第一篇：網(wǎng)絡(luò)信息安全 滲透測試

網(wǎng)絡(luò)信息安全--課程結(jié)業(yè)報(bào)告

重慶交通大學(xué)

課程結(jié)業(yè)報(bào)告

班 級：

學(xué) 號(hào)：

姓 名：

實(shí)驗(yàn)項(xiàng)目名稱：

實(shí)驗(yàn)項(xiàng)目性質(zhì)：

實(shí)驗(yàn)所屬課程：

實(shí)驗(yàn)室(中心)：

指 導(dǎo) 教 師 ：

實(shí)驗(yàn)完成時(shí)間：

滲透測試

設(shè)計(jì)性

網(wǎng)絡(luò)信息安全

軟件實(shí)驗(yàn)室

2016 年 6 月 30 日

一、概述

網(wǎng)絡(luò)滲透測試就是利用所有的手段進(jìn)行測試，發(fā)現(xiàn)和挖掘系統(tǒng)中存在的漏洞，然后撰寫滲透測試報(bào)告，將其提供給客戶;客戶根據(jù)滲透人員提供的滲透測試報(bào)告對系統(tǒng)存在漏洞和問題的地方進(jìn)行修復(fù)和修補(bǔ)。滲透測試是通過模擬惡意黑客的攻擊方法，來評估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評估方法。滲透測試與其它評估方法不同，通常的評估方法是根據(jù)已知信息資源或其它被評估對象，去發(fā)現(xiàn)所有相關(guān)的安全問題。滲透測試是根據(jù)已知可利用的安全漏洞，去發(fā)現(xiàn)是否存在相應(yīng)的信息資源。

應(yīng)網(wǎng)絡(luò)信息安全課程結(jié)課要求，于2016年5月至2016年7月期間，在MobaXterm和kail平臺(tái)進(jìn)行了活動(dòng)主機(jī)和活動(dòng)端口掃描以及漏洞掃描，最后匯總得到了該分析報(bào)告。

二、實(shí)驗(yàn)?zāi)康?/p>

①熟悉kali平臺(tái)和MobaXterm； ②熟悉信息收集的基本方法和技巧；

③了解kali平臺(tái)下活動(dòng)主機(jī)和端口掃描的方法； ④了解漏洞掃描的過程；

三、滲透測試范圍

此次滲透測試的對象為：10.1.74.114---Metasploitable2 Linux。

四、本次分析工具介紹

本次測試主要用到了MobaXterm、Nmap、Nessus和kali.MobaXterm是遠(yuǎn)程計(jì)算的終極工具箱。本次在MobaXterm上運(yùn)行了10.1.74.111（用戶名和密碼是root:toor）和10.1.74.114（滲透對象，用戶名和密碼：msfadmin:msfadmin）。

如果在虛擬機(jī)里運(yùn)行kali,首先需要安裝好虛擬機(jī)，然后下載安裝好滲透環(huán)境kail,然后下載安裝滲透對象（Metasploitable2 Linux）。

Kali Linux預(yù)裝了許多滲透測試軟件，包括nmap(端口掃描器)、Wireshark(數(shù)據(jù)

包分析器)、John the Ripper(密碼破解器),以及Aircrack-ng(一套用于對無線局域網(wǎng)進(jìn)行滲透測試的軟件).本次測試嘗試了Metasploit，但技術(shù)不成熟，不知道哪里出錯(cuò)，沒有成功。

圖1運(yùn)行Metasploit結(jié)果圖

圖2 運(yùn)行Metasploit結(jié)果圖

圖3 運(yùn)行Metasploit結(jié)果圖3 在漏洞掃描時(shí)，因?yàn)榻虒W(xué)網(wǎng)上說Kali中內(nèi)置了OpenVAS的，所以打算用這個(gè)工具

作為掃描工具的，可是在我使用的kali平臺(tái)里并沒有這個(gè)內(nèi)置的工具。

圖4 沒有內(nèi)置OpenVAS的kali

本次實(shí)驗(yàn)還是使用了nmap的圖形化掃描工具zenmap。Nmap是目前為止使用最廣的端口掃描工具之一，軟件提供一些非常實(shí)用的功能。比如通過tcp/ip來甄別操作系統(tǒng)類型、秘密掃描、動(dòng)態(tài)延遲和重發(fā)、平行掃描、通過并行的PING偵測下屬的主機(jī)、欺騙掃描、端口過濾探測、直接的RPC掃描、分布掃描、靈活的目標(biāo)選擇以及端口的描述。

除了以上工具，本次還用了Nessus，這個(gè)工具是目前全世界最多人使用的系統(tǒng)漏洞掃描與分析軟件。

五、實(shí)驗(yàn)主要內(nèi)容及原理

1、信息收集—掃描活動(dòng)主機(jī)

可以使用一些命令來進(jìn)行局域網(wǎng)內(nèi)的活動(dòng)主機(jī)的掃描。常用的命令有 fping、nping、netenum、netdiscover 等。

本次滲透測試選用了netdiscover來獲取LAN 中活動(dòng)主機(jī)及其MAC。

2、信息收集—掃描目標(biāo)主機(jī)活動(dòng)端口

信息收集有兩種方式，一種是命令行方式，一種是圖形化界面方式。常用的命令是 namp，使用語法：nmap 參數(shù) 目標(biāo)主機(jī)IP 地址。圖形界面工具是zenmap。

3、信息收集—掃描漏洞

Nessus是使用比較多的系統(tǒng)漏洞掃描與分析軟件。

六、實(shí)驗(yàn)過程簡述

1、信息收集-掃描活動(dòng)主機(jī)

實(shí)驗(yàn)步驟：在MobaXterm下進(jìn)行命令行形式進(jìn)行活動(dòng)主機(jī)的掃描：

fping：掃描指定范圍內(nèi)的活動(dòng)主機(jī)（fping-s-r 1-g 202.202.240.1 202.202.240.254）；

nping：對防火墻過濾ICMP或主機(jī)不對ICMP響應(yīng)的情況，則可不使用ICMP，直接定制TCP包發(fā)出運(yùn)行nping-c1--tcp-p 80--flags syn 202.202.240.6；

netenum：速度超快的活動(dòng)主機(jī)掃描器（運(yùn)行netenum 202.202.240.0/24 10）（10代表超時(shí)時(shí)間，越長越準(zhǔn)確）

netdiscover：獲取LAN中活動(dòng)主機(jī)及其MAC等信息（運(yùn)行netdiscover即可）； 也在虛擬機(jī)里進(jìn)行了netdiscover掃描。

2、信息收集—掃描目標(biāo)主機(jī)活動(dòng)端口

實(shí)驗(yàn)步驟：在MobaXterm中輸入下列的命令即可完成目標(biāo)主機(jī)活動(dòng)端口的掃描： TCP連接掃描： nmap-sT-p--PN 202.202.240.6 SYN 掃描： nmap-sS-p--PN 202.202.240.6 Xmas 掃描：nmap-sX-p--PN 202.202.240.6 Null 掃描：nmap-sN-p--PN 202.202.240.6

3、信息收集—掃描漏洞

實(shí)驗(yàn)步驟：Nessus是目前全世界最多人使用的系統(tǒng)漏洞掃描與分析軟件。以下為安裝及配置步驟：

下載Nessus軟件進(jìn)行注冊，選擇家庭版，注冊號(hào)將發(fā)送到郵箱 使用命令dpkg-i Nessus-6.3.7-debian6_amd64.deb 命令進(jìn)行安裝

運(yùn)行命令 /opt/nessus/bin/nessus-fetch--register（你得到的注冊號(hào)）進(jìn)行注冊及更新模塊

運(yùn)行命令/opt/nessus/sbin/nessus-adduser添加用戶并設(shè)為管理員（需記住，后面登錄要使用）

運(yùn)行命令/etc/init.d/nessusdsta啟動(dòng)nessus服務(wù)

打開瀏覽器，輸入https://127.0.0.1:8834登錄Nessus即可（先定策略，再掃描）

七、實(shí)驗(yàn)結(jié)果及分析

1、信息收集-掃描活動(dòng)主機(jī)

圖5使用fping掃描活動(dòng)主機(jī)結(jié)果1

圖6使用fping掃描活動(dòng)主機(jī)結(jié)果2

通過運(yùn)行fping-s-r 1-g 202.202.240.1 202.202.240.254來掃描IP地址從

202.202.240.1 到202.202.240.254的活動(dòng)主機(jī)，(-s)打印出最后的結(jié)果；（-r 1）重復(fù)次數(shù)為1，默認(rèn)情況下為3；（-g）生成目標(biāo)列表,指定目標(biāo)列表的起始和結(jié)束IP，此次起始IP為202.202.240.1，結(jié)束IP為202.202.240.254。共掃描254個(gè)目標(biāo)，其中74個(gè)存活，176個(gè)不可達(dá)，沒有不知的IP地址。

圖7使用nping掃描活動(dòng)主機(jī)結(jié)果

圖8使用netenum掃描結(jié)果

使用來進(jìn)行netenum掃描，顯示的是202.202.240.0/24這個(gè)網(wǎng)段的活動(dòng)主機(jī)，顯示的結(jié)果。

圖9netdiscover掃描結(jié)果

從上面的圖中可以看出，netdiscover會(huì)顯示出活動(dòng)主機(jī)的IP地址、MAC地址等信息。

2、信息收集—掃描目標(biāo)主機(jī)活動(dòng)端口

圖10 nmap掃描結(jié)果1

圖11 nmap掃描結(jié)果2

圖12 nmap掃描結(jié)果3

圖13 nmap掃描結(jié)果4 上圖是使用nmap掃描目標(biāo)主機(jī)活動(dòng)端口的結(jié)果，本次實(shí)驗(yàn)是掃描202.202.240.6的活動(dòng)端口，從結(jié)果中可以看出使用TCP連接掃描和SYN掃描結(jié)果80端口是開啟的，Xmas和Null掃描運(yùn)行不出結(jié)果，可能是掃描的時(shí)間不夠，活動(dòng)端口掃描不是快速完成的。掃描結(jié)果會(huì)顯示活動(dòng)的端口號(hào)以及提供的服務(wù)。

