保密性：是指信息不被泄漏给非授权的实体，过程，用户。或者非法访问的实体。

完整性：是指信息不被非授权用户更改，破坏的过程。

可用性：是指信息能被授权用户访问且按需使用的特性。

等级划分监管要求：1.自主保护级：依据国家管理规范和技术标准进行保护。

2.指导保护级：在国家信息安全监管部门指导下保护。

3.监督保护级：在国家信息安全监管部门监督，检查下保护。

4.强制保护级：在国家信息安全监管部门强制监督，检查下保护。

5.专控保护级：在国家信息安全监管部门专门监督，检查下保护。

等保1.0和等保2.0的区别：1.名称区别：依据《中国人民共和国网络空间安全法》将名称由“信息系统安全等级保护”改为“网络安全等级保护” 。网络安全等级保护制度是国家网络安全领域的基本国策，基本制度，基本方法。

2.法律依据：等保1.0的法律依据是行政法规，等保2.0的法律依据是法律，主要制定依据有所改变 。

3.保护对象：等保1.0的保护对象是传统信息系统，等保2.0的保护对象是大数据，互联网，云计算等。

4.要求变化：从原本的规范性动作要求改为具体措施保护。 保密性：是指信息不被泄漏给非授权的实体，过程，用户。或者非法访问的实体。

完整性：是指信息不被非授权用户更改，破坏的过程。

可用性：是指信息能被授权用户访问且按需使用的特性。

等级划分监管要求：1.自主保护级：依据国家管理规范和技术标准进行保护。

2.指导保护级：在国家信息安全监管部门指导下保护。

3.监督保护级：在国家信息安全监管部门监督，检查下保护。

4.强制保护级：在国家信息安全监管部门强制监督，检查下保护。

5.专控保护级：在国家信息安全监管部门专门监督，检查下保护。

等保1.0和等保2.0的区别：1.名称区别：依据《中国人民共和国网络空间安全法》将名称由“信息系统安全等级保护”改为“网络安全等级保护” 。网络安全等级保护制度是国家网络安全领域的基本国策，基本制度，基本方法。

2.法律依据：等保1.0的法律依据是行政法规，等保2.0的法律依据是法律，主要制定依据有所改变 。

3.保护对象：等保1.0的保护对象是传统信息系统，等保2.0的保护对象是大数据，互联网，云计算等。

4.要求变化：从原本的规范性动作要求改为具体措施保护。 保密性：是指信息不被泄漏给非授权的实体，过程，用户。或者非法访问的实体。

完整性：是指信息不被非授权用户更改，破坏的过程。

可用性：是指信息能被授权用户访问且按需使用的特性。

等级划分监管要求：1.自主保护级：依据国家管理规范和技术标准进行保护。

2.指导保护级：在国家信息安全监管部门指导下保护。

3.监督保护级：在国家信息安全监管部门监督，检查下保护。

4.强制保护级：在国家信息安全监管部门强制监督，检查下保护。

5.专控保护级：在国家信息安全监管部门专门监督，检查下保护。

等保1.0和等保2.0的区别：1.名称区别：依据《中国人民共和国网络空间安全法》将名称由“信息系统安全等级保护”改为“网络安全等级保护” 。网络安全等级保护制度是国家网络安全领域的基本国策，基本制度，基本方法。

2.法律依据：等保1.0的法律依据是行政法规，等保2.0的法律依据是法律，主要制定依据有所改变 。

3.保护对象：等保1.0的保护对象是传统信息系统，等保2.0的保护对象是大数据，互联网，云计算等。

4.要求变化：从原本的规范性动作要求改为具体措施保护。

5.等级评定：延用5个等级，但是覆盖范围扩大，评定更加严格，需专家评审和主管部门审核，同时将网络安全划分纳入评定标准。

6.结构管理措施分类：结构管理措施分类体系“一个中心，三个防护”。

等级保护的意义：

1.国家层面：保护了国家安全和关键信息基础设施，避免影响国家稳定发展 。

2.企业组织层面：提升安全防范能力，降低企业风险，保证业务系统稳定运行。

3.社会层面：推动技术进步和人才培养，营造安全网络环境。

PDRR:P(protection)保护：通过各种措施和防护手段，防止威胁和攻击的发生，是网络安全的第一道防线。措施（加密认证，数字签名认证，访问控制认证，访问认证，信息隐藏，防火墙技术）

