網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)師（中級(jí)）考核試題與答案

網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)師（中級(jí)）考核試題一、判斷題1、通過(guò)白名單方式綁定無(wú)線接入終端設(shè)備的MAC地址，則認(rèn)為對(duì)參與無(wú)線通信的設(shè)備進(jìn)行了身份鑒別。[判斷題]*對(duì)錯(cuò)√2、發(fā)電廠的不同機(jī)組之間的網(wǎng)絡(luò)邊界可以不采取入侵防范措施。[判斷題]*對(duì)√錯(cuò)3、安全事件的可能性，由資產(chǎn)價(jià)值和脆弱性決定。[判斷題]*對(duì)錯(cuò)√4、針對(duì)第三級(jí)等級(jí)保護(hù)對(duì)象進(jìn)行測(cè)評(píng)時(shí)，測(cè)評(píng)對(duì)象在數(shù)量上抽樣，種類(lèi)上全部覆蓋。[判斷題]*對(duì)錯(cuò)√5、測(cè)評(píng)記錄中應(yīng)明確記錄測(cè)評(píng)方法和證據(jù)來(lái)源，記錄必要的對(duì)象特征和細(xì)節(jié)描述，應(yīng)提供充分的符合性判定依據(jù)。[判斷題]*對(duì)√錯(cuò)6、作為云租戶的測(cè)評(píng)委托單位全部職責(zé)包括：測(cè)評(píng)前備份系統(tǒng)和數(shù)據(jù)，并了解測(cè)評(píng)工作基本情況；協(xié)助測(cè)評(píng)機(jī)構(gòu)獲得現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)；安排測(cè)評(píng)配合人員,配合測(cè)評(píng)工作的開(kāi)展；對(duì)風(fēng)險(xiǎn)告知書(shū)進(jìn)行簽字確認(rèn)；配合人員如實(shí)回答測(cè)評(píng)人員的問(wèn)詢，對(duì)某些需要驗(yàn)證的內(nèi)容上機(jī)進(jìn)行操作，協(xié)助測(cè)評(píng)人員實(shí)施工具測(cè)試并提供有效建議，降低安全測(cè)評(píng)對(duì)系統(tǒng)運(yùn)行的影響，完成業(yè)務(wù)相關(guān)內(nèi)容的問(wèn)詢、驗(yàn)證和測(cè)試，對(duì)測(cè)評(píng)證據(jù)和證據(jù)源進(jìn)行確認(rèn)，確認(rèn)測(cè)試后被測(cè)設(shè)備狀態(tài)完好。[判斷題]*對(duì)錯(cuò)√7、ISO/IEC27000標(biāo)準(zhǔn)族中的核心標(biāo)準(zhǔn)包括ISO/IEC27001《信息安全管理體系-要求》、ISO/IEC27002《信息安全管理實(shí)用規(guī)則》。[判斷題]*對(duì)√錯(cuò)8、安全區(qū)域邊界對(duì)象主要根據(jù)系統(tǒng)中網(wǎng)絡(luò)訪問(wèn)控制設(shè)備的部署情況來(lái)確定。[判斷題]*對(duì)錯(cuò)√9、安全區(qū)域邊界如果以串接方式部署了訪問(wèn)控制設(shè)備，并啟用了合理的訪問(wèn)控制策略，則可認(rèn)為“跨越邊界的訪問(wèn)和數(shù)據(jù)流通過(guò)邊界設(shè)備提供的受控接口進(jìn)行通信”。[判斷題]*對(duì)錯(cuò)√10、只有在邊界訪問(wèn)控制設(shè)備訪問(wèn)控制規(guī)則最后一條為全拒絕時(shí)，才認(rèn)為該邊界“默認(rèn)情況下除允許通信外受控接口拒絕所有通信”。[判斷題]*對(duì)錯(cuò)√11、防病毒網(wǎng)關(guān)能夠?qū)νㄟ^(guò)的所有應(yīng)用協(xié)議進(jìn)行惡意代碼檢測(cè)和防護(hù)。[判斷題]*對(duì)錯(cuò)√12、交換機(jī)在收到未知源地址的幀時(shí)直接丟棄。[判斷題]*對(duì)√錯(cuò)13、可信驗(yàn)證的目標(biāo)是保證系統(tǒng)和應(yīng)用的信息不被非授權(quán)對(duì)象訪問(wèn)。[判斷題]*對(duì)錯(cuò)√14、密碼協(xié)議指兩個(gè)或兩個(gè)以上參與者使用密碼算法，為達(dá)到加密保護(hù)或安全認(rèn)證目的而約定的交互規(guī)則。[判斷題]*對(duì)√錯(cuò)15、SSLVPN主要用于數(shù)據(jù)發(fā)送者的不可否認(rèn)性。[判斷題]*對(duì)錯(cuò)√16、側(cè)信道攻擊是利用密碼的物理實(shí)現(xiàn)過(guò)程獲取的信息進(jìn)行的攻擊，而不是利用算法的理論弱點(diǎn)或者進(jìn)行窮舉攻擊。[判斷題]*對(duì)√錯(cuò)17、WindowsXP的密碼存放在系統(tǒng)所在的%windir%\System32\Config下HOST文件中。[判斷題]*對(duì)錯(cuò)√18、網(wǎng)絡(luò)安全核心目標(biāo)CIA每個(gè)字母分別代表機(jī)密性、完整性、可用性。[判斷題]*對(duì)√錯(cuò)19、根據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)第四級(jí)測(cè)評(píng)要求，驗(yàn)證移動(dòng)應(yīng)用軟件管理策略的有效性，應(yīng)核查系統(tǒng)中對(duì)移動(dòng)應(yīng)用軟件配置的管理策略是否合理，并檢查是否存在多余或者過(guò)期規(guī)則。[判斷題]*對(duì)√錯(cuò)二、選擇題1、綜合得分單項(xiàng)基準(zhǔn)分的計(jì)算方式為。（）[單選題]*A.100/要求項(xiàng)總數(shù)B.100/適用項(xiàng)總數(shù)√C.100/測(cè)評(píng)單項(xiàng)總數(shù)D.100/測(cè)評(píng)且適用的單項(xiàng)總數(shù)2、測(cè)評(píng)對(duì)象選取的說(shuō)法正確的是。