等级保护初级测评师试题31
姓名: 成绩:
一、判断题(10×1=10分)
1.等级测评采用基本方法是访谈、测试、验证(×)访谈、核查、测试
2.等级保护对象是由计算机组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统(×) 信息系统,等级保护对象指的是等级保护工作直接作用的对象,包括通信网络设施、信息系统、数据资源
3.对大型物联网来说,处理应用层一般是大数据平台和业务应用终端设备(×)一般是云计算平台和业务应用终端
4.病毒库要求每月至少更新一次(×)一周至少更新一次
5.linux中查看/etc/sudoers 文件,可以核查哪些用户拥有 root 权限(√)
6.机房场地可以设在建筑物的地下室(√) 但需要采取防水防潮措施
7.云计算扩展要求关于应在不同等级的网络区域边界部署访问控制机制,设置访问控制规则,需在云平台内部采用VPC进行隔离,在VPC之间通过云防火墙实现了南北向流量的隔离(×)VPC实现的是不同租户之间的隔离,应为东西流量
8.oracle中执行"select limit from dba_profiles where profile='DEFAULT' and resource name='IDLE_TIME'"命令查看是否启用了登录超时退出策略(√)
9.windows使用"service -status-all | findstr running"命令查看危险的网络服务是否已经关闭(×) service.msc查看或使用 netstat -an查看端口
10.默认情况下,Oracle的日志文件存储在$ORACLE/var/log 目录下(×)应为ORACLE/rdbms/log
二、单项选择题(15×2=30分)
1.关于测评单元编号L3-PESl-09指的是哪个安全要求项( B )L3-PES1-09代表三级要求安全物理环境的第9个要求项
A.应将各类机柜、设施和设备等通过接地系统安全接地
B.机房应设置火灾自动消防系统,能够自动检测火情、自动报警、自动灭火
C.应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透
D.应在机房供电线路上配置稳压器和过压防护设备
2.路由器可以使用( A )命令对存储在配置文件中的所有口令和类似数据进行加密p59
A.service password-encryption
B.service secret-encryption
C.systemctl password-encryption
D.systemctl secret-encryption
3.关于windows的应及时删除或停用多余的、过期的账户,避免共享账户的存在,可通过命令行窗口输入 ( B ) 命令查看相关配置
A.secpol.msc 策略
B.lusrmgr.msc 用户组
C.eventvmmr.msc 事件查看
D.dcomcnfg 组件服务
4.Linux操作系统的( D )进程主要用于记录安全信息及对系统安全事件进行追溯 rsyslog进程用于记录系统中的各种信息,在linux中的各种服务一般来说都有加d,例如sshd、mysqld、httpd
A.rsyslog
B.syslog
C.audit
D.auditd
5.在Mysql数据库测评过程中,针对测评要求:当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听,可采用( A )命令进行查看。
A.show variables like “%_ssl%”
B.show variables like “TCPS”
C.select * from mysql.user
D.show grants
6.在思科路由器中,为实现超时5分钟后自动断开连接,实现的命令应为下列哪一个( A ) P45 前面的数字代表分,后面的数字代表秒
A.exec-timeout 5 0
B.exec-timeout 0 0
C.idle-timeout 5 0
D.idle-timeout 0 0
7.图中描述的是( B )漏洞原理
A.XSS B.CSRF C.SSRF D.XXE
8.根据网络安全法第二十三条,网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。( A )会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
A.国家网信部门
B.国家公安机关
C.国家保密局
D.国家行政管理部门
9.移动互联要求项:应能够检测到无线接入设备的SSID广播(B)等高风险功能的开启状态。P335,SSID和WPS是安全性功能,WPA2和WPA3是无线局域网安全协议
A.IPSEC B.WPS C.WPA2 D.WPA3
10.安全运维管理的控制点不包括( C )
A.网络和系统安全管理
B.安全事件处置
C.产品的采购和使用 安全建设管理内容
D.外部运维管理
11.以下高风险要求项不具有补偿因素的是( B ) 高风险判例指引P6-7
A.应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为
B.应在网络边界或区域边界之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信 访问控制策略缺失无补偿措施
C.应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络
D.应采用密码技术保证通信过程中数据的保密性
12.对于安全的要求中安全保护能力:三级安全保护能力应能够防护免受来( )的威胁源发起的恶意攻击。( D )
A.小型组织的、拥有很少资源
B.小型组织的、拥有少量资源
C.小型组织的、拥有较丰富资源
D.大型组织的、拥有较丰富资源
13.GB/T22239-2019《基本要求》的实施时间为(C)
A.2019.7.1 28448实施时间
B.2019.1.1
C.2019.12.1
D.2019.11.1
14.物联网安全扩展要求不包括( A )
A.安全通信网络
B.安全区域边界
C.安全物理环境
D.安全运维管理
15.假设有一个企业在其路由器上配置了以下ACL,以便对进入和离开的网络流量进行控制:正确的是( C)
Access-list 101 permit ip 192.168.10.0 0.0.0.255 any
Access-list 101 deny ip any any
Access-list 102 permit tcp 172.16.0.0 0.0.15.255 any eq www
Access-list 102 permit tcp 10.0.0.0 0.255.255.255 any eq smtp
