信息技术安全工作总结

工作总结是当代年轻人的重要成长方式。根据自身的工作情况，编写详细的工作总结报告，可使我们在不断的反思、吸取教训、目标优化的过程中，对自身进行科学合理的评价，改进自身的工作不足之处，从而得出有利于自己成长的宝贵经验。以下是小编收集整理的《信息技术安全工作总结》，供大家参考借鉴，希望可以帮助到有需要的朋友。

第一篇：信息技术安全工作总结

信息技术与信息安全考试答案

2014广西信息技术与信息安全公需科目题库

(一)

1.(2分) 特别适用于实时和多任务的应用领域的计算机是( )。 A. 巨型机 B. 大型机 C. 微型机 D. 嵌入式计算机

你的答案: ABCD 得分: 2分

2.(2分) 负责对计算机系统的资源进行管理的核心是( )。 A. 中央处理器 B. 存储设备 C. 操作系统 D. 终端设备

你的答案: ABCD 得分: 2分

3.(2分) 2013年12月4日国家工信部正式向中国移动、中国联通、中国电信发放了( )4G牌照。 A. WCDMA B. WiMax C. TD-LTE D. FDD-LTE 你的答案: ABCD 得分: 2分

4.(2分) 以下关于盗版软件的说法，错误的是( )。 A. 若出现问题可以找开发商负责赔偿损失 B. 使用盗版软件是违法的

C. 成为计算机病毒的重要来源和传播途径之一 D. 可能会包含不健康的内容 你的答案: ABCD 得分: 2分

5.(2分) 涉密信息系统工程监理工作应由( )的单位或组织自身力量承担。 A. 具有信息系统工程监理资质的单位 B. 具有涉密工程监理资质的单位 C. 保密行政管理部门

D. 涉密信息系统工程建设不需要监理 你的答案: ABCD 得分: 2分

6.(2分) 以下关于智能建筑的描述，错误的是( )。 A. 智能建筑强调用户体验，具有内生发展动力。

B. 随着建筑智能化的广泛开展，我国智能建筑市场已接近饱和。 C. 建筑智能化已成为发展趋势。

D. 智能建筑能为用户提供一个高效、舒适、便利的人性化建筑环境。 你的答案: ABCD 得分: 2分

7.(2分) 网页恶意代码通常利用( )来实现植入并进行攻击。 A. 口令攻击 B. U盘工具 C. IE浏览器的漏洞 D. 拒绝服务攻击

你的答案: ABCD 得分: 2分

8.(2分) 信息系统在什么阶段要评估风险?( )

A. 只在运行维护阶段进行风险评估，以识别系统面临的不断变化的风险和脆弱性，从而确定安全措施的有效性，确保安全目标得以实现。

B. 只在规划设计阶段进行风险评估，以确定信息系统的安全目标。 C. 只在建设验收阶段进行风险评估，以确定系统的安全目标达到与否。 D. 信息系统在其生命周期的各阶段都要进行风险评估。 你的答案: ABCD 得分: 2分

9.(2分) 下面不能防范电子邮件攻击的是( )。 A. 采用FoxMail B. 采用电子邮件安全加密软件 C. 采用Outlook Express D. 安装入侵检测工具 你的答案: ABCD 得分: 2分

10.(2分) 给Excel文件设置保护密码，可以设置的密码种类有( )。 A. 删除权限密码 B. 修改权限密码 C. 创建权限密码 D. 添加权限密码 你的答案: ABCD 得分: 2分

11.(2分) 覆盖地理范围最大的网络是( )。 A. 广域网 B. 城域网 C. 无线网 D. 国际互联网

你的答案: ABCD 得分: 2分

12.(2分) 在信息安全风险中，以下哪个说法是正确的?( )

A. 风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。在对这些要素的评估过程中，需要充分考虑与这些基本要素相关的各类属性。

B. 风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。在对这些要素的评估过程中，不需要充分考虑与这些基本要素相关的各类属性。

C. 安全需求可通过安全措施得以满足，不需要结合资产价值考虑实施成本。 D. 信息系统的风险在实施了安全措施后可以降为零。 你的答案: ABCD 得分: 2分

13.(2分) 根据国际上对数据备份能力的定义，下面不属于容灾备份类型?( ) A. 存储介质容灾备份 B. 业务级容灾备份 C. 系统级容灾备份 D. 数据级容灾备份 你的答案: ABCD 得分: 2分

14.(2分) 静止的卫星的最大通信距离可以达到( ) 。 A. 18000km B. 15000km C. 10000 km D. 20000 km 你的答案: ABCD 得分: 2分 15.(2分) 网络安全协议包括( )。 A. SSL、TLS、IPSec、Telnet、SSH、SET等 B. POP3和IMAP4 C. SMTP D. TCP/IP 你的答案: ABCD 得分: 2分

16.(2分) 在信息系统安全防护体系设计中，保证“信息系统中数据不被非法修改、破坏、丢失或延时”是为了达到防护体系的( )目标。 A. 可用 B. 保密 C. 可控 D. 完整

你的答案: ABCD 得分: 2分

17.(2分) 要安全浏览网页，不应该( )。 A. 定期清理浏览器缓存和上网历史记录 B. 禁止使用ActiveX控件和Java 脚本 C. 定期清理浏览器Cookies D. 在他人计算机上使用“自动登录”和“记住密码”功能 你的答案: ABCD 得分: 2分 18.(2分) 系统攻击不能实现( )。 A. 盗走硬盘 B. 口令攻击

C. 进入他人计算机系统 D. IP欺骗

你的答案: ABCD 得分: 2分

19.(2分) 我国卫星导航系统的名字叫( )。 A. 天宫 B. 玉兔 C. 神州 D. 北斗

你的答案: ABCD 得分: 2分

20.(2分) 计算机网络硬件设备中的无交换能力的交换机(集线器)属于哪一层共享设备() A. 物理层 B. 数据链路层 C. 传输层 D. 网络层 你的答案: 多选题： ABCD 得分: 2分

21.(2分) 以下哪些计算机语言是高级语言?( ) A. BASIC B. PASCAL C. #JAVA D. C 你的答案: ABCD 得分: 2分

22.(2分) 常用的非对称密码算法有哪些?( ) A. ElGamal算法 B. 数据加密标准 C. 椭圆曲线密码算法 D. RSA公钥加密算法 你的答案: ABCD 得分: 2分

23.(2分) 信息隐藏技术主要应用有哪些?( ) A. 数据加密 B. 数字作品版权保护

C. 数据完整性保护和不可抵赖性的确认 D. 数据保密

你的答案: ABCD 得分: 2分

24.(2分) 第四代移动通信技术(4G)特点包括( )。 A. 流量价格更低 B. 上网速度快 C. 延迟时间短 D. 流量价格更高

你的答案: ABCD 得分: 2分

25.(2分) 统一资源定位符中常用的协议?( ) A. ddos B. https C. ftp D. http 你的答案: ABCD 得分: 2分

26.(2分) 防范内部人员恶意破坏的做法有( )。 A. 严格访问控制 B. 完善的管理措施 C. 有效的内部审计 D. 适度的安全防护措施 你的答案: ABCD 得分: 2分

27.(2分) 信息安全面临哪些威胁?( ) A. 信息间谍 B. 网络黑客 C. 计算机病毒 D. 信息系统的脆弱性 你的答案: ABCD 得分: 2分

28.(2分) 一般来说无线传感器节点中集成了( )。 A. 通信模块 B. 无线基站 C. 数据处理单元 D. 传感器

你的答案: ABCD 得分: 2分

29.(2分) 下面关于SSID说法正确的是( )。

A. 通过对多个无线接入点AP设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP B. 提供了40位和128位长度的密钥机制

C. 只有设置为名称相同SSID的值的电脑才能互相通信 D. SSID就是一个局域网的名称 你的答案: ABCD 得分: 2分

30.(2分) WLAN主要适合应用在以下哪些场合?( ) A. 难以使用传统的布线网络的场所 B. 使用无线网络成本比较低的场所 C. 人员流动性大的场所 D. 搭建临时性网络 你的答案: ABCD 得分: 2分

31.(2分) 以下不是木马程序具有的特征是( )。 A. 繁殖性 B. 感染性 C. 欺骗性 D. 隐蔽性

你的答案: ABCD 得分: 2分

32.(2分) 防范XSS攻击的措施是( )。 A. 应尽量手工输入URL地址

B. 网站管理员应注重过滤特殊字符，限制输入长度，在代码层面上杜绝XSS漏洞出现的可能性

C. 不要随意点击别人留在论坛留言板里的链接

D. 不要打开来历不明的邮件、邮件附件、帖子等 你的答案: ABCD 得分: 2分 33.(2分) 攻击者通过端口扫描，可以直接获得( )。 A. 目标主机的口令 B. 给目标主机种植木马 C. 目标主机使用了什么操作系统 D. 目标主机开放了哪些端口服务 你的答案: ABCD 得分: 2分

34.(2分) 以下属于电子商务功能的是( )。 A. 意见征询、交易管理 B. 广告宣传、咨询洽谈 C. 网上订购、网上支付 D. 电子账户、服务传递 你的答案: ABCD 得分: 2分

35.(2分) 为了避免被诱入钓鱼网站，应该( )。 A. 不要轻信来自陌生邮件、手机短信或者论坛上的信息 B. 使用搜索功能来查找相关网站 C. 检查网站的安全协议 D. 用好杀毒软件的反钓鱼功能 你的答案: 判断题： ABCD 得分: 2分

36.(2分) 系统安全加固可以防范恶意代码攻击。 你的答案: 正确错误得分: 2分

37.(2分) 三层交换机属于物理层共享设备，可并行进行多个端口对之间的数据传输。 你的答案: 正确错误得分: 2分

38.(2分) 我国的信息化发展不平衡，总的来说，东部沿海地区信息化指数高，从东部到西部信息化指数逐渐降低。 你的答案: 正确错误得分: 2分

39.(2分) 浏览器缓存和上网历史记录能完整还原用户访问互联网的详细信息，并反映用户的使用习惯、隐私等。因此应当定期清理这些信息以避免他人获得并造成隐私泄密。 你的答案: 正确错误得分: 2分

40.(2分) 光纤通过光在玻璃或塑料纤维中的全反射而进行光传导，传导损耗比电在电线中的传导损耗低得多。

你的答案: 正确错误得分: 2分

41.(2分) 无线网络不受空间的限制，可以在无线网的信号覆盖区域任何一个位置接入网络。

你的答案: 正确错误得分: 2分

42.(2分) 蹭网指攻击者使用自己计算机中的无线网卡连接他人的无线路由器上网，而不是通过正规的ISP提供的线路上网。 你的答案: 正确错误得分: 2分

43.(2分) SQL注入攻击可以控制网站服务器。 你的答案: 正确错误得分: 2分

44.(2分) 企业与消费者之间的电子商务是企业透过网络销售产品或服务个人消费者。这也是目前一般最常见的模式。 你的答案: 正确错误得分: 2分

45.(2分) 涉密信息系统的建设使用单位应对系统设计方案进行审查论证，保密行政管理部门应参与方案审查论证，在系统总体安全保密性方面加强指导。 你的答案 : 正确错误得分: 2分

46.(2分) 风险分析阶段的主要工作就是完成风险的分析和计算。 你的答案: 正确错误得分: 2分 47.(2分) 某个程序给智能手机发送垃圾信息不属于智能手机病毒攻击。 你的答案: 正确错误得分: 2分

48.(2分) 政府系统信息安全检查指根据国家的相关要求，国家信息化主管部门牵头，公安、保密、安全等部门参加，对政府信息系统开展的联合检查。 你的答案: 正确错误得分: 2分

49.(2分) APT攻击是一种“恶意商业间谍威胁”的攻击。 你的答案: 正确错误得分: 2分

50.(2分) 通常情况下端口扫描能发现目标主机开哪些服务。 你的答案: 正确错误得分: 2分

2014广西信息技术与信息安全公需科目题库

(二)

1.(2分) 网页恶意代码通常利用( )来实现植入并进行攻击。 A. 口令攻击 B. U盘工具 C. IE浏览器的漏洞 D. 拒绝服务攻击

你的答案: ABCD 得分: 2分

2.(2分) 下列说法不正确的是( )。

A. 后门程序是绕过安全性控制而获取对程序或系统访问权的程序 B. 后门程序都是黑客留下来的 C. 后门程序能绕过防火墙

D. Windows Update实际上就是一个后门软件 你的答案: ABCD 得分: 2分

3.(2分) 在无线网络的攻击中()是指攻击节点在某一工作频段上不断发送无用信号，使该频段的其他节点无法进行正常工作。 A. 拥塞攻击 B. 信号干扰 C. 网络窃听 D. 篡改攻击

你的答案: ABCD 得分: 2分

4.(2分) 证书授权中心(CA)的主要职责是( )。 A. 以上答案都不对 B. 进行用户身份认证 C. 颁发和管理数字证书

D. 颁发和管理数字证书以及进行用户身份认证 你的答案: ABCD 得分:2分

5.(2分) GSM是第几代移动通信技术?( ) A. 第一代 B. 第四代 C. 第二代 D. 第三代

你的答案: ABCD 得分: 2分

6.(2分) 已定级信息系统保护监管责任要求第一级信息系统由()依据国家有关管理规范和技术标准进行保护。 A. 信息系统运营、使用单位 B. 信息系统使用单位 C. 国家信息安全监管部门 D. 信息系统运营单位 你的答案: ABCD 得分: 2分

7.(2分) 要安全浏览网页，不应该( )。

A. 在他人计算机上使用“自动登录”和“记住密码”功能 B. 禁止使用ActiveX控件和Java 脚本 C. 定期清理浏览器Cookies D. 定期清理浏览器缓存和上网历史记录 你的答案: ABCD 得分: 2分

8.(2分) 恶意代码传播速度最快、最广的途径是( )。 A. 安装系统软件时

B. 通过U盘复制来传播文件时 C. 通过光盘复制来传播文件时 D. 通过网络来传播文件时 你的答案: ABCD 得分: 2分

9.(2分) 关于特洛伊木马程序，下列说法不正确的是( )。 A. 特洛伊木马程序能与远程计算机建立连接 B. 特洛伊木马程序能够通过网络感染用户计算机系统 C. 特洛伊木马程序能够通过网络控制用户计算机系统

D. 特洛伊木马程序包含有控制端程序、木马程序和木马配置程序 你的答案: ABCD 得分: 2分

10.(2分) 主要的电子邮件协议有( )。 A. IP、TCP B. TCP/IP C. SSL、SET D. SMTP、POP3和IMAP4 你的答案: ABCD 得分: 2分

11.(2分) 我国卫星导航系统的名字叫( )。 A. 北斗 B. 神州 C. 天宫 D. 玉兔

你的答案: ABCD 得分: 2分

12.(2分) 全球著名云计算典型应用产品及解决方案中，亚马逊云计算服务名称叫( )。 A. SCE B. AWS C. Azure D. Google App 你的答案: ABCD 得分: 2分

13.(2分) 在我国，互联网内容提供商(ICP)( )。 A. 不需要批准 B. 要经过资格审查 C. 要经过国家主管部门批准 D. 必须是电信运营商 你的答案: ABCD 得分: 2分

14.(2分) 以下关于无线网络相对于有线网络的优势不正确的是( )。 A. 可扩展性好 B. 灵活度高 C. 维护费用低 D. 安全性更高

你的答案: ABCD 得分: 2分

15.(2分) 广义的电子商务是指( )。

A. 通过互联网在全球范围内进行的商务贸易活动 B. 通过电子手段进行的商业事务活动 C. 通过电子手段进行的支付活动 D. 通过互联网进行的商品订购活动 你的答案: ABCD 得分: 2分 16.(2分) 计算机病毒是( )。 A. 一种芯片

B. 具有远程控制计算机功能的一段程序 C. 一种生物病毒

D. 具有破坏计算机功能或毁坏数据的一组程序代码 你的答案: ABCD 得分: 2分

17.(2分) 绿色和平组织的调查报告显示，用Linux系统的企业仅需( )年更换一次硬件设备。 A. 5~7 B. 4~6 C. 7~9 D. 6~8 你的答案: ABCD 得分: 2分

18.(2分) 黑客主要用社会工程学来( )。 A. 进行TCP连接 B. 进行DDoS攻击 C. 进行ARP攻击 D. 获取口令

你的答案: ABCD 得分: 2分

19.(2分) Windows 操作系统中受限用户在默认的情况下可以访问和操作自己的文件，使用部分被允许的程序，一般不能对系统配置进行设置和安装程序，这种限制策略被称为“( )”。 A. 特权受限原则 B. 最大特权原则 C. 最小特权原则 D. 最高特权原则

你的答案: ABCD 得分: 2分

20.(2分) 给Excel文件设置保护密码，可以设置的密码种类有( )。 A. 删除权限密码 B. 修改权限密码 C. 添加权限密码 D. 创建权限密码

你的答案: ABCD 得分: 2分

21.(2分) 第四代移动通信技术(4G)特点包括( )。 A. 流量价格更高 B. 流量价格更低 C. 延迟时间短 D. 上网速度快

你的答案: ABCD 得分: 2分

22.(2分) 网络存储设备的存储结构有( )。 A. 存储区域网络 B. 网络连接存储 C. 直连式存储 D. 宽带式存储

你的答案: ABCD 得分: 2分

23.(2分) 信息安全等级保护的原则是( )。 A. 指导监督，重点保护 B. 依照标准，自行保护 C. 同步建设，动态调整 D. 明确责任，分级保护 你的答案: ABCD 得分: 2分

24.(2分) 以下不是木马程序具有的特征是( )。 A. 感染性 B. 欺骗性 C. 隐蔽性 D. 繁殖性

你的答案: ABCD 得分: 2分

25.(2分) 以下属于电子商务功能的是( )。 A. 广告宣传、咨询洽谈 B. 意见征询、交易管理 C. 网上订购、网上支付 D. 电子账户、服务传递 你的答案: ABCD 得分: 2分

26.(2分) 广西哪几个城市成功入选2013国家智慧城市试点名单?( ) A. 南宁 B. 贵港 C. 桂林 D. 柳州

你的答案: ABCD 得分: 2分

27.(2分) “三网融合”的优势有( )。

A. 极大减少基础建设投入，并简化网络管理。降低维护成本

B. 信息服务将从单一业务转向文字、话音、数据、图像、视频等多媒体综合业务 C. 网络性能得以提升，资源利用水平进一步提高 D. 可衍生出更加丰富的增值业务类型。 你的答案: ABCD 得分: 2分

28.(2分) 以下( )是开展信息系统安全等级保护的环节。 A. 监督检查 B. 等级测评 C. 备案 D. 自主定级

你的答案: ABCD 得分: 2分

29.(2分) 信息系统威胁识别主要有( )工作。 A. 识别被评估组织机构关键资产直接面临的威胁 B. 构建信息系统威胁的场景 C. 信息系统威胁分类 D. 信息系统威胁赋值 你的答案: ABCD 得分: 2分

30.(2分) 以下( )是风险分析的主要内容。

A. 对资产的脆弱性进行识别并对具体资产脆弱性的严重程度赋值 B. 对信息资产进行识别并对资产的价值进行赋值

C. 对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值

D. 根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值

你的答案: ABCD 得分: 2分

31.(2分) 防范XSS攻击的措施是( )。 A. 应尽量手工输入URL地址

B. 网站管理员应注重过滤特殊字符，限制输入长度，在代码层面上杜绝XSS漏洞出现的可能性

C. 不要随意点击别人留在论坛留言板里的链接 D. 不要打开来历不明的邮件、邮件附件、帖子等 你的答案: ABCD 得分: 2分

32.(2分) 目前国际主流的3G移动通信技术标准有( )。 A. CDMA B. CDMA2000 C. TD-SCDMA D. WCDMA 你的答案: ABCD 得分: 2分

33.(2分) 计算机感染恶意代码的现象有( )。 A. 计算机运行速度明显变慢 B. 无法正常启动操作系统 C. 磁盘空间迅速减少

D. 正常的计算机经常无故突然死机 你的答案: ABCD 得分: 2分

34.(2分) 开展信息安全风险评估要做的准备有( )。 A. 做出信息安全风险评估的计划 B. 确定信息安全风险评估的范围 C. 确定信息安全风险评估的时间 D. 获得最高管理者对风险评估工作的支持 你的答案: ABCD 得分: 2分

35.(2分) 下面关于SSID说法正确的是( )。 A. 提供了40位和128位长度的密钥机制

B. 通过对多个无线接入点AP设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP C. 只有设置为名称相同SSID的值的电脑才能互相通信 D. SSID就是一个局域网的名称 你的答案: ABCD 得分: 2分

36.(2分) 邮件的附件如果是带有.exe、.com、.pif、.pl、.src和.vbs为后缀的文件，应确定其安全后再打开。 你的答案: 正确错误得分: 2分

37.(2分) 统一资源定位符是用于完整地描述互联网上网页和其他资源的地址的一种标识方法。

你的答案: 正确错误得分: 2分

38.(2分) 信息安全风险评估的自评估和检查评估都可依托自身技术力量进行，也可委托具有相应资质的第三方机构提供技术支持。 你的答案: 正确错误得分: 2分

39.(2分) 计算机网络所面临的威胁主要有对网络中信息的威胁和对网络设备的威胁两种。 你的答案: 正确错误得分: 2分

40.(2分) SQL注入攻击可以控制网站服务器。 你的答案: 正确错误得分: 2分

41.(2分) 在两个具有IrDA端口的设备之间传输数据，中间不能有阻挡物。 你的答案: 正确错误得分: 2分

42.(2分) APT攻击是一种“恶意商业间谍威胁”的攻击。 你的答案: 正确错误得分: 2分

43.(2分) 三层交换机属于物理层共享设备，可并行进行多个端口对之间的数据传输。 你的答案: 正确错误得分: 2分

44.(2分) ARP欺骗攻击能使攻击者成功假冒某个合法用户和另外合法用户进行网络通信。 你的答案: 正确错误得分: 2分

45.(2分) 网络操作系统是为计算机网络配置的操作系统，它使网络中每台计算机能互相通信和共享资源。

你的答案: 正确错误得分: 2分

46.(2分) 涉密信息系统的建设使用单位应对系统设计方案进行审查论证，保密行政管理部门应参与方案审查论证，在系统总体安全保密性方面加强指导。 你的答案: 正确错误得分: 2分

47.(2分) 用户在处理废弃硬盘时，只要将电脑硬盘内的数据格式化就可以了，数据就不可能被恢复了。

你的答案: 正确错误得分: 2分

48.(2分) 信息系统建设完成后，运营、使用单位或者其主管部门应当选择具有信息系统安全等级保护测评资质的测评机构，定期对信息系统安全等级状况开展等级测评。 你的答案: 正确错误得分: 2分

49.(2分) 系统安全加固可以防范恶意代码攻击。 你的答案: 正确错误得分: 2分

50.(2分) 信息安全应急响应通常是指一个组织机构为了应对各种信息安全意外事件的发生所采取的措施，其目的是避免、降低危害和损失，以及从危害中恢复。 你的答案: 正确错误得分: 2分

2014广西信息技术与信息安全公需科目题库

(三) 1.(2分) 要安全浏览网页，不应该( )。 A. 定期清理浏览器缓存和上网历史记录 B. 定期清理浏览器Cookies C. 在他人计算机上使用“自动登录”和“记住密码”功能 D. 禁止使用ActiveX控件和Java 脚本 你的答案: ABCD 得分: 2分 2.(2分) 信息隐藏是( )。 A. 加密存储

B. 把秘密信息隐藏在大量信息中不让对手发觉的一种技术 C. 以上答案都不对 D. 对信息加密

你的答案: ABCD 得分: 2分 3.(2分) 政府系统信息安全检查由( )牵头组织对政府信息系统开展的联合检查。 A. 公安部门 B. 安全部门 C. 保密部门 D. 信息化主管部门 你的答案: ABCD 得分: 2分 4.(2分) IP地址是( )。 A. 计算机设备在网络上的地址 B. 计算机设备在网络上的物理地址 C. 以上答案都不对

D. 计算机设备在网络上的共享地址 你的答案: ABCD 得分: 2分

5.(2分) 涉密信息系统工程监理工作应由( )的单位或组织自身力量承担。 A. 保密行政管理部门

B. 涉密信息系统工程建设不需要监理 C. 具有涉密工程监理资质的单位 D. 具有信息系统工程监理资质的单位 你的答案: ABCD 得分: 2分

6.(2分) 不属于被动攻击的是( )。 A. 欺骗攻击

B. 截获并修改正在传输的数据信息 C. 窃听攻击 D. 拒绝服务攻击

你的答案: ABCD 得分: 2分 7.(2分) WCDMA意思是( )。 A. 全球移动通信系统 B. 时分多址 C. 宽频码分多址 D. 码分多址

你的答案: ABCD 得分: 2分 8.(2分) 目前，针对计算机信息系统及网络的恶意程序正逐年成倍增长，其中最为严重的是( )。 A. 木马病毒 B. 蠕虫病毒 C. 系统漏洞 D. 僵尸网络

你的答案: ABCD 得分: 2分

9.(2分) 在下一代互联网中，传输的速度能达到( )。 A. 56Kbps B. 1000Kbps C. 10Mbps到100Mbps D. 10Mbps 你的答案: ABCD 得分: 2分

