信息技术安全竞赛第四次选拔赛试卷(带答案)

1、信息技术安全竞赛第四次选拔赛试卷（带答案）（共672分）目录一、基础部分3a) 单选题3b) 多选题6c) 判断题8d) 简答9二、网络安全部分10a) 单选10b) 多选13c) 简答23三、系统安全部分26a) 单选26b) 多选48c) 简答53四、信息安全部分55a) 单选55b) 多选58c) 简答62五、应用安全部分65a) 单选65b) 多选71c) 简答74一、基础部分（共39.5分）单选题：1-5应用安全组； 6-10 网络安全组；11-14信息安全组；15-19系统安全组多选题：1-4应用安全组； 5-8 网络安全组；9-12信息安全组；13-16系统安全组判断题： 1-4

2、网络安全组；5-8信息安全组；9-12系统安全组a) 单选题（每题0.5分，共19题，合计9.5分）1、当前国内外上市企业在IT控制方面最普遍的做法是将（A）作为IT内控框架。一(2) A、COSO框架B、ITAF框架C、COBIT标准D、ISMS体系2、中国石化集团各企业要根据（C）等有关要求，合理确定信息系统的安全保护等级，定期开展信息系统等级保护测评、建设整改工作。一(2) A、中国石化信息安全等级保护管理办法B、中国石化集团信息系统安全等级保护定级指南；C、中国石化集团信息系统安全等级保护管理办法D、中国石化集团信息系统安全等级保护基本要求3、针对我国军工、能源、交通等行业的网络攻击和

3、窃密行为多发频发，网络成为泄密的主渠道、重灾区，近几年国家查处的泄密案件（C）以上都与网络有关。一(1) A、70%B、80%C、90%D、60%4、中国石化信息系统的安全保护等级划分是在国家信息系统安全保护等级基础上，结合中国石化实际情况定为（B）级别。 一(4) A、四B、五C、六D、七5、中华人民共和国国家标准GB/T 22239-2008信息安全技术-信息系统安全等级保护基本要求根据现有技术的发展水平，提出和规定了不同安全保护等级信息系统的（B）要求。 一(2) A、最高B、最低C、最适合D、最经济6、以下哪种人员不能申请使用中国石化邮箱？（B）A、正式员工B、非中国石化员工C、非正式

4、员工D、借调到其他单位的中国石化员工7、以下哪个选项不属于中国石化2014年安全系统建设项目？（C）A、建设统一漏洞扫描和网站监控系统B、推广统一身份管理系统C、建成移动应用平台，提高办公自动化水平D、制定工业控制网安全隔离方案8、信息化建设和信息安全建设的关系应当是？（B）A、信息化建设的结束就是信息安全建设的开始B、信息化建设和信息安全建设应同步规划、同步实施C、信息化建设和信息安全建设是交替进行的，无法区分谁先谁后D、各项都正确9、社会工程攻击是一种利用“社会工程学”来实施网络攻击的行为。以下对社会工程学的描述哪一项是不正确的？（A）A、是一门研究社会工程的科学B、是一门艺术和窍门的方术

5、，即利用人的弱点（如人的本能反应、好奇心、信任、贪便宜等弱点），以顺从你的意愿、满足你的欲望的方式，进行欺骗、伤害等危害，获取自身利益的手法C、现实中运用社会工程学的犯罪很多，如短信诈骗、电话诈骗、免费软件中捆绑流氓软件或病毒、网络钓鱼等D、运用社会工程学，一旦懂得如何利用人的弱点，就可以潜入防护最严密的网络系统10、根据斯诺登披露的文件及媒体爆料，除了“棱镜”之外，美国及盟国情报部门还实施了一些其他代号的监控项目。如下哪个代号不属于监控项目？（A）A、X-37BB、肌肉发达C、XKeyscoreD、特等舱11、下列信息系统安全说法正确的是：（D）A、加固所有的服务器和网络设备就可以保证网络的

6、安全B、只要资金允许就可以实现绝对的安全C、断开所有的服务可以保证信息系统的安全D、信息系统安全状态会随着业务系统的变化而变化，因此网络安全状态需要根据不同的业务而调整相应的网络安全策略12、“进不来”“拿不走”“看不通”“改不了”“走不脱”是网络信息安全建设的目的。其中，“看不懂”是指下面那种安全服务：(A)A、数据加密B、身份认证C、数据完整性D、访问控制13、以下对于信息安全的认识不正确的是：(C)A、安全是会随时间的推移而变化的B、世上没有100%的安全C、合理的投资加可识别的风险即为安全D、安全是相对的，不安全是绝对的14、口令是验证用户身份的最常用的手段，以下哪一种口令的潜在风险影

