国家信息安全漏洞共享平台CNVD-国家互联网应急中心

信息安全管理员大赛模拟试题（含答案）一、单选题1. 信息安全等级保护工作直接作用的具体的信息和信息系统称为 [单选题] *A、客体B、客观方面C、等级保护对象(正确答案)D、系统服务2. 下面哪个安全评估机构为我国自己的计算机安全评估机构? [单选题] *CCTCSECCNISTECITSEC(正确答案)3. 信息系统安全等级保护实施的基本过程包括系统定级、（）、安全实施、安全运维、系统终止 [单选题] *风险评估安全规划(正确答案)安全加固安全应急4. 对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等，称为 [单选题] *客观方面(正确答案)等级保护对象系统服务5. 信息系统为支撑其所承载业务而提供的程序化过程，称为 [单选题] *客体客观方面等级保护对象系统服务(正确答案)6. 从业务信息安全角度反映的信息系统安全保护等级称 [单选题] *安全等级保护信息系统等级保护系统服务安全保护等级业务信息安全保护等级(正确答案)7. 从系统服务安全角度反映的信息系统安全保护等级称 [单选题] *安全等级保护信息系统等级保护系统服务安全保护等级(正确答案)业务信息安全保护等级8. 对公民、法人和其他组织的合法权益造成一般损害，定义为几级 [单选题] *第一级(正确答案)第三级第四级9. 对公民、法人和其他组织的合法权益造成特别严重损害，定义为几级 [单选题] *第一级第二级(正确答案)第三级第四级10. 二级信息系统保护要求的组合包括: S1A2G2，S2A2G2，（） [单选题] *S2A1G2(正确答案)S1A2G3S2A2G3S2A3G211. 基本要求的选择和使用中，定级结果为S3A2，保护类型应该是 [单选题] *S3A2G1S3A2G2S3A2G3(正确答案)S3A2G412. 每个级别的信息系统按照（）进行保护后，信息系统具有相应等级的基本安全保护能力，达到一种基本的安全状态 [单选题] *基本要求(正确答案)测评准则实施指南13. 下列选项中，不属于审核准备工作内容的是 [单选题] *编制审核计划加强安全意识教育(正确答案)收集并审核有关文件准备审核工作文件——编写检查表14. 在信息资产管理中，标准信息系统的因特网组件不包括 [单选题] *服务器网络设备（路由器、集线器、交换机）保护设备（防火墙、代理服务器）电源(正确答案)15. 在信息资产管理中，标准信息系统的组成部分不包括 [单选题] *硬件软件解决方案(正确答案)数据和信息16. 下列关于体系审核的描述中，错误的是 [单选题] *体系审核应对体系范围内所有安全领域进行全面系统地审核应由与被审核对象无直接责任的人员来实施组织机构要对审核过程本身进行安全控制对不符合项的纠正措施无须跟踪审查(正确答案)17. IATF将信息系统的信息保障技术层面划分为四个技术框架焦点域。

信息安全技术单选题库+参考答案一、单选题（共100题，每题1分，共100分）1、两台配置了IPSec协议的Windows计算机进行IPSec初始连接时，通过Wireshark嗅探的IPSec前面 10个数据包的协议类型是A、IKEB、ISAKMPC、OakleyD、SKEME正确答案：B2、下列协议层发生的攻击行为, IPS可以检测拦截而硬件包过滤防火墙不能检测拦截的是A、网络层B、应用层C、传输层D、链路层正确答案：B3、软件的动态安全检测技术不包括A、智能模糊测试B、动态污点跟踪C、词法分析D、模糊测试正确答案：C4、计算机可以在多项式时间复杂度内解决的问题称为A、P问题B、NP问题C、NPC问题D、Q问题正确答案：A5、发表于1949年的《保密系统的通信理论》把密码学置于坚实的数学基础之上，标志着密码学形成一门学科。

