2023年NISP （一级）考前培训辅导题库及答案

2023年NISP（一级）考前培训辅导题库及答案

一'单选题

1.网络嗅探利用的原理是（）

A、广播原理

B、交换共享

C、TCP连接

D、UDP连接

答案：B

2.Windws如何在删除文件时不经过回收站直接删除O

A、选中文件后按delete

Bv选中文件后按shift+delete

G选中文件后Ctrl+delete

D、选中文件后技回车加delete

答案：B

3.小李从二手网站买了一个U盘，收到货后准备使用，但由于担心U盘有病毒，

就对电脑进行了以下操作进行防范：Q）关闭电脑自动播放功能（2）开启wind

ws内置防病毒软件（3）更新病毒库（4）开启本地策略中的审核策略。这些操

作中无法起到防范作用的是（）

A、操作（1）

B、操作（2）

G操作（4）

D、操作（3）

答案：c

4.信息系统安全策略应该全面地考虑保护信息系统整体的安全，在设计策略的范

围时，主要考虑（）

A、物理安全策略

B、网络安全策略

C、数据加密策略

D、以上都是

答案：D

5.在漏洞处理过程中应维护的原则不包括（）

A、公平、公开、公正

B、及时处理

C、安全风险最小化

D、保密，防止漏洞被泄漏

答案:D

6.对邮件进行加密和签名最常用的方式是使用（）对会话进行保护

A、MD5

B、SSL

GSMTP

D、PP3

答案:B

7.组织识别风险后，可采取的处理方式不合理的是O

A、缓解风险

B、转移风险

C、忽略风险

D\规避风险

答案：C

8.当windws系统因恶意代码'系统升级等原因导致系统不稳定时，可以通过

〔）来恢复

A、更新驱动

B、之前创建的系统还原点

C、卸载程序

D、系统服务

答案：B

9.下列哪个选项不属于XSS漏洞危害（）

A、窃取管理员帐号或Ckie

B、网站挂马

C、记录技键

D、SQL数据泄露

答案：D

10.关于信息安全，以下做法正确的是（）

A、为了不让自己忘记密码，公司小张把自己的密码写在记事本上，并保存在桌

面文件框中

B、小明电脑故障，把公司业务敏感数据备份到了自己的U盘里，U盘也经常借

给同事使用

C、公司保洁阿姨文化水平不高，生活困难，因此小陈把打印错误的投标文件送

予保洁阿姨

D、小冷收到提示中奖信息来源不明的电子邮件，没有打开，直接删除

答案：D

11.互联网的不断发展，越来越多的设备被接入并融合，技术的融合将传统的虚

拟世界与物理世界相互连接，共同构成了一个新的IT世界。最先把网络安全上

升到国家高度的国家是（）

A、英国

B、美国

C、俄罗斯

D、中国

答案：B

12.关于防火墙作用的说法中，下列选项错误的是（）

A、防火墙可以抵挡外部攻击

B、防火墙占用一定的系统资源

C、防火墙能够隐蔽个人计算机的IP地址等信息

D、防火墙可以阻止病毒文件

答案：D

13.下列哪个选项不属于常见的web应用服务器（）

A、IIS

B、Apache

GNginx

D、SQLServer

答案：D

14.《中华人民共和国刑法》第二百八十六条之一［拒不履行信息网络安全管理

义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，

经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期

徒刑'拘役或者管制，并处或者单处罚金。以下属于上述行为的是（）

A、致使违法信息大量传播的

B、致使用户信息泄露，造成严重后果的

C、致使刑事案件证据灭失，情节严重的

D、以上都是

答案：D

15.下列选项中对Windws系统安全没有帮助的是（）

A、关闭管理共享

B、关闭自动播放

C、禁用Guest账户

D、关闭账户锁定策略

答案：D

16.从保护数据的角度来看，下列哪种分区方式最不合理（）

A、分C、D两个分区，操作系统安装在C盘，软件和数据在D盘

B、分C、D、E三个分区，操作系统安装在C盘，软件在D盘、工作资料在E盘

C、分C、D、E、F四个分区，操作系统安装在C盘，其他盘分别用来存储软件、

工作费料、系统备份

D、只分一个C盘，操作系统和数据都存放在C盘当中

答案：D

17.下面对信息安全管理体系理解错误的是O

A、信息安全不是一个部门的工作，也不是某个人的职责

B、最高领导不应该成为信息安全工作的第一责任人，被委托的高层管理者才是

C、信息安全应该贯穿于整个组织

D、组织的每个成员都需要承担相关的义务和责任

答案：B

18.网络环境日益复杂，网络安全问题已然成为人们关注的重点，下列属于信息

系统安全威胁的是（）

A、系统的开放性

B、系统的复杂性

C、系统本身固有的漏洞

D、以上都是

答案：D

19.小李收到陌生中奖短信，要求其提供身份信息领奖，小明可能受到以下哪种

攻击（）

A、蠕虫病毒

B、社会工程学

C、勒索病毒

D、木马

答案：B

20.哪些不属于Windws系统上存在的日志文件？（）

AxAppEvent.Evt

B、SecEvent.Evt

Cxutirp/utirpx

D、SysEvent.Evt

答案：C

21.Windws共享目录的中的“更改”和“完全控制”有什么区别。

A、删除文件

B、修改文件

C、新建文件

D、修改权限

答案：D

22.社会工程学的社工手段下面正确的是（）

A、熟人好说法

B、伪造相似的信息背景

C、伪装成新人打入内部

D、上面都对

答案：D

23.小区、商场、车站、广场等地方，都有各种来源不明的二雒码，你认为乱扫

二雉码说法错误的是（）

A、扫二雒码没有风险，还可以领福剥

B、有可能造成财产的损失

C、中木马和病毒

D、个人隐私的泄露

答案:A

24.信息系统是指由()组成，按照一定的应用模板和规则对信息进行存储、传

输和处理的系统或者网络。

A、计算机

B、计算机及其相关的配套设备

C、网络中的所有计算机

D、网络中的所有路由器

答案：B

25.下列哪个选项可以设置禁止某些用户和组作为远程桌面服务客户端登录()