7、响范围最大？( D)A、长期没有修改的口令 B、过短的口令C、两个人公用的口令D、设备供应商提供的默认口令15、计算机病毒会对下列计算机服务造成威胁，除了（C）A、完整性B、有效性C、保密性D、可用性16、社会工程攻击是一种利用“社会工程学”来实施网络攻击的行为。以下对社会工程学的描述哪些是不正确的？（A）A、是关于社会工程的科学B、是一门艺术和窍门的方术，即利用人的弱点（如人的本能反应、好奇心、信任、贪便宜等弱点），以顺从你的意愿、满足你的欲望的方式，进行欺骗、伤害等危害，获取自身利益的手法C、现实中运用社会工程学的犯罪很多，如短信诈骗、电话诈骗、免费软件中捆绑流氓软件或病毒、网络钓鱼等D、

8、运用社会工程学，一旦懂得如何利用人的弱点，就可以潜入防护最严密的网络系统17、用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段？（B） A、缓冲区溢出攻击B、钓鱼攻击C、后门攻击D、DDOS攻击18、下面给出的四个选项中，不属于计算机病毒特性的是（D）A、潜伏性B、激发性C、传播性D、免疫性19、下列哪一条与操作系统安全配置的原则不符合? （D）A、关闭没必要的服务B、不安装多余的组件C、安装最新的补丁程序D、开放更多的服务b) 不定向选择题（每题1.5分，共16题，合计24分；少选得0.5分，多选不得分）1、中国石化集团的信息系统安全管理按“三同步”原则进行，即

9、-、-、-。(BDF) 一(4) A、同步规划；B、同步设计；C、同步采购；D、同步建设；E、同步实施；F、同步进行运行。2、中国石化内部控制手册中明确涉及IT一般性控制就是对所有利用计算机和通信技术进行企业业务_、_和_的信息化管理平台进行风险控制。(ACD) 一(4) A、集成B、开发C、转化D、提升3、中国石油化工集团公司信息系统安全管理办法规定信息管理部门设立信息系统安全管理岗位，对本单位信息系统安全_统一管理。依据不相容原则，信息系统设置安全管理员，负责_信息系统安全管理制度的有关要求，检查信息系统安全管理的日常工作，承担对系统管理员、应用管理员等人员操作的_，_信息安全设备和软件配

10、置情况，协助处理安全威胁、违例行为和其他信息安全突发事件。(ABCD)一(2) A、实施B、落实C、审查D、检查4、二一四年三月三日集团公司信息管理部发布的关于加强中国石化信息安全工作的指导意见关于近三年的信息安全工作的主要目标是：进一步健全信息安全组织和_，完善_，加强监督检查和风险评估；建成总部和企业两级信息安全运营中心,形成_、_的技术保障体系，实现信息安全风险“可检测、可控制、可消除”，有效保障基础网络和信息系统安全稳定运行。(ABCD) 一(2) A、管理体系B、信息安全策略C、主动防御D、综合防护5、集团公司关于加强中国石化信息安全工作的指导意见中针对完善综合防护技术体系工作所作的

11、要求包括如下哪些？(ABCD)A、建立健全纵深防御体系，做好物理、网络、主机、应用和数据等层面的安全防护，在企业实施终端安全防护、网络准入控制、统一身份管理等系统，建立统一漏洞扫描和网站监控系统B、建立总部和企业两级信息安全运营中心，做好网络边界、主机系统、应用系统、终端安全等方面的实时监测和预警，加强互联网出口的统一管理与监控，减少互联网出口数量C、加强工业控制系统网络与办公网络的安全隔离D、进一步完善信息安全运行维护体系，动态调整安全保护策略，制定应急处置预案，定期开展应急演练6、中国石化信息安全工作面临的严峻形势包括如下哪些？(ABCDE)A、中国石化作为国有骨干企业，始终处于网络攻击的

12、风口浪尖，不但是社会大众的关注焦点，也是境内外组织、黑客团体关注的焦点B、云计算、物联网、移动互联和大数据等新技术的广泛应用，对信息安全工作提出了新的挑战C、部分企业信息安全组织机构不健全，缺乏专业技术人才D、部分干部和员工缺乏信息安全意识，系统建设中没有落实“三同步”（同步规划、同步建设、同步运行）原则E、部分企业有多个互联网出口，安全防护水平参差不齐，木桶效应十分明显，整体防御能力还比较薄弱7、中国互联网新闻研究中心2014年5月26日发表的美国全球监听行动纪录，从不同方面列举了美国对全球和中国进行秘密监听的行径，包括如下哪几方面？(ABCDE)A、每天收集全球各地近50亿条移动电话纪录B

13、、窥探德国现任总理默克尔手机长达十多年C、秘密侵入雅虎、谷歌在各国数据中心之间的主要通信网络，窃取了数以亿计的用户信息D、多年来一直监控手机应用程序，抓取个人数据E、 针对中国进行大规模网络进攻，并把中国领导人和华为公司列为目标8、集团公司有关信息系统安全的制度主要有哪些？(ABCDE) A、中国石化信息系统安全管理办法B、中国石化信息系统安全等级保护管理办法C、中国石化网络管理办法D、中国石化信息基础设施运行维护管理办法E、中国石化电子邮件系统管理办法9、指纹、虹膜、语音识别技术是以下哪一种鉴别方式的实例(ACD)A、你是什么B、你有什么C、你知道什么D、你做了什么10、基于攻击方式可以将黑

