網(wǎng)絡(luò)安全等級測評師（中級）考核試題與答案

網(wǎng)絡(luò)安全等級測評師（中級）考核試題一、判斷題1、通過白名單方式綁定無線接入終端設(shè)備的MAC地址，則認(rèn)為對參與無線通信的設(shè)備進(jìn)行了身份鑒別。[判斷題]*對錯√2、發(fā)電廠的不同機組之間的網(wǎng)絡(luò)邊界可以不采取入侵防范措施。[判斷題]*對√錯3、安全事件的可能性，由資產(chǎn)價值和脆弱性決定。[判斷題]*對錯√4、針對第三級等級保護(hù)對象進(jìn)行測評時，測評對象在數(shù)量上抽樣，種類上全部覆蓋。[判斷題]*對錯√5、測評記錄中應(yīng)明確記錄測評方法和證據(jù)來源，記錄必要的對象特征和細(xì)節(jié)描述，應(yīng)提供充分的符合性判定依據(jù)。[判斷題]*對√錯6、作為云租戶的測評委托單位全部職責(zé)包括：測評前備份系統(tǒng)和數(shù)據(jù)，并了解測評工作基本情況；協(xié)助測評機構(gòu)獲得現(xiàn)場測評授權(quán)；安排測評配合人員,配合測評工作的開展；對風(fēng)險告知書進(jìn)行簽字確認(rèn)；配合人員如實回答測評人員的問詢，對某些需要驗證的內(nèi)容上機進(jìn)行操作，協(xié)助測評人員實施工具測試并提供有效建議，降低安全測評對系統(tǒng)運行的影響，完成業(yè)務(wù)相關(guān)內(nèi)容的問詢、驗證和測試，對測評證據(jù)和證據(jù)源進(jìn)行確認(rèn)，確認(rèn)測試后被測設(shè)備狀態(tài)完好。[判斷題]*對錯√7、ISO/IEC27000標(biāo)準(zhǔn)族中的核心標(biāo)準(zhǔn)包括ISO/IEC27001《信息安全管理體系-要求》、ISO/IEC27002《信息安全管理實用規(guī)則》。[判斷題]*對√錯8、安全區(qū)域邊界對象主要根據(jù)系統(tǒng)中網(wǎng)絡(luò)訪問控制設(shè)備的部署情況來確定。[判斷題]*對錯√9、安全區(qū)域邊界如果以串接方式部署了訪問控制設(shè)備，并啟用了合理的訪問控制策略，則可認(rèn)為“跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進(jìn)行通信”。[判斷題]*對錯√10、只有在邊界訪問控制設(shè)備訪問控制規(guī)則最后一條為全拒絕時，才認(rèn)為該邊界“默認(rèn)情況下除允許通信外受控接口拒絕所有通信”。[判斷題]*對錯√11、防病毒網(wǎng)關(guān)能夠?qū)νㄟ^的所有應(yīng)用協(xié)議進(jìn)行惡意代碼檢測和防護(hù)。[判斷題]*對錯√12、交換機在收到未知源地址的幀時直接丟棄。[判斷題]*對√錯13、可信驗證的目標(biāo)是保證系統(tǒng)和應(yīng)用的信息不被非授權(quán)對象訪問。[判斷題]*對錯√14、密碼協(xié)議指兩個或兩個以上參與者使用密碼算法，為達(dá)到加密保護(hù)或安全認(rèn)證目的而約定的交互規(guī)則。[判斷題]*對√錯15、SSLVPN主要用于數(shù)據(jù)發(fā)送者的不可否認(rèn)性。[判斷題]*對錯√16、側(cè)信道攻擊是利用密碼的物理實現(xiàn)過程獲取的信息進(jìn)行的攻擊，而不是利用算法的理論弱點或者進(jìn)行窮舉攻擊。[判斷題]*對√錯17、WindowsXP的密碼存放在系統(tǒng)所在的%windir%\System32\Config下HOST文件中。[判斷題]*對錯√18、網(wǎng)絡(luò)安全核心目標(biāo)CIA每個字母分別代表機密性、完整性、可用性。[判斷題]*對√錯19、根據(jù)網(wǎng)絡(luò)安全等級保護(hù)第四級測評要求，驗證移動應(yīng)用軟件管理策略的有效性，應(yīng)核查系統(tǒng)中對移動應(yīng)用軟件配置的管理策略是否合理，并檢查是否存在多余或者過期規(guī)則。[判斷題]*對√錯二、選擇題1、綜合得分單項基準(zhǔn)分的計算方式為。（）[單選題]*A.100/要求項總數(shù)B.100/適用項總數(shù)√C.100/測評單項總數(shù)D.100/測評且適用的單項總數(shù)2、測評對象選取的說法正確的是。（）[單選題]*A.相同配置設(shè)備：一、二級1臺；三、四級2臺B.相同配置設(shè)備：一級1臺；二級2臺；三、四級3臺C.相同配置設(shè)備：所有級別2臺D.