10.(2分) 以下哪个不是风险分析的主要内容?( ) A. 根据威胁的属性判断安全事件发生的可能性。 B. 对信息资产进行识别并对资产的价值进行赋值。

C. 根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。

D. 对资产的脆弱性进行识别并对具体资产脆弱性的严重程度赋值。 你的答案: ABCD 得分: 2分

11.(2分) 广义的电子商务是指( )。

A. 通过互联网在全球范围内进行的商务贸易活动 B. 通过电子手段进行的支付活动 C. 通过电子手段进行的商业事务活动 D. 通过互联网进行的商品订购活动 你的答案: ABCD 得分: 2分

12.(2分) 以下关于无线网络相对于有线网络的优势不正确的是( )。 A. 维护费用低 B. 可扩展性好 C. 灵活度高 D. 安全性更高 你的答案: ABCD 得分: 2分

13.(2分) 以下关于智能建筑的描述，错误的是( )。 A. 建筑智能化已成为发展趋势。

B. 智能建筑强调用户体验，具有内生发展动力。

C. 智能建筑能为用户提供一个高效、舒适、便利的人性化建筑环境。

D. 随着建筑智能化的广泛开展，我国智能建筑市场已接近饱和。 你的答案: ABCD 得分: 2分

14.(2分) 对信息资产识别是( )。

A. 对信息资产进行合理分类，确定资产的重要程度 B. 以上答案都不对

C. 从保密性、完整性和可用性三个方面对每个资产类别进行安全需求分析

D. 对信息资产进行合理分类，分析安全需求，确定资产的重要程度 你的答案: ABCD 得分: 2分

15.(2分) 网络安全协议包括( )。 A. SMTP B. SSL、TLS、IPSec、Telnet、SSH、SET等 C. POP3和IMAP4 D. TCP/IP 你的答案: ABCD 得分: 2分

16.(2分) Windows 操作系统中受限用户在默认的情况下可以访问和操作自己的文件，使用部分被允许的程序，一般不能对系统配置进行设置和安装程序，这种限制策略被称为“( )”。 A. 最大特权原则 B. 最高特权原则 C. 最小特权原则 D. 特权受限原则

你的答案: ABCD 得分: 2分

17.(2分) 以下关于盗版软件的说法，错误的是( )。 A. 可能会包含不健康的内容

B. 成为计算机病毒的重要来源和传播途径之一 C. 若出现问题可以找开发商负责赔偿损失 D. 使用盗版软件是违法的 你的答案: ABCD 得分: 2分

18.(2分) 用户暂时离开时，锁定Windows系统以免其他人非法使用。锁定系统的快捷方式为同时按住( ) 。 A. F1键和L键 B. WIN键和L键 C. WIN键和Z键 D. F1键和Z键

你的答案: ABCD 得分: 2分

19.(2分) 下列说法不正确的是( )。

A. 后门程序是绕过安全性控制而获取对程序或系统访问权的程序 B. 后门程序都是黑客留下来的 C. 后门程序能绕过防火墙

D. Windows Update实际上就是一个后门软件 你的答案: ABCD 得分: 2分

20.(2分) 负责全球域名管理的根服务器共有多少个?( ) A. 11个 B. 12个 C. 10个 D. 13个

你的答案: ABCD 得分: 2分

21.(2分) 下面哪些是卫星通信的优势?( ) A. 通信距离远 B. 传输容量大 C. 造价成本低 D. 灵活度高

你的答案: ABCD 得分: 2分

22.(2分) 下面关于有写保护功能的U盘说法正确的是( )。 A. 上面一般有一个可以拔动的键，来选择是否启用写保护功能

B. 写保护功能启用时可以读出U盘的数据，也可以将修改的数据存入U盘 C. 可以避免病毒或恶意代码删除U盘上的文件 D. 可以避免公用计算机上的病毒和恶意代码自动存入U盘，借助U盘传播 你的答案: ABCD 得分: 2分

23.(2分) 信息安全主要包括哪些内容?( ) A. 系统可靠性和信息保障 B. 计算机安全和数据(信息)安全 C. 物理(实体)安全和通信保密 D. 运行安全和系统安全 你的答案: ABCD 得分: 2分

24.(2分) 要安全进行网络交易，应该( )。 A. 使用安全支付方式，并及时升级网银安全控件 B. 不在公用计算机上进行网银交易

C. 定期查看交易记录, 如发现有交易异常状况，应及时联系相关部门 D. 应选择信誉高的大型网购系统 你的答案: ABCD 得分: 2分

25.(2分) 网络钓鱼常用的手段是( )。 A. 利用假冒网上银行、网上证券网站 B. 利用虚假的电子商务网站 C. 利用垃圾邮件 D. 利用社会工程学 你的答案: ABCD 得分: 2分

26.(2分) IP地址主要用于什么设备?( ) A. 网络设备 B. 网络上的服务器 C. 移动硬盘 D. 上网的计算机

你的答案: ABCD 得分: 2分

27.(2分) 涉密信息系统审批的权限划分是( )。

A. 国家保密行政管理部门负责审批中央和国家机关各部委及其直属单位、国防武器装备科研生产一级保密资格单位的涉密信息系统。 B. 省(自治区、直辖市)保密行政管理部门负责审批省直机关及其所属部门，国防武器装备科研生产二级、三级保密资格单位的涉密信息系统。

C. 市(地)级保密行政管理部门负责审批市(地)、县直机关及其所属单位的涉密信息系统。

D. 国家保密行政管理部门负责审批中央和国家机关各部委及其直属单位、国防武器装备科研生产一级、二级、三级保密资格单位的涉密信息系统。 你的答案: ABCD 得分: 2分 28.(2分) 防范内部人员恶意破坏的做法有( )。 A. 严格访问控制 B. 完善的管理措施 C. 有效的内部审计 D. 适度的安全防护措施 你的答案: ABCD 得分: 2分

29.(2分) 信息安全的重要性体现在哪些方面?( ) A. 信息安全关系到国家安全和利益 B. 信息安全已成为国家综合国力体现 C. 信息安全是社会可持续发展的保障 D. 信息安全已上升为国家的核心问题 你的答案: ABCD 得分: 2分

30.(2分) 下面关于SSID说法正确的是( )。 A. 提供了40位和128位长度的密钥机制 B. SSID就是一个局域网的名称

C. 通过对多个无线接入点AP设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP D. 只有设置为名称相同SSID的值的电脑才能互相通信 你的答案: ABCD 得分: 2分 31.(2分) 下面哪些在目前无线网卡的主流速度范围内?( ) A. 54 Mbps B. 35 Mbps C. 108 Mbps D. 300 Mbps 你的答案: ABCD 得分: 2分

32.(2分) WLAN主要适合应用在以下哪些场合?( ) A. 难以使用传统的布线网络的场所 B. 搭建临时性网络 C. 人员流动性大的场所

D. 使用无线网络成本比较低的场所 你的答案: ABCD 得分: 2分

33.(2分) 防范系统攻击的措施包括( )。 A. 定期更新系统或打补丁 B. 安装防火墙

C. 系统登录口令设置不能太简单 D. 关闭不常用的端口和服务 你的答案: ABCD 得分: 2分

34.(2分) 统一资源定位符中常用的协议?( ) A. http B. https C. ftp D. ddos 你的答案: ABCD 得分: 2分

35.(2分) 目前国际主流的3G移动通信技术标准有( )。 A. CDMA B. CDMA2000 C. WCDMA D. TD-SCDMA 你的答案: ABCD 得分: 2分

36.(2分) 计算机网络所面临的威胁主要有对网络中信息的威胁和对网络设备的威胁两种。 你的答案: 正确错误得分: 2分

37.(2分) 非对称密码算法与对称密码算法，加密和解密使用的都是两个不同的密钥。 你的答案: 正确错误得分: 2分

38.(2分) SQL注入攻击可以控制网站服务器。 你的答案: 正确错误得分: 2分

39.(2分) 在两个具有IrDA端口的设备之间传输数据，中间不能有阻挡物。 你的答案: 正确错误得分: 2分 40.(2分) 邮件的附件如果是带有.exe、.com、.pif、.pl、.src和.vbs为后缀的文件，应确定其安全后再打开。 你的答案: 正确错误得分: 2分

41.(2分) 涉密信息系统的建设使用单位应对系统设计方案进行审查论证，保密行政管理部门应参与方案审查论证，在系统总体安全保密性方面加强指导。 你的答案: 正确错误得分: 2分

42.(2分) 卫星通信建站和运行的成本费用不会因为站间距离和地面环境的不同而变化。 你的答案: 正确错误得分: 2分

43.(2分) 信息系统建设完成后，运营、使用单位或者其主管部门应当选择具有信息系统安全等级保护测评资质的测评机构，定期对信息系统安全等级状况开展等级测评。 你的答案: 正确错误得分: 2分

44.(2分) 数字签名在电子政务和电子商务中使用广泛。 你的答案: 正确错误得分: 2分

45.(2分) 某个程序给智能手机发送垃圾信息不属于智能手机病毒攻击。 你的答案: 正确错误得分: 2分

46.(2分) 信息安全风险评估的自评估和检查评估都可依托自身技术力量进行，也可委托具有相应资质的第三方机构提供技术支持。 你的答案: 正确错误得分: 2分

47.(2分) 网络操作系统是为计算机网络配置的操作系统，它使网络中每台计算机能互相通信和共享资源。

你的答案: 正确错误得分: 2分

48.(2分) 我国的信息化发展不平衡，总的来说，东部沿海地区信息化指数高，从东部到西部信息化指数逐渐降低。 你的答案: 正确错误得分: 2分

49.(2分) 浏览器缓存和上网历史记录能完整还原用户访问互联网的详细信息，并反映用户的使用习惯、隐私等。因此应当定期清理这些信息以避免他人获得并造成隐私泄密。 你的答案: 正确错误得分: 2分

50.(2分) 信息隐藏的含义包括信息的存在性隐蔽、信息传输信道的隐蔽以及信息的发送方和接收方隐蔽。

你的答案: 正确错误得分: 2分

2014广西信息技术与信息安全公需科目题库

(四) 1.(2分)网页恶意代码通常利用( )来实现植入并进行攻击。 A. 拒绝服务攻击 B. 口令攻击 C. IE浏览器的漏洞 D. U盘工具

你的答案: A B C D得分:2分

2.(2分)涉密信息系统工程监理工作应由( )的单位或组织自身力量承担。 A. 具有信息系统工程监理资质的单位 B. 具有涉密工程监理资质的单位 C. 保密行政管理部门

D. 涉密信息系统工程建设不需要监理 你的答案: A B C D得分:2分

3.(2分)全球著名云计算典型应用产品及解决方案中，亚马逊云计算服务名称叫( )。 A. AWS B. SCE C. Azure D. Google App 你的答案: A B C D得分:2分

4.(2分)在信息安全风险中，以下哪个说法是正确的?( )

A. 风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。在对这些要素的评估过程中，需要充分考虑与这些基本要素相关的各类属性。

B. 安全需求可通过安全措施得以满足，不需要结合资产价值考虑实施成本。

C. 风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。在对这些要素的评估过程中，不需要充分考虑与这些基本要素相关的各类属性。 D. 信息系统的风险在实施了安全措施后可以降为零。 你的答案: A B C D得分:2分

5.(2分)在网络安全体系构成要素中“恢复”指的是( )。 A. A和B B. 恢复数据 C. 恢复系统 D. 恢复网络 你的答案: A B C D得分:2分

6.(2分)目前，针对计算机信息系统及网络的恶意程序正逐年成倍增长，其中最为严重的是( )。 A. 木马病毒 B. 系统漏洞 C. 僵尸网络 D. 蠕虫病毒

你的答案: A B C D得分:2分

7.(2分)政府系统信息安全检查由( )牵头组织对政府信息系统开展的联合检查。 A. 安全部门 B. 信息化主管部门 C. 公安部门 D. 保密部门

你的答案: A B C D得分:2分

8.(2分)黑客在攻击中进行端口扫描可以完成( )。 A. 检测黑客自己计算机已开放哪些端口 B. 口令破译 C. 截获网络流量

D. 获知目标主机开放了哪些端口服务 你的答案: A B C D得分:2分 9.(2分)TCP/IP协议是 ( )。 A. 以上答案都不对 B. 指TCP/IP协议族 C. 一个协议

D. TCP和IP两个协议的合称 你的答案: A B C D得分:0分

10.(2分)在下一代互联网中，传输的速度能达到( )。 A. 1000Kbps B. 10Mbps到100Mbps C. 10Mbps D. 56Kbps 你的答案: A B C D得分:2分

11.(2分)下列关于ADSL拨号攻击的说法，正确的是( )。 A. 能用ADSL设备打电话进行骚扰 B. 能损坏ADSL物理设备 C. 能用ADSL设备免费打电话 D. 能获取ADSL设备的系统管理密码 你的答案: A B C D得分:2分

12.(2分)无线局域网的覆盖半径大约是( )。 A. 10m~100m B. 5m~50m C. 15m~150m D. 8m~80m 你的答案: A B C D得分:2分

13.(2分)无线个域网的覆盖半径大概是( )。 A. 10m以内 B. 20m以内 C. 30m以内 D. 5m以内

你的答案: A B C D得分:2分

14.(2分)以下关于盗版软件的说法，错误的是( )。 A. 使用盗版软件是违法的

B. 成为计算机病毒的重要来源和传播途径之一 C. 可能会包含不健康的内容

D. 若出现问题可以找开发商负责赔偿损失 你的答案: A B C D得分:2分

15.(2分)关于信息系统脆弱性识别以下哪个说法是错误的?( ) A. 完成信息系统识别和威胁识别之后，需要进行信息系统脆弱性识别。 B. 以上答案都不对。

C. 可以根据对信息资产损害程度、技术实现的难易程度、弱点流行程度，采用等级方式对已识别的信息系统脆弱性的严重程度进行赋值。

D. 通过扫描工具或人工等不同方式，识别当前信息系统中存在的脆弱性。 你的答案: A B C D得分:2分

16.(2分)给Excel文件设置保护密码，可以设置的密码种类有( )。 A. 删除权限密码 B. 添加权限密码 C. 修改权限密码 D. 创建权限密码

你的答案: A B C D得分:2分

17.(2分)恶意代码传播速度最快、最广的途径是( )。 A. 通过光盘复制来传播文件时 B. 通过U盘复制来传播文件时 C. 通过网络来传播文件时 D. 安装系统软件时

你的答案: A B C D得分:2分 18.(2分)对信息资产识别是( )。

A. 对信息资产进行合理分类，分析安全需求，确定资产的重要程度 B. 以上答案都不对

C. 对信息资产进行合理分类，确定资产的重要程度

D. 从保密性、完整性和可用性三个方面对每个资产类别进行安全需求分析 你的答案: A B C D得分:2分

19.(2分)信息安全措施可以分为( )。 A. 预防性安全措施和防护性安全措施 B. 纠正性安全措施和防护性安全措施 C. 纠正性安全措施和保护性安全措施 D. 预防性安全措施和保护性安全措施 你的答案: A B C D得分:2分 20.(2分)不属于被动攻击的是( )。 A. 窃听攻击 B. 拒绝服务攻击

C. 截获并修改正在传输的数据信息 D. 欺骗攻击

你的答案: A B C D得分:2分 21.(2分)智能手机感染恶意代码后的应对措施是( )。 A. 联系网络服务提供商，通过无线方式在线杀毒

B. 把SIM卡换到别的手机上，删除存储在卡上感染恶意代码的短信 C. 通过计算机查杀手机上的恶意代码 D. 格式化手机，重装手机操作系统。 你的答案: A B C D得分:1分

22.(2分)哪些是国内著名的互联网内容提供商?( ) A. 新浪 B. 谷歌 C. 百度 D. 网易

你的答案: A B C D得分:2分

23.(2分)文件型病毒能感染的文件类型是( )。 A. COM类型 B. HTML类型 C. SYS类型 D. EXE类型

你的答案: A B C D得分:1分

24.(2分)预防中木马程序的措施有( )。 A. 及时进行操作系统更新和升级

B. 安装如防火墙、反病毒软件等安全防护软件 C. 经常浏览色情网站 D. 不随便使用来历不明的软件 你的答案: A B C D得分:2分

25.(2分)以下省份或直辖市中，信息化指数在70以上，属于信息化水平第一类地区的是( )。 A. 天津市 B. 广东省 C. 北京市 D. 上海市

你的答案: A B C D得分:0分

26.(2分)计算机感染恶意代码的现象有( )。 A. 正常的计算机经常无故突然死机 B. 无法正常启动操作系统 C. 磁盘空间迅速减少 D. 计算机运行速度明显变慢 你的答案: A B C D得分:2分

27.(2分)防范手机病毒的方法有( )。 A. 经常为手机查杀病毒 B. 注意短信息中可能存在的病毒 C. 尽量不用手机从网上下载信息 D. 关闭乱码电话

你的答案: A B C D得分:2分

28.(2分)网络钓鱼常用的手段是( )。 A. 利用社会工程学 B. 利用虚假的电子商务网站 C. 利用假冒网上银行、网上证券网站 D. 利用垃圾邮件

你的答案: A B C D得分:2分 29.(2分)被动攻击通常包含( )。 A. 拒绝服务攻击 B. 窃听攻击 C. 欺骗攻击 D. 数据驱动攻击

你的答案: A B C D得分:2分

30.(2分)以下( )是开展信息系统安全等级保护的环节。 A. 监督检查 B. 自主定级 C. 备案 D. 等级测评

你的答案: A B C D得分:2分

31.(2分)根据涉密网络系统的分级保护原则，涉密网络的分级有哪些?(A. 秘密

) B. 内部 C. 机密 D. 绝密

你的答案: A B C D得分:0分

32.(2分)电子政务包含哪些内容?( )

A. 政府办公自动化、政府部门间的信息共建共享、各级政府间的远程视频会议。 B. 政府信息发布。 C. 公民网上查询政府信息。

D. 电子化民意调查、社会经济信息统计。 你的答案: A B C D得分:2分

33.(2分)信息隐藏技术主要应用有哪些?( ) A. 数字作品版权保护 B. 数据保密 C. 数据加密

D. 数据完整性保护和不可抵赖性的确认 你的答案: A B C D得分:2分

34.(2分)UWB技术主要应用在以下哪些方面?( ) A. 无绳电话 B. 地质勘探

C. 家电设备及便携设备之间的无线数据通信 D. 汽车防冲撞传感器 你的答案: A B C D得分:0分

35.(2分)下面关于SSID说法正确的是( )。 A. SSID就是一个局域网的名称

B. 提供了40位和128位长度的密钥机制

C. 通过对多个无线接入点AP设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP D. 只有设置为名称相同SSID的值的电脑才能互相通信 你的答案: A B C D得分:2分

36.(2分)大数据的特点是数据量巨大，是指数据存储量已经从TB级别升至PB级别。 你的答案: 正确 错误得分:2分 37.(2分)信息系统脆弱性识别是风险评估的一个环节，包括物理、系统、网络、应用和管理五个方面。

你的答案: 正确 错误得分: 2分

38.(2分)在任何情况下，涉密计算机及涉密网络都不能与任何公共信息网络连接。 你的答案: 正确 错误得分:2分

39.(2分)Windows XP中每一台计算机至少需要一个账户拥有管理员权限，至少需要一个管理员账户使用“Administrator”这个名称。 你的答案: 正确 错误得分:2分

40.(2分)系统安全加固可以防范恶意代码攻击。 你的答案: 正确 错误得分:2分

41.(2分)无线网络不受空间的限制，可以在无线网的信号覆盖区域任何一个位置接入网络。 你的答案: 正确 错误得分:2分

42.(2分)某个程序给智能手机发送垃圾信息不属于智能手机病毒攻击。 你的答案: 正确 错误得分:2分

43.(2分)邮件的附件如果是带有.exe、.com、.pif、.pl、.src和.vbs为后缀的文件，应确定其安全后再打开。 你的答案: 正确 错误得分:2分

44.(2分)涉密信息系统的建设使用单位应对系统设计方案进行审查论证，保密行政管理部门应参与方案审查论证，在系统总体安全保密性方面加强指导。 你的答案: 正确 错误得分:2分

45.(2分)微处理器的计算能力和处理速度正在迅速发展，目前已发展到16位微处理器。 你的答案: 正确 错误得分:2分

46.(2分)缓冲区溢出属于主动攻击类型。 你的答案: 正确 错误得分:2分

47.(2分)ARP欺骗攻击能使攻击者成功假冒某个合法用户和另外合法用户进行网络通信。 你的答案: 正确 错误得分:2分

48.(2分)企业与消费者之间的电子商务是企业透过网络销售产品或服务个人消费者。这也是目前一般最常见的模式。 你的答案: 正确 错误得分:2分

49.(2分)内部网络使用网闸与公共网络隔离的方式是“物理隔离”的。 你的答案: 正确 错误得分:2分 50.(2分)信息安全风险评估的自评估和检查评估都可依托自身技术力量进行，也可委托具有相应资质的第三方机构提供技术支持。 你的答案: 正确 错误得分:2分

2014广西信息技术与信息安全公需科目题库

(五) 1.(2分) GSM是第几代移动通信技术?( ) A. 第三代 B. 第二代 C. 第一代 D. 第四代

你的答案: A B C D 得分: 2分

2.(2分) 无线局域网的覆盖半径大约是( )。 A. 10m~100m B. 5m~50m C. 8m~80m D. 15m~150m 你的答案: A B C D 得分: 2分

3.(2分) 恶意代码传播速度最快、最广的途径是( )。 A. 安装系统软件时

B. 通过U盘复制来传播文件时 C. 通过网络来传播文件时 D. 通过光盘复制来传播文件时 你的答案: A B C D 得分: 2分

4.(2分) 以下关于智能建筑的描述，错误的是( )。

A. 随着建筑智能化的广泛开展，我国智能建筑市场已接近饱和。 B. 智能建筑能为用户提供一个高效、舒适、便利的人性化建筑环境。 C. 建筑智能化已成为发展趋势。

D. 智能建筑强调用户体验，具有内生发展动力。 你的答案: A B C D 得分: 2分 5.(2分) 广义的电子商务是指( )。

A. 通过互联网在全球范围内进行的商务贸易活动 B. 通过电子手段进行的商业事务活动 C. 通过电子手段进行的支付活动 D. 通过互联网进行的商品订购活动 你的答案: A B C D 得分: 2分

6.(2分) 证书授权中心(CA)的主要职责是( )。 A. 颁发和管理数字证书 B. 进行用户身份认证

C. 颁发和管理数字证书以及进行用户身份认证 D. 以上答案都不对

你的答案: A B C D 得分: 2分

7.(2分) 以下关于编程语言描述错误的是( )。

A. 高级语言与计算机的硬件结构和指令系统无关，采用人们更易理解的方式编写程序，执行速度相对较慢。

B. 汇编语言适合编写一些对速度和代码长度要求不高的程序。

C. 汇编语言是面向机器的程序设计语言。用助记符代替机器指令的操作码，用地址符号或标号代替指令或操作数的地址，一般采用汇编语言编写控制软件、工具软件。

D. 机器语言编写的程序难以记忆，不便阅读和书写，编写程序难度大。但具有运行速度极快，且占用存储空间少的特点。 你的答案: A B C D 得分: 2分

8.(2分) 云计算根据服务类型分为( )。 A. IAAS、PAAS、SAAS B. IAAS、CAAS、SAAS C. IAAS、PAAS、DAAS D. PAAS、CAAS、SAAS 你的答案: A B C D 得分: 2分 9.(2分) 统一资源定位符是( )。 A. 互联网上网页和其他资源的地址 B. 以上答案都不对 C. 互联网上设备的物理地址 D. 互联网上设备的位置 你的答案: A B C D 得分: 2分

10.(2分) 网站的安全协议是https时，该网站浏览时会进行( )处理。 A. 增加访问标记 B. 加密 C. 身份验证 D. 口令验证

你的答案: A B C D 得分: 2分

11.(2分) 涉密信息系统工程监理工作应由( )的单位或组织自身力量承担。 A. 具有信息系统工程监理资质的单位 B. 涉密信息系统工程建设不需要监理 C. 保密行政管理部门

D. 具有涉密工程监理资质的单位 你的答案: A B C D 得分: 2分

12.(2分) 网页恶意代码通常利用( )来实现植入并进行攻击。 A. U盘工具 B. 拒绝服务攻击 C. 口令攻击 D. IE浏览器的漏洞

你的答案: A B C D 得分: 2分

13.(2分) 在网络安全体系构成要素中“恢复”指的是( )。 A. 恢复网络 B. A和B C. 恢复数据 D. 恢复系统

你的答案: A B C D 得分: 0分

14.(2分) 以下关于盗版软件的说法，错误的是( )。 A. 可能会包含不健康的内容

B. 若出现问题可以找开发商负责赔偿损失 C. 使用盗版软件是违法的

D. 成为计算机病毒的重要来源和传播途径之一 你的答案: A B C D 得分: 2分 15.(2分) WCDMA意思是( )。 A. 宽频码分多址 B. 码分多址 C. 全球移动通信系统 D. 时分多址

你的答案: A B C D 得分: 2分 16.(2分) 网络安全协议包括( )。 A. TCP/IP B. SSL、TLS、IPSec、Telnet、SSH、SET等 C. POP3和IMAP4 D. SMTP 你的答案: A B C D 得分: 2分