14、客攻击分为主动攻击和被动攻击，以下哪一项不属于主动攻击(ACD)A、中断B、篡改C、侦听D、伪造11、信息安全组织机构是信息安全管理的基础，建立完善的信息安全组织机构我们主要需要考虑哪些内容？(ABCD)A、管理层的支持B、信息安全职责C、协作沟通D、组织架构12、当员工或来自外单位的工作人员离开组织或岗位变化时，必须进行以下的管理程序 (ABC)A、明确此人不再具有以前的职责B、确保归还应当归还的资产C、确保属于以前职责的访问权限被撤销D、安全管理员陪同此人离开工作场地13、增强Windows系统安全性的措施有哪些？（ABCD）A、及时对安全漏洞更新补丁，安装杀毒软件、防火墙等B、修改配置或

15、权限C、升级或更换程序D、停止或卸载不必要的服务和软件，去除木马等恶意程序14、以下哪些措施可以有效提高计算机病毒防治能力？（ABCDE）A、不浏览可疑网站B、不轻易打开来历不明的邮件C、及时安装、升级杀毒软件D、及时实施系统打补丁E、不轻易使用外来U盘15、关于补丁安装时描述正确的是？(ABC )A、补丁安装部署前需要加工不要的测试B、补丁必须从可靠、安全的来源不断获取最新补丁C、补丁安装部署时往往需要关闭和重启系统，为了避免不必要的损失，打补丁时需要做好备份和相应的应急措施。16、恶意代码的主要检测技术（AB）A、特征代码扫描B、异常行为检测c) 判断题（每题0.5分，共12题，合计6分）

16、1、中央网络安全和信息化领导小组办公室，与国家互联网信息办公室一个机构、两块牌子。（）2、对在集团公司范围内首次采用的软硬件系统和产品，根据厂商的介绍即可决定，不要求经过信息部门组织的安全测试。（）3、当前集团公司信息安全存在薄弱环节。一些干部、员工缺乏必要的信息安全意识，部分企业信息安全组织机构不健全，专业技术队伍力量不足，各企业安全防护水平参差不齐。（）4、我国即将推出网络安全审查制度，将规定对进入我国市场的重要信息技术产品及其提供者进行网络安全审查，审查的重点在于该产品的安全性和可控性，旨在防止产品提供者利用提供产品的方便，非法控制、干扰、中断用户系统，非法收集、存储、处理和利用用户有关

17、信息，对不符合安全要求的产品和服务，将不得在中国境内使用。（）5、我国信息系统安全等级保护工作环节依次是定级-备案-建设整改-等级测评-监督检查（）6、完整性机制可以防范数据传输中被窃听获取。（）7、记录雇员的工作效率是审计措施的安全目标之一。（）8、在数字信封中需要综合使用对称加密算法和公钥加密算法。（）9、利用数据库后备副本和日志文件就可以将数据库恢复到故障前的某个一致性状态。（）10、跨站脚本（XSS）是指恶意攻击者向web页面插入恶意HTML代码，当用户浏览网页时，嵌入其中的HTML代码会被执行，从而达到恶意用户的特殊目的，该描述是否正确？。（）11、入侵者成功入侵系统后的最后一步是设

18、置后面，为下次进入系统提供方便。（）12、计算机病毒得以生存和扩散的原因是计算机系统本身有太多的缺陷、漏洞和人的安全意识薄弱造成的。（）d) 简答(不用答)1、中国石化内部控制手册中明确涉及IT一般性控制的流程有：2、中国石油化工集团公司信息基础设施运行维护管理办法其中关于信息基础设施运行维护管理内容与规则主要规定四大管理，这四大管理是什么？简述每一管理的要点。3、中国石油化工集团公司信息系统安全管理办法包括四个方面，这四方面分别是什么？简述每方面的要点。4、公信安20091429号关于开展信息安全等级保护安全建设整改工作的指导意见其中落实工作要求包括四个方面，简述这四方面的要点二、网络安全部

19、分（共135分）a) 单选（每题0.5分，共27题，合计13.5分）1、 TCP/IP 协议集的网间网层上的RARP子协议的功能是( B )。二（1）A、 用于传输IP 数据报B、实现物理地址到IP 地址的映射C、实现IP 地址到物理地址的映射D、用于该层上控制信息产生2、 以下关于DNS服务器的叙述中，错误的是（ A ）。二（1）A、 用户只能使用本网段内DNS服务器进行域名解析B、 主域名服务器负责维护这个区域的所有域名信息C、 辅助域名服务器作为主域名服务器的备份服务器提供域名解析服务D、 转发域名服务器负责非本地域名的查询3、 在TCP/IP协议分层结构中，SNMP是在UDP协议之上的