A、管理共享

B、系统服务

C、本地组策略

D、系统组件服务

答案：C

26.下列方法哪个适用于防御U盘病毒()

A、关闭自动播放

B、关闭SecurityCenter服务

C、关闭管理共享

D、开启审核策略

答案：A

27.网页浏览的好习惯不包括（）

A、选择火狐等大牌浏览器

B、打开网站之前仔细核对网站域名是否正确

C、不在所有网站使用相同的用户名和密码

D、重要网站密码使用姓名简拼加出生年月日

答案：D

28.以下不是社会工程学利用的心理的是。

A、好奇

B、贪婪

C、防范

D、信任

答案：C

29.我国信息安全保障工作的主要原则是O

A、技术为主，管理为辅

B、管理为主，技术为辅

C、技术与管理并重

D、综合防御，自主发展

答案：C

30.下列关于垃圾邮件过滤技术描述错误的是O

A、垃圾邮件过滤是应对垃圾邮件威胁的有效措施之一

B、内容过滤是垃圾邮件过滤技术中广泛应用的技术

C、垃圾邮件过滤技术是一种主动防御

D、是目前应用最广泛的反垃圾邮件技术

答案：C

31.在NTFS文件系统中，如果共享权限和NTFS权限发生了冲突，那么以下说法

正确的是（）

A、共享权限高于NTFS权限

B、NTFS权限高于共享权限

C、系统会认定最少的权限

D、系统会认定最多的权限

答案：C

32.恶意app对个人隐私信息及资金安全等方面所造成的威胁逐年增加，下列哪

个选项可能是恶意APP（）

A、政务类APP

B、各大行的手机银行APP

C、网上下载的盗版APP

D、从手机自带的应用商店下载的微信、支付宝等知名APP

答案：C

33.以下关于“网络安全为人民'网络安全靠人民”这句话的理解最准确的是（）

A、网络安全是人民内部矛盾问题，靠人民内部解决

B、网络安全的最终目的是为了人民更好的生活，解决上也要人民群众共同参与

C、网络安全是为了保护人民群众使用的网络安全，因此要深入人民群众中去

D、网络安全为了实现人民群众的自主性，因此网络安全全靠人民自己解决

答案：B

34.《网络安全法》中的网络运营者，是指（）

A、网络的所有者和高层管理者

B、高层管理者和和网络服务提供者

C、网络的所有者和网络服务提供者

D、网络的所有者、管理者和网络服务提供者

答案：D

35.下列哪个选项属于XSS攻击类型（）

A、延时型XSS

B、DM型XSS

G字符型XSS

D、布尔型XSS

答案：B

36.涉密信息系统工程监理工作需要（）的单位或组织实施监督管理

A、涉密信息系统工程建设不需要监理

B、具有信息系统工程监理资质的单位

C、具有涉密信息系统工程监理费质的单位

D、国家保密行政管理部门

答案：C

37.自2019年10月1日起施行《儿童个人信息网络保护规定》中，其中儿童年

龄是（）

A、是指不满十二周岁的未成年人

B、是指不满十四周岁的未成年人

C、是指不满十六周岁的未成年人

D、是指不满十八周岁的未成年人

答案：B

38.Phishing攻击的中文名字是()

A、网络钓鱼

B、网页挂马

C、跨站脚本攻击

D、外部实体注入攻击

答案：A

39.关于计算机木马、病毒说法正确的是()

A、wrd文档不会感染病毒

B、尽量访问知名网站可以避免感染木马、病毒

C、杀毒软件能防止所有木马及病毒的侵害

D、只要不连接互联网，就能避免受到木马、病毒的侵害

答案：B

40.某单位需要将一批废旧电脑捐献给贫困山区的儿童，为了防止信息泄露，应

采取的最合理的方法是？()

A、将硬盘进行格式化

B、将硬盘进行格式化，并进行3次以上的硬盘痕迹擦除

C、将硬盘进行格式化，并使用专业工具对硬盘进行消磁

D、将硬盘拆除并进行物理破坏

答案：B

41.网络爬虫是搜索引擎的重要组成部分，但网络爬虫也带来了一定的安全风险。

爬虫被非法利用可能带来的危害包括（）

A、核心文本被爬

B、破坏数据和系统

C、影响正常用户的访问

D、以上都是

答案：D

42.某公司在对公司的电脑进行安全检查时发现很多员工的电脑密码设置的都是

123456、aaabbb之类的弱口令，如果想让员工设置的密码必须包含大小写字母、

数字、特殊字符、中的三项，可设置下列哪项（）

A、开启安全设置中的密码必须符合复杂性要求

B、开启安全设置中的账户锁定阈值

C、在安全设置中设置密码长度最小值为6

D、设置密码最长使用期限

答案：A

43.关键信息基础设施的安全保护等级应不低于等保（）

A、一级

B、二级

G三级

D、四级

答案：C

44.开启手机的丢失找回功能能做到()

A、增加手机续航

B、对手机进行定位，必要时可远程对手机数据进行擦除，保护个人隐私安全

C、提高手机性能

D、防止手机被盗

答案:B

45.Windws的第一个版本于()年问世

A、1984

B、1985

C、1986

D、1987

答案：B

46.你需要打印一份报价材料给合作伙伴，可部门打印机缺墨无法打印，以下哪

个选择从安全角度最合理？()