（）[單選題]*A.相同配置設(shè)備：一、二級(jí)1臺(tái)；三、四級(jí)2臺(tái)B.相同配置設(shè)備：一級(jí)1臺(tái)；二級(jí)2臺(tái)；三、四級(jí)3臺(tái)C.相同配置設(shè)備：所有級(jí)別2臺(tái)D.相同配置設(shè)備：一級(jí)1臺(tái)；二、三級(jí)2臺(tái)；四級(jí)3臺(tái)√3、依據(jù)GB/T22239，應(yīng)采用密碼技術(shù)保證重要審計(jì)數(shù)據(jù)的。（）[單選題]*A.保密性B.可用性C.完整性√D.一致性4、某業(yè)務(wù)系統(tǒng)收集了用戶的身份證號(hào)，應(yīng)采用密碼技術(shù)進(jìn)行加密存儲(chǔ)。（）[單選題]*A.MD5B.RSA1024C.DESD.SM4√5、等級(jí)測(cè)評(píng)風(fēng)險(xiǎn)主要包括。（）[單選題]*A.影響系統(tǒng)正常運(yùn)行的風(fēng)險(xiǎn)B.敏感信息泄露風(fēng)險(xiǎn)C.木馬植入風(fēng)險(xiǎn)D.以上都是√6、是項(xiàng)目管理中最重要的角色，是由執(zhí)行組織委派，領(lǐng)導(dǎo)團(tuán)隊(duì)實(shí)現(xiàn)項(xiàng)目目標(biāo)的個(gè)人。（）[單選題]*A.項(xiàng)目經(jīng)理√B.技術(shù)專(zhuān)家C.項(xiàng)目專(zhuān)家D.單位領(lǐng)導(dǎo)7、關(guān)于訪談、核查和測(cè)試三種測(cè)評(píng)方法，以下說(shuō)法正確的是。（）[單選題]*A.針對(duì)單項(xiàng)測(cè)評(píng)，只需要使用一種測(cè)評(píng)方法；B.訪談應(yīng)全面，盡量發(fā)散性提出問(wèn)題，以獲得更多更具體的證據(jù)；C.測(cè)試包括功能測(cè)試、性能測(cè)試和滲透測(cè)試等；√D.核查即針對(duì)制度文檔進(jìn)行觀察和分析。8、如果客戶想要一個(gè)可完全操作得環(huán)境，需要很少的維護(hù)或管理，那么哪種云服務(wù)模型可能是最好的。（）[單選題]*A.IaaSB.PaaSC.SaaS√D.混合云9、以下哪項(xiàng)不適合納入SLA？（）[單選題]*A.指定時(shí)段允許的用戶賬戶數(shù)量B.云服務(wù)商和云服務(wù)客戶雙方都有哪些人員負(fù)責(zé)和授權(quán)宣布緊急情況，并將服務(wù)轉(zhuǎn)換到應(yīng)急允許狀態(tài)√C.允許云服務(wù)商和云服務(wù)客戶之間傳輸和接收的數(shù)據(jù)量D.從正常操作轉(zhuǎn)換到應(yīng)急操作允許的時(shí)間10、下列哪一項(xiàng)是RFID的邏輯安全機(jī)制。（）[單選題]*A.Kill命令機(jī)制B.主動(dòng)干擾C.散列鎖定√D.阻塞標(biāo)簽11、物聯(lián)網(wǎng)的核心技術(shù)是。（）[單選題]*A.射頻識(shí)別√B.集成電路C.無(wú)線電D.操作系統(tǒng)12、以下哪一項(xiàng)不屬于工具測(cè)試的作用。（）[單選題]*A.完成對(duì)信息系統(tǒng)的授權(quán)模擬攻擊，發(fā)現(xiàn)系統(tǒng)安全性方面的問(wèn)題√B.可以直接獲得目標(biāo)系統(tǒng)本身存在的操作系統(tǒng)、應(yīng)用方面的漏洞C.通過(guò)在不同區(qū)域接入測(cè)試工具得到的測(cè)試結(jié)果，判斷不同區(qū)域之間的訪問(wèn)控制情況D.與其他核查手段結(jié)合，為測(cè)試結(jié)果的客觀性和準(zhǔn)確性提供保證13、以下哪一項(xiàng)不屬于工具測(cè)試的流程。（）[單選題]*A.收集目標(biāo)系統(tǒng)信息B.規(guī)劃接入點(diǎn)C.現(xiàn)場(chǎng)測(cè)試D.漏洞發(fā)現(xiàn)√14、對(duì)于動(dòng)態(tài)開(kāi)放端口的應(yīng)用協(xié)議（如OPC協(xié)議），如何實(shí)現(xiàn)安全的訪問(wèn)控制?（）[單選題]*A.通過(guò)限定源目的地址為單個(gè)IP地址，并配置目的端口為“任意”的策略來(lái)保障動(dòng)態(tài)開(kāi)放端口的協(xié)議數(shù)據(jù)流可通過(guò)訪問(wèn)控制設(shè)備B.通過(guò)抓包分析該協(xié)議通信的端口使用情況，再以最小開(kāi)放方式人工配置五元組策略C.訪問(wèn)控制設(shè)備分析通信過(guò)程中的端口協(xié)商數(shù)據(jù)包，后臺(tái)自動(dòng)以最小開(kāi)放方式配置五元組策略√D.配置全通策略，保障動(dòng)態(tài)開(kāi)放端口協(xié)議通信可用性15、《中華人民共和國(guó)密碼法》施行時(shí)間？（）[單選題]*A.2019年10月26日B.2020年1月1日√C.2020年5月1日D.2021年1月1日16、以下_____算法被國(guó)家密碼管理局警示是有風(fēng)險(xiǎn)的算法。（）[單選題]*A.MD5B.SHA-1C.DESD.以上都是√17、從一張數(shù)字證書(shū)無(wú)法得到_______信息。（）[單選題]*A.證書(shū)用途B.主體公鑰信息C.有效日期D.證書(shū)簽發(fā)機(jī)構(gòu)公鑰信息√18、《密碼法》中所稱(chēng)的密碼，是指采用特定變換的方法對(duì)信息進(jìn)行____、____的技術(shù)、產(chǎn)品和服務(wù)。（）[單選題]*A.機(jī)密性保護(hù)、完整性保護(hù)B.加密解密、簽名驗(yàn)簽C.加密保護(hù)、安全認(rèn)證√D.