20、( A )请求/响应协议。二（1）A、 异步B、同步C、主从D、面向连接4、 使用Windows提供的网络管理命令（ D ）可以查看本机的路由表。二（2）A、 tracertB、arpC、ipconfigC、netstat5、 网管人员在监测网络运行状态时，发现服务器上有大量的TCP连接，收到了大量源地址各异、用途不明的数据包，网管人员的判断是（ B ）。二（2）A、 ARP攻击B、受到了DDoS攻击C、受到了漏洞攻击D、DNS欺骗攻击 6、 网管人员在监测网络运行状态时，发现服务器收到大量的ARP报文，网管人员的判断是（ C ）。二（2）A、 漏洞攻击B、DNS欺骗攻击C、ARP欺骗攻击D、

21、DDoS攻击7、 如果两个交换机之间设置多条Trunk，则需要用不同的端口权值或路径费用来进行负载均衡，在默认的情况下，端口的权值是( B )。二（2）A、 64B、128C、256D、10248、 在一个网络内有很多主机，现在需要知道究竟有哪些主机。方法之一是：从指定网络内的第一个主机地址开始，依次向每个地址发送信息并等待应答。该方法所使用的协议及报文是（ A）。二（2）A、 ICMP，回送请求报文B、UDP，17类型报文C、TCP，SYN报文D、PING，测试报文9、 设计一个网络时，分配给其中一台主机的IP地址为192、55、12、120，子网掩码为255、255、255、240，可以直

22、接接收该主机广播信息的地址范围是（ B ）。二（3）A、 192、55、12、120 192、55、12、127B、 182、55、12、112 192、55、12、127C、 192、55、12、1 192、55、12、254D、 192、55、12、0 192、55、12、25510、 在网络的各级交换机上进行跨交换机的VLAN划分，这种方式属于( B )措施。二（3）A、 物理隔离 B、逻辑隔离C、交换隔离 D、路由隔离11、 状态检查技术在OSI（ C ）层工作实现防火墙功能。二（4）A、 链路层B、传输层C、网络层D、会话层12、 下面对电路级网关描述正确的是（ B ）。二（4）A、

23、 它允许内部网络用户不受任何限制地访问外部网络，但外部网络用户在访问内部网络时会受到严格的控制。B、 它在客户机和服务器之间不解释应用协议，仅依赖于TCP连接，而不进行任何附加包的过滤或处理。C、 大多数电路级代理服务器是公共代理服务器，每个协议都能由它实现。D、 对各种协议的支持不用做任何调整直接实现。13、 （ D）是按照预定模式进行事件数据搜寻，最适用于对已知模式的可靠检测。二（4）A、 实时入侵检测B、异常检测C、事后入侵检测D、误用检测(特征检测)14、 对于无线局域网的数据安全主要控制措施有哪些？（D）二（5）A、 登录控制、备份B、访问控制、口令安全B、 C、容错、数据加密D、用

24、户访问控制、数据加密15、 下列哪个是WLAN最常用的上网认证方式：( A )二（5）A、 WEP认证B、SIM认证C、宽带拨号认证D、PPoE认证16、 VPN是指在一个公共IP网络平台上通过什么及加密技术保证专业数据的网络安全性（ B ）。二（5）A、 带宽B、隧道C、线路D、信号17、 在Wi-Fi安全协议中，WPA与WEP相比，采用了（ D ）。二（5）A、较短的初始化向量B、更强的加密算法C、共享密钥认证方案D、临时密钥以减少安全风险18、 针对用户的需求，设计师提出了用物理隔离来实现网络安全的方案。经过比较，决定采用隔离网闸实现物理隔离，隔离网闸的主要实现技术不包括（ D ）。二（

25、6）A、 实时开关技术B、单向连接技术C、网络开关技术D、隔离卡技术19、 几种常见的网络准入控制方法中，在终端接入网络时进行准入控制的是（ A ）。二（6）A、 802、1x准入控制B、DHCP准入控制C、网关型准入控制D、ARP准入控制20、 关于防火墙技术，以下描述正确的是 (C )。 二（4）A、 防火墙不支持网络地址转换 B、 防火墙不支持网络端口映射 C、 防火墙可以布置在企业内网和因特网之间 D、 防火墙可以过滤各种垃圾文件21、 IPSec VPN 和SSL VPN分别工作在OSI参考模型_和_（A ）。 二（1）A、 网络层应用层 B、链路层 应用层 C、传输层 网络层 D、