D(dection)通过部署各种设施，检测网络中正在发生或者已经发生的安全事件。措施（入侵检测，系统脆弱性检测，数据完整性检测）

R(response)在检测到网络安全事件后及时采取相应的措施或处理方法。措施（应急策略，应急手段，应急机制，入侵分析过程，安全状态评估）

R(recover)在安全事件得到控制后，将系统恢复到正常运行状态，确保业务连续性。措施（数据备份，数据恢复，系统恢复）

PDRR模型的意义：通过动态协同的安全事件，在降低业务系统威胁发生的同时确保业务的连续性。

1.攻击触发：当系统受到攻击时，首先进入保护阶段。若保护成功，攻击受阻，流程结束。 若保护失败则进入检测阶段。

2.检测阶段：对系统进行检测实行攻击行为。若检测成功则进入响应阶段。若检测失败则进入恢复阶段，在恢复阶段，系统会通过数据备份，系统恢复等手段使系统恢复到正常运行状态。

3.响应阶段：对检测到的攻击进行处置。 若响应成功则流程结束。若响应失败则进入恢复阶段，恢复阶段采取相应的措施，以降低损失。

4.恢复阶段：无论是响应失败进入恢复阶段还是检测阶段检测失败进入恢复阶段，都应该采取数据备份，数据恢复，系统恢复等措施，使得系统恢复到正常运行状态。

什么是关键信息基础设施：

关键信息基础设施是指公共通信和信息服务，能源，交通，水利，金融，公共服务，电子政务，国防科技工业等重要行业网络设施和信息系统，以及一些一旦遭受破坏就可能严重危及国家安全，国民经济命脉，公共利益的设施。

关键信息基础设施的例子：

1.能源行业的电网调度系统，一旦遭受攻击可能影响工业生产，影响居民正常生活

2.金融行业的核心业务系统：一旦遭受攻击可能导致客户的信息泄漏

3.交通领域的航空交通管制系统，一旦出现安全故障可能危及乘客生命安全

一家大型企业在全国各地有多个分部，需要经常传输大量商业核心或机密文档，请针对文档异地（远程）传输及其安全。请针对该项目，从需求分析、设计、实现和维护中的注意事项，提出一个解决方案，并注意其中要保证处理（如加密）速度、密钥管理（如分发）的便利性。

一、需求分析（明确核心目标与约束）

1. 安全传输需求

- 机密性：传输过程中文档需防窃取，采用加密技术确保数据在网络中以密文形式流动。

- 完整性：防止文档被篡改，通过数字签名验证数据一致性。

- 身份认证：用户需通过多因素认证（MFA，如短信验证码+硬件令牌）登录，结合企业AD/LDAP进行角色权限校验（如仅部门主管可传输机密文档）。

2. 高效传输需求

- 大文件支持：单文件最大支持50GB，传输速度不低于100MB/s（基于1Gbps专线网络），支持分片传输（默认500MB/片）与断点续传。

- 并发能力：支持100+并发传输任务，优先调度核心业务文档（如标记“紧急”的文件）。

3. 密钥管理需求

- 跨地域分发：通过企业级密钥管理系统（KMS）自动同步公钥，支持离线介质（加密U盘）手动导入密钥至断网环境分部。

- 生命周期管理：密钥生成（RSA-4096/ECC-384）、存储（HSM硬件安全模块加密存储）、更新（季度强制更新，支持手动触发紧急更新）、销毁（双管理员审批）全流程管控。

4. 日志审计需求

- 完整追溯：记录用户操作（上传/下载/删除）、文档哈希值（SHA-256）、源/目标IP、设备指纹、传输状态（成功/失败），日志不少于6个月，支持实时检索与异常行为预警（如高频传输同一文档）。

