《网络安全等级测评师(中级)考核试题与答案.docx》由会员分享,可在线阅读,更多相关《网络安全等级测评师(中级)考核试题与答案.docx(33页珍藏版)》请在课桌文档上搜索。
1、络安全等级测评师(中级)考核试题一,判断题L通过白名单方式绑定无线接入终端设备的MAC地址,则认为对参与无线通信的设备进行了身份鉴别。判断题*对错V2、发电厂的不同机组之间的网络边界可以不采取入侵防范措施。判断题*对V错3、安全事件的可能性,由资产价值和脆弱性决定。判断题*对错V4、针对第三级等级保护对象进行测评时,测评对象在数量上抽样,种类上全部覆盖。判断题*对错V5、测评记录中应明确记录测评方法和证据来源,记录必要的对象特征和细节描述,应提供充分的符合性判定依据。判断题*对V6、作为云租户的测评委托单位全部职责包括:测评前备份系统和数据,并了解测评工作基本情况;协助测评机构获得现场测评授权
2、;安排测评配合人员,配合测评工作的开展;对风险告知书进行签字确认;配合人员如实回答测评人员的问询,对某些需要验证的内容上机进行操作,协助测评人员实施工具测试并提供有效建议,降低安全测评对系统运行的影响,完成业务相关内容的问询、验证和测试,对测评证据和证据源进行确认,确认测试后被测设备状态完好。判断题*对错V7.ISO/IEC27000标准族中的核心标准包括ISO/IEC27001信息安全管理体系-要求、ISozIEC27002信息安全管理实用规则。判断题*对V错8、安全区域边界对象主要根据系统中网络访问控制设备的部署情况来确定。判断题*对错V9、安全区域边界如果以串接方式部署了访问控制设备,并
3、启用了合理的访问控制策略,则可认为跨越边界的访问和数据流通过边界设备提供的受控接口进行通信”。判断题*对错V10、只有在边界访问控制设备访问控制规则最后一条为全拒绝时,才认为该边界“默认情况下除允许通信外受控接口拒绝所有通信”。判断题*对错V11、防病毒网关能够对通过的所有应用协议进行恶意代码检测和防护。判断题*对错V12、交换机在收到未知源地址的帧时直接丢弃。判断题*对V错13、可信验证的目标是保证系布口应用的信息不被非授权对象访问。判断题*对错V14、密码协议指两个或两个以上参与者使用密码算法,为达到加密保护或安全认证目的而约定的交互规则。判断题*对V错15、SSLVPN主要用于数据发送者
4、的不可否认性。判断题*对错V16、侧信道攻击是利用密码的物理实现过程获取的信息进行的攻击,而不是利用算法的理论弱点或者进行穷举攻击。判断题*错17、WindowsXP的密码存放在系统所在的windir%System32Config下HoST文件中。判断题*对错V18、网络安全核心目标ClA每个字母分别代表机密性、完整性、可用性。判断题*对V错19、根据网络安全等级保护第四级测评要求,验证移动应用软件管理策略的有效性,应核查系统中对移动应用软件配置的管理策略是否合理,并检查是否存在多余或者过期规则。判断题*对V错二、选择题L综合得分单项基准分的计算方式为。()单选题*A.100/要求项总数B.1
5、00/适用项总数C.100/测评单项总数D.100/测评且适用的单项总数2、测评对象选取的说法正确的是。()单选题*A.相同配置设备:一、二级1台;三、四级2台B.相同配置设备:一级1台;二级2台;三、四级3台C.相同配置设备:所有级别2台D.相同配置设备:一级1台;二、三级2台;四级3台3、依据GB/T22239,应采用密码技术保证重要审计数据的。()单选题*A.保密性B.可用性C.完整性D.一致性4、某业务系统收集了用户的身份证号,应采用密码技术进行加密存储。()单选题*A.MD5B.RSA1024CDESD.SM45、等级测评风睑主要包括。()单选题*A.影响系统正常运行的风险B.敏感信
6、息泄露风险C.木马植入风险D.以上都是6、是项目管理中最重要的角色,是由执行组织委派,领导团队实现项目目标的个人。()单选题*A.项目经理B.技术专家C.项目专家D.单位领导7、关于访谈、核查和测试三种测评方法,以下说法正确的是。()单选题*A.针对单项测评,只需要使用一种测评方法;B.访谈应全面,尽量发散性提出问题,以获得更多更具体的证据;C.测试包括功能测试、性能测试和渗透测试等;D.核查即针对制度文档进行观察和分析。8、如果客户想要一个可完全操作得环境,需要很少的维护或管理,那么哪种云服务模型可能是最好的。()单选题*AJaaSB.PaaSC.SaaSD.混合A9、以下哪项不适合纳入SL