下面是在虛擬機(jī)的kali平臺(tái)里使用zenmap對10.1.74.114進(jìn)行端口掃描的結(jié)果。由于掃描結(jié)果太多，所以只對部分進(jìn)行了截圖分析。

圖14zenmap掃描結(jié)果

使用zenmap對活動(dòng)端口進(jìn)行掃描比使用命令行簡單，得到的結(jié)果比輸入命令得到的結(jié)果更加詳細(xì)。

3、信息收集—掃描漏洞

圖15Nessus掃描漏洞結(jié)果1 從掃描結(jié)果看出10.1.74.111有3個(gè)高危漏洞，18個(gè)中危漏洞，5個(gè)低危漏洞。下圖為掃描10.1.74.111的部分具體漏洞圖。

圖16Nessus掃描結(jié)果2

八、心得體會(huì)

通過本次網(wǎng)絡(luò)信息安全課程的學(xué)習(xí)，對滲透過程有了一定的了解，其基本步驟可總結(jié)為首先進(jìn)行信息收集，可以收集的信息有活動(dòng)主機(jī)、端口等等，然后掃描主機(jī)的漏洞，并對漏洞加以利用，從而達(dá)到攻擊的目的。

這次設(shè)計(jì)對各個(gè)模塊有了淺顯的認(rèn)識(shí)，深入程度還有待提高。

第二篇：網(wǎng)絡(luò)信息安全測試模擬試題 歸類

判斷題

信息安全定義

3.只要投資充足，技術(shù)措施完備，就能夠保證百分之百的信息安全。27.信息在使用中不僅不會(huì)被消耗掉，還可以加以復(fù)制。

43.防止靜態(tài)信息被非授權(quán)訪問和防止動(dòng)態(tài)信息被截取解密是____。A:數(shù)據(jù)完整性

B:數(shù)據(jù)可用性

C:數(shù)據(jù)可靠性

D:數(shù)據(jù)保密性

69.在ISO／IEC 17799中，防止惡意軟件的目的就是為了保護(hù)軟件和信息的____。

A:安全性

B:完整性

C:穩(wěn)定性

D:有效性 78.關(guān)于信息安全，下列說法中正確的是____。

A:信息安全等同于網(wǎng)絡(luò)安全

B:信息安全由技術(shù)措施實(shí)現(xiàn) C:信息安全應(yīng)當(dāng)技術(shù)與管理并重

D:管理措施在信息安全中不重要 41.信息安全在通信保密階段中主要應(yīng)用于____領(lǐng)域。

A:軍事

B: 商業(yè)

C:科研

D:教育

69.確保信息在存儲(chǔ)、使用、傳輸過程中不會(huì)泄露給非授權(quán)的用戶或者實(shí)體的特性是____。A:完整性

B:可用性

C:可靠性

D:保密性

管理學(xué)

14.實(shí)現(xiàn)信息安全的途徑要借助兩方面的控制措施、技術(shù)措施和管理措施，從這里就能看出技術(shù)和管理并重的基本思想，重技術(shù)輕管理，或者重管理輕技術(shù)，都是不科學(xué)，并且有局限性的錯(cuò)誤觀點(diǎn)。

36.網(wǎng)絡(luò)和信息系統(tǒng)的關(guān)節(jié)崗位人選不得出現(xiàn)在其他關(guān)鍵崗位兼職的情況。66.下述關(guān)于安全掃描和安全掃描系統(tǒng)的描述錯(cuò)誤的是____。A:安全掃描在企業(yè)部署安全策略中處于非常重要的地位

B:安全掃描系統(tǒng)可用于管理和維護(hù)信息安全設(shè)備的安全

C:安全掃描系統(tǒng)對防火墻在某些安全功能上的不足不具有彌補(bǔ)性 D:安全掃描系統(tǒng)是把雙刃劍

71.策略應(yīng)該清晰，無須借助過多的特殊一通用需求文檔描述，并且還要有具體的____。A:管理支持

B:技術(shù)細(xì)節(jié)

C:補(bǔ)充內(nèi)容

D:實(shí)施計(jì)劃 47.在PDR安全模型中最核心的組件是____。

A:策略

B:保護(hù)措施

C:檢測措施

D:響應(yīng)措施

79.在PPDRR安全模型中，____是屬于安全事件發(fā)生后的補(bǔ)救措施。

A:保護(hù)

B:恢復(fù)

C:響應(yīng)

D:檢測 44.信息安全領(lǐng)域內(nèi)最關(guān)鍵和最薄弱的環(huán)節(jié)是____。A:技術(shù)

B:策略

C:管理制度

D:人

58.下列關(guān)于信息安全策略維護(hù)的說法，____是錯(cuò)誤的。A:安全策略的維護(hù)應(yīng)當(dāng)由專門的部門完成

B:安全策略制定完成并發(fā)布之后，不需要再對其進(jìn)行修改

C:應(yīng)當(dāng)定期對安全策略進(jìn)行審查和修訂

D:維護(hù)工作應(yīng)當(dāng)周期性進(jìn)行

66.對日志數(shù)據(jù)進(jìn)行審計(jì)檢查，屬于____類控制措施。

A:預(yù)防

B:檢測

C:威懾

D:修正 74.信息安全中的木桶原理，是指____。

A:整體安全水平由安全級別最低的部分所決定 B:整體安全水平由安全級別最高的部分所決定 C:整體安全水平由各組成部分的安全級別平均值所決定 D:以上都不對

76.根據(jù)權(quán)限管理的原則，—個(gè)計(jì)算機(jī)操作員不應(yīng)當(dāng)具備訪問____的權(quán)限。

A:操作指南文檔

B:計(jì)算機(jī)控制臺(tái)

C:應(yīng)用程序源代碼

D:安全指南

物理

37.二類故障：包括電源等系統(tǒng)故障。

38.二類故障：空調(diào)、通風(fēng)、發(fā)電機(jī)、門禁、照明等系統(tǒng)故障。45.設(shè)備放置應(yīng)考慮到便于維護(hù)和相對的安全區(qū)域內(nèi)。70.環(huán)境安全策略應(yīng)該____。

網(wǎng)絡(luò)

13.信息安全的層次化特點(diǎn)決定了應(yīng)用系統(tǒng)的安全不僅取決于應(yīng)用層安全機(jī)制，同樣依賴于底層的物理、網(wǎng)絡(luò)和系統(tǒng)等層面的安全狀況。

19.網(wǎng)絡(luò)邊界保護(hù)中主要采用防火墻系統(tǒng)，在內(nèi)網(wǎng)和外網(wǎng)之間存在不經(jīng)過防火墻控制的其他通信連接，不會(huì)影響到防火墻的有效保護(hù)作用。

20.防火墻雖然是網(wǎng)絡(luò)層重要的安全機(jī)制，但是它對于計(jì)算機(jī)病毒缺乏保護(hù)能力。

A:詳細(xì)而具體

B:復(fù)雜而專業(yè)

C:深入而清晰

D:簡單而全面

24.防火墻在靜態(tài)包過濾技術(shù)的基礎(chǔ)上，通過會(huì)話狀態(tài)檢測技術(shù)將數(shù)據(jù)包的過濾處理效率大幅提高。

29.防火墻屬于網(wǎng)絡(luò)安全的范疇，是網(wǎng)絡(luò)安全保護(hù)中最基本的安全機(jī)制，只能在內(nèi)部網(wǎng)絡(luò)的邊界處提供動(dòng)態(tài)包過濾、應(yīng)用安全代理等安全服務(wù)。57.IPSec協(xié)議中涉及到密鑰管理的重要協(xié)議是____。A:IKE

B:AH

C:ESP

D:SSL 58.入侵檢測技術(shù)可以分為誤用檢測和____兩大類。

A:病毒檢測

B:詳細(xì)檢測

C:異常檢測

D: 漏洞檢測

72.在一個(gè)企業(yè)網(wǎng)中，防火墻應(yīng)該是____的一部分，構(gòu)建防火墻時(shí)首先要考慮其保護(hù)的范圍。A:安全技術(shù)

B:安全設(shè)置

C:局部安全策略

D:全局安全策略 59.防火墻最主要被部署在____位置。

A:網(wǎng)絡(luò)邊界

B:骨干線路

C:重要服務(wù)器

D:桌面終端

主機(jī)

31.主機(jī)和系統(tǒng)是信息系統(tǒng)威脅的主要目標(biāo)之一。

33.強(qiáng)制執(zhí)行策略：沒有強(qiáng)制性的用戶安全策略就沒有任何價(jià)值。

應(yīng)用

39.定時(shí)清理IE瀏覽器的臨時(shí)文件夾，并不能防止部分敏感內(nèi)容的泄露。41.應(yīng)用和業(yè)務(wù)安全管理不屬于信息安全管理制度。

數(shù)據(jù)

1.根據(jù)ISO 13335標(biāo)準(zhǔn)，信息是通過在數(shù)據(jù)上施加某些約定而賦予這些數(shù)據(jù)的特殊含義。44.網(wǎng)絡(luò)數(shù)據(jù)備份的實(shí)現(xiàn)主要需要考慮的問題不包括____。

A:架設(shè)高速局域網(wǎng)

B:分析應(yīng)用環(huán)境

C:選擇備份硬件設(shè)備

D:選擇備份管理軟件

70.系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速____。

A:恢復(fù)整個(gè)系統(tǒng)

B:恢復(fù)所有數(shù)據(jù)

C:恢復(fù)全部程序

D:恢復(fù)網(wǎng)絡(luò)設(shè)置 78.____能夠有效降低磁盤機(jī)械損壞給關(guān)鍵數(shù)據(jù)造成的損失。A:熱插拔

B:SCSI

C:RAID

D:FAST-ATA

病毒和木馬

45.針對操作系統(tǒng)安全漏洞的蠕蟲病毒根治的技術(shù)措施是____。

A:防火墻隔離

B:安裝安全補(bǔ)丁程序

C:專用病毒查殺工具

D:部署網(wǎng)絡(luò)入侵檢測系統(tǒng)