A、给别的部门人员帮忙打印

B、去外面文印室打印

C、联系相关人员尽快雉修后打印

D、微信发给合作伙伴让对方自己打印

答案：C

47.小李在使用电脑时有以下习惯，（1）电脑密码由字母'数字、特殊字符组成

（2）安装防病毒软件（3）定期为电脑中重要的数据做备份（4）离开电脑时不

锁定屏幕，在这些习惯中可能存在安全风险的是（）

A、习惯（1）

B、习惯（4）

G习惯（3）

D、习惯（2）

答案：B

48.在建立信息安全管理体系的过程中，组织的计划必须符合组织的安全目标，

层次化的计划通过层次化的文件体系反映在不同层级的组织机构中执行。安全目

标与方针应可以（）并持续改进,通过持续改进实现组织信息安全的螺旋式上升。

A、检测

B、度量

C、评审

D、优化

答案：B

49.下列关于Windws系统账户安全说法错误的是（）

A、Administratr账户可以更名

B、设置密码策略可以对登录错误达到一定次数的账户进行锁定从而抑制口令暴

力破解攻击

C、在实际使用过程中，需要根据业务和自身需要选择账户的验证方式

D、如果确认不需要Guest账户，可设置安全的口令、对其进行更名并禁用以提

高安全性

答案：B

50.对于信息安全管理，风险评估的方法比起基线的方法，主要的优势在于它确

保（）

A、信息资产被过度保护

B、不考虑资产的价值，基本水平的保护都会被实施

C、对信息资产实施适当水平的保护

D、对所有信息资产保护都投入相同的资源

答案：C

51.等保2.0一级安全区域边界的访问控制，应该对一些内容进行检查，以允许

/拒绝数据包进出，检查的内容不包括（）

A、源端口、目的端口

B、源地址、目的地址

G协议

D、访问控制策略

答案：D

52.通过对邮件标题、附件文件名、邮件附件大小等信息进行分析，由系统将识

别为垃圾邮件的其他电子邮件进行删除，这种过滤方法是O

A、内容过滤

B、黑名单过滤

C、白名单过滤

D、发件人过滤

答案：A

53.下列关于电子邮件说法错误的是()

A、电子邮件是一种信息交换的服务方式

B、用户代理是用户与电子邮件系统的接口

C、用户使用电子邮件客户端软件收发和处理邮件，用户代理就是邮件客户端软

件

D、接收方通过用户代理，使用邮件传输协议(SMTP)将邮件从接收方邮件服务

器下载到客户端进行阅读

答案：D

54.下列关于安全下载，以下做法正确的是()

A、选择斐源丰富的网站下载

B、关闭杀毒软件，提高下载速度

C、下载完成后直接打开下载的文件

D、下载软件时，到软件官方网站或者其他正规软件下载网站下载

答案：D

55.下列在日常生活避免个人信息泄露的做法错误的是()

A、尽量不要注册不知名的网站

B、包含个人信息的资料不要随意丢弃，进行敏感信息销毁后再处置

G不随意使用公共场所中的Wifi,特别未经加密的Wifi

D、废旧电子设备直接卖给二手设备回收商

答案：D

56.下列关于个人隐私保护做法错误的是（）

A、注册如QQ、微博等大厂的社交软件时可放心的详细填写个人信息

B、快递盒、车票、发票等不要随意丢弃

C、不要在各种调查问卷、测试程序、抽奖等网站填入个人信息

D、不要在微博、微信朋友圈等发布的与自身密切相关的信息

答案：A

57.攻击者攻击的过程（）

A、信息收集及分析，实施攻击，设置后门，清除入侵记录

B、信息收集及分析，实施攻击,找到需要的或破坏，清除入侵记录

C、实施攻击，信息收集及分析，设置后门，清除入侵记录

D、实施攻击，信息收集及分析,找到需要的或破坏，清除入侵记录

答案：A

58.《个人信息和重要数据出境安全评估办法（征求意见稿）》中，要求建立个

人信息出境记录并且至少保存（）年。

A、3年

B、4年

G5年

D、6年

答案：C

59.某公司的网络管理员在数据库中预留了某个程序，使得他在被解雇时执行该

程序并删除公司整个数据库，此类程序属于（）

A、木马

B、蠕虫

C、逻辑炸弹

D、僵尸网络

答案：C

60.电子邮件面临的威胁、包括O

A、邮件地址欺骗

B、邮件病毒

C、邮件炸弹

D、以上都是

答案：D

61.下列有关代理服务器说法错误的是()

A、代理服务器访问模式是浏览器不直接向网站服务器请求数据，而是将请求先

发送给代理服务器

B、ExchangeServer是代理服务器软件

C、如果对代理服务器的安全性无法保证，应尽量避免使用

D、在代理模式下，用户的访问信息都需要通过代理服务器进行处理

答案：B

62.有效的应对攻击者进行痕迹清除的方法，首先是要确保攻击者的攻击过程被

记录在日志中，通常采取的方法是对日志进行设置，下面正确的是()

A、记录尽可能多的信息

B、将日志的保留时间设置更长

C、日志的存储空间设置更大

D、上面都对

答案：D

63.根据《信息安全等级保护管理办法》，()应当依照相关规范和标准督促、

检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保

护工作。

A、公安机关

B、国家保密工作部门

C、国家密码管理部门

D、信息系统的主管部门

答案：D

64.刘某在自家的小汽车上安装伪基站设备，长期不定时的在各人口密集区利用

小汽车上的伪基站强行向不特定用户手机发送虚假广告信息，干扰公用电信网络

信号，局部阻断公众移动通信网络信号，陈某的行为属于()

A、民事侵权行为

B、违法犯罪行为

C、行政违法行为

D、违反道德的行为

答案：B

65.特洛伊木马程序是一种秘密潜伏的恶意程序，它不能做什么()

