GB/T 28452-2012 三级应用系统测评
这是准备的培训材料。
《GB/T 28452-2012 三级应用系统测评》培训调研问卷
时间:45 分钟 总分:100 分
一、 单项选择题(每题 2 分,共 20 分)
- 根据 GB/T 28452-2012,应用软件系统安全子系统(SSOASS)的核心作用是?
A. 负责系统的业务逻辑处理
B. 为应用软件系统提供安全保护,确保其保密性、完整性和可用性
C. 仅负责用户的身份认证
D. 负责系统的性能优化
- 在等级保护三级要求中,对于管理用户的身份鉴别,以下哪项是强制性要求?
A. 仅使用用户名和密码
B. 采用至少两种不同的鉴别技术(多因素认证)
C. 密码长度不少于 6 位
D. 无需登录失败处理功能
- 以下哪种行为属于 “横向越权”?
A. 普通用户访问管理员的功能页面
B. 用户 A 通过修改 URL 参数,访问了用户 B 的个人信息
C. 管理员删除了普通用户的账号
D. 用户尝试使用 SQL 注入获取数据库信息
- 安全审计日志的内容应至少包含以下哪些要素?
A. 事件发生的日期和时间、用户身份、事件类型、事件成功与否
B. 仅记录用户的登录和登出时间
C. 仅记录系统的错误信息
D. 无需记录用户身份
- 对于数据的保密性保护,以下哪种做法是推荐的?
A. 所有数据都使用明文存储
B. 敏感数据在传输和存储过程中都应进行加密处理
C. 仅在传输过程中加密,存储时无需加密
D. 仅在存储过程中加密,传输时无需加密
- 在测评报告中,一个清晰的问题描述应包含哪三个核心要素?
A. 问题、原因、解决方案
B. 位置、现象、后果
C. 时间、地点、人物
D. 发现人、发现时间、问题等级
- 以下哪种工具主要用于手动测试 Web 应用的安全性,可拦截、修改和重放请求?
A. Nessus
B. Burp Suite
C. ELK Stack
D. Wireshark
- 对于密码的存储,以下哪种方式最安全?
A. 明文存储
B. 使用可逆的加密算法(如 AES)加密后存储
C. 使用不可逆的哈希算法(如 bcrypt)处理后存储
D. 存储密码的哈希值和对应的盐值(Salt)
- 在三级要求中,“强制访问控制” 的实现基础是?
A. 基于角色的访问控制(RBAC)
B. 对主体(用户)和客体(数据)设置安全标记
C. 基于用户组的访问控制
D. 自主访问控制(DAC)
- 以下哪项不属于软件生命周期的安全要求阶段?
A. 实现和评估阶段
B. 运行和维护阶段
C. 需求分析阶段
D. 市场推广阶段
二、 多项选择题(每题 4 分,共 40 分,多选、少选、错选均不得分)
- GB/T 28452-2012 中定义的软件生命周期安全要求包括以下哪些阶段?
A. 规划阶段
B. 获取和开发阶段
C. 实现和评估阶段
D. 运行和维护阶段
E. 废弃和处置阶段
- 等级保护三级系统在 “安全审计” 方面的要求比二级更高,主要体现在?
A. 审计范围更广,覆盖更多关键操作
B. 对审计记录的保护要求更严格,防止未授权删除、修改
C. 要求具备对审计记录进行分析并生成报表的功能
D. 要求对审计进程本身进行保护,防止被中断
E. 无需记录用户身份
- 在进行 “用户身份鉴别” 测评时,需要检查以下哪些方面?
A. 账户的唯一性,是否存在共享账户
B. 密码策略是否符合要求(长度、复杂度、定期更换)
C. 是否有登录失败处理功能(如账户锁定)
D. 远程管理是否采用了加密协议
E. 是否对所有用户都采用了多因素认证
- 以下哪些属于 “数据完整性” 保护的措施?
A. 使用哈希算法对数据进行校验
B. 使用数字签名确保数据未被篡改
C. 对数据进行加密存储
D. 在数据传输过程中使用 HTTPS 协议
E. 对重要配置文件设置只读权限
- 在测评过程中,“检查” 方法主要用于审查哪些对象?
A. 安全策略文档和系统设计方案
B. 源代码片段和配置文件
C. 系统的运行日志和审计记录
D. 与系统管理员进行访谈
E. 对系统功能进行渗透测试
- 一份有效的测评证据应具备以下哪些特性?
A. 真实性:证据必须是客观存在的原始信息
B. 相关性:证据必须与测评项和结论直接相关
C. 完整性:证据应能完整地支持测评结论
D. 主观性:可以根据测评人员的经验进行判断
E. 时效性:证据应在测评期间获取
- 对于 “访问控制” 的测评,应关注以下哪些内容?
A. 是否基于角色分配权限
B. 是否遵循 “最小权限” 原则
C. 是否存在横向或纵向越权漏洞
D. 对重要信息资源是否设置了安全标记
E. 是否对所有操作都进行了审计
- 在撰写整改建议时,应包含以下哪些要素?