相同配置設(shè)備：一級1臺；二、三級2臺；四級3臺√3、依據(jù)GB/T22239，應(yīng)采用密碼技術(shù)保證重要審計數(shù)據(jù)的。（）[單選題]*A.保密性B.可用性C.完整性√D.一致性4、某業(yè)務(wù)系統(tǒng)收集了用戶的身份證號，應(yīng)采用密碼技術(shù)進(jìn)行加密存儲。（）[單選題]*A.MD5B.RSA1024C.DESD.SM4√5、等級測評風(fēng)險主要包括。（）[單選題]*A.影響系統(tǒng)正常運行的風(fēng)險B.敏感信息泄露風(fēng)險C.木馬植入風(fēng)險D.以上都是√6、是項目管理中最重要的角色，是由執(zhí)行組織委派，領(lǐng)導(dǎo)團(tuán)隊實現(xiàn)項目目標(biāo)的個人。（）[單選題]*A.項目經(jīng)理√B.技術(shù)專家C.項目專家D.單位領(lǐng)導(dǎo)7、關(guān)于訪談、核查和測試三種測評方法，以下說法正確的是。（）[單選題]*A.針對單項測評，只需要使用一種測評方法；B.訪談應(yīng)全面，盡量發(fā)散性提出問題，以獲得更多更具體的證據(jù)；C.測試包括功能測試、性能測試和滲透測試等；√D.核查即針對制度文檔進(jìn)行觀察和分析。8、如果客戶想要一個可完全操作得環(huán)境，需要很少的維護(hù)或管理，那么哪種云服務(wù)模型可能是最好的。（）[單選題]*A.IaaSB.PaaSC.SaaS√D.混合云9、以下哪項不適合納入SLA？（）[單選題]*A.指定時段允許的用戶賬戶數(shù)量B.云服務(wù)商和云服務(wù)客戶雙方都有哪些人員負(fù)責(zé)和授權(quán)宣布緊急情況，并將服務(wù)轉(zhuǎn)換到應(yīng)急允許狀態(tài)√C.允許云服務(wù)商和云服務(wù)客戶之間傳輸和接收的數(shù)據(jù)量D.從正常操作轉(zhuǎn)換到應(yīng)急操作允許的時間10、下列哪一項是RFID的邏輯安全機制。（）[單選題]*A.Kill命令機制B.主動干擾C.散列鎖定√D.阻塞標(biāo)簽11、物聯(lián)網(wǎng)的核心技術(shù)是。（）[單選題]*A.射頻識別√B.集成電路C.無線電D.操作系統(tǒng)12、以下哪一項不屬于工具測試的作用。（）[單選題]*A.完成對信息系統(tǒng)的授權(quán)模擬攻擊，發(fā)現(xiàn)系統(tǒng)安全性方面的問題√B.可以直接獲得目標(biāo)系統(tǒng)本身存在的操作系統(tǒng)、應(yīng)用方面的漏洞C.通過在不同區(qū)域接入測試工具得到的測試結(jié)果，判斷不同區(qū)域之間的訪問控制情況D.與其他核查手段結(jié)合，為測試結(jié)果的客觀性和準(zhǔn)確性提供保證13、以下哪一項不屬于工具測試的流程。（）[單選題]*A.收集目標(biāo)系統(tǒng)信息B.規(guī)劃接入點C.現(xiàn)場測試D.漏洞發(fā)現(xiàn)√14、對于動態(tài)開放端口的應(yīng)用協(xié)議（如OPC協(xié)議），如何實現(xiàn)安全的訪問控制?（）[單選題]*A.通過限定源目的地址為單個IP地址，并配置目的端口為“任意”的策略來保障動態(tài)開放端口的協(xié)議數(shù)據(jù)流可通過訪問控制設(shè)備B.通過抓包分析該協(xié)議通信的端口使用情況，再以最小開放方式人工配置五元組策略C.訪問控制設(shè)備分析通信過程中的端口協(xié)商數(shù)據(jù)包，后臺自動以最小開放方式配置五元組策略√D.配置全通策略，保障動態(tài)開放端口協(xié)議通信可用性15、《中華人民共和國密碼法》施行時間？（）[單選題]*A.2019年10月26日B.2020年1月1日√C.2020年5月1日D.2021年1月1日16、以下_____算法被國家密碼管理局警示是有風(fēng)險的算法。（）[單選題]*A.MD5B.SHA-1C.DESD.以上都是√17、從一張數(shù)字證書無法得到_______信息。（）[單選題]*A.證書用途B.主體公鑰信息C.有效日期D.證書簽發(fā)機構(gòu)公鑰信息√18、《密碼法》中所稱的密碼，是指采用特定變換的方法對信息進(jìn)行____、____的技術(shù)、產(chǎn)品和服務(wù)。（）[單選題]*A.機密性保護(hù)、完整性保護(hù)B.加密解密、簽名驗簽C.加密保護(hù)、安全認(rèn)證√D.標(biāo)識、認(rèn)證19、我國密碼標(biāo)準(zhǔn)定義的雜湊密碼是______。