴格按照測評指導書使用規(guī)范的測評技術進行測評；準確記錄測評證據(jù)；不擅自評價測評結果；不將測評結果復制給非測評人員；涉及到測評委托單位的工作秘密或敏感信息的相關資料，只在指定場所查看，查看完成后立即歸還等。5、請簡述大數(shù)據(jù)等級保護對象如何定級。[填空題]*答案要點：由于不同運營者單獨承擔安全責任，從定級對象的責任主體角度出發(fā)，大數(shù)據(jù)資源可獨立作為定級對象，也可能與大數(shù)據(jù)平臺或大數(shù)據(jù)應用組合作為定級對象。大數(shù)據(jù)資源獨立作為定級對象時，承載其數(shù)據(jù)的載體（如存儲、服務器、數(shù)據(jù)庫系統(tǒng)等）也應包含在大數(shù)據(jù)資源的定級對象范圍內。大數(shù)據(jù)資源若對外提供數(shù)據(jù)資源服務時，安全防護軟硬件也應包含在大數(shù)據(jù)資源的定級對象范圍內。6、請簡要介紹測評方案評審的要點。[填空題]*答案要點：測評方案中被測系統(tǒng)和調查對象的實質性內容是否與調查表一致？測評方案項目基本信息是否全面準確？測評方案中抽選的被測對象的信息是否全面準確？測評方案中工具漏洞掃描和滲透測試內容合理、全面？測評方案關鍵內容是否準確？測評方案是否具有業(yè)主方簽字確認？7、請簡要介紹測評報告評審的要點。[填空題]*答案解析：答案要點：測評報告中被測系統(tǒng)和抽選對象的實質性內容是否與測評方案一致？測評記錄是否詳細、準確，支持符合性判斷？原始測評記錄是否具有測評師及業(yè)主方簽字確認？測評報告中工具漏洞掃描和滲透測試結果全面深入？安全問題的描述與評判是否準確？整改建議是否完整、準確、合理？測評結論是否準確？測評報告文檔內容是規(guī)范？8、（1）什么是安全控制點間，什么是整體測評？分別列舉一個安全控制點間安全測評、區(qū)域間安全測評的案例。（2）整體測評不僅是降低風險，也存在風險程度升高的可能性，請舉例說明。[填空題]*答案要點：1）安全控制點間安全測評指對同一區(qū)域的兩個或者兩個以上不同安全控制點間的關聯(lián)進行測評分析，其目的是確定這些關聯(lián)對等級保護對象整體安全保護能力的影響。區(qū)域間安全測評是指對互連互通的不同區(qū)域之間的關聯(lián)進行測評分析，其目的是確定這些關聯(lián)對等級保護對象整體安全保護能力的影響；不僅考慮網絡區(qū)域之間、還包括物理區(qū)域之間。2）開放性，無標準答案。9、聯(lián)盟-2022等級保護測評項目質量評價指標體系中，針對不適用項的注意事項包括哪些要求？[填空題]*答案要點：不適用項的判定原則是：針對每個測評項，如果該測評項所對抗的威脅在被測定級對象中不存在，則該測評項應標為不適用項；不適用項的描述應包括：被測評系統(tǒng)的情況說明、不適用的原因說明，其中對于不適用的原因說明應經得起推敲；直接判定不適用而沒給出相應說明的，不符合要求。10、高風險判定的原則包括哪些？[填空題]*答案要點：不符合國家、行業(yè)主管部門明確規(guī)定的情況，應判為高風險。不符合或未實現(xiàn)《基本要求》中各等級、層面核心要求及基本安全功能，且無等效或補償措施降低風險等級的情況，應判為高風險。通過技術測試發(fā)現(xiàn)被測目標存在可被利用，并可能造成嚴重后果的情況，應判為高風險。通過綜合分析，對被測系統(tǒng)可能產生重大安全隱患的，應判為高風險。11、請簡述等級測評風險規(guī)避措施。[填空題]*答案要點：1)簽署委托測評協(xié)議；在測評工作正式開始之前,測評方和被測評單位需要以委托協(xié)議的方式明確測評工作的目標、范圍、人員組成、計劃安排、執(zhí)行步驟和要求以及雙方的責任和義務等,使得測評雙方對測評過程中的基本問題達成共識。2)簽署保密協(xié)議；測評相關方應簽署合乎法律規(guī)范的保密協(xié)議,以約束測評相關方現(xiàn)在及將來的行為。保密協(xié)議規(guī)定了測評相關方保密方面的權利與義務。測評過程中獲取的相關系統(tǒng)數(shù)據(jù)信息及測評工作的成果屬被測評單位所有,測評方對其的引用與公開應得到相關單位的授權,否則相關單位將按照保密協(xié)議的要求追究測評單位的法律責任。3）現(xiàn)場測評工作風險的規(guī)避；現(xiàn)場測評之前,測評機構應與相關單位簽署現(xiàn)場測評授權書,要求相關方對系統(tǒng)及數(shù)據(jù)進行備份,并對可能出現(xiàn)的事件制定應急處理方案。進行驗證測試和工具測試時,避開業(yè)務高峰期,在系統(tǒng)資源處于空閑狀態(tài)時進行,或配置與生產環(huán)境一致的模擬/仿真環(huán)境,在模擬/仿真環(huán)境下開展漏洞掃描等測試工作;上機驗證測試由測評人員提出需要驗證的內容,系統(tǒng)運營使用單位的技術人員進行實際操作。整個現(xiàn)場測評過程要求系統(tǒng)運營、使用單位全程監(jiān)督。4）測評現(xiàn)場還原。