2021年网络安全知识竞赛题库及答案(七)

1、2021 年网络安全知识竞赛题库及答案（七）一、单选题 （每题 1 分，共 40分） 1.2014年4月9日，Heartbleed “心脏出血”）的重大安全漏洞被曝 光，这个漏洞和哪个协议相关？ AA. SSLB. IPSecC. PGPD. WPA2.下列哪一项不属于公钥基础设施（PKI）的组件？ CA. CRLB. RAC. KDCD. CA3.在TCP/IP模型中应用层对应OSI模型的哪些（）层：CA.应用层B. 应用层、表示层C应用层、表示层、会话层D.应用层、表示层、会话层、传输层4.应用软件的正确测试顺序是什么？DA.集成测试、单元测试、系统测试、验收测试B.单元测试、系统测试、集

2、成测试、验收测试C.验收测试、单元测试、集成测试、系统测试D.单元测试、集成测试、系统测试、验收测试5.在 ISO 的 OSI 安全体系结构中，以下哪一个安全机制可以提供抗抵赖安全服务 ? BA、加密B、数字签名C、访问控制D、路由控制6.非对称算法是公开的，保密的只是什么？ BA. 数据B密钥C密码D. 口令7.某系统被攻击者入侵，初步怀疑为管理员存在弱口令，攻击者从远程终端以管理员身份登录进行系统进行了相应的破坏， 验证此事应查 看：CA. 系统日志B. 应用程序日志C安全日志D.IIS日志8.PDR 模型和 P2DR 模型采用了动态循环的机制实现系统保护、 检测和响应。这种模型的特点理解

3、错误的是： CA、模型已入了动态时间基线，符合信息安全发展理念B、模型强调持续的保护和响应，符合相对安全理念C、模型是基于人为的管理和控制而运行的D、模型引入了多层防御机制，符合安全的“木桶原理”9.某单位想用防火墙对 telnet 协议的命令进行限制， 应选在什么类型 的防火墙？ BA. 包过滤技术B. 应用代理技术C状态检测技术D.NAT技术10.某单位通过防火墙进行互联网接入，外网口地址为202.101.1.1，内网口地址为 192.168.1.1，这种情况下防火墙工作模式为： BA. 透明模式B路由模式C代理模式D.以上都不对11.下面哪类控制模型是基于安全标签实现的？BA. 自主访问

4、控制B. 强制访问控制C. 基于规则的访问控制D. 基于身份的访问控制12. 监听网络流量获取密码，之后使用这个密码试图完成未经授权访问的攻击方式被称为： DA. 穷举攻击B. 子典攻击C社会工程攻击D.重放攻击13. 关于数据库注入攻击的说法错误的是： CA. 它的主要原因是程序对用户的输入缺乏过滤B. 般情况下防火墙对它无法防范C对它进行防范时要关注操作系统的版本和安全补丁D.注入成功后可以获取部分权限14. 以下哪种情形下最适合使用同步数据备份策略 ? CA. 对灾难的承受能力高B恢复时间目标（RTO长C恢复点目标（RPO短D恢复点目标（RPO长15灾难发生后，系统和数据必须恢复到：BA

5、. 时间要求B. 时间点要求C. 数据状态D. 运行状态16. UNIX中，riogin和rsh/rshd之间的区别是什么？BA.在登陆不可信的主机时，riogin要求用户输入其用户名，而rsh/rshd不这样要求B. rsh/rshd 不允许用户登陆，但允许其在远程主机上运行命令，而riogin 不允许C. rsh/rshd 允许用户登陆， 还允许其在远程主机上运行命令， 而 riogin不允许D.在登陆不可信的主机时，rsh/rshd要求用户输入其用户名，而rlogin不这样要求17.下面关于IIS错误的描述正确的是？BA. 401找不到文件B. 403禁止访问C. 404权限问题D. 5

