1)单项测评结果符合程度及判定;
2)判定单元测评结果;
3)整体测评;
4)系统安全保障评估;
5)安全问题风险问题;
6)形成等级测评结论;
7)编制测评报告。
68、举例出工具测试中漏洞检测的工具(两项)、WEB应用检测(两项)及其他测试工具(两项)?
1)绿盟远程安全评估系统(RSAS);2)天镜脆弱性扫描与管理系统;
3)Nexpose;4)Nessus;5)明鉴WEB应用弱点扫描器;
6)IBM Rational Appscan;7)Acunetix Web Vulnerability Scanner(WVS);
8)Metasploit;9)Backtrack-Linux;10)Kail-linux
69、常见的攻击类型有哪几类?采用什么原理?
根据入侵者使用的手段和方式,攻击可以分为5类
1)口令攻击:口令用来鉴别一个注册系统的个人ID,在实际系统中,入侵者总是试图通过猜测或获取口令文件等方式来获得系统认证的口令,从而进入系统。
2)拒绝服务攻击:拒绝服务站DOS使得目标系统无法提供正常的服务,从而可能给目标系统带来重大的损失。
3)利用性攻击:利用型攻击是一种试图直接对主机进行控制的攻击。它有两种主要的表现形式:特洛伊木马和缓冲区溢出攻击。
4)信息收集型攻击:信息收集型攻击并不直接对目标系统本身造成危害,它是为进一步的入侵提供必须的信息。
5)假消息攻击:攻击者利用配置不正确的消息来欺骗目标系统,以达到攻击的目的被称为假消息攻击。
70、如果有两个人同时对数字签名摘要进行前面,就称为双签名。在安全电子交易协议(SET)中就使用到了这种签名。想一想,这有什么意义?
在SET协议中采用了双签名技术,支付信息和订单信息室分别签署的,这样保证了商家看不到支付信息,而只能看到订单信息。意义在于:由于在交易中持卡人发往银行的支付指令是通过商家转发的,为了避免交易的过程中商家窃取持卡人的信用卡信息,以及避免银行跟踪持卡人的行为,侵犯消费者隐私,但同时又不能影响商家和银行对持卡人锁发信息的合理验证,只有当商家同意持卡人的购买请求后,才会让银行给商家付费,SET协议采用双重签名来解决这一问题。
71、网络安全等级保护标准体系包含哪几类依据,具体依据文件都是哪些?
1)基础标准《计算机信息系统安全等级保护等级划分准则》
2)安全要求《信息系统安全等级保护基本要求》及行业规范
3)系统定级《信息系统安全等级保护定级指南》及行业定级细则
4)方法指导《信息系统安全等级保护实施指南》《信息系统等级保护安全设计技术要求》
5)现状分析《信息系统安全等级保护测评要求》《信息系统安全等级保护测评过程指南》
72、简述电子商务的实现和流程。
1)卡用户向商家发送订购和支付信息,其中支付信息被加密,商家无从得知;
2)商家将支付信息发送到收单银行,收单银行解密信用卡号,用通过认证验证签名;
3)银行向发卡银行询问,确认用户信用卡是否属实;
4)发卡银行认可并签名该笔交易;
5)收单银行认可商家并签证此交易;
6)商家向用户传送货物和收据;
7)交易成功后,商家向收单银行请求支付;
8)收单银行按合同将货款划给商家;
9)发卡银行定期向用户寄去信用卡消费账单。
73、入侵行为的目的主要有哪些?
入侵者的目的各不相同,分为善意和恶意。大体来说入侵者在入侵一个系统时会想达到以下一种或者几种目的:获取进程,获取文件和数据,获取超级用户权限,进行非授权操作,是系统拒绝服务,篡改信息,披露信息。
74、试述零知识证明的原理。