17.(2分) 在无线网络中，哪种网络一般采用自组网模式?( ) A. WLAN B. WMAN C. WPAN D. WWAN 你的答案: A B C D 得分: 0分 18.(2分) 下列说法不正确的是( )。 A. Windows Update实际上就是一个后门软件 B. 后门程序都是黑客留下来的

C. 后门程序是绕过安全性控制而获取对程序或系统访问权的程序 D. 后门程序能绕过防火墙 你的答案: A B C D 得分: 2分

19.(2分) 覆盖地理范围最大的网络是( )。 A. 城域网 B. 国际互联网 C. 广域网 D. 无线网

你的答案: A B C D 得分: 2分

20.(2分) 下列关于ADSL拨号攻击的说法，正确的是( )。 A. 能获取ADSL设备的系统管理密码 B. 能损坏ADSL物理设备 C. 能用ADSL设备打电话进行骚扰 D. 能用ADSL设备免费打电话 你的答案: A B C D 得分: 2分

21.(2分) 为了避免被诱入钓鱼网站，应该( )。 A. 使用搜索功能来查找相关网站 B. 检查网站的安全协议 C. 用好杀毒软件的反钓鱼功能

D. 不要轻信来自陌生邮件、手机短信或者论坛上的信息 你的答案: A B C D 得分: 2分 22.(2分) 网络存储设备的存储结构有( )。 A. 宽带式存储 B. 网络连接存储 C. 存储区域网络 D. 直连式存储

你的答案: A B C D 得分: 2分 23.(2分) 万维网有什么作用?( )

A. 提供丰富的文本、图形、图像、音频和视频等信息 B. 便于信息浏览获取 C. 一个物理网络

D. 基于互联网的、最大的电子信息资料库 你的答案: A B C D 得分: 2分

24.(2分) 统一资源定位符中常用的协议?( ) A. ddos B. ftp C. https D. http 你的答案: A B C D 得分: 2分

25.(2分) 以下( )是开展信息系统安全等级保护的环节。 A. 等级测评 B. 备案 C. 监督检查 D. 自主定级 你的答案: A B C D 得分: 2分

26.(2分) 下列攻击中，能导致网络瘫痪的有( )。 A. XSS攻击 B. 拒绝服务攻击 C. 电子邮件攻击 D. SQL攻击

你的答案: A B C D 得分: 0分

27.(2分) 防范内部人员恶意破坏的做法有( )。 A. 严格访问控制 B. 适度的安全防护措施 C. 有效的内部审计 D. 完善的管理措施

你的答案: A B C D 得分: 2分

28.(2分) 常用的非对称密码算法有哪些?( ) A. ElGamal算法 B. 数据加密标准 C. 椭圆曲线密码算法 D. RSA公钥加密算法

你的答案: A B C D 得分: 2分

29.(2分) 信息安全主要包括哪些内容?( ) A. 运行安全和系统安全 B. 物理(实体)安全和通信保密 C. 计算机安全和数据(信息)安全 D. 系统可靠性和信息保障 你的答案: A B C D 得分: 2分

30.(2分) 信息安全行业中权威资格认证有( )。 A. 国际注册信息系统审计师(简称CISA) B. 高级信息安全管理师

C. 国际注册信息安全专家(简称CISSP) D. 注册信息安全专业人员(简称CISP) 你的答案: A B C D 得分: 2分 31.(2分) 安全收发电子邮件可以遵循的原则有( )。 A. 对于隐私或重要的文件可以加密之后再发送 B. 不要查看来源不明和内容不明的邮件，应直接删除 C. 区分工作邮箱和生活邮箱

D. 为邮箱的用户账号设置高强度的口令 你的答案: A B C D 得分: 2分

32.(2分) 防范系统攻击的措施包括( )。 A. 关闭不常用的端口和服务 B. 定期更新系统或打补丁 C. 安装防火墙

D. 系统登录口令设置不能太简单 你的答案: A B C D 得分: 2分

33.(2分) 为了保护个人电脑隐私，应该( )。 A. 删除来历不明文件

B. 使用“文件粉碎”功能删除文件 C. 废弃硬盘要进行特殊处理

D. 给个人电脑设置安全密码，避免让不信任的人使用你的电脑 你的答案: A B C D 得分: 2分

34.(2分) “三网融合”的优势有( )。

A. 极大减少基础建设投入，并简化网络管理。降低维护成本

B. 信息服务将从单一业务转向文字、话音、数据、图像、视频等多媒体综合业务 C. 网络性能得以提升，资源利用水平进一步提高 D. 可衍生出更加丰富的增值业务类型。 你的答案: A B C D 得分: 2分

35.(2分) 目前国际主流的3G移动通信技术标准有( )。 A. WCDMA B. TD-SCDMA C. CDMA2000 D. CDMA 你的答案: A B C D 得分: 2分 36.(2分) 中国移动采用的第三代移动通信技术(3G)标准是WCDMA。 你的答案: 正确 错误 得分: 2分

37.(2分) 通常情况下端口扫描能发现目标主机开哪些服务。 你的答案: 正确 错误 得分: 2分

38.(2分) 目前中国已开发出红旗Linux等具有自主知识产权的操作系统。 你的答案: 正确 错误 得分: 2分

39.(2分) 内部网络使用网闸与公共网络隔离的方式是“物理隔离”的。 你的答案: 正确 错误 得分: 2分

40.(2分) 邮件的附件如果是带有.exe、.com、.pif、.pl、.src和.vbs为后缀的文件，应确定其安全后再打开。

你的答案: 正确 错误 得分: 2分

41.(2分) 政府系统信息安全检查指根据国家的相关要求，国家信息化主管部门牵头，公安、保密、安全等部门参加，对政府信息系统开展的联合检查。 你的答案: 正确 错误 得分: 2分

42.(2分) 机密性、完整性和可用性是评价信息资产的三个安全属性。 你的答案: 正确 错误 得分: 2分

43.(2分) APT攻击是一种“恶意商业间谍威胁”的攻击。 你的答案: 正确 错误 得分: 2分

44.(2分) 在两个具有IrDA端口的设备之间传输数据，中间不能有阻挡物。 你的答案: 正确 错误 得分: 2分

45.(2分) 数字签名在电子政务和电子商务中使用广泛。 你的答案: 正确 错误 得分: 2分

46.(2分) 网络操作系统是为计算机网络配置的操作系统，它使网络中每台计算机能互相通信和共享资源。

你的答案: 正确 错误 得分: 2分

47.(2分) SQL注入攻击可以控制网站服务器。 你的答案: 正确 错误 得分: 2分

48.(2分) ARP欺骗攻击能使攻击者成功假冒某个合法用户和另外合法用户进行网络通信。 你的答案: 正确 错误 得分: 0分 49.(2分) 浏览器缓存和上网历史记录能完整还原用户访问互联网的详细信息，并反映用户的使用习惯、隐私等。因此应当定期清理这些信息以避免他人获得并造成隐私泄密。 你的答案: 正确 错误 得分: 2分

50.(2分) 三层交换机属于物理层共享设备，可并行进行多个端口对之间的数据传输。 你的答案: 正确 错误 得分: 2分

2014广西信息技术与信息安全公需科目题库

(六)

1.(2分) 特别适用于实时和多任务的应用领域的计算机是( )。 A. 巨型机 B. 大型机 C. 微型机 D. 嵌入式计算机

你的答案: ABCD 得分: 2分

2.(2分) 负责对计算机系统的资源进行管理的核心是( )。 A. 中央处理器 B. 存储设备 C. 操作系统 D. 终端设备

你的答案: ABCD 得分: 2分

3.(2分) 2013年12月4日国家工信部正式向中国移动、中国联通、中国电信发放了( )4G牌照。 A. WCDMA B. WiMax C. TD-LTE D. FDD-LTE 你的答案: ABCD 得分: 2分

4.(2分) 以下关于盗版软件的说法，错误的是( )。 A. 若出现问题可以找开发商负责赔偿损失 B. 使用盗版软件是违法的

C. 成为计算机病毒的重要来源和传播途径之一 D. 可能会包含不健康的内容 你的答案: ABCD 得分: 2分 5.(2分) 涉密信息系统工程监理工作应由( )的单位或组织自身力量承担。 A. 具有信息系统工程监理资质的单位 B. 具有涉密工程监理资质的单位 C. 保密行政管理部门

D. 涉密信息系统工程建设不需要监理 你的答案: ABCD 得分: 2分

6.(2分) 以下关于智能建筑的描述，错误的是( )。 A. 智能建筑强调用户体验，具有内生发展动力。

B. 随着建筑智能化的广泛开展，我国智能建筑市场已接近饱和。 C. 建筑智能化已成为发展趋势。

D. 智能建筑能为用户提供一个高效、舒适、便利的人性化建筑环境。 你的答案: ABCD 得分: 2分

7.(2分) 网页恶意代码通常利用( )来实现植入并进行攻击。 A. 口令攻击 B. U盘工具 C. IE浏览器的漏洞 D. 拒绝服务攻击

你的答案: ABCD 得分: 2分

8.(2分) 信息系统在什么阶段要评估风险?( )

A. 只在运行维护阶段进行风险评估，以识别系统面临的不断变化的风险和脆弱性，从而确定安全措施的有效性，确保安全目标得以实现。

B. 只在规划设计阶段进行风险评估，以确定信息系统的安全目标。 C. 只在建设验收阶段进行风险评估，以确定系统的安全目标达到与否。 D. 信息系统在其生命周期的各阶段都要进行风险评估。 你的答案: ABCD 得分: 2分

9.(2分) 下面不能防范电子邮件攻击的是( )。 A. 采用FoxMail B. 采用电子邮件安全加密软件 C. 采用Outlook Express D. 安装入侵检测工具 你的答案: ABCD 得分: 2分 10.(2分) 给Excel文件设置保护密码，可以设置的密码种类有( )。 A. 删除权限密码 B. 修改权限密码 C. 创建权限密码 D. 添加权限密码

你的答案: ABCD 得分: 2分

11.(2分) 覆盖地理范围最大的网络是( )。 A. 广域网 B. 城域网 C. 无线网 D. 国际互联网

你的答案: ABCD 得分: 2分

12.(2分) 在信息安全风险中，以下哪个说法是正确的?( )

A. 风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。在对这些要素的评估过程中，需要充分考虑与这些基本要素相关的各类属性。

B. 风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。在对这些要素的评估过程中，不需要充分考虑与这些基本要素相关的各类属性。

C. 安全需求可通过安全措施得以满足，不需要结合资产价值考虑实施成本。 D. 信息系统的风险在实施了安全措施后可以降为零。 你的答案: ABCD 得分: 2分

13.(2分) 根据国际上对数据备份能力的定义，下面不属于容灾备份类型?( ) A. 存储介质容灾备份 B. 业务级容灾备份 C. 系统级容灾备份 D. 数据级容灾备份 你的答案: ABCD 得分: 2分

14.(2分) 静止的卫星的最大通信距离可以达到( ) 。 A. 18000km B. 15000km C. 10000 km D. 20000 km 你的答案: ABCD 得分: 2分 15.(2分) 网络安全协议包括( )。 A. SSL、TLS、IPSec、Telnet、SSH、SET等 B. POP3和IMAP4 C. SMTP D. TCP/IP 你的答案: ABCD 得分: 2分

16.(2分) 在信息系统安全防护体系设计中，保证“信息系统中数据不被非法修改、破坏、丢失或延时”是为了达到防护体系的( )目标。 A. 可用 B. 保密 C. 可控 D. 完整

你的答案: ABCD 得分: 2分

17.(2分) 要安全浏览网页，不应该( )。 A. 定期清理浏览器缓存和上网历史记录 B. 禁止使用ActiveX控件和Java 脚本 C. 定期清理浏览器Cookies D. 在他人计算机上使用“自动登录”和“记住密码”功能 你的答案: ABCD 得分: 2分 18.(2分) 系统攻击不能实现( )。 A. 盗走硬盘 B. 口令攻击

C. 进入他人计算机系统 D. IP欺骗

你的答案: ABCD 得分: 2分

19.(2分) 我国卫星导航系统的名字叫( )。 A. 天宫 B. 玉兔 C. 神州 D. 北斗 你的答案: ABCD 得分: 2分

20.(2分) 计算机网络硬件设备中的无交换能力的交换机(集线器)属于哪一层共享设备( )。 A. 物理层 B. 数据链路层 C. 传输层 D. 网络层 你的答案: 多选题：

21.(2分) 以下哪些计算机语言是高级语言?( ) A. BASIC B. PASCAL ABCD 得分: 2分 C. #JAVA D. C 你的答案: ABCD 得分: 2分

22.(2分) 常用的非对称密码算法有哪些?( ) A. ElGamal算法 B. 数据加密标准 C. 椭圆曲线密码算法 D. RSA公钥加密算法 你的答案: ABCD 得分: 2分

23.(2分) 信息隐藏技术主要应用有哪些?( ) A. 数据加密 B. 数字作品版权保护

C. 数据完整性保护和不可抵赖性的确认 D. 数据保密

你的答案: ABCD 得分: 2分

24.(2分) 第四代移动通信技术(4G)特点包括( )。 A. 流量价格更低 B. 上网速度快 C. 延迟时间短 D. 流量价格更高

你的答案: ABCD 得分: 2分

25.(2分) 统一资源定位符中常用的协议?( ) A. ddos B. https C. ftp D. http 你的答案: ABCD 得分: 2分

26.(2分) 防范内部人员恶意破坏的做法有( )。 A. 严格访问控制 B. 完善的管理措施 C. 有效的内部审计 D. 适度的安全防护措施 你的答案: ABCD 得分: 2分

27.(2分) 信息安全面临哪些威胁?( ) A. 信息间谍 B. 网络黑客 C. 计算机病毒 D. 信息系统的脆弱性 你的答案: ABCD 得分: 2分

28.(2分) 一般来说无线传感器节点中集成了( )。 A. 通信模块 B. 无线基站 C. 数据处理单元 D. 传感器

你的答案: ABCD 得分: 2分

29.(2分) 下面关于SSID说法正确的是( )。

A. 通过对多个无线接入点AP设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP B. 提供了40位和128位长度的密钥机制

C. 只有设置为名称相同SSID的值的电脑才能互相通信 D. SSID就是一个局域网的名称 你的答案: ABCD 得分: 2分

30.(2分) WLAN主要适合应用在以下哪些场合?( ) A. 难以使用传统的布线网络的场所 B. 使用无线网络成本比较低的场所 C. 人员流动性大的场所 D. 搭建临时性网络 你的答案: ABCD 得分: 2分

31.(2分) 以下不是木马程序具有的特征是( )。 A. 繁殖性 B. 感染性 C. 欺骗性 D. 隐蔽性

你的答案: ABCD 得分: 2分

32.(2分) 防范XSS攻击的措施是( )。 A. 应尽量手工输入URL地址

B. 网站管理员应注重过滤特殊字符，限制输入长度，在代码层面上杜绝XSS漏洞出现的可能性

C. 不要随意点击别人留在论坛留言板里的链接

D. 不要打开来历不明的邮件、邮件附件、帖子等 你的答案: ABCD 得分: 2分 33.(2分) 攻击者通过端口扫描，可以直接获得( )。 A. 目标主机的口令 B. 给目标主机种植木马 C. 目标主机使用了什么操作系统 D. 目标主机开放了哪些端口服务 你的答案: ABCD 得分: 2分

34.(2分) 以下属于电子商务功能的是( )。 A. 意见征询、交易管理 B. 广告宣传、咨询洽谈 C. 网上订购、网上支付 D. 电子账户、服务传递 你的答案: ABCD 得分: 2分

35.(2分) 为了避免被诱入钓鱼网站，应该( )。 A. 不要轻信来自陌生邮件、手机短信或者论坛上的信息 B. 使用搜索功能来查找相关网站 C. 检查网站的安全协议 D. 用好杀毒软件的反钓鱼功能 你的答案: 判断题： ABCD 得分: 2分

36.(2分) 系统安全加固可以防范恶意代码攻击。 你的答案: 正确错误得分: 2分 37.(2分) 三层交换机属于物理层共享设备，可并行进行多个端口对之间的数据传输。 你的答案: 正确错误 得分: 2分

38.(2分) 我国的信息化发展不平衡，总的来说，东部沿海地区信息化指数高，从东部到西部信息化指数逐渐降低。 你的答案: 正确错误得分: 2分

39.(2分) 浏览器缓存和上网历史记录能完整还原用户访问互联网的详细信息，并反映用户的使用习惯、隐私等。因此应当定期清理这些信息以避免他人获得并造成隐私泄密。 你的答案: 正确错误得分: 2分

40.(2分) 光纤通过光在玻璃或塑料纤维中的全反射而进行光传导，传导损耗比电在电线中的传导损耗低得多。

你的答案: 正确错误得分: 2分

41.(2分) 无线网络不受空间的限制，可以在无线网的信号覆盖区域任何一个位置接入网络。

你的答案: 正确错误得分: 2分

42.(2分) 蹭网指攻击者使用自己计算机中的无线网卡连接他人的无线路由器上网，而不是通过正规的ISP提供的线路上网。 你的答案: 正确错误得分: 2分

43.(2分) SQL注入攻击可以控制网站服务器。 你的答案: 正确错误 得分: 2分

44.(2分) 企业与消费者之间的电子商务是企业透过网络销售产品或服务个人消费者。这也是目前一般最常见的模式。 你的答案: 正确错误得分: 2分 45.(2分) 涉密信息系统的建设使用单位应对系统设计方案进行审查论证，保密行政管理部门应参与方案审查论证，在系统总体安全保密性方面加强指导。 你的答案: 正确错误得分: 2分

46.(2分) 风险分析阶段的主要工作就是完成风险的分析和计算。 你的答案: 正确错误得分: 2分

47.(2分) 某个程序给智能手机发送垃圾信息不属于智能手机病毒攻击。 你的答案: 正确错误 得分: 2分

48.(2分) 政府系统信息安全检查指根据国家的相关要求，国家信息化主管部门牵头，公安、保密、安全等部门参加，对政府信息系统开展的联合检查。 你的答案: 正确错误得分: 2分

49.(2分) APT攻击是一种“恶意商业间谍威胁”的攻击。 你的答案: 正确错误得分: 2分

50.(2分) 通常情况下端口扫描能发现目标主机开哪些服务。 你的答案: 正确错误得分: 2分

1.(2分) GSM是第几代移动通信技术?(B ) A. 第三代;B. 第二代;C. 第一代 D. 第四代 2.(2分) 无线局域网的覆盖半径大约是( A)。 A. 10m~100m ;B. 5m~50m;C. 8m~80m D. 15m~150m 3.(2分) 恶意代码传播速度最快、最广的途径是(C )。 A. 安装系统软件时;B. 通过U盘复制来传播文件时 C. 通过网络来传播文件时; D. 通过光盘复制来传播文件时 4.(2分) 以下关于智能建筑的描述，错误的是(A )。

A. 随着建筑智能化的广泛开展，我国智能建筑市场已接近饱和。 B. 智能建筑能为用户提供一个高效、舒适、便利的人性化建筑环境。 C. 建筑智能化已成为发展趋势。

D. 智能建筑强调用户体验，具有内生发展动力。 5.(2分) 广义的电子商务是指( B)。

A. 通过互联网在全球范围内进行的商务贸易活动 B. 通过电子手段进行的商业事务活动 C. 通过电子手段进行的支付活动 D. 通过互联网进行的商品订购活动

第二篇：信息技术与信息安全试答案五

信息技术与信息安全公需科目考试5 1.(2分)网页恶意代码通常利用( )来实现植入并进行攻击。 A. 拒绝服务攻击 B. 口令攻击

C. IE浏览器的漏洞 D. U盘工具 你的答案:AB

C

D得分:2分

2.(2分)涉密信息系统工程监理工作应由( )的单位或组织自身力量承担。 A. 具有信息系统工程监理资质的单位 B. 具有涉密工程监理资质的单位 C. 保密行政管理部门

D. 涉密信息系统工程建设不需要监理 你的答案:AB

C

D得分:2分

3.(2分)全球著名云计算典型应用产品及解决方案中，亚马逊云计算服务名称叫( )。 A. AWS B. SCE C. Azure D. Google App 你的答案:AB

C

D得分:2分

4.(2分)在信息安全风险中，以下哪个说法是正确的?( )

A. 风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。在对这些要素的评估过程中，需要充分考虑与这些基本要素相关的各类属性。 B. 安全需求可通过安全措施得以满足，不需要结合资产价值考虑实施成本。 C. 风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。在对这些要素的评估过程中，不需要充分考虑与这些基本要素相关的各类属性。 D. 信息系统的风险在实施了安全措施后可以降为零。 你的答案:AB

C

D得分:2分

5.(2分)在网络安全体系构成要素中“恢复”指的是( )。 A. A和B B. 恢复数据 C. 恢复系统 D. 恢复网络 你的答案:AB

C

D得分:2分

6.(2分)目前，针对计算机信息系统及网络的恶意程序正逐年成倍增长，其中最为严重的是( )。 A. 木马病毒 B. 系统漏洞 C. 僵尸网络 D. 蠕虫病毒 你的答案:AB

C

D得分:2分

7.(2分)政府系统信息安全检查由( )牵头组织对政府信息系统开展的联合检查。

A. 安全部门

B. 信息化主管部门 C. 公安部门 D. 保密部门 你的答案:AB

C

D得分:2分

8.(2分)黑客在攻击中进行端口扫描可以完成( )。 A. 检测黑客自己计算机已开放哪些端口 B. 口令破译

C. 截获网络流量

D. 获知目标主机开放了哪些端口服务 你的答案:AB

C

D得分:2分

9.(2分)TCP/IP协议是 ( )。 A. 以上答案都不对 B. 指TCP/IP协议族 C. 一个协议

D. TCP和IP两个协议的合称 你的答案:AB

C

D得分:0分

10.(2分)在下一代互联网中，传输的速度能达到( )。 A. 1000Kbps B. 10Mbps到100Mbps C. 10Mbps D. 56Kbps 你的答案:AB

C

D得分:2分

11.(2分)下列关于ADSL拨号攻击的说法，正确的是( )。 A. 能用ADSL设备打电话进行骚扰 B. 能损坏ADSL物理设备 C. 能用ADSL设备免费打电话

D. 能获取ADSL设备的系统管理密码 你的答案:AB

C

D得分:2分

12.(2分)无线局域网的覆盖半径大约是( )。 A. 10m~100m B. 5m~50m C. 15m~150m D. 8m~80m 你的答案:AB

C

D得分:2分

13.(2分)无线个域网的覆盖半径大概是( )。 A. 10m以内 B. 20m以内 C. 30m以内 D. 5m以内 你的答案:AB

C

D得分:2分

14.(2分)以下关于盗版软件的说法，错误的是( )。 A. 使用盗版软件是违法的

B. 成为计算机病毒的重要来源和传播途径之一 C. 可能会包含不健康的内容

D. 若出现问题可以找开发商负责赔偿损失 你的答案:AB

C

D得分:2分

15.(2分)关于信息系统脆弱性识别以下哪个说法是错误的?( )

A. 完成信息系统识别和威胁识别之后，需要进行信息系统脆弱性识别。 B. 以上答案都不对。

C. 可以根据对信息资产损害程度、技术实现的难易程度、弱点流行程度，采用等级方式对已识别的信息系统脆弱性的严重程度进行赋值。

D. 通过扫描工具或人工等不同方式，识别当前信息系统中存在的脆弱性。 你的答案:AB

C

D得分:2分

16.(2分)给Excel文件设置保护密码，可以设置的密码种类有( )。 A. 删除权限密码 B. 添加权限密码 C. 修改权限密码 D. 创建权限密码 你的答案:AB

C

D得分:2分

17.(2分)恶意代码传播速度最快、最广的途径是( )。 A. 通过光盘复制来传播文件时 B. 通过U盘复制来传播文件时 C. 通过网络来传播文件时 D. 安装系统软件时 你的答案:AB

C

D得分:2分

18.(2分)对信息资产识别是( )。

A. 对信息资产进行合理分类，分析安全需求，确定资产的重要程度 B. 以上答案都不对

C. 对信息资产进行合理分类，确定资产的重要程度

D. 从保密性、完整性和可用性三个方面对每个资产类别进行安全需求分析 你的答案:ABCD得分:2分

19.(2分)信息安全措施可以分为( )。 A. 预防性安全措施和防护性安全措施 B. 纠正性安全措施和防护性安全措施 C. 纠正性安全措施和保护性安全措施 D. 预防性安全措施和保护性安全措施 你的答案:AB

C

D得分:2分

20.(2分)不属于被动攻击的是( )。 A. 窃听攻击

B. 拒绝服务攻击

C. 截获并修改正在传输的数据信息 D. 欺骗攻击 你的答案:AB

C

D得分:2分

21.(2分)智能手机感染恶意代码后的应对措施是( )。 A. 联系网络服务提供商，通过无线方式在线杀毒

B. 把SIM卡换到别的手机上，删除存储在卡上感染恶意代码的短信 C. 通过计算机查杀手机上的恶意代码 D. 格式化手机，重装手机操作系统。 你的答案:AB

C

D得分:1分

22.(2分)哪些是国内著名的互联网内容提供商?( ) A. 新浪 B. 谷歌 C. 百度 D. 网易 你的答案:AB

C

D得分:2分

23.(2分)文件型病毒能感染的文件类型是( )。 A. COM类型 B. HTML类型 C. SYS类型 D. EXE类型 你的答案:AB

C

D得分:1分

24.(2分)预防中木马程序的措施有( )。 A. 及时进行操作系统更新和升级

B. 安装如防火墙、反病毒软件等安全防护软件 C. 经常浏览色情网站

D. 不随便使用来历不明的软件 你的答案:AB

C

D得分:2分 25.(2分)以下省份或直辖市中，信息化指数在70以上，属于信息化水平第一类地区的是( )。 A. 天津市 B. 广东省 C. 北京市 D. 上海市 你的答案:AB