（）[單選題]*A.SHA256B.SM2C.SM3√D.SM420、以GM/T開頭的標(biāo)準(zhǔn)，屬于______。（）[單選題]*A.密碼國家標(biāo)準(zhǔn)B.密碼行業(yè)標(biāo)準(zhǔn)√C.密碼企業(yè)標(biāo)準(zhǔn)D.密碼地方標(biāo)準(zhǔn)21、下面關(guān)于密碼設(shè)計原則中不正確的是。（）[單選題]*A.算法公開，密鑰保密B.算法不能公開，密鑰可以公開√C.算法應(yīng)能抵御已知的攻擊D.算法應(yīng)盡可能提高運算效率22、下面密碼算法中，哪一個不屬于商用密碼算法？（）[單選題]*A.SM2B.SM3C.DES√D.SM423、Oracle數(shù)據(jù)庫中，以下______命令可以刪除整個表中的數(shù)據(jù)，并且無法回滾。（）[單選題]*A.DropB.DeleteC.Truncate√D.Cascade24、應(yīng)保證移動終端______、______并______終端管理客戶端軟件。（）[單選題]*A.管理、注冊、卸載B.安裝、運行、卸載C.安裝、注冊、運行√D.管理、注冊、運行25、移動終端應(yīng)接受移動終端管理服務(wù)端的______管理、設(shè)備遠(yuǎn)程控制，如：遠(yuǎn)程鎖定、遠(yuǎn)程擦除等。（）[單選題]*A．全功能B．設(shè)備硬件接口C.策略D.設(shè)備生命周期√三、多選題1、MES系統(tǒng)等級測評需要增加的工業(yè)控制安全擴展部分要求有。（）[多選題]*A.安全通信網(wǎng)絡(luò)√B.安全區(qū)域邊界√C.安全計算環(huán)境D.安全管理中心2、“訪談”方法應(yīng)用時，應(yīng)注意以下要求。（）[多選題]*A.訪談不能有誘導(dǎo)性√B.問題應(yīng)具有開放性√C.訪談所獲取的結(jié)論性內(nèi)容主要作為實證D.優(yōu)先采用訪談測評方法3、密碼是目前世界上公認(rèn)的，保障網(wǎng)絡(luò)與信息安全的關(guān)鍵核心技術(shù)。（）[多選題]*A.最有效√B.最可靠√C.最經(jīng)濟√D.最實用4、以下屬于對稱密碼算法的是。（）[多選題]*A.ZUC算法√B.RSA算法C.SM4算法√D.DES算法√5、在等級測評過程中可以通過采取以下措施規(guī)避風(fēng)險。（）[多選題]*A.簽署委托測評協(xié)議√B.簽署保密協(xié)議√C.簽署現(xiàn)場測評授權(quán)書√D.驗證測試避開業(yè)務(wù)高峰期√6、云計算等級測評實施時，測評對象確定還需考慮以下方面。（）[多選題]*A.虛擬設(shè)備√B.云操作系統(tǒng)、云業(yè)務(wù)管理平臺、虛擬機監(jiān)視器√C.云服務(wù)客戶網(wǎng)絡(luò)控制器√D.云應(yīng)用開發(fā)平臺√7、等級測評方法主要包括。（）[多選題]*A.訪談√B.核查√C.測試√D.交流8、根據(jù)GB/T22240-2020給出的定級對象基本特征和GB/T35589-2017給出的大數(shù)據(jù)參考架構(gòu)，大數(shù)據(jù)相關(guān)等級保護(hù)對象可以抽象為等組件。（）[多選題]*A.大數(shù)據(jù)資源√B.大數(shù)據(jù)管理平臺C.大數(shù)據(jù)應(yīng)用√D.大數(shù)據(jù)平臺√9、以下屬于大數(shù)據(jù)應(yīng)用的是。（）[多選題]*A.文字搜索系統(tǒng)√B.翻譯系統(tǒng)√C.郵件系統(tǒng)D.產(chǎn)品推送廣告系統(tǒng)√10、項目具有的特性有。（）[多選題]*A.獨特性√B.臨時性C.復(fù)雜性√D.漸進(jìn)明細(xì)√11、一般項目的制約因素有，除了這四大主要因素外，還需要考慮風(fēng)險、資源和干系人等。（）[多選題]*A.質(zhì)量√B范圍√C.成本√D.進(jìn)度√12、項目管理是指在項目活動中運用專門的，使項目能夠在有限資源限定條件下，實現(xiàn)或超過設(shè)定的需求和期望的過程。（）[多選題]*A.知識√B.技能√C.工具√D.方法√13、相較于2019版等級測評報告模板，2021版等級測評報告模板的主要修訂內(nèi)容包括。（）[多選題]*A.將數(shù)據(jù)作為獨立測評對象√B.刪除控制點得分計算√C.調(diào)整綜合得分計算公式√D.規(guī)范了等級測評結(jié)論擴展表√14、針對二級以上云租戶系統(tǒng)，以下可以判定為高風(fēng)險的場景包括。（）[多選題]*A.