46.計(jì)算機(jī)病毒最本質(zhì)的特性是____。

A:寄生性

B:潛伏性

C:破壞性

D:攻擊性

48.《計(jì)算機(jī)病毒防治管理辦法》規(guī)定，____主管全國的計(jì)算機(jī)病毒防治管理工作。A:信息產(chǎn)業(yè)部

B:國家病毒防范管理中心

C:公安部公共信息網(wǎng)絡(luò)安全監(jiān)察

D:國務(wù)院信息化建設(shè)領(lǐng)導(dǎo)小組 49 計(jì)算機(jī)病毒的實(shí)時(shí)監(jiān)控屬于____類的技術(shù)措施。A:保護(hù)

B:檢測

C:響應(yīng)

D:恢復(fù)

50.下列能夠有效地防御未知的新病毒對信息系統(tǒng)造成破壞的安全措施是____。A:防火墻隔離

B:安裝安全補(bǔ)丁程序

C:專用病毒查殺工具

D:部署網(wǎng)絡(luò)入侵檢測系統(tǒng) 51.下列不屬于網(wǎng)絡(luò)蠕蟲病毒的是____。

業(yè)務(wù)連續(xù)性和應(yīng)急響應(yīng)

46.凡信息網(wǎng)絡(luò)發(fā)生的事件、事故和案件，均應(yīng)按規(guī)定由有關(guān)使用單位在48小時(shí)內(nèi)向當(dāng)?shù)乜h級以上公安局觀報(bào)告。

46.關(guān)于災(zāi)難恢復(fù)計(jì)劃錯(cuò)誤的說法是____。

A:應(yīng)考慮各種意外情況

B:制定詳細(xì)的應(yīng)對處理辦法

C:建立框架性指導(dǎo)原則，不必關(guān)注于細(xì)節(jié)

D:正式發(fā)布前，要進(jìn)行討論和評審 74.災(zāi)難恢復(fù)計(jì)劃或者業(yè)務(wù)連續(xù)性計(jì)劃關(guān)注的是信息資產(chǎn)的____屬性。

A:可用性

B:真實(shí)性

C:完整性

D:保密性

信息安全保障體系

4.我國在2006年提出的《2006～2020年國家信息化發(fā)展戰(zhàn)略》將“建設(shè)國家信息安全保障體系”作為9大戰(zhàn)略發(fā)展方向之一。

5.2003年7月國家信息化領(lǐng)導(dǎo)小組第三次會(huì)議發(fā)布的27號(hào)文件，是指導(dǎo)我國信息安全保障工作和加快推進(jìn)信息化的綱領(lǐng)性文獻(xiàn)。

15.按照BS 7799標(biāo)準(zhǔn)，信息安全管理應(yīng)當(dāng)是一個(gè)持續(xù)改進(jìn)的周期性過程。

30.方針和策略是信息安全保證工作的整體性指導(dǎo)和要求。安全方針和策略不需要有相應(yīng)的A:沖擊波

B:SQLSLAMMER

C:CIH

D:振蕩波

制定、審核和改進(jìn)過程。

42.IS0 17799／IS0 27001最初是由____提出的國家標(biāo)準(zhǔn)。

A:美國

B:澳大利亞

C:英國

D:中國

59.根據(jù)BS 7799的規(guī)定，建立的信息安全管理體系ISMS的最重要特征是____ A:全面性

B:文檔化

C:先進(jìn)性

D:制度化 67.關(guān)于安全審計(jì)目的描述錯(cuò)誤的是____。

A:識(shí)別和分析未經(jīng)授權(quán)的動(dòng)作或攻擊

B:記錄用戶活動(dòng)和系統(tǒng)管理 C:將動(dòng)作歸結(jié)到為其負(fù)責(zé)的實(shí)體

D:實(shí)現(xiàn)對安全事件的應(yīng)急響應(yīng)

60.安全審計(jì)是一種很常見的安全控制措施，它在信息安全保障體系中，屬于____措施

A:保護(hù)

B:檢測

C:響應(yīng)

D:恢復(fù) 80.信息安全評測標(biāo)準(zhǔn)CC是____標(biāo)準(zhǔn)。

A:美國

B:國際

C:英國

D:澳大利亞

42.下面所列的____安全機(jī)制不屬于信息安全保障體系中的事先保護(hù)環(huán)節(jié)。

A:殺毒軟件

B:數(shù)字證書認(rèn)證

C:防火墻

D:數(shù)據(jù)庫加密

79.相對于現(xiàn)有殺毒軟件在終端系統(tǒng)中提供保護(hù)不同，____在內(nèi)外網(wǎng)絡(luò)邊界處提供更加主動(dòng)和積極的病毒保護(hù)。

等級保護(hù)

8.GB 17859與目前等級保護(hù)所規(guī)定的安全等級的含義不同，GB 17859中等級劃分為現(xiàn)在的等級保護(hù)奠定了基礎(chǔ)。

34.信息系統(tǒng)的安全保護(hù)等級由各業(yè)務(wù)子系統(tǒng)的最高等級決定。47.信息系統(tǒng)安全等級劃分第五級為自主保護(hù)級。

48.我國在1999年發(fā)布的國家標(biāo)準(zhǔn)____為信息安全等級保護(hù)奠定了基礎(chǔ)。

A:GB 17799

B:GB 15408

C:GB 17859

D:GB 14430 49.信息安全等級保護(hù)的5個(gè)級別中，____是最高級別，屬于關(guān)系到國計(jì)民生的最關(guān)鍵信息系統(tǒng)的保護(hù)。

A:強(qiáng)制保護(hù)級

B:?？乇Ｗo(hù)級

C:監(jiān)督保護(hù)級

D:指導(dǎo)保護(hù)級

E:自主保護(hù)級 50.____是進(jìn)行等級確定和等級保護(hù)管理的最終對象。

A:業(yè)務(wù)系統(tǒng)

B:功能模塊

C:信息系統(tǒng)

D:網(wǎng)絡(luò)系統(tǒng)

51.當(dāng)信息系統(tǒng)中包含多個(gè)業(yè)務(wù)子系統(tǒng)時(shí)，對每個(gè)業(yè)務(wù)子系統(tǒng)進(jìn)行安全等級確定，最終信息系統(tǒng)的安全等級應(yīng)當(dāng)由____所確定。

A:業(yè)務(wù)子系統(tǒng)的安全等級平均值

B:業(yè)務(wù)子系統(tǒng)的最高安全等級

C:業(yè)務(wù)子系統(tǒng)的最低安全等級

D:以上說法都錯(cuò)誤

60.根據(jù)BS 7799的規(guī)定，對信息系統(tǒng)的安全管理不能只局限于對其運(yùn)行期間的管理維護(hù)，而要將管理措施擴(kuò)展到信息系統(tǒng)生命周期的其他階段，BS7799中與此有關(guān)的一個(gè)重要方面就

A:防火墻

B:病毒網(wǎng)關(guān)

C:IPS

D:IDS 是____。

A:訪問控制

B:業(yè)務(wù)連續(xù)性

C:信息系統(tǒng)獲取、開發(fā)與維護(hù)

D:組織與人員 61.如果一個(gè)信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會(huì)對社會(huì)秩序和公共利益造成一定損害，但不損害國家安全；本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，必要時(shí)，信息安全監(jiān)管職能部門對其進(jìn)行指導(dǎo)。那么該信息系統(tǒng)屬于等級保護(hù)中的____。

A:強(qiáng)制保護(hù)級

B:監(jiān)督保護(hù)級

C:指導(dǎo)保護(hù)級

D:自主保護(hù)級

63.如果一個(gè)信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會(huì)對公民法人和其他組織的合法權(quán)益產(chǎn)生損害，但不損害國家安全、社會(huì)秩序和公共利益；本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)。那么其在等級保護(hù)中屬于____。

A:強(qiáng)制保護(hù)級

B:監(jiān)督保護(hù)級

C:指導(dǎo)保護(hù)級

D:自主保護(hù)級

80.《信息系統(tǒng)安全等級保護(hù)基本要求》中，對不同級別的信息系統(tǒng)應(yīng)具備的基本安全保護(hù)能力進(jìn)行了要求，共劃分為____級。

風(fēng)險(xiǎn)管理

16.雖然在安全評估過程中采取定量評估能獲得準(zhǔn)確的分析結(jié)果，但是由于參數(shù)確定較為困難，往往實(shí)際評估多采取定性評估，或者定性和定量評估相結(jié)合的方法。

18.定性安全風(fēng)險(xiǎn)評估結(jié)果中，級別較高的安全風(fēng)險(xiǎn)應(yīng)當(dāng)優(yōu)先采取控制措施予以應(yīng)對。25.通常在風(fēng)險(xiǎn)評估的實(shí)踐中，綜合利用基線評估和詳細(xì)評估的優(yōu)點(diǎn)，將二者結(jié)合起來。26.脆弱性分析技術(shù)，也被通俗地稱為漏洞掃描技術(shù)。該技術(shù)是檢測遠(yuǎn)程或本地系統(tǒng)安全脆弱性的一種安全技術(shù)。

52.下列關(guān)于風(fēng)險(xiǎn)的說法，____是錯(cuò)誤的。

A:風(fēng)險(xiǎn)是客觀存在的B:導(dǎo)致風(fēng)險(xiǎn)的外因是普遍存在的安全威脅 C:導(dǎo)致風(fēng)險(xiǎn)的外因是普遍存在的安全脆弱性

D:風(fēng)險(xiǎn)是指一種可能性 53.風(fēng)險(xiǎn)管理的首要任務(wù)是____。

A:風(fēng)險(xiǎn)識(shí)別和評估

B:風(fēng)險(xiǎn)轉(zhuǎn)嫁

C:風(fēng)險(xiǎn)控制

D:接受風(fēng)險(xiǎn) 54.安全威脅是產(chǎn)生安全事件的____。

A:內(nèi)因

B:外因

C:根本原因

D:不相關(guān)因素 55.安全脆弱性是產(chǎn)生安全事件的____。

A:內(nèi)因

B:外因

C:根本原因

D:不相關(guān)因素 54.關(guān)于資產(chǎn)價(jià)值的評估，____說法是正確的。

A:資產(chǎn)的價(jià)值指采購費(fèi)用

B:資產(chǎn)的價(jià)值無法估計(jì)