C

D得分:0分

26.(2分)计算机感染恶意代码的现象有( )。 A. 正常的计算机经常无故突然死机 B. 无法正常启动操作系统 C. 磁盘空间迅速减少

D. 计算机运行速度明显变慢 你的答案:AB

C

D得分:2分

27.(2分)防范手机病毒的方法有( )。 A. 经常为手机查杀病毒

B. 注意短信息中可能存在的病毒 C. 尽量不用手机从网上下载信息 D. 关闭乱码电话 你的答案:AB

C

D得分:2分

28.(2分)网络钓鱼常用的手段是( )。 A. 利用社会工程学

B. 利用虚假的电子商务网站

C. 利用假冒网上银行、网上证券网站 D. 利用垃圾邮件 你的答案:AB

C

D得分:2分

29.(2分)被动攻击通常包含( )。 A. 拒绝服务攻击 B. 窃听攻击 C. 欺骗攻击

D. 数据驱动攻击 你的答案:AB

C

D得分:2分

30.(2分)以下( )是开展信息系统安全等级保护的环节。 A. 监督检查 B. 自主定级 C. 备案 D. 等级测评 你的答案:AB

C

D得分:2分

31.(2分)根据涉密网络系统的分级保护原则，涉密网络的分级有哪些?( ) A. 秘密 B. 内部 C. 机密 D. 绝密 你的答案:AB

C

D得分:0分

32.(2分)电子政务包含哪些内容?( ) A. 政府办公自动化、政府部门间的信息共建共享、各级政府间的远程视频会议。 B. 政府信息发布。

C. 公民网上查询政府信息。

D. 电子化民意调查、社会经济信息统计。 你的答案:AB

C

D得分:2分

33.(2分)信息隐藏技术主要应用有哪些?( ) A. 数字作品版权保护 B. 数据保密 C. 数据加密

D. 数据完整性保护和不可抵赖性的确认 你的答案:AB

C

D得分:2分

34.(2分)UWB技术主要应用在以下哪些方面?( ) A. 无绳电话 B. 地质勘探

C. 家电设备及便携设备之间的无线数据通信 D. 汽车防冲撞传感器 你的答案:AB

C

D得分:0分

35.(2分)下面关于SSID说法正确的是( )。 A. SSID就是一个局域网的名称

B. 提供了40位和128位长度的密钥机制

C. 通过对多个无线接入点AP设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP D. 只有设置为名称相同SSID的值的电脑才能互相通信 你的答案:AB

C

D得分:2分

36.(2分)大数据的特点是数据量巨大，是指数据存储量已经从TB级别升至PB级别。 你的答案:正确

错误得分:2分

37.(2分)信息系统脆弱性识别是风险评估的一个环节，包括物理、系统、网络、应用和管理五个方面。 你的答案:正确

错误得分: 2分 38.(2分)在任何情况下，涉密计算机及涉密网络都不能与任何公共信息网络连接。 你的答案:正确

错误得分:2分

39.(2分)Windows XP中每一台计算机至少需要一个账户拥有管理员权限，至少需要一个管理员账户使用“Administrator”这个名称。 你的答案:正确

错误得分:2分

40.(2分)系统安全加固可以防范恶意代码攻击。 你的答案:正确

错误得分:2分

41.(2分)无线网络不受空间的限制，可以在无线网的信号覆盖区域任何一个位置接入网络。 你的答案:正确

错误得分:2分

42.(2分)某个程序给智能手机发送垃圾信息不属于智能手机病毒攻击。 你的答案:正确

错误得分:2分

43.(2分)邮件的附件如果是带有.exe、.com、.pif、.pl、.src和.vbs为后缀的文件，应确定其安全后再打开。 你的答案:正确

错误得分:2分

44.(2分)涉密信息系统的建设使用单位应对系统设计方案进行审查论证，保密行政管理部门应参与方案审查论证，在系统总体安全保密性方面加强指导。 你的答案:正确

错误得分:2分

45.(2分)微处理器的计算能力和处理速度正在迅速发展，目前已发展到16位微处理器。 你的答案:正确

错误得分:2分

46.(2分)缓冲区溢出属于主动攻击类型。 你的答案:正确

错误得分:2分

47.(2分)ARP欺骗攻击能使攻击者成功假冒某个合法用户和另外合法用户进行网络通信。 你的答案:正确

错误得分:2分

48.(2分)企业与消费者之间的电子商务是企业透过网络销售产品或服务个人消费者。这也是目前一般最常见的模式。 你的答案:正确

错误得分:2分

49.(2分)内部网络使用网闸与公共网络隔离的方式是“物理隔离”的。 你的答案:正确

错误得分:2分 50.(2分)信息安全风险评估的自评估和检查评估都可依托自身技术力量进行，也可委托具有相应资质的第三方机构提供技术支持。 你的答案:

错误得分:2分

第三篇：信息安全技术关键信息基础设施安全保障指标体系-全国信息安全

国家标准《信息安全技术 关键信息基础设施安全保障评价指标体系》

编制说明

1. 工作简况 1.1. 任务来源

根据国家标准化管理委员会2017年下达的国家标准制修订计划，国家标准《信息安全技术 关键信息基础设施安全保障评价指标体系》由大唐电信科技产业集团(电信科学技术研究院)主办。

关键信息基础设正常运转，关系国家安全、经济发展、社会稳定，随着关键信息基础设施逐渐向网络化、泛在化、智能化发展，网络安全成为关键信息基础设施的重要目标。世界主要国家和地区高度重视，陆续出台了相关战略、规划、立法以及实施方案等，加大对关键信息基础设施的保护力度。近年来，随着我国网络强国战略的深化和实施，国家关键信息基础设施在国民经济和社会发展中的基础性、重要性、保障性、战略性地位日益突出，构建国家关键信息基础设施安全保障体系已迫在眉睫，是当前一项全局性、战略性任务。

2016年4月19日，总书记在网络安全和信息化工作座谈会上指出，“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标。我们必须深入研究，采取有效措施，切实做好国家关键信息基础设施安全防护。” 2016年8月12日，中央网络安全和信息化领导小组办公室、国家质量监督检验检疫总局、国家标准化管理委员会联合印发《关于加强国家网络安全标准化工作的若干意见》(中网办发文〔2016〕5号)，要求“按照深化标准化工作改革方案要求，整合精简强制性标准，在国家关键信息基础设施保护、涉密网络等领域制定强制性国家标准。”2016年11月7日，全国人民代表大会常务委员会发布《中华人民共和国网络安全法》，明确指出“保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序”。2016年12月15日，国务院印发《“十三五”国家信息化规划》(国发〔2016〕73号)，明确提出要构建关键信息基础设施安全保障体系。2016年12月27日，国家互联网信息办公室发布《国家网络空间安全战略》，要求“建立实施关键信息基础设施保护制度，从管理、技术、人才、资金等方面加大投入，依法综合施策，切实加强关键信息基础设施安全防护。”2017年7月10日，国家互联网信息办公室就《关键信息基础设施安全保护条例(征求意见稿)》公开征集意见。

目前国外主要国家对关键信息基础设施的保护起步较早，已出台关键信息基础设施的相关战略、规划、法律、标准、技术、监管等等一系列举措，大力加强关键信息基础设施安全建设，不断提升网络安全保障能力。对于我国而言，一方面，我国在引进外国先进技术、加快产业更新换代的同时，部分关键核心技术和设备受制于他国，存在系统受控、信息泄露发 1

现滞后等隐患，也给关键信息基础设施各领域带来许多安全隐患问题。另一方面，我国关键信息基础设施保护工作起步较晚、发展较慢，缺乏针对性、指导性的标准体系，无法适应新形势下的国际网络安全环境。本标准的制定主要为关键信息基础设施的政府管理部门提供态势判断和决策支持，为关键信息基础设施的管理部门及运营单位的信息安全管理工作提供支持和方法参考。 1.2. 编制目的

本标准主要解决关键信息基础设施网络安全的评价问题。本标准主要用于：评价我国关键信息基础设施安全保障的现状，包括建设情况、运行情况以及所面临的威胁等;为政府管理层的关键信息基础设施态势判断和宏观决策提供支持;为各关键信息基础设施运营单位及管理部门的信息安全保障工作提供参考。 1.3. 主要工作过程

1、2014年，项目组完成网络安全保障评价指标体系阶段性研究报告。主要针对以下三个问题进行了深入研究：研究国外特别是美国、欧盟、联合国等国家、地区和国际组织在网络安全保障评价指标研究方面的资料，总结网络安全保障评价的相关方法、指标、规定和标准;研究新形势、新技术条件下我国网络安全保障工作面临的挑战，分析我国网络安全保障工作的新需求，对我国与网络安全保障评价有关的法规、制度、标准进行梳理和总结;在理论研究和实践调研的基础上，研究提出我国网络安全保障评价指标体系和评价方法。

2、2014年12月-2015年6月，项目组赶赴电力、民航、电信、中国银行等相关行业(企业)进行调研。

3、2015年1月-2015年7月，项目组根据项目要求开展了研讨会，针对调研结果中各行业在网络安全评价中的成功经验和出现的问题进行总结。

4、2015年1月-2015年9月，项目组与关键信息设施保护等进行工作对接。

5、2015年1月-2015年7月，项目组进行了广泛研讨，并咨询了专家意见：2015年1月，对研究提出的网络安全保障评价指标体系的初步框架，召开专家咨询会，听取了崔书昆、李守鹏等专家的意见;2015年6月，召开专家会，听取了中国电信基于大数据的网络安全态势评价工作的介绍;2015年7月，召开专家会听取了关于民航、电信、互联网领域安全指标体系的研究现状，与会专家对网络安全保障评价指标体系课题提出意见建议。

6、2015年8月-2015年9月，与2015年网络安全检查工作、关键信息基础保护工作进行对接。

7、2016年1月-2016年2月，与网络安全检查工作进行对接，采用指标体系对相关检查结果进行了统计测算，并撰写评价报告。

8、2016年4月-2016年8月，针对指标体系在网络安全检查工作中的成功经验和出现的问题进行总结，进一步更新了指标体系。

9、2016年9月-2017年2月，与关键信息设施检查办进行对接，对指标体系的实际应

用进行了深入讨论。

10、2017年3月，项目组在草案初稿的基础上，召开行业专家会，形成草案修正稿。

11、2017年4月，在全国信息安全标准化技术委员会2017年第一次工作组会议周上，项目组申请国家标准制定项目立项。

12、2017年6月，“信息安全技术 关键信息基础设施安全保障指标体系”标准制定项目正式立项。

13、2017年7月，项目组召开专家咨询会，听取了李守鹏、魏军、闵京华、韩正平、张立武等专家的意见。

14、2017年7月，在全国信息安全标准化技术委员会WG7第二次全体会议上，项目组广泛听取专家意见，形成征求意见稿。 1.4. 承担单位

起草单位：大唐电信科技产业集团(电信科学技术研究院)

协作单位：国家信息中心、北京奇安信科技有限公司、北京国舜科技股份有限公司、北京匡恩网络科技有限责任公司、北京天融信科技有限公司等。

本部分主要起草人：韩晓露 吕欣 李阳 毕钰 郭晓萧等。 2. 编制原则和主要内容 2.1. 编制原则

为保证所建立的“关键信息基础设施安全保障评价指标体系”有一个客观、统一的基础，在评价指标体系的设计及指标的选取过程中，主要遵循以下原则：

1、综合性原则

关键信息基础设施安全保障评价指标体系建设是通过从整体和全局上把握我国关键信息基础设施安全保障体系的建设效果、运行状况和整体态势，形成多维的、动态的、综合的关键信息基础设施安全保障评价指标体系。因此，标准设计的首要原则是综合性。

2、科学适用性原则

关键信息基础设施安全保障评价指标体系必须是在符合我国国情、充分认识关键信息基础设施安全保障评价指标体系的科学基础之上建立的。按照国家信息安全保障体系总目标的设计原则，把关键信息基础实施安全各构成要素作为一个有机整体来考虑。指标体系必须符合理论上的完备性、科学性和正确性，即指标概念必须具有明确完整的科学内涵。

适用性原则，就是指标体系应该能够在时空上覆盖我国关键信息基础设施安全保障评价的各个层面，满足系统在完整性和全面性方面的客观要求。尤其是必须考虑由于经济、地区等原因造成的各机构间发展状况的差异，尽量做到不对基础数据的收集工作造成困扰。这一原则的关键在于，最精简的指标体系全面反映关键信息基础设施安全保障的整体水平。

3、导向性原则

评价的目的不是单纯评出名次及优劣的程度，更重要的是引导和鼓励被评价对象向正确

的方向和目标发展，要引导我国关键信息基础设施安全的健康发展。

4、可操作性强原则

可操作性强直接关系到指标体系的落实与实施，包括数据的易获取性(具有一定的现实统计基础，所选的指标变量必须在现实生活中是可以测量得到的或可通过科学方法聚合生成的)、可靠性(通过规范数据的来源、标准等保证数据的可靠与可信)、易处理性(数据便于统计分析处理)以及结果的可用性(便于实际操作，能够服务于我国涉密信息系统安全评价的)等方面。

5、定性定量结合原则

在众多指标中，有些因素是反映最终效果的定性指标，有些是能够通过项目运行过程得到实际数据的定量指标。对于评价最终效果而言，指标体系中这两方面的因素都不可或缺。但为了使指标体系具有高度的操作性，必须在选取定性指标时，舍弃部分与实施效果关系不大的非关键因素，并且尽量将关键的定性指标融合到对权重分配的影响中去。该指标设计的定性定量结合原则就是将定性分析反映在权重上，定量分析反映在指标数据上。

6、可比性原则

可比性是衡量关键信息基础设施安全保障评价指标体系的实际效果的客观标准，是方案权威性的重要标志。关键信息基础设施安全保障评价指标应该既可以横向对比不同机构信息安全保障水平的差异、又能够纵向反映国家及各地区关键信息基础设施安全保障的历史进程和发展趋势。这一原则主要体现在对各级指标的定义、量化和加权等方面。 2.2. 主要内容

本标准概述了本标准各部分通用的基础性概念，给出了关键信息基础设施安全保障指标体系设计的指标框架和评价方法。本标准主要用于：评价我国关键信息基础设施安全保障的现状，包括建设情况、运行情况以及所面临的威胁等;为政府管理层的关键信息基础设施态势判断和宏观决策提供支持;为各关键信息基础设施运营单位及管理部门的信息安全保障工作提供参考。本标准主要框架如下：

前言 引言 1 范围

2 规范性引用文件 3 术语和定义 4 指标体系 5 指标释义

附录A(规范性附录) 指标测量过程 参考文献

本标准主要贡献如下：

1、明确了标准的目标读者及其可能感兴趣的内容

指出标准主要由三个相互关联的部分组成：第1部分包括1-3节，描述了本标准的范围和所使用的术语与定义，对关键信息基础设施、关键信息基础设施安全保障、关键信息基础设施安全保障评价等概念进行了阐释;第2部分为第4节，详细描述了关键信息基础设施安全保障指标体系的体系框架和指标;第3部分包括第5节和附录A，给出了关键信息基础设施安全保障指标体系各具体指标的衡量标准和量化方法，为体系的可操作性提供了保证。

2、给出了关键信息基础设施的概念

关键信息基础设施是指关系国家安全、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施。

《中华人民共和国网络安全法》规定：国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

《国家网络空间安全战略》规定：国家关键信息基础设施是指关系国家安全、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施，包括但不限于提供公共通信、广播电视传输等服务的基础信息网络，能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统，重要互联网应用系统等。

3、指出关键信息基础设施安全保障评价围绕三个维度进行

关键信息基础设施安全保障评价围绕三个维度进行，即建设情况、运行能力和安全态势，并依据关键信息基础设施安全保障对象和内容进行分析和分解，一级指标包括战略保障指标、管理保障指标、安全防护指标、安全监测指标、应急处置指标、信息对抗指标、威胁指标、隐患指标、事件指标。

4、给出了指标测量的一般过程

关键信息基础设施安全保障指标测量的一般过程描述了指标如何依据测量对象的相关属性设立基本测度，应用相应的测量方法得出测量值，并通过分析模型将测量值折算成指标值，最终应用于保障指标体系。关键信息基础设施安全保障指标评价测量过程通过定性或定量的方式将测量对象进行量化以实现评价测量对象的目的。 3. 其他事项说明

a. 在关键信息基础设施安全保障指标指标的体系建设和测量过程方面，试图使所提出的指标体系与测量过程具有一定的通用性，以便于指标体系的推广和扩展;

b. 考虑到指标设计方面应用的可扩展性，在体系建设和测量过程之中，指标体系可以根据实际评价对象的特性做出相应的指标调整，以完善指标体系并得出合理公正的评价。

《信息安全技术 关键信息基础设施安全保障指标体系》标准编写组

2017年8月

第四篇：信息安全技术基于互联网电子政务信息安全指南

前 言 引 言

基于互联网电子政务信息安全指南 1 范围

2 规范性引用文件 3 术语和定义 4 实施原则

5 基于互联网电子政务系统安全保障总体架构 5.1 实施目标 5.2 实施过程 5.3 应用分类 5.4 总体架构 6 安全系统组成

6.1 电子政务安全支撑平台的系统结构 6.2 电子政务安全支撑平台的系统配置 6.3 系统分级防护措施 6.4 信息分类保护措施 7 安全技术要求

7.1 网络互联、接入控制与边界防护 7.2 分域子网安全 7.3 桌面安全防护 7.4 安全管理技术要求 7.5 安全服务 7.6 应用安全 8 安全管理要求 8.1 安全策略 8.2 组织安全 8.3 人员安全 8.4 物理和环境安全 8.5 设备安全 8.6 数据安全 9 安全评估要求 9.1 评估项目 9.2 评估流程 9.3 物理安全评估 9.4 现场技术实施评估 9.5 现场管理实施评估 9.6 技术测试 9.7 系统整改 10 信息安全工程实施

10.1 基于互联网电子政务信息安全保护实施过程 10.2 需求分析阶段 10.3 方案设计阶段 10.4 系统实施与集成阶段 10.5 系统试运行与完善阶段 10.6 系统安全评估 10.7 系统正式运行阶段 参考文献

前 言

本指导性技术文件由全国信息安全标准化技术委员会提出并归口。

本指导性技术文件起草单位：解放军信息工程大学电子技术学院、中国电子技术标准化研究所。

本指导性技术文件主要起草人：陈性元、杜学绘、王超、钱雁斌、张东巍、胡啸。

引 言

互联网是我国重要的信息基础设施和战略资源，积极利用互联网进行电子政务建设，既能节约资源、降低成本，又能提高效率、扩大服务的覆盖面。对于我们这样一个发展中国家来说，具有重要的战略意义和现实意义。本指导性技术文件旨在对基于互联网电子政务信息安全保障进行规范和指导，提高基于互联网电子政务信息安全保障的科学性、规范性和可操作性，指导我国基于互联网地市级(含地市级以下)电子政务信息安全建设。

把政府的政务办公和公共服务建在互联网上，在我国是一种崭新的尝试。利用开放的互联网开展电子政务建设，面临着信息泄密、身份假冒、病毒和黑客攻击等安全威胁，必须高度重视信息安全。

基于互联网电子政务信息安全指南的制订，将对地市级(含地市级以下)政府单位开展经济安全的非涉及国家秘密的电子政务建设起到有效的推动作用。

基于互联网电子政务信息安全指南 1 范围

本指导性技术文件描述了基于互联网电子政务的信息安全保障框架、系统组成、信息安全技术、信息安全评估、信息安全管理、安全接口和信息安全保护实施过程。

本指导性技术文件适用于地市级(含地市级以下)政府单位开展不涉及国家秘密的基于互联网电子政务信息安全建设。可用于指导电子政务系统建设的管理者、信息安全产品的提供者、信息安全的工程技术人员等进行信息安全管理和建设。 2 规范性引用文件

下列文件中的条款通过在本指导性技术文件的引用而成为本指导性技术文件的条款。凡注明日期的引用文件，其后的任何修改(不包括勘误的内容)或修订版都不适用于本指导性技术文件。凡未注明日期的引用文件，其最新版本适用于本指导性技术文件。

GB/T 2887-2000 电子计算机场地通用规范

GB 17859-1999 计算机信息系统安全保护等级划分准则 GB 50174-1993 电子计算机机房设计规范 3 术语和定义

下列术语和定义适用于本指导性技术文件。 3.1

基于互联网电子政务(E-Government based on Internet)

依托互联网，将对内的政务办公、对外的公共服务和政府间的信息共享集成在同一个网络平台下的电子政务应用。 3.2

政务办公安全(securite government affair)

面向政务人员与政务办公相关的安全政务业务处理。政务业务包括部门间的公文流转、公文交换、公文处理、办公管理，部门内部的项目管理、项目审批、群众来信的处理与回复等。 3.3

可信公共服务(trusted government service) 在保证政务信息可信可靠的前提下面向公众提供的公共服务。如政策法规咨询、新闻发布、民意调查等。 3.4

信息的安全共享(securite information share) 信息的安全共享是指政府部门之间安全的数据交换和使用。如工商与税务部门间的信息安全交换等。

安全移动办公(securite mobile affair) 在远程移动环境下实现安全的政务办公或主动式公共服务。 3.5

敏感数据处理区(susceptivity data handle area) 仅向政务办公人员开放的政务办公系统或数据的存储区域。。 3.6

公开数据处理区(publicity data handle area) 向公众开放的公共服务系统或数据的存储区域。 3.7

安全管理区(securite manage area) 仅向系统安全管理员开放的安全管理系统或数据的存储区域。 3.8

安全服务区(securite service area) 为用户提供安全服务的系统或数据的存储区域。 3.9

网络互联与接入控制 (network connect and control) 通过安全技术实现政务网络安全互联，对政务重点区域进行基于策略的接入控制与边界防护。 3.10

桌面安全防护(desktop security Defend) 对政务终端提供网络防护、病毒防护、存储安全、邮件安全等一体化的终端安全保护，保护网上政务办公终端的安全。 3.11

分域防控(defend and control of difference area) 通过制定安全策略，实施用户接入控制和信息交换与访问控制，保证信息的安全隔离和安全交换。 3.12

分类防护(defend of difference level) 根据基于互联网电子政务系统的实际情况，将信息分为完全公开、内部公享和内部受控三类，并根据不同类别的信息采取不同的安全措施。

4 实施原则

基于互联网电子政务信息安全建设的实施原则如下： 1) 涉密信息不上网

基于互联网电子政务系统不得传输或处理涉及国家秘密的信息。 2) 综合防范，适度安全

在基于互联网电子政务建设时，必须充分考虑来自互联网的各种威胁，采取适当的安全措施，进行综合防范。同时，以应用为主导，充分分析应用系统的功能，在有效保证应用的前提下，安全保密建设经济适用、适度安全、易于使用、易于实施。

3) 分域防控、分类防护

贯彻等级保护思想，针对不同的安全域采用不同的安全防护策略，通过制定安全策略，实施分区边界防护和区间访问控制，保证信息的安全隔离和安全交换。 4) 谁主管谁负责

基于互联网电子政务系统的建设过程中，部门网络的内部安全问题应根据本单位的安全需求和实际情况，依据国家相关政策自行开展信息安全建设。 5) 开放环境网络安全与开放服务的协调统一

全面依托互联网建设电子政务系统，不同于政务专网加互联网的方式，不同于基于互联网的单项政务应用，既要有效保障互联网环境下的网络安全，又要解决对公众的开放服务，使安全和开放在互联网环境下达到有机的协调统一。 6) 安全保密一体化

在电子政务安全保密建设中，无论是技术的采用、还是设备的选配，必须坚持安全保密一体化的原则，这样建设的系统才最为有效、最为经济。 5 基于互联网电子政务系统安全保障总体架构 5.1 实施目标

基于互联网电子政务系统既包括面向政府工作人员的政务办公应用，又包括面向公众的公共服务应用，同时实现政府各部门间的资源整合与信息共享，通过基于互联网电子政务系统安全建设，构建安全政务网络平台、安全政务办公平台、可信公共服务平台、安全资源整合与信息共享平台，保障电子政务信息的保密性、完整性、可用性、真实性和可控性。根据信息系统的重要程度，进行分域防控和信息分类防护，对重要的信息系统、重点区域进行重点安全保障，根据系统面临的实际安全威胁，采用适当的安全保障措施，提高电子政务信息安全保障的整体效能。 5.2 实施过程

基于互联网电子政务信息安全保护实施过程可被划分为6个阶段，即：需求分析、方案设计、系统实施与集成、系统试运行与完善、系统安全评估、正式运行。 5.2.1 需求分析阶段

信息系统的需求方应根据市场要求，结合自身的应用目标、需求程度以及建设规划的具体要求，以市场发展总体规划为主要依据，编制信息系统安全工程的中长期规划。

5.2.2 方案设计阶段

应针对安全需求设计安全防护解决方案，建立信息系统安全机制，设计方案应能根据网络现状提供直接的解决方案，应从技术和管理两个方面进行考虑，应是管理制度和网络解决方案的结合。 5.2.3 系统实施与集成阶段 根据设计方案对信息系统进行工程建设实施和系统开发。 5.2.4 系统试运行与完善阶段

