mysql_query(“select*from orders where username=”$username”or dir(mysql_error():

>

A.命令执行漏洞√

B.SQL注入漏洞

C.文件包含漏洞√

D.反射XSS漏洞√

28、下列哪一种VPN协议不提供本地数据库加密功能？（）[多选题]*

A.IPsec

B.L2F√

C.L2TP√

D.PPTP√

F C.L2TP D.PPTP

F C.L2TP D.PPTP E.P2P

29、Oracle中的三种系统文件分别是？（）[多选题]*

A.数据文件DBF√

B.控制文件CTL√

C.日志文件LOG√

D.归档文件ARC

30、关于表分区的说法正确的有？（）[多选题]*

A.表分区存储在表空间中√

B.表分区可用于任意的数据类型的表

C.表分区不能用于含有自定义类型的表√

D.表分区的每个分区都必须具有明确的上界值

31、以下哪几项属于等保三级移动互联网安全扩展要求中的移动应用管控测评范围内？（）[多选题]*

A.应只允许指定证书签名的应用软件安装和运行√

B.应具有软件白名单功能，应能根据白名单控制应用软件安装、运行√

C.应具有接受移动终端管理服务端推送的移动应用软件管理策略，并根据该策略对软件实施管控的能力

D.应具有选择应用软件安装、运行的功能√

四、简答题

1、测评时如何确定系统的安全区域边界；工业控制系统具有哪些典型的安全区域边界。[填空题]*

答案要点：

第一，调研系统网络结构，得到与实际系统一致的网络拓扑图；第二，分析网络拓扑中所包含的安全区域、各区域所处的层级；第三，分析各区域间的连通情况、安全防护需求，结合访问控制设备的部署情况，得出系统所有的安全区域边界。

通常分为外部边界、内部边界。外部边界如工业控制系统与企业办公系统边界；内部边界又包括层级边界、区域边界。层级边界，如生产管理层与企业资源层边界、过程监控层与生产管理层边界；区域边界，如制造业的不同车间、电厂的不同机组等。

2、简述等级保护测评与风险评估的关系。[填空题]*

答案解析：

答案要点：依据GB/T 22239或行业标准对应级别的条款要求，逐项测评，并进行必要的安全扫描和渗透测试（特殊情况除外），参考风险评估思路，综合分析不符合/部分符合项的安全风险并确定风险等级（定性：高中低），根据既定的计分方式进行综合评分。给出确定的测评结论：优良中差。

依据GB/T 20984所给出的方法，针对约定评估对象(可以为业务系统、组织的全部信息系统、或约定的特定范围)，以资产为核心，分析资产价值，面临的威胁、存在的脆弱性，主要以定量的方式计算各资产的安全风险。根据约定的风险评价原则，定性方式给出评估对象的风险情况。其中，标准中明确脆弱性评估可参考其他标准或文件（如照GB/T 22239）。

等级保护测评在安全问题风险分析时，参考风险分析原理，综合考虑安全问题关联资产、关联威胁，根据最大可能安全危害（损失），并结合联盟团标“高危判例”确定每个安全问题的风险等级。然后进行整体测评，对风险等级进行必要的调整。

3、请简述等级测评风险有哪些，该采取哪些措施规避风险？[填空题]*

答案解析：