该论文的作者是A、ShannonB、DiffieC、HellmanD、Caesar正确答案：A答案解析：香农6、恶意程序对计算机感染后的破坏功能，不包括A、诱骗下载B、修改浏览器配置C、窃取用户密码账号等隐私信息D、实现远程控制正确答案：A7、国家信息安全漏洞共享平台的英文缩写为A、CNVDB、CNCERTC、CNNVDD、NVD正确答案：A8、Diffie-Hellman算法是一种A、密钥交换协议B、数字签名算法C、访问控制策略D、哈希算法正确答案：A9、Script Flood攻击属于()。

A、应用层协议攻击B、传输层协议攻击C、网络层协议攻击D、链路层协议攻击正确答案：A10、下列选项中，属于RADIUS协议优点的是A、基于UDP的传输B、简单的丢包机制C、没有关于重传的规定D、简单明确，可扩充正确答案：D11、RSA所依赖的数学难题是()。

A、大整数因式分解B、离散对数问题C、SP网络D、双线性映射正确答案：A12、下列数据包内容选项中，ESP协议在传输模式下不进行加密的是( )。

复习题1、《中华人民共和国网络安全法》正式实施的日期是哪一天？A 2017年7月1日B 2017年6月1日C 2016年7月1日D 2016年10月1日（正确答案：B）2、信息安全领域内最关键和最薄弱的环节是______。

A.技术B.策略C.管理制度D.人（正确答案：D）3、伊朗震网病毒发生在哪一年？A 2005年B 2009年C 2010年D 2015年（正确答案：C）4、以下哪个类别属于工控信息安全产业防护类产品？A边界安全B终端安全C监测审计D以上都是（正确答案：D）5、《工业控制系统信息安全防护指南》是在哪一年发布的？A 2009年B 2013年C 2016年D 2017年（正确答案：C）6、《工业控制系统信息安全事件应急管理工作指南》是在什么时间发布的？A 2009年5月B 2013年7月C 2016年10月D 2017年6月（正确答案：D）7、“工业控制系统信息安全技术国家工程实验室”正式挂牌时间是哪一天？A 2014年12月1日B 2009年7月1日C 2015年12月1日D 2016年12月1日（正确答案：A）8、“工业控制系统信息安全技术国家工程实验室航天工业联合实验室”是在哪一年挂牌成立的？A 2009年B 2013年C 2016年D 2017年（正确答案：C）9、“工业控制系统信息安全技术国家工程实验室”的承建单位是哪家机构？A CEC中国电子B电子六所C和利时集团D电子一所（正确答案：B）10、电子六所自主知识产权的国产PLC的中文名称是什么？A突破B国盾C超御D铁卫（正确答案：C）11、“网络空间安全”是否已经成为国家一级学科？A是的B还不是C不太可能D明年有可能（正确答案：A）12、中国电子信息产业集团有限公司第六研究所（又名华北计算机系统工程研究所,简称电子六所)成立于哪一年？A 1955年B 1976年C 1989年D 1965年（正确答案：D）13、“工业控制系统信息安全技术国家工程实验室核电分部”挂牌的准确时间是哪一天？A 2016年1月12日B 2017年1月12日C 2018年1月12日D 2015年1月12日（正确答案：C）14、据工业信息安全产业发展联盟测算，2017年我国工业信息安全市场规模有多大？A 10亿元人民币B 5.57亿元人民币C 6.25亿元人民币D 15亿元人民币（正确答案：B）15、下面哪家企业不提供工业防火墙产品？A威努特B绿盟C天地和兴D华创网安（正确答案：D）16、下面哪家企业提供工业防病毒软件产品？A启明星辰B威努特C网藤科技D安点科技（正确答案：C）17、下面哪家公司不属于终端安全应用白名单技术供应商？A绿盟B威努特C天地和兴D 360企业安全（正确答案：A）18、下面哪家企业提供工业安全审计平台？A威努特B绿盟C海天炜业D力控华康（正确答案：A）19、下面哪家企业被称之为工控信息安全领域的“黄浦军校”？A威努特B匡恩网络科技C 360企业D安点科技（正确答案：B）20、网络关键设备和网络安全专用产品安全认证实验室共有几家？A 3家B 6家C 8家D 10家（正确答案：C）21、作为典型的工控安全事件，乌克兰至少有三个区域的电力系统被具有高度破坏性的恶意软件攻击，导致大规模停电，请问这一事件发生在哪一年？A 2016年B 2013年C 2010年D 2015年（正确答案：D）22、因为内部员工操作失误导致了美国Hatch核电厂自动停机事件，请问这一事件发生在哪一年？A 2012年B 2018年C 2008年D 2009年（正确答案：C）23、前工程师VitekBoden因不满工作续约被拒而蓄意报复，澳大利亚昆士兰新建的马卢奇污水处理厂出现故障，请问这一事件发生在哪一年？A 2000年B 2002年C 2014年D 2016年（正确答案：A）24、以下哪家工控信息安全企业还没有上市？A启明星辰B卫士通C北信源D威努特（正确答案：D）25、根据国际电工委员会制定的工业控制编程语言标准（IEC1131-3），PLC有五种标准编程语言，请问下面哪一种语言不属于此类？A梯形图语言（LD）B指令表语言（IL）C PHP语言D功能模块语言（FBD）（正确答案：C）26、国家信息安全漏洞共享平台是重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。