C:資產(chǎn)價(jià)值的定量評估要比定性評估簡單容易

D:資產(chǎn)的價(jià)值與其重要性密切相關(guān) 67.根據(jù)風(fēng)險(xiǎn)管理的看法，資產(chǎn)具有價(jià)值，存在脆弱性，被安全威脅____，____風(fēng)險(xiǎn)。

A:4

B:5

C:6

D:7 A:存在 利用

B:利用 導(dǎo)致

C:導(dǎo)致 存在 D:存在 具有

合規(guī)

6.在我國，嚴(yán)重的網(wǎng)絡(luò)犯罪行為也不需要接受刑法的相關(guān)處罰。

12.一個(gè)完整的信息安全保障體系，應(yīng)當(dāng)包括安全策略(Policy)、保護(hù)(Protection)、檢測(Detection)、響應(yīng)(Reaction)、恢復(fù)(Restoration)五個(gè)主要環(huán)節(jié)。

17.一旦發(fā)現(xiàn)計(jì)算機(jī)違法犯罪案件，信息系統(tǒng)所有者應(yīng)當(dāng)在2天內(nèi)迅速向當(dāng)?shù)毓矙C(jī)關(guān)報(bào)案，并配合公安機(jī)關(guān)的取證和調(diào)查。N 21.我國刑法中有關(guān)計(jì)算機(jī)犯罪的規(guī)定，定義了3種新的犯罪類型。

22.信息技術(shù)基礎(chǔ)設(shè)施庫(ITIL)，是由英國發(fā)布的關(guān)于IT服務(wù)管理最佳實(shí)踐的建議和指導(dǎo)方針，旨在解決IT服務(wù)質(zhì)量不佳的情況。

23.美國國家標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)NIST發(fā)布的《SP 800-30》中詳細(xì)闡述了IT系統(tǒng)風(fēng)險(xiǎn)管理內(nèi)容。42.安全管理的合規(guī)性，主要是指在有章可循的基礎(chǔ)之上，確保信息安全工作符合國家法律、法規(guī)、行業(yè)標(biāo)準(zhǔn)、機(jī)構(gòu)內(nèi)部的方針和規(guī)定。

68.根據(jù)《計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》的規(guī)定，凡向國際聯(lián)網(wǎng)的站點(diǎn)提供或發(fā)布信息，必須經(jīng)過____。

A:內(nèi)容過濾處理

B:單位領(lǐng)導(dǎo)同意

C:備案制度

D:保密審查批準(zhǔn) 45.《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》是由中華人民共和國____第147號(hào)發(fā)布的。

A:國務(wù)院令

B:全國人民代表大會(huì)令

C:公安部令

D:國家安全部令

61.根據(jù)《計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》，涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接，必須實(shí)行____。A:邏輯隔離

B:物理隔離

C:安裝防火墻

D:VLAN劃分 64.GB l7859借鑒了TCSEC標(biāo)準(zhǔn)，這個(gè)TCSEC是____國家標(biāo)準(zhǔn)。

A:英國

B:意大利

C:美國

D:俄羅斯

73.《確保網(wǎng)絡(luò)空間安全的國家戰(zhàn)略》是____發(fā)布的國家戰(zhàn)略。A:英國

B:法國

C:德國

D:美國

認(rèn)證

7.windows2000／XP系統(tǒng)提供了口令安全策略，以對帳戶口令安全進(jìn)行保護(hù)。

9.口令認(rèn)證機(jī)制的安全性弱點(diǎn)，可以使得攻擊者破解合法用戶帳戶信息，進(jìn)而非法獲得系統(tǒng)和資源訪問權(quán)限。

10.PKI系統(tǒng)所有的安全操作都是通過數(shù)字證書來實(shí)現(xiàn)的。

11.PKI系統(tǒng)使用了非對稱算法、對稱算法和散列算法。

28.口令管理方式、口令設(shè)置規(guī)則、口令適應(yīng)規(guī)則等屬于口令管理策略。

56.在使用復(fù)雜度不高的口令時(shí)，容易產(chǎn)生弱口令的安全脆弱性，被攻擊者利用，從而破解

用戶帳戶，下列____具有最好的口令復(fù)雜度。

A:morrison

B:Wm.$*F2m5@

C:27776394

D:wangjingl977 62.關(guān)于口令認(rèn)證機(jī)制，下列說法正確的是____。

A:實(shí)現(xiàn)代價(jià)最低，安全性最高

B:實(shí)現(xiàn)代價(jià)最低，安全性最低 C:實(shí)現(xiàn)代價(jià)最高，安全性最高

D:實(shí)現(xiàn)代價(jià)最高，安全性最低 63.身份認(rèn)證的含義是____。

A:注冊一個(gè)用戶

B:標(biāo)識(shí)一個(gè)用戶

C:驗(yàn)證一個(gè)用戶

D:授權(quán)一個(gè)用戶 64.口令機(jī)制通常用于____。

A:認(rèn)證

B:標(biāo)識(shí)

C:注冊

D:授權(quán)

73.基于密碼技術(shù)的訪問控制是防止____的主要防護(hù)手段。

A:數(shù)據(jù)傳輸泄密

B:數(shù)據(jù)傳輸丟失

C:數(shù)據(jù)交換失敗

D:數(shù)據(jù)備份失敗 75.____是最常用的公鑰密碼算法。

A:RSA

B:DSA

C:橢圓曲線

D:量子密碼 76.PKI的主要理論基礎(chǔ)是____。56.PKI是____。

A:對稱密碼算法

B:公鑰密碼算法

C:量子密碼

D:摘要算法 A:Private Key lnfrastructure

B:Public Key lnstitute C:Public Key lnfrastructure

D:Private Key lnstitute 57.PKI所管理的基本元素是____。

A:密鑰

B:用戶身份

C:數(shù)字證書

D:數(shù)字簽名 77.PKI中進(jìn)行數(shù)字證書管理的核心組成模塊是____。

A:注冊中心RA

B:證書中心CA

C:目錄服務(wù)器

D:證書作廢列表 77.我國正式公布了電子簽名法，數(shù)字簽名機(jī)制用于實(shí)現(xiàn)____需求。A:抗否認(rèn)

B:保密性

C:完整性

D:可用性

多選題

81.在互聯(lián)網(wǎng)上的計(jì)算機(jī)病毒呈現(xiàn)出的特點(diǎn)是____。B:所有的病毒都具有混合型特征，破壞性大大增強(qiáng)

C:因?yàn)槠鋽U(kuò)散極快，不再追求隱蔽性，而更加注重欺騙性 D:利用系統(tǒng)漏洞傳播病毒E:利用軟件復(fù)制傳播病毒

82.在刑法中，____規(guī)定了與信息安全有關(guān)的違法行為和處罰依據(jù)。A:第285條

B:第286條

C:第280條

D:第287條

83.____可能給網(wǎng)絡(luò)和信息系統(tǒng)帶來風(fēng)險(xiǎn)，導(dǎo)致安全事件。

A:與因特網(wǎng)更加緊密地結(jié)合，利用一切可以利用的方式進(jìn)行傳播

A:計(jì)算機(jī)病毒

B:網(wǎng)絡(luò)入侵

C:軟硬件故障

D:人員誤操作

E:不可抗災(zāi)難事件

84.____安全措施可以有效降低軟硬件故障給網(wǎng)絡(luò)和信息系統(tǒng)所造成的風(fēng)險(xiǎn)。

85.目前，我國在對信息系統(tǒng)進(jìn)行安全等級保護(hù)時(shí)，劃分了5個(gè)級別，包括____。

A:專控保護(hù)級

B:強(qiáng)制保護(hù)級

C:監(jiān)督保護(hù)級

D:指導(dǎo)保護(hù)級

E:自主保護(hù)級

86.下列____因素，會(huì)對最終的風(fēng)險(xiǎn)評估結(jié)果產(chǎn)生影響。

87.下列____因素與資產(chǎn)價(jià)值評估有關(guān)。

A:購買資產(chǎn)發(fā)生的費(fèi)用

B:軟硬件費(fèi)用

C:運(yùn)行維護(hù)資產(chǎn)所需成本 D:資產(chǎn)被破壞所造成的損失

E:人工費(fèi)用

A,C,D

88.安全控制措施可以分為____。

A:管理類

B:技術(shù)類

C:人員類

D:操作類

E:檢測類

89.信息安全技術(shù)根據(jù)信息系統(tǒng)自身的層次化特點(diǎn)，也被劃分了不同的層次，這些層次包括____。

A:物理層安全

B:人員安全

C:網(wǎng)絡(luò)層安全

D:系統(tǒng)層安全

E:應(yīng)用層安全

90.在BS 7799中，訪問控制涉及到信息系統(tǒng)的各個(gè)層面，其中主要包括____。

A:物理訪問控制

B:網(wǎng)絡(luò)訪問控制

C:人員訪問控制

D:系統(tǒng)訪問控制

E:應(yīng)用訪問控制

91.關(guān)于入侵檢測和入侵檢測系統(tǒng)，下述正確的選項(xiàng)是____。A:入侵檢測收集信息應(yīng)在網(wǎng)絡(luò)的不同關(guān)鍵點(diǎn)進(jìn)行 B:入侵檢測的信息分析具有實(shí)時(shí)性

C:基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的精確性不及基于主機(jī)的入侵檢測系統(tǒng)的精確性高 D:分布式入侵檢測系統(tǒng)既能檢測網(wǎng)絡(luò)的入侵行為又能檢測主機(jī)的入侵行為 E:入侵檢測系統(tǒng)的主要功能是對發(fā)生的入侵事件進(jìn)行應(yīng)急響應(yīng)處理

92.《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》規(guī)定，任何單位和個(gè)人不得制作、復(fù)制、發(fā)布、傳播的信息內(nèi)容有____。A:損害國家榮譽(yù)和利益的信息