二、设计方案（技术架构与核心机制）

1. 加密与签名技术方案（核心安全层）

数字信封+数字签名组合应用

加密流程：

① 文档加密：生成临时对称密钥（AES-256-GCM）加密文档，提升大文件加密速度；

② 信封封装：用接收方公钥加密对称密钥，形成“数字信封”（附带时间戳防重放攻击）；

③ 数字签名：发送方用私钥对文档哈希值签名，确保来源可信与数据完整。

- 解密流程：

① 信封解密：接收方用私钥解密数字信封，获取对称密钥；

② 文档解密：用对称密钥解密文档，并用发送方公钥验证数字签名，校验文档未被篡改。

2. 传输架构设计（性能与可靠性）

- 协议选择：

- 核心传输采用 TLS 1.3+HTTPS（默认）或 SFTP（兼容传统系统），大文件分片后通过专有通道传输，底层辅以 QUIC协议 降低网络延迟影响。

- 跨地域部署 分布式中转节点（如华东/华北/华南节点），用户就近接入节点，节点间通过IPSec VPN加密通信，支持P2P直连（若两端在同一内网）。

- 分片与断点续传：

- 超过1GB的文件自动分片，每片附加CRC校验码，接收端校验失败时仅重传异常分片；

- 支持传输队列优先级管理，紧急文档插队传输，后台实时显示传输进度（支持暂停/恢复）。

3. 密钥管理系统（KMS）设计

- 生成与存储：

- 密钥由KMS生成，根密钥存储于HSM，传输密钥存储于加密数据库，访问需双管理员审批+动态令牌认证；

- 支持手动生成密钥（用于离线环境），生成时强制复杂度校验（如256位随机字符）。

- 分发机制：

- 自动分发：通过企业内部加密通道（如LDAPS）向各分部节点同步公钥，新用户注册时自动分配个人公钥；

- 手动更新：管理员在KMS后台生成密钥更新包（加密压缩文件，含校验码），通过安全邮箱或离线介质分发给分部，导入时需双重校验（密码+硬件令牌）。

三、实现步骤（工程化落地要点）

1. 客户端与服务端开发

- 客户端：

- 支持Windows/macOS/Linux桌面端，集成文件拖拽、批量传输、断点续传功能；

- 提供移动端SDK（iOS/Android），适配企业微信/钉钉集成，支持生物识别（指纹/面容）快速认证。

- 服务端：

- 采用微服务架构，拆分认证服务、传输服务、密钥管理服务、日志服务，各模块通过HTTPS接口通信；

- 部署负载均衡器（如Nginx）与CDN加速节点，提升跨地域访问速度。

2. 性能优化技术

- 数据压缩：传输前自动检测文档类型，对文本/代码类文件用ZSTD压缩（压缩比可达3:1），二进制文件跳过压缩；

- 硬件加速：启用CPU内置AES-NI指令集加速对称加密，GPU辅助非对称加密运算（如RSA签名验签）；

- 增量传输：通过文件哈希对比，仅传输更新部分（如版本迭代时仅传差异分片）。

3. 错误处理与可靠性

- 重试机制：传输失败后自动重试3次（间隔10秒→30秒→1分钟，指数退避），仍失败则触发人工介入通知；

- 异常熔断：单个中转节点连续5次传输失败时自动熔断，切换至备用节点，故障节点进入维护状态；

- 流量监控：实时监测各节点带宽利用率，超过80%时自动扩容临时节点（结合云服务器弹性伸缩）。

四、维护与安全响应机制

1. 密钥全生命周期管理

- 定期更新策略：

- 传输密钥：每季度第一个周一自动更新，更新前7天向用户发送通知；

- 签名密钥：每半年更新一次，根密钥每年更新一次，更新时新旧密钥共存48小时，确保历史文档可解密；

- 紧急更新：检测到密钥泄露时，管理员手动触发“立即吊销旧密钥+生成新密钥”，强制所有用户重新认证。

2. 日志审计与安全监控

- 审计规则：

- 记录所有密钥操作（生成/分发/更新/销毁）、用户登录日志（含失败记录）、文档传输详情，日志不可删除且定期备份（异地存储）；

- 配置SIEM系统实时分析日志，对异常行为（如非工作时间传输大文件、同一IP多次认证失败）触发邮件/短信预警。

- 安全检测：

- 每周扫描传输节点漏洞（Nessus扫描），每月进行渗透测试（模拟中间人攻击、密钥窃取），每季度委托第三方进行等保测评；

- 对密钥存储服务器启用访问白名单，仅授权IP可连接KMS接口，连接时验证TLS证书指纹。

3. 应急响应与灾备

- 分级响应预案：

- 一级事件（密钥泄露）：10分钟内吊销泄露密钥，通知所有用户强制登出，30分钟内生成新密钥并通过加密通道分发；

- 二级事件（节点故障）：自动切换至备用节点，2小时内修复故障节点，期间通过短信告知用户传输可能延迟；

- 三级事件（日志异常）：48小时内完成人工审计，追溯相关操作并生成安全报告。

- 灾备机制：

- 密钥与日志每日备份至异地数据中心（加密存储），每季度进行一次恢复演练，确保72小时内恢复核心服务；

- 保留离线应急密钥（存储于保险箱，双人双锁管理），用于极端断网场景下的手动解密。

比较数字签名和数字信封的区别，分析它们各自的一些应用场景。

数字签名：私钥签名，公钥认证。数字签名确保了信息的完整性，确保用户的身份认证，防止交易过程中的抵赖性。

数字信封：用一个随机生成的对称密钥加密传输，再用对方的公钥加密对称密钥，这个过程称为数字信封，如果接收者需要获取文本信息时，首先需要用自己的私钥解密数字信封得到对称密钥，在用对称密钥解密文档。

数字信封和数字签名的区别：数字签名用私钥签名，公钥认证，采用的加密方式是哈希算法和非对称加密，保障信息的完整性和用户名的身份认证，而数字信封使用接受者的公钥加密文件，采用的加密算法是对称密钥和非对称加密，好处是利用了对称密钥加密算法速度快安全性好的特点，又利用了非对称密钥方便管理的特点。

