2)签署保密协议；

测评相关方应签署合乎法律规范的保密协议,以约束测评相关方现在及将来的行为。保密协议规定了测评相关方保密方面的权利与义务。测评过程中获取的相关系统数据信息及测评工作的成果属被测评单位所有,测评方对其的引用与公开应得到相关单位的授权,否则相关单位将按照保密协议的要求追究测评单位的法律责任。

3）现场测评工作风险的规避；

现场测评之前,测评机构应与相关单位签署现场测评授权书,要求相关方对系统及数据进行备份,并对可能出现的事件制定应急处理方案。进行验证测试和工具测试时,避开业务高峰期,在系统资源处于空闲状态时进行,或配置与生产环境一致的模拟/仿真环境,在模拟/仿真环境下开展漏洞扫描等测试工作;上机验证测试由测评人员提出需要验证的内容,系统运营使用单位的技术人员进行实际操作。整个现场测评过程要求系统运营、使用单位全程监督。

4）测评现场还原。

测评工作完成后,测评人员应将测评过程中获取的所有特权交回,把测评过程中借阅的相关资料文档归还,并将测评环境恢复至测评前状态。

12、简述单向认证和双向认证。[填空题]*

答案解析：

答案要点：双向认证SSL协议要求服务器和用户双方都有证书。单向认证SSL协议不需要客户拥有CA证书。具体见下图。

13、列出三种云计算服务模型以及各自的优缺点。[填空题]*

答案解析：

答案要点：

三种云计算服务模型包括IaaS、PaaS和SaaS，它们的一些常见优缺点包括但不限于以下几个方面：

IaaS：

优点：减少资本投资；增加业务连续性/灾难恢复的冗余；可伸缩性。

缺点：依赖于云服务提供商的安全性；保留维护操作系统和应用程序的责任。

PaaS：

优点：使用多个操作系统平台，特别适合于测试和软件开发的目的，还包含IaaS的所有优点。

缺点：依靠云服务提供商更新操作系统，保留维护应用程序的责任。

SaaS：

优点：云服务提供商负责所有基础设施、操作系统和应用程序；还包含PaaS的所有优点。

缺点：失去一切管理控制；可能对安全没有任何洞察。

14、简述不同云计算服务模型下，云服务提供商、云服务客户与资源控制范围控制的关系。[填空题]*

答案解析：

在不同的服务模式中，云服务商和云服务客户对计算资源拥有不同的控制范围，控制范围则决定了安全责任的边界。在基础设施即服务模式下，云计算平台由设施、硬件、资源抽象控制层组成；在平台即服务模式下，云计算平台包括设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台；在软件即服务模式下，云计算平台包括设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件。

15、列举常见的物联网设备使用的通信手段，并进行简单分类。[填空题]*

答案要点：

按照连接方式可以分为有线连接和无线连接，有线连接包括以太网线、电线、音频线/同轴线、RS485总线、USB等。无线连接包括WIFI、Zigbee、Lora、蓝牙、Z-ware、3G,4G,GPRS,NB-IOT等。

按照通信距离可以分为短距离通信和长距离通信，短距离通信包括Zigbee，Z-ware，蓝牙，WIFI，串口，USB，总线等。远距离通信包括，3G/4G、GPRS、NB-IOT、5G等。

16、列举常用物联网设备漏洞挖掘手段。[填空题]*

答案要点：

1）逆向分析设备固件，获取关键功能逻辑信息，硬编码密钥、口令信息等。

2）逆向分析设备控制端APP，SDK等，获取设备认证、控制协议。

3）模拟固件运行环境，对特定可执行文件或者整个设备进行模糊测试。

如下网络拓扑图所示，系统定级为S2A2G2，描述网络存在的问题。[填空题]*

答案要点:

1）系统没有进行区域划分，没有划分外联接入区和安全管理区；

2）系统的边界没有隔离和防护，在下级单位和数据源的边界处应部署防火墙，并配置相应的访问控制策略；

3）没有部署网络防恶意代码产品，不能在关键网络节点处对恶意代码进行检测和清除；

4）没有部署入侵检测产品，不能对网络中的关键节点处监视网络攻击行为；