6、00系统错误18.活动目录中的组策略不可以应用到DA. 域B. OUC. 站点D. 组19认证中心CA可委托以下过程：CA. 撤消和中止用户的证书B. 产生并分发CA的公钥C. 在请求实体和它的公钥间建立链接D. 发放并分发用户的证书20关于IP SEC协议说法正确的是 CC. IPSEC、议不是一个单独的协议，它是应用于IP层上网络数据安全的一整套体系结构D. IPSEC、议可以使用证书和与共享密钥加密21Psec有几种工作模式分别是 CA. 一种工作模式，加密模式B. 三种工作模式，机密模式、传输模式、认证模式C. 两种工作模式，隧道模式、传输模式D. 两种工作模式，隧道模式、加密模式22

7、.剩余风险应该如何计算？ DA. 威胁X风险X资产价值B. （威胁X资产价值X脆弱性）X风险C. 单次损失值X频率D. （威胁X脆弱性X资产价值）X控制空隙23.下列哪一项准确地定义了风险评估中的三个基本步骤？BA识别风险；评估风险；消减风险。B资产赋值；2）风险分析；防护措施。C资产赋值；识别风险；评估风险。D1）识别风险；资产赋值；消减风险。24下列哪一项最准确地描述了灾难恢复计划 （DRP）应该包括的内容?A. 硬件，软件，人员，应急流程，恢复流程B. 人员，硬件，备份站点C. 硬件，软件，备份介质，人员D. 硬件，软件，风险，应急流程A. PKIB. X.50925以下哪个不包含在证书

8、中？A密钥采用的算法B公钥及其参数C私钥及其参数D签发证书的CA名称26.关闭 Windows 网络共享功能需要关闭（）服务？ AA. ServerB. WorkstationC. ServiceLayerD. Terminal Services27个组织使用ERP下列哪个是有效的访问控制？ BC. 细粒度D. 自主访问控制28.下列对安全审计涉及的基本要素说法正确的是BA. 安全审计可分为实时入侵安全审计和事后审计检测两种BC安全审计的基本要素是控制目标、安全漏洞、控制措施和控制测D安全审计可分为控制措施和检测控制安全审计的基本要素是控制目标、安全漏洞、控制措施和检测120.下列哪些描述同S

9、SL相关?A. 公钥使用户可以交换会话密钥、解密会话密钥并验证数字签名的真实性B公钥使用户可以交换会话密钥、验证数字签名的真实性以及加密数C私钥使用户可以创建数字签名、验证数字签名的真实性并交换会话密钥D. 私钥使用户可以创建数字签名、加密数据和解密会话密钥30. 电子邮件服务器支持传送加密和签名邮件需要开启（）协议?CC. S/MIMED. SSL31. 下面那类设备常用于风险分析？ CA. 防火墙B. IDSC. 漏洞扫描器D. UTM32. 以下哪一种备份方式在备份时间上最快？AA. 增量备份B. 差异备份C. 完全备份D. 磁盘镜像33. 下列哪一项准确地描述了脆弱性、威胁、暴露和风险

10、之间的关系？A. 脆弱性增加了威胁，威胁利用了风险并导致了暴露B. 风险引起了脆弱性并导致了暴露，暴露又引起了威胁C. 暴露允许威胁利用脆弱性，并导致了风险D. 威胁利用脆弱性并产生影响的可能性称为风险，暴露是威胁已造成损害的实例34.关系型数据库技术的特征由以下哪些元素确定的？ AA.行和列B. 节点和分支C. 分组和箭头D. 父类和子类35. 访问控制模型应遵循下列哪一项逻辑流程？ CA. 识别，授权，认证B. 授权，识别，认证C. 识别，认证，授权D. 认证，识别，授权36.以下工作哪个不是计算机取证准备阶段的工作？DA. 获得授权B. 准备工具C. 介质准备D. 保护数据37. 以下哪