工业控制系统网络安全问题及措施摘要：根据工业控制网络的安全需求，改进安全技术措施和安全管理措施，实现3层安全隔离，对工控网络进行可用性、性能和服务水平的统一监控管理，保证工业控制系统安全稳定运行。

关键词：工控制系统；工业互联网；风险防护0引言随着工业互联网的发展、钢铁行业信息化的推进，EMS（能源管理系统）和MES （生产过程执行系统）建设日益增多，这些子系统负责原料供应、焦化、烧结、除尘、炼铁、炼钢、连铸、热轧以及冷轧等多工序的控制任务，一旦受到恶性攻击或者病毒的袭击，将导致工业控制系统的控制组件和整个生产线停运，甚至造成伤亡等严重后果。

工业控制网络安全十分重要，第一，它的保护攻击主题是特殊的，不同于传统的网络攻击，如网络欺诈和网络入侵，目的是赚钱和利润。

从一般意义上说，工业入侵者不会是“黑客”，但可能是恐怖组织甚至敌对势力支持的组织；其次，攻击和破坏的后果严重。

在自动化发展的初期，工厂控制系统网络相对封闭，工业控制系统一度被认为是绝对独立的，不可能受到外部网络攻击的。

但近年来，为了实现实时数据采集和生产控制，通过逻辑隔离，满足“两化融合”的需求和管理的便利性。

工业互联网的兴起，远程运维需求迫切，通过互联网对工业控制系统的网络攻击也逐年增加，国内外生产企业已经加快了工业控制系统的安全控制措施的建设。

1工业控制网络的安全需求1.1网络边界防护需求生产网络内边界缺乏有效的防护措施，无法有效保护各业务系统的安全。

1.2远程访问防护需求生产控制网络存在远程维护通道，很多工业控制设备维护依赖提供商，由此也带来了入侵的途径，存在一定的安全隐患。

1.3网络监测与审计需求生产网络内缺少安全审计设备，无法对网络中的攻击行为、数据流量、重要操作等进行监测审计，一旦出现安全事故无法进行事后审计。

1.4操作系统漏洞管理需求生产网络中的工控机多数使用微软、Linux操作系统，由于生产控制网络的封闭及控制系统对业务实时性要求较高，无法进行正常的系统漏洞升级操作，导致使用的微软操作系统存在大量安全漏洞。