標(biāo)識(shí)、認(rèn)證19、我國(guó)密碼標(biāo)準(zhǔn)定義的雜湊密碼是______。（）[單選題]*A.SHA256B.SM2C.SM3√D.SM420、以GM/T開(kāi)頭的標(biāo)準(zhǔn)，屬于______。（）[單選題]*A.密碼國(guó)家標(biāo)準(zhǔn)B.密碼行業(yè)標(biāo)準(zhǔn)√C.密碼企業(yè)標(biāo)準(zhǔn)D.密碼地方標(biāo)準(zhǔn)21、下面關(guān)于密碼設(shè)計(jì)原則中不正確的是。（）[單選題]*A.算法公開(kāi)，密鑰保密B.算法不能公開(kāi)，密鑰可以公開(kāi)√C.算法應(yīng)能抵御已知的攻擊D.算法應(yīng)盡可能提高運(yùn)算效率22、下面密碼算法中，哪一個(gè)不屬于商用密碼算法？（）[單選題]*A.SM2B.SM3C.DES√D.SM423、Oracle數(shù)據(jù)庫(kù)中，以下______命令可以刪除整個(gè)表中的數(shù)據(jù)，并且無(wú)法回滾。（）[單選題]*A.DropB.DeleteC.Truncate√D.Cascade24、應(yīng)保證移動(dòng)終端______、______并______終端管理客戶端軟件。（）[單選題]*A.管理、注冊(cè)、卸載B.安裝、運(yùn)行、卸載C.安裝、注冊(cè)、運(yùn)行√D.管理、注冊(cè)、運(yùn)行25、移動(dòng)終端應(yīng)接受移動(dòng)終端管理服務(wù)端的______管理、設(shè)備遠(yuǎn)程控制，如：遠(yuǎn)程鎖定、遠(yuǎn)程擦除等。（）[單選題]*A．全功能B．設(shè)備硬件接口C.策略D.設(shè)備生命周期√三、多選題1、MES系統(tǒng)等級(jí)測(cè)評(píng)需要增加的工業(yè)控制安全擴(kuò)展部分要求有。（）[多選題]*A.安全通信網(wǎng)絡(luò)√B.安全區(qū)域邊界√C.安全計(jì)算環(huán)境D.安全管理中心2、“訪談”方法應(yīng)用時(shí)，應(yīng)注意以下要求。（）[多選題]*A.訪談不能有誘導(dǎo)性√B.問(wèn)題應(yīng)具有開(kāi)放性√C.訪談所獲取的結(jié)論性內(nèi)容主要作為實(shí)證D.優(yōu)先采用訪談測(cè)評(píng)方法3、密碼是目前世界上公認(rèn)的，保障網(wǎng)絡(luò)與信息安全的關(guān)鍵核心技術(shù)。（）[多選題]*A.最有效√B.最可靠√C.最經(jīng)濟(jì)√D.最實(shí)用4、以下屬于對(duì)稱(chēng)密碼算法的是。（）[多選題]*A.ZUC算法√B.RSA算法C.SM4算法√D.DES算法√5、在等級(jí)測(cè)評(píng)過(guò)程中可以通過(guò)采取以下措施規(guī)避風(fēng)險(xiǎn)。（）[多選題]*A.簽署委托測(cè)評(píng)協(xié)議√B.簽署保密協(xié)議√C.簽署現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書(shū)√D.驗(yàn)證測(cè)試避開(kāi)業(yè)務(wù)高峰期√6、云計(jì)算等級(jí)測(cè)評(píng)實(shí)施時(shí)，測(cè)評(píng)對(duì)象確定還需考慮以下方面。（）[多選題]*A.虛擬設(shè)備√B.云操作系統(tǒng)、云業(yè)務(wù)管理平臺(tái)、虛擬機(jī)監(jiān)視器√C.云服務(wù)客戶網(wǎng)絡(luò)控制器√D.云應(yīng)用開(kāi)發(fā)平臺(tái)√7、等級(jí)測(cè)評(píng)方法主要包括。（）[多選題]*A.訪談√B.核查√C.測(cè)試√D.交流8、根據(jù)GB/T22240-2020給出的定級(jí)對(duì)象基本特征和GB/T35589-2017給出的大數(shù)據(jù)參考架構(gòu)，大數(shù)據(jù)相關(guān)等級(jí)保護(hù)對(duì)象可以抽象為等組件。（）[多選題]*A.大數(shù)據(jù)資源√B.大數(shù)據(jù)管理平臺(tái)C.大數(shù)據(jù)應(yīng)用√D.大數(shù)據(jù)平臺(tái)√9、以下屬于大數(shù)據(jù)應(yīng)用的是。（）[多選題]*A.文字搜索系統(tǒng)√B.翻譯系統(tǒng)√C.郵件系統(tǒng)D.產(chǎn)品推送廣告系統(tǒng)√10、項(xiàng)目具有的特性有。（）[多選題]*A.獨(dú)特性√B.臨時(shí)性C.復(fù)雜性√D.漸進(jìn)明細(xì)√11、一般項(xiàng)目的制約因素有，除了這四大主要因素外，還需要考慮風(fēng)險(xiǎn)、資源和干系人等。（）[多選題]*A.質(zhì)量√B范圍√C.成本√D.進(jìn)度√12、項(xiàng)目管理是指在項(xiàng)目活動(dòng)中運(yùn)用專(zhuān)門(mén)的，使項(xiàng)目能夠在有限資源限定條件下，實(shí)現(xiàn)或超過(guò)設(shè)定的需求和期望的過(guò)程。（）[多選題]*A.知識(shí)√B.技能√C.工具√D.方法√13、相較于2019版等級(jí)測(cè)評(píng)報(bào)告模板，2021版等級(jí)測(cè)評(píng)報(bào)告模板的主要修訂內(nèi)容包括。（）[多選題]*A.將數(shù)據(jù)作為獨(dú)立測(cè)評(píng)對(duì)象√B.刪除控制點(diǎn)得分計(jì)算√C.調(diào)整綜合得分計(jì)算公式√D.規(guī)范了等級(jí)測(cè)評(píng)結(jié)論擴(kuò)展表√14、針對(duì)二級(jí)以上云租戶系統(tǒng)，以下可以判定為高風(fēng)險(xiǎn)的場(chǎng)景包括。（）[多選題]*A.云計(jì)算平臺(tái)承載高于其安全保護(hù)等級(jí)(SxAxGx)的業(yè)務(wù)應(yīng)用系統(tǒng)B.