26、应用层 网络层22、 采用全双工通信方式，数据传输的方向性结构为( A ) 。二（1）A、 可以在两个方向上同时传输B、 只能在一个方向上传输C、 可以在两个方向上传输，但不能同时进行D、 以上均不对23、 在纠正问题的过程中，做了一些改变后，注意到了没有解决现存的问题。现在反而出现了一些新的问题，而且并没有记下所有的改变。接下来应该采取什么样的措施？（A）二（2）A、 将设备的配置恢复到原始设置B、 删除启动配置并重新启动路由器C、 删除闪存并重新启动设备D、 从简单文件传输协议（TFTP）服务器上复制一个正常的IOS文件E、 上述各项都不是24、 IPv6的地址长度是( C )位，它比IP

27、v4支持更大数量的网络节点，并有更好的安全性保证。二（1）A、 32B、64C、128D、256 25、 银行为用户提供网上服务，允许用户通过浏览器管理自己的银行账户信息，为了保障通信安全，该Web服务器可选的协议是( D )。二（3）A、 POPB、SNMPC、HTTPD、HTTPS 26、 下列4种恶意代码中，可以远程控制网络中的计算机的是( B )。二（4）A、 worm.Sasser.fB、Trojan.qq3344C、Win32.CIHD、Macro virus27、 在网络管理中，通常需要监控网络内各设备的状态和连接关系，同时对设备的参数进行设置，这些工作归属于( C )功能域。二

28、（2）A、 故障管理B、性能管理C、网络配置D、安全管理 b) 不定项选择题（每题1.5分，共51题，合计76.5分；少选得0.5分，多选不得分）1、 网络安全工作的目标包括（ABCD ）。二（1）A、 信息机密性B、信息完整性C、服务可用性D、可审查性2、 信息系统安全保护的目标是要保护信息系统的（ ABCD ）。二（1）A、 实体安全B、运行安全C、信息安全D、人员安全3、 Windows的域控制机制具备哪些安全特性（ABC ）。二（3）A、 用户身份验证B、访问控制C、日志审计D、数据通讯的加密4、 应对操作系统安全漏洞的基本方法是（ ABC ）。二（4）A、 及时安装最新的安全补丁B、

29、 给所有用户设置严格的口令C、 对默认安装进行必要的调整D、 更换到另一种操作系统5、 严格的密码策略应当包含哪些要素（ABC ）。二（5）A、 满足一定的长度，比如8位以上B、 同时包含数字，字母和特殊字符C、 系统强制要求定期修改密码D、 用户可以设置空密码6、 以下对CSMA/CD描述正确的是（ AD ）。二（5）A、 在数据发送前对网络是否空闲进行检测B、 在数据发送时对网络是否空闲进行检测C、 在数据发送时对发送数据进行冲突检测D、 发生碰撞后MAC地址小的主机拥有发送优先权7、 以下对交换机工作方式描述正确的是（ ABD ）。二（2）A、 可以使用半双工方式工作B、 可以使用全双工

30、方式工作C、 使用全双工方式工作时要进行回路和冲突检测D、 使用半双工方式工作时要进行回路和冲突检测8、 VLAN的主要作用有（ABCD ）。二（3）A、 保证网络安全B、抑制广播风暴C、简化网络管理D、提高网络设计灵活性9、 与9 mask 24属于同一网段的主机IP地址是（ BC ）。二（3）A、 B、0C、1D、210、 下列对于PAP协议描述正确的是（ AC ）。A、 使用两步握手方式完成验证B、 使用三步握手方式完成验证C、 使用明文密码进行验证D、

31、 使用加密密码进行验证11、 内部局域网主机均为 网段。以下说法正确的是（本题假设其他网络均没有使用防火墙）：（ AC ）二（2）A、 外部主机0可以ping通任何内部主机；B、 内部主机，可以任意访问外部网络资源；C、 外部 网段主机可以与此内部网主机建立tcp连接；D、 外部 网段主机不可以与此内部网主机建立tcp连接E、 内部任意主机都可以与外部任意主机建立tcp连接；F、 内部任意主机只可以与外部202.38.

32、0.0 网段主机建立tcp连接12、 路由器作为网络互连设备，必须具备以下哪些特点（ ABE ）。二（2）A、 至少支持两个网络接口B、 协议至少要实现到网络层C、 至少支持两种以上的子网协议D、 至少具备一个备份口E、 具有存储、转发和寻径功能F、 一组路由协议G、 必须有较高的协议处理能力13、 以下对MAC地址描述正确的是（ BC ）。二（2）A、 由32位2进制数组成B、 由48位2进制数组成C、 前6位16进制由IEEE负责分配D、 后6位16进制由IEEE负责分配14、 以下为传输层协议的是（ CD ）。二（1）A、 IPB、ICMPC、UDPD、SPX1