５信息安全漏洞公告与处置　ＣＮＣＥＲＴ高度重视对安全威胁信息的预警通报工作。

由于大部分严重的网络安全威胁都是由信息系统所存在的安全漏洞诱发的，所以及时发现和处理漏洞是安全防范工作的重中之重。

５．１国家信息安全漏洞共享平台（ＣＮＶＤ）漏洞收录情况　国家信息安全漏洞共享平台（ＣＮＶＤ）自２００９年成立以来，共收集整理漏洞信息３５０３２个。

其中，２０１１　年新增漏洞５５４７个，包括高危漏洞２１６４个（占３９．０％）、　中危漏洞２５２９个（占４５．６％）、低危漏洞８５４个（占１５．４％）。

各级别比例分布与月度数量统计如图５－１、图５－２　所示。

在所收录的上述漏洞中，可用于实施远程网络攻击的漏洞有４６９２个，可用于实施本地攻击的漏洞有５５９个。

　图5-1 2011年CNVD收录漏洞按威胁级别分布图5-2 2011年CNVD收录漏洞数量月度统计２０１１　年，ＣＮＶＤ共收集、整理了２１６４个高危漏洞，涵盖Ｍｉｃｒｏｓｏｆｔ、ＩＢＭ、Ａｐｐｌｅ、ＷｏｒｄＰｒｅｓｓ、Ａｄｏｂｅ、Ｃｉｓｃｏ、Ｍｏｚｉｌｌａ、Ｎｏｖｅｌｌ、Ｇｏｏｇｌｅ、Ｏｒａｃｌｅ等厂商的产品。

各厂商产品中高危漏洞的分布情况如图５－３　所示，可以看出，涉及Ａｐｐｌｅ产品的高危漏洞最多，占全部高危漏洞的７．６％。

根据影响对象的类型，漏洞可分为：操作系统漏洞、应用程序漏洞、ＷＥＢ应用漏洞、数据库漏洞、网络设备漏洞（如路由器、交换机等）和安全产品漏洞　（如防火墙、入侵检测系统等）。

如图５－４所示，在ＣＮＶＤ　２０１１年度收集整理的漏洞信息中，操作系统漏洞占８．８％，应用程序漏洞占６２．５％，ＷＥＢ应用漏洞占　２２．７％，数据库漏洞１．１％，网络设备漏洞占３．７％，安全产品漏洞占１．２％。

图5-4 2011 年CNVD 收录漏洞按影响对象类型分类统计ＣＮＶＤ对收录的漏洞进行验证，并掌握一些仅在ＣＮＶＤ　成员单位中知晓、未通过互联网公开披露的攻击代码。

ＣＮＶＤ　通过验证和测试攻击代码，对漏洞带来的危害进行了较为全面的分析研判。

国家标准《信息安全技术网络安全漏洞分类分级规范》（草案）编制说明一、工作简况1.1 任务来源根据国家标准化委员会于2018年下达的国家标准修订计划，《信息安全技术网络安全漏洞分类分级指南》由中国信息安全测评中心作为承担单位。

该标准由全国信息安全标准化技术委员会归口管理。

1.2 主要起草单位和工作组成员本标准由中国信息安全测评中心（以下简称“国测”）牵头，国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心、中国电子技术标准化研究院等多家单位共同参与编制。

1.3 主要工作过程(1)2018年5月，组织参与本标准编写的相关单位召开项目启动会，成立规范编制小组，确立各自分工，进行初步设计，并听取各协作单位的相关意见。

(2)2018年6月，编制组通过问卷调查的方式，向安全公司、专家收集关于分类分级国标的修订意见，整理相关意见形成了《信息安全漏洞分类分级修订建议调查情况》。

编制组同时对国内外漏洞分类分级的现状做了调研，整理出《信息安全漏洞分类分级修订相关情况调研与分析》报告，进一步佐证了标准修订的必要性以及提供了标准修订的依据。

(3)2018年7月，编制组结合充分的调研结果，参考CWE、CVSS等国际通用漏洞分类分级方法，提出详细的标准修订计划，形成标准草案第一稿。

(4)2018年8月，编制组召开组内研讨会，基于前期成果，经多次内部讨论研究，组织完善草案内容，形成草案第二稿。

(5)2018年9月，编制组继续研究讨论，并与国内其他漏洞平台运营单位进行交流，吸收各位专家的意见，反复修订完善草案，形成草案第三稿。

(6)2018年10月8日，编制组召开针对草案第三稿的讨论会，会上各参与单位的代表对漏洞分类分级的具体内容进行了深入讨论。

根据讨论结果，编制组对草案进行进一步修改，形成草案第四稿。

(7)2018年10月15日，安标委组织WG5组相关专家召开评审会，对项目进行评审，审阅了标准草案文本、编制说明、意见汇总表等项目相关文档，质询了有关问题，提出增加网络安全漏洞分类分级概述说明、细化编制说明、增加实验验证和使用情况说明、简化分级评价指标等意见。