業(yè)務(wù)應(yīng)用系統(tǒng)部署在低于其安全保護(hù)等級(jí)(SxAxGx)的云計(jì)算平臺(tái)上√C.業(yè)務(wù)應(yīng)用系統(tǒng)部署在未進(jìn)行等級(jí)保護(hù)測(cè)評(píng)的云計(jì)算平臺(tái)上√D.業(yè)務(wù)應(yīng)用系統(tǒng)部署在測(cè)評(píng)報(bào)告超出有效期的云計(jì)算平臺(tái)上√15、依據(jù)GB/T28448-2019測(cè)評(píng)要求，等級(jí)保護(hù)第三級(jí)重要數(shù)據(jù)傳輸過(guò)程的保密性，所涉及的測(cè)評(píng)對(duì)象主要為哪些。（）[多選題]*A.業(yè)務(wù)應(yīng)用系統(tǒng)√B.數(shù)據(jù)庫(kù)管理系統(tǒng)√C.中間件和系統(tǒng)管理軟件√D.交換機(jī)16、依據(jù)GB/T28448-2019測(cè)評(píng)要求，等級(jí)保護(hù)第三級(jí)身份鑒別第一條關(guān)于用戶身份及身份鑒別信息的要求，測(cè)評(píng)實(shí)施內(nèi)容主要包括哪些。（）[多選題]*A.應(yīng)核查用戶在登錄時(shí)是否采用了身份鑒別措施√B.應(yīng)核查用戶列表確認(rèn)用戶身份標(biāo)識(shí)是否具有唯一性√C.應(yīng)核查用戶配置信息或測(cè)試驗(yàn)證是否不存在空口令用戶√D.應(yīng)核查用戶鑒別信息有復(fù)雜度要求并定期更換√17、以下哪些產(chǎn)品可以實(shí)現(xiàn)數(shù)據(jù)的集中審計(jì)和分析。（）[多選題]*A.SOC（安全運(yùn)營(yíng)中心）√B.日志分析系統(tǒng)√C.網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)√D.SIEM（安全信息和事件管理）√18、基于IaaS模式，云服務(wù)商實(shí)現(xiàn)自身控制部分的集中監(jiān)測(cè)，可以包括。（）[多選題]*A.租戶應(yīng)用B.租戶網(wǎng)絡(luò)C.虛擬機(jī)使用情況√D.物理機(jī)使用情況√19、基于IaaS模式，云服務(wù)客戶實(shí)現(xiàn)自身控制部分的集中監(jiān)測(cè)，可以包括。（）[多選題]*A.租戶應(yīng)用√B.租戶網(wǎng)絡(luò)√C.虛擬機(jī)使用情況√D.物理機(jī)使用情況20、云服務(wù)客戶購(gòu)買(mǎi)了IaaS服務(wù)，部署用戶業(yè)務(wù)系統(tǒng)時(shí)，需要考慮的安全是。（）[多選題]*A.數(shù)據(jù)層安全√B.虛擬化安全C.主機(jī)層（包括虛擬機(jī)、宿主機(jī)等）安全D.虛擬網(wǎng)絡(luò)層安全√21、某公司的三級(jí)系統(tǒng)--個(gè)人征信系統(tǒng)服務(wù)器與公司辦公終端處于同一網(wǎng)段，僅用一臺(tái)二層交換機(jī)相連接。不滿足《基本要求》的哪些條款？（）[多選題]*A.應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段√B.應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計(jì)算設(shè)備的硬件冗余，保證系統(tǒng)的可用性√C.應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址√D.應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問(wèn)控制策略設(shè)置訪問(wèn)控制規(guī)則，默認(rèn)情況下除允許通信外受控接口拒絕所有通信√22、通過(guò)交換機(jī)或路由器ACL進(jìn)行訪問(wèn)控制，其不足主要在于。（）[多選題]*A.無(wú)法實(shí)現(xiàn)基于五元組的精細(xì)控制B.不支持基于會(huì)話狀態(tài)的訪問(wèn)控制√C.策略數(shù)量較多時(shí)，對(duì)設(shè)備性能影響較大√D.不支持基于應(yīng)用協(xié)議的訪問(wèn)控制√23、針對(duì)“基于應(yīng)用協(xié)議的訪問(wèn)控制”，以下說(shuō)法正確的是。（）[多選題]*A.基于應(yīng)用協(xié)議的訪問(wèn)控制安全性高于基于目的端口的訪問(wèn)控制√B.可通過(guò)在訪問(wèn)控制設(shè)備上，創(chuàng)建服務(wù)對(duì)象綁定傳輸層協(xié)議端口方式實(shí)現(xiàn)應(yīng)用協(xié)議的識(shí)別C.在下一代防火墻上，其它元素相同的情況下，選擇目的端口為80和選擇目的服務(wù)為HTTP的訪問(wèn)控制效果一樣D.路由器、交換機(jī)不支持基于應(yīng)用協(xié)議的訪問(wèn)控制√24、電子郵件系統(tǒng)的安全防護(hù)重點(diǎn)包括。（）[多選題]*A.垃圾郵件防范√B.惡意代碼防范√C.郵件篡改防范D.敏感信息泄露防范√25、關(guān)于雜湊函數(shù)，下列說(shuō)法正確的是。（）[多選題]*A.輸入長(zhǎng)度必須是固定長(zhǎng)度B.輸入長(zhǎng)度可以任意長(zhǎng)√C.輸入長(zhǎng)度必須比摘要值長(zhǎng)D.輸出長(zhǎng)度是固定值√26、對(duì)于XSS漏洞，以下防御手段有效的是？（）[多選題]*A.部署web應(yīng)用防火墻√B.使用htmlentities函數(shù)，把字符轉(zhuǎn)換為HTML實(shí)體?！藽.使用驗(yàn)證碼D.cookie關(guān)鍵字段設(shè)置HttpOnly屬性√27、這段代碼存在的安全問(wèn)題不會(huì)產(chǎn)生什么安全漏洞？