A:管理制度

B:資產(chǎn)價(jià)值

C:威脅

D:脆弱性

E:安全措施

A:雙機(jī)熱備

B:多機(jī)集群

C:磁盤陣列

D:系統(tǒng)和數(shù)據(jù)備份

E:安全審計(jì) B:個(gè)人通信地址 C:個(gè)人文學(xué)作品 D:淫穢、色情信息

E:侮辱或者誹謗他人，侵害他人合法權(quán)益的信息

93.基于角色對用戶組進(jìn)行訪問控制的方式有以下作用：____。A:使用戶分類化

B:用戶的可管理性得到加強(qiáng)

C:簡化了權(quán)限管理，避免直接在用戶和數(shù)據(jù)之間進(jìn)行授權(quán)和取消 D:有利于合理劃分職責(zé) E:防止權(quán)力濫用

C,D,E

94.有多種情況能夠泄漏口令，這些途徑包括____。A:猜測和發(fā)現(xiàn)口令 B:口令設(shè)置過于復(fù)雜 C:將口令告訴別人 D:電子監(jiān)控

E:訪問口令文件

95.在局域網(wǎng)中計(jì)算機(jī)病毒的防范策略有____。A:僅保護(hù)工作站 B:保護(hù)通信系統(tǒng) C:保護(hù)打印機(jī) D:僅保護(hù)服務(wù)器

E:完全保護(hù)工作站和服務(wù)器

A,D,E

96.根據(jù)IS0定義，信息安全的保護(hù)對象是信息資產(chǎn)，典型的信息資產(chǎn)包括____。

A:硬件

B:軟件

C:人員

D:數(shù)據(jù)

E:環(huán)境

B,C

97.治安管理處罰法規(guī)定，____行為，處5日以下拘留；情節(jié)較重的，處5日以上10日以下拘留。

A:違反國家規(guī)定，侵入計(jì)算機(jī)信息系統(tǒng)，造成危害的

B:違反國家規(guī)定，對計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行的

C:違反國家規(guī)定，對計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理、傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加的

D:故意制作、傳播計(jì)算機(jī)病毒等破壞性程序，影口向計(jì)算機(jī)信息系統(tǒng)正常運(yùn)行的 A,B,C,D

98.網(wǎng)絡(luò)入侵檢測系統(tǒng)，既可以對外部黑客的攻擊行為進(jìn)行檢測，也可以發(fā)現(xiàn)內(nèi)部攻擊者的操作行為，通常部署在____。

A:關(guān)鍵服務(wù)器主機(jī)

B:網(wǎng)絡(luò)交換機(jī)的監(jiān)聽端口

C:內(nèi)網(wǎng)和外網(wǎng)的邊界

D:桌面系統(tǒng)

E:以上都正確

B,C

99.IPSec是網(wǎng)絡(luò)層典型的安全協(xié)議，能夠?yàn)镮P數(shù)據(jù)包提供____安全服務(wù)。

A:保密性

B:完整性

C:不可否認(rèn)性

D:可審計(jì)性

E:真實(shí)性

A,B,E

100.信息安全策略必須具備____屬性。

A:確定性

B:正確性

C:全面性

D:細(xì)致性

E:有效性

83.與計(jì)算機(jī)有關(guān)的違法案件，要____，以界定是屬于行政違法案件，還是刑事違法案件。A:根據(jù)違法行為的情節(jié)和所造成的后果進(jìn)行界定 B:根據(jù)違法行為的類別進(jìn)行界定 C:根據(jù)違法行為人的身份進(jìn)行界定 D:根據(jù)違法行為所違反的法律規(guī)范來界定

84.互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位應(yīng)當(dāng)落實(shí)的互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施包括____。

A:防范計(jì)算機(jī)病毒、網(wǎng)絡(luò)入侵和攻擊破壞等危害網(wǎng)絡(luò)安全事項(xiàng)或者行為的技術(shù)措施 B:重要數(shù)據(jù)庫和系統(tǒng)主要設(shè)備的冗災(zāi)備份措施

C:記錄并留存用戶登錄和退出時(shí)間、主叫號(hào)碼、帳號(hào)、互聯(lián)網(wǎng)地址或域名、系統(tǒng)維護(hù)日志的技術(shù)措施

D:法律、法規(guī)和規(guī)章規(guī)定應(yīng)當(dāng)落實(shí)的其他安全保護(hù)技術(shù)措施

A,B,C,D

85.典型的數(shù)據(jù)備份策略包括____。

86.我國信息安全等級保護(hù)的內(nèi)容包括____。些信息的信息系統(tǒng)分等級實(shí)行安全保護(hù)

A:對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸和處理這

A:完全備份

B:增量備份

C:選擇性備份

D:差異備份

E:手工備份

A,B,D

A,B,D

A,C,E B:對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理 C:對信息安全從業(yè)人員實(shí)行按等級管理

D:對信息系統(tǒng)中發(fā)生的信息安全事件按照等級進(jìn)行響應(yīng)和處置E:對信息安全違反行為實(shí)行按等級懲處

89.物理層安全的主要內(nèi)容包括____。

A:環(huán)境安全

B:設(shè)備安全

C:線路安全

D:介質(zhì)安全

E:人員安全

A,B,D

90.計(jì)算機(jī)信息系統(tǒng)安全的三個(gè)相輔相成、互補(bǔ)互通的有機(jī)組成部分是____。A:安全策略

B:安全法規(guī)

C:安全技術(shù)

D:安全管理

A,B,D

93.PKI是生成、管理、存儲(chǔ)、分發(fā)和吊銷基于公鑰密碼學(xué)的公鑰證書所需要的____的總和。A:硬件

B:軟件

C:人員

D:策略

E:規(guī)程

A,B,C,D,E

94.全國人民代表大會(huì)常務(wù)委員會(huì)《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》規(guī)定，為了維護(hù)社會(huì)主義市場經(jīng)濟(jì)秩序和社會(huì)管理秩序，____行為，構(gòu)成犯罪的，依照刑法有關(guān)規(guī)定追究刑事責(zé)任。A:利用互聯(lián)網(wǎng)銷售偽劣產(chǎn)品或者對商品、服務(wù)作虛假宣傳 B:利用互聯(lián)網(wǎng)侵犯他人知識(shí)產(chǎn)權(quán)

C:利用互聯(lián)網(wǎng)編造并傳播影響證券、期貨交易或者其他擾亂金融秩序的虛假信息

D:利用互聯(lián)網(wǎng)損害他人商業(yè)信譽(yù)和商品聲譽(yù)

E:在互聯(lián)網(wǎng)上建立淫穢網(wǎng)站、網(wǎng)頁，提供淫穢站點(diǎn)鏈接服務(wù)，或者傳播淫穢書刊、影片、音像、圖片

96.____是建立有效的計(jì)算機(jī)病毒防御體系所需要的技術(shù)措施。

A:殺毒軟件

B:補(bǔ)丁管理系統(tǒng)

C:防火墻

D:網(wǎng)絡(luò)入侵檢測

E:漏洞掃描 A,B,C,D,E

97.在安全評估過程中，安全威脅的來源包括____。

98.在信息安全管理中進(jìn)行安全教育與培訓(xùn)，應(yīng)當(dāng)區(qū)分培訓(xùn)對象的層次和培訓(xùn)內(nèi)容，主要包括____。

A:高級管理層

B:關(guān)鍵技術(shù)崗位人員

C:第三方人員

D:外部人員

E:普通計(jì)算機(jī)用戶

A,B,E

100.涉密安全管理包括____。

A:外部黑客

B:內(nèi)部人員

C:信息技術(shù)本身

D:物理環(huán)境

E:自然界

A,B,C,D,E A,B,C,D,E

A,B,D A:涉密設(shè)備管理

B:涉密信息管理

C:涉密人員管理

D:涉密場所管理

E:涉密媒體管理 B,C,D,E

第三篇：2016年稅務(wù)系統(tǒng)網(wǎng)絡(luò)信息安全知識(shí)測試

一、判斷對錯(cuò)(每題2分，答錯(cuò)不扣分，共計(jì)30分)1.違反法律、違反道德、破壞信息安全的可嚴(yán)重侵犯公民隱私和影響中國社會(huì)穩(wěn)定的信息，均可稱為不良信息。

2.在我國凡是違背社會(huì)主義精神文明建設(shè)的要求，違背中華民族優(yōu)良文化傳統(tǒng)習(xí)慣以及違背社會(huì)公德的各類信息就是網(wǎng)絡(luò)不良信息。3.網(wǎng)上的安全審計(jì)主要是對系統(tǒng)中的各類活動(dòng)進(jìn)行跟蹤記錄，為以后安全事件的追蹤、漏洞的分析提供一些原始證據(jù)。

4.隨著國際信息安全領(lǐng)域的事件頻繁發(fā)生，無論是高層領(lǐng)導(dǎo)或是專家或是普通民眾對信息安全問題都高度重視。

5.對于信息安全危險(xiǎn)的分類，從危險(xiǎn)的來源來分，可分為內(nèi)部的危險(xiǎn)和外部的危險(xiǎn)。

6.以云計(jì)算、物聯(lián)網(wǎng)等為代表的新一輪信息技術(shù)革命，正在成為全球后金融時(shí)代社會(huì)和經(jīng)濟(jì)發(fā)展共同關(guān)注的重點(diǎn)。

7.“安全”一詞是指將服務(wù)與資源的脆弱性降到最低限度。8.目前我國重要的信息系統(tǒng)和工業(yè)控制系統(tǒng)是自主生產(chǎn)的，不會(huì)產(chǎn)生對外依賴。

9.對于從美國出口到我國的設(shè)備，美國安全局會(huì)提前有意植入一些后門或者植入一些微軟件。

10.我國信息技術(shù)產(chǎn)品的國產(chǎn)化程度非常低，很多重要信息系統(tǒng)還是由外國廠家提供，網(wǎng)絡(luò)防護(hù)十分薄弱。