云計算平臺承載高于其安全保護(hù)等級(SxAxGx)的業(yè)務(wù)應(yīng)用系統(tǒng)B.業(yè)務(wù)應(yīng)用系統(tǒng)部署在低于其安全保護(hù)等級(SxAxGx)的云計算平臺上√C.業(yè)務(wù)應(yīng)用系統(tǒng)部署在未進(jìn)行等級保護(hù)測評的云計算平臺上√D.業(yè)務(wù)應(yīng)用系統(tǒng)部署在測評報告超出有效期的云計算平臺上√15、依據(jù)GB/T28448-2019測評要求，等級保護(hù)第三級重要數(shù)據(jù)傳輸過程的保密性，所涉及的測評對象主要為哪些。（）[多選題]*A.業(yè)務(wù)應(yīng)用系統(tǒng)√B.數(shù)據(jù)庫管理系統(tǒng)√C.中間件和系統(tǒng)管理軟件√D.交換機16、依據(jù)GB/T28448-2019測評要求，等級保護(hù)第三級身份鑒別第一條關(guān)于用戶身份及身份鑒別信息的要求，測評實施內(nèi)容主要包括哪些。（）[多選題]*A.應(yīng)核查用戶在登錄時是否采用了身份鑒別措施√B.應(yīng)核查用戶列表確認(rèn)用戶身份標(biāo)識是否具有唯一性√C.應(yīng)核查用戶配置信息或測試驗證是否不存在空口令用戶√D.應(yīng)核查用戶鑒別信息有復(fù)雜度要求并定期更換√17、以下哪些產(chǎn)品可以實現(xiàn)數(shù)據(jù)的集中審計和分析。（）[多選題]*A.SOC（安全運營中心）√B.日志分析系統(tǒng)√C.網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)√D.SIEM（安全信息和事件管理）√18、基于IaaS模式，云服務(wù)商實現(xiàn)自身控制部分的集中監(jiān)測，可以包括。（）[多選題]*A.租戶應(yīng)用B.租戶網(wǎng)絡(luò)C.虛擬機使用情況√D.物理機使用情況√19、基于IaaS模式，云服務(wù)客戶實現(xiàn)自身控制部分的集中監(jiān)測，可以包括。（）[多選題]*A.租戶應(yīng)用√B.租戶網(wǎng)絡(luò)√C.虛擬機使用情況√D.物理機使用情況20、云服務(wù)客戶購買了IaaS服務(wù)，部署用戶業(yè)務(wù)系統(tǒng)時，需要考慮的安全是。（）[多選題]*A.數(shù)據(jù)層安全√B.虛擬化安全C.主機層（包括虛擬機、宿主機等）安全D.虛擬網(wǎng)絡(luò)層安全√21、某公司的三級系統(tǒng)--個人征信系統(tǒng)服務(wù)器與公司辦公終端處于同一網(wǎng)段，僅用一臺二層交換機相連接。不滿足《基本要求》的哪些條款？（）[多選題]*A.應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段√B.應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計算設(shè)備的硬件冗余，保證系統(tǒng)的可用性√C.應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址√D.應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認(rèn)情況下除允許通信外受控接口拒絕所有通信√22、通過交換機或路由器ACL進(jìn)行訪問控制，其不足主要在于。（）[多選題]*A.無法實現(xiàn)基于五元組的精細(xì)控制B.不支持基于會話狀態(tài)的訪問控制√C.策略數(shù)量較多時，對設(shè)備性能影響較大√D.不支持基于應(yīng)用協(xié)議的訪問控制√23、針對“基于應(yīng)用協(xié)議的訪問控制”，以下說法正確的是。（）[多選題]*A.基于應(yīng)用協(xié)議的訪問控制安全性高于基于目的端口的訪問控制√B.可通過在訪問控制設(shè)備上，創(chuàng)建服務(wù)對象綁定傳輸層協(xié)議端口方式實現(xiàn)應(yīng)用協(xié)議的識別C.在下一代防火墻上，其它元素相同的情況下，選擇目的端口為80和選擇目的服務(wù)為HTTP的訪問控制效果一樣D.路由器、交換機不支持基于應(yīng)用協(xié)議的訪問控制√24、電子郵件系統(tǒng)的安全防護(hù)重點包括。（）[多選題]*A.垃圾郵件防范√B.惡意代碼防范√C.郵件篡改防范D.敏感信息泄露防范√25、關(guān)于雜湊函數(shù)，下列說法正確的是。（）[多選題]*A.輸入長度必須是固定長度B.輸入長度可以任意長√C.輸入長度必須比摘要值長D.