这是准备的培训材料。《GB/T 28452-2012 三级应用系统测评》培训调研问卷时间45 分钟 总分100 分一、 单项选择题每题 2 分共 20 分根据 GB/T 28452-2012应用软件系统安全子系统SSOASS的核心作用是A. 负责系统的业务逻辑处理B. 为应用软件系统提供安全保护确保其保密性、完整性和可用性C. 仅负责用户的身份认证D. 负责系统的性能优化在等级保护三级要求中对于管理用户的身份鉴别以下哪项是强制性要求A. 仅使用用户名和密码B. 采用至少两种不同的鉴别技术多因素认证C. 密码长度不少于 6 位D. 无需登录失败处理功能以下哪种行为属于 “横向越权”A. 普通用户访问管理员的功能页面B. 用户 A 通过修改 URL 参数访问了用户 B 的个人信息C. 管理员删除了普通用户的账号D. 用户尝试使用 SQL 注入获取数据库信息安全审计日志的内容应至少包含以下哪些要素A. 事件发生的日期和时间、用户身份、事件类型、事件成功与否B. 仅记录用户的登录和登出时间C. 仅记录系统的错误信息D. 无需记录用户身份对于数据的保密性保护以下哪种做法是推荐的A. 所有数据都使用明文存储B. 敏感数据在传输和存储过程中都应进行加密处理C. 仅在传输过程中加密存储时无需加密D. 仅在存储过程中加密传输时无需加密在测评报告中一个清晰的问题描述应包含哪三个核心要素A. 问题、原因、解决方案B. 位置、现象、后果C. 时间、地点、人物D. 发现人、发现时间、问题等级以下哪种工具主要用于手动测试 Web 应用的安全性可拦截、修改和重放请求A. NessusB. Burp SuiteC. ELK StackD. Wireshark对于密码的存储以下哪种方式最安全A. 明文存储B. 使用可逆的加密算法如 AES加密后存储C. 使用不可逆的哈希算法如 bcrypt处理后存储D. 存储密码的哈希值和对应的盐值Salt在三级要求中“强制访问控制” 的实现基础是A. 基于角色的访问控制RBACB. 对主体用户和客体数据设置安全标记C. 基于用户组的访问控制D. 自主访问控制DAC以下哪项不属于软件生命周期的安全要求阶段A. 实现和评估阶段B. 运行和维护阶段C. 需求分析阶段D. 市场推广阶段二、 多项选择题每题 4 分共 40 分多选、少选、错选均不得分GB/T 28452-2012 中定义的软件生命周期安全要求包括以下哪些阶段A. 规划阶段B. 获取和开发阶段C. 实现和评估阶段D. 运行和维护阶段E. 废弃和处置阶段等级保护三级系统在 “安全审计” 方面的要求比二级更高主要体现在A. 审计范围更广覆盖更多关键操作B. 对审计记录的保护要求更严格防止未授权删除、修改C. 要求具备对审计记录进行分析并生成报表的功能D. 要求对审计进程本身进行保护防止被中断E. 无需记录用户身份在进行 “用户身份鉴别” 测评时需要检查以下哪些方面A. 账户的唯一性是否存在共享账户B. 密码策略是否符合要求长度、复杂度、定期更换C. 是否有登录失败处理功能如账户锁定D. 远程管理是否采用了加密协议E. 是否对所有用户都采用了多因素认证以下哪些属于 “数据完整性” 保护的措施A. 使用哈希算法对数据进行校验B. 使用数字签名确保数据未被篡改C. 对数据进行加密存储D. 在数据传输过程中使用 HTTPS 协议E. 对重要配置文件设置只读权限在测评过程中“检查” 方法主要用于审查哪些对象A. 安全策略文档和系统设计方案B. 源代码片段和配置文件C. 系统的运行日志和审计记录D. 与系统管理员进行访谈E. 对系统功能进行渗透测试一份有效的测评证据应具备以下哪些特性A. 真实性证据必须是客观存在的原始信息B. 相关性证据必须与测评项和结论直接相关C. 完整性证据应能完整地支持测评结论D. 主观性可以根据测评人员的经验进行判断E. 时效性证据应在测评期间获取对于 “访问控制” 的测评应关注以下哪些内容A. 是否基于角色分配权限B. 是否遵循 “最小权限” 原则C. 是否存在横向或纵向越权漏洞D. 对重要信息资源是否设置了安全标记E. 