网络安全等级测评师（中级）考核试题与答案

网络安全等级测评师（中级）考核试题一、判断题1、通过白名单方式绑定无线接入终端设备的MAC地址，则认为对参与无线通信的设备进行了身份鉴别。[判断题]*对错√2、发电厂的不同机组之间的网络边界可以不采取入侵防范措施。[判断题]*对√错3、安全事件的可能性，由资产价值和脆弱性决定。[判断题]*对错√4、针对第三级等级保护对象进行测评时，测评对象在数量上抽样，种类上全部覆盖。[判断题]*对错√5、测评记录中应明确记录测评方法和证据来源，记录必要的对象特征和细节描述，应提供充分的符合性判定依据。[判断题]*对√错6、作为云租户的测评委托单位全部职责包括：测评前备份系统和数据，并了解测评工作基本情况；协助测评机构获得现场测评授权；安排测评配合人员,配合测评工作的开展；对风险告知书进行签字确认；配合人员如实回答测评人员的问询，对某些需要验证的内容上机进行操作，协助测评人员实施工具测试并提供有效建议，降低安全测评对系统运行的影响，完成业务相关内容的问询、验证和测试，对测评证据和证据源进行确认，确认测试后被测设备状态完好。[判断题]*对错√7、ISO/IEC27000标准族中的核心标准包括ISO/IEC27001《信息安全管理体系-要求》、ISO/IEC27002《信息安全管理实用规则》。[判断题]*对√错8、安全区域边界对象主要根据系统中网络访问控制设备的部署情况来确定。[判断题]*对错√9、安全区域边界如果以串接方式部署了访问控制设备，并启用了合理的访问控制策略，则可认为“跨越边界的访问和数据流通过边界设备提供的受控接口进行通信”。[判断题]*对错√10、只有在边界访问控制设备访问控制规则最后一条为全拒绝时，才认为该边界“默认情况下除允许通信外受控接口拒绝所有通信”。[判断题]*对错√11、防病毒网关能够对通过的所有应用协议进行恶意代码检测和防护。[判断题]*对错√12、交换机在收到未知源地址的帧时直接丢弃。[判断题]*对√错13、可信验证的目标是保证系统和应用的信息不被非授权对象访问。[判断题]*对错√14、密码协议指两个或两个以上参与者使用密码算法，为达到加密保护或安全认证目的而约定的交互规则。[判断题]*对√错15、SSLVPN主要用于数据发送者的不可否认性。[判断题]*对错√16、侧信道攻击是利用密码的物理实现过程获取的信息进行的攻击，而不是利用算法的理论弱点或者进行穷举攻击。[判断题]*对√错17、WindowsXP的密码存放在系统所在的%windir%\System32\Config下HOST文件中。[判断题]*对错√18、网络安全核心目标CIA每个字母分别代表机密性、完整性、可用性。[判断题]*对√错19、根据网络安全等级保护第四级测评要求，验证移动应用软件管理策略的有效性，应核查系统中对移动应用软件配置的管理策略是否合理，并检查是否存在多余或者过期规则。[判断题]*对√错二、选择题1、综合得分单项基准分的计算方式为。（）[单选题]*A.100/要求项总数B.100/适用项总数√C.100/测评单项总数D.100/测评且适用的单项总数2、测评对象选取的说法正确的是。（）[单选题]*A.相同配置设备：一、二级1台；三、四级2台B.相同配置设备：一级1台；二级2台；三、四级3台C.相同配置设备：所有级别2台D.相同配置设备：一级1台；二、三级2台；四级3台√3、依据GB/T22239，应采用密码技术保证重要审计数据的。（）[单选题]*A.保密性B.可用性C.完整性√D.一致性4、某业务系统收集了用户的身份证号，应采用密码技术进行加密存储。（）[单选题]*A.MD5B.RSA1024C.DESD.SM4√5、等级测评风险主要包括。（）[单选题]*A.影响系统正常运行的风险B.敏感信息泄露风险C.木马植入风险D.