輸出長度是固定值√26、對于XSS漏洞，以下防御手段有效的是？（）[多選題]*A.部署web應(yīng)用防火墻√B.使用htmlentities函數(shù)，把字符轉(zhuǎn)換為HTML實體?！藽.使用驗證碼D.cookie關(guān)鍵字段設(shè)置HttpOnly屬性√27、這段代碼存在的安全問題不會產(chǎn)生什么安全漏洞？（）[多選題]*$username=$_GET(username);Echo$usernamemysql_query(“select*fromorderswhereusername=”$username”ordir(mysql_error():?>A.命令執(zhí)行漏洞√B.SQL注入漏洞C.文件包含漏洞√D.反射XSS漏洞√28、下列哪一種VPN協(xié)議不提供本地數(shù)據(jù)庫加密功能？（）[多選題]*A.IPsecB.L2F√C.L2TP√D.PPTP√FC.L2TPD.PPTPFC.L2TPD.PPTPE.P2P29、Oracle中的三種系統(tǒng)文件分別是？（）[多選題]*A.數(shù)據(jù)文件DBF√B.控制文件CTL√C.日志文件LOG√D.歸檔文件ARC30、關(guān)于表分區(qū)的說法正確的有？（）[多選題]*A.表分區(qū)存儲在表空間中√B.表分區(qū)可用于任意的數(shù)據(jù)類型的表C.表分區(qū)不能用于含有自定義類型的表√D.表分區(qū)的每個分區(qū)都必須具有明確的上界值31、以下哪幾項屬于等保三級移動互聯(lián)網(wǎng)安全擴展要求中的移動應(yīng)用管控測評范圍內(nèi)？（）[多選題]*A.應(yīng)只允許指定證書簽名的應(yīng)用軟件安裝和運行√B.應(yīng)具有軟件白名單功能，應(yīng)能根據(jù)白名單控制應(yīng)用軟件安裝、運行√C.應(yīng)具有接受移動終端管理服務(wù)端推送的移動應(yīng)用軟件管理策略，并根據(jù)該策略對軟件實施管控的能力D.應(yīng)具有選擇應(yīng)用軟件安裝、運行的功能√四、簡答題1、測評時如何確定系統(tǒng)的安全區(qū)域邊界；工業(yè)控制系統(tǒng)具有哪些典型的安全區(qū)域邊界。[填空題]*答案要點：第一，調(diào)研系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)，得到與實際系統(tǒng)一致的網(wǎng)絡(luò)拓?fù)鋱D；第二，分析網(wǎng)絡(luò)拓?fù)渲兴陌踩珔^(qū)域、各區(qū)域所處的層級；第三，分析各區(qū)域間的連通情況、安全防護(hù)需求，結(jié)合訪問控制設(shè)備的部署情況，得出系統(tǒng)所有的安全區(qū)域邊界。通常分為外部邊界、內(nèi)部邊界。外部邊界如工業(yè)控制系統(tǒng)與企業(yè)辦公系統(tǒng)邊界；內(nèi)部邊界又包括層級邊界、區(qū)域邊界。層級邊界，如生產(chǎn)管理層與企業(yè)資源層邊界、過程監(jiān)控層與生產(chǎn)管理層邊界；區(qū)域邊界，如制造業(yè)的不同車間、電廠的不同機組等。2、簡述等級保護(hù)測評與風(fēng)險評估的關(guān)系。[填空題]*答案解析：答案要點：依據(jù)GB/T22239或行業(yè)標(biāo)準(zhǔn)對應(yīng)級別的條款要求，逐項測評，并進(jìn)行必要的安全掃描和滲透測試（特殊情況除外），參考風(fēng)險評估思路，綜合分析不符合/部分符合項的安全風(fēng)險并確定風(fēng)險等級（定性：高中低），根據(jù)既定的計分方式進(jìn)行綜合評分。給出確定的測評結(jié)論：優(yōu)良中差。依據(jù)GB/T20984所給出的方法，針對約定評估對象(可以為業(yè)務(wù)系統(tǒng)、組織的全部信息系統(tǒng)、或約定的特定范圍)，以資產(chǎn)為核心，分析資產(chǎn)價值，面臨的威脅、存在的脆弱性，主要以定量的方式計算各資產(chǎn)的安全風(fēng)險。根據(jù)約定的風(fēng)險評價原則，定性方式給出評估對象的風(fēng)險情況。其中，標(biāo)準(zhǔn)中明確脆弱性評估可參考其他標(biāo)準(zhǔn)或文件（如照GB/T22239）。等級保護(hù)測評在安全問題風(fēng)險分析時，參考風(fēng)險分析原理，綜合考慮安全問題關(guān)聯(lián)資產(chǎn)、關(guān)聯(lián)威脅，根據(jù)最大可能安全危害（損失），并結(jié)合聯(lián)盟團(tuán)標(biāo)“高危判例”確定每個安全問題的風(fēng)險等級。