A、上传和下载文件

B、特洛伊木马有自我复制能力

C、窃取你的密码

D、远程控制

答案：B

66.小李的笔记本电脑中存储着大量的隐私数据，为防止电脑丢失、被盗等物理

接触方式导致数据泄露，‘李想采用内置在windws系统中的数据加密保护机制对

驱动器进行加密，下列选项中最适合小李的加密方式是（）

A、EFS

BiBitLcker

C、SM7

D、MD5

答案：B

67.攻击者通过邮箱和短信群发大量包含“中奖”、“退税"、“兑换积分”等

字眼的消息诱骗受害者点击槌接后输入个人信息的攻击方式属于（）

A、XSS攻击

B、CSRF攻击

C、网络钓鱼

D、网页挂马

答案：C

68.下列哪种安全措施适用于移动设备丢失、被盗O

A、设置SIM卡锁

B、启用过滤未知发件人功能

C、数据粉碎

D、取消APP不需要的权限

答案：A

69.网络空间作为新兴的第（）空间，已经成为新的国家竞争领域，威胁来源从

个人上升到犯罪组织，甚至上升到国家力量的层面。

A、2

B、3

C、4

D、5

答案：D

70.隶属于中国信息安全测评中心的中国国家信息安全漏洞库的英文缩写是（）

A、NVD

B、CNVD

GCNCVE

D、CNNVD

答案：D

71.安全事件管理和应急响应，以下说法错误的是（）

A、应急响应是指组织为了应对突发或重大信息安全事件的发生所做的准备，以

及在事件发生后所采取的措施

B、应急响应方法，将应急响应管理过程分为遏制、根除、处置、恢复、报告和

跟踪6个阶段

C、对信息安全事件的分级主要参考信息系统的重要程度、系统损失和社会影响

三方面因素

D、根据信息安全事件的分级参考要素，可将信息安全事件划分为4个级别：特

别重大事件（I级）、重大事件（II级）、较大事件（III级）和一般事件（IV

级）

答案：B

72.小李使用的电脑是windws系统，朋友建议他不要把重要文件放在C盘，下列

观点最合理的是（）

A、这种说法是错误的，重要的文件应该放在C盘才对

B、C盘是用来安装操作系统的，不能存放其他的东西

C、C盘会定期清空清空，会导致数据丢失

D、如果系统崩溃重装电脑时需要清空C盘，如果没有及时备份会导致数据丢失

答案：D

73.下列描述错误的是（）

A、Ckie是浏览器使用的文本格式的小文件，用于存储用户信息和用户偏好等信

息

B、设置浏览器的“不跟踪”请求，浏览器在访问网站时告诉网站不希望被跟踪，

这个“不跟踪”请求是否执行的决定权在浏览器

C、如果不是必须，网站使用位置信息、操纵摄像头、弹出式窗口等权限应尽量

避免允许网站使用

D、对于保存的口令信息，不建议同步到云端保存

答案：B

74.在windws系统中，为了显示隐藏文件应该首先选用的菜单是（）

A、查看

B、编辑

C、文件

D、属性

答案：A

75.根据密码学中著名的柯克霍夫准则，目前广泛使用的密码体系安全性依赖于()

A、密钥的安全

B、算法的复杂度

C、对加密系统的保密

D、对密码算法的保密

答案：A

76.对windws系统内置防火墙自定义规则描述正确的是()

A、可分别设置出站规则、入站规则和连接安全规则

B、仅可设置出站规则和入站规则

C、仅可设置入站规则和连接安全规则

D、仅可设置出站规则和连接安全规则

答案：A

77.在信息收集与分析中，攻击者最轻易获取的信息的方式是()