局部范围内进行系统试运行，建立开发文档，并进行系统完善。 5.2.5 系统安全评估

制定系统安全评估方案，进行安全自评估或聘请专业机构进行安全评估。 5.2.6 系统正式运行阶段

完成系统验收，系统正式运行，并根据运行过程中出现的实际情况对系统安全不断加强与改进。 5.3 应用分类 5.3.1 信息分类

基于互联网电子政务系统中信息分为完全公开、内部共享和内部受控三类： 1)完全公开信息

完全公开信息是指在互联网上可以完全公开的信息。 2)内部共享信息

内部共享信息是指对政务人员公开的信息。 3)内部受控信息

内部受控信息是指对政务人员实行受控访问的信息。 5.3.2 系统分类

基于互联网电子政务系统的政务应用包括政务办公、公共服务、资源整合与信息共享。 1)政务办公

政务办公主要面向政府部门实现政府部门内部的业务处理。如政府部门间的公文流转、公文交换、公文处理、办公管理、项目管理、项目审批、群众来信的处理与回复等。这类应用处理的信息大部分不宜对外公开，属于敏感信息，安全的重点主要包括对政务人员的身份认证、政务资源的授权访问和信息安全传输等方面。 2)公共服务

公共服务平台主要面向社会向公众提供政策咨询、信息查询、政务数据上报等公众服务。公众服务的对象比较广泛，可以是企业管理人员、普通群众，也可以面向三农提供农村公众服务信息。这类应用处理的前台信息一般不涉及工作秘密，可以对外开放，但它涉及政府在公众的服务形象，要保证该类应用的可靠性、可用性，同时，应保证应用中发布信息的真实与可信，安全防护的重点应放在系统的可靠性、信息的可信性等方面。 3)资源整合与信息共享

主要指部门间的资源整合与信息共享，如工商企业信息面向税务的资源整合与信息共享、工商企业信用信息面向全市其它部门的资源整合与信息共享等。安全的重点包括信息在交流中的传输安全和系统间的访问控制等方面。 5.4 总体架构 5.4.1 系统组成

基于互联网电子政务系统包括安全政务网络平台、安全政务办公平台、安全信息共享平台、可信公共服务平台和安全支撑平台等，基于互联网电子政务系统组成。 互联网是构建电子政务网络的基础设施。安全政务网络平台是依托互联网，由VPN设备将各接入单位安全互联起来的电子政务网络;安全支撑平台为基于互联网的电子政务系统提供安全互联、接入控制、统一身份认证、授权管理、恶意代码防范、入侵检测、安全审计、桌面安全防护等安全支撑;电子政务应用既是安全保障平台的保护对象，又是基于互联网实施电子政务的主体，它包括公开信息、内部共享信息、内部受控信息等，这三类信息运行于电子政务办公平台、电子政务服务平台和电子政务信息共享平台之上;电子政务管理制度体系是电子政务长期有效运行的保证。 1)安全政务网络平台

电子政务网络建设，依托互联网构造低成本的电子政务网络。通过采用商用密码技术和VPN技术，合理配置具有防火墙功能的、不同档次的VPN安全网关和VPN客户端，实现各部门的网络安全互联互通，可以建成低成本、覆盖到乡镇、可扩展的电子政务网络。

同时，因为互联网接入的经济性和便捷性，安全政务网络平台既可保证电子政务办公信息的传输安全，又可保障移动办公用户的接入安全，打破地域和时间的局限，基于互联网进行随时随地的安全移动办公。 2)安全电子政务应用

在安全支撑平台的作用下，基于安全电子政务网络平台，可以打造安全电子政务办公平台、可信电子政务服务平台、安全政务信息共享平台，实现安全移动办公。 3)安全支撑平台

安全支撑平台由安全系统组成，是基于互联网电子政务系统运行的安全保障。 5.4.2 网络结构

基于互联网电子政务系统网络结构包括公共通信网络(互联网)、行政区园区网、市属委办局园区网、上联接口和互联网各类终端用户等。行政园区网又包括中心机房电子政务核心区域和行政办公域两部分。中心机房电子政务核心区域是电子政务保护的重点，根据所存储的应用系统和数据的类型，又划分为敏感数据处理区、公开数据处理区、安全管理区和安全服务区四个安全域。基于互联网电子政务系统网络结如图2。

图2 基于互联网电子政务系统网络结构

图2下半部分是某市行政区园区网，中心机房部分是电子政务系统的重点区域，一般电子政务系统部署于此，也是全市政务数据的存放地;上半部分是与中心区域互联的单位，包括移动办公用户、市属委办局和其他基层政府单位(如乡镇与街道办事处)。通过合理部署VPN产品，全市各部门实现基于互联网的安全互联，形成全市互动的政务网络平台，实现政务公办与公众服务的相统一。 有些政务部门有自已独立的业务系统，运行于单位内部的独立网络环境，不与其它网络联接。它的安全防护根据谁主管谁负责的原则，由主管部门采取适当的安全措施。 6 安全系统组成

6.1 电子政务安全支撑平台的系统结构

电子政务安全支撑平台是基于互联网电子政务系统运行的安全保障。电子政务安全支撑平台依托电子政务安全基础设施颁发的数字证书，通过分级安全服务和分域安全管理，实现基于安全域的安全互联、接入控制与边界防护，提供分域子网安全、桌面安全防护手段，保证电子政务应用安全，最终形成安全开放统

一、分级分域防护的安全体系。电子政务安全支撑平台的系统结构如图3。 图3 电子政务安全支撑平台系统结构 6.1.1 电子政务安全基础设施防护技术

电子政务安全基础设施面向政务办公人员颁发数字证书，部分人员可根据需要使用一次性口令认证方式。本指导性技术文件中采用的主要安全技术为PKI技术，要求能够保证系统的互联互通和将来的功能扩展。 6.1.2 安全互联与接入控制和边界防护技术

安全互联与接入控制、边界防护为分域子网提供安全互联和接入数据集中处理区的访问控制，为行政区和各分域子网提供网络边界防护，为移动行政办公用户提供安全接入控制。本指导性技术文件中采用的主要安全技术包括VPN技术、防火墙技术等。

6.1.3 分域子网安全防护技术

分域子网安全按照“谁主管谁负责”的原则，各委办局自行根据安全需要为分域子网提供网络安全保障。对于重要区域的安全防护采用的主要安全技术包括入侵检测技术、防病毒技术、漏洞扫描技术、安全审计技术、网页防篡改技术等。 6.1.4 桌面安全防护技术

桌面安全防护为互联网上的行政办公终端提供病毒防护、基于个人主机的访问控制、传输安全和存储安全、电子邮件安全等综合安全防护平台。其采用的主要安全技术包括登录认证、主机访问控制、电子邮件安全、安全存储等技术。 6.1.5 应用安全防护技术

应用安全为电子政务应用系统提供统一的身份认证、信息分级分域存储、等级化的访问控制等安全保障，确保电子政务应用的安全。其采用的主要安全技术主要包括统一身份认证技术、授权管理与访问控制技术、基于工作流的访问控制技术、网页防篡改技术等。 6.1.6 安全管理防护技术

安全管理为安全设备和电子政务应用系统提供分域安全管理、授权管理、安全审计等管理手段。安全采用的主要安全技术包括审计管理技术、应急响应保障技术、授权管理技术和VPN安全管理技术等。 6.1.7 安全服务技术

安全服务为各类用户提供分级认证、病毒库下载更新等在线服务。采用的主要安全技术包括统一身份认证技术等。 6.2 电子政务安全支撑平台的系统配置

安全支撑平台涉及网络安全和应用安全两部分。有些是基于互联网电子政务系统的必选配置，有些是基于互联网电子政务系统的可选配置。 6.2.1 VPN系统 1) 安全功能

VPN系统由VPN网关、VPN客户端和VPN管理系统组成，其中，中心机房的VPN网关应带有防火墙功能，共同完成域间安全互联、移动安全接入、用户接入控制、分域防控与网络边界安全等功能。 2) 配置要求

VPN系统实现基于互联网的网络安全互联和分域防控，用于构建电子政务安全网络平台，是基于互联网电子政务系统的必选配置。 6.2.2 统一身份认证与授权管理系统 1) 安全功能

统一身份认证与授权管理系统完成用户统一身份认证、授权管理等功能。授权与访问控制建立在身份认证基础之上，保障电子政务系统的应用安全，为政务办公、公共服务、数据库等安全应用提供认证、授权与访问控制等必需的支撑性安全服务。通过授权管理实现对网络与信息资源使用者权限的控制，达到对资源安全访问的目的。 2) 配置要求

统一身份认证与授权管理系统用于保证政务办公的访问权限控制和公共服务的真实与可信，是基于互联网电子政务系统的必选配置。 6.2.3 恶意代码防范系统 1) 安全功能

恶意代码防范系统完成发现病毒入侵、阻止病毒传播和破坏，恢复受影响的计算机系统和数据等功能。在局域网的所有主机上安装和运行防病毒系统，对各种主机操作系统，进行病毒扫描和清除，防范病毒在网络上的扩散。 2) 配置要求

恶意代码防范系统用于检测和防范病毒在电子政务网络上的传播，是基于互联网电子政务系统的必选配置。 6.2.4 网页防篡改系统 1) 安全功能

基于互联网电子政务系统中大多数应用是以WEB网页方式存在，网页防篡改系统为电子政务应用系统提供网站立即恢复的手段和功能。 2) 配置要求 网页防篡改系统用于阻断来自互联网对电子政务应用系统的破坏，是基于互联网电子政务系统的必选配置。 6.2.5 安全审计系统 1) 安全功能

网络审计系统包括网络审计监控、重要服务器审计、数据库审计、介质审计、主机审计等，对网络连接、系统日志、文件操作、系统流量、WEB访问等进行记录与监控，有利于基于互联网电子政务系统信息安全事件的事后追踪审计。 2) 配置要求

网络审计系统一般部署于电子政务中心区域，对网络事件进行记录，便于事后追踪，是基于互联网电子政务系统的必选配置。 6.2.6 桌面安全防护系统 1) 安全功能

桌面安全防护系统提供网络防护、病毒防护、存储安全、邮件安全等一体化的终端安全保护，保护网上政务办公终端的安全。将桌面安全防护系统分为基本桌面安全防护和增强桌面安全防护两类。 2) 配置要求

基本桌面安全防护完成个人终端的访问控制和终端病毒防护等功能，是基于互联网电子政务系统的必选配置。

增强桌面安全防护在基本桌面安全防护的基础上，增加了存储安全和电子邮件安全功能，是基于互联网电子政务系统的可选配置。 6.2.7 入侵检测系统 1) 安全功能

入侵检测系统能够及时识别并阻止外部入侵者或内部用户对网络系统的非授权使用、误用和滥用，对网络入侵事件实施主动防御。 2) 配置要求

通过在电子政务网络平台上部署入侵检测系统，可提供对常见入侵事件、黑客程序、网络病毒的在线实时检测和告警功能，能够防止恶意入侵事件的发生。入侵检测系统是基于互联网电子政务系统的可选配置。 6.2.8 漏洞扫描系统 1) 安全功能

漏洞扫描系统提供网络系统进行风险预测、风险量化、风险趋势分析等风险管理的有效工具，使用户了解网络的安全配置和运行的应用服务，及时发现安全漏洞，并客观评估网络风险等级。 2) 配置要求

漏洞扫描系统能够发现所维护的服务器的各种端口的分配、提供的服务、服务软件版本和系统存在的安全漏洞，并为用户提供网络系统弱点/漏洞/隐患情况报告和解决方案，帮助用户实现网络系统统一的安全策略，确保网络系统安全有效地运行。漏洞扫描系统是基于互联网电子政务系统的可选配置。 6.2.9 应急响应与灾难恢复系统 1) 安全功能

应急响应与灾难恢复系统提供应对各种突发事件的发生所做的准备以及在事件发生后所采取的措施。基于互联网电子政务应急响应的对象是指与电子政务中存储、传输、处理的数据相关的安全事件，事件的主体可能来自自然界、系统自身故障、组织内部或外部的人、计算机病毒或蠕虫等。 2) 配置要求

应急响应与灾难恢复系统可以实现对网络安全运行情况的全方位监测，提高信息安全事件异常发现能力和数据分析能力，是基于互联网电子政务系统的可选配置。 6.3 系统分级防护措施

不同系统有不同的保护等级，其访问控制安全策略也不尽相同，如何对不同等级的系统和信息进行安全防护，是基于互联网电子政务信息安全保障着重解决的难点。为此必须首先定义安全域，设计系统分域防控防护保护框架，并将其贯穿于基于互联网电子政务信息安全保障技术要求之中。 6.3.1 安全域划分

划分安全域的目标是针对不同的安全域采用不同的安全防护策略，既保证信息的安全访问，又兼顾信息的开放性。按照应用系统等级、数据流相似程度、硬件和软件环境的可共用程度、安全需求相似程度，并且从方便实施的角度，将整个电子政务业务系统分为敏感数据处理区和公开数据处理区。根据安全系统所提供的功能不同，将安全系统所在的区域划分为安全管理区和安全服务区。安全域的划分有利于对电子政务系统实施分区安全防护，即分域防控。基于互联网电子政务安全域划分。 1)敏感数据处理区

敏感数据处理区用来承载处理敏感信息的电子政务系统(可以是子系统)和数据。政府内部和部门之间的业务处理是在敏感数据处理区进行，如政务办公系统、项目审批管理系统中的项目审批子系统等。根据安全策略只有VPN用户才能对敏感数据处理区进行安全访问。 2)公开数据处理区

公开数据处理区用来承载处理公开信息的电子政务系统(可以是子系统)和数据。对公众和企业开放的服务处理在公开数据处理区进行，可以是面向三农的农业信息，也可以是政策发布、政府网站或便民服务等，项目审批管理系统中的项目上报子系统位于公开数据处理区。根据电子政务安全策略对公开数据处理区的访问只需采用基本的身份认证等安全措施保证信息的真实和可靠即可。 3)安全管理区

安全管理区面向电子政务系统安全管理员，承载VPN安全管理、统一授权管理、审计管理和应急响应等安全系统。为全网的电子政务系统提供统一的资源管理、权限管理、策略管理、审计管理和安全可视化管理等内容，根据安全策略，限定只有系统管理员才可以进入安全管理区进行安全操作。 4)安全服务区

安全服务区为所有的电子政务系统用户，提供网络防病毒库的升级服务、统一身份认证服务等。根据电子政务系统安全策略，所有享有安全服务的用户能访问可达。

6.3.2 分域防控

安全域的划分是分域防控的前提。分域防控的目标是通过制定安全策略，实施用户接入控制和信息交换与访问控制，保证信息的安全隔离和安全交换。 6.3.2.1 用户接入控制

电子政务核心区域部署的防火墙对内部四个安全域的访问行为进行基于策略的访问控制，实现用户接入控制。 用户接入控制策略如下：

1) 公开数据处理区允许所有用户访问，且只开放满足应用系统需要的服务端口。 2) 安全服务区和敏感数据处理区允许行政区外的办公用户、行政区内的办公用户和安全管理员访问。

3) 安全管理区只允许安全管理员访问。 6.3.2.2 信息交换与访问控制

电子政务应用的业务数据除了在安全域内部流转之外，也存在不同安全域之间的数据交换。如政务办公系统需要将政策法规信息发布到公开数据处理区，“12345”便民服务热线系统需要从公开数据处理区取得互联网上的投诉信息。

敏感区和公开区之间的数据交换均要通过专用交换进程实现，专用交换进程之间只有经过安全握手认证才能进行数据交换，他们之间的数据交换受安全协议的保护。这种数据交换方式能防止木马攻击造成的信息泄漏。图6给出了不同安全域数据安全交换示意图。

图6 不同安全域数据安全交换示意图 6.4 信息分类保护措施

系统的安全等级高低和防护措施主要是面向它所处理的信息，根据不同类别的信息采取不同的安全措施。 6.4.1.1 公开信息

公开信息主要存放在公开数据处理区，用户无须身份认证、加密传输等措施就可以访问。

6.4.1.2 内部共享信息

内部共享信息存放在敏感数据处理区，用户使用商用密码进行传输加密，通过安全互联方式或移动安全接入方式，经过网络接入控制进入敏感数据处理区，采用口令或数字证书进行身份认证后，实现对内部共享信息的访问。 6.4.1.3 内部受控信息 内部受控信息存放在敏感数据处理区，用户使用与内部共享信息相同的安全处理方式进入敏感数据处理区，但必须采用数字证书认证方式进行身份认证，同时增加应用层的授权与访问控制措施，实现受控访问。 7 安全技术要求

7.1 网络互联、接入控制与边界防护 7.1.1 安全目标

用于网络安全互联、接入控制与边界防护的安全技术主要包括VPN和防火墙技术。综合利用安全隧道、认证、访问权限控制、分域防控等安全机制，实现基于互联网的政务网络互联安全、移动办公安全、重点区域的边界防护安全。 7.1.2 VPN部署方法

基于互联网电子政务中VPN的部署分为三种：不同单位的逻辑互联、同一单位不同物理位置的逻辑互联，移动安全办公逻辑互联。 7.1.2.1 不同单位的逻辑互联

各单位局域网出口处各自部署VPN，不同单位的逻辑互联如图8，通过VPN在Internet上建立安全通道，实现不同单位的逻辑互联。 7.1.2.2 同一单位不同物理位置的逻辑互联

规模较大的局域网部署VPN，规模较小的办事处等机构部属VPN客户端。 7.1.2.3 移动安全办公逻辑互联

移动安全办公用户安装VPN客户端，与VPN建立安全隧道，实现移动安全办公逻辑互联。 7.1.3 VPN网关 7.1.3.1 功能

带有防火墙功能的VPN网关，具有信息透明防护和子网间安全隧道建立功能，支持双向DNS。

7.1.3.2 用户接入控制

用户接入控制的目标是通过制定安全策略，实施基于用户的接入控制，保证不同的用户接入正确区域。中心VPN负责对电子政务核心区域的用户接入访问控制。接入控制策略如下：

1) 普通互联网用户只允许接入公开数据处理区;

2) 中心区以外受VPN和VPN客户端保护的分散委办局、县区集中接入区、乡镇、行政村的政务办公用户允许接入敏感数据处理区、安全服务区和公开数据处理区; 3) 安全管理员允许接入安全管理区。

4) 非授权用户不能接入电子政务中心区域内部办公用户所组成的内部办公区域。 7.1.3.3 网络适应性 网络适应性要求如下：

1) 支持与网络的NAT设备兼容，支持网桥模式/网关模式，支持一对多通信加密能力; 2) 处理速率能够满足电子政务系统应用需求，不产生累加时延，不造成数据丢失、应用系统处理速度和网络传输能力的明显下降。 7.1.3.4 管理

同时支持远程集中式管理和本地安全管理。具体要求包括：

1) 支持远程可视化集中管理，构建安全管理、密钥管理、审计管理三个中心，监视VPN的运行状态;

2) 支持用户在远程对当地安全设备进行管理，与远程集中式管理相结合，互为补充;

3) 支持本地安全管理。 7.1.3.5 可靠性

具有较强的稳定可靠性、可维护性、可扩展性。具体要求包括： 1) 产品设计中充分考虑软硬件的可靠性设计，支持双机热备份功能; 2) 故障检测与故障定位功能完善，安全设备结构设计方便维护; 3) 支持VPN 系统的扩容、结构变化与多级管理。 7.1.3.6 密码配置

VPN所使用的加密算法和验证算法应符合国家密码管理的有关规定。 7.1.3.7 审计

支持审计跟踪功能，实时记录通信中的关键操作和系统运行的异常状态，支持审计自动转储，支持在线审计。 7.1.3.8 认证

支持基于数字证书的设备认证和用户认证。 7.1.3.9 自身防护

自身具有入侵检测与攻击防护能力。 7.1.4 VPN客户端 7.1.4.1 适应性

支持LAN、ADSL、WLAN、PSTN、CDMA、GPRS等多种互联网接入方式。 7.1.4.2 实体鉴别

客户端接入基于数字证书和统一身份认证系统实施认证。 7.1.4.3 性能

安全隧道的处理速率能够满足应用系统要求。 7.1.4.4 应用支持

支持移动办公网络所使用的协议，如ftp、HTTP、DNS、SMTP、POP

3、组播协议等。

7.1.4.5 密码配置

VPN客户端所使用的加密算法和验证算法应符合国家密码管理的有关规定。 7.1.5 防火墙部署

防火墙部署于中心机房出口处，外部端口连接中心区域的核心交换机，四个内部端口分别连接公开数据处理区、安全服务区、敏感数据处理区和安全管理区，便于实施用户接入控制和信息交换与访问控制，保证信息的安全隔离和安全交换。 7.1.6 防火墙分域防控技术

7.1.6.1 基于状态检测的包过滤功能 基于状态检测的包过滤功能包括：

1) 安全策略使用最小安全原则，即除非明确允许，否则就禁止;。

2) 防火墙应支持用户自定义的安全策略，安全策略可以是MAC地址、IP地址、端口、协议类型和时间的部分或全部组合。 7.1.6.2 NAT功能

防火墙应具备双向NAT功能，隐藏内部网络拓扑结构，完成防火墙内外的双向地址转换。具体功能要求包括：

1) 支持“多对多”的动态SNAT技术，保证内部网络主机正常访问外部网络时，其源IP地址被转换;

2) 支持“多对多”的动态DNAT技术，确保外部网络主机能够通过访问映射地址实现对内网服务器的访问。 7.1.6.3 流量统计与控制功能 具体功能要求包括：

1) 支持通过IP地址、网络服务、时间和协议类型等参数或它们的组合进行流量统计;

2) 支持基于IP和用户的流量控制;

3) 支持实时或者以报表形式输出流量统计结果。 7.1.6.4 安全审计功能

具有全面、细致的日志记录及良好的日志分析能力，记录的事件类型至少包括： 1) 被防火墙策略允许的从外部网络访问内部网络、DMZ和防火墙自身的访问请求;

2) 被防火墙策略允许的从内部网络和DMZ访问外部网络服务的访问请求; 3) 从内部网络、外部网络和DMZ发起的试图穿越或到达防火墙的违反安全策略的访问请求;

4) 试图登录防火墙管理端口和管理身份鉴别请求;。

5) 每次重新启动，包括防火墙系统自身的启动和安全策略重新启动; 6) 所有对防火墙系统时钟的手动修改操作。 7.1.6.5 应用代理功能

具备应用代理功能，隔离内外网络为HTTP、FTP、SMTP、POP

3、TELNET等服务提供透明代理。 7.1.6.6 可靠性

具备双机热备份功能，保证软硬件系统具有较强的稳定性、可靠性。 7.1.6.7 自身防护 具有自身保护能力，能防范常见的各种网络攻击。 7.1.6.8 与其他安全产品协同联动 具体要求包括：

1) 具有按照一定的安全协议与其它安全产品协同联动的能力，支持手工与自动方式来配置联动策略;

2) 防火墙在协同联动前必须对与其联动的安全产品进行强身份认证。 7.1.6.9 分域防控 1)用户接入控制

电子政务中心机房部署的防火墙对外部用户对四个安全域的访问行为进行基于策略的访问控制，实现用户接入控制。 用户接入控制策略如下：

(1) 公开数据处理区允许所有用户访问，且只开放满足应用系统需要的服务端口;

(2) 安全服务区和敏感数据处理区允许行政区外的办公用户、行政区内的办公用户和安全管理员访问;

(3) 安全管理区只允许安全管理员访问;

(4) 不允许安全管理区、敏感数据处理区、安全服务区和公开数据处理区访问互联网。

2)信息交换与访问控制

公开数据处理区、安全服务区、敏感数据处理区和安全管理区的系统之间存在着数据交换，区间安全交换就是在保证正常的数据交换同时，还要防止恶意攻击者利用其可以直接访问的安全域对其他重要安全域发起间接攻击。 信息交换与访问控制策略包括：

(1)区间安全交换应允许安全域之间正常的数据交换，主要包括：

l 允许安全管理区对敏感数据处理区、公开数据处理区和安全服务区进行配置和管理;

l 允许安全服务区向敏感数据处理区、公开数据处理区提供安全服务; l 允许敏感数据处理区向公开数据处理区发布信息。

(2)接入控制和边界访问控制防止了互联网用户对重要安全域的直接攻击，由于普通互联网用户可以直接访问公开数据处理区和安全服务区，因此还要防止间接攻击。主要包括：

l 禁止公开数据处理区访问安全管理区和敏感数据处理区; l 禁止安全服务区访问安全管理区和敏感数据处理区; l 禁止敏感数据处理区访问安全管理区。 (3)支持安全数据交换

某些特殊情况下，需要进行违反上述安全策略的操作，如敏感数据处理区的政务办公系统与安全管理区的统一授权管理系统的数据同步。信息交换与访问控制应该支持针对特定端口、特定协议的访问控制。 7.2 分域子网安全 7.2.1 安全目标

分域子网安全主要关注中心机房电子政务核心区域的安全防护，其他市属委办局园区网的安全遵循“谁主管谁负责”原则，由各单位自行防护。中心机房电子政务核心区域中四个安全域的安全防护需求不同，因此分域子网安全提出了各安全域的防护重点，并对安全设备提出了功能要求。 7.2.2 安全功能