7、A?()单选题*A.指定时段允许的用户账户数量B.云服务商和云服务客户双方都有哪些人员负责和授权宣布紧急情况,并将服务转换到应急允许状态VC.允许云服务商和云服务客户之间传输和接收的数据量D.从正常操作转换到应急操作允许的时间10、下列哪一项是RFID的逻辑安全机制。()单选题*A.Kill命令机制B.主动干扰C.散列锁定D.阻塞标签11、物联网的核心技术是。()单选题*A.射频识别B.集成电路C.无线电D.操作系统12、以下哪一项不属于工具测试的作用。()单选题*A.完成对信息系统的授权模拟攻击,发现系统安全性方面的问题B.可以直接获得目标系统本身存在的操作系统、应用方面的漏洞C.通过在不同
8、区域接入测试工具得到的测试结果,判断不同区域之间的访问控制情况D.与其他核杳手段结合,为测试结果的客观性和准确性提供保证13、以下哪一项不属于工具测试的流程。()单选题*A.收集目标系统信息B.规划接入点C.现场测试D.漏洞发现14、对于动态开放端口的应用协议(如C)Pe协议),如何实现安全的访问控制?()单选题*A.通过限定源目的地址为单个IP地址,并配置目的端口为任意的策略来保障动态开放端口的协议数据流可通过访问控制设备B.通过抓包分析该协议通信的端口使用情况,再以最小开放方式人工配置五元组策略C.访问控制设备分析通信过程中的端口协商数据包,后台自动以最小开放方式配置五元组策略VD.配置全
9、通策略,保障动态开放端口协议通信可用性15、中华人民共和国密码法施行时间?()单选题*A.2019年10月26日B.2020年1月1日C.2020年5月1日D.2021年1月:!日16、以下算法被国家密码管理局警示是有风险的算法。()单选题*A.MD5B.SHA-1CDESD.以上都是17、从一张数字证书无法得到信息。()单选题*A.证书用途B.主体公钥信息C.有效日期D.证书签发机构公钥信息18、密码法中所称的密码,是指采用特定变换的方法对信息进行的技术、产品和服务。()单选题*A.机密性保护、完整性保护B.加密解密、签名验签C.加密保护、安全认证VD.标识、认证19、我国密码标准定义的杂凑
10、密码是()单选题*A.SHA256B.SM2C.SM3D.SM420、以GM/T开头的标准,属于()单选题*A.密码国家标准B.密码行业标准C.密码企业标准D.密码地方标准21、下面关于密码设计原则中不正确的是。()单选题*A.算法公开,密钥保密B.算法不能公开,密钥可以公开VC.算法应能抵御已知的攻击D.算法应尽可能提高运算效率22、下面密码算法中,哪一个不属于商用密码算法?()单选题A. SM2B. SM3C. DESVD.SM423、Oracle数据库中,以下命令可以删除整个表中的数据,并且无法回滚。()单选题*A.DropB.DeleteC.Truncate0.Cascade24、应保
11、证移动终端并终端管理客户端软件。()单选题*A.管理、注册、卸载8 .安装、运行、卸载C.安装、注册、运行D.管理、注册、运行25、移动终端应接受移动终端管理服务端的管理、设备远程控制,如:远程锁定、远程擦除等。()单选题*A.全功能9 .设备硬件接口C策略D.设备生命周期三、多选题1、MES系统等级测评需要增加的工业控制安全扩展部分要求有。()多选题*A.安全通信网络B.安全区域边界C.安全计算环境D.安全管理中心2、访谈方法应用时,应注意以下要求。()多选题*A.访谈不能有诱导性VB.问题应具有开放性C.访谈所获取的结论性内容主要作为实证D.优先采用访谈测评方法3、密码是目前世界上公认的,