A、搜索引擎、媒体广告等

B、向同行了解

C、亲自到攻击点附近

D、收买信息系统相关人员

答案：A

78.下列关于xss（跨站脚本攻击）的说法错误的是。

A、跨站脚本攻击英文为CrssSiteScripting

B、跨站脚本攻击开发人员对用户提交的数据没有进行严格的控制，使得用户可

以提交脚本到网页上

C、xss可以提交的脚本只有JavaScript

D、跨站脚本攻击是目前互联网常见的的面向浏览器的攻击方式

答案:C

79.对于以下列举的四种个人信息，其中不属于个人隐私的是哪个（）

A、家庭住址

B、手机号码

C、身份证号

D、单位的名称

答案：D

80.如果想禁止旧密码连续重新使用应该开启哪个策略（）

A、重置账户锁定计数器

B、审核策略更改

C、审核账户管理

D、强制密码历史

答案：D

81.如果您住的小区外有人派发小礼品，只要登记一下手机号码就可用免费领取,

以下哪个做法最恰当？O

A、扭送公安机关

B、不予理会，会泄露自己个人信息

C、免费的不要白不要，填写手机号码领一个

D、这是好事，我帮朋友也填了领一个

答案：B

82.口令安全不取决于（）

A、口令的更换周期

B、口令复杂度

C、口令是否合理存放

D、口令是否便于记忆

答案：D

83.下面不属于网络安全法第二章网络安全支持与促进内容的是（）

A、开展经常性网络安全宣传教育

B、在中华人民共和国境内建设、运营、雄护和使用网络，以及网络安全的监督

管理

C、统筹规划，扶持网络安全产业

D、推动社会化网络安全服务体系建设

答案：B

84.应急响应通常分为准备、事件检测、抑制、根除、恢复、报告等阶段，下列

选项中关于网络安全应急响应活动的说法中错误的是（）

A、网络应急响应的活动应该主要包括两个方面：第一是未雨绸缪，第二是亡羊

补牢

B、事前的计划和准备为事件发生后的响应动作提供了指导框架

C、事后的响应可能发现事前计划的不足，从而吸取教训I,进一步完善安全计划

D、目前网络安全应急响应相关工作满足实际工作需求，网络安全应急标准体系

已经完善

答案：D

85.Web（WrldWideWeb）也称为（），是一种基于（）和HTTP的互联网上的网络

服务，为用户信息浏览提供（）、易于访问的交互界面，通过超级槌接将互联网

上的资源组织成相互关联的O。

A、超文本、图形化、万维网、网状结构

B、万雒网、超文本、图形化、网状结构

C、万雒网、图形化、超文本、网状结构

D、超文本'万雒网、图形化、网状结构

答案：B

86.等级保护2.0中，等级保护对象受到破坏时所侵害的客体包括以下（）

A、公民、法人和其他组织的合法权益

B、社会秩序、公共利益

C、国家安全

D、以上都对

答案：D

87.常见邮件仿冒方式有哪些（）

A、仿冒发送地址

B、仿冒发件人

C、仿冒显ZF名称

D、以上都是

答案：D

88.2008年，《国家网络安全综合倡议（CNCI）》发布。CNCI计划建立三道防线,

下面不属于三道防线内容的是（）

A、减少漏洞和隐患，预防入侵

B、全面应对各类威胁，增强反应能力，加强供应槌安全抵御各种威胁

C、强化未来安全环境，增强研究、开发和教育，投资先进技术

D、充分发挥国家'企业和个人的积极性，不能忽视任何一方的作用

答案：D

89.关于XSS分类说法错误的是O

A、反射型XSS

B、存储型XSS

G字符型XSS

D、DM型XSS

答案:C

90.有关危害国家秘密安全的行为的法律责任，下面说法正确的是（）

A、违反保密规定行为只要发生，无论是否产生泄密实际后果，都要依法追究责

任

B、非法获取国家秘密，不会构成刑事犯罪，不需承担刑事责任

C、过失泄露国家秘密，不会构成刑事犯罪，不需承担刑事责任

D、承担了刑事责任，无需再承担行政责任和/或其他处分

答案：A

91.弱口令一直是威胁网络安全的一个重大问题，以下对弱口令的描述正确的是

A、容易被破解从而威胁用户计算机安全

B、仅包含简单数字和字母的口令

C、连续的某个字符或重复某些字符的组合

D、以上都对

答案：D

92.以下属于2017年WASP十大安全漏洞的是（）

A、SQL注入

B、不安全的反序列化

C、敏感信息泄露

D、以上都是

答案：D

93.Windws系统安装完成后，除了安装过程中用户自建的账户外，默认会生成在

两个内置的账户，下列哪个账户是内置账户（）

A、MyAccunt

B、Rt

C、Guest

D、admin

答案：c

94.为了保证系统日志可靠有效，以下哪一项不是日志必需具备的特征（）

A、统一而精确地的时间

B、全面覆盖系统费产

C、包括访问源、访问目标和访问活动等重要信息

D、可以让系统的所有用户方便的读取

答案：D

95.计算机病毒会破坏计算机数据或功能，并能寄生于其他程序，其中被寄生的

程序称为（）

A、更新程序

B、不可执行程序

C、宿主程序

D、修改程序

答案：C

96.攻击者进行系统入侵的最后一步是清除攻击痕迹，攻击痕迹包括攻击过程中

产生的各类（）

A、系统日志

B、应用日志

C、攻击过程中生成的临时文件和临时账户等

D、以上都对

答案：D

97.发生信息安全紧急事件时，可采取（）措施。

A、事件分析

B、抑制、消除和恢复

C、切断不稳定因素

D、以上采取的措施都对

答案：D

98.下列哪个是windws系统开放的默认共享()

Ax1$

B、IPC$

C、CD$

D、6!$

答案:B

99.欺骗是指伪造可信身份，并向目标系统发起攻击的行为。例如TCP/IP协议连

接时主要认证目的IP地址，而源地址是可以伪造的。常见的欺骗方式有()

A、IP欺骗(IPspf)

B、ARP欺骗和DNS欺骗

GTCP会话劫持(TCPHijack)

D、以上都对

答案：D

100.国际上，信息安全标准化工作兴起于()

A、二十世纪50年代中期

B、二十世纪60年代中期

C、二十世纪70年代中期

D、二十世纪80年代初期

答案：C

101.安全的安装是保障Windws终端安全的基础，对于特定的计算机系统或者由

于故障等原因需要进行系统重新安装时，可以考虑从安装做起，打造一个安全的

Windws终端系统，下列关于安全安装说法错误的是()