Access-list 102 deny ip any any
ACL 101 被应用在外部接口的出站方向,用于控制内网流量访问互联网的服务。
ACL 102 被应用在内部接口的入站方向,用于限制从互联网进入内网的流量。
访问一:一个位于192.168.10.10的内网用户尝试通过HTTP访问一个位于192.0.2.5的Web服务器。
访问二:一个位于172.16.3.5的内网用户尝试通过SMTP发送邮件到一个位于192.0.2.5的邮件服务器。
访问三:一个外网用户尝试从IP地址203.0.113.1访问位于10.0.0.10的内网SMTP服务器。
A.所有三个访问尝试都将被拒绝
B.只有第一个访问尝试被允许
C.只有第二个访问尝试将被允许
D.只有第三个访问尝试将被允许
三、多项选择题(10×2=20分)
1.针对要求项应能够对内部用户非授权联到外部网络的行为进行检测或限制,可以采用( ABCD )方式防止内部用户进行非授权访问
A.禁用双网卡
B.禁用USB接口
C.禁用调制解调器
D.禁止修改网络配置
2.在linux中,/etc/passwd 文件中的内容包含的字段有( ABCD )
A.账户名
B.密码占位符
C.用户ID
D.组ID
3.以下哪些安全扩展要求无安全管理中心( BCD)
A.云计算安全扩展要求
B.移动互联安全扩展要求
C.工业控制安全扩展要求
D.大数据安全扩展要求
4.在linux测评过程中,针对要求项:应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施可以通过哪些命令行查看(ABC)
A.more /etc/pam.d/system-auth
B.more /etc/pam.d/sshd
C.more /etc/profile
D.more /etc/login.defs 查看密码长度和密码定期更换
5.以下那些是windows系统高危端口( BCD ) p130
A.tcp134
B.tcp135
C.tcp593
D.tcp1025
6.根据XSS的触发条件与产生的影响可以将XSS分为( ABC )
A.反射型XSS
B.存储型XSS
C.DOM型XSS
D.ANN型XSS ANN是神经网络的简称,瞎扯的选项。
7.在centos测评过程中,针对入侵防范控制点,可以使用到的命令有(ABD )
A.netstat -ntlp 查看高危端口是否关闭
B.rpm -qa | grep patch 发现可能存在的漏洞
C.more /etc/selinux/config 访问控制,主体和客体设置安全标
D.yum list installed 最小安装
8.三级系统中以下哪些测评对象对可信验证有要求( AB )
A.防火墙
B.Windows服务器
C.MySQL数据库
D.Oracle数据库
9.以下( ABCD )控制点属于三级新增的物联网安全扩展要求
物联网安全计算环境都是三级新增的
A.感知节点设备安全
B.网关节点设备安全
C.抗数据重放
D.数据融合处理
10.安全保障阶段中将信息安全体系归结为四个主要环节,下列(D)是正确的。 保护检测响应(protection detection response;PDR)是指入侵检测的一种模型,全称为PDRR安全模型,即保护、检测、响应、恢复安全模型
A. 策略、保护、响应、恢复
B. 加密、认证、保护、检测
C. 策略、网络攻防、备份、恢复
D. 保护、检测、响应、恢复
四、简答题(10+10+20=40分)
1.写出三级系统安全区域边界中访问控制的要求项
a)应在网络边界或区域边界之间根据访问控制策略设置访问控制规则,默认情况下除允许外端口拒绝所有通信
b)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化
c)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许数据包进出
d)应根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力
e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制
2.请描述XSS漏洞的原理?XSS的类型有哪些?可能产生哪些危害?防御措施有哪些?
原理:服务器对用户提交的数据没有经过严格的过滤,当服务器接收到这些数据后,可能会直接将其返回给客户端,而浏览器则会将这些数据当作JavaScript代码来执行。这样,攻击者就可以构造恶意脚本并使其在用户浏览器中运行,进而实施各种恶意行为。(3分)
类型:反射性XSS、存储型XSS、DOM型XSS (3分)
危害:
1.窃取信息:通过执行恶意脚本,攻击者可以窃取用户的Cookie、Session Tokens及其他敏感信息。
2.会话劫持:攻击者通过窃取Cookie可以冒充用户身份,执行未经授权的操作。
3.网络钓鱼:攻击者可以修改页面内容,重定向用户到假冒网站,诱导用户输入敏感数据。
4.传播恶意软件:通过XSS漏洞,攻击者可以在用户浏览器中植入恶意软件如木马、勒索软件等。
5.篡改网页内容:攻击者可以通过XSS篡改网页内容,比如修改路由器配置信息、繁殖XSS蠕虫 (1点1分,共2分,言之有理即可)
防御措施:
1.输入过滤:对用户提交的所有数据进行严格的验证和过滤,屏蔽掉可能导致XSS攻击的内容。
2.输出转义:在服务器端输出用户提交的数据前,应对其做适当的转义处理,确保特殊字符不会被解析为脚本标签。
3.使用CSP:通过设置HTTP的Content Security Policy响应头,限制哪些资源可以被加载和执行,有效防止恶意脚本注入。
4.HttpOnly Cookie:设置Cookie的HttpOnly属性,防止JavaScript读取Cookie,降低信息被盗用的风险。
5.渗透测试:对Web应用程序定期进行渗透测试,发现并修补潜在的XSS漏洞(1点1分,共2分,言之有理即可)
3.简单介绍可采取哪些措施进行有效控制攻击事件和恶意代码。
①安装并合理配置主机防火墙
②安装并合理配置网络防火墙
③安装并合理配置IDS/IPS
④严格控制外来介质的使用
⑤防御和查杀结合、整体防御、防管结合、多层防御
⑥设置安全管理平台、补丁升级平台、防病毒平台等对防毒的系统进行升级、漏洞进行及时安装补丁,病毒库定时更新
⑦定期检查网络设备和安全设备的日志审计,发现可疑对象可及时做出相应处理
⑧为了有效防止地址攻击和拒绝服务攻击可采取在会话处于非活跃一定时间或会话结束后终止网络连接
⑨为了有效防止黑客入侵,可对网络设备的管理员登陆地址进行限制和对具有拨号功能用户的数量进行限制,远程拨号的用户也许它就是一个黑客
⑩采用双因子认证和信息加密可增强系统的安全性