11、个问题不是导致 DNS 欺骗的原因之一？ CA. DNS 是一个分布式的系统B.为提高效率，DNS查询信息在系统中会缓存CDNS 协议传输没有经过加密的数据D.DNS协议是缺乏严格的认证38. 下列哪一项最好地描述了消息认证码、哈希算法、数字签名和对称密钥分别提供的功能？ CA. 系统认证和完整性，完整性，真实性和完整性，机密性和完整性B. 用户认证和完整性，完整性，真实性和完整性，机密性C. 系统认证和完整性，完整性，真实性和完整性，机密性D. 系统认证和完整性，完整性和机密性，真实性和完整性，机密性39. 有一些信息安全事件是由于信息系统中多个部分共同作用造成 的，人们称这类事件为“多组件

12、事故” ，应对这类安全事件最有效的 方法是： DA.配置网络入侵检测系统以检测某些类型的违法或误用行为B.使用防病毒软件，并且保持更新为最新的病毒特征码C. 将所有公共访问的服务放在网络非军事区（DMZ）D.使用集中的日志审计工具和事件关联分析软件40. 以下一项是数据完整性得到保护的例子 ? BA.某网站在访问量突然增加时对用户连接数量进行了限制，保证己登 录的用户可以完成操作B.在提款过程中ATM终端发生故障，银行业务系统及时对该用户的帐户余顺进行了冲正操作c某网管系统具有严格的审计功能， 可以确定哪个管理员在何时对核 心交换机进行了什么操作D. 李先生在每天下班前将重要文件锁在档案室的保

13、密柜中，使伪装成 清沽工的商业间谍无法查看二、多选题 （每题 2 分,共 30 分）1.PPDR 模型包括： ABCA、策略B、检测C、响应D、加密2.下列对自主访问控制说法正确的是 :BCDA、自主访问控制允许客体决定主体对该客体的访问权限B、自主访问控制具有较好的灵活性扩展性C、自主访问控制可以方便地调整安全策略D、自主访问控制安全性不高，常用于商业系统3.下列哪些项是信息安全漏洞的载体 ? ABCA 网络协议B 操作系统C 应用系统D 业务数据4.风险管理中使用的控制措施，包括以下哪种类型？ ACDA.预防性控制措施B. 管理性控制措施C检查性控制措施D.纠正性控制措施5.以下对单点登录

14、技术描述正确的是 :BCDA、单点登录技术实质是安全凭证在多个用户之间的传递或共享B、使用单点登录技术用户只需在登录时进行一次注册，就可以访问多个应用C、单点登录不仅方便用户使用，而且也便于管理D、使用单点登录技术能简化应用系统的开发6.IATF深度防御战略的三个层面包括：ACDA.人员B法律C技术D.运行7.下列哪些项属于 Fuzz 测试的特性 ABDA.主要针对软件漏洞或可靠性错误进行测试B.采用大量测试用例进行漏洞-相应测试C一种试探性测试方法，没有任何理论依据D利用构造畸形的输入数据引发被测试目标产生异常8.关于数据库注入攻击的说法正确的是： ABDA.它的主要原因是程序对用户的输入缺

15、乏过滤B.般情况下防火墙对它无法防范C对它进行防范时要关注操作系统的版本和安全补丁D.注入成功后可以获取部分权限10. 按照工作机理，可以把计算机病毒分为： ABCDEA.引导型病毒B. 操纵系统型病毒C. 文件型病毒D. 宏病毒E. 网络型病毒10.以下选项中哪些项不是对于信息安全风险采取的纠正机制 ABDA 访问控制B 入侵检测c灾难恢复D防病毒系统11. 下列措施中哪些项是登录访问控制措施？ BcDA.审计登录者信息B.密码失效时间c.密码长度D.登录失败次数限制12云计算的实施模式有： ABcDA.公有云B.私有云c.社区云D.混合云13.NAT 技术能实现以下哪些功能？ BcDA.对应用层协议进