A、选择安装的操作系统时应安装企业版以获取更多功能，无需考虑计算机的应

用场景

B、系统安装完成后，应首先进行系统的安全更新，确保系统不存在已知的安全

漏洞

C、安全更新可通过互联网直接连接到微软服务器进行

D、安装过程中用户自建的账户应设置安全的密码

答案：A

102.()由省、自治区、直辖市标准化行政主管部门制定，并报国务院标准化行

政主管部门和国务院有关行政主管部门备案。

A、地方标准

B、国家标准

C、行业标准

D、区域标准

答案：A

103.渗透测试大致可分为信息收集、漏洞发现和()三个阶段

A、目标确立

B、威胁、建模

C、漏洞验证

D、漏洞利用

答案：D

104.漏洞产生的应用环境原因理解错误的是（）

A、互联网的发展使软件运行环境从传统的封闭、静态和可控变为开放、动态和

难控

B、软件安全开发人员水平不够

C、攻防信息不对称性进一步增强，攻易守难的矛盾进一步凸显

D、强大经济利益推动漏洞挖掘产业化方向发展

答案：B

105.安全测试用于提高软件系统的安全性，以下关于安全测试的描述中错误的是

：）

A、黑盒测试主要针对程序所展现给用户的功能

B、白盒测试是针对被测单元内部是如何工作进行的测试

C、灰盒测试是介于黑盒测试和白盒测试之间的一种测试

D、黑盒测试可以完全取代白盒测试

答案:D

106.向接收者的邮件地址发送大量的电子邮件，消耗接收者的邮箱空间，最终因

空间不足而无法接收新的邮件，导致其他用户发送的电子邮件被丢失或退回，这

种攻击方式是（）

A、邮件地址欺骗

B、口令爆破

C、邮件病毒

D、邮件炸弹

答案：D

107.在建立信息安全管理体系时，组织应确定管理范围，对管理范围理解正确的

是（）

A、组织的全部

B、也可以是组织的一个系统

C、也可以是一个部门或者一个人

D、以上都正确

答案：D

108.（）是目前信息泄露的主要途径

A、公开收集

B、非法窃取

C、合法收集

D、无意泄露

答案：B

109.下列哪个选项不属于EFS加密的优点（）

A、内置在Windws系统中

B、对用户透明

C、对于NTFS卷上的文件和数据，都可以直接作加密保存

D、解密无需依赖密钥

答案：D

110.下列说法错误的是O

A、数据是信息化而产生的结果，也是信息化的核心要素

B、不同类型的企业对数据安全的重视程度相同

C、网络安全法在第四章网络信息安全中对个人的信息保护提出了明确的要求

D、数据的价值已经得到高度的认可

答案：B

111.ClA指信息安全的三大要素，其中C、I、A依次代表。

A、机密性、完整性、可用性

B、可控性、准确性、可靠性

C、机密性、真实性、可用性

D、机密性、不可否认性、可用性

答案：A

112.关于信息安全，以下说法错误的是()

A、离开办公桌面随手将电脑锁屏

B、重要数据经常备份，并进行加密处理

C、避免将秘密以上文档随意放在办公桌上

D、共享文件夹向所有用户赋予读写执行权限

答案：D

113.数据粉碎的原理是()

A、反复覆盖

B、加密存储区域

C、物理销毁

D、破坏存储区域

答案：A

114.下面不属于Unix操作系统日志文件的是()

Axwtirp/wtirpx

B、SecEvent.Evt

C、utirp/utirpx

DxLastIg

答案：B

115.信息是一种资产，与其他重要的业务费产一样，对组织业务必不可少，因此

需要得到适当的保护。信息的价值一般从()三个层面来看待。

A、企业视角'用户视角、攻击者视角

B、国家视角、企业视角、攻击者视角

C、企业视角、服务视角、用户视角

D、国际视角、国家视角、个人视角

答案:A

116.IS/IEC27002申规定的控制措施被认为是适用于大多数组织的最佳实践，并

且很容易适应各种规模和复杂性的组织。在IS/IEC27002：2013中，将控制措施

划分为()个安全控制章节。

A、11

B、12

C、13

D、14

答案:D

117.《中华人民共和国网络安全法》正式实施的日期是()

A、2016年11月7日

B、2016年6月1日

C、2017年6月1日

D、2016年10月31日

答案：C

118.下列关于用户口令说法错误的是()

A、口令不能设置为空

B、口令长度越长，安全性越高

C、复杂口令安全性足够高，不需要定期修改

D、口令认证是最常见的认证机制

答案：C

119.“会话侦听和劫持技术”是属于()的技术

A、密码分析技术

B、协议漏洞渗透

C、应用漏洞分析与渗透

D、DDS攻击

答案：B

120.下列关于CSRF描述最准确的是。

A、是一种以用户身份在当前已经登录的Web应用程序上执行非用户本意操作的

攻击方法

B、攻击者嵌入恶意脚本代码到正常用户会访问到的页面中，当用户访问该页面

时,则可导致嵌入的恶意脚本代码的执行，从而达到恶意攻击用户的目的

C、攻击者构造携带木马程序的网页，利用系统漏洞、浏览器漏洞或用户缺乏安

全意识等问题将木马下载到用户的系统中并执行

D、攻击者利用欺骗性的电子邮件或其他方式将用户引导到伪造的Web页面来实

施网络诈骗的一种攻击方式

答案:A

121.从安全方面考虑，下列做法不正确的是（）

A、为操作系统设置密码

B、每天的工作结束后，将笔记本电脑妥善保管，如锁入文件柜

C、设置电脑在接通电源的情况下永不锁屏

D、离开电脑时锁定屏幕

答案：C

122.在《IS/IEC27001:2013信息安全管理体系要求》中定义了PDCA过程方法的

四个阶段主要工作：规划与建立、实施与运行、监视与评审'（）

A、雒持与改进

B、雒持与报告

C、报告与监督

D、监督与报告

答案：A

123.描述从源代码层修复或避免漏洞产生的方法属于修复措施类的（）

A、检测特征

B、防范操作

G补丁信息

D、安全编程

答案：D

124.信息安全管理体系文档层次化的文件结构是构成管理体系的重要内容之一,

通常文件分为四个层级，下面属于三级文件的是（）

A、方针'政策

B、制度、流程、规范

C、法律、政策导向、制度

D、使用手册'操作指南、作业指导书

答案：D

125.网络攻击者经常在被侵入的计算机内留下后门，后门可以作什么（）

A、方便下次直接进入

B、监视用户所有行为、隐私

C、控制用户主机

D、以上都对

答案:D

126.（）是攻击者利用欺骗性的电子邮件或其他方式将用户引导到伪造的Web

页面来实施网络诈骗的一种攻击方式。

A、网页挂马

B、跨站脚本攻击

C、跨站请求伪造

D、网络钓鱼

答案：D

127.根据掌握的资源和具备的能力，我国面临的信息安全威胁错误的是()

A、黑客威胁

B、组织威胁

C、个人威胁

D、国家威胁

答案：A

128.攻击者信息收集的对象包括()

A、目标系统的IT相关资料，如域名、网络拓扑结构、操作系统的类型和版本、

应用软件及相关脆弱性等；

B、目标系统的组织相关资料，如组织架构及关联组织、地理位置细节、电话号

码'邮件等联系方式、近期重大事件、员工简历；

C、其他令攻击者感兴趣的任何信息，例如企业内部的部门或重要人员的独特称

呼'目标组织机构的供应商变更等。

D、以上都对

答案:D

129.Win+R打开运行后输入下列哪个选项可以打开组策略编辑器()