研发运营安全白皮书（2020年）云计算开源产业联盟OpenSource Cloud Alliance for industry，OSCAR2020年7月版权声明本白皮书版权属于云计算开源产业联盟，并受法律保护。

转载、摘编或利用其它方式使用本调查报告文字或者观点的，应注明“来源：云计算开源产业联盟”。

违反上述声明者，本联盟将追究其相关法律责任。

前言近年来，安全事件频发，究其原因，软件应用服务自身存在代码安全漏洞，被黑客利用攻击是导致安全事件发生的关键因素之一。

随着信息化的发展，软件应用服务正在潜移默化的改变着生活的各个方面，渗透到各个行业和领域，其自身安全问题也愈发成为业界关注的焦点。

传统研发运营模式之中，安全介入通常是在应用系统构建完成或功能模块搭建完成之后，位置相对滞后，无法完全覆盖研发阶段的安全问题。

在此背景下，搭建整体的研发运营安全体系，强调安全左移，覆盖软件应用服务全生命周期安全，构建可信理念是至关重要的。

本白皮书首先对于研发运营安全进行了概述，梳理了全球研发运营安全现状，随后对于信通院牵头搭建的研发运营安全体系进行了说明，归纳了研发运营安全所涉及的关键技术。

最后，结合当前现状总结了研发运营安全未来的发展趋势，并分享了企业组织研发运营安全优秀实践案例以供参考。

参与编写单位中国信息通信研究院、华为技术有限公司、深圳市腾讯计算机系统有限公司、阿里云计算有限公司、浪潮云信息技术股份公司、京东云计算（北京）有限公司、北京金山云网络技术有限公司、深圳华大生命科学研究院、奇安信科技集团股份有限公司、杭州默安科技有限公司、新思科技（上海）有限公司主要撰稿人吴江伟、栗蔚、郭雪、耿涛、康雪婷、徐毅、章可镌、沈栋、郭铁涛、张祖优、马松松、黄超、伍振亮、祁景昭、朱勇、贺进、宋文娣、张娜、蔡国瑜、张鹏程、张玉良、董国伟、周继玲、杨国梁、肖率武、薛植元目录一、研发运营安全概述 (1)（一）研发层面安全影响深远，安全左移势在必行 (1)（二）覆盖软件应用服务全生命周期的研发运营安全体系 (4)二、研发运营安全发展现状 (5)（一）全球研发运营安全市场持续扩大 (5)（二）国家及区域性国际组织统筹规划研发运营安全问题 (7)（三）国际标准组织及第三方非盈利组织积极推进研发运营安全共识 (12)（四）企业积极探索研发运营安全实践 (14)（五）开发模式逐步向敏捷化发展，研发运营安全体系随之向敏捷化演进 (19)三、研发运营安全关键要素 (21)（一）覆盖软件应用服务全生命周期的研发运营安全体系 (22)（二）研发运营安全解决方案同步发展 (31)四、研发运营安全发展趋势展望 (41)附录：研发运营安全优秀实践案例 (43)（一）华为云可信研发运营案例 (43)（二）腾讯研发运营安全实践 (50)（三）国家基因库生命大数据平台研发运营安全案例 (58)图目录图1 Forrester外部攻击对象统计数据 (2)图2研发运营各阶段代码漏洞修复成本 (3)图3 研发运营安全体系 (4)图4 Cisco SDL体系框架图 (16)图5 VMware SDL体系框架图 (17)图6 微软SDL流程体系 (20)图7 DevSecOps体系框架图 (21)图8 研发运营安全解决方案阶段对应图 (32)表目录表1 2019-2020全球各项安全类支出及预测 (6)表2 2019-2020中国各项安全类支出及预测 (7)表3 重点国家及区域性国际组织研发运营安全相关举措 (12)表4 国际标准组织及第三方非营利组织研发运营安全相关工作 (14)表5 企业研发运营安全具体实践 (19)表6 SDL与DevSecOps区别对照 (21)一、研发运营安全概述（一）研发层面安全影响深远，安全左移势在必行随着信息化的发展，软件应用服务正在潜移默化的改变着生活的各个方面，渗透到各个行业和领域，软件应用服务的自身安全问题也愈发成为业界关注的焦点。