以上都是√6、是项目管理中最重要的角色，是由执行组织委派，领导团队实现项目目标的个人。（）[单选题]*A.项目经理√B.技术专家C.项目专家D.单位领导7、关于访谈、核查和测试三种测评方法，以下说法正确的是。（）[单选题]*A.针对单项测评，只需要使用一种测评方法；B.访谈应全面，尽量发散性提出问题，以获得更多更具体的证据；C.测试包括功能测试、性能测试和渗透测试等；√D.核查即针对制度文档进行观察和分析。8、如果客户想要一个可完全操作得环境，需要很少的维护或管理，那么哪种云服务模型可能是最好的。（）[单选题]*A.IaaSB.PaaSC.SaaS√D.混合云9、以下哪项不适合纳入SLA？（）[单选题]*A.指定时段允许的用户账户数量B.云服务商和云服务客户双方都有哪些人员负责和授权宣布紧急情况，并将服务转换到应急允许状态√C.允许云服务商和云服务客户之间传输和接收的数据量D.从正常操作转换到应急操作允许的时间10、下列哪一项是RFID的逻辑安全机制。（）[单选题]*A.Kill命令机制B.主动干扰C.散列锁定√D.阻塞标签11、物联网的核心技术是。（）[单选题]*A.射频识别√B.集成电路C.无线电D.操作系统12、以下哪一项不属于工具测试的作用。（）[单选题]*A.完成对信息系统的授权模拟攻击，发现系统安全性方面的问题√B.可以直接获得目标系统本身存在的操作系统、应用方面的漏洞C.通过在不同区域接入测试工具得到的测试结果，判断不同区域之间的访问控制情况D.与其他核查手段结合，为测试结果的客观性和准确性提供保证13、以下哪一项不属于工具测试的流程。（）[单选题]*A.收集目标系统信息B.规划接入点C.现场测试D.漏洞发现√14、对于动态开放端口的应用协议（如OPC协议），如何实现安全的访问控制?（）[单选题]*A.通过限定源目的地址为单个IP地址，并配置目的端口为“任意”的策略来保障动态开放端口的协议数据流可通过访问控制设备B.通过抓包分析该协议通信的端口使用情况，再以最小开放方式人工配置五元组策略C.访问控制设备分析通信过程中的端口协商数据包，后台自动以最小开放方式配置五元组策略√D.配置全通策略，保障动态开放端口协议通信可用性15、《中华人民共和国密码法》施行时间？（）[单选题]*A.2019年10月26日B.2020年1月1日√C.2020年5月1日D.2021年1月1日16、以下_____算法被国家密码管理局警示是有风险的算法。（）[单选题]*A.MD5B.SHA-1C.DESD.以上都是√17、从一张数字证书无法得到_______信息。（）[单选题]*A.证书用途B.主体公钥信息C.有效日期D.证书签发机构公钥信息√18、《密码法》中所称的密码，是指采用特定变换的方法对信息进行____、____的技术、产品和服务。（）[单选题]*A.机密性保护、完整性保护B.加密解密、签名验签C.加密保护、安全认证√D.标识、认证19、我国密码标准定义的杂凑密码是______。（）[单选题]*A.SHA256B.SM2C.SM3√D.SM420、以GM/T开头的标准，属于______。（）[单选题]*A.密码国家标准B.密码行业标准√C.密码企业标准D.密码地方标准21、下面关于密码设计原则中不正确的是。（）[单选题]*A.算法公开，密钥保密B.算法不能公开，密钥可以公开√C.算法应能抵御已知的攻击D.算法应尽可能提高运算效率22、下面密码算法中，哪一个不属于商用密码算法？（）[单选题]*A.SM2B.SM3C.DES√D.SM423、Oracle数据库中，以下______命令可以删除整个表中的数据，并且无法回滚。（）[单选题]*A.DropB.DeleteC.Truncate√D.Cascade24、应保证移动终端______、______并______终端管理客户端软件。（）[单选题]*A.管理、注册、卸载B.