Axservices,msc

Bxregedit

C、gpedit.msc

D、magnify

答案:C

130.以下那个法律被认为是我国网络空间安全的基本法()

A、中华人民共和国国家安全法

B、中华人民共和国网络安全法

C、中华人民共和国密码法

D、中华人民共和国电子签名法

答案：B

131.渗透测试与恶意入侵的区别是()

A、采用不同思维方式

B、渗透测试过程可控

C、都是合法的

D、都会对系统造成破坏

答案：B

132.以下对跨站脚本攻击的解释最准确的一项是()

A、通过将精心构造的代码注入到网页中，并由浏览器解释运行这段代码，以达

到恶意攻击的效果

B、构造精巧的数据库查询语句对数据库进行非法访问

C、以用户身份在当前已经登录的Web应用程序上执行非用户本意操作的攻击方

法

D、一种DDS攻击

答案：A

133.常见的网页挂马方式不包括()

A、利用操作系统、浏览器或者浏览器组件的漏洞

B、伪装成页面的正常元素

C、利用浏览器脚本运行的漏洞自动下载网页上的木马

D、通过邮件发送槌接

答案：D

134.信息系统在什么阶段要评估风险（）0

A、只在运行维护阶段进行风险评估，以识别系统面临的不断变化的风险和脆弱

性,从而确定安全措施的有效性，确保安全目标得以实现

B、只在规划设计阶段进行风险评估，以确定信息系统的安全目标

C、只在建设验收阶段进行风险评估，以确定系统的安全目标达到与否

D、信息系统在其生命周期的各个阶段都要进行风险评估

答案：C

135.每谨双十一购物狂欢节，网民们都会在淘宝网上抢购东西，当网民抢购商品

高峰期到来时，就经常出现网站崩溃'停机等情况，这实际上可以看作是全国网

民通过手动点击淘宝网址引起的一次大规模（）攻击

A、XSS

B、CSRF

GSQL注入

D、DDS

答案：D

136.网络嗅探技术是一种（）技术

A、物理层

B、数据槌路层

C、网络层

D、应用层

答案：B

137.计算机系统一般具有相应的日志记录系统，并且其日志文件记录具有许多作

用，以下关于日志文件记录功能的描述不正确的是O

A、可以提供监控系统费源

B、可以审计用户行为

C、不能为计算机犯罪提供证据来源

D、可以确定入侵行为的范围

答案：C

138.下列关于windws系统备份的说法哪个是错误的()

A、需要在确保系统稳定可靠的情况下对系统进行备份

B、需要专业的第三方软件才能进行

C、可以在系统刚配置好时进行备份

D、如果硬盘空间较为宽松，可以设置定期产生一个备份

答案:B

139.()是由于组织机构或个人没有意识到数据的重要性，或者对攻击者进行数据

收集的实现方式缺乏了解，在数据发布上缺乏足够的安全防护及安全意识，从而

导致数据泄露。

A、公开收集

B、非法窃取

C、合法收集

D、无意泄露

答案：D

140.以下哪个管理共享是不存在的（）

A、C$

B、D$

GADMINS

D、1$

答案:D

141.信息系统被破坏后，会对国家安全造成一般损害的，应定级为（）

A、一级

B、二级

G三级

D、四级

答案：C

142.关于Windws系统的安全设置，下列描述错误的是（）

A、账户策略用于保护账户的安全性，避免弱口令以应对口令暴力破解

B、审核策略的作用是通过策略设置，实现对用户操作进行审核从而形成安全日

志

C、安全选项在实际的使用中，无需根据业务需要进行相应设置，直接采用默认

设置即可

D、用户权限分配对一些敏感或者风险操作的用户权限进行了限制

答案:C

143.下列哪个选项不属于移动智能终端面临的主要威胁（）

A、伪基站

B、设备丢失、被盗

C、系统漏洞

D、DLL注入

答案：D

144.网络嗅探的目的是（）

A、随时掌握网络的实际情况

B、查找网络漏洞

C、检测网络性能

D、以上都是

答案：D

145.可以获取远程主机操作系统类型的工具是（）

AxNmap

B、Net

C、Whisker

D、Nbstat

答案：A

146.HTTPS是以安全为目标的HTTP通道，简单讲是HTTP的安全版。HTTPS的安

全基础是O

A、TELNET

B、FTP

C、SSL

D、AES

答案：C

147.在windws系统的命令提示符界面下用来复制文件的命令是。

A、cpy

B、mve

Cxexit

D、date

答案：A

148.以下哪些是需要在信息安全策略中进行描述的（）

A、组织信息系统安全架构

B、信息安全工作的基本原则

C、组织信息安全技术参数

D、组织信息安全实施手段

答案：B

149.下列不属于良好的web浏览安全意识的是（）

A、不明槌接访问要先确认

B、关注网站备案信息

C、慎用密码自动保存功能

D、所有的网站设置相同的登录口令

答案：D

150.下面哪一项最好地描述了风险分析的目的（）

A、识别用于保护资产的责任义务和流程

B、识别资产、脆弱性并计算潜在的风险

C、为决策者提供全面的信息，以做出客观、科学的决策

D、针对影响项目的关键因素，制定风险对策，降低风险的不利影响

答案：B

151.信息安全管理体系（ISMS）的计划，是建立在风险评估基础之上，只有在组

织风险不可接受的时候才需要建立控制计划。风险评估是客观，只有客观的风险

评估才能为组织安全战略提供最具（）的控制。

A、费效比

B、有效性

C、有价值

D、有竞争力

答案：A

152.作为国家注册信息安全专业人员应该遵循其应有的道德准则，中国信息安全

测评中心为CISP持证人员设定了职业道德准则。下面选项正确的是（）

A、自觉维护国家信息安全，拒绝并抵制泄露国家秘密和破坏国家信息基础设施

的行为

B、自觉维护网络社会安全，拒绝并抵制通过计算机网络系统谋取非法利益和破

坏社会和谐的行为

C、自觉雒护公众信息安全，拒绝并抵制通过计算机网络系统侵犯公众合法权益

和泄露个人隐私的行为

D、以上都对

答案：D

153.下列说法错误的是()