应用场景：数字签名的应用场景是电子合同的签署，安全电子邮件，而数字信封的应用场景是：企业机密文件传输，医疗数据共享

分析PKI体系的构成、工作原理以及典型应用。

PKI体系的构成，由终端实体，证书颁发机构，注册机构，证书储存库构成。

工作原理：1.实体提出认证申请。

2.RA审查实体的身份信息，并将实体的身份信息和公钥发送给CA。

3.CA私钥签发证书，并同意实体的认证申请，随后返回证书。

4.CA将其发送到LDAP目录服务器且RA告知实体证书发布成功。

5.实体得知证书发布成功后可利用证书与其他实体进行加密，数字签名等安全交流。

6.当实体想要撤回认证书时,可向CA提出申请，CA撤销认证并将其发布到LDAP目录服务器。其他实体可通过CRL/OCSP验证证书有效性

PKI的应用：数字签名与身份认证。

安全电子邮箱。

网络安全通信。

分析勒索病毒的工作原理、特征、预防措施（机制）。阐述勒索病毒近年来的发展情况，与2017年爆发的“Wannacrypt”有何不同之处？

勒索病毒的工作原理

1. 数据加密：病毒生成高强度对称密钥（如AES-256），对用户文件（文档、图片、数据库等）或系统关键数据进行加密。

2. 密钥封装：用非对称加密算法（如RSA-2048）的公钥加密上述对称密钥，形成“密钥包”。

3. 清除痕迹：删除本地存储的对称密钥，仅保留加密后的“密钥包”和勒索信息。

特征：1.加密文本或加密系统（计算机在感染勒索病毒后会对文档，图片，视频等进行加密。也有可能直接加密系统。

2.勒索信息，在计算机系统被感染病毒后，计算机会收到一条勒索信息，要求支付一定的比特币可得到密钥，或者得到解密系统的工具。

3，威胁与要求：收到信息会告知你支付方式，截止时间，以及威胁的发生。

4.传播方式：通常以漏洞利用，钓鱼软件，恶意代码等方式传播。

5.经济方面.因为支付方式的加密性，难以追踪利益的获益者。

防御措施：

1.定期备份数据，重要数据要及时离线备份，避免勒索病毒带来的危害。

2.安装安全的软件，阻止恶意软件运行。

3.定期更新操作系统，应用软件，及时修补漏洞。

4.提高防范意识，谨慎点开邮件和不安全的链接，网站等。

与wannacrypt的区别：

1.勒索病毒的传播方式多样化，而wannacrypt的影响范围大，传播速度快。

2.wannacrypt采用AES-256+RSA-2028加密，加密强度统一，而勒索病毒的加密方式不确定。

3.wannacrypt的攻击目标包含150多个国家的地区，交通，科技，教育等行业，而勒索病毒的攻击目标为高价值对象。

4.数据威胁：wannacrypt仅加密数据，无数据窃取，而勒索病毒数据窃取和加密数据双重威胁

如何确定关键信息基础设施？

1.国家层面制定出台关键信息基础设施指南或者标准。

2.确定关键业务，确定本地区，本部门，本行业的关键业务。