！14.木马程序有两部分程序组成，黑客通过【客户】端程序控制远端用户的计算机。

15.通过分析代码中输入数据对程序执行路径的影响，以发现不可信的输入数据导致的程序执行异常，是【污点】传播分析技术。

16.恶意影响计算机操作系统、应用程序和数据的完整性、可用性、可控性和保密性的计算机程序是【恶意程序】。

17.根据加壳原理的不同，软件加壳技术包括【压缩】保护壳和加密保护壳。

18.处于未公开状态的漏洞是【0day】漏洞。

19.国家信息安全漏洞共享平台是CNCERT联合国内重要信息系统单位建立的信息安全漏洞信息共享知识库，它的英文缩写是【CNVD】。

20.电子签名需要第【三】方认证，是由依法设立的电子认证服务提供方提供认证服务的。

@14.指令寄存器eip始终存放着【返回】地址。

15.根据软件漏洞具体条件，构造相应输入参数和Shellcode代码，最终实现获得程序控制权的过程，是【漏洞利用】。

16.攻击者窃取Web用户SessionID后，使用该SessionID登陆进入Web目标账户的攻击方法，被称为【会话劫持】。

17.通过分析代码中输入数据对程序执行路径的影响，以发现不可信的输入数据导致的程序执行异常，这种技术被称为【污点传播】分析技术。

18.栈指针寄存器esp始终存放【栈顶】指针。

19.信息安全管理的主要内容，包括信息安全【管理体系】、信息安全风险评估和信息安全管理措施三个部分。

20.电子认证服务提供者拟暂定或者终止电子认证服务的，应当在暂停或者终止服务【六十】日前向国务院信息产业主管部门报告。

#14.攻击者通过精心构造超出数组范围的索引值，就能够对任意内存地址进行读写操作，这种漏洞被称为【数组越界】漏洞。

15.在不实际执行程序的前提下，将程序的输入表示成符号，根据程序的执行流程和输入参数的赋值变化，把程序的输出表示成包含这些符号的逻辑或者算术表达式，这种技术被称为【符号执行】技术。

16.被调用的子函数下一步写入数据的长度，大于栈帧的基址到【ESP】之间预留的保存局部变量的空间时，就会发生栈的溢出。

1。

计算机系统安全评估的第一个正式标准是TCSEC标准（可信计算机评估标准)2。

信息安全的发展大致经历了三个主要阶段,通信保密阶段,计算机安全阶段和信息安全保障阶段3。

由于网络信息量十分巨大,仅依靠人工的方法难以应对网络海量信息的收集和处理，需要加强相关信息技术的研究，即网络舆情分析技术4。

消息摘要算法MD5可以对任意长度的明文，产生128位的消息摘要5。

验证所收到的消息确实来自真正的发送方且未被篡改的过程是消息认证6.基于矩阵的行的访问控制信息表示的是访问能力表，即每个主体都附加一个该主体可访问的客体的明细表7。

强制访问控制系统通过比较主体和客体的安全标签来决定一个主体是否能够访问某个客体8.一般说来,操作系统应当运行在特权模式下，或者称为内核模式下，其他应用应当运行在普通模式下,即用户模式下。