12、保障网络与信息安全的关键核心技术。()多选题*A最有效B.最可靠C.最经济D.最实用4、以下属于对称密码算法的是。()多选题*A.ZUC算法B.RSA算法C.SM4算法D.DES算法5、在等级测评过程中可以通过采取以下措施规避风险。()多选题*A.签署委托测评协议B.签署保密协议C.签署现场测评授权书D.验证测试避开业务高峰期6、云计算等级测评实施时,测评对象确定还需考虑以下方面。()多选题*A.虚拟设备B.云操作系统、云业务管理平台、虚拟机监视器,C.云服务客户网络控制器D.云应用开发平台7、等级测评方法主要包括。()多选题*A.访谈B.核查VC.测试D.交流8、根据GB/T22240-20
13、20给出的定级对象基本特征和GB/T35589-2017给出的大数据参考架构,大数据相关等级保护对象可以抽象为等组件。()多选题*A.大数据资源B.大数据管理平台C.大数据应用D.大数据平台9、以下属于大数据应用的是。()多选题*A.文字搜索系统B.翻译系统C.邮件系统D.产品推送广告系统10、项目具有的特性有。()多选题A.独特性B.临时性C.复杂性D.渐进明细11、一般项目的制约因素有,除了这四大主要因素外,还需要考虑风险、资源和干系人等。()多选题*A.质量B范围C.成本D.进度12、项目管理是指在项目活动中运用专门的,使项目能够在有限资源限定条件下,实现或超过设定的需求和期望的过程。(
14、)多选题*A.知识B.技能C.工具D.方法13、相较于2019版等级测评报告模板,2021版等级测评报告模板的主要修订内容包括。()多选题*A.将数据作为独立测评对象B.删除控制点得分计算C.调整综合得分计算公式D.规范了等级测评结论扩展表14、针对二级以上云租户系统,以下可以判定为高风险的场景包括。()多选题A.云计算平台承载高于其安全保护等级(SXAXGX)的业务应用系统B.业务应用系统部署在低于其安全保护等级(SxAXGX)的云计算平台上C.业务应用系统部署在未进行等级保护测评的云计算平台上D.业务应用系统部署在测评报告超出有效期的云计算平台上15、依据GB/T28448-2019测评要
15、求,等级保护第三级重要数据传输过程的保密性,所涉及的测评对象主要为哪些。()多选题*A.业务应用系统B.数据库管理系统,C.中间件和系统管理软件VD.交换机16、依据GB/T28448-2019测评要求,等级保护第三级身份鉴别第一条关于用户身份及身份鉴别信息的要求,测评实施内容主要包括哪些。()多选题*A.应核查用户在登录时是否采用了身份鉴别措施B.应核查用户列表确认用户身份标识是否具有唯一性,C.应核查用户配置信息或测试验证是否不存在空口令用户D.应核查用户鉴别信息有复杂度要求并定期更换V17、以下哪些产品可以实现数据的集中审计和分析。()多选题*A.SOC(安全运营中心)B.日志分析系统C
16、.网络安全态势感知系统D.S正M(安全信息和事件管理)18、基于IaaS模式,云服务商实现自身控制部分的集中监测,可以包括。()多选题A.租户应用B.租户网络C.虚拟机使用情况D.物理机使用情况19、基于IaaS模式,云服务客户实现自身控制部分的集中监测,可以包括。()多选题*A.租户应用B.租户网络C.虚拟机使用情况D.物理机使用情况20、云服务客户购买了IaaS服务,部署用户业务系统时,需要考虑的安全是。()多选题*A.数据层安全B.虚拟化安全C.主机层(包括虚拟机、宿主机等)安全D.虚拟网络层安全21、某公司的三级系统-个人征信系统服务器与公司办公终端处于同一网段,仅用一台二层交换机相连
17、接。不满足基本要求的哪些条款?()多选题*A.应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段VB应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性VC.应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址VD.应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信V22、通过交换机或路由器ACL进行访问控制,其不足主要在于。()多选题*A.无法实现基于五元组的精细控制B.不支持基于会话状态的访问控制VC.策略数量较多时,对设备性能影响较大VD.不支持基于应用协议的访问控制V