3.确定信息系统或者工业控制系统，依据信息业务，逐步梳理出支撑关键业务或者与关键业务相关的信息系统或者工业控制系统，制定出候选关键信息基础设施清单。

4.根据候选清单信息系统或者工业控制系统进行认定 ，形成关键信息基础清单并进行动态调整。

计算机病毒的作用机理是什么？与普通病毒相比，蠕虫病毒有什么不一样？其入侵机理是什么？

计算机病毒的作用机理是通过寄生，传播，触发和破坏的循坏实现其恶意目标，其传播速度，隐藏性，破坏性的提升，要求用户和安全厂商不断提高安全防护能力。

普通病毒与蠕虫病毒的区别：蠕虫病毒独立传播，无需用户操作，传播速度快，利用网络漏洞，利用脚本，加密技术隐藏。普通病毒依赖文件，需用户触发，传播速度较慢，通过文件交换，一般通过文件隐藏。

蠕虫病毒的入侵机理是融合自动化漏洞利用技术，多路径传播技术和隐藏持久化技术，其威胁性远比普通病毒大，防御需要采用自动防御技术，被动加固技术，同时还要提升用户的防范意识和安全意识。

针对计算机病毒的攻击破坏，通常有特征码检测法，检验法，行为检测法，模拟检测法等方式进行检测与防范，请选择至少两种方法阐述其过程及可能存在的优缺点。

特征码检测法：是已知病毒的特征码，用于后续的追踪和识别和检测。

过程，1.提取具有独特性的特征。 2.将提取出的特征与预测的特征进行对比，如果符合则发出警告或者采取措施。 3.算法支持：利用分类和聚类提高了特征检测的灵活性和准确性。

优点：1.特征检测算法速度快，适合实时处理。 2.利用精准性的特征库，减少误判率。 3.对于已知攻击模式检测效果显著。

缺点：1.无法检测零日漏洞和变种漏洞，需要持续维持特征库。 2.攻击者可以利用混淆，加密，分片传输绕过特征检测。 3.特征设计不合理，可能导致误判正常流量。

模拟检测法：通过构建虚拟或仿真的环境，场景，系统对目标对象进行测试，验证，评估，其核心在于模拟真实环境保护的攻击或操作，快速识别潜在问题，优化性能或提高防御能力。

过程：1.利用计算机技术创建与真实环境高度相似的模拟环境。 2.在模拟环境中观察目标对象的动态行为，提取特征数据用于评估。

优点：1.在模拟环境中进行检测攻击可防止真实环境的高风险和资源消耗。 2.可精准控制变量，可模拟不同环境下的攻击。 3.在模拟环境中模拟攻击或者故障，可避免业务中断。

缺点：1.模拟环境的检测结果可能与真实环境的存在差异。 2.多变量交互场景需要资源的支撑。 3.新型攻击手法需持续更新模拟策略。

从测试方法角度，描述至少3种漏洞挖掘技术。

模糊测试

测试模型：黑盒测试

原理：通过生成大量随机或半有效的输入数据注入目标系统。通过触发异常行为，检测是否存在安全漏洞。

过程：1.通过基于协议，文档格式，API规范构成符合基本格式但包含错误或极端值的用例。2.通过工具将用例传输到目标系统。3.通过目标系统的瘫痪.内存泄露.权限异常等行为，结合预言机判断是否存在安全漏洞。