在标准的模型中，将CPU模式从用户模式转到内核模式的唯一方法是触发一个特殊的硬件自陷8.在Unix/Linux中,每一个系统与用户进行交流的界面，称为终端9.在Unix/Linux系统中,root账号是一个超级用户账户，可以对系统进行任何操作。

超级用户账户可以不止一个10。

TCG使用了可信平台模块,而中国的可信平台以可信密码模块（TCM）为核心11.根据ESP封装内容的不同，可将ESP分为传输模式和隧道模式12.PKI，公钥基础设施.是一系列基于公钥密码学之上，用来创建，管理,存储，分布和作废数字证书的一系列软件,硬件，人员，策略和过程的集合13.木马通常有两个可执行程序，一个是客户端，即控制端，另一个是服务端,即被控制端。

黑客通过客户端程序控制远端用户的计算机14。

通过分析代码中输入数据对程序执行路径的影响，以发现不可信的输入数据导致的程序执行异常,是污点传播分析技术15。

恶意程序通常是指带有攻击意图所编写的一段程序,通过破坏软件进程来实施控制。

这些威胁可以分为两个类别，需要宿主程序的威胁和彼此独立的威胁。

智能网联系统中的T-BOX安全架构设计摘要智能网联汽车在国家政策的支持下快速发展， T-BOX作为智能网联汽车的远程通讯终端设备，其安全行越来越受到主机厂以及相关硬件开发厂家的重视并成立专项研究。

本文从T-BOX的硬件安全、操作系统安全、应用安全等方面研究，定义了如何从架构设计层面来规范T-BOX的安全，从而保证了智能网联汽车安全。

关键词车联网安全操作系统安全硬件安全通信安全：TP273：A汽车作为出行必不可少的交通工具，电动化、网联化、智能化、共享化的汽车将是自动驾驶是汽车发展的重要方向。

其中打造智能化网联化的汽车是现阶段的重要发展趋势，也是通向自动驾驶的必经过程。

智能网联汽车将依车载传感器、控制器、执行器等车端电子设备，通过3G、4G、LTE-V、5G等网络技术，实现车与万物（车、路、人、物、云等）信息交换、信息共享，智能终端通过与复杂的环境感知、深度学习、智能化决策、达到车辆自主协调控制。

其中，T-box远程通讯智能终端为车辆与平台搭建了信息交互的桥梁，对车辆内部，T-box通过CAN、LIN、MOST、以太网等汽车传输协议实现指令和信息的传递。

同时， T-box通过内置的通讯模块，通过标准协议与平台进行数据传输、语音交互、IP交互、短信交互，并将平台第三方资源通过T-box提供的安全通道实现信息在车辆端共享。

本文描述了T-box自身安全、硬件安全、操作系统、接口安全、密码应用、通信安全等策略。

定义了智能车载终端T-box信息安全技术要求。

T-BOX 主要面临几方面的安全威胁：一是逆向攻击，攻击者通过对T-box固件的逆向攻击，获取固件加密算法和密钥规则，破解算法，对数据进行监听、篡改、破坏。

二是信息泄露，T-BOX 出厂的时候是留有调试接口的，攻击者通过 T-BOX 预留调试接口就可以读取内部数据，从而导致信息泄露。

三是网络攻击，攻击者通过伪基站、DNS 、劫持等手段劫持 T-BOX信息会话，通过虚拟伪造发送控制指令对汽车进行信息获取及控制。

国家信息安全漏洞库（CNNVD）技术支撑单位计划指南版本：V4.1中国信息安全测评中心目录一、计划介绍 (1)二、计划内容 (1)三、申请流程 (3)四、证书维持与年度评价 (4)附件1：技术支撑单位考察评估阶段贡献指标 (6)附件2：技术支撑单位年度支撑指标 (7)一、计划介绍国家信息安全漏洞库（China National Vulnerability Database of Information Security，以下简称“CNNVD”），是中国信息安全测评中心（以下简称“测评中心”）为切实履行漏洞分析和风险评估职能，负责建设运维的国家级信息安全漏洞数据管理平台，旨在为我国信息安全保障提供服务。