33、5、 配置备份中心的目的是（ BD ）。二（2）A、 增加网络带宽B、 提高网络可用性C、 降低网络传输费用D、 防止数据传输意外中止16、 若主机A需要知道主机B的MAC地址，则属于ARP的工作流程为（ ACD ）。二（2）A、 主机A在网络中广播ARP请求报文B、 主机A接收到请求报文后将自己的IP地址和MAC地址的映射发送给主机AC、 主机B收到请求报文后将主机的IP地址和MAC地址映射存储到自己的CACHE中D、 主机A缓存主机B的IP地址到MAC地址的映射17、 下列哪些命令可以用来查看DDR端口（在端口S1上配置）信息？（ BD ）二（2）A、 show interfaceB、 s

34、how running-contingC、 show interface s1D、 show diater interface s118、 IP地址中网络号的作用有（ AC ）。二（2）A、 指定了主机所属的网络B、 指定了网络上主机的标识C、 指定了设备能够进行通信的网络D、 指定被寻址的网中的某个节点19、 下列静态路由器配置正确的是（ ACD ）。二（2）A、 ip route 16 serial 0B、 ip route 16 C、 ip route 16 D、 ip route 129.1.0

35、.0 20、 下列关于地址转换的描述，正确的是：（ ABD ）。二（3）A、 地址转换解决了因特网地址短缺所面临的问题B、 地址转换实现了对用户透明的网络外部地址的分配C、 使用地址转换后，对IP包加长，快速转发不会造成什么影响D、 地址转换内部主机提供一定的“隐私”E、 地址转换使得网络调试变得更加简单21、 下列有关NAT叙述正确的是（ ABD ）。二（1）A、 NAT是英文“网络地址转换”的缩写B、 地址转换又称地址翻译，用来实现私有地址和公用地址之间的转换C、 当内部网络的主机访问外部网络的时候，一定不需要NATD、 地址转换的提出为解决IP地址

36、紧张的问题提供了一个有效途径22、 动态路由协议相比静态路由协议（ CD ）。二（2）A、 带宽占用少B、 简单C、 路由器能自动发现网络变化D、 路由器能自动计算新的路由23、 域内置全局组安全控制非常重要，这些组只出现在域控制器中，包括（ ABD ）。二（3）A、 Domain Admins组B、 Domain Users组C、 Domain Replicators组D、 Domain Guests组24、 防火墙通常阻止的数据包包括（ ABDE ）。二（4）A、 来自未授权的源地址且目的地址为防火墙地址的所有入站数据包（除Email传递等特殊用处的端口外）B、 源地址是内部网络地址的所有

37、入站数据包C、 所有ICMP类型的入站数据包D、 来自未授权的源地址，包含SNMP的所有入站数据包E、 包含源路由的所有入站和出站数据包25、 防火墙的局限性包括（ ACD ）。二（4）A、 防火墙不能防御绕过了它的攻击B、 防火墙不能消除来自内部的威胁C、 防火墙不能对用户进行强身份认证D、 防火墙不能阻止病毒感染过的程序和文件迸出网络26、 下面关于防火墙的维护和策略制定说法正确的是（ ABCD ）。二（4）A、 所有防火墙管理功能应该发生在使用了强认证和加密的安全链路上B、 Web界面可以通过SSL加密用户名和密码。非Web的图形界面如果既没有内部加密，也没有SSL，可以使用隧道解决方案

38、，如SSHC、 对防火墙策略进行验证的最简单方法是，获得防火墙配置的拷贝，然后把这些拷贝和根据已定义的策略产生的期望配置进行比较D、 对防火墙策略进行验证的另一种方式通过使用软件对防火墙配置进行实际测试27、 网络安全扫描能够（ ABCDE ）。二（2）A、 发现目标主机或网络B、 判断操作系统类型C、 确认开放的端口D、 识别网络和拓扑结构E、 测试系统是否存在安全漏洞28、 SNMP网络管理所存在的问题主要原因是（ AD ）。二（2）A、 SNMP协议是无连接的B、 MIB变量的简单性C、 SNMP协议的简单性D、 SNMP的安全机制29、 网络准入控制的好处（ ABCD ）。二（6）A、

39、 减少终端感染，增强网络复原力B、 防止敏感数据泄露C、 提高安全性D、 提高运维效率30、 网络安全域是指（ABCD ）。二（3）A、 具有相同的安全保护需求的子网或网络B、 具有相同的安全访问控制和边界控制策略的子网或网络C、 具有相同业务要求和安全要求的IT系统集合D、 共享一样安全策略的网络31、 下列关于OSPF协议说法正确的是（ ABD ）。二（2）A、 OSPF支持基于接口的报文验证B、 OSPF支持到同一目的地址的多条等值路由C、 OSPF是一个基于链路状态算法的边界网关路由协议D、 OSPF发现的路由可以根据不同的类型而有不同的优先级32、 下列哪些技术有助于减少路由环路（