静态代码分析：

测试类型，白盒测试

原理，通过分析源代码或者反汇编的结构，数据流，控制流，检测潜在的安全缺陷。

过程：1.通过语法分析工具分析代码的函数调用，变量定义等。

2.基于预定义的安全机制扫描代码，并进行标记。

3.通过控制流分析和数据流分析，识别跨函数或跨模块所存在的安全漏洞。

动态分析：测试类型，灰盒或黑盒测试

原理，通过正在运行的程序实行监管行为（访问内存，网络通信）

过程：1.使用沙箱，调用器捕获其中的关键操作。 2.通过符号分析，路径敏感分析等技术，追踪起触发漏洞的路径。 3.通过构建攻击负载荷恢复漏洞并评估危害

身份认证与访问控制是什么关系，请以ACM.ACL.AC作为访问决策依据，阐述访问控制系统的主体对客体的访问过程

身份认证是确定用户或实体身份的过程，通过用户提供的凭证来确定其真实性。访问控制是基本于身份认证的通过决定主体对客体有各种访问权限。身份认证是访问控制的前提基础，只有通过身份认证，才能依据访问控制决定主体能否访问客体以及访问具有各种权限。

以ACL为例，假设每个文件或者目录都有相应的权限。

过程1.用户想要访问某个资源，想要访问某个文件或者目录。

2.身份认证，对用户的身份进行认证。如用户名和密码等。

3.查ACL表，通过查询ACL列表查询用户对该资源有何种访问权限。

4.通过ACL的规则判断用户是否能访问该资源。

5.通过规则判断，决定用户能否访问该资源的权限，如果有该权限则允许访问，否则，则不允许访问

请你谈谈你对等保2.0背景下强制访问控制技术的理解，二级和三级之间，三级和四级之间有什么区别？

等保2.0是国家安全等级保护的基本制度。

二级和三级的区别：1.安全功能：三级的安全安能更为严格和丰富。

2.安全审计：三级的安全审计更为严格，不仅要记录更多类型的安全事件，而且还需要具备更为强大的审计数据分析能力，及时发现潜在的漏洞。

3.对信息安全的完整性，可用性，保密性更为严格。

四级和三级的区别：1.安全策略：四级的安全策略更为严格，四级要求对每个主体对客体的访问进行更严格，更精细的控制，几乎不允许任何非法访问。而相对四级，三级有一定的灵活性。