然后進(jìn)行整體測評，對風(fēng)險等級進(jìn)行必要的調(diào)整。3、請簡述等級測評風(fēng)險有哪些，該采取哪些措施規(guī)避風(fēng)險？[填空題]*答案解析：答案要點：等級測評風(fēng)險主要包括：影響系統(tǒng)正常運行的風(fēng)險、敏感信息泄露風(fēng)險、木馬植入風(fēng)險。在等級測評過程中，應(yīng)采取的規(guī)避風(fēng)險措施包括：簽署委托測評協(xié)議、簽署保密協(xié)議、簽署現(xiàn)場測評授權(quán)書、驗證測試避開業(yè)務(wù)高峰期、測評現(xiàn)場還原等。4、請結(jié)合測評實施工作簡述測評人員的行為規(guī)范有哪些？[填空題]*答案解析：答案要點：測評人員進(jìn)入現(xiàn)場佩戴工作牌；使用測評專用的電腦和工具；嚴(yán)格按照測評指導(dǎo)書使用規(guī)范的測評技術(shù)進(jìn)行測評；準(zhǔn)確記錄測評證據(jù)；不擅自評價測評結(jié)果；不將測評結(jié)果復(fù)制給非測評人員；涉及到測評委托單位的工作秘密或敏感信息的相關(guān)資料，只在指定場所查看，查看完成后立即歸還等。5、請簡述大數(shù)據(jù)等級保護(hù)對象如何定級。[填空題]*答案要點：由于不同運營者單獨承擔(dān)安全責(zé)任，從定級對象的責(zé)任主體角度出發(fā)，大數(shù)據(jù)資源可獨立作為定級對象，也可能與大數(shù)據(jù)平臺或大數(shù)據(jù)應(yīng)用組合作為定級對象。大數(shù)據(jù)資源獨立作為定級對象時，承載其數(shù)據(jù)的載體（如存儲、服務(wù)器、數(shù)據(jù)庫系統(tǒng)等）也應(yīng)包含在大數(shù)據(jù)資源的定級對象范圍內(nèi)。大數(shù)據(jù)資源若對外提供數(shù)據(jù)資源服務(wù)時，安全防護(hù)軟硬件也應(yīng)包含在大數(shù)據(jù)資源的定級對象范圍內(nèi)。6、請簡要介紹測評方案評審的要點。[填空題]*答案要點：測評方案中被測系統(tǒng)和調(diào)查對象的實質(zhì)性內(nèi)容是否與調(diào)查表一致？測評方案項目基本信息是否全面準(zhǔn)確？測評方案中抽選的被測對象的信息是否全面準(zhǔn)確？測評方案中工具漏洞掃描和滲透測試內(nèi)容合理、全面？測評方案關(guān)鍵內(nèi)容是否準(zhǔn)確？測評方案是否具有業(yè)主方簽字確認(rèn)？7、請簡要介紹測評報告評審的要點。[填空題]*答案解析：答案要點：測評報告中被測系統(tǒng)和抽選對象的實質(zhì)性內(nèi)容是否與測評方案一致？測評記錄是否詳細(xì)、準(zhǔn)確，支持符合性判斷？原始測評記錄是否具有測評師及業(yè)主方簽字確認(rèn)？測評報告中工具漏洞掃描和滲透測試結(jié)果全面深入？安全問題的描述與評判是否準(zhǔn)確？整改建議是否完整、準(zhǔn)確、合理？測評結(jié)論是否準(zhǔn)確？測評報告文檔內(nèi)容是規(guī)范？8、（1）什么是安全控制點間，什么是整體測評？分別列舉一個安全控制點間安全測評、區(qū)域間安全測評的案例。（2）整體測評不僅是降低風(fēng)險，也存在風(fēng)險程度升高的可能性，請舉例說明。[填空題]*答案要點：1）安全控制點間安全測評指對同一區(qū)域的兩個或者兩個以上不同安全控制點間的關(guān)聯(lián)進(jìn)行測評分析，其目的是確定這些關(guān)聯(lián)對等級保護(hù)對象整體安全保護(hù)能力的影響。區(qū)域間安全測評是指對互連互通的不同區(qū)域之間的關(guān)聯(lián)進(jìn)行測評分析，其目的是確定這些關(guān)聯(lián)對等級保護(hù)對象整體安全保護(hù)能力的影響；不僅考慮網(wǎng)絡(luò)區(qū)域之間、還包括物理區(qū)域之間。2）開放性，無標(biāo)準(zhǔn)答案。9、聯(lián)盟-2022等級保護(hù)測評項目質(zhì)量評價指標(biāo)體系中，針對不適用項的注意事項包括哪些要求？[填空題]*答案要點：不適用項的判定原則是：針對每個測評項，如果該測評項所對抗的威脅在被測定級對象中不存在，則該測評項應(yīng)標(biāo)為不適用項；不適用項的描述應(yīng)包括：被測評系統(tǒng)的情況說明、不適用的原因說明，其中對于不適用的原因說明應(yīng)經(jīng)得起推敲；直接判定不適用而沒給出相應(yīng)說明的，不符合要求。