11.用戶在處理廢棄硬盤時(shí)，只要將電腦硬盤內(nèi)的數(shù)據(jù)格式化就可以了，數(shù)據(jù)就不可能被恢復(fù)了。12.瀏覽器緩存和上網(wǎng)歷史記錄能完整還原用戶訪問互聯(lián)網(wǎng)的詳細(xì)信息，并反映用戶的使用習(xí)慣、隱私等。因此應(yīng)當(dāng)定期清理這些信息以避免他人獲得并造成隱私泄密。

13.大數(shù)據(jù)的特點(diǎn)是數(shù)據(jù)量巨大，是指數(shù)據(jù)存儲(chǔ)量已經(jīng)從TB級別升至PB級別。

14.信息系統(tǒng)建設(shè)完成后，運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇具有信息系統(tǒng)安全等級保護(hù)測評資質(zhì)的測評機(jī)構(gòu)，定期對信息系統(tǒng)安全等級狀況開展等級測評。

15.機(jī)密性、完整性和可用性是評價(jià)信息資產(chǎn)的三個(gè)安全屬性。

二、單項(xiàng)選擇（每題3分，共計(jì)30分）

1.內(nèi)部人員對系統(tǒng)產(chǎn)生誤操作，濫用權(quán)力，個(gè)別系統(tǒng)里的人內(nèi)外勾結(jié)，這是屬于安全威脅來源的（）方面。

A.內(nèi)部方面

B．外部方面

C．人為方面

D．意外方面

2.2014年，中央成立網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，并由（）同志親自擔(dān)任組長。

A.李克強(qiáng)

B.劉云山

C.習(xí)近平 D.張德江

3.計(jì)算機(jī)水平高超的電腦專家，他們可以侵入到你正常的系統(tǒng)，不經(jīng)授權(quán)修改你的程序，修改你的系統(tǒng)，這類統(tǒng)稱為（）。

A.漏洞

B.病毒

C.黑客

D.間諜

4.（）被廣泛認(rèn)為是繼報(bào)紙、電臺(tái)、電視之后的第四媒體。

A.互聯(lián)網(wǎng)

B.電話

C.廣播

D.手機(jī)

5.最近，國務(wù)院下發(fā)的5號(hào)文件明確提出加快推進(jìn)（）的應(yīng)用，給我們的安全問題提出了新的嚴(yán)峻挑戰(zhàn)。

A.云計(jì)算

B.大數(shù)據(jù)

C.物聯(lián)網(wǎng)

D.互聯(lián)網(wǎng)

6.中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組要求把我國建設(shè)成為（）。

A.技術(shù)強(qiáng)國

B.信息強(qiáng)國

C.科技強(qiáng)國 D.網(wǎng)絡(luò)強(qiáng)國

7.下列屬于網(wǎng)絡(luò)詐騙的方式的是（）。

A.中獎(jiǎng)詐騙

B.釣魚詐騙

C.QQ視頻詐騙

D.以上都是

8.網(wǎng)絡(luò)社會(huì)的本質(zhì)變化是（）。

A.信息碎片化

B.網(wǎng)絡(luò)碎片化

C.跨越時(shí)空的碎片化

D.生活的碎片化

9.由于遭遇（）的入侵，伊朗的核計(jì)劃至少推遲了兩年多。

A.特洛伊木馬

B.蠕蟲病毒

C.震網(wǎng)病毒

D.邏輯炸彈

10.計(jì)算機(jī)病毒是（）A.一種芯片

B.具有遠(yuǎn)程控制計(jì)算機(jī)功能的一段程序 C.一種生物病毒

D.具有破壞計(jì)算機(jī)功能或毀壞數(shù)據(jù)的一組程序代碼

三、多項(xiàng)選擇題（每題4分，共計(jì)40分）2.安全使用郵箱應(yīng)該做到的有（）

A.對于隱私或重要的文件可以加密之后再發(fā)送 B.為郵箱的用戶賬號(hào)設(shè)置高強(qiáng)度的口令 C.區(qū)分工作郵箱和生活郵箱

D.不要查看來源不明和內(nèi)容不明的郵件，應(yīng)直接刪除 3.以下關(guān)于盜版軟件的說法，錯(cuò)誤的是（）。A.若出現(xiàn)問題可以找開發(fā)商負(fù)責(zé)賠償損失 B.使用盜版軟件不違反法律

C.成為計(jì)算機(jī)病毒的重要來源和傳播途徑之一 D.可能會(huì)包含不健康的內(nèi)容

4.信息安全是一個(gè)不斷攻防演練的過程，一個(gè)不斷發(fā)展的過程，遵循PDCA模型，其中，PDCA是指（）。

A.Plan B.Act C.Check D.Aim E.Do 5.根據(jù)涉密網(wǎng)絡(luò)系統(tǒng)的分級保護(hù)原則，涉密網(wǎng)絡(luò)的分級有哪些？（）A.秘密 B.內(nèi)部 C.機(jī)密 D.絕密

6.稅務(wù)系統(tǒng)信息安全體系建設(shè)的主要內(nèi)容有（）A.建設(shè)統(tǒng)一、完善的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)

B.建立全網(wǎng)統(tǒng)一的基于PKI的網(wǎng)絡(luò)信任系統(tǒng)及其安全基礎(chǔ)設(shè)施。C.基于網(wǎng)絡(luò)安全防護(hù)系統(tǒng)和安全基礎(chǔ)設(shè)施，構(gòu)建統(tǒng)一的安全支撐平臺(tái)和應(yīng)用支撐平臺(tái)。

D.基于安全支撐平臺(tái)和應(yīng)用支撐平臺(tái)，建設(shè)涵蓋各類稅收業(yè)務(wù)的安全應(yīng)用系統(tǒng)。

E.建設(shè)一體化的信息安全管理系統(tǒng)和服務(wù)于安全管理系統(tǒng)的安全管理平臺(tái)。

7．稅務(wù)系統(tǒng)信息安全體系的構(gòu)成()A.一個(gè)決策領(lǐng)導(dǎo)層

B.四個(gè)安全系統(tǒng)（安全管理系統(tǒng)、網(wǎng)絡(luò)防護(hù)系統(tǒng)、安全基礎(chǔ)設(shè)施系統(tǒng)、安全應(yīng)用系統(tǒng)）

C.三個(gè)安全平臺(tái)（安全支撐平臺(tái)、應(yīng)用支撐平臺(tái)、安全管理平臺(tái)）D.金稅三期核心征管系統(tǒng)

8．稅務(wù)系統(tǒng)信息安全體系的實(shí)施原則（）A.統(tǒng)籌規(guī)劃、分步實(shí)施 B.聯(lián)合共建、互聯(lián)互通 C.安全保密、先進(jìn)可靠 D.經(jīng)濟(jì)實(shí)用、靈活方便 E.統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一規(guī)范 9．稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全防護(hù)體系建設(shè)經(jīng)歷過以下（）階段 A.首期 B.二期 C.三期 D.四期

10.稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全建設(shè)第三期的內(nèi)容有（）

A．采用網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)阻止不符合安全要求的計(jì)算機(jī)終端接入數(shù)據(jù)中心局域網(wǎng)

B．在網(wǎng)絡(luò)中部署安全性檢查與補(bǔ)丁分發(fā)系統(tǒng)，對接入數(shù)據(jù)中心局域網(wǎng)的計(jì)算機(jī)終端進(jìn)行安全檢查和修復(fù)，提高接入終端的安全性 C．采用數(shù)據(jù)庫安全審計(jì)系統(tǒng)對數(shù)據(jù)庫應(yīng)用的所有操作實(shí)施安全性審計(jì)

D．在因特網(wǎng)接口部署上網(wǎng)行為監(jiān)控系統(tǒng)，對訪問互聯(lián)網(wǎng)的行為安全進(jìn)行監(jiān)控，對網(wǎng)絡(luò)流量和帶寬實(shí)施管理。

2015網(wǎng)絡(luò)和信息安全宣傳考試答案

一、判斷對錯(cuò)30

√×√√√

√√×√√

×√√√√

二、單項(xiàng)選擇30 ACCAA DDCCD

三、多項(xiàng)選擇題40 1ABCD 2ABCD 3AB 4ABCE 5ACD 6ABCDE 7ABC 8ABCDE 9ABC 10ABCD

第四篇：網(wǎng)絡(luò)信息安全

網(wǎng)絡(luò)信息安全

信息安全是指為建立信息處理系統(tǒng)而采取的技術(shù)上和管理上的安全保護(hù)，以實(shí)現(xiàn)電子信息的保密性、完整性、可用性和可控性。當(dāng)今信息時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為一種不可缺少的信息交換工具。然而，由于計(jì)算機(jī)網(wǎng)絡(luò)具有開放性、互聯(lián)性、連接方式的多樣性及終端分布的不均勻性，再加上本身存在的技術(shù)弱點(diǎn)和人為的疏忽，致使網(wǎng)絡(luò)易受計(jì)算機(jī)病毒、黑客或惡意軟件的侵害。面對侵襲網(wǎng)絡(luò)安全的種種威脅，必須考慮信息的安全這個(gè)至關(guān)重要的問題。

網(wǎng)絡(luò)信息安全分為網(wǎng)絡(luò)安全和信息安全兩個(gè)層面。網(wǎng)絡(luò)安全包括系統(tǒng)安全，即硬件平臺(tái)、操作系統(tǒng)、應(yīng)用軟件;運(yùn)行服務(wù)安全，即保證服務(wù)的連續(xù)性、高效率。信息安全則主要是指數(shù)據(jù)安全，包括數(shù)據(jù)加密、備份、程序等。

1．硬件安全。即網(wǎng)絡(luò)硬件和存儲(chǔ)媒體的安全。要保護(hù)這些硬設(shè)施不受損害，能夠正常工作。

2.軟件安全。即計(jì)算機(jī)及其網(wǎng)絡(luò)中各種軟件不被篡改或破壞，不被非法操作或誤操作，功能不會(huì)失效，不被非法復(fù)制。

3.運(yùn)行服務(wù)安全。即網(wǎng)絡(luò)中的各個(gè)信息系統(tǒng)能夠正常運(yùn)行并能正常地通過網(wǎng)絡(luò)交流信息。通過對網(wǎng)絡(luò)系統(tǒng)中的各種設(shè)備運(yùn)行狀況的監(jiān)測，發(fā)現(xiàn)不安全因素能及時(shí)報(bào)警并采取措施改變不安全狀態(tài)，保障網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行。