（）[多選題]*$username=$_GET(username);Echo$usernamemysql_query(“select*fromorderswhereusername=”$username”ordir(mysql_error():?>A.命令執(zhí)行漏洞√B.SQL注入漏洞C.文件包含漏洞√D.反射XSS漏洞√28、下列哪一種VPN協(xié)議不提供本地?cái)?shù)據(jù)庫(kù)加密功能？（）[多選題]*A.IPsecB.L2F√C.L2TP√D.PPTP√FC.L2TPD.PPTPFC.L2TPD.PPTPE.P2P29、Oracle中的三種系統(tǒng)文件分別是？（）[多選題]*A.數(shù)據(jù)文件DBF√B.控制文件CTL√C.日志文件LOG√D.歸檔文件ARC30、關(guān)于表分區(qū)的說(shuō)法正確的有？（）[多選題]*A.表分區(qū)存儲(chǔ)在表空間中√B.表分區(qū)可用于任意的數(shù)據(jù)類(lèi)型的表C.表分區(qū)不能用于含有自定義類(lèi)型的表√D.表分區(qū)的每個(gè)分區(qū)都必須具有明確的上界值31、以下哪幾項(xiàng)屬于等保三級(jí)移動(dòng)互聯(lián)網(wǎng)安全擴(kuò)展要求中的移動(dòng)應(yīng)用管控測(cè)評(píng)范圍內(nèi)？（）[多選題]*A.應(yīng)只允許指定證書(shū)簽名的應(yīng)用軟件安裝和運(yùn)行√B.應(yīng)具有軟件白名單功能，應(yīng)能根據(jù)白名單控制應(yīng)用軟件安裝、運(yùn)行√C.應(yīng)具有接受移動(dòng)終端管理服務(wù)端推送的移動(dòng)應(yīng)用軟件管理策略，并根據(jù)該策略對(duì)軟件實(shí)施管控的能力D.應(yīng)具有選擇應(yīng)用軟件安裝、運(yùn)行的功能√四、簡(jiǎn)答題1、測(cè)評(píng)時(shí)如何確定系統(tǒng)的安全區(qū)域邊界；工業(yè)控制系統(tǒng)具有哪些典型的安全區(qū)域邊界。[填空題]*答案要點(diǎn)：第一，調(diào)研系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)，得到與實(shí)際系統(tǒng)一致的網(wǎng)絡(luò)拓?fù)鋱D；第二，分析網(wǎng)絡(luò)拓?fù)渲兴陌踩珔^(qū)域、各區(qū)域所處的層級(jí)；第三，分析各區(qū)域間的連通情況、安全防護(hù)需求，結(jié)合訪問(wèn)控制設(shè)備的部署情況，得出系統(tǒng)所有的安全區(qū)域邊界。通常分為外部邊界、內(nèi)部邊界。外部邊界如工業(yè)控制系統(tǒng)與企業(yè)辦公系統(tǒng)邊界；內(nèi)部邊界又包括層級(jí)邊界、區(qū)域邊界。層級(jí)邊界，如生產(chǎn)管理層與企業(yè)資源層邊界、過(guò)程監(jiān)控層與生產(chǎn)管理層邊界；區(qū)域邊界，如制造業(yè)的不同車(chē)間、電廠的不同機(jī)組等。2、簡(jiǎn)述等級(jí)保護(hù)測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估的關(guān)系。[填空題]*答案解析：答案要點(diǎn)：依據(jù)GB/T22239或行業(yè)標(biāo)準(zhǔn)對(duì)應(yīng)級(jí)別的條款要求，逐項(xiàng)測(cè)評(píng)，并進(jìn)行必要的安全掃描和滲透測(cè)試（特殊情況除外），參考風(fēng)險(xiǎn)評(píng)估思路，綜合分析不符合/部分符合項(xiàng)的安全風(fēng)險(xiǎn)并確定風(fēng)險(xiǎn)等級(jí)（定性：高中低），根據(jù)既定的計(jì)分方式進(jìn)行綜合評(píng)分。給出確定的測(cè)評(píng)結(jié)論：優(yōu)良中差。依據(jù)GB/T20984所給出的方法，針對(duì)約定評(píng)估對(duì)象(可以為業(yè)務(wù)系統(tǒng)、組織的全部信息系統(tǒng)、或約定的特定范圍)，以資產(chǎn)為核心，分析資產(chǎn)價(jià)值，面臨的威脅、存在的脆弱性，主要以定量的方式計(jì)算各資產(chǎn)的安全風(fēng)險(xiǎn)。根據(jù)約定的風(fēng)險(xiǎn)評(píng)價(jià)原則，定性方式給出評(píng)估對(duì)象的風(fēng)險(xiǎn)情況。其中，標(biāo)準(zhǔn)中明確脆弱性評(píng)估可參考其他標(biāo)準(zhǔn)或文件（如照GB/T22239）。等級(jí)保護(hù)測(cè)評(píng)在安全問(wèn)題風(fēng)險(xiǎn)分析時(shí)，參考風(fēng)險(xiǎn)分析原理，綜合考慮安全問(wèn)題關(guān)聯(lián)資產(chǎn)、關(guān)聯(lián)威脅，根據(jù)最大可能安全危害（損失），并結(jié)合聯(lián)盟團(tuán)標(biāo)“高危判例”確定每個(gè)安全問(wèn)題的風(fēng)險(xiǎn)等級(jí)。然后進(jìn)行整體測(cè)評(píng)，對(duì)風(fēng)險(xiǎn)等級(jí)進(jìn)行必要的調(diào)整。3、請(qǐng)簡(jiǎn)述等級(jí)測(cè)評(píng)風(fēng)險(xiǎn)有哪些，該采取哪些措施規(guī)避風(fēng)險(xiǎn)？[填空題]*答案解析：答案要點(diǎn)：等級(jí)測(cè)評(píng)風(fēng)險(xiǎn)主要包括：影響系統(tǒng)正常運(yùn)行的風(fēng)險(xiǎn)、敏感信息泄露風(fēng)險(xiǎn)、木馬植入風(fēng)險(xiǎn)。