10、高風(fēng)險判定的原則包括哪些？[填空題]*答案要點：不符合國家、行業(yè)主管部門明確規(guī)定的情況，應(yīng)判為高風(fēng)險。不符合或未實現(xiàn)《基本要求》中各等級、層面核心要求及基本安全功能，且無等效或補償措施降低風(fēng)險等級的情況，應(yīng)判為高風(fēng)險。通過技術(shù)測試發(fā)現(xiàn)被測目標(biāo)存在可被利用，并可能造成嚴(yán)重后果的情況，應(yīng)判為高風(fēng)險。通過綜合分析，對被測系統(tǒng)可能產(chǎn)生重大安全隱患的，應(yīng)判為高風(fēng)險。11、請簡述等級測評風(fēng)險規(guī)避措施。[填空題]*答案要點：1)簽署委托測評協(xié)議；在測評工作正式開始之前,測評方和被測評單位需要以委托協(xié)議的方式明確測評工作的目標(biāo)、范圍、人員組成、計劃安排、執(zhí)行步驟和要求以及雙方的責(zé)任和義務(wù)等,使得測評雙方對測評過程中的基本問題達(dá)成共識。2)簽署保密協(xié)議；測評相關(guān)方應(yīng)簽署合乎法律規(guī)范的保密協(xié)議,以約束測評相關(guān)方現(xiàn)在及將來的行為。保密協(xié)議規(guī)定了測評相關(guān)方保密方面的權(quán)利與義務(wù)。測評過程中獲取的相關(guān)系統(tǒng)數(shù)據(jù)信息及測評工作的成果屬被測評單位所有,測評方對其的引用與公開應(yīng)得到相關(guān)單位的授權(quán),否則相關(guān)單位將按照保密協(xié)議的要求追究測評單位的法律責(zé)任。3）現(xiàn)場測評工作風(fēng)險的規(guī)避；現(xiàn)場測評之前,測評機構(gòu)應(yīng)與相關(guān)單位簽署現(xiàn)場測評授權(quán)書,要求相關(guān)方對系統(tǒng)及數(shù)據(jù)進(jìn)行備份,并對可能出現(xiàn)的事件制定應(yīng)急處理方案。進(jìn)行驗證測試和工具測試時,避開業(yè)務(wù)高峰期,在系統(tǒng)資源處于空閑狀態(tài)時進(jìn)行,或配置與生產(chǎn)環(huán)境一致的模擬/仿真環(huán)境,在模擬/仿真環(huán)境下開展漏洞掃描等測試工作;上機驗證測試由測評人員提出需要驗證的內(nèi)容,系統(tǒng)運營使用單位的技術(shù)人員進(jìn)行實際操作。整個現(xiàn)場測評過程要求系統(tǒng)運營、使用單位全程監(jiān)督。4）測評現(xiàn)場還原。測評工作完成后,測評人員應(yīng)將測評過程中獲取的所有特權(quán)交回,把測評過程中借閱的相關(guān)資料文檔歸還,并將測評環(huán)境恢復(fù)至測評前狀態(tài)。12、簡述單向認(rèn)證和雙向認(rèn)證。[填空題]*答案解析：答案要點：雙向認(rèn)證SSL協(xié)議要求服務(wù)器和用戶雙方都有證書。單向認(rèn)證SSL協(xié)議不需要客戶擁有CA證書。具體見下圖。13、列出三種云計算服務(wù)模型以及各自的優(yōu)缺點。[填空題]*_________________________________答案解析：答案要點：三種云計算服務(wù)模型包括IaaS、PaaS和SaaS，它們的一些常見優(yōu)缺點包括但不限于以下幾個方面：IaaS：優(yōu)點：減少資本投資；增加業(yè)務(wù)連續(xù)性/災(zāi)難恢復(fù)的冗余；可伸縮性。缺點：依賴于云服務(wù)提供商的安全性；保留維護(hù)操作系統(tǒng)和應(yīng)用程序的責(zé)任。PaaS：優(yōu)點：使用多個操作系統(tǒng)平臺，特別適合于測試和軟件開發(fā)的目的，還包含IaaS的所有優(yōu)點。缺點：依靠云服務(wù)提供商更新操作系統(tǒng)，保留維護(hù)應(yīng)用程序的責(zé)任。SaaS：優(yōu)點：云服務(wù)提供商負(fù)責(zé)所有基礎(chǔ)設(shè)施、操作系統(tǒng)和應(yīng)用程序；還包含PaaS的所有優(yōu)點。缺點：失去一切管理控制；可能對安全沒有任何洞察。14、簡述不同云計算服務(wù)模型下，云服務(wù)提供商、云服務(wù)客戶與資源控制范圍控制的關(guān)系。[填空題]*答案解析：在不同的服務(wù)模式中，云服務(wù)商和云服務(wù)客戶對計算資源擁有不同的控制范圍，控制范圍則決定了安全責(zé)任的邊界。