4.數(shù)據(jù)安全。即網(wǎng)絡(luò)中存儲(chǔ)及流通數(shù)據(jù)的女全。要保護(hù)網(wǎng)絡(luò)中的數(shù)據(jù)不被篡改、非法增刪、復(fù)制、解密、顯示、使用等。它是保障網(wǎng)絡(luò)安全最根本的目的。

1.防火墻技術(shù)。防火墻（Firewall）是近年來發(fā)展的最重要的安全技術(shù)，它的主要功能是加強(qiáng)網(wǎng)絡(luò)之間的訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)（被保護(hù)網(wǎng)絡(luò)）。它對兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按照一定的安全策略對其進(jìn)行檢查，來決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。簡單防火墻技術(shù)可以在路由器上實(shí)現(xiàn)，而專用防火墻提供更加可靠的網(wǎng)絡(luò)安全控制方法。

防火墻的安全策略有兩條。一是“凡是未被準(zhǔn)許的就是禁止的”。防火墻先是封閉所有信息流，然后審查要求通過的信息，符合條件的就讓通過；二是“凡是未被禁止的就是允許的”，防火墻先是轉(zhuǎn)發(fā)所有的信息，然后再逐項(xiàng)剔除有害的內(nèi)容，被禁止的內(nèi)容越多，防火墻的作用就越大。網(wǎng)絡(luò)是動(dòng)態(tài)發(fā)展的，安全策略的制定不應(yīng)建立在靜態(tài)的基礎(chǔ)之上。在制定防火墻安全規(guī)則時(shí)，應(yīng)符合“可適應(yīng)性的安全管理”模型的原則，即：安全=風(fēng)險(xiǎn)分析+執(zhí)行策略+系統(tǒng)實(shí)施+漏洞監(jiān)測+實(shí)時(shí)響應(yīng)。防火墻技術(shù)主要有以下三類：

●包過濾技術(shù)（Packct Filtering）。它一般用在網(wǎng)絡(luò)層，主要根據(jù)防火墻系統(tǒng)所收到的每個(gè)數(shù)據(jù)包的源IP地址、目的IP地址、TCP/UDP源端口號(hào)、TCP/UDP目的端口號(hào)及數(shù)據(jù)包中的各種標(biāo)志位來進(jìn)行判定，根據(jù)系統(tǒng)設(shè)定的安全策略來決定是否讓數(shù)據(jù)包通過，其核心就是安全策略，即過濾算法的設(shè)計(jì)。

●代理（Proxy）服務(wù)技術(shù)。它用來提供應(yīng)用層服務(wù)的控制，起到外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時(shí)的中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請求，拒絕外部網(wǎng)絡(luò)其它節(jié)點(diǎn)的直接請求。運(yùn)行代理服務(wù)的主機(jī)被稱為應(yīng)用機(jī)關(guān)。代理服務(wù)還可以用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄等功能。

●狀態(tài)監(jiān)控（Statc Innspection）技術(shù)。它是一種新的防火墻技術(shù)。在網(wǎng)絡(luò)層完成所有必要的防火墻功能——包過濾與網(wǎng)絡(luò)服務(wù)代理。目前最有效的實(shí)現(xiàn)方法是采用 Check Point）提出的虛擬機(jī)方式（Inspect Virtual Machine）。

防火墻技術(shù)的優(yōu)點(diǎn)很多，一是通過過濾不安全的服務(wù)，極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)；二是可以提供對系統(tǒng)的訪問控制；三是可以阻擊攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息；四是防火墻還可以記錄與統(tǒng)計(jì)通過它的網(wǎng)絡(luò)通信，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù)，根據(jù)統(tǒng)計(jì)數(shù)據(jù)來判斷可能的攻擊和探測；五是防火墻提供制定與執(zhí)行網(wǎng)絡(luò)安全策略的手段，它可以對企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理。

防火墻技術(shù)的不足有三。一是防火墻不能防止繞過防火墻的攻擊；二是防火墻經(jīng)不起人為因素的攻擊。由于防火墻對網(wǎng)絡(luò)安全實(shí)施單點(diǎn)控制，因此可能受到黑客的攻擊；三是防火墻不能保證數(shù)據(jù)的秘密性，不能對數(shù)據(jù)進(jìn)行鑒別，也不能保證網(wǎng)絡(luò)不受病毒的攻擊。

2.加密技術(shù)。數(shù)據(jù)加密被認(rèn)為是最可靠的安全保障形式，它可以從根本上滿足信息完整性的要求，是一種主動(dòng)安全防范策略。數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識(shí)別的密文數(shù)據(jù)。通過使用不同的密鑰，可用同一加密算法，將同一明文加密成不同的密文。當(dāng)需要時(shí)可使用密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù)，稱為解密。

密鑰加密技術(shù)分為對稱密鑰加密和非對稱密鑰加密兩類。對稱加密技術(shù)是在加密與解密過程中使用相同的密鑰加以控制，它的保密度主要取決于對密鑰的保密。它的特點(diǎn)是數(shù)字運(yùn)算量小，加密速度快，弱點(diǎn)是密鑰管理困難，一旦密鑰泄露，將直接影響到信息的安全。非對稱密鑰加密法是在加密和解密過程中使用不同的密鑰加以控制，加密密鑰是公開的，解密密鑰是保密的。它的保密度依賴于從公開的加密密鑰或密文與明文的對照推算解密密鑰在計(jì)算上的不可能性。算法的核心是運(yùn)用一種特殊的數(shù)學(xué)函數(shù)——單向陷門函數(shù)，即從一個(gè)方向求值是容易的，但其逆向計(jì)算卻很困難，從而在實(shí)際上成為不可能。

除了密鑰加密技術(shù)外，還有數(shù)據(jù)加密技術(shù)。一是鏈路加密技術(shù)。鏈路加密是對通信線路加密；二是節(jié)點(diǎn)加密技術(shù)。節(jié)點(diǎn)加密是指對存儲(chǔ)在節(jié)點(diǎn)內(nèi)的文件和數(shù)據(jù)庫信息進(jìn)行的加密保護(hù)。

3.數(shù)字簽名技術(shù)。數(shù)字簽名（Digital Signature）技術(shù)是將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。在電子商務(wù)安全保密系統(tǒng)中，數(shù)字簽名技術(shù)有著特別重要的地位，在電子商務(wù)安全服務(wù)中的源鑒別、完整性服務(wù)、不可否認(rèn)服務(wù)中都要用到數(shù)字簽名技術(shù)。

在書面文件上簽名是確認(rèn)文件的一種手段，其作用有兩點(diǎn)，一是因?yàn)樽约旱暮灻y以否認(rèn)，從而確認(rèn)文件已簽署這一事實(shí)；二是因?yàn)楹灻灰追旅?，從而確定了文件是真的這一事實(shí)。數(shù)字簽名與書面簽名有相同相通之處，也能確認(rèn)兩點(diǎn)，一是信息是由簽名者發(fā)送的，二是信息自簽發(fā)后到收到為止未曾做過任何修改。這樣，數(shù)字簽名就可用來防止：電子信息因易于修改而有人作偽；冒用別人名義發(fā)送信息；發(fā)出（收到）信件后又加以否認(rèn)。

廣泛應(yīng)用的數(shù)字簽名方法有RSA簽名、DSS簽名和 Hash簽名三種。RSA的最大方便是沒有密鑰分配問題。公開密鑰加密使用兩個(gè)不同的密鑰，其中一個(gè)是公開的，另一個(gè)是保密的。公開密鑰可以保存在系統(tǒng)目錄內(nèi)、未加密的電子郵件信息中、電話黃頁上或公告牌里，網(wǎng)上的任何用戶都可獲得公開密鑰。保密密鑰是用戶專用的，由用戶本身持有，它可以對公開密鑰加密的信息解密。DSS數(shù)字簽名是由美國政府頒布實(shí)施的，主要用于跟美國做生意的公司。它只是一個(gè)簽名系統(tǒng)，而且美國不提倡使用任何削弱政府竊聽能力的加密軟件。Hash簽名是最主要的數(shù)字簽名方法，跟單獨(dú)簽名的RSA數(shù)字簽名不同，它是將數(shù)字簽名和要發(fā)送的信息捆在一起，所以更適合電子商務(wù)。

4.數(shù)字時(shí)間戳技術(shù)。在電子商務(wù)交易的文件中，時(shí)間是十分重要的信息，是證明文件有效性的主要內(nèi)容。在簽名時(shí)加上一個(gè)時(shí)間標(biāo)記，即有數(shù)字時(shí)間戳（Digita Timestamp）的數(shù)字簽名方案：驗(yàn)證簽名的人或以確認(rèn)簽名是來自該小組，卻不知道是小組中的哪一個(gè)人簽署的。指定批準(zhǔn)人簽名的真實(shí)性，其他任何人除了得到該指定人或簽名者本人的幫助，否則不能驗(yàn)證簽名

（二）網(wǎng)絡(luò)信忽安全的目標(biāo)

1.保密性。保密性是指信息不泄露給非授權(quán)人、實(shí)休和過程，或供其使用的特性。

2.完整性。完整性是指信息未經(jīng)授權(quán)不能被修改、不被破壞、不被插人、不遲延、不亂序和不丟失的特性。對網(wǎng)絡(luò)信息安全進(jìn)行攻擊的最終目的就是破壞信息的完整性。

3.可用性?？捎眯允侵负戏ㄓ脩粼L問并能按要求順序使用信息的特性，即保證合法用戶在需要時(shí)可以訪問到信息

4.可控性?？煽匦允侵甘跈?quán)機(jī)構(gòu)對信息的內(nèi)容及傳播具有控制的能力的特性，可以控制授權(quán)范圍內(nèi)的信息流向以及方式。