18、23、针对基于应用协议的访问控制,以下说法正确的是。()多选题*A.基于应用协议的访问控制安全性高于基于目的端口的访问控制B.可通过在访问控制设备上,创建服务对象绑定传输层协议端口方式实现应用协议的识别C.在下T弋防火墙上,其它元素相同的情况下,选择目的端口为80和选择目的服务为HTTP的访问控制效果一样D.路由器、交换机不支持基于应用协议的访问控制V24、电子邮件系统的安全防护重点包括。()多选题*A.垃圾邮件防范B.恶意代码防范,C.邮件篡改防范D.敏感信息泄露防范25、关于杂凑函数,下列说法正确的是。()多选题*A.输入长度必须是固定长度B.输入长度可以任意长C.输入长度必须比摘要值长D
19、.输出长度是固定值26、对于XSS漏洞,以下防御手段有效的是?()多选题*A.部署web应用防火墙VB.使用Htmlentities函数,把字符转换为HTML实体。C.使用验证码Dxookie关键字段设置HttpOnIy属性27、这段代码存在的安全问题不会产生什么安全漏洞?()多选题*Susername=$_GET(username);Echo$usernamemysql_query(,select*fromorderswhereusername=Jusernameoordir(mysql_error():?A.命令执行漏洞VB.SQL注入漏洞C.文件包含漏洞D.反射XSS漏洞28、下列哪一种
20、VPN协议不提供本地数据库加密功能?()多选题*A.IPsecB.L2FC.L2TPD.PPTPFC.L2TPD.PPTPFC.L2TPD.PPTPE.P2P29、Oracle中的三种系统文件分别是?()多选题*A.数据文件DBFVB.控制文件CTLVC.日志文件LOGVD.归档文件ARC30、关于表分区的说法正确的有?()多选题*A.表分区存储在表空间中B.表分区可用于任意的数据类型的表C.表分区不能用于含有自定义类型的表D.表分区的每个分区都必须具有明确的上界值31、以下哪几项属于等保三级移动互联网安全扩展要求中的移动应用管控测评范围内?()多选题*A.应只允许指定证书签名的应用软件安装和
21、运行B.应具有软件白名单功能,应能根据白名单控制应用软件安装、运行C.应具有接受移动终端管理服务端推送的移动应用软件管理策略,并根据该策略对软件实施管控的能力D.应具有选择应用软件安装、运行的功能四、简答题L测评时如何确定系统的安全区域边界;工业控制系统具有哪些典型的安全区域边界。填空题*答案要点:第一,调研系统网络结构,得到与实际系统一致的网络拓扑图;第二,分析网络拓扑中所包含的安全区域、各区域所处的层级;第三,分析各区域间的连通情况、安全防护需求,结合访问控制设备的部署情况,得出系统所有的安全区域边界。通常分为外部边界、内部边界。外部边界如工业控制系统与企业办公系统边界;内部边界又包括层级
22、边界、区域边界。层级边界,如生产管理层与企业资源层边界、过程监控层与生产管理层边界;区域边界,如制造业的不同车间、电厂的不同机组等。2、简述等级保护测评与风险评估的关系。填空题*答案解析:答案要点:依据GB/T22239或行业标准对应级别的条款要求,逐项测评,并进行必要的安全扫描和渗透测试(特殊情况除外),参考风险评估思路,综合分析不符合/部分符合项的安全风险并确定风险等级(定性:高中低),根据既定的计分方式进行综合评分。给出确定的测评结论:优良中差。依据GB/T20984所给出的方法,针对约定评估对象何以为业务系统、组织的全部信息系统、或约定的特定范围),以资产为核心,分析资产价值,面临的威
23、胁、存在的脆弱性,主要以定量的方式计算各资产的安全风险。根据约定的风险评价原则,定性方式给出评估对象的风险情况。其中,标准中明确脆弱性评估可参考其他标准或文件(如照GB/T22239等级保护测评在安全问题风险分析时,参考风险分析原理,综合考虑安全问题关联资产、关联威胁,根据最大可能安全危害(损失),并结合联盟团标高危判例”确定每个安全问题的风险等级。然后进行整体测评,对风险等级进行必要的调整。3、请简述等级测评风险有哪些,该采取哪些措施规避风险?填空题*答案解析:答案要点:等级测评风险主要包括:影响系统正常运行的风险、敏感信息泄露风险、木马植入风险。在等级测评过程中,应采取的规避风险措施包括:
24、签署委托测评协议、签署保密协议、签署现场测评授权书、验证测试避开业务高峰期、测评现场还原等。4、请结合测评实施工作简述测评人员的行为规范有哪些?填空题*答案解析:答案要点:测评人员进入现场佩戴工作牌;使用测评专用的电脑和工具;严格按照测评指导书使用规范的测评技术进行测评;准确记录测评证据;不擅自评价测评结果;不将测评结果复制给非测评人员;涉及到测评委托单位的工作秘密或敏感信息的相关资料,只在指定场所查看,查看完成后立即归还等。5、请简述大数据等级保护对象如何定级。填空题*答案要点:由于不同运营者单独承担安全责任,从定级对象的责任主体角度出发,大数据资源可独立作为定级对象,也可能与大数据平台或大
25、数据应用组合作为定级对象。大数据资源独立作为定级对象时,承载其数据的载体(如存储、服务器、数据库系统等)也应包含在大数据资源的定级对象范围内。大数据资源若对外提供数据资源服务时,安全防护软硬件也应包含在大数据资源的定级对象范围内。6、请简要介绍测评方案评审的要点。填空题*答案要点:测评方案中被测系统和调查对象的实质性内容是否与调查表一致?测评方案项目基本信息是否全面准确?测评方案中抽选的被测对象的信息是否全面准确?测评方案中工具漏洞扫描和渗透测试内容合理、全面?测评方案关键内容是否准确?测评方案是否具有业主方签字确认?7、请简要介绍测评报告评审的要点。填空题*答案解析:答案要点:测评报告中被测
26、系统和抽选对象的实质性内容是否与测评方案一致?测评记录是否详细、准确,支持符合性判断?原始测评记录是否具有测评师及业主方签字确认?测评报告中工具漏洞扫描和渗透测试结果全面深入?安全问题的描述与评判是否准确?整改建议是否完整、准确、合理?测评结论是否准确?测评!艮告文档内容是规范?8.(1)什么是安全控制点间,什么是整体测评?分别列举一个安全控制点间安全测评、区域间安全测评的案例。(2)整体测评不仅是降低风险,也存在风险程度升高的可能性,请举例说明。填空题*答案要点:1)安全控制点间安全测评指对同一区域的两个或者两个以上不同安全控制点间的关联进行测评分析,其目的是确定这些关联对等级保护对象整体安
27、全保护能力的影响。区域间安全测评是指对互连互通的不同区域之间的关联进行测评分析,其目的是确定这些关联对等级保护对象整体安全保护能力的影响;不仅考虑网络区域之间、还包括物理区域之间。2)开放性,无标准答案。9、联盟-2022等级保护测评项目质量评价指标体系中,针对不适用项的注意事项包括哪些要求?填空题*答案要点:不适用项的判定原则是:针对每个测评项,如果该测评项所对抗的威胁在被测定级对象中不存在,则该测评项应标为不适用项;不适用项的描述应包括:被测评系统的情况说明、不适用的原因说明,其中对于不适用的原因说明应经得起推敲;直接判定不适用而没给出相应说明的,不符合要求。10、高风险判定的原则包括哪些
28、?填空题*答案要点:不符合国家、行业主管部门明确规定的情况,应判为高风险。不符合或未实现基本要求中各等级、层面核心要求及基本安全功能且无等效或补偿措施降低风险等级的情况,应判为高风险。通过技术测试发现被测目标存在可被利用,并可能造成严重后果的情况,应判为高风险。通过综合分析,对被测系统可能产生重大安全隐患的,应判为高风险。11、请简述等级测评风险规避措施。填空题*答案要点:D签署委托测评协议;在测评工作正式开始之前,测评方和被测评单位需要以委托协议的方式明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求以及双方的责任和义务等,使得测评双方对测评过程中的基本问题达成共识。2)签署保密协
29、议;测评相关方应签署合乎法律规范的保密协议,以约束测评相关方现在及将来的行为。保密协议规定了测评相关方保密方面的权利与义务。测评过程中获取的相关系统数据信息及测评工作的成果属被测评单位所有,测评方对其的引用与公开应得到相关单位的授权,否则相关单位将按照保密协议的要求追究测评单位的法律责任。3)现场测评工作风险的规避;现场测评之前,测评机构应与相关单位签署现场测评授权书,要求相关方对系统及数据进行备份,并对可能出现的事件制定应急处理方案。进行验证测试和工具测试时,避开业务高峰期,在系统资源处于空闲状态时进行,或配置与生产环境一致的模拟/仿真环境,在模拟/仿真环境下开展漏洞扫描等测试工作;上机验证