在等級(jí)測(cè)評(píng)過(guò)程中，應(yīng)采取的規(guī)避風(fēng)險(xiǎn)措施包括：簽署委托測(cè)評(píng)協(xié)議、簽署保密協(xié)議、簽署現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書(shū)、驗(yàn)證測(cè)試避開(kāi)業(yè)務(wù)高峰期、測(cè)評(píng)現(xiàn)場(chǎng)還原等。4、請(qǐng)結(jié)合測(cè)評(píng)實(shí)施工作簡(jiǎn)述測(cè)評(píng)人員的行為規(guī)范有哪些？[填空題]*答案解析：答案要點(diǎn)：測(cè)評(píng)人員進(jìn)入現(xiàn)場(chǎng)佩戴工作牌；使用測(cè)評(píng)專(zhuān)用的電腦和工具；嚴(yán)格按照測(cè)評(píng)指導(dǎo)書(shū)使用規(guī)范的測(cè)評(píng)技術(shù)進(jìn)行測(cè)評(píng)；準(zhǔn)確記錄測(cè)評(píng)證據(jù)；不擅自評(píng)價(jià)測(cè)評(píng)結(jié)果；不將測(cè)評(píng)結(jié)果復(fù)制給非測(cè)評(píng)人員；涉及到測(cè)評(píng)委托單位的工作秘密或敏感信息的相關(guān)資料，只在指定場(chǎng)所查看，查看完成后立即歸還等。5、請(qǐng)簡(jiǎn)述大數(shù)據(jù)等級(jí)保護(hù)對(duì)象如何定級(jí)。[填空題]*答案要點(diǎn)：由于不同運(yùn)營(yíng)者單獨(dú)承擔(dān)安全責(zé)任，從定級(jí)對(duì)象的責(zé)任主體角度出發(fā)，大數(shù)據(jù)資源可獨(dú)立作為定級(jí)對(duì)象，也可能與大數(shù)據(jù)平臺(tái)或大數(shù)據(jù)應(yīng)用組合作為定級(jí)對(duì)象。大數(shù)據(jù)資源獨(dú)立作為定級(jí)對(duì)象時(shí)，承載其數(shù)據(jù)的載體（如存儲(chǔ)、服務(wù)器、數(shù)據(jù)庫(kù)系統(tǒng)等）也應(yīng)包含在大數(shù)據(jù)資源的定級(jí)對(duì)象范圍內(nèi)。大數(shù)據(jù)資源若對(duì)外提供數(shù)據(jù)資源服務(wù)時(shí)，安全防護(hù)軟硬件也應(yīng)包含在大數(shù)據(jù)資源的定級(jí)對(duì)象范圍內(nèi)。6、請(qǐng)簡(jiǎn)要介紹測(cè)評(píng)方案評(píng)審的要點(diǎn)。[填空題]*答案要點(diǎn)：測(cè)評(píng)方案中被測(cè)系統(tǒng)和調(diào)查對(duì)象的實(shí)質(zhì)性內(nèi)容是否與調(diào)查表一致？測(cè)評(píng)方案項(xiàng)目基本信息是否全面準(zhǔn)確？測(cè)評(píng)方案中抽選的被測(cè)對(duì)象的信息是否全面準(zhǔn)確？測(cè)評(píng)方案中工具漏洞掃描和滲透測(cè)試內(nèi)容合理、全面？測(cè)評(píng)方案關(guān)鍵內(nèi)容是否準(zhǔn)確？測(cè)評(píng)方案是否具有業(yè)主方簽字確認(rèn)？7、請(qǐng)簡(jiǎn)要介紹測(cè)評(píng)報(bào)告評(píng)審的要點(diǎn)。[填空題]*答案解析：答案要點(diǎn)：測(cè)評(píng)報(bào)告中被測(cè)系統(tǒng)和抽選對(duì)象的實(shí)質(zhì)性內(nèi)容是否與測(cè)評(píng)方案一致？測(cè)評(píng)記錄是否詳細(xì)、準(zhǔn)確，支持符合性判斷？原始測(cè)評(píng)記錄是否具有測(cè)評(píng)師及業(yè)主方簽字確認(rèn)？測(cè)評(píng)報(bào)告中工具漏洞掃描和滲透測(cè)試結(jié)果全面深入？安全問(wèn)題的描述與評(píng)判是否準(zhǔn)確？整改建議是否完整、準(zhǔn)確、合理？測(cè)評(píng)結(jié)論是否準(zhǔn)確？測(cè)評(píng)報(bào)告文檔內(nèi)容是規(guī)范？8、（1）什么是安全控制點(diǎn)間，什么是整體測(cè)評(píng)？分別列舉一個(gè)安全控制點(diǎn)間安全測(cè)評(píng)、區(qū)域間安全測(cè)評(píng)的案例。（2）整體測(cè)評(píng)不僅是降低風(fēng)險(xiǎn)，也存在風(fēng)險(xiǎn)程度升高的可能性，請(qǐng)舉例說(shuō)明。[填空題]*答案要點(diǎn)：1）安全控制點(diǎn)間安全測(cè)評(píng)指對(duì)同一區(qū)域的兩個(gè)或者兩個(gè)以上不同安全控制點(diǎn)間的關(guān)聯(lián)進(jìn)行測(cè)評(píng)分析，其目的是確定這些關(guān)聯(lián)對(duì)等級(jí)保護(hù)對(duì)象整體安全保護(hù)能力的影響。區(qū)域間安全測(cè)評(píng)是指對(duì)互連互通的不同區(qū)域之間的關(guān)聯(lián)進(jìn)行測(cè)評(píng)分析，其目的是確定這些關(guān)聯(lián)對(duì)等級(jí)保護(hù)對(duì)象整體安全保護(hù)能力的影響；不僅考慮網(wǎng)絡(luò)區(qū)域之間、還包括物理區(qū)域之間。2）開(kāi)放性，無(wú)標(biāo)準(zhǔn)答案。9、聯(lián)盟-2022等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目質(zhì)量評(píng)價(jià)指標(biāo)體系中，針對(duì)不適用項(xiàng)的注意事項(xiàng)包括哪些要求？