2.灾难与恢复：四级要具有更强大的灾难恢复能力，包括备份与恢复能力，当系统受到攻击时四级要更快，更完整的恢复系统运行。而三级的恢复能力较慢。

3.安全管理要求：四级安全管理要求更严格，包括对人员安全管理，安全制度等。

RBAC的好处1.管理简单化：权限与角色相关联而不是与用户相关联，当角色改变时，只需要改变角色的权限，不需要逐个用户进行改变。

2.提高安全性：用户只能使用自己所具有的权限，避免权限滥用的问题。

3.权限最小化选择：每个用户只能使用自己完成工作所需要的最小权限，避免权限过大造成的危害。

4.方便查询和追踪，权限分配清晰，方便追踪权限滥用的问题，并能够及时处理。

RBAC在信息系统安全管理的攻防博弈思想的体现1.限制角色权限：通过RBAC限制每个角色的权限，避免盗用者利用盗用的账号进行越权操作。

2.管理员的安全控制：管理员拥有最高权限，是攻击者的首要目标，因此要对管理员的身份进行严格验证。

3.动态调整权限：根据业务需求和安全威胁的变化，动态调整角色的权限，及时封堵潜在的漏洞，保持系统的安全性。

4.最小权限选择：限制每个角色的权限，避免权限过于集中，因单点的故障造成的安全危害。

1.隔离区将对外提供服务的服务器与内部网络进行隔离，一方面，外部网络可以访问隔离区内服务器提供的服务，另一方面，当隔离区收到攻击时，难以入侵内部系统。

用于web安全邮件，邮件服务器等对外提供服务的服务器等。

2.入侵检测系统检测实时攻击，当系统收到攻击时，入侵检测系统可将攻击源信息发送给防火墙，防火墙根据攻击源信息动态调整控制策略。

防火墙：根据预定义规则过滤网络流量，防止非法访问，保护网络安全，是网络安全的第一道防线。

入侵检测：实时检测系统中的攻击以为，发现防火墙不能发现的攻击，起到事后审计和预警的作用。

漏洞扫描：定期对系统进行漏洞扫描，扫描出系统或应用程序所存在的安全漏洞，为修复漏洞提供依据，起到提前预警的作用

信息安全导论

1，PDRR的过程，各部分的目的及相应技术

过程：攻击触发：当系统受到攻击时，先进入保护阶段，若保护成功，则攻击失败，流程结束，若保护失败，则进入检测阶段。

检测阶段：检测系统所受攻击，若检测成功，则进入响应阶段，若响应失败，则进入恢复阶段，在恢复阶段，通过数据备份，数据恢复等措施使系统恢复到正常运行状态。

响应阶段：对攻击进行应对或者处理，在响应阶段，若响应成功则流程结束，若响应失败，则进入恢复阶段，在恢复阶段，通过数据备份，数据恢复等将系统恢复到正常运行状态。

恢复阶段：无论是响应失败进入恢复阶段，还是检测失败进入检测阶段，都应该通过数据备份，数据恢复，系统恢复等操作将系统恢复到正常运行状态。

1.保护：通过各种措施或者防护手段，防止威胁的发生，是网络安全的第一道防线。相应技术（访问控制认证，访问认证，数字签名认证，信息隐藏，防火墙技术）

检测：通过部署各种设施，检测正在发生或者已经发生的安全事件。相应技术（入侵检测，系统脆弱性检测，数据完整性检测）

响应：对已经检测出的安全事件进行应对处理。相应技术（应急响应机制，应急响应手段，应急响应方案，入侵检测评估，安全状态评估）

恢复：在安全事件得到控制后，将系统恢复到正常运行状态，保障业务连续性。相应技术（数据备份，数据恢复，系统恢复）

2，如何确定关键信息基础设施，结合其实例阐述关键基础设施重要性或被破坏后的灾难；结合相关法律，阐述等保对关键基础设施的意义。

确定关键信息基础设施：国家层面制定出台相关关键信息基础设施的认定指南标准。

确定关键业务：确定本地区，本部门，本行业的关键业务。

确定关键信息系统和工业控制系统，根据关键业务，逐步整理出支撑关键业务和与关键业务相关的信息系统和工业控制系统，整理出候选关键业务清单。

认定关键信息基础设施：根据候选清单中的信息系统和工业控制系统进行认定，形成关键信息基础清单并进行动态调整。

能源行业的电网调度系统：在2017年乌克兰的电网遭受apt攻击，导致部分地区停电数小时。

法律等保对关键信息基础的意义：要求关键信息基础设施必须落实等级保护制度。

定期进行安全测评：三级每年进行一次，四级每半年进行一次。

强化访问控制，数据加密，应急响应。

明确责任主体。

3，等保2.0时代的对象扩展为哪些；国内企业较多处于等保三级，理由？要求？

等保2.0对象扩展为物联网，大数据，人工智能，云计算等，国内企业较多处于等保三级的理由，等保3.0拥有较为丰富的资源，要求

4，非对称加密优缺点，数字信封的应用，需求，过程，特点，数字签名原理、作用。

非对称密钥的优点，安全性高，方便管理。

缺点，加密解密速度慢。

数字信封的应用，企业间的重要文件传输，医疗数据共享。

需求，利用了对称密钥加密解密速度快，非对称密钥方便管理的特点。

过程：用随机生成的对称密钥加密文档，再用对方的公钥加密对称密钥，这个过程称为数字信封，当接受方需要获得文档时，需要用自己的私钥解开数字信封得到对称密钥，再用对称密钥解开文档，即可获得内容。

特点：安全性高，速度快。

数字签名的原理，私钥签名，公钥认证。

作用，确保了数据的完整性，对方身份的信息，避免了交易过程中抵赖性的发生。

明。

6，病毒与木马的区别（存在，机制，方式等）计算机病毒与生物病毒比较（概念，特点，机理，检测方法）

7，APT攻击特点（目标，时间，技术…）如何防范APT

病毒与木马的区别：存在于文件当中，木马独立存在，病毒可进行自我复制，木马通过宿主激活。

病毒通过可移动介质，网络进行传播

8，AC（访问控制）与身份认证关系（区别），ACL（访问控制列表）的集合表达式，RBAC（基于角色的访问控制）的应用，好处

9，DMZ区域的必要性，网络拓扑中或全设备的设置不完善之处

10，保密性，完整性，可用性的亲身理解或认识