A. 明确的整改目标
B. 具体的技术和管理措施
C. 清晰的实施步骤和时间计划
D. 可验证的整改效果标准
E. 无需考虑成本和难度
- 以下哪些是常见的 Web 应用安全漏洞?
A. SQL 注入
B. 跨站脚本攻击(XSS)
C. 跨站请求伪造(CSRF)
D. 操作系统漏洞
E. 弱口令
- 等级保护三级系统在 “入侵防范” 方面的要求包括?
A. 应能够检测到对重要服务器的入侵行为
B. 应能够对攻击行为进行分析和记录
C. 应能够在检测到入侵行为时产生告警
D. 应能够自动阻断所有攻击行为
E. 应定期进行漏洞扫描
三、 简答题(每题 8 分,共 40 分)
- 请简述 GB/T 28452-2012 与等级保护 2.0 标准(GB/T 22239-2019)的关系。
- 在对一个三级应用系统进行 “访问控制” 测评时,你会从哪些方面进行检查和测试?请列出至少 4 个关键点。
- 什么是 “强制访问控制”(MAC)?它与 “自主访问控制”(DAC)的主要区别是什么?
- 假设你在测评中发现一个系统存在 “SQL 注入” 漏洞,请你按照 “位置、现象、后果” 的三要素原则,撰写一个清晰的问题描述。
- 简述在进行日志分析时,你会从哪些维度去发现系统的异常行为?并举例说明。
参考答案与评分标准
一、 单项选择题
- B 2. B 3. B 4. A 5. B 6. B 7. B 8. D 9. B 10. D
二、 多项选择题
- ABCDE 2. ABCD 3. ABCD 4. ABD 5. ABC
- ABCE 7. ABCD 8. ABCD 9. ABCE 10. ABCE
三、 简答题
- 答案要点:
- GB/T 22239-2019 是等级保护的基础标准,提出了宏观的、框架性的安全要求(“做什么”)。
- GB/T 28452-2012 是在等级保护框架下,针对应用软件系统这一特定对象提出的具体、细化的安全技术要求和测评标准(“怎么做”)。
- 它是等保标准在应用软件层面的技术实现指南和补充,为等保测评中 “安全计算环境” 里的 “应用与数据安全” 部分提供了详细的技术参考和验证依据。
- (评分:答出核心关系得 4 分,详细解释清楚得 8 分)
- 答案要点(答出任意 4 点即可):
- 权限分配:是否基于角色(RBAC)进行权限分配,是否遵循最小权限原则。
- 自主访问控制:普通用户是否可以访问其他用户的资源(横向越权测试),普通用户是否可以访问管理员资源(纵向越权测试)。
- 强制访问控制:是否对重要信息资源设置了安全标记,系统是否能根据标记控制访问。
- 默认权限:检查默认账户(如 admin)是否被禁用或重命名,默认权限配置是否安全。
- 权限变更:检查权限变更操作是否被记录和审计。
- (评分:每点 2 分,共 8 分)
- 答案要点:
- 强制访问控制(MAC):系统为主体(用户)和客体(数据)分配了固定的安全标记,访问控制决策由系统根据这些标记强制做出,用户无法自主更改。
- 自主访问控制(DAC):资源的所有者可以自主决定哪些用户可以访问其拥有的资源,具有一定的灵活性。
- 主要区别:核心在于访问控制权的归属。DAC 的控制权在用户手中,而 MAC 的控制权在系统管理员手中,更加严格和集中。
- (评分:解释 MAC 得 3 分,解释 DAC 得 3 分,说明区别得 2 分,共 8 分)
- 答案示例:
- 位置:在系统的/api/user/login接口处,
- 现象:未对用户输入的用户名和密码参数进行有效的过滤和转义,导致存在 SQL 注入漏洞。通过在密码输入框中输入特定的 SQL 语句(如 ' OR 1=1 --),可以绕过身份验证直接登录。
- 后果:攻击者可能利用此漏洞获取数据库中的用户敏感信息(如明文密码、手机号、身份证号),甚至可能篡改或删除数据库中的数据。
- (评分:三要素完整且描述清晰得 8 分,要素不全酌情扣分)
- 答案要点(答出任意 3 个维度并举例即可):
- 高频失败:例如,同一 IP 在短时间内出现大量登录失败日志,可能是暴力破解。
- 敏感操作:例如,在非工作时间(如凌晨)出现管理员权限变更、数据批量导出等操作,可能是账户被盗。
- 异常访问:例如,出现对系统未公开接口、后台管理页面的访问记录,且来源为外部 IP,可能是攻击者在探测。
- 账户异常:例如,一个账户在不同的 IP 地址同时登录,可能是账户共享或被盗。
- 流量异常:例如,某个用户的网络流量在短时间内异常增大,可能是在进行数据窃取。
- (评分:每个维度及举例得 3 分,共 8 分)