禁止直接通过互联网更新( )

**正确答案：A、B** ### 解析 在网络安全和高安全等级环境（如涉密网络、工业控制网络或关键基础设施内网）的管理规范中，通常严格禁止直接通过互联网更新**安全防御类组件的特征库**。以下是详细分析： 1. **A. 安全设备特征库（选）** * 安全设备（如防火墙、入侵检测系统 IDS、入侵防御系统 IPS等）依赖特征库来识别攻击行为。 * **风险**如果直接连接互联网更新，可能会引入被篡改的特征库，或者在更新过程中暴露管理接口，增加被远程攻击的风险。此外，未经测试的最新特征库可能导致误报或业务中断。 * **规范做法**：应在隔离环境中下载并验证后，通过离线方式（如光盘、专用U盘）导入内网安全设备。 2. **B. 防病毒软件病毒库（选）** * 防病毒软件依赖病毒库查杀恶意代码。 * **风险**：与A类似，直接联网更新可能使终端成为攻击者植入恶意代码的入口（例如“供应链攻击”或更新服务器被劫持）。在高安全域中，为了防止病毒库更新通道被利用进行数据外传或恶意代码注入，通常禁止直接联网。 * **规范做法**：建立内部的病毒库更新服务器（WSUS或第三方防病毒管理中心），由该服务器统一从互联网获取更新，经杀毒和完整性校验后，再分发给内网终端。 3. **C. 数据库（不选）** * 数据库本身是数据存储系统，不存在“通过互联网更新数据库”这一常规安全运维概念。数据库的内容更新是由应用程序或管理员通过SQL操作进行的，而不是像特征库那样定期从厂商服务器拉取补丁包。虽然数据库软件版本可能需要升级，但题目语境更侧重于日常的特征/规则库更新。且数据库严禁直接暴露在公网，但这属于访问控制策略，而非“更新机制”的典型禁忌描述（相比A和B的特征库更新而言）。 4. **D. 软件（不选）** * 这个选项过于宽泛。虽然核心业务软件或操作系统补丁在内网中通常也建议离线更新，但在一般办公网或非绝密环境中，通过官方渠道在线更新应用软件（如浏览器、Office等）是常见且被允许的操作，只要确保来源可信即可。相比之下，A和B涉及的是**主动防御系统的核心判断依据**，其完整性和可用性对网络安全至关重要，因此管控更为严格。在多数安全合规考试（如等保、分级保护）中，重点强调的是**安全特征库**的离线更新要求。 ### 总结 本题考察的是**高安全等级网络环境下的运维安全规范**。为了防止更新通道被利用进行攻击或数据泄露，以及确保更新包的完整性和兼容性，**安全设备的特征库**和**防病毒软件的病毒库**通常禁止直接从互联网更新，而应采用“离线下载、中间校验、内部推送”的方式。 因此，正确答案为 **A、B**。