安装、运行、卸载C.安装、注册、运行√D.管理、注册、运行25、移动终端应接受移动终端管理服务端的______管理、设备远程控制，如：远程锁定、远程擦除等。（）[单选题]*A．全功能B．设备硬件接口C.策略D.设备生命周期√三、多选题1、MES系统等级测评需要增加的工业控制安全扩展部分要求有。（）[多选题]*A.安全通信网络√B.安全区域边界√C.安全计算环境D.安全管理中心2、“访谈”方法应用时，应注意以下要求。（）[多选题]*A.访谈不能有诱导性√B.问题应具有开放性√C.访谈所获取的结论性内容主要作为实证D.优先采用访谈测评方法3、密码是目前世界上公认的，保障网络与信息安全的关键核心技术。（）[多选题]*A.最有效√B.最可靠√C.最经济√D.最实用4、以下属于对称密码算法的是。（）[多选题]*A.ZUC算法√B.RSA算法C.SM4算法√D.DES算法√5、在等级测评过程中可以通过采取以下措施规避风险。（）[多选题]*A.签署委托测评协议√B.签署保密协议√C.签署现场测评授权书√D.验证测试避开业务高峰期√6、云计算等级测评实施时，测评对象确定还需考虑以下方面。（）[多选题]*A.虚拟设备√B.云操作系统、云业务管理平台、虚拟机监视器√C.云服务客户网络控制器√D.云应用开发平台√7、等级测评方法主要包括。（）[多选题]*A.访谈√B.核查√C.测试√D.交流8、根据GB/T22240-2020给出的定级对象基本特征和GB/T35589-2017给出的大数据参考架构，大数据相关等级保护对象可以抽象为等组件。（）[多选题]*A.大数据资源√B.大数据管理平台C.大数据应用√D.大数据平台√9、以下属于大数据应用的是。（）[多选题]*A.文字搜索系统√B.翻译系统√C.邮件系统D.产品推送广告系统√10、项目具有的特性有。（）[多选题]*A.独特性√B.临时性C.复杂性√D.渐进明细√11、一般项目的制约因素有，除了这四大主要因素外，还需要考虑风险、资源和干系人等。（）[多选题]*A.质量√B范围√C.成本√D.进度√12、项目管理是指在项目活动中运用专门的，使项目能够在有限资源限定条件下，实现或超过设定的需求和期望的过程。（）[多选题]*A.知识√B.技能√C.工具√D.方法√13、相较于2019版等级测评报告模板，2021版等级测评报告模板的主要修订内容包括。（）[多选题]*A.将数据作为独立测评对象√B.删除控制点得分计算√C.调整综合得分计算公式√D.规范了等级测评结论扩展表√14、针对二级以上云租户系统，以下可以判定为高风险的场景包括。（）[多选题]*A.云计算平台承载高于其安全保护等级(SxAxGx)的业务应用系统B.业务应用系统部署在低于其安全保护等级(SxAxGx)的云计算平台上√C.业务应用系统部署在未进行等级保护测评的云计算平台上√D.业务应用系统部署在测评报告超出有效期的云计算平台上√15、依据GB/T28448-2019测评要求，等级保护第三级重要数据传输过程的保密性，所涉及的测评对象主要为哪些。（）[多选题]*A.业务应用系统√B.数据库管理系统√C.中间件和系统管理软件√D.交换机16、依据GB/T28448-2019测评要求，等级保护第三级身份鉴别第一条关于用户身份及身份鉴别信息的要求，测评实施内容主要包括哪些。（）[多选题]*A.应核查用户在登录时是否采用了身份鉴别措施√B.应核查用户列表确认用户身份标识是否具有唯一性√C.应核查用户配置信息或测试验证是否不存在空口令用户√D.应核查用户鉴别信息有复杂度要求并定期更换√17、以下哪些产品可以实现数据的集中审计和分析。（）[多选题]*A.SOC（安全运营中心）√B.日志分析系统√C.网络安全态势感知系统√D.SIEM（安全信息和事件管理）√18、基于IaaS模式，云服务商实现自身控制部分的集中监测，可以包括。