中心机房电子政务核心区域是基于互联网电子政务系统的数据存储和处理的核心区域，也是分域子网安全防护的重点。对中心机房电子政务核心区域的安全防护主要包括网络入侵检测、网络安全审计、网页防窜改和网络防病毒等，分域子网安全系统组成。

网络入侵检测对重点区域的网络事件进行检测，以及网络入侵事件的检测和响应;网络审计对网络日志进行记录，供事后进行分析，以便进行责任认定与事件跟踪;网络防病毒部署网络防病毒系统，阻止病毒在全网内扩散;网页防篡改实时监控政府门户网站等对外服务网站，一旦网站遭到攻击或篡改可以进行快速地恢复。 7.2.3 网络入侵检测

7.2.3.1 网络入侵检测系统部署

网络入侵检测系统应部署于电子政务系统的网络数据交汇处，以便对各安全域的网络数据进行采集和检测，重点是敏感数据处理区、安全管理区等电子政务核心区域。

7.2.3.2 数据探测功能

网络入侵检测系统应具有实时获取受保护网段内的数据包的能力。网络入侵检测系统至少应监视基于互联网电子政务系统常用IP、TCP、UDP、HTTP、FTP、TFTP、POP

3、DNS的协议事件。 7.2.3.3 监测功能 监测功能包括：

1) 行为检测。网络入侵检测系统至少应对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等攻击行为进行监控;具有发现IP碎片重组，TCP流重组等躲避或欺骗检测行为的能力;应具有对高频度发生的相同安全事件进行合并告警，并能够避免告警风暴。 2) 流量检测。网络入侵检测系统应监视整个网络或者某一特定协议、地址、端口的报文流量和字节流量。 7.2.3.4 响应与结果处理功能 响应与结果处理功能包括：

1) 当系统检测到入侵时，应自动采取屏幕实时提示、E-mail告警、声音告警等方式发出安全警告;具有与防火墙进行联动的能力，可按照设定的联动策略自动调整防火墙配置;

2) 系统应记录并保存事件发生时间、源地址、目的地址、危害等级、事件详细描述等检测结果，可生成详尽的检测结果报告以及解决方案建议。 7.2.3.5 性能 性能要求包括：

1) 自身安全性要求。网络入侵检测系统应采取隐藏探测器IP地址等措施使自身在网络上不可见，以降低被攻击的可能性;系统应仅限于指定的授权角色访问事件数据，禁止其它用户对事件数据的操作;系统在启动和正常工作时，应周期性地、或者按照授权管理员的要求执行自检，以验证产品自身执行的正确性;应能为系统操作事件产生审计数据。

2) 产品应将误报率和漏报率控制在应用许可的范围，不能对正常使用产品产生较大影响;系统应支持对各种速率和各种主流交换设备的端口镜像。 7.2.4 网络安全审计

7.2.4.1 网络安全审计系统部署

网络安全审计系统应部署于电子政务系统的网络数据交汇处，以便对各安全域的网络数据进行采集，数据采集的重点是敏感数据处理区、安全管理区等电子政务核心区域。

7.2.4.2 数据采集与分析 数据采集与分析要求包括：

1) 应对重点区域的网络通信事件进行采集，记录事件的时间、主体、客体、类型、级别、结果等事件基本信息;应在实际的系统环境和网络带宽下及时的进行审计数据生成;

2) 产品应对审计事件的发生总数、单个审计事件累计发生次数或单个审计事件发生频率进行数值统计，并对不规则或和网络通信连接数剧增等异常事件和行为进行分析处理，可预设异常发生阈值。必要时应提供审计分析接口，由用户选择不同的审计分析模块以增强自身的审计分析能力。 7.2.4.3 审计策略

产品应对可审计跟踪的事件按用户可理解的方式进行分类，方便用户浏览和策略定制。同时应将可审计事件的重要程度划分为不同的级别，对不同级别的事件采取不同的处理方式。应为用户提供可自主定制的审计策略定制功能。 7.2.4.4 审计记录存储 审计记录存储要求包括：

1) 产品应至少采取一种安全机制，保护审计记录数据免遭未经授权的删除或修改，如采取严格的身份鉴别机制和适合的文件读写权限等;

2) 任何对审计记录数据的删除或修改都应生成系统自身安全审计记录。 7.2.4.5 告警与响应 告警与响应要求包括： 1) 对于系统安全策略定义的紧急事件，产品应直接向报警处理器发送报警消息，并记录报警数据。报警记录应包括事件ID、事件主体、事件客体、事件发生时间、事件危险级别、事件描述、事件结果(成功或失败)等内容;

2) 产品应对报警记录采取相应的响应动作，支持向系统管理员发送报警邮件、向网管中心发送SNMP、Trap报警消息、向声光电报警装置发送启动信号、向网管人员发送SMS报警短消息，或多种方式的组合。必要时与其它网络安全系统进行联动。

7.2.5 网络防病毒

7.2.5.1 网络防病毒系统部署

安全域内的每个主机上安装网络防病毒系统，通过病毒升级服务器进行病毒库更新和系统升级。必要时可部署防病毒网关或单独的邮件病毒过滤插件提供保护。 7.2.5.2 病毒检测功能

能检测蠕虫病毒、宏病毒、木马型病毒等各种已知病毒，发现未知病毒或可疑代码;能够扫描包括使用多种主流压缩格式进行多重压缩的文件内的病毒。 7.2.5.3 病毒清理功能

能及时对检测出的病毒进行清理，将不能清除的带毒文件进行隔离，防止再次传染。

7.2.5.4 警报和日志功能 警报和日志功能要求包括：

1) 应具有集中化的报警、日志报告功能，能生成统计分析报告;

2) 具备实时报警功能，警告信息应该按严重程度分级报警，报警消息分为信息、警告、紧急等，可以按级别过滤警告消息，并且电子政务网用户可自定义报警消息的内容。 7.2.5.5 升级方式 升级方式包括：

1) 应提供多种升级方式，支持特征代码库文件的自动下载和分发，能够通过多级分发服务器，实现电子政务网病毒特征文件的自动更新;通过设置，整个更新过程无须管理员或者用户的干预;

2) 升级不应影响正常的业务通信，应提供增量升级方式，以最少占用网络带宽;升级后不需要重启动系统;升级应具备容错功能，当出现线路不稳定等因素时，防病毒系统可以自动校验、纠错、恢复，无需人工干预;

3) 宜在夜间非工作时间进行病毒库分发，应尽量采用增量升级的方法，来减少网络带宽消耗，增加升级效率。 7.2.5.6 系统兼容性

要求网络防病毒系统支持Windows、Linux和Unix等主流操作系统的各种版本。 7.2.6 网页防窜改 7.2.6.1 系统部署要求 网页防窜改系统应部署于易遭受来自互联网攻击的区域，保护通过互联网为用户提供服务的系统，如公开数据区的政府门户网站。 7.2.6.2 篡改行为检测功能要求

支持所有类型文件的自动监控。支持断线/连线状态下篡改检测。 7.2.6.3 网页恢复功能要求

支持连线状态下网页快速恢复，瞬间清除被非法篡改的网页，实时恢复正确网页。 7.2.6.4 篡改分析功能

能够提供可疑篡改源 IP 列表、网站所有访问的信息、可疑请求查询等必要数据，供管理进行统计分析。 7.2.6.5 发布与同步功能

支持自动或手动方式精确同步和增量同步。支持集群、多机热备，自动执行多个 Web、 应用服务器的同步;支持多虚拟主机、目录的并发同步。 7.2.6.6 报警功能

支持多级报警级别设置，提供声音提示、电子邮件、手机短信、电话铃声报警模式。

7.2.6.7 系统兼容性要求

要求网络防病毒系统支持Windows、Linux和Unix等主流操作系统的各种版本。 7.3 桌面安全防护 7.3.1 安全目标

构造多层次、全方位的纵深安全防御体系，实现本地数据利用特制目录安全存储、网络数据经过防火墙安全过滤、安全电子邮件传输，保证重要和敏感信息的机密性、完整性，从而保证政务桌面系统的安全、保密、可靠、方便和实用。 7.3.2 防护功能

桌面安全防护由安全电子邮件系统、安全公文包、PC防火墙、防病毒软件等组成。它包含两层防护配置，图15给出了桌面安全防护技术示意图，其防护功能如下。

7.3.2.1 基本桌面安全防护功能 具有主机病毒防护、PC防火墙功能。 7.3.2.2 增强桌面安全防护功能

具有主机病毒防护、PC防火墙、安全公文包(桌面存储安全)、安全电子邮件等功能。

7.3.3 桌面安全防护技术要求

桌面安全防护技术是电子政务用户终端安全的基本保障。 7.3.3.1 主机病毒防护

能够通过VPN及时远程升级病毒特征库，定期检查病毒，防止网络病毒的扩散。 7.3.3.2 PC防火墙 具体要求包括： 1) 基本要求。实现对进出计算机的数据包进行安全过滤，实施网络访问控制，对移动PC和用户端系统起到安全保护作用。

2) 统一策略配置要求。当启用专用防火墙时，支持用户策略的统一配置;当启用配置Windows自带防火墙功能时，能够提供一个实用程序进行统一的策略配置和导入。保证政务终端实现基于策略的访问控制，同时使系统易用、易管理。 7.3.3.3 桌面存储安全

桌面存储安全的功能是对桌面重要或敏感信息实施存储安全保护。具体要求包括： 1) 易用性要求。支持与微软Windows系列操作系统的无缝集成，实现对安全公文包访问的身份认证，以及数据文件、数据目录的机密性、完整性和数字签名保护。

2) 解密安全要求。支持解密文件时断开网络连接，保证敏感数据的安全。 3) 密钥管理要求。支持密钥的更新、撤销、恢复、同步等密钥管理功能。 7.3.3.4 安全电子邮件 具体要求包括：

1) 基本功能要求。支持邮件传输的机密性、完整性、可认证性、数字签名、抗抵赖等安全服务。

2) 安全电子邮件群发要求。支持同一安全域内安全邮件的群发。

3) 安全电子邮件点对点互发要求。支持基于公钥技术的点对点邮件互发。 4) 密钥管理要求。支持密钥及用户证书的更新、撤销、恢复、同步等功能。 7.4 安全管理技术要求 7.4.1 安全目标

能够对基于互联网的电子政务系统进行安全设备管理、用户管理、策略管理、密钥管理、审计管理和统一身份认证与授权管理等，将电子政务系统纳入统一安全管理体系，使系统安全可管理、安全事件可核查。 7.4.2 安全功能

安全管理技术主要由VPN安全管理、统一授权管理、审计管理以及应急响应四部分组成，主要完成以下功能：

1) VPN安全管理。具有VPN安全设备管理、VPN终端用户管理、安全策略管理、密钥管理和安全审计等功能。

2) 统一授权管理。为电子政务系统中WEB服务、数据库、公文流转、电子印章等安全应用提供统一的基于角色的授权管理功能。

3) 审计管理。对电子政务系统中的网络连接、系统日志、文件操作、系统流量、WEB访问等进行记录与监控。

4) 应急响应。实现对网络安全运行情况的全方位监测，提高信息安全事件的发现能力和数据分析能力，有效地推动电子政务安全工作的开展。 7.4.3 安全管理技术要求 7.4.3.1 VPN安全管理 具体要求包括：

1) 基本功能要求。支持多种接入方式下的安全隧道管理;支持VPN放火墙策略配置管理;支持基于网络数据流的审计日志管理。

2) VPN设备统一管理要求。支持系统中所有VPN的统一管理，包括策略的统一设置和系统配置。

3) 端用户统一管理要求。支持VPN客户端的统一管理，包括在线监视和接入审计。

4) 分域防控管理要求。支持安全域的划分和分域防控策略管理。 5) 用户接入控制管理要求。支持基于用户的接入控制管理。 7.4.3.2 统一授权管理 具体要求包括：

1) 基本功能要求。支持统一授权功能，包括统一的角色定义、资源描述和权限分配;支持基于角色分级授权、基于资源分级授权以及颁发属性证书的管理。 2) 统一的用户管理要求。支持本地政府CA颁发的证书导入。 3) 多种认证方式要求。支持证书和口令两种认证方式。 4) 单点登录要求。支持单点登录功能。

5) 多级授权管理要求。支持政务部门分级进行授权管理，避免了集中授权的复杂性，提高了授权的准确性。

6) 与应用系统之间接口要求。支持与应用系统模块信息的同步接口;支持与授权信息的同步接口;支持授权信息的在线查询接口。

7) 授权粒度要求。具有授权到子系统(即功能模块)的功能，子系统划分不小于3级。

7.4.3.3 审计管理 具体要求包括：

1) 基本功能要求。支持政务信息系统访问行为的安全审计。

2) 网络数据流实时审计要求。支持基于网络数据流的安全审计;支持审计自动转储、在线审计。

3) 敏感数据审计要求。支持对敏感数据访问行为的安全审计。

4) 审计查阅要求。支持授权用户通过审计查阅工具进行审计信息的查询，审计信息易于理解。

5) 完整性保护要求。支持审计日志的完整性保护。

6) 集中管理要求。支持各种安全设备审计信息的集中管理。 7.4.3.4 应急响应 具体要求包括：

1) 基本功能要求。支持预警预报管理。利用特定的安全工具或情报网络，根据网络状态以及其他情报信息预先获得安全事件将要发生的信息，并通过应急网络系统发布到各个组织，以便在安全事件来临前做好准备。 2) 集中式管理要求。支持集中式管理，为事故处理提供知识支持和信息查询。 3) 关键数据备份/恢复要求。支持关键服务和关键数据的完善的实时/非实时的备份/恢复策略。

4) 事件分析要求。能够对每一次安全事件的响应过程进行系统记录，保存相关有价值的辅助信息，如日志信息等。应急响应过程文档中还应当记录安全事件所造成的损失和影响等，规范化的文档记录有利于经验的积累。

5) 异地容灾备份要求。能够应对各种对信息系统造成严重破坏的灾难事件，这些灾难事件包括由自然灾难、恐怖袭击、大范围电力系统故障、设备损坏等导致的系统数据或应用遭到不可逆转的破坏。 7.4.4 安全管理角色与职责 7.4.4.1 安全管理员

基本职责要求：与高层主管经常联络并报告有关情况;颁发和维护系统信息安全策略;制订和实施信息安全计划;对信息防护措施的实施和使用进行日常监督;启动和协助安全事故调查。 7.4.4.2 安全审计员

基本职责要求：对组织机构的安全管理体系、信息系统的安全风险控制、管理过程的有效性和正确性进行审计;对审计过程进行控制，制定审计的工作程序和规范化工作流程，将审计活动周期化，同时加强安全事件发生后的审计。 7.4.4.3 数据管理员

基本职责要求：应保障数据安全。应明确说明需定期备份的重要业务信息、系统数据及软件等内容和备份周期;对数据备份和恢复的管理应保证其应有的安全性要求。

7.4.4.4 网络管理员

基本职责要求：保障网络的正常连通;对重要网络设备、节点的运维要进行监控，便于及时地解决问题;对安全域的物理与环境安全提出建议。 7.5 安全服务 7.5.1 安全目标

为电子政务应用系统中的合法用户提供可靠的统一身份认证和防病毒等安全服务。

7.5.2 统一身份认证 7.5.2.1 认证方式

支持证书方式、口令方式、证书与口令相结合的方式等认证方式。 7.5.2.2 认证登录 具体要求包括：

1) 在用户身份被认证前，限制用户执行登录以外行为的能力;

2) 应规定用户不成功的登录尝试次数，及达到该次数时所采取的行动; 3) 具有单点登录功能。认证服务器统一负责及时传递用户身份信息给用户将要访问的服务器，并响应合法用户对登录信息的查询;

4) 统一身份认证功能应避免提供给用户的反馈泄露用户的认证信息。 7.5.2.3 统一用户管理 具体要求包括：

1) 具有统一的用户管理功能，支持当地CA颁发的证书导入，能够对数字证书的有效性进行验证，包括证书链的验证，证书有效期的验证，证书签名有效性验证等内容;

2) 支持安全基础设施版发的数字证书，具有良好的可扩展性，支持证书撤销列表(CRL)，目录服务支持LDAP v3协议，提供透明的证书和证书状态查询功能。 7.5.2.4 日志

提供较完善的认证系统工作日志。客户端可查看用户访问日志，认证服务器可查看所有在域内用户的访问情况，包括用户的登录、登出、访问请求记录。支持日志查询，并能够进行日志转储。 7.5.2.5 与应用系统的融合 具体要求包括：

1) 支持认证信息与应用系统模块信息的同步，确保组织机构、用户、角色、用户角色关系等信息的一致性; 2) 支持认证结果的在线查询; 3) 支持认证与授权的同步接口。 7.5.2.6 认证过程自身安全

实现安全认证，有效防止用户认证过程中的重放、第三方等攻击。 7.5.3 恶意代码防范 7.5.3.1 功能 具体要求包括：

1) 具有主机和网络防病毒功能;

2) 防病毒系统能检测蠕虫病毒、宏病毒、木马型病毒等各种已知病毒和未知病毒，对病毒检测、清除能力较强，能自动恢复被病毒修改的注册表，自动删除特洛伊/木马程序;

3) 能够扫描包括使用多种主流压缩格式进行多重压缩的文件内的病毒; 4) 防病毒系统将不能清除的带毒文件进行隔离，防止再次传染。 7.5.3.2 病毒库升级 具体要求包括：

1) 支持特征代码库文件的自动下载和分发，实现电子政务网病毒特征文件的自动更新;

2) 升级不应影响正常的业务通信，支持增量升级方式，减少网络带宽占用率; 3) 升级应具备容错功能，当出现线路不稳定等因素时，防病毒系统可以自动校验、纠错、恢复，无需人工干预。 7.5.3.3 管理 具体要求包括：

1) 确保及时升级主机的安全补丁，防止网络蠕虫爆发;。不能升级的，应采取相应的规避措施;

2) 支持跨平台管理，能够统一管理整个电子政务网中不同系统下的防病毒系统，比如：Windows、Linux、Novell和Unix等;

3) 支持对防病毒客户端统一的配置和管理，包括对客户端的启动、停止、关闭、监测、扫描、清除、隔离、告警、日志记录、处理方式、代码提取、代码传送及其它各类控制参数进行设置;

4) 系统应对病毒可能侵入系统的途径(如软盘、光盘、可移动磁盘、网络接口等)进行控制，严格控制并阻断可能的病毒携带介质在系统内的传播。 7.5.3.4 性能

防病毒产品占用较少的系统资源，在系统繁忙时应能调整资源的占用率，不影响主机上的业务应用。 7.6 应用安全

7.6.1 安全需求与目标 7.6.1.1 安全需求

基于互联网电子政务应用系统是建立在互联网基础设施和安全基础设施之上的集政务办公、公共服务和政务信息共享于一体的综合应用平台，其安全需求不同于传统的电子政务应用。传统电子政务系统大多与互联网等公共网络隔离，相对基于互联网电子政务系统而言，面临的外部安全威胁和安全风险较小，且传统电子政务系统的用户大多是政府工作人员，受到外部人员攻击的可能性很小。总体上基于互联网电子政务系统的安全需求如下：

1) 防止敏感信息失泄密。电子政务系统尤其是政务办公和信息共享平台，大量存在敏感程度较高的政务信息，若不加任何保护直接在互联网上进行传输和处理，其内容很容易泄漏或被非法篡改。

2) 防止身份假冒。用户是访问应用系统的主体，应用系统必须能够对用户的真实性进行验证。对于从事较高敏感级别业务的用户，应该采取有效的安全防护措施防止用户假冒。

3) 防止越权操作。基于互联网电子政务系统包括政务工作人员、企业用户、公众等多种类型的用户，每个用户的职能和岗位不尽相同，应用系统应能保证用户只能进行与本职工作相关的操作。

4) 防止假冒信息发布。政府门户网站等公共服务平台是政府对外服务的窗口，若发布的信息有误或被攻击者利用进行恶意信息发布，将严重影响政府形象，必须保证网站的完整性和发布信息的真实可信。

5) 政务系统分类防护。基于互联网电子政务系统含有不同安全级别电子政务应用，不同级别的应用系统应在不同的安全域中部署。电子政务应用中处理不同敏感程度的信息，不同敏感程度政务信息应进行物理分域存储。 7.6.1.2 安全目标

电子政务应用既是安全支撑平台的保护对象，又是基于互联网实施电子政务的主体，安全的实施要求要靠应用系统来落实。应用安全主要是指与应用系统密切相关的安全技术，通过应用安全技术的实施，使应用系统具有身份认证、基于权限的访问控制、基于工作流的访问控制等安全功能。应用安全主要目标是根据基于互联网电子政务应用系统的安全需求，对与应用相关的安全系统提出具体的功能和技术要求，用于指导基于互联网电子政务应用的开发和实施，保证电子政务应用系统符合基于互联网电子政务整体安全要求。 7.6.2 安全功能

基于互联网电子政务系统的应用安全技术主要从安全政务办公、可信公共服务和安全信息共享三个方面进行要求，应用安全功能要求。 7.6.3 安全政务办公安全 7.6.3.1 数据传输安全 具体要求包括：

1) 安全政务办公系统中大多数信息敏感程度较高，如人事、财政、信访信息，不宜对外公开。因此，政务办公平台的数据在互联网上进行传输时，应采用适当的密码技术对其进行安全保护。

2) 对于有些特殊敏感信息，如应用系统的用户名、口令，在局域网传输时应对其进行保护。要求应用系统应具备基本的防止非法窃听和防窜改安全措施。 7.6.3.2 统一身份认证

应用系统分散认证需要在每个应用系统中进行用户身份管理和维护，易出现身份信息不一致现象，管理难度大，且不易实施单点登录。对于基于互联网电子政务系统来说，建立统一身份认证系统，对全市政务人员进行集中身份管理和统一身份鉴别，是建立基于互联网电子政务系统信任体系的重要途径。为了与统一身份认证系统进行有效结合，应用系统应满足如下要求：

1) 系统应支持基于第三方开发的统一用户管理，避免不同应用系统中用户信息不一致现象，可减少应用系统用户管理的随意性，提高用户身份信息的真实性; 2) 应支持统一身份认证，支持基于权威第三方认证系统，提高用户身份鉴别的权威性;

3) 应同时支持基于口令和证书等多种认证方式，对于普通工作人员可采用口令方式认证，从事较高敏感级别业务的用户采用证书方式进行强认证;

4) 应支持单点登录功能，提供统一的用户登录接口，避免重复认证，减少认证服务负担。

7.6.3.3 统一授权管理与访问控制

应用系统分散授权需要重复设置权，易出现权限冲突，管理难度很大，仅适用于单项应用，不适用于基于互联网电子政务系统。基于互联网电子政务系统可将应用系统权限进行统一管理，将分散授权变为集中授权，有效满足基于互联网电子政务系统的权限管理需求。为了与统一授权管理进行有效的结合，实施合理权限访问控制，应用系统应满足如下要求：

1) 支持第三方统一授权管理，对安全政务办公系统内的功能模块进行授权，具有和统一授权管理系统的权限同步等必要接口;

2) 支持基于功能模块的访问控制，根据用户角色动态生成系统功能菜单，要求动态生成的功能菜单不少于三级;

3) 在具有工作流的应用系统中，应支持基于工作流的访问控制，根据流程中定义的权限，进一步对用户权限进行限制;

4) 应支持用户类型识别技术，要求执行重要操作的政务人员必须是持key用户，防止重要业务的操作权限被攻击者非法获取。如每次进行公文签批时都要重新判定政务人员是否是持key用户。 7.6.3.4 数据分域存储、分类防护 具体要求包括：

1) 数据物理分域存储要求。将安全政务办公系统内的应用数据按照敏感程度和级别，存储于不同级别的主机或安全域内。如：在政务办公系统中，将办公数据存储于敏感数据处理区中的敏感数据库，将向政府门户网站发布的数据存储于公开数据处理区中的公开数据库。

2) 信息分类防护要求。可将资源划分为多个级别，制定访问策略，实施借阅审批机制，供不同级别的用户使用。如：可将政府的归档文件划分为“公开”、“内部公开”、“内部受控”三个级别，“公开”文档可以发布到互联网上供所有人查阅;“内部公开”文档供政务办公人员使用;“内部受控”文档供经过审批的用户使用，需要履行借阅手续。 7.6.3.5 数据安全交换 具体要求包括：

1) 当存放于敏感数据处理区的数据向公开数据处理区流动，或当存放于公开数据处理区的数据向敏感数据处理区流动时，应采用敏感数据处理区主动读写方式，由敏感数据处理区的应用系统向公开数据处理区进行读或写，避免公开数据处理区程序直接读写敏感数据处理区，防止攻击者通过公开数据处理区对敏感数据处理区造成威胁。

2) 特殊情况下，需要公开数据处理区程序直接读写敏感数据处理区时，应采用安全交换技术,防止敏感数据处理区的安全受公开数据处理区的影响。 敏感数据区和公开数据区之间的数据交换要符合6.3.2.2的要求。 7.6.4 可信公共服务安全 7.6.4.1 统一身份认证

将可信公共服务系统中用户分为两类，分别采取不同的认证策略：

1) 对信息发布员、系统管理员、专家等用户，实施基于第三方开发的统一身份管理和统一身份认证，从事较高敏感级别业务的用户采用证书方式认证，确保人员身份的真实性;