[填空題]*答案要點(diǎn)：不適用項(xiàng)的判定原則是：針對(duì)每個(gè)測(cè)評(píng)項(xiàng)，如果該測(cè)評(píng)項(xiàng)所對(duì)抗的威脅在被測(cè)定級(jí)對(duì)象中不存在，則該測(cè)評(píng)項(xiàng)應(yīng)標(biāo)為不適用項(xiàng)；不適用項(xiàng)的描述應(yīng)包括：被測(cè)評(píng)系統(tǒng)的情況說(shuō)明、不適用的原因說(shuō)明，其中對(duì)于不適用的原因說(shuō)明應(yīng)經(jīng)得起推敲；直接判定不適用而沒(méi)給出相應(yīng)說(shuō)明的，不符合要求。10、高風(fēng)險(xiǎn)判定的原則包括哪些？[填空題]*答案要點(diǎn)：不符合國(guó)家、行業(yè)主管部門(mén)明確規(guī)定的情況，應(yīng)判為高風(fēng)險(xiǎn)。不符合或未實(shí)現(xiàn)《基本要求》中各等級(jí)、層面核心要求及基本安全功能，且無(wú)等效或補(bǔ)償措施降低風(fēng)險(xiǎn)等級(jí)的情況，應(yīng)判為高風(fēng)險(xiǎn)。通過(guò)技術(shù)測(cè)試發(fā)現(xiàn)被測(cè)目標(biāo)存在可被利用，并可能造成嚴(yán)重后果的情況，應(yīng)判為高風(fēng)險(xiǎn)。通過(guò)綜合分析，對(duì)被測(cè)系統(tǒng)可能產(chǎn)生重大安全隱患的，應(yīng)判為高風(fēng)險(xiǎn)。11、請(qǐng)簡(jiǎn)述等級(jí)測(cè)評(píng)風(fēng)險(xiǎn)規(guī)避措施。[填空題]*答案要點(diǎn)：1)簽署委托測(cè)評(píng)協(xié)議；在測(cè)評(píng)工作正式開(kāi)始之前,測(cè)評(píng)方和被測(cè)評(píng)單位需要以委托協(xié)議的方式明確測(cè)評(píng)工作的目標(biāo)、范圍、人員組成、計(jì)劃安排、執(zhí)行步驟和要求以及雙方的責(zé)任和義務(wù)等,使得測(cè)評(píng)雙方對(duì)測(cè)評(píng)過(guò)程中的基本問(wèn)題達(dá)成共識(shí)。2)簽署保密協(xié)議；測(cè)評(píng)相關(guān)方應(yīng)簽署合乎法律規(guī)范的保密協(xié)議,以約束測(cè)評(píng)相關(guān)方現(xiàn)在及將來(lái)的行為。保密協(xié)議規(guī)定了測(cè)評(píng)相關(guān)方保密方面的權(quán)利與義務(wù)。測(cè)評(píng)過(guò)程中獲取的相關(guān)系統(tǒng)數(shù)據(jù)信息及測(cè)評(píng)工作的成果屬被測(cè)評(píng)單位所有,測(cè)評(píng)方對(duì)其的引用與公開(kāi)應(yīng)得到相關(guān)單位的授權(quán),否則相關(guān)單位將按照保密協(xié)議的要求追究測(cè)評(píng)單位的法律責(zé)任。3）現(xiàn)場(chǎng)測(cè)評(píng)工作風(fēng)險(xiǎn)的規(guī)避；現(xiàn)場(chǎng)測(cè)評(píng)之前,測(cè)評(píng)機(jī)構(gòu)應(yīng)與相關(guān)單位簽署現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書(shū),要求相關(guān)方對(duì)系統(tǒng)及數(shù)據(jù)進(jìn)行備份,并對(duì)可能出現(xiàn)的事件制定應(yīng)急處理方案。進(jìn)行驗(yàn)證測(cè)試和工具測(cè)試時(shí),避開(kāi)業(yè)務(wù)高峰期,在系統(tǒng)資源處于空閑狀態(tài)時(shí)進(jìn)行,或配置與生產(chǎn)環(huán)境一致的模擬/仿真環(huán)境,在模擬/仿真環(huán)境下開(kāi)展漏洞掃描等測(cè)試工作;上機(jī)驗(yàn)證測(cè)試由測(cè)評(píng)人員提出需要驗(yàn)證的內(nèi)容,系統(tǒng)運(yùn)營(yíng)使用單位的技術(shù)人員進(jìn)行實(shí)際操作。整個(gè)現(xiàn)場(chǎng)測(cè)評(píng)過(guò)程要求系統(tǒng)運(yùn)營(yíng)、使用單位全程監(jiān)督。4）測(cè)評(píng)現(xiàn)場(chǎng)還原。測(cè)評(píng)工作完成后,測(cè)評(píng)人員應(yīng)將測(cè)評(píng)過(guò)程中獲取的所有特權(quán)交回,把測(cè)評(píng)過(guò)程中借閱的相關(guān)資料文檔歸還,并將測(cè)評(píng)環(huán)境恢復(fù)至測(cè)評(píng)前狀態(tài)。12、簡(jiǎn)述單向認(rèn)證和雙向認(rèn)證。[填空題]*答案解析：答案要點(diǎn)：雙向認(rèn)證SSL協(xié)議要求服務(wù)器和用戶雙方都有證書(shū)。單向認(rèn)證SSL協(xié)議不需要客戶擁有CA證書(shū)。具體見(jiàn)下圖。13、列出三種云計(jì)算服務(wù)模型以及各自的優(yōu)缺點(diǎn)。[填空題]*_________________________________答案解析：答案要點(diǎn)：三種云計(jì)算服務(wù)模型包括IaaS、PaaS和SaaS，它們的一些常見(jiàn)優(yōu)缺點(diǎn)包括但不限于以下幾個(gè)方面：IaaS：優(yōu)點(diǎn)：減少資本投資；增加業(yè)務(wù)連續(xù)性/災(zāi)難恢復(fù)的冗余；可伸縮性。缺點(diǎn)：依賴于云服務(wù)提供商的安全性；保留維護(hù)操作系統(tǒng)和應(yīng)用程序的責(zé)任。PaaS：優(yōu)點(diǎn)：使用多個(gè)操作系統(tǒng)平臺(tái)，特別適合于測(cè)試和軟件開(kāi)發(fā)的目的，還包含IaaS的所有優(yōu)點(diǎn)。缺點(diǎn)：依靠云服務(wù)提供商更新操作系統(tǒng)，保留維護(hù)應(yīng)用程序的責(zé)任。