（）[多选题]*A.租户应用B.租户网络C.虚拟机使用情况√D.物理机使用情况√19、基于IaaS模式，云服务客户实现自身控制部分的集中监测，可以包括。（）[多选题]*A.租户应用√B.租户网络√C.虚拟机使用情况√D.物理机使用情况20、云服务客户购买了IaaS服务，部署用户业务系统时，需要考虑的安全是。（）[多选题]*A.数据层安全√B.虚拟化安全C.主机层（包括虚拟机、宿主机等）安全D.虚拟网络层安全√21、某公司的三级系统--个人征信系统服务器与公司办公终端处于同一网段，仅用一台二层交换机相连接。不满足《基本要求》的哪些条款？（）[多选题]*A.应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段√B.应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性√C.应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址√D.应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信√22、通过交换机或路由器ACL进行访问控制，其不足主要在于。（）[多选题]*A.无法实现基于五元组的精细控制B.不支持基于会话状态的访问控制√C.策略数量较多时，对设备性能影响较大√D.不支持基于应用协议的访问控制√23、针对“基于应用协议的访问控制”，以下说法正确的是。（）[多选题]*A.基于应用协议的访问控制安全性高于基于目的端口的访问控制√B.可通过在访问控制设备上，创建服务对象绑定传输层协议端口方式实现应用协议的识别C.在下一代防火墙上，其它元素相同的情况下，选择目的端口为80和选择目的服务为HTTP的访问控制效果一样D.路由器、交换机不支持基于应用协议的访问控制√24、电子邮件系统的安全防护重点包括。（）[多选题]*A.垃圾邮件防范√B.恶意代码防范√C.邮件篡改防范D.敏感信息泄露防范√25、关于杂凑函数，下列说法正确的是。（）[多选题]*A.输入长度必须是固定长度B.输入长度可以任意长√C.输入长度必须比摘要值长D.输出长度是固定值√26、对于XSS漏洞，以下防御手段有效的是？（）[多选题]*A.部署web应用防火墙√B.使用htmlentities函数，把字符转换为HTML实体。√C.使用验证码D.cookie关键字段设置HttpOnly属性√27、这段代码存在的安全问题不会产生什么安全漏洞？（）[多选题]*$username=$_GET(username);Echo$usernamemysql_query(“select*fromorderswhereusername=”$username”ordir(mysql_error():?>A.命令执行漏洞√B.SQL注入漏洞C.文件包含漏洞√D.反射XSS漏洞√28、下列哪一种VPN协议不提供本地数据库加密功能？（）[多选题]*A.IPsecB.L2F√C.L2TP√D.PPTP√FC.L2TPD.PPTPFC.L2TPD.PPTPE.P2P29、Oracle中的三种系统文件分别是？（）[多选题]*A.数据文件DBF√B.控制文件CTL√C.日志文件LOG√D.归档文件ARC30、关于表分区的说法正确的有？（）[多选题]*A.表分区存储在表空间中√B.表分区可用于任意的数据类型的表C.表分区不能用于含有自定义类型的表√D.表分区的每个分区都必须具有明确的上界值31、以下哪几项属于等保三级移动互联网安全扩展要求中的移动应用管控测评范围内？（）[多选题]*A.应只允许指定证书签名的应用软件安装和运行√B.应具有软件白名单功能，应能根据白名单控制应用软件安装、运行√C.