是否对所有操作都进行了审计在撰写整改建议时应包含以下哪些要素A. 明确的整改目标B. 具体的技术和管理措施C. 清晰的实施步骤和时间计划D. 可验证的整改效果标准E. 无需考虑成本和难度以下哪些是常见的 Web 应用安全漏洞A. SQL 注入B. 跨站脚本攻击XSSC. 跨站请求伪造CSRFD. 操作系统漏洞E. 弱口令等级保护三级系统在 “入侵防范” 方面的要求包括A. 应能够检测到对重要服务器的入侵行为B. 应能够对攻击行为进行分析和记录C. 应能够在检测到入侵行为时产生告警D. 应能够自动阻断所有攻击行为E. 应定期进行漏洞扫描三、 简答题每题 8 分共 40 分请简述 GB/T 28452-2012 与等级保护 2.0 标准GB/T 22239-2019的关系。在对一个三级应用系统进行 “访问控制” 测评时你会从哪些方面进行检查和测试请列出至少 4 个关键点。什么是 “强制访问控制”MAC它与 “自主访问控制”DAC的主要区别是什么假设你在测评中发现一个系统存在 “SQL 注入” 漏洞请你按照 “位置、现象、后果” 的三要素原则撰写一个清晰的问题描述。简述在进行日志分析时你会从哪些维度去发现系统的异常行为并举例说明。参考答案与评分标准一、 单项选择题B 2. B 3. B 4. A 5. B 6. B 7. B 8. D 9. B 10. D二、 多项选择题ABCDE 2. ABCD 3. ABCD 4. ABD 5. ABCABCE 7. ABCD 8. ABCD 9. ABCE 10. ABCE三、 简答题答案要点GB/T 22239-2019 是等级保护的基础标准提出了宏观的、框架性的安全要求“做什么”。GB/T 28452-2012 是在等级保护框架下针对应用软件系统这一特定对象提出的具体、细化的安全技术要求和测评标准“怎么做”。它是等保标准在应用软件层面的技术实现指南和补充为等保测评中 “安全计算环境” 里的 “应用与数据安全” 部分提供了详细的技术参考和验证依据。评分答出核心关系得 4 分详细解释清楚得 8 分答案要点答出任意 4 点即可权限分配是否基于角色RBAC进行权限分配是否遵循最小权限原则。自主访问控制普通用户是否可以访问其他用户的资源横向越权测试普通用户是否可以访问管理员资源纵向越权测试。强制访问控制是否对重要信息资源设置了安全标记系统是否能根据标记控制访问。默认权限检查默认账户如 admin是否被禁用或重命名默认权限配置是否安全。权限变更检查权限变更操作是否被记录和审计。评分每点 2 分共 8 分答案要点强制访问控制MAC系统为主体用户和客体数据分配了固定的安全标记访问控制决策由系统根据这些标记强制做出用户无法自主更改。自主访问控制DAC资源的所有者可以自主决定哪些用户可以访问其拥有的资源具有一定的灵活性。主要区别核心在于访问控制权的归属。DAC 的控制权在用户手中而 MAC 的控制权在系统管理员手中更加严格和集中。评分解释 MAC 得 3 分解释 DAC 得 3 分说明区别得 2 分共 8 分答案示例位置在系统的/api/user/login接口处现象未对用户输入的用户名和密码参数进行有效的过滤和转义导致存在 SQL 注入漏洞。通过在密码输入框中输入特定的 SQL 语句如 OR 11 --可以绕过身份验证直接登录。后果攻击者可能利用此漏洞获取数据库中的用户敏感信息如明文密码、手机号、身份证号甚至可能篡改或删除数据库中的数据。评分三要素完整且描述清晰得 8 分要素不全酌情扣分答案要点答出任意 3 个维度并举例即可高频失败例如同一 IP 在短时间内出现大量登录失败日志可能是暴力破解。敏感操作例如在非工作时间如凌晨出现管理员权限变更、数据批量导出等操作可能是账户被盗。异常访问例如出现对系统未公开接口、后台管理页面的访问记录且来源为外部 IP可能是攻击者在探测。账户异常例如一个账户在不同的 IP 地址同时登录可能是账户共享或被盗。流量异常例如某个用户的网络流量在短时间内异常增大可能是在进行数据窃取。评分每个维度及举例得 3 分共 8 分