在基礎(chǔ)設(shè)施即服務(wù)模式下，云計算平臺由設(shè)施、硬件、資源抽象控制層組成；在平臺即服務(wù)模式下，云計算平臺包括設(shè)施、硬件、資源抽象控制層、虛擬化計算資源和軟件平臺；在軟件即服務(wù)模式下，云計算平臺包括設(shè)施、硬件、資源抽象控制層、虛擬化計算資源、軟件平臺和應(yīng)用軟件。15、列舉常見的物聯(lián)網(wǎng)設(shè)備使用的通信手段，并進(jìn)行簡單分類。[填空題]*答案要點：按照連接方式可以分為有線連接和無線連接，有線連接包括以太網(wǎng)線、電線、音頻線/同軸線、RS485總線、USB等。無線連接包括WIFI、Zigbee、Lora、藍(lán)牙、Z-ware、3G,4G,GPRS,NB-IOT等。按照通信距離可以分為短距離通信和長距離通信，短距離通信包括Zigbee，Z-ware，藍(lán)牙，WIFI，串口，USB，總線等。遠(yuǎn)距離通信包括，3G/4G、GPRS、NB-IOT、5G等。16、列舉常用物聯(lián)網(wǎng)設(shè)備漏洞挖掘手段。[填空題]*答案要點：1）逆向分析設(shè)備固件，獲取關(guān)鍵功能邏輯信息，硬編碼密鑰、口令信息等。2）逆向分析設(shè)備控制端APP，SDK等，獲取設(shè)備認(rèn)證、控制協(xié)議。3）模擬固件運行環(huán)境，對特定可執(zhí)行文件或者整個設(shè)備進(jìn)行模糊測試。如下網(wǎng)絡(luò)拓?fù)鋱D所示，系統(tǒng)定級為S2A2G2，描述網(wǎng)絡(luò)存在的問題。[填空題]*答案要點:1）系統(tǒng)沒有進(jìn)行區(qū)域劃分，沒有劃分外聯(lián)接入?yún)^(qū)和安全管理區(qū)；2）系統(tǒng)的邊界沒有隔離和防護(hù)，在下級單位和數(shù)據(jù)源的邊界處應(yīng)部署防火墻，并配置相應(yīng)的訪問控制策略；3）沒有部署網(wǎng)絡(luò)防惡意代碼產(chǎn)品，不能在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對惡意代碼進(jìn)行檢測和清除；4）沒有部署入侵檢測產(chǎn)品，不能對網(wǎng)絡(luò)中的關(guān)鍵節(jié)點處監(jiān)視網(wǎng)絡(luò)攻擊行為；5）沒有部署安全審計設(shè)備，不能對系統(tǒng)中的日志進(jìn)行備份和保護(hù)。18、如果發(fā)現(xiàn)sql注入攻擊，網(wǎng)站管理員該如何進(jìn)行防御？[填空題]*答案解析：答案要點：首先找出sql注入的攻擊者IP和被攻擊的位置，阻斷攻擊，其次可配置網(wǎng)站防火墻對網(wǎng)站進(jìn)行防護(hù)，如果有條件，可以對網(wǎng)站源碼進(jìn)行修改，修復(fù)具有sql注入的漏洞。最后，可以使用專業(yè)的漏洞掃描工具或邀請專業(yè)的滲透測試團(tuán)隊，對sql注入漏洞進(jìn)行復(fù)查。19、網(wǎng)站滲透測試信息收集階段，一般通過哪些方式、收集哪些信息？[填空題]*答案解析：答案要點：信息收集是進(jìn)行滲透測試的第一步，也是非常重要的一步。在這個階段，我們要盡可能地收集目標(biāo)組織的信息，包括但不限于以下信息。1）通過域名信息（whois查詢、備案信息查詢等），獲取域名的注冊信息，即該域名的DNS服務(wù)器信息和注冊人的個人信息等。2）通過子域名信息收集，獲取在測試范圍內(nèi)更多的域或子域。3）通過站點信息收集，獲取CMS指紋、歷史漏洞、腳本語言、敏感目錄/文件、Waf信息等4）通過敏感信息收集，例如獲取數(shù)據(jù)庫文件、服務(wù)配置信息，甚至是通過Git找到站點泄露源代碼，以及Redis等未授權(quán)訪問、Robots.txt等敏感信息5）通過服務(wù)器信息收集，獲取Web服務(wù)器指紋、真實IP地址識別、編程語言、Web中間件、端口信息、后端存儲技術(shù)6）端口信息收集，通過掃描目標(biāo)服務(wù)器開放的端口，可以從該端口判斷服務(wù)器上運行的服務(wù)。7）通過真實IP地址識別，根據(jù)域名來確定目標(biāo)服務(wù)器的真實IP8）通過社會工程學(xué)，挖掘出更多的秘密信息，例如服務(wù)器管理員的個人信息、密碼使用習(xí)慣等。20、郵件安全日益收到重視，那么涉及郵件安全的問題有哪些？如何采取有效措施保護(hù)郵件安全不受威脅？[填空題]*答案要點：存在問題：電子郵件天生是不安全的，因為主要使