应具有接受移动终端管理服务端推送的移动应用软件管理策略，并根据该策略对软件实施管控的能力D.应具有选择应用软件安装、运行的功能√四、简答题1、测评时如何确定系统的安全区域边界；工业控制系统具有哪些典型的安全区域边界。[填空题]*答案要点：第一，调研系统网络结构，得到与实际系统一致的网络拓扑图；第二，分析网络拓扑中所包含的安全区域、各区域所处的层级；第三，分析各区域间的连通情况、安全防护需求，结合访问控制设备的部署情况，得出系统所有的安全区域边界。通常分为外部边界、内部边界。外部边界如工业控制系统与企业办公系统边界；内部边界又包括层级边界、区域边界。层级边界，如生产管理层与企业资源层边界、过程监控层与生产管理层边界；区域边界，如制造业的不同车间、电厂的不同机组等。2、简述等级保护测评与风险评估的关系。[填空题]*答案解析：答案要点：依据GB/T22239或行业标准对应级别的条款要求，逐项测评，并进行必要的安全扫描和渗透测试（特殊情况除外），参考风险评估思路，综合分析不符合/部分符合项的安全风险并确定风险等级（定性：高中低），根据既定的计分方式进行综合评分。给出确定的测评结论：优良中差。依据GB/T20984所给出的方法，针对约定评估对象(可以为业务系统、组织的全部信息系统、或约定的特定范围)，以资产为核心，分析资产价值，面临的威胁、存在的脆弱性，主要以定量的方式计算各资产的安全风险。根据约定的风险评价原则，定性方式给出评估对象的风险情况。其中，标准中明确脆弱性评估可参考其他标准或文件（如照GB/T22239）。等级保护测评在安全问题风险分析时，参考风险分析原理，综合考虑安全问题关联资产、关联威胁，根据最大可能安全危害（损失），并结合联盟团标“高危判例”确定每个安全问题的风险等级。然后进行整体测评，对风险等级进行必要的调整。3、请简述等级测评风险有哪些，该采取哪些措施规避风险？[填空题]*答案解析：答案要点：等级测评风险主要包括：影响系统正常运行的风险、敏感信息泄露风险、木马植入风险。在等级测评过程中，应采取的规避风险措施包括：签署委托测评协议、签署保密协议、签署现场测评授权书、验证测试避开业务高峰期、测评现场还原等。4、请结合测评实施工作简述测评人员的行为规范有哪些？[填空题]*答案解析：答案要点：测评人员进入现场佩戴工作牌；使用测评专用的电脑和工具；严格按照测评指导书使用规范的测评技术进行测评；准确记录测评证据；不擅自评价测评结果；不将测评结果复制给非测评人员；涉及到测评委托单位的工作秘密或敏感信息的相关资料，只在指定场所查看，查看完成后立即归还等。5、请简述大数据等级保护对象如何定级。[填空题]*答案要点：由于不同运营者单独承担安全责任，从定级对象的责任主体角度出发，大数据资源可独立作为定级对象，也可能与大数据平台或大数据应用组合作为定级对象。大数据资源独立作为定级对象时，承载其数据的载体（如存储、服务器、数据库系统等）也应包含在大数据资源的定级对象范围内。大数据资源若对外提供数据资源服务时，安全防护软硬件也应包含在大数据资源的定级对象范围内。6、请简要介绍测评方案评审的要点。[填空题]*答案要点：测评方案中被测系统和调查对象的实质性内容是否与调查表一致？测评方案项目基本信息是否全面准确？测评方案中抽选的被测对象的信息是否全面准确？测评方案中工具漏洞扫描和渗透测试内容合理、全面？测评方案关键内容是否准确？测评方案是否具有业主方签字确认？7、请简要介绍测评报告评审的要点。[填空题]*答案解析：答案要点：测评报告中被测系统和抽选对象的实质性内容是否与测评方案一致？测评记录是否详细、准确，支持符合性判断？原始测评记录是否具有测评师及业主方签字确认？测评报告中工具漏洞扫描和渗透测试结果全面深入？安全问题的描述与评判是否准确？整改建议是否完整、准确、合理？测评结论是否准确？测评报告文档内容是规范？8、（1）什么是安全控制点间，什么是整体测评？