測評工作完成后,測評人員應將測評過程中獲取的所有特權交回,把測評過程中借閱的相關資料文檔歸還,并將測評環(huán)境恢復至測評前狀態(tài)。12、簡述單向認證和雙向認證。[填空題]*答案解析：答案要點：雙向認證SSL協(xié)議要求服務器和用戶雙方都有證書。單向認證SSL協(xié)議不需要客戶擁有CA證書。具體見下圖。13、列出三種云計算服務模型以及各自的優(yōu)缺點。[填空題]*_________________________________答案解析：答案要點：三種云計算服務模型包括IaaS、PaaS和SaaS，它們的一些常見優(yōu)缺點包括但不限于以下幾個方面：IaaS：優(yōu)點：減少資本投資；增加業(yè)務連續(xù)性/災難恢復的冗余；可伸縮性。缺點：依賴于云服務提供商的安全性；保留維護操作系統(tǒng)和應用程序的責任。PaaS：優(yōu)點：使用多個操作系統(tǒng)平臺，特別適合于測試和軟件開發(fā)的目的，還包含IaaS的所有優(yōu)點。缺點：依靠云服務提供商更新操作系統(tǒng)，保留維護應用程序的責任。SaaS：優(yōu)點：云服務提供商負責所有基礎設施、操作系統(tǒng)和應用程序；還包含PaaS的所有優(yōu)點。缺點：失去一切管理控制；可能對安全沒有任何洞察。14、簡述不同云計算服務模型下，云服務提供商、云服務客戶與資源控制范圍控制的關系。[填空題]*答案解析：在不同的服務模式中，云服務商和云服務客戶對計算資源擁有不同的控制范圍，控制范圍則決定了安全責任的邊界。在基礎設施即服務模式下，云計算平臺由設施、硬件、資源抽象控制層組成；在平臺即服務模式下，云計算平臺包括設施、硬件、資源抽象控制層、虛擬化計算資源和軟件平臺；在軟件即服務模式下，云計算平臺包括設施、硬件、資源抽象控制層、虛擬化計算資源、軟件平臺和應用軟件。15、列舉常見的物聯(lián)網設備使用的通信手段，并進行簡單分類。[填空題]*答案要點：按照連接方式可以分為有線連接和無線連接，有線連接包括以太網線、電線、音頻線/同軸線、RS485總線、USB等。無線連接包括WIFI、Zigbee、Lora、藍牙、Z-ware、3G,4G,GPRS,NB-IOT等。按照通信距離可以分為短距離通信和長距離通信，短距離通信包括Zigbee，Z-ware，藍牙，WIFI，串口，USB，總線等。遠距離通信包括，3G/4G、GPRS、NB-IOT、5G等。16、列舉常用物聯(lián)網設備漏洞挖掘手段。[填空題]*答案要點：1）逆向分析設備固件，獲取關鍵功能邏輯信息，硬編碼密鑰、口令信息等。2）逆向分析設備控制端APP，SDK等，獲取設備認證、控制協(xié)議。3）模擬固件運行環(huán)境，對特定可執(zhí)行文件或者整個設備進行模糊測試。如下網絡拓撲圖所示，系統(tǒng)定級為S2A2G2，描述網絡存在的問題。[填空題]*答案要點:1）系統(tǒng)沒有進行區(qū)域劃分，沒有劃分外聯(lián)接入區(qū)和安全管理區(qū)；2）系統(tǒng)的邊界沒有隔離和防護，在下級單位和數(shù)據(jù)源的邊界處應部署防火墻，并配置相應的訪問控制策略；3）沒有部署網絡防惡意代碼產品，不能在關鍵網絡節(jié)點處對惡意代碼進行檢測和清除；4）沒有部署入侵檢測產品，不能對網絡中的關鍵節(jié)點處監(jiān)視網絡攻擊行為；5）沒有部署安全審計設備，不能對系統(tǒng)中的日志進行備份和保護。18、如果發(fā)現(xiàn)sql注入攻擊，網站管理員該如何進行防御？[填空題]*答案解析：答案要點：首先找出sql注入的攻擊者IP和被攻擊的位置，阻斷攻擊，其次可配置網站防火墻對網站進行防護，如果有條件，可以對網站源碼進行修改，修復具有sql注入的漏洞。最后，可以使用專業(yè)的漏洞掃描工具或邀請專業(yè)的滲透測試團隊，對sql注入漏洞進行復查。19、網站滲透測試信息收集階段，一般通過哪些方式、收集哪些信息？[填空題]*答案解析：答案要點：信息收集是進行滲透測試的第一步，也是非常重要的一步。在這個階段，我們要盡可能地收集目標組織的信息，包括但不限于以下信息。1）通過域名信息（whois查詢、備案信息查詢等），獲取域名的注冊信息，即該域名的DNS服務器信息和注冊人的個人信息等。2）通過子域名信息收集，獲取在測試范圍內更多的域或子域。3）通過站點信息收集，獲取CMS指紋、歷史漏洞、腳本語言、敏感目錄/文件、Waf信息等4）通過敏感信息收集，例如獲取數(shù)據(jù)庫文件、服務配置信息，甚至是通過Git找到站點泄露源代碼，以及Redis等未授權訪問、Robots.txt等敏感信息5）通過服務器信息收集，獲取Web服務器指紋、真實IP地址識別、編程語言、Web中間件、端口信息、后端存儲技術6）端口信息收集，通過掃描目標服務器開放的端口，可以從該端口判斷服務器上運行的服務。7）通過真實IP地址識別，根據(jù)域名來確定目標服務器的真實IP8）通過社會工程學，挖掘出更多的秘密信息，例如服務器管理員的個人信息、密碼使用習慣等。20、郵件安全日益收到重視，那么涉及郵件安全的問題有哪些？如何采取有效措施保護郵件安全不受威脅？[填空題]*答案要點：存在問題：電子郵件天生是不安全的，因為主要使