40、CDEF ）。二（3）A、 直接交换B、 采用链路状态路由协议C、 水平分割D、 保持间隔E、 定义最大跳数F、 路由中毒33、 无线网络安全中存在的问题有（ABCD ）。二（5）A、 网络资源的盗用B、 用户信息被盗用或监视C、 接口的不安全性D、 无线网络的无界性34、 不属于防火墙系统构成的是什么（AE）。二（4）A、 访问设备B、 过滤器C、 安全工具包软件D、 网关选项E、 电子邮件处理35、 组成UNIX/Linux系统中的密码控制信息保存在/etc/passwd或/etc/st时ow文件中，信息包含的内容有（ BCD ）。二（2）A、 最近使用过的密码B、 用户可以再次改变其密码

41、必须经过的最小周期C、 密码最近的改变时间D、 密码有效的最大天数36、 目前市场上主流防火墙提供的功能包括(ABCDE)。二（4）A、 数据包状态监测过滤B、 应用代理C、 NATD、 VPNE、 日志分析和流量统计分析37、 AD域架构的应用给企业管理带来的优势（ ABC ）。二（3）A、 提高IT运行效率B、 对用户实施权限管理C、 增强网络安全D、 易于维护38、 下面关于WLAN安全标准IEEE802.11i的描述中，正确的是（ ABC ）。二（5）A、 采用了高级加密标准AES B、 定义了新的密钥交换协议TKIP C、 采用802.1x实现访问控制D、 提供的加密方式为有线等价协

42、议WEP39、 在两台核心交换机之间采用哪些协议可以构成互为备份结构，所有终端设备可以将缺省网关设置为虚拟出来的网关IP地址，当主核心交换机发生故障时，备份核心交换机能够自动接替其工作，为所有终端提供网络服务？（CD ）。二（3）A、 Per Vlan Spanning Tree B、 EtherChannel C、 HSRP D、 VRRP40、 某企业采用防火墙将内部网与因特网隔离，在防火墙部署中设置一些过滤规则。如需开放HTTP及FTP应用，则应该在防火墙中开放那些协议及端口？（ABD ）。二（4）A、 TCP 80 B、 TCP 21C、 TCP 23 D、 TCP 2041、 ACL

43、使用包过滤技术,可以通过在路由器上读取第三层及第四层包头中的(ABCD)信息,再根据预先定义好的规则对包进行过滤,就可以达到访问控制的目的。 二（6）A、 源地址B、 目的地址C、 源端口D、目的端口42、 有关网络管理员的职责，下列哪种说法正确的是（ ABC ）。二（1）A、 网络管理员应该对网络的总体布局进行规划B、 网络管理员应该对网络故障进行检修C、 网络管理员应该对网络设备进行优化配置D、 网络管理员应该负责为用户编写网络应用程序43、 网络安全中的AAA指的是（ BCD ）。二（1）A、 Access B、 Accounting C、 Authorization D、 Authen

44、tication44、 以下不属于对称加密算法的是？ （ CD ） 。二（1）A、 DES B、 RC4 C、 HASH D、 RSA45、 准入控制是一种主动式网络安全管理技术，终端只有符合安全标准的状态才准许访问网络，终端安全状态包括（ ABCD ）等反映终端防御能力的状态信息。二（6）A、 操作系统补丁B、 第三方软件版本C、 病毒库版本D、 是否感染病毒46、 下列属于数据链路层的互联设备是：(BC) 。二（2）A、 中继器 B、 网桥 C、 交换机 D、 路由器 47、 下列关于ARP木马描述中，正确的是:(ABD)。二（2）A、 ARP木马利用ARP协议漏洞实施破坏B、 ARP木马

45、发作时可导致网络不稳定甚至瘫痪C、 ARP木马破坏网络的物理连接D、 ARP木马把虚假的网关MAC地址发送给受害主机48、 下列属于常用的对称加密算法的有（ABD）。二（1）A、 DESB、 RC-5C、 RSAD、 IDEA49、 常用的无线加密方式中，不包含下面的（D）。二（5）A、 WEPB、 WPA/WPA2C、 WPA-PSK/WPA2-PSKD、 WAP 50、 关于VLAN技术，说法正确的有(ABD) 。二（5）A、 一个VLAN中的广播只有同VLAN 中的成员才能听到B、 VLAN技术大大提高网络规划和重组的管理功能C、 VLAN是从物理上划分的，而不是逻辑上D、 VLAN可以

46、基于网络层协议进行划分，也可以基于端口或者MAC地址等划分51、 下列隧道协议中工作在网络层的有(C)。二（1）A、 SSLB、L2TPC、IPSecD、PPTPc) 简答（每题5分，共9题，合计45分）1、 OSI七层参考模型包含哪些？二（1）参考答案：应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。2、 网络安全应具有哪五个方面的特征？二（1）参考答案：保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需