分别列举一个安全控制点间安全测评、区域间安全测评的案例。（2）整体测评不仅是降低风险，也存在风险程度升高的可能性，请举例说明。[填空题]*答案要点：1）安全控制点间安全测评指对同一区域的两个或者两个以上不同安全控制点间的关联进行测评分析，其目的是确定这些关联对等级保护对象整体安全保护能力的影响。区域间安全测评是指对互连互通的不同区域之间的关联进行测评分析，其目的是确定这些关联对等级保护对象整体安全保护能力的影响；不仅考虑网络区域之间、还包括物理区域之间。2）开放性，无标准答案。9、联盟-2022等级保护测评项目质量评价指标体系中，针对不适用项的注意事项包括哪些要求？[填空题]*答案要点：不适用项的判定原则是：针对每个测评项，如果该测评项所对抗的威胁在被测定级对象中不存在，则该测评项应标为不适用项；不适用项的描述应包括：被测评系统的情况说明、不适用的原因说明，其中对于不适用的原因说明应经得起推敲；直接判定不适用而没给出相应说明的，不符合要求。10、高风险判定的原则包括哪些？[填空题]*答案要点：不符合国家、行业主管部门明确规定的情况，应判为高风险。不符合或未实现《基本要求》中各等级、层面核心要求及基本安全功能，且无等效或补偿措施降低风险等级的情况，应判为高风险。通过技术测试发现被测目标存在可被利用，并可能造成严重后果的情况，应判为高风险。通过综合分析，对被测系统可能产生重大安全隐患的，应判为高风险。11、请简述等级测评风险规避措施。[填空题]*答案要点：1)签署委托测评协议；在测评工作正式开始之前,测评方和被测评单位需要以委托协议的方式明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求以及双方的责任和义务等,使得测评双方对测评过程中的基本问题达成共识。2)签署保密协议；测评相关方应签署合乎法律规范的保密协议,以约束测评相关方现在及将来的行为。保密协议规定了测评相关方保密方面的权利与义务。测评过程中获取的相关系统数据信息及测评工作的成果属被测评单位所有,测评方对其的引用与公开应得到相关单位的授权,否则相关单位将按照保密协议的要求追究测评单位的法律责任。3）现场测评工作风险的规避；现场测评之前,测评机构应与相关单位签署现场测评授权书,要求相关方对系统及数据进行备份,并对可能出现的事件制定应急处理方案。进行验证测试和工具测试时,避开业务高峰期,在系统资源处于空闲状态时进行,或配置与生产环境一致的模拟/仿真环境,在模拟/仿真环境下开展漏洞扫描等测试工作;上机验证测试由测评人员提出需要验证的内容,系统运营使用单位的技术人员进行实际操作。整个现场测评过程要求系统运营、使用单位全程监督。4）测评现场还原。测评工作完成后,测评人员应将测评过程中获取的所有特权交回,把测评过程中借阅的相关资料文档归还,并将测评环境恢复至测评前状态。12、简述单向认证和双向认证。[填空题]*答案解析：答案要点：双向认证SSL协议要求服务器和用户双方都有证书。单向认证SSL协议不需要客户拥有CA证书。具体见下图。13、列出三种云计算服务模型以及各自的优缺点。[填空题]*_________________________________答案解析：答案要点：三种云计算服务模型包括IaaS、PaaS和SaaS，它们的一些常见优缺点包括但不限于以下几个方面：IaaS：优点：减少资本投资；增加业务连续性/灾难恢复的冗余；可伸缩性。缺点：依赖于云服务提供商的安全性；保留维护操作系统和应用程序的责任。PaaS：优点：使用多个操作系统平台，特别适合于测试和软件开发的目的，还包含IaaS的所有优点。缺点：依靠云服务提供商更新操作系统，保留维护应用程序的责任。SaaS：优点：云服务提供商负责所有基础设施、操作系统和应用程序；还包含PaaS的所有优点。