SaaS：優(yōu)點(diǎn)：云服務(wù)提供商負(fù)責(zé)所有基礎(chǔ)設(shè)施、操作系統(tǒng)和應(yīng)用程序；還包含PaaS的所有優(yōu)點(diǎn)。缺點(diǎn)：失去一切管理控制；可能對(duì)安全沒(méi)有任何洞察。14、簡(jiǎn)述不同云計(jì)算服務(wù)模型下，云服務(wù)提供商、云服務(wù)客戶與資源控制范圍控制的關(guān)系。[填空題]*答案解析：在不同的服務(wù)模式中，云服務(wù)商和云服務(wù)客戶對(duì)計(jì)算資源擁有不同的控制范圍，控制范圍則決定了安全責(zé)任的邊界。在基礎(chǔ)設(shè)施即服務(wù)模式下，云計(jì)算平臺(tái)由設(shè)施、硬件、資源抽象控制層組成；在平臺(tái)即服務(wù)模式下，云計(jì)算平臺(tái)包括設(shè)施、硬件、資源抽象控制層、虛擬化計(jì)算資源和軟件平臺(tái)；在軟件即服務(wù)模式下，云計(jì)算平臺(tái)包括設(shè)施、硬件、資源抽象控制層、虛擬化計(jì)算資源、軟件平臺(tái)和應(yīng)用軟件。15、列舉常見(jiàn)的物聯(lián)網(wǎng)設(shè)備使用的通信手段，并進(jìn)行簡(jiǎn)單分類(lèi)。[填空題]*答案要點(diǎn)：按照連接方式可以分為有線連接和無(wú)線連接，有線連接包括以太網(wǎng)線、電線、音頻線/同軸線、RS485總線、USB等。無(wú)線連接包括WIFI、Zigbee、Lora、藍(lán)牙、Z-ware、3G,4G,GPRS,NB-IOT等。按照通信距離可以分為短距離通信和長(zhǎng)距離通信，短距離通信包括Zigbee，Z-ware，藍(lán)牙，WIFI，串口，USB，總線等。遠(yuǎn)距離通信包括，3G/4G、GPRS、NB-IOT、5G等。16、列舉常用物聯(lián)網(wǎng)設(shè)備漏洞挖掘手段。[填空題]*答案要點(diǎn)：1）逆向分析設(shè)備固件，獲取關(guān)鍵功能邏輯信息，硬編碼密鑰、口令信息等。2）逆向分析設(shè)備控制端APP，SDK等，獲取設(shè)備認(rèn)證、控制協(xié)議。3）模擬固件運(yùn)行環(huán)境，對(duì)特定可執(zhí)行文件或者整個(gè)設(shè)備進(jìn)行模糊測(cè)試。如下網(wǎng)絡(luò)拓?fù)鋱D所示，系統(tǒng)定級(jí)為S2A2G2，描述網(wǎng)絡(luò)存在的問(wèn)題。[填空題]*答案要點(diǎn):1）系統(tǒng)沒(méi)有進(jìn)行區(qū)域劃分，沒(méi)有劃分外聯(lián)接入?yún)^(qū)和安全管理區(qū)；2）系統(tǒng)的邊界沒(méi)有隔離和防護(hù)，在下級(jí)單位和數(shù)據(jù)源的邊界處應(yīng)部署防火墻，并配置相應(yīng)的訪問(wèn)控制策略；3）沒(méi)有部署網(wǎng)絡(luò)防惡意代碼產(chǎn)品，不能在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；4）沒(méi)有部署入侵檢測(cè)產(chǎn)品，不能對(duì)網(wǎng)絡(luò)中的關(guān)鍵節(jié)點(diǎn)處監(jiān)視網(wǎng)絡(luò)攻擊行為；5）沒(méi)有部署安全審計(jì)設(shè)備，不能對(duì)系統(tǒng)中的日志進(jìn)行備份和保護(hù)。18、如果發(fā)現(xiàn)sql注入攻擊，網(wǎng)站管理員該如何進(jìn)行防御？[填空題]*答案解析：答案要點(diǎn)：首先找出sql注入的攻擊者IP和被攻擊的位置，阻斷攻擊，其次可配置網(wǎng)站防火墻對(duì)網(wǎng)站進(jìn)行防護(hù)，如果有條件，可以對(duì)網(wǎng)站源碼進(jìn)行修改，修復(fù)具有sql注入的漏洞。最后，可以使用專(zhuān)業(yè)的漏洞掃描工具或邀請(qǐng)專(zhuān)業(yè)的滲透測(cè)試團(tuán)隊(duì)，對(duì)sql注入漏洞進(jìn)行復(fù)查。19、網(wǎng)站滲透測(cè)試信息收集階段，一般通過(guò)哪些方式、收集哪些信息？[填空題]*答案解析：答案要點(diǎn)：信息收集是進(jìn)行滲透測(cè)試的第一步，也是非常重要的一步。在這個(gè)階段，我們要盡可能地收集目標(biāo)組織的信息，包括但不限于以下信息。1）通過(guò)域名信息（whois查詢、備案信息查詢等），獲取域名的注冊(cè)信息，即該域名的DNS服務(wù)器信息和注冊(cè)人的個(gè)人信息等。2）通過(guò)子域名信息收集，獲取在測(cè)試范圍內(nèi)更多的域或子域。3）通過(guò)站點(diǎn)信息收集，獲取CMS指紋、歷史漏洞、腳本語(yǔ)言、敏感目錄/文件、Waf信息等4）通過(guò)敏感信息收集，例如獲取數(shù)據(jù)庫(kù)文件、服務(wù)配置信息，甚至是通過(guò)Git找到站點(diǎn)泄露源代碼，以及Redis等未授權(quán)訪問(wèn)、Robots.txt等敏感信息5）通過(guò)服務(wù)器信息收集，獲取Web服務(wù)器指紋、真實(shí)IP地址識(shí)別、編程語(yǔ)言、Web中間件、端口信息、后端存儲(chǔ)技術(shù)6）端口信息收集，通過(guò)掃描目標(biāo)服務(wù)器開(kāi)放的端口，可以從該端口判斷服務(wù)器上運(yùn)行的服務(wù)。7）通過(guò)真實(shí)IP地址識(shí)別，根據(jù)域名來(lái)確定目標(biāo)服務(wù)器的真實(shí)IP8）通過(guò)社會(huì)工程學(xué)，挖掘出更多的秘密信息，例如服務(wù)器管理員的個(gè)人信息、密碼使用習(xí)慣等。20、郵件安全日益收到重視，那么涉及郵件安全的問(wèn)題有哪些？如何采取有效措施保護(hù)郵件安全不受威脅？[填空題]*答案要點(diǎn)：存在問(wèn)題：電子郵件天生是不安全的，因?yàn)橹饕?/p>