5.可審查性。在信息交流過程結(jié)束后，通信雙方不能抵賴曾經(jīng)做出的行為，也不能否認(rèn)曾經(jīng)接收到對方的信息。

網(wǎng)絡(luò)信息安全面臨的問題

1.網(wǎng)絡(luò)協(xié)議和軟件的安全缺陷

因特網(wǎng)的基石是TCP/IP協(xié)議簇，該協(xié)議簇在實(shí)現(xiàn)上力求效率，而沒有考慮安全因素，因?yàn)槟菢訜o疑增大代碼量，從而降低了TCP/IP的運(yùn)行效率，所以說TCP/IP本身在設(shè)計(jì)上就是不安全的。很容易被竊聽和欺騙：大多數(shù)因特網(wǎng)上的流量是沒有加密的，電子郵件口令、文件傳輸很容易被監(jiān)聽和劫持。很多基于TCP/IP的應(yīng)用服務(wù)都在不同程度上存在著安全問題，這很容易被一些對TCP/IP十分了解的人所利用，一些新的處于測試階級的服務(wù)有更多的安全缺陷。缺乏安全策略：許多站點(diǎn)在防火墻配置上無意識(shí)地?cái)U(kuò)大了訪問權(quán)限，忽視了這些權(quán)限可能會(huì)被內(nèi)部人員濫用，黑客從一些服務(wù)中可以獲得有用的信息，而網(wǎng)絡(luò)維護(hù)人員卻不知道應(yīng)該禁止這種服務(wù)。配置的復(fù)雜性：訪問控制的配置一般十分復(fù)雜，所以很容易被錯(cuò)誤配置，從而給黑客以可乘之機(jī)。TCP/IP是被公布于世的，了解它的人越多被人破壞的可能性越大?，F(xiàn)在，銀行之間在專用網(wǎng)上傳輸數(shù)據(jù)所用的協(xié)議都是保密的，這樣就可以有效地防止入侵。當(dāng)然，人們不能把TCP/IP和其實(shí)現(xiàn)代碼保密，這樣不利于TCP/IP網(wǎng)絡(luò)的發(fā)展。2.黑客攻擊手段多樣

進(jìn)人2006年以來，網(wǎng)絡(luò)罪犯采用翻新分散式阻斷服務(wù)(DDOS)攻擊的手法，用形同互聯(lián)網(wǎng)黃頁的域名系統(tǒng)服務(wù)器來發(fā)動(dòng)攻擊，擾亂在線商務(wù)。寬帶網(wǎng)絡(luò)條件下，常見的拒絕服務(wù)攻擊方式主要有兩種，一是網(wǎng)絡(luò)黑客蓄意發(fā)動(dòng)的針對服務(wù)和網(wǎng)絡(luò)設(shè)備的DDOS攻擊;二是用蠕蟲病毒等新的攻擊方式，造成網(wǎng)絡(luò)流量急速提高，導(dǎo)致網(wǎng)絡(luò)設(shè)備崩潰，或者造成網(wǎng)絡(luò)鏈路的不堪負(fù)重。

調(diào)查資料顯示，2006年初發(fā)現(xiàn)企業(yè)的系統(tǒng)承受的攻擊規(guī)模甚于以往，而且來源不是被綁架的“僵尸”電腦，而是出自于域名系統(tǒng)(DNS)服務(wù)器。一旦成為DDOS攻擊的目標(biāo)，目標(biāo)系統(tǒng)不論是網(wǎng)頁服務(wù)器、域名服務(wù)器，還是電子郵件服務(wù)器，都會(huì)被網(wǎng)絡(luò)上四面八方的系統(tǒng)傳來的巨量信息給淹沒。黑客的用意是借人量垃圾信息妨礙系統(tǒng)正常的信息處理，借以切斷攻擊目標(biāo)對外的連線。黑客常用“僵尸”電腦連成網(wǎng)絡(luò)，把大量的查詢要求傳至開放的DNS服務(wù)器，這些查詢信息會(huì)假裝成被巨量信息攻擊的目標(biāo)所傳出的，因此DNS服務(wù)器會(huì)把回應(yīng)信息傳到那個(gè)網(wǎng)址。

美國司法部的一項(xiàng)調(diào)查資料顯示，1998年3月到2005年2月期間，82%的人侵者掌握授權(quán)用戶或設(shè)備的數(shù)據(jù)。在傳統(tǒng)的用戶身份認(rèn)證環(huán)境下，外來攻擊者僅憑盜取的相關(guān)用戶身份憑證就能以任何臺(tái)設(shè)備進(jìn)人網(wǎng)絡(luò)，即使最嚴(yán)密的用戶認(rèn)證保護(hù)系統(tǒng)也很難保護(hù)網(wǎng)絡(luò)安全。另外，由于企業(yè)員工可以通過任何一臺(tái)未經(jīng)確認(rèn)和處理的設(shè)備，以有效合法的個(gè)人身份憑證進(jìn)入網(wǎng)絡(luò)，使間諜軟件、廣告軟件、木馬程序及其它惡意程序有機(jī)可乘，嚴(yán)重威脅網(wǎng)絡(luò)系統(tǒng)的安全。

有資料顯示，最近拉美國家的網(wǎng)絡(luò)詐騙活動(dòng)增多，作案手段先進(jìn)。犯罪活動(dòng)已經(jīng)從“現(xiàn)實(shí)生活轉(zhuǎn)入虛擬世界”，網(wǎng)上詐騙活動(dòng)日益增多。3.計(jì)算機(jī)病毒

第五篇：滲透測試服務(wù)-億時(shí)代網(wǎng)絡(luò)工作室

滲透測試服務(wù)授權(quán)合同

本授權(quán)書于 [201X年X月X日] 由 四川億時(shí)代網(wǎng)絡(luò)科技有限公司 [YiSshiDdai] 和XXXX科技有限公司 [保密客戶] 訂立。

鑒于：

[保密客戶] 向 [YSD] 提出申請獲取專業(yè)安全服務(wù)。服務(wù)期間，顧問將調(diào)查客戶的某些商業(yè)敏感信息?；诜?wù)自身特性，[YSD] 需要從客戶處獲得合法身份證明及授權(quán)從事的證明。本授權(quán)合同用于對上述敏感信息和授權(quán)意向進(jìn)行共同協(xié)定，以確保后續(xù)服務(wù)的正常開展。

[保密客戶] 給予 [YSD] 履行安全服務(wù)所需的保密信息及權(quán)限。這些保密信息及權(quán)限既可由[保密客戶]自行披露，亦可由 [YSD] 在安全服務(wù)過程中自行獲取。該保密信息包括但不限于：特定商業(yè)機(jī)密、數(shù)據(jù)、網(wǎng)絡(luò)信息、電話系統(tǒng)信息、用戶信息、員工信息、客戶信息及/或與其業(yè)務(wù)有關(guān)的材料。該保密信息以保密形式提交給 [YSD]。[YSD]有義務(wù)確保上述保密信息將不會(huì)向任何第三方個(gè)人、公司或企業(yè)披露或復(fù)制。

鑒于本文件旨在授權(quán) [YSD] 對 [保密客戶] 的技術(shù)資產(chǎn)進(jìn)行滲透測試及脆弱性評估，因此，簽署以下條款：

1.[YSD] 的安全分析工程師有權(quán)探測掃描 [保密客戶] 的計(jì)算機(jī)設(shè)備以發(fā)現(xiàn)漏洞并使用

[CEGETEST] 標(biāo)準(zhǔn)化的技術(shù)工具進(jìn)行滲透測試。授權(quán)期限為 11/26/2015 至 12/26/2015。授權(quán)期間，[保密客戶]有權(quán)通過書面通知取消授權(quán)。

2.簽署人擁有授予測試方對其公司所有資產(chǎn)進(jìn)行測試的權(quán)利。（資產(chǎn)包括但不限于服務(wù)器設(shè)施、特定商業(yè)機(jī)密、數(shù)據(jù)、網(wǎng)絡(luò)信息、電話系統(tǒng)信息、用戶信息、員工信息、客戶信息。）

基于上述協(xié)定，雙方特此達(dá)成協(xié)議如下：

1.[YSD] 將為保密信息提供最嚴(yán)格的保密，不得直接或間接地使用或?qū)⑵渑督o任何個(gè)人、公司或企業(yè)。

2.[YSD] 將盡所有應(yīng)盡及援助之義務(wù)，采取所有合理的預(yù)防措施，以防止保密信息被任何未經(jīng)授權(quán)地披露或復(fù)制。

3.各方雇員中，經(jīng)協(xié)議獲得授權(quán)，或?yàn)殚_展服務(wù)工作而可能接觸到保密信息的，在本協(xié)議期間及以后，應(yīng)盡最大可能履行保守機(jī)密信息的義務(wù)。

1/2 4.[YSD] 應(yīng)在接到另一方書面要求后立即將所有存放保密信息的機(jī)讀材料及其副本歸還于另一方。當(dāng)保密信息存放于有價(jià)值媒體時(shí)，這些保密信息應(yīng)被銷毀或擦除，且該銷毀或擦除證明應(yīng)在提請日期起七（7）天內(nèi)向[保密客戶]提供。

5.當(dāng) [YSD] 處于任何可能的網(wǎng)絡(luò)風(fēng)險(xiǎn)影響之下（乃至可能立即中止服務(wù)）時(shí)，應(yīng)通知[保密客戶]并充分說明其擔(dān)憂的內(nèi)容及緣由。

6.[YSD] 將采取必要手段，盡最大可能確保不會(huì)因服務(wù)本身而造成任何威脅、損失或損害網(wǎng)絡(luò)系統(tǒng)。

[YSD]將按照滲透結(jié)果向[保密客戶]收費(fèi)6萬 RMB，付費(fèi)環(huán)節(jié)為：

[YSD] 提供滲透證據(jù)，包括獲取數(shù)據(jù)，[保密客戶] 支付 5萬 費(fèi)用。[YSD] 提供滲透途徑，含詳細(xì)滲透報(bào)告，[保密客戶] 支付 1萬 費(fèi)用。

雙方特此簽署該授權(quán)書，以昭信守。

........................................................................[YSD]（簽章）

[保密客戶]授權(quán)代表（簽章）

........................................................................職稱

職稱

........................................................................日期

日期

2/2