缺点：失去一切管理控制；可能对安全没有任何洞察。14、简述不同云计算服务模型下，云服务提供商、云服务客户与资源控制范围控制的关系。[填空题]*答案解析：在不同的服务模式中，云服务商和云服务客户对计算资源拥有不同的控制范围，控制范围则决定了安全责任的边界。在基础设施即服务模式下，云计算平台由设施、硬件、资源抽象控制层组成；在平台即服务模式下，云计算平台包括设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台；在软件即服务模式下，云计算平台包括设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件。15、列举常见的物联网设备使用的通信手段，并进行简单分类。[填空题]*答案要点：按照连接方式可以分为有线连接和无线连接，有线连接包括以太网线、电线、音频线/同轴线、RS485总线、USB等。无线连接包括WIFI、Zigbee、Lora、蓝牙、Z-ware、3G,4G,GPRS,NB-IOT等。按照通信距离可以分为短距离通信和长距离通信，短距离通信包括Zigbee，Z-ware，蓝牙，WIFI，串口，USB，总线等。远距离通信包括，3G/4G、GPRS、NB-IOT、5G等。16、列举常用物联网设备漏洞挖掘手段。[填空题]*答案要点：1）逆向分析设备固件，获取关键功能逻辑信息，硬编码密钥、口令信息等。2）逆向分析设备控制端APP，SDK等，获取设备认证、控制协议。3）模拟固件运行环境，对特定可执行文件或者整个设备进行模糊测试。如下网络拓扑图所示，系统定级为S2A2G2，描述网络存在的问题。[填空题]*答案要点:1）系统没有进行区域划分，没有划分外联接入区和安全管理区；2）系统的边界没有隔离和防护，在下级单位和数据源的边界处应部署防火墙，并配置相应的访问控制策略；3）没有部署网络防恶意代码产品，不能在关键网络节点处对恶意代码进行检测和清除；4）没有部署入侵检测产品，不能对网络中的关键节点处监视网络攻击行为；5）没有部署安全审计设备，不能对系统中的日志进行备份和保护。18、如果发现sql注入攻击，网站管理员该如何进行防御？[填空题]*答案解析：答案要点：首先找出sql注入的攻击者IP和被攻击的位置，阻断攻击，其次可配置网站防火墙对网站进行防护，如果有条件，可以对网站源码进行修改，修复具有sql注入的漏洞。最后，可以使用专业的漏洞扫描工具或邀请专业的渗透测试团队，对sql注入漏洞进行复查。19、网站渗透测试信息收集阶段，一般通过哪些方式、收集哪些信息？[填空题]*答案解析：答案要点：信息收集是进行渗透测试的第一步，也是非常重要的一步。在这个阶段，我们要尽可能地收集目标组织的信息，包括但不限于以下信息。1）通过域名信息（whois查询、备案信息查询等），获取域名的注册信息，即该域名的DNS服务器信息和注册人的个人信息等。2）通过子域名信息收集，获取在测试范围内更多的域或子域。3）通过站点信息收集，获取CMS指纹、历史漏洞、脚本语言、敏感目录/文件、Waf信息等4）通过敏感信息收集，例如获取数据库文件、服务配置信息，甚至是通过Git找到站点泄露源代码，以及Redis等未授权访问、Robots.txt等敏感信息5）通过服务器信息收集，获取Web服务器指纹、真实IP地址识别、编程语言、Web中间件、端口信息、后端存储技术6）端口信息收集，通过扫描目标服务器开放的端口，可以从该端口判断服务器上运行的服务。7）通过真实IP地址识别，根据域名来确定目标服务器的真实IP8）通过社会工程学，挖掘出更多的秘密信息，例如服务器管理员的个人信息、密码使用习惯等。20、邮件安全日益收到重视，那么涉及邮件安全的问题有哪些？如何采取有效措施保护邮件安全不受威胁？[填空题]*答案要点：存在问题：电子邮件天生是不安全的，因为主要使