47、的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属 于对可用性的攻击；可控性：对信息的传播及内容具有控制能力。可审查性：出现的安全问题时提供依据与手段。3、 通过哪些手段能够改善网络安全？二（1）二（2）二（3）二（4）二（5）二（6）参考答案：加强物理安全：进入电脑机房的密钥、智能卡或者生物识别门控技术；对电脑机房进出情况的视频记录；对电脑机房进出情况的日志记录和报告；在电脑机房的入口和出口部署保安或者其他观察员。使用基于主机的防火墙：基于主机的防火墙就能够保护企业资产阻止所有攻击者，无论时内部还是外部攻击者。此外，高级主机防火墙还可以配置为只允许计算机向用户提供的特定服务的

48、入站连接。网络划分为安全区：创建安全区可以让你集中安全力量，来保护最重要的资产。分配给较低安全区的不太重要的资产同样也受到了保护，但是你花在较低安全区的时间和精力相对要少得多，因为泄漏的成本比较高安全区的资产的成本要低得多。健全权限及职能划分：使用最小权限原则，控制用户和管理员只能访问他们的工作需要的资源。用户只能访问他们工作需要访问的网站，他们只能使用工作需要使用的应用程序，而管理员只能进行符合他们权限的配置更改。加强安全身份验证机制：使用双因素身份验证，要求用户使用某种设备（例如智能卡或者令牌）以及密码（在2FA空间有时也被称为PIN）验证，即使密码被破解了，仍然意义不大，除非攻击者拿到了

49、设备本身。4、 VLAN有什么作用？。二（3）参考答案：广播控制；提高了安全性；增加带宽利用率；减少延迟5、 两台交换机之间怎样提供备份？二（2）参考答案：通过冗余链路，启用生成树（STP）。另用以太通道技术（CHANNEL），捆绑多条链路。用以实现备份。6、 请解释这条linux命令的含义，iptables -A INPUT -s -p tcp -dport 22 -j ACCEPT。二（2）参考答案：只针对源地址是的机器开启SSH（22）登录端口7、 简述防火墙的典型部署及策略设置原则。二（4）参考答案： 典型部署，利用防火墙一般可将网络划分为

50、可信网络、不可信网络和DMZ区。策略设置原则，可信网络可向DMZ区和不可信网络发起连接请求 DMZ区可接受可信网络和不可信网络的连接请求 DMZ区不可向可信网络发起连接请求 DMZ区与不可信网络的连接请求根据业务需要确定8、 在WLAN维护时，发现现场能搜索到无线网络却不能上网，如何排除故障？二（5）参考答案：检查无线信号是否稳定，用户是否开启了安全设置，如MAC地址控制，无线用户隔离。检查无线网卡是否兼容，无线模式是否与网卡匹配。STA的WPA加密是否与AP一致。9、 简述802.1X准入工作原理。二（6）参考答案：802.1x协议是基于Client/Server的访问控制和认证协议。它可以

51、限制未经授权的用户/设备通过接入端口访问LAN/WAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。三、系统安全部分（共137.5分）a) 单选（每题0.5分，共113题，合计56.5分）1、 下列信息系统安全说法正确的是（D） 三(1) A、加固所有的服务器和网络设备就可以保证网络的安全B、只要资金允许就可以实现绝对的安全C、断开所有的服务可以保证信息系统的安全D、信息系统安全状态会随着业务系

52、统的变化而变化，因此网络安全状态需要根据不同的业务而调整相应的网络安全策略2、 以下对windows服务的说法错误的是（ C） 三(1) A、为了提升系统的安全性管理员应尽量关闭不需要的服务B、可以作为独立的进程运行或以DLL的形式依附在Svchost.exeC、Windows服务只有在用户成功登录系统后才能运行D、Windows服务通常是以管理员的身份运行的3、 Windows NT中的组策略适用于 ( D) 三(1) A、S：站点B、D：域C、OU：组织单位D、S,D,OU4、 Linux系统的/etc目录从功能上看相当于windows系统的哪个文件夹：( B) 三(1) A、Progra

53、m FilesB、WindowC、System volume informationD、TEMP5、 数据库管理员在检查数据库时发现数据库的性能不理想，他准备通过对部分数据表实施去除规范（denormanization） 操作来提高数据库性能，这样做将增加下列哪项风险？( D) 三(2) A、访问的不一致性 B、死锁C、对数据的非授权访问D、数据完整性的损害6、 以下哪一项不是流氓软件的特征？( D) 三(5) A、通常通过诱骗或和其它软件捆绑在用户不知情的情况下安装B、通常添加驱动保护使用户难以卸载C、通常会启动无用的程序浪费计算机的资源D、通常会显示下流的言论7、 下面关于IIS报错信息含义的描述正确的是？( B) 三(3) A、401-找不到文件B、403-禁止访问C、404-权限问题D、500-系统错误8、 基于攻击方式可以将黑客攻击分为主动攻击和被动攻击，以下哪一项不属于主动攻击（C） 三(5) A、中断B、篡改C、侦听D、伪造9、 关于数据库注入攻击的说法错误的是（C） 三(5) A、它的主要原因是程序对用户的输入缺乏过滤B、一般情况下防火墙对它无法防范C、对它进行防范时要关