经过几年的建设与运营，CNNVD在信息安全漏洞搜集、重大漏洞信息通报、高危漏洞安全消控等方面发挥了重大作用，为我国重要行业和关键信息基础设施安全保障工作提供了重要的技术支撑和数据支持。

CNNVD技术支撑单位计划主要面向信息安全厂商、软硬件厂商与互联网公司等，以平等自愿的原则，通过签约合作的方式与这些单位开展合作。

本计划通过整合业内资源，联合技术支撑单位，提高重大漏洞的发现、分析、处置能力，进一步助力信息安全漏洞研究、事件解读，形成漏洞的收集、分析、处置、披露的良性机制，从而提高我国信息安全漏洞的研究水平和预警能力。

CNNVD不对技术支撑单位收取申请、评审等相关服务费用。

CNNVD与技术支撑单位合作过程所产生的费用由各自自行承担。

二、计划内容本计划主要面向信息安全厂商、软硬件厂商与互联网公司等，通过共享资源和服务，逐步形成优势互补、协同发展的技术支撑单位合作体系。

技术支撑单位需要具有专业的信息安全研发团队和较强的漏洞分析能力，了解并认同CNNVD的业务和职能，致力于和CNNVD 保持积极向上的技术业务合作关系。

CNNVD技术支撑单位共设置三种级别,分别是一级、二级和三级（一级为最高级别），依据技术支撑单位的公司规模、技术研究能力、贡献程度等，以确定其支撑级别及其对应的年度贡献指标。

CNNVD（China National Vulnerability Database of Information Security），是中国国家信息安全漏洞库，简称“CNNVD”（为什么简称是这个，有点奇怪），隶属于中国信息安全测评中心，是[中国信息安全测评中心分析和风险评估的职能，负责建的国家级信息安全漏洞库，为我国信息安全保障提供基础服务。

CNVD国家信息安全漏洞共享平台(China National Vulnerability Database，简称CNVD)是由国家计算机网络应急技术处理协调中心(中文简称国家互联应急中心，英文简称CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。

信息安全三级试题六一、选择题1.TCSEC将计算机系统安全划分为（）。

A) 三个等级七个级别B) 四个等级七个级别C) 五个等级七个级别D) 六个等级七个级别2.信息安全属性中，含义是"保证信息不被窃听，或窃听者不能了解信息的真实含义"的是（）。

A) 机密性B) 完整性C) 不可否认性D) 可用性3.下列关于密码技术的描述中，错误的是（）。

A) 传统密钥系统的加密密钥和解密密钥相同B) 公开密钥系统的加密密钥和解密密钥不同C) 消息摘要适合数字签名但不适合数据加密D) 数字签名系统一定具有数据加密功能4.用于验证消息完整性的是（）。

A) 消息摘要B) 数字签名C) 身份认证D) 以上都不是5.下列选项中，属于单密钥密码算法的是（）。

A) DES算法B) RSA算法C) ElGamal算法D) Diffie-Hellman算法6.下列关于基于USB Key身份认证的描述中，错误的是（）。

A) 采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾B) USB Key内置单片机或智能卡芯片，可以存储用户的密钥或数字证书C) 基于USB Key的身份认证的认证模式只有挑战/应答模式D) USB Key作为数字证书的存储介质，可以保证私钥不被复制7.下列关于集中式访问控制的描述中，错误的是（）。

A) RADIUS协议本身存在一些缺陷，包括基于UDP的传输、简单的丢包机制、没有关于重传的规定和集中式审计服务等B) TACACS+使用传输控制协议TCP，而RADIUS使用用户数据报协议UDPC) 如果进行简单的用户名/密码认证，且用户只需要一个接受或拒绝即可获得访问，TACACS+是最适合的协议D) Diameter协议是RADIUS协议的升级版本，是最适合未来移动通信系统的AAA协议8.下列选项中，不属于分布式访问控制方法的是（）。

A) 单点登录B) 基于PKI体系的认证模式C) SESAMED) Kerberos协议9.下列关于数字签名的描述中，正确的是（）。