简答题 请简述等级测评风险有哪些，该采取哪些措施规避风险？

问答题测评时如何确定系统的安全 区域边界？具有哪些典型的安全 区域边界？

多项选择题以下哪几项属于等保三级移动互联网安全扩展要求中的移动应用管控测评范围？（）

A.应只允许指定证书签名的应用软件安装和运行
B.应具有软件白名单功能，应能根据白名单控制应用软件安装、运行
C.应具有接受移动终端管理服务端推送的移动应用软件管理策略，并根据该策略对软件实施管控的能力
D.应具有选择应用软件安装、运行的功能

多项选择题对于XSS漏洞，以下防御手段有效的是？（）

A.部署web应用防火墙
B.使用htmlentities函数，把字符转换为HTML 实体
C.使用验证码
D.cookie关键字段设置HttpOnly属性

多项选择题关于杂凑函数，下列说法正确的是（）

A.输入长度必须是固定长度
B.输入长度可以任意长
C.输入长度必须比摘要值长
D.输出长度是固定值

多项选择题电子邮件系统的安全防护重点包括（）

A.垃圾邮件防范
B.恶意代码防范
C.邮件篡改防范
D.敏感信息泄露防范

多项选择题针对“基于应用协议的访问控制”，以下说法正确的是（）

A.基于应用协议的访问控制安全性高于基于目的端口的访问控制
B.可通过在访问控制设备上，创建服务对象绑定传输层协议端口方式实现应用协议的识别
C.在下一代防火墙上，其它元素相同的情况下，选择目的端口为80和选择目的服务为HTTP的访问控制效果一样
D.路由器、交换机不支持基于应用协议的访问控制

多项选择题通过交换机或路由器ACL进行访问控制，其不足主要在于（）。

A.无法实现基于五元组的精细控制
B.不支持基于会话状态的访问控制
C.策略数量较多时，对设备性能影响较大
D.不支持基于应用协议的访问控制

多项选择题某公司的三级系统--个人征信系统服务器与公司办公终端处于同一网段，仅用一台二层交换机相连接。不满足《基本要求》的哪些条款？（）

A.应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段
B.应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性
C.应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址
D.应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信

多项选择题云服务客户购买了IaaS服务，部署用户业务系统时，需要考虑的安全是（）

A.数据层安全
B.虚拟化安全
C.主机层（包括虚拟机、宿主机等）安全
D.虚拟网络层安全

多项选择题基于IaaS模式，云服务客户实现自身控制部分的集中监测，可以包括（）。

A.租户应用
B.租户网络
C.虚拟机使用情况
D.物理机使用情况

多项选择题基于IaaS模式，云服务商实现自身控制部分的集中监测，可以包括（）。

A.租户应用
B.租户网络
C.虚拟机使用情况
D.物理机使用情况

多项选择题以下哪些产品可以实现数据的集中审计和分析（）。

A.SOC（安全运营中心）
B.日志分析系统
C.网络安全态势感知系统
D.SIEM（安全信息和事件管理）

多项选择题依据GB T 28448-2019测评要求，等级保护第三级重要数据传输过程的保密性所涉及的测评对象主要为哪些（）。

A.业务应用系统
B.数据库管理系统
C.中间件和系统管理软件
D.交换机

多项选择题针对二级以上云租户系统，以下可以判定为高风险的场景包括（）

A.云计算平台承载高于其安全保护等级（SxAxGx）的业务应用系统
B.业务应用系统部署在低于其安全保护等级（SxAxGx）的云计算平台上
C.业务应用系统部署在未进行等级保护测评的云计算平台上
D.业务应用系统部署在测评报告超出有效期的云计算平台上

多项选择题相较于2019版等级测评报告模板，2021版等级测评报告模板的主要修订内容包括（）。

A.将数据作为独立测评对象
B.删除控制点得分计算
C.调整综合得分计算公式
D.规范了等级测评结论扩展表