2) 对于企业用户和普通公众，可在应用系统中进行在基于口令的身份认证。采用何种方式根据应用需求而定。 7.6.4.2 统一授权管理与访问控制 具体要求如下：

1) 支持第三方统一授权管理，针对信息审核、新闻发布等系统管理模块进行授权;

2) 支持基于功能模块的访问控制，根据用户角色动态生成系统管理模块功能菜单。

7.6.4.3 数据分域管理

在可信公共服务系统中数据分为三类：公开数据、受理数据和业务数据。数据分域管理要求如下：

1) 公开数据是指在互联网上发布的政策法规、便民信息、事项受理结果等数据，可以被普通互联网用户使用，公开数据应用存储在公开数据处理区;

2) 受理数据是指用户向相关部门提交的业务办理申请以及相关证明材料，如企业备案申请，一般由用户在互联网填写;受理数据应通过安全交换技术，保存在敏感数据处理区，等待业务系统对其进行受理;

3) 业务数据是指政府相关部门在受理用户业务时产生的数据，仅供政府相关部门人员使用，应该保存在敏感数据处理区。 7.6.4.4 内容发布审核 具体要求如下：

1) 支持内容审批机制，对信息的最初录入到最后发布进行内容把关和审批，保证信息发布的真实性和可信性;

2) 对于多部门共建共管的系统，提供多级管理机制，为不同的部门创建管理员，部门管理员只能管理本单位的相应的子站点或栏目。 7.6.4.5 网页防窜改

部署网页防窜改系统，防止攻击者对网站的攻击。 7.6.5 信息的安全共享 7.6.5.1 数据传输安全

在政务信息共享过程中，根据安全策略，对敏感政务信息在互联网的传输，应采用适当的密码技术对其进行安全保护。 7.6.5.2 分域存储技术

支持数据的物理分域存放，将政务资源按照敏感程度和级别，存储于不同级别的主机或安全域内。

7.6.5.3 信息安全交换技术 具体要求如下： 1) 不同安全等级的系统互联，要根据系统业务和安全需求，制定相应的多级安全策略，主要包括访问控制策略和数据交换策略等，采取相应的边界保护、网络访问控制等安全措施，防止高等级系统的安全受低等级系统的影响;

2) 相同安全等级的系统互联，也应根据系统业务和安全需求，制定相应的系统互联安全策略，采取相应的安全保护措施。 7.6.5.4 政务资源访问控制

根据政务资源的敏感程度和安全级别，至少应支持下列访问控制中一种，对用户访问政务资源的行为进行控制，防止政务资源被非授权访问和非法篡改： 1) 政务资源的拥有者可以按照自己的意愿精确指定系统中的其它单位、单个用户对这些资源的访问权，如细粒度的自主访问控制;

2) 用户和政务资源均被赋予相应的安全属性，用户对政务资源的访问应严格遵循一定的访问控制规则，如强制访问控制;

3) 能够将政务资源的访问权限分配给不同的角色，通过角色分配这些权限给用户，并根据用户的角色进行访问控制，实现基于角色的政务资源访问控制。对于敏感程度较高的政务资源，应能基于统一授权管理系统进行授权，同时角色的划分遵循最小特权原则。 8 安全管理要求

基于互联网的电子政务信息安全管理包含：安全策略、组织安全、人员安全、物理和环境安全、设备安全、数据安全等6个方面。 8.1 安全策略 8.1.1 基本任务

安全策略的基本任务包括：

1) 管理层制定清晰的策略方向。策略文档应说明管理承诺，并提出管理信息安全的途径。

2) 对涉及整个电子政务安全系统安全的分域防护策略、审计策略、入侵检测策略等关键策略进行统一管理，同时建立策略变更审批制度。 3) 在整个组织中颁发和维护信息安全策略。 8.1.2 实现目标

提出管理方向，制订明确的策略文档，对安全事件的评价审核给出标准。 8.2 组织安全 8.2.1 基本任务

组织安全的基本任务包括：

1) 建立管理框架，成立信息安全协调小组，以协调信息安全控制措施的实施。由一名管理者负责与安全相关的所有活动。

2) 合理地分配信息安全的职责，每个管理者负责的领域要予以清晰地规定。 3) 建立授权管理制度，对各个应用系统使用权限的添加、设定、更改以及分级管理进行统一规定，规范统一认证授权管理系统的使用和维护，建立授权变更审核制度，避免因授权错误对系统安全造成隐患。 4) 定期听取专家的安全建议。 8.2.2 实现目标

确保安全举措有清晰的方向和明确的管理层支持。 8.3 人员安全 8.3.1 基本任务

人员安全的基本任务包括：

1) 要对参与系统管理的新成员进行充分的筛选，尤其是敏感性岗位的成员; 2) 所有安全岗位的管理员和相关联的第三方用户需要签署保密协议;

3) 管理者需要对用户进行安全规程和正确使用设施方面的培训，包括正式的安全事件报告规程以及事件响应规程。 8.3.2 实现目标

减少人为差错造成的风险。确保用户知道安全威胁和利害关系，在工作中支持组织制订的各项安全策略。 8.4 物理和环境安全 8.4.1 基本任务

物理和环境安全的基本任务包括：

1) 关键和敏感的业务信息处理设施要放置在物理环境安全的区域内;

2) 中心机房等关键安全区域的布置与建设要严格审核，全程监控，安装适当的安全监控设施;

3) 安全区域要由适合的入口控制来保护，以确保只有授权人员访问;

4) 对安全区域的访问者要予以监督，并记录进出时间，仅允许他们访问已授权目标;

5) 安全区域的选择和设计要考虑防止火灾、水灾、爆炸等自然或人为灾难的可能性，尽量降低事故发生时的损失。 8.4.2 实现目标

物理环境所提供的保护要与安全决策及设备安全相匹配，防止对业务办公场所和信息未授权访问、损坏和干扰。 8.5 设备安全 8.5.1 基本任务

设备安全的基本任务包括：

1) 安全设施要在物理上避免未授权访问、损坏和干扰; 2) 设备应免受电源故障;

3) 支持信息服务的电信布缆要免受窃听或损坏;。

4) 设备要予以正确地维护，以确保它的连续可用性。尤其在外部重要设备、内部关键网络设备、安全设备、服务器等出现故障时，能够尽快恢复正常工作。 8.5.2 实现目标 防止设备资产的丢失、损坏或信息的泄露，以及业务活动的中断;同时具备应急防范能力。 8.6 数据安全 8.6.1 基本任务

数据安全的基本任务包括：

1) 制定数据管理制度，统一规范全市电子政务系统使用过程中的数据采集、传输、应用、发布、保存流程;

2) 文件归档数据管理，依据实际情况，结合政务办公系统流程，规范电子政务系统中的电子文件归档与管理工作，保障电子文件的真实性、完整性、有效性和安全性;

3) 数据备份和恢复制度，针对政务办公等应用系统使用的各种数据库，制订数据库备份和恢复的操作流程。 8.6.2 实现目标

规范对各类信息的归档、存储、转换、发布、访问、应用、备份与恢复等操作。 9 安全评估要求

安全评估的目的在于通过分析、验证、核查、检测，来评估基于互联网非涉及国家秘密的电子政务系统的安全性。 9.1 评估项目

基于互联网电子政务信息安全评估应针对文档体系、网络部署情况、整体运行情况进行全面系统的安全评估，评估结束应给出最终的信息安全评估报告。评估项目包括：

1) 评估内容应包括技术文档、管理文档及其实施情况;

2) 评估范围应包含安全管理区、敏感数据处理区、公开数据处理区、安全服务区、办公区等在内的整个电子政务网络;

3) 评估设备应包含路由器、核心交换机、VPN、防火墙、入侵检测管理服务器、防病毒服务器、审计管理服务器、统一认证服务器、各种电子政务应用服务器、数据库服务器等各种安全设备和网络设备以及重要服务器。 9.2 评估流程

基于互联网电子政务信息安全评估流程主要包括系统识别、物理安全评估、现场技术实施评估、现场管理评估、工具测试、系统整改与安全评估结论等，信息安全评估流程。 1) 系统识别

系统识别包括网络架构识别、业务系统识别、安全需求分析等三个部分。系统识别阶段分析安全需求、确定安全评估范围。 2) 物理安全评估

对设备物理安全及系统部署情况进行安全评估。 3) 现场技术实施评估

技术实施要求与信息系统提供的安全机制有关，主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现，现场技术实施评估是指对系统实施过程中的策略配置、业务安全措施进行核查，核查安全技术实施是否达到技术方案要求，是否满足《基于互联网电子政务信息安全指南》。 4) 现场管理评估

管理安全要求与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。现场管理评估是指从人员、环境、管理等方面对安全的落实情况进行评估，核查是否达到管理方案要求。 5) 技术测试

采用安全扫描软件对安全漏洞进行远程的检测和评估。采用攻击软件对系统、网络进行渗透攻击，从而对系统的安全性进行全面评估。 6) 安全评估结论

针对评估中的不足提出系统整改方案并予以实施，给出最终的安全评估报告。 9.3 物理安全评估

应按照GB 50174-1993 电子计算机机房设计规范、GB/T 2887-2000 电子计算机场地通用规范等描述的相关要求，对设备物理安全及系统部署情况进行安全评估。评估内容包括：

1) 是否确保中心机房的机柜、交换机等安全设备不存在不同安全域的交叉混用现象，物理结构划分应有利于分域管理; 2) 是否实现办公区和业务区逻辑隔离。 9.4 现场技术实施评估 9.4.1 网络安全 9.4.1.1 结构安全 评估内容包括：

1) 是否保证关键网络设备的业务处理能力满足基本业务需要; 2) 是否保证接入网络和核心网络的带宽满足基本业务需要;

3) 是否保证各级行政部门能够利用互联网基础设施，实施电子政务工程; 4) 是否实现部门、单位间网络逻辑隔离，降低内部攻击风险; 5) 是否绘制与当前运行情况相符的网络拓扑结构图。 9.4.1.2 访问控制 评估内容包括：

1) 是否在网络边界部署访问控制设备，启用访问控制功能;

2) 是否根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包出入;

3) 是否通过访问控制列表对系统资源实现允许或拒绝用户访问，控制粒度至少为用户组。

9.4.1.3 网络设备防护 评估内容包括：

1) 是否对登录网络设备的用户进行身份鉴别;

2) 是否具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;

3) 是否在对网络设备进行远程管理时，采取了必要措施防止鉴别信息在网络传输过程中被窃听。 9.4.1.4 传输安全

是否确保电子政务数据在互联网传输中的机密性、完整性。通过在VPN前的网络边界处进行抓包分析，核查移动办公用户、各委办局、乡镇、办事处在访问敏感区的业务时是否进行传输加密保护。 9.4.1.5 安全审计

是否提供基本的网络审计功能，支持基于主机的审计、基于用户的审计等。 9.4.2 主机安全 9.4.2.1 操作系统安全 评估内容包括：

1) 是否使用正版操作系统，应用最新的操作系统补丁; 2) 是否关闭多余端口。 9.4.2.2 身份鉴别

是否对登录用户进行身份标识和鉴别。 9.4.2.3 访问控制 评估内容包括：

1) 是否启用访问控制功能，依据安全策略控制用户对资源的访问;

2) 是否限制默认帐户的访问权限、重命名系统默认帐户、修改这些帐户的默认口令;

3) 是否及时删除多余的、过期的帐户，避免共享帐户的存在。 9.4.2.4 入侵防范

操作系统是否遵循最小安装的原则，仅安装需要的组件和应用程序，并保持系统补丁及时得到更新。 9.4.2.5 恶意代码防范

是否安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库。 9.4.3 应用安全 9.4.3.1 身份鉴别 评估内容包括：

1) 是否提供专用的登录控制模块对登录用户进行身份标识和鉴别;

2) 是否提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施;

3) 是否启用身份鉴别和登录失败处理功能，并根据安全策略配置相关参数。 9.4.3.2 访问控制 评估内容包括：

1) 是否提供访问控制功能控制用户组/用户对系统功能和用户数据的访问; 2) 是否由授权主体配置访问控制策略，并严格限制默认用户的访问权限。 9.4.3.3 通信完整性

是否采用约定通信会话方式的方法保证通信过程中数据的完整性。 9.4.3.4 软件容错

是否提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。 9.4.4 数据安全及备份恢复 9.4.4.1 数据完整性

是否能够检测到重要用户数据在传输过程中完整性受到破坏。 9.4.4.2 备份和恢复 评估内容包括：

1) 是否能够对重要信息进行备份和恢复; 2) 电子政务网络核心业务区是否有双链路备份。 9.4.5 业务安全评估 9.4.5.1 政务办公安全评估 评估内容包括：

1) 系统中所有页面是否提供权限检查，保证非法用户无法绕过认证系统进入应用系统;

2) 用户退出应用系统时是否能够及时清除用户登录会话信息; 3) 对用户权限的改变是否能够在系统中及时得到体现;

4) 是否保证用户权限的改变可以及时体现，未授权用户无法使用未授权的菜单; 5) 关键业务是否检测数字证书，符合分级保护要求; 6) 系统部署是否符合分级分域部署要求。 9.4.5.2 公共服务可信核查 评估内容包括：

1) 系统部署是否符合分级分域部署要求;

2) 对用户权限的改变是否能够在系统中及时得到体现; 3) 是否保证信息发布的真实性; 4) 是否提供有网页防窜改措施。 9.5 现场管理实施评估 9.5.1 安全管理制度 9.5.1.1 管理制度 是否建立日常管理活动中常用的安全管理制度。 9.5.1.2 制定和发布 评估内容包括：

1) 是否指定或授权专门的人员负责安全管理制度的制订; 2) 是否将安全管理制度以某种方式发布到相关人员手中。 9.5.2 安全管理机构 9.5.2.1 岗位设置

是否设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责。

9.5.2.2 人员配备

是否配备系统管理员、网络管理员、安全管理员等。 9.5.2.3 授权和审批

是否根据各个部门和岗位的职责，明确授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批。 9.5.3 人员安全管理 9.5.3.1 人员录用 评估内容包括：

1) 是否指定或授权专门的部门或人员负责人员录用;

2) 是否对被录用人的身份和专业资格等进行审查，并确保其具有基本的专业技术水平和安全管理知识。 9.5.3.2 人员离岗 评估内容包括：

1) 是否立即终止由于各种原因离岗员工的所有访问权限;

2) 是否取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。 9.5.3.3 安全意识教育和培训 评估内容包括：

1) 是否对各类人员进行安全意识教育和岗位技能培训; 2) 是否告知人员相关的安全责任和惩戒措施。 9.5.3.4 外部人员访问管理

是否确保在外部人员访问受控区域前得到授权或审批。 9.5.4 系统运维管理 9.5.4.1 环境管理 评估内容包括：

1) 是否指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理;

2) 是否对机房的出入、服务器的开机或关机等工作进行管理;

3) 是否建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境安全等方面的管理作出规定。 9.5.4.2 资产管理

是否编制与信息系统相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。

9.5.4.3 介质管理 评估内容包括：

1) 是否确保介质存放在安全的环境中，对各类介质进行控制和保护;

2) 是否对介质归档和查询等过程进行记录，并根据存档介质的目录清单定期盘点。

9.5.4.4 设备管理 评估内容包括：

1) 是否对信息系统相关的各种设备、线路等指定专门的部门或人员定期进行维护管理;

2) 是否建立基于申报、审批和专人负责的设备安全管理制度，对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理。 9.5.4.5 网络安全管理 评估内容包括：

1) 是否指定人员对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;

2) 是否定期进行网络系统漏洞扫描，对发现的网络系统安全漏洞进行及时的修补。

9.5.4.6 系统安全管理 评估内容包括：

1) 是否根据业务需求和系统安全分析确定系统的访问控制策略; 2) 是否定期进行漏洞扫描，对发现的系统安全漏洞进行及时的修补;

3) 是否安装系统的最新补丁程序，并在安装系统补丁前对现有的重要文件进行备份。

9.5.4.7 恶意代码防范管理

是否提高所有用户的防病毒意识，告知及时升级防病毒软件，在读取移动存储设备上的数据以及网络上接收文件或邮件之前，先进行病毒检查，对外来计算机或存储设备接入网络系统之前也应进行病毒检查。 9.5.4.8 安全事件处置 评估内容包括：

1) 是否及时报告所发现的安全弱点和可疑事件，但任何情况下用户均不应尝试验证弱点;

2) 是否制定安全事件报告和处置管理制度，规定安全事件的现场处理、事件报告和后期恢复的管理职责。 9.6 技术测试

使用测试工具对基于互联网电子政务系统进行安全扫描和渗透测试。 9.6.1 检测范围

测试范围应包括电子政务应用平台的安全防护设备和应用服务器，涉及的区域如下：

1) 安全管理区; 2) 敏感数据处理区; 3) 公开数据处理区; 4) 安全服务区; 5) 办公区 9.6.2 检测方法 9.6.2.1 安全扫描

通过收集系统的信息来自动检测远程或者本地主机安全性脆弱点。通过使用安全扫描，可以了解被检测端的大量信息，例如，开放端口、提供的服务、操作系统版本、软件版本等。通过这些信息，可以了解到远程主机所存在的安全问题，从而能够及时修补系统存在的安全隐患。 9.6.2.2 渗透测试

渗透测试是对安全扫描结果的进一步验证。渗透测试被设计用于描述安全机制的有效性和对攻击者的控制能力。这些测试都是从一个攻击者的角度出发对目标的安全性进行考察。 9.6.3 扫描测试 9.6.3.1 扫描测试点

应该包括内网检测点和外网检测点在内的多个扫描测试点。 9.6.3.2 扫描对象 扫描对象包括： 1) 边界防护设备 a) VPN b) 防火墙

c) 互联网上装有VPN客户端的移动安全接入终端 2) 重要服务器 a) 安全管理区服务器 b) 敏感数据处理区服务器 c) 公开数据处理区服务器 d) 安全服务区服务器 9.6.3.3 扫描工具

应同时使用主机漏洞扫描工具和网络漏洞扫描工具：

1) 主机漏洞扫描工具：通过在主机本地的代理程序对系统配置、注册表、系统日志、文件系统或数据库活动进行监视扫描，搜集它们的信息，然后与系统的漏洞库进行比较，如果满足匹配条件，则认为安全漏洞存在;

2) 网络漏洞扫描工具：通过远程检测目标主机TCP/IP不同端口的服务，记录目标给予的应答，来搜集目标主机上的各种信息，然后与系统的漏洞库进行匹配，如果满足匹配条件，则认为安全漏洞存在;或者通过模拟黑客的攻击手法对目标主机进行攻击，如果模拟攻击成功，则认为安全漏洞存在。 9.6.4 渗透测试

渗透测试建立在扫描测试的基础上，针对开放的服务及发现的漏洞，利用一些工具对目标实施攻击，看是否能够提升攻击者的权限或能否对目标机的正常运行产生影响。渗透测试点与测试范围与扫描测试相同。渗透测试可能会对系统造成损害，实际测试时应慎重，尤其对正式运行的系统要适度进行。 9.7 系统整改

系统评估后应给出评估结论。并对于评估过程中出现的问题进行逐一整改，整改结果要经过评估人员的复查。 10 信息安全工程实施

10.1 基于互联网电子政务信息安全保护实施过程

基于互联网电子政务信息安全保护实施过程可被划分为6个阶段，即：需求分析、方案设计、系统实施与集成、系统试运行与完善、系统安全评估、正式运行。其中监理针对系统实施与集成阶段、培训针对系统运行与完善阶段、评估针对系统正式运行阶段。基于互联网电子政务信息安全工程实施。 10.2 需求分析阶段 10.2.1 规划

信息系统的需求方应根据市场要求，结合自身的应用目标、需求程度以及建设规划的具体要求，以市场发展总体规划为主要依据，编制信息系统安全工程的中长期规划。

中长期规划应指出信息系统建设中安全工程所要具备的能力。规划可以由投资者选定开发者或委托专家协助完成，并需经过专家组审核，以确保其适合市场和技术的发展，并与需求方的切实需要相符合。 10.2.2 项目需求分析 需求分析包括：

1) 电子政务现状与需求。了解目前各部门的电子政务现状，各部门对应用系统的建设需求，理顺部门间的信息系统关系。

2) 电子政务网络建设需求。掌握各部门网络建设现状，市内互联网建设现状，为电子政务网络方案设计打下基础。

3) 信息资源现状与需求。了解各部门已建信息系统、新建信息系统的打算及已存在哪些安全防护措施。

4) 专业技术人员现状与需求。掌握各部门计算机专业人员的计算机运用能力，了解各部门对信息技术专业人才的需求。

5) 应用系统建设需求。了解电子政务应用系统的建设现状，对新建应用系统进行规划，并进行初步的需求分析和可行性分析。

需求分析应完成一份功能需求草案。草案应得到各方初步认可，应对系统的功能、性能、互操作性、接口要求作出描述，还应给出系统是否达到这些要求的检验手段。应建立起需求管理机制，以处理未来的要求，并对相关设计和测试资料进行确认。

10.2.3 系统定级

对基于互联网电子政务应用系统进行充分的分析，根据应用系统的相似程度和敏感程度，按照国家标准GB 17859-1999的相应要求进行系统定级。 10.2.4 制定总体建设方案

根据需求分析的结果，需求方提出的安全目标，制定初步建设方案，包括网络建设、应用系统建设和安全系统建设三部分，提出安全系统的建设要求，将安全建设与应用系统和网络建设同步规划、同步建设。

初步方案应调研与系统工程有关的所有问题，如系统开发、生产、运行、支持、认证，如果有问题间的冲突，都需要解决。初步方案经专家论证、与需求方认可后，最终形成基于互联网电子政务系统的总体建设方案。

在方案初步确立后，投资者应基本选定开发者，并得到初步的系统技术、成本、风险方面的情况以及系统获取和工程管理战略。 10.3 方案设计阶段

10.3.1 网络规划与网络建设

进行行政区中心区域的机房建设、网络建设、互联网接入建设与全市地址规划等，在网络监理的指导下，完成全市基于互联网电子政务网络基础建设。如果需求方已建设中心机房，则网络建设相对较为简单。 10.3.2 应用系统与安全系统总体设计

设计阶段中，应针对本信息系统的安全需求设计安全防护解决方案，建立信息系统安全机制。本阶段的目的是：完成系统的顶层设计、初步设计和详细设计，决定组成系统的配置项，定下系统指标。本阶段应由开发者委托设计者，或由开发者自己完成。设计方案应经过投资方以及专家组的评审。

设计方案应能深刻理解网络现状并能提供直接的解决方案，应从技术和管理两个方面进行考虑，应是管理制度和网络解决方案的结合。

根据需求方所属地的安全基础设施CA提供的基于USB KEY的证书进行应用系统和安全系统的接口设计，协调数字证书与安全系统、应用系统的接口关系，进行应用系统与安全系统的安全接口设计。 10.4 系统实施与集成阶段

10.4.1 安全系统和应用系统的改造与开发

在本阶段中，应根据详细设计方案对信息系统进行工程建设实施和系统开发。根据接口规范改造方案进行系统改造与开发，使其满足建设方案中的安全技术要求。 10.4.2 安全系统部署与调试

制定安全系统部署方案，在全市范围内进行网络安全互联调试。 10.4.3 应用系统部署与调试

制定应用系统数据库部署方案，并进行应用系统单项调试。 10.4.4 系统集成

安全系统、应用系统接口调试，系统的综合部署与调试，进行安全符合性测试，实现统一身份认证、授权访问控制、分级分域管理与信息分类防护等。 10.4.5 联调联试

选择有代表性的单位和用户，制定有效的安全策略，进行流程定制，实现安全政务办公、安全信息共享和可信公共服务。 10.4.6 系统监理

主要任务是进行设计方案的释疑、实施与集成过程中的技术指导以及质量把关。保证本阶段所有工作的有效性和正确性。 10.5 系统试运行与完善阶段 10.5.1 网络安全配置

进一步调试、规范和完善上一阶段中实现的各项网络安全配置。如重要安全设备和网络连接设备的参数与策略。 10.5.2 用户统一管理

进一步调试、规范和完善上一阶段中实现的用户统一身份注册、统一身份认证等管理策略;做出相应安全培训。 10.5.3 权限分配

进一步调试、规范各安全域内工作人员的权限分配，部署业务人员的安全角色和责任，完善统一授权管理。 10.5.4 系统安全管理

进一步调试、规范基于互联网非涉及国家秘密电子政务系统安全管理，包括电子政务重点防护区域内各项系统安全配置。 10.6 系统安全评估 10.6.1 制定安全评估方案

为了评估和验证系统的安全性，可以进行安全自评估或聘请专业机构进行安全评估，制定系统安全评估方案。 10.6.2 制定安全评估作业指导书

制定可操作的安全评估作业指导书，用于电子政务系统的安全评估。 10.6.3 安全评估的实施

组织专家，进行安全方案组织实施情况核查、安全管理评估、扫描测试与渗透性测试，对整个系统进行综合安全评估，并下发安全整改意见。 10.6.4 系统安全整改 在需求方与参建单位的配合下，根据安全整改意见，对电子政务系统的重点区域、重点部位进行安全整改。通过安全整改，基本消除原有的安全隐患。 10.6.5 做出安全评估结论