30、测试由测评人员提出需要验证的内容,系统运营使用单位的技术人员进行实际操作。整个现场测评过程要求系统运营、使用单位全程监督。4)测评现场还原。测评工作完成后,测评人员应将测评过程中获取的所有特权交回,把测评过程中借阅的相关资料文档归还并将测评环境恢复至测评前状态。12、简述单向认证和双向认证。填空题*答案解析:答案要点:双向认证SSL协议要求服务器和用户双方都有证书。单向认证SSL协议不需要客户拥有CA证书。具体见下图。单向认证双向认证13、列出三种云计算服务模型以及各自的优缺点。填空题*答案解析:答案要点:三种云计算服务模型包括IaaS.PaaS和SaaS,它们的一些常见优缺点包括但不限于以下
31、几个方面:IaaS:优点:减少资本投资;增加业务连续性;灾难恢复的冗余;可伸缩性。缺点:依赖于云服务提供商的安全性;保留维护操作系统和应用程序的责任。PaaS:优点:使用多个操作系统平台,特别适合于测试和软件开发的目的,还包含IaaS的所有优点。缺点:依靠云服务提供商更新操作系统,保留维护应用程序的责任。SaaS:优点:云服务提供商负责所有基础设施、操作系统和应用程序;还包含PaaS的所有优点。缺点:失去一切管理控制;可能对安全没有任何洞察。14、简述不同云计算服务模型下,云服务提供商、云服务客户与资源控制范围控制的关系。填空题*答案解析:在不同的服务模式中,云服务商和云服务客户对计算资源拥有
32、不同的控制范围,控制范围则决定了安全责任的边界。在基础设施即服务模式下,云计算平台由设施、硬件、资源抽象控制层组成;在平台即服务模式下,云计算平台包括设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台;在软件即服务模式下,云计算平台包括设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件。15、列举常见的物联网设备使用的通信手段,并进行简单分类。填空题*答案要点:按照连接方式可以分为有线连接和无线连接,有线连接包括以太网线、电线、音频线/同轴线、RS485总线、USB等。无线连接包括WIFIxZigbeexLoras蓝牙、Z-Ware、3G,4G,GPRS,NB-IOT等。按照通信
33、距离可以分为短距离通信和长距离通信,短距离通信包括Zigbee,Z-ware,蓝牙,WIFI,串口,USB,总线等。远距离通信包括,3G/4G、GPRS、NB-IOT,5G等。16、列举常用物联网设备漏洞挖掘手段。填空题*答案要点:1)逆向分析设备固件,获取关键功能逻辑信息,硬编码密钥、口令信息等。2)逆向分析设备控制端APP,SDK等,获取设备认证、控制协议。3)模拟固件运行环境,对特定可执行文件或者整个设备进行模糊测试。如下网络拓扑图所示,系统定级为S2A2G2,描述网络存在的问题。填空题*答案要点:1)系统没有进行区域划分,没有划分外联接入区和安全管理区;2)系统的边界没有隔离和防护,在
34、下级单位和数据源的边界处应部署防火墙,并配置相应的访问控制策略;3)没有部署网络防恶意代码产品,不能在关键网络节点处对恶意代码进行检测和清除;4)没有部署入侵检测产品,不能对网络中的关键节点处监视网络攻击行为;5)没有部署安全审计设备,不能对系统中的日志进行备份和保护。18、如果发现sql注入攻击,网站管理员该如何进行防御?填空题*答案解析:答案要点:首先找出sql注入的攻击者IP和被攻击的位置,阻断攻击,其次可配置网站防火墙对网站进行防护,如果有条件,可以对网站源码进行修改,修复具有sql注入的漏洞。最后,可以使用专业的漏洞扫描工具或邀请专业的渗透测试团队,对sql注入漏洞进行复查。19、网