对基于互联网电子政务系统经评估后，给出安全评估结论。 10.7 系统正式运行阶段 10.7.1 系统验收

验收应该根据详细设计书及相关部门颁发的有关文件、各专业的设计规范、建设规范和验收规范。电子政务系统信息安全工程的验收应在主管部门的主持下，按照以下程序完成：

1) 需求方向相应的主管部门提出验收申请;

2) 安全审核。在工程验收中，还应确保解决安全问题的办法已被验证与证实。首先应确定验证和证实的目标并确定解决办法;定义验证和证实每种解决方案的方法和严密等级;验证解决办法实现了与上一抽象层相关的要求;最后执行验证并提供验证和证实的结果。

3) 安全审核除在系统验收阶段进行外，还可在总体设计阶段开展安全审核。 4) 在主管部门主持下，召开系统验收会议，参加单位一般包括需求方、投资者、承建者、安全工程监理方等。 10.7.2 系统正式运行

做好各项规章管理制度的制定与完善。各级管理、维护人员要严格遵守。根据运行过程中出现的实际情况对系统安全不断加强与改进。

参考文献

<1> GB/T20282-2006 信息安全技术信息系统安全工程管理要求

<2> GB/T 18336.1-2001 信息技术安全技术信息技术安全性评估准则第一部分：简介和一般模型(idt ISO/IEC 15408-1：1999 <3> GB/T 18336.2-2001 信息技术安全技术信息技术安全性评估准则第二部分：安全功能要求(idt ISO 15408-2:1999)

<4> GB/T 18336.3-2001 信息技术安全技术信息技术安全性评估准则第三部分：安全保证要求(idt ISO 15408-3:1999)

<5> GB/T 9387.2-1995 信息系统开放系统互连基本参考模型第2部分：安全体系结构

<6> ISO/IEC 17799：2000信息技术信息安全管理实用规则

<7> BMB17-2006 涉及国家秘密的计算机信息系统分级保护技术要求 <8> GB/T20269-2006 信息安全技术信息系统安全管理要求

<9> ISO/IEC TR 18044:2004，信息技术安全技术—信息安全事件管理。 <10>GB/T20271-2006 信息安全技术信息系统通用安全技术要求 <11>GB/T20270-2006 信息安全技术网络基础安全技术要求

第五篇：全国计算机等级考试三级信息安全技术知识点总结

第一章信息安全保障概述 1.1信息安全保障背景

1.1.1信息技术及其发展阶段

信息技术两个方面：生产：信息技术产业;应用：信息技术扩散 信息技术核心：微电子技术，通信技术，计算机技术，网络技术

第一阶段，电讯技术的发明;第二阶段，计算机技术的发展;第三阶段，互联网的使用 1.1.2信息技术的影响

积极：社会发展，科技进步，人类生活 消极：信息泛滥，信息污染，信息犯罪 1.2信息安全保障基础 1.2.1信息安全发展阶段

通信保密阶段(20世纪四十年代)：机密性，密码学 计算机安全阶段(20世纪六十和七十年代)：机密性、访问控制与认证，公钥密码学(Diffie Hellman，DES)，计算机安全标准化(安全评估标准) 信息安全保障阶段：信息安全保障体系(IA)，PDRR模型：保护(protection)、检测(detection)、响应(response)、恢复(restore)，我国PWDRRC模型：保护、预警(warning)、监测、应急、恢复、反击(counter-attack)，BS/ISO 7799标准(有代表性的信息安全管理体系标准)：信息安全管理实施细则、信息安全管理体系规范 1.2.2信息安全的含义

一是运行系统的安全，二是系统信息的安全：口令鉴别、用户存取权限控制、数据存取权限方式控制、审计跟踪、数据加密等

信息安全的基本属性：完整性、机密性、可用性、可控制性、不可否认性 1.2.3信息系统面临的安全风险

1.2.4信息安全问题产生的根源：信息系统的复杂性，人为和环境的威胁 1.2.5信息安全的地位和作用 1.2.6信息安全技术

核心基础安全技术：密码技术

安全基础设施技术：标识与认证技术，授权与访问控制技术 基础设施安全技术：主机系统安全技术，网络系统安全技术

应用安全技术：网络与系统安全攻击技术，网络与系统安全防护与响应技术，安全审计与责任认定技术，恶意代码监测与防护技术

支撑安全技术：信息安全评测技术，信息安全管理技术 1.3信息安全保障体系

1.3.1信息安全保障体系框架

生命周期：规划组织，开发采购，实施交付，运行维护，废弃 保障要素：技术，管理，工程，人员 安全特征：机密性，完整性，可用性 1.3.2信息系统安全模型与技术框架 P2DR安全模型：策略(policy)，防护，检测，响应;防护时间大于检测时间加上响应时间，安全目标暴露时间=检测时间+响应时间，越小越好;提高系统防护时间，降低检测时间和响应时间

信息保障技术框架(IATF)：纵深防御策略()：人员，技术，操作;技术框架焦点域：保护本地计算机，保护区域边界，保护网络及基础设施，保护支撑性基础设施 1.4信息安全保障基本实践 1.4.1国内外信息安全保障工作概况 1.4.2信息安全保障工作的内容

确定安全需求，设计和实施安全方案，进行信息安全评测，实施信息安全监控

第二章信息安全基础技术与原理 2.1密码技术

2.1.1对称密码与非对称密码

对称密钥密码体制：发送方和接收方使用相同的密钥 非对称密钥密码体制：发送方和接收方使用不同的密钥

对称密钥体制：

加密处理速度快、保密度高，密钥管理分发复杂代价高、数字签名困难

分组密码：一次加密一个明文分组：DES，IDEA，AES;序列密码：一次加密一位或者一个字符：RC4，SEAL 加密方法：代换法：单表代换密码，多表代换;置换法

安全性：攻击密码体制：穷举攻击法(对于密钥长度128位以上的密钥空间不再有效)，密码分析学;典型的密码攻击：唯密文攻击，已知明文攻击，选择明文攻击(加密算法一般要能够抵抗选择明文攻击才认为是最安全的，分析方法：差分分析和线性分析)，选择密文攻击

基本运算：异或，加，减，乘，查表

设计思想：扩散，混淆;乘积迭代：乘积密码，常见的乘积密码是迭代密码，DES，AES 数据加密标准DES：基于Feistel网络，3DES，有效密钥位数：56 国际数据加密算法IDEA：利用128位密钥对64位的明文分组，经连续加密产生64位的密文分组

高级加密标准AES：SP网络

分组密码：电子密码本模式ECB，密码分组链模式CBC，密码反馈模式CFB，输出反馈模式OFB，计数模式CTF

非对称密码：

基于难解问题设计密码是非对称密码设计的主要思想，NP问题NPC问题 克服密钥分配上的困难、易于实现数字签名、安全性高，降低了加解密效率

RSA：基于大合数因式分解难得问题设计;既可用于加密，又可用于数字签名;目前应用最广泛

ElGamal：基于离散对数求解困难的问题设计

椭圆曲线密码ECC：基于椭圆曲线离散对数求解困难的问题设计

通常采用对称密码体制实现数字加密，公钥密码体制实现密钥管理的混合加密机制 2.1.2哈希函数

单向密码体制，从一个明文到密文的不可逆的映射，只有只有加密过程，没有解密过程 可将任意长度的输入经过变换后得到固定长度的输出(原消息的散列或消息摘要) 应用：消息认证(基于哈希函数的消息认证码)，数字签名(对消息摘要进行数字签名口令的安全性，数据完整性) 消息摘要算法MD5：128位 安全散列算法SHA：160位

SHA比MD5更安全，SHA比MD5速度慢了25%，SHA操作步骤较MD5更简单 2.1.3数字签名

通过密码技术实现，其安全性取决于密码体制的安全程度 普通数字签名：RSA，ElGamal，椭圆曲线数字签名算法等

特殊数字签名：盲签名，代理签名，群签名，不可否认签名，具有消息恢复功能得签名等 常对信息的摘要进行签名

美国数字签名标准DSS：签名算法DSA 应用：鉴权：重放攻击;完整性：同形攻击;不可抵赖 2.1.4密钥管理

包括密钥的生成，存储，分配，启用与停用，控制，更新，撤销与销毁等诸多方面密钥的分配与存储最为关键

借助加密，认证，签名，协议和公证等技术 密钥的秘密性，完整性，真实性 密钥产生：噪声源技术(基于力学，基于电子学，基于混沌理论的密钥产生技术);主密钥，加密密钥，会话密钥的产生 密钥分配：

分配手段：人工分发(物理分发)，密钥交换协议动态分发 密钥属性：秘密密钥分配，公开密钥分配

密钥分配技术：基于对称密码体制的密钥分配，基于公钥密码体制的密钥分配 密钥信息交换方式：人工密钥分发，给予中心密钥分发，基于认证密钥分发 人工密钥分发：主密钥

基于中心的密钥分发：利用公开密钥密码体制分配传统密码的密钥;可信第三方：密钥分发中心KDC，密钥转换中心KTC;拉模型，推模型;密钥交换协议：Diffie-Hellman算法 公开密钥分配：公共发布;公用目录;公约授权：公钥管理机构;公钥证书：证书管理机构CA，目前最流行 密钥存储： 公钥存储

私钥存储：用口令加密后存放在本地软盘或硬盘;存放在网络目录服务器中：私钥存储服务PKSS;智能卡存储;USB Key存储 2.2认证技术 2.2.1消息认证

产生认证码的函数：

消息加密：整个消息的密文作为认证码 消息认证码(MAC)：利用密钥对消息产生定长的值，并以该值作为认证码;基于DES的MAC算法

哈希函数：将任意长的消息映射为定长的哈希值，并以该哈希值作为认证码 2.2.2身份认证

身份认证系统：认证服务器、认证系统客户端、认证设备

系统主要通过身份认证协议(单向认证协议和双向认证协议)和认证系统软硬件进行实现

认证手段： 静态密码方式

动态口令认证：动态短信密码，动态口令牌(卡) USB Key认证：挑战/应答模式，基于PKI体系的认证模式 生物识别技术

认证协议：基于口令的认证协议，基于对称密码的认证，基于公钥密码的认证 2.3访问控制技术 访问控制模型：

自主访问控制(DAC)：访问矩阵模型：访问能力表(CL)，访问控制表(ACL);商业环境中，大多数系统，如主流操作系统、防火墙等 强制访问控制(DAC)：安全标签：具有偏序关系的等级分类标签，非等级分类标签，比较主体和客体的安全标签等级,，访问控制安全标签列表(ACSLL);访问级别：最高秘密级，秘密级，机密级，无级别及;Bell-Lapadula模型：只允许向下读、向上写，保证数据的保密性，Biba不允许向下读、向上写，保护数据完整性;Chinese Wall模型：多边安全系统中的模型，包括了MAC和DAC的属性 基于角色的访问控制(RBAC)：要素：用户，角色，许可;面向企业，大型数据库的权限管理;用户不能自主的将访问权限授权给别的用户;MAC基于多级安全需求，RBAC不是 2.3.2访问控制技术 集中访问控制：

认证、授权、审计管理(AAA管理)

拨号用户远程认证服务RADIUS：提供集中式AAA管理;客户端/服务器协议，运行在应用层，使用UDP协议;组合认证与授权服务

终端访问控制器访问控制系统TACACS：TACACS+使用TCP;更复杂的认证步骤;分隔认证、授权、审计

Diameter：协议的实现和RADIUS类似，采用TCP协议，支持分布式审计 非集中式访问控制： 单点登录SSO Kerberos：使用最广泛的身份验证协议;引入可信的第三方。Kerberos验证服务器;能提供网络信息的保密性和完整性保障;支持双向的身份认证 SESAME：认证过程类似于Kerberos 2.4审计和监控技术 2.4.1审计和监控基础

审计系统：日志记录器：收集数据，系统调用Syslog收集数据;分析器：分析数据;通告器：通报结果

2.4.2审计和监控技术 恶意行为监控：主机监测：可监测的地址空间规模有限;网络监测：蜜罐技术(软件honeyd)，蜜网(诱捕网络)：高交互蜜罐、低交互蜜罐、主机行为监视模块

网络信息内容审计：方法：网络舆情分析：舆情分析引擎、自动信息采集功能、数据清理功能;技术：网络信息内容获取技术(嗅探技术)、网络内容还原分析技术;模型：流水线模型、分段模型;不良信息内容监控方法：网址、网页内容、图片过滤技术

第三章系统安全 3.1操作系统安全

3.1.1操作系统安全基础 基本安全实现机制：

CPU模式和保护环：内核模式、用户模式 进程隔离：使用虚拟地址空间达到该目的 3.1.2操作系统安全实践 UNIX/Linux系统：

文件系统安全：所有的事物都是文件：正规文件、目录、特殊文件(/dev下设备文件)、链接、Sockets;文件系统安全基于i节点中的三层关键信息：UID、GID、模式;模式位，权限位的八进制数表示;设置SUID(使普通用户完成一些普通用户权限不能完成的事而设置)和SGID，体现在所有者或同组用户权限的可执行位上;chmod改变文件权限设置、chown、chgrp;unmask创建文件默认权限

账号安全管理：/etc/passwd、/etc/shadow;伪用户账号;root账户管理：超级用户账户可不止一个，将UID和GID设置为0即可，使用可插入认证模块PAM进行认证登录

日志与审计：日志系统：记录连接时间的日志：/var/log/wtmp、/var/run/utmp，进程统计：pacct与acct，错误日志：/var/log/messages

Windows系统：

Windows安全子系统：winlogon和图形化标识和验证GINA、本地安全认证、安全支持提供者的接口(SSPI)、认证包、安全支持提供者、网络登录服务、安全账号管理器(SAM) 登录验证：Kerberos 用户权力与权限：用户权限：目录权限、文件权限;共享权限 日志与审计：系统日志、应用程序日志、安全日志

安全策略：密码策略;锁定策略;审核策略;用户全力指派;安全选项;装载自定义安全模板;windows加密文件系统 可信计算技术：

可信计算平台联盟(TCPA)，可信计算组织(TCG) 可信PC，可新平台模块(TPM)，可信软件栈(TSS)，可信网络连接(TNC) 可信平台模块(TPM)：具有密码运算能力和存储能力，是一个含有密码运算部件和存储部件的小型片上系统;物理可信、管理可信的; 可信密码模块(TCM)：中国

可信计算平台：三个层次：可信平台模块(信任根)、可信软件栈、可信平台应用软件;我国：可信密码模块、可信密码模块服务模块、安全应用 可信网络连接(TNC)：开放性、安全性 3.2数据库安全

3.1.1数据库安全基础 统计数据库安全

现代数据库运行环境：多层体系结构，中间层完成对数据库访问的封装

数据库安全功能： 用户标识和鉴定

存取控制：自主存取控制：用户权限有两个要素组成：数据库对象和操作类型，GRANT语句向用户授予权限，REVOKE语句收回授予的权限，角色：权限的集合;强制存取控制：主体和客体，敏感度标记：许可证级别(主体)、密级(客体)，首先要实现自主存取控制 审计：用户级审计、系统审计;AUDIT设置审计功能，NOAUDIT取消审计功能 数据加密

视图与数据保密性：将视图机制与授权机制结合起来使用，首先用视图机制屏蔽一部分保密数据，然后在视图上再进一步定义存取权限

数据完整性：

语义完整性，参照完整性，实体完整性 约束：优先于使用触发器、规则和默认值 默认值：CREATE DEFAULT 规则：CREATE RULE，USE EXEC sp_bindefault，DROP RULE 事务处理：BEGAIN TRANSACTION，COMMIT，ROLLBACK;原子性、一致性、隔离性、持久性;自动处理事务、隐式事物、用户定义事物、分布式事务 3.2.2数据库安全实践 数据库十大威胁：

过度的特权滥用;合法的特权滥用;特权提升;平台漏洞;SQL注入;不健全的审计;拒绝服务;数据库通信协议漏洞;不健全的认证;备份数据库暴露 安全防护体系：事前检查，事中监控，事后审计 数据库安全特性检查： 端口扫描(服务发现)：对数据库开放端口进行扫描;渗透测试：黑盒式的安全监测，攻击性测试，对象是数据库的身份验证系统和服务监听系统，监听器安全特性分析、用户名和密码渗透、漏洞分析;内部安全监测：安全员数据、内部审计、安全配置检查、漏洞检测、版本补丁检测

数据库运行安全监控：网络嗅探器、数据库分析器、SQL分析器、安全审计

第四章网络安全 4.1网络安全基础 4.1.1TCP/IP体系架构 4.1.2网络协议

数据链路层协议：地址解析协议(ARP)，逆向地址解析协议(RARP) 网络层协议：IP协议， Internet控制报文协议(ICMP)：发送出错和控制消息，提供了一个错误侦测与回馈机制

传输层协议：TCP协议，UDP协议

应用层协议：HTTP，SMTP和POP3，DNS 4.2网络安全威胁技术 4.2.1扫描技术 互联网信息搜集

IP地址扫描：操作系统命令ping(网络故障诊断命令)、tracer，自动化的扫描工具Namp、Superscan 端口扫描：Namp软件;TCP全连接扫描，TCP SYN扫描，TCP FIN扫描，UDP的ICMP端口不可达扫描，ICMP扫描;乱序扫描和慢速扫描

漏洞扫描：网络漏洞扫描：模拟攻击技术;主机漏洞扫描：漏洞特征匹配技术、补丁安装信息的检测

弱口令扫描：基于字典攻击的弱口令扫描技术、基因穷举攻击的弱口令扫描技术 综合漏洞扫描：Nessus 扫描防范技术：防火墙，用安全监测工具对扫描行为进行监测 4.2.2网络嗅探

非主动类信息获取攻击技术 防范：实现对网络传输数据的加密，VPN、SSL、SSH等加密和传输的技术和设备，利用网络设备的物理或者逻辑隔离的手段 4.2.3网络协议欺骗

IP地址欺骗：和其他攻击技术相结合

ARP欺骗：中间人欺骗(局域网环境内实施)，伪装成网关欺骗(主要针对局域网内部主机与外网通信的情况);防范：MAC地址与IP地址双向静态绑定

TCP欺骗：将外部计算机伪装成合法计算机;非盲攻击：网络嗅探，已知目标主机的初始序列号，盲攻击：攻击者和目标主机不在同一个网络上

DNS欺骗：基于DNS服务器的欺骗，基于用户计算机的DNS欺骗 4.2.4诱骗式攻击 网站挂马：

攻击者成功入侵网站服务器，具有了网站中网页的修改权限

技术：框架挂马：直接加在框架代码和框架嵌套挂马;JS脚本挂马;b ody挂马;伪装欺骗挂马

防范：Web服务器，用户计算机 诱骗下载：

主要方式：多媒体类文件下载，网络游戏软件和插件下载，热门应用软件下载，电子书爱好者，P2P种子文件

文件捆绑技术：多文件捆绑方式，资源融合捆绑方式，漏洞利用捆绑方式 钓鱼网站 社会工程

4.2.5软件漏洞攻击利用技术

软件漏洞：操作系统服务程序漏洞，文件处理软件漏洞，浏览器软件漏洞，其他软件漏洞 软件漏洞攻击利用技术：直接网络攻击;诱骗式网络攻击：基于网站的诱骗式网络攻击，网络传播本地诱骗点击攻击 4.2.6拒绝服务攻击

实现方式：利用目标主机自身存在的拒绝服务性漏洞进行攻击，耗尽目标主机CPU和内存等计算机资源的攻击，耗尽目标主机网络带宽的攻击

分类：IP层协议的攻击：发送ICMP协议的请求数据包，Smurf攻击;TCP协议的攻击：利用TCP本身的缺陷实施的攻击，包括SYN-Flood和ACK-Flood攻击，使用伪造的源IP地址，利用TCP全连接发起的攻击，僵尸主机;UDP协议的攻击;应用层协议的攻击：脚本洪水攻击

分布式拒绝服务(DDos)：攻击者，主控端，代理端，僵尸网络 防范：支持DDos防御功能的防火墙 4.2.7Web脚本攻击

针对Web服务器端应用系统的攻击技术：

注入攻击：SQL注入，代码注入，命令注入，LDAP注入，XPath注入;防范：遵循数据与代码分离的原则

访问控制攻击，非授权的认证和会话攻击 针对Web客户端的攻击技术： 跨站脚本攻击(XSS)：反射型XSS(非持久性的跨站脚本攻击)，存储型XSS(持久型的跨站脚本攻击)，DOM-based XSS(基于文档对象模型的跨站脚本攻击)：从效果上来说属于反射型XSS 跨站点请求伪造攻击(CSRF)：伪造客户顿请求;防范：使用验证码，在用户会话验证信息中添加随机数 点击劫持攻击 4.2.8远程控制 木马：

具有远程控制、信息偷取、隐藏传输功能的恶意程序;通过诱骗的方式安装;一般没有病毒的的感染功能;特点：伪装性，隐藏性，窃密性，破坏性; 连接方式：C/S结构;最初的网络连接方法;反弹端口技术：服务器端主动的发起连接请求，客户端被动的等待连接;木马隐藏技术：线程插入技术、DLL动态劫持技术、RootKit(内核隐藏技术)

Wwbshell：用Web脚本写的木马后门，用于远程控制网站服务器;以ASP、PHP、ASPX、JSP等网页文件的形式存在;被网站管理员可利用进行网站管理、服务器管理等 4.3网络安全防护技术 4.3.1防火墙

一般部署在网络边界，也可部署在内网中某些需要重点防护的部门子网的网络边界

功能：在内外网之间进行数据过滤;对网络传输和访问的数据进行记录和审计;防范内外网之间的异常网络行为;通过配置NAT提高网络地址转换功能 分类：硬件防火墙：X86架构的防火墙(中小企业)，ASIC、NP架构的防火墙(电信运营商);软件防火墙(个人计算机防护) 防火墙技术：

包过滤技术：默认规则;主要在网络层和传输层进行过滤拦截，不能阻止应用层攻击，也不支持对用户的连接认证，不能防止IP地址欺骗 状态检测技术(动态包过滤技术)：增加了对数据包连接状态变化的额外考虑，有效阻止Dos攻击

地址翻译技术：静态NAT，NAT池，端口地址转换PAT 应用级网关(代理服务器)：在应用层对数据进行安全规则过滤 体系结构：

双重宿主主机体系结构：至少有两个网络接口，在双重宿主主机上运行多种代理服务器，有强大的身份认证系统 屏蔽主机体系结构：防火墙由一台包过滤路由器和一台堡垒主机组成，通过包过滤实现了网络层传输安全的同时，还通过代理服务器实现了应用层的安全

屏蔽子网体系结构：由两个包过滤路由器和一台堡垒主机组成;最安全，支持网络层、传输层、应用层的防护功能;添加了额外的保护体系，周边网络(非军事区，DMZ)通常放置堡垒主机和对外开放的应用服务器;堡垒主机运行应用级网关 防火墙的安全策略

4.3.2入侵检测系统和入侵防御系统 入侵检测系统(IDS)：

控制台：在内网中，探测器：连接交换机的网络端口

分类：根据数据采集方式：基于网络的入侵检测系统(NIDS)、基于主机的入侵检测系统(HIDS);根据检测原理：误用检测型入侵检测系统、异常检测型入侵检测系统

技术：误用检测技术：专家系统、模型推理、状态转换分析;异常检测技术：统计分析、神经网络;其他入侵检测技术：模式匹配、文件完整性检验、数据挖掘、计算机免疫方法 体系结构：集中式结构：单一的中央控制台;分布式结构：建立树形分层结构

部署：一个控制台可以管理多个探测器，控制台可以分层部署，主动控制台和被动控制台 入侵防御系统(IPS)： 部署：网络设备：网络中需要保护的关键子网或者设备的网络入口处，控制台 不足：可能造成单点故障，可能造成性能瓶颈，漏报和无保的影响 4.3.3PKI 公共密钥基础设施是创建、管理、存储、分布和作废数字证书的一场系列软件、硬件、人员、策略和过程的集合

组成：数字证书是PKI的核心;安全策略;证书认证机构(CA);证书注册机构;证书分发机构;基于PKI的应用接口 数字证书

信任模式：单证书认证机构信任模式，层次信任模型，桥证书认证机构信任模型 4.3.4VPN 利用开放的物理链路和专用的安全协议实现逻辑上网络安全连接的技术

网络连接类型：远程访问型VPN(Client-LAN)客户机和服务器都安装VPN软件;网络到网关类型的VPN(LAN-LAN)客户端和服务器各自在自己的网络边界部署硬件VPN网关设备

VPN协议分类：网络隧道技术

第二层隧道协：封装数据链路层数据包;介于

二、三层之间的隧道协议;第三层隧道协议IPSec，通用路由封装协议(GRE);传输层的SSL VPN协议：SSL协议工作在TCP/IP和应用层之间

4.3.5网络安全协议

Internet安全协议(IPSec)：引入加密算法、数据完整性验证和身份认证;网络安全协议：认证协议头(AH)、安全载荷封装(ESP，传输模式、隧道模式)，密钥协商协议：互联网密钥交换协议(IKE) 传输层安全协议(SSL)：解决点到点数据安全传输和传输双方身份认证的网络安全传输协议;记录协议和握手协议 应用层安全协议：

Kerberos协议;SSH协议：加密所有传输的数据，能防止DNS欺骗和IP欺骗;安全超文本传输协议(SHTTP);安全多用途网际邮件扩充协议(S/MIME);安全电子交易协议(SET)