35、站渗透测试信息收集阶段,一般通过哪些方式、收集哪些信息?填空题*答案解析:答案要点:信息收集是进行渗透测试的第一步,也是非常重要的一步。在这个阶段,我们要尽可能地收集目标组织的信息,包括但不限于以下信息。1)通过域名信息(whois查询、备案信息查询等),获取域名的注册信息,即该域名的DNS服务器信息和注册人的个人信息等。2)通过子域名信息收集,获取在测试范围内更多的域或子域。3)通过站点信息收集,获取CMS指纹、历史漏洞、脚本语言、敏感目录/文件、Waf信息等4 )通过敏感信息收集,例如获取数据库文件、服务配置信息,甚至是通过Git找到站点泄露源代码,以及RediS等未授权访问、RObotS
36、.txt等敏感信息5 )通过服务器信息收集,获取Web服务器指纹、真实IP地址识别、编程语言、Web中间件、端口信息、后端存储技术6 )端口信息收集,通过扫描目标服务器开放的端口,可以从该端口判断服务器上运行的服务。7)通过真实IP地址识别,根据域名来确定目标服务器的真实IP8)通过社会工程学,挖掘出更多的秘密信息,例如服务器管理员的个人信息、密码使用习惯等。20、邮件安全日益收到重视,那么涉及邮件安全的问题有哪些?如何采取有效措施保护邮件安全不受威胁?填空题*答案要点:存在问题:电子邮件天生是不安全的,因为主要使用明文进行传输,使用的是不加密的传输协议。这就造成邮件很容易进行份造,易产生垃圾
37、邮件,易于群发,易于窃听,易于干扰,易于拦截,并且通过邮件系统攻击者还可以伪造包含恶意软件的钓鱼邮件,诱使用户点击,从而控制用户系统,入侵目标内网。防护措施:1)如果要抵御这些攻击,就需要进行更高强度的身份3佥证,在传输过程中使用加密技术保护邮件信息;2)利用反垃圾邮件网关对接收到的邮件进行安全检直和过滤;3)提高人员的信息安全意识。21、通常情况下攻击者如何构造一个彩虹表?填空题*答案要点:为构建彩虹表,攻击者遵循以下过程:1)获取或开发常用密码列表。2)确定密码机制使用的散列函数。3)计算常用列表中的每个密码的散列值,并将其存储在密码中。这个操作的结果就是彩虹表。22、移动终端管理系统主要
38、考虑哪些方面的安全策略?填空题*答案解析:答案要点:设备安全管理,数据安全管理,数据加密管理,补丁分发管理,数据接入管理。23、如何理解移动终端管理服务端对移动终端设备的生命周期管理?填空题*答案要点:移动终端的生命周期,从移动终端在启用阶段、移动终端的使用阶段、和退出阶段。启用阶段一般为通过统一注册(包括批量注册和单设备注册)或者自助的方式把设备加入到系统,使用阶段是设备正常使用的阶段,接收并执行移动终端管理服务各种管控策略,退出阶段包括设备丢失、被盗、老化、坏损等,需要退出系统,移动终端管理服务端对该移动终端的数据进行擦除,将设备恢复至出厂设置,交由相关部门处理。24、在网络安全等级保护第
39、四级测评要求中,移动应用管控应具有接受移动终端管理服务端推送的移动应用软件管理策略,并根据该策略对软件实施管控的能力,进行此项要求验证时需进行哪些方面的测试?填空题*答案要点:1)核查移动终端管理系统是否具有向移动终端推送移动应用软件的功能,是否对推送的移动应用软件配置管理策略;2)核查移动应用软件管理策略的配置是否仅能由管理员操作,用户无法自行修改;3)测试验证移动应用软件管理策略的有效性。重点测试验证是否移动终端仅允许安装、运行系统服务端推送的移动应用软件系统服务端推送以外的应用软件是否无法安装、运行,是否提示相关错误信息。核查服务端是否记录上述行为的日志记录,是否可以查看详细情况。25、
40、等保第三级移动互联安全扩展要求,要求建立合法无线接入设备和合法移动终端配置库,用于对非法无线接入设备和非法移动终端的识别,其中建立设备指纹库是一种识别非法设备的方法,设备指纹指什么,通常哪些设备标识可作为设备指纹?填空题*答案要点:设备指纹是指可以用于唯一标识出该设备的设备特征或者独特的设备标识。设备指纹包括一些固有的、较难篡改的、唯一的设备标识。比如设备的硬件ID,像手机在生产过程中都会被赋予一个唯一的IMEI(InternationalMobileEquipmentIdentity),用于唯一标识该台设备。像电脑的网卡,在生产过程中会被赋予唯一的MAC地址。这些设备唯一的标识符我们可以将其视为设备指纹。