A、在Windws系统中，通常册！I除文件有两种方式，使用CMD命令控制台中的

'delete”命令删除文件，或者使用图形的交互界面删除

B、使用“delete”命令删除后数据无法恢复

C、目前对于重要数据的安全删除(也称为文件粉碎)方式，是通过反复的对文

件存储的硬盘区块进行覆盖写入垃圾数据

D、一些机密性要求较高的计算机系统需要考虑硬销毁

答案：B

154.关于电子邮件安全威胁与防护，下列描述错误的是()

A、SMTP协议的升级增加了发送方身份验证的功能，彻底抑制了邮件地址欺骗的

泛滥

B、攻击者可能通过自建SMTP服务器来实现发送伪造地址的邮件

C、邮件服务器如果具备反向认证机制，可通过对邮件来源IP地址进行检查、反

向DNS查询等方式，验证邮件发送方的真伪

D、早期的SMTP协议缺乏对发送者的身份验证机制，发送者可以随意构造发送电

子邮件的发送地址'显示名称等信息

答案：A

155.信息安全管理体系文档层次化中，其中第四级文件是整个组织的底层基础性

文件，每个文件理论上都应该形成相应的记录，因此四级文件也是我们通常所说

的审核证据。下面对四级文件理解错误的是()

A、四级文件是对整个组织所形成的检查列表、表单、日志等记录性文件建立，

并归类

B、所有文件必需具有连续性、可以追溯

C、业务表单及记录，必须贯穿整个组织业务的始终，形成一个闭环

D、重要业务表单及记录才必须贯穿整个组织业务的始终，形成一个闭环

答案：D

156.一种可以驻留在对方服务器系统中的程序指的是()

A、后门

B、跳板

C、木马

D、终端服务系统

答案：C

157.“在因特网上没有人知道对方是一个人还是一条狗”，这个故事最能说明()

A、身份认证的重要性和迫切性

B、网络上所有的活动都是不可见的

C、网络应用中存在不严肃性

D、计算机网络是一个虚拟的世界

答案：A

158.一个安全的口令应该具有足够的复杂度，下列选项中()具有最好的复杂度

A、Mrrisn

B、zhangsan1999

C、12785563

D、Wm.S*F2m5

答案：D

159.对于WiFi的安全使用下列哪种说法是正确的()

A、如果WiFi接入时需要密码那么该WiFi一定是安全可信的

B、可以通过WiFi名称判断是否可信

C、在进行敏感数据传输时一定要确保WiFi可靠，必要时可使用流量传输

D、所有WiFi都是可信的

答案：C

160.以下关于管理共享的说法哪个是错误的()

A、默认情况下，Windws会自动创建特殊隐藏的共享资源

B、IPC$共享斐源是进程间通信的命名管道，用于传递通信信息，无法被删除

C、管理共享是系统设置的，无法取消

D、netshare命令用来管理共享资源

答案：C

161.我国的国家网络空间安全战略主要强调了()

A、维护网络空间主权

B、和平利用网络空间、依法治理网络空间

C、统筹网络安全与发展

D、以上都对

答案：D

162.下列防御CSRF攻击不正确的是()

A、检查Referer报头

B、添加验证码

G添加tken

D、更换浏览器

答案：D

163.在对windws系统进行安全配置时，下面不可采用的安全措施是（）

A、关闭注册表远程访问

B、为系统内置账户更名

C、设置账户锁定阈值为0

D、设置密码长度最小值

答案：C

164.在信息安全管理体系建设中，信息系统与安全之间的关系理解正确的是（）

A、同步规划、同步建设、同步使用

B、可以不同步规划和同步建设，但要同步使用

C、要同步规划，但可以不同步建设和使用

D、以上说法都错

答案：A

165.下列哪个选项不属于Windws系统的服务启动策略（）

A、自动

B、手动

C、禁用

D、重启

答案：D

166.作为全方位的、整体的信息安全防范体系是分层次的，以下关于企业信息系

统层次划分的描述，理解错误的是（）

A、越接近内部的网络安全要求等级越低，越接近外部的网络安全要求等级越高

B、业务专用网是企业为了特殊工作需要而建造的专用网络

C、互联网区域用于日常的互联网业务，安全防护等级要求最低

D、企业内网是企业的核心网络，拥有最高的安全防护等级

答案:A

167.下列选项不属于网络钓鱼的是()

A、发送带有中奖信息的邮件，诱导被攻击者输入银行账号和密码等信息

B、注册和百度非常相似的域名，制作和百度相同的页面后引诱受害者访问

C、通过跑字典得到了被攻击者的密码

D、以银行升级为诱饵，欺骗客户点击伪造的银行网站进行升级

答案：C

168.()是信息系统安全防护体系中最不稳定也是最脆弱的环节

A、员工

B、技术

C、管理

D、以上都错

答案：A

169.以下关于网络钓鱼的说法中，不正确的是()

A、网络钓鱼属于社会工程学攻击

B、网络钓鱼融合了伪装'欺骗等多种攻击方式

C、网络钓鱼攻击和web服务没有关系

D、将被攻击者引诱到一个钓鱼网站是典型的网络钓鱼

答案：C

170.在安全评估过程中，采取()手段，可以模拟黑客入侵过程，检测信息系统

安全的脆弱性。

A、问卷调查

B、渗透测试

C、人员访谈

D、手工检查

答案：B

171.关于windws内置的防病毒软件，说法错误的是()

A、系统内置，提供对系统进行实时监控、计算机病毒的检测和查杀、文件夹的

访间限制等多种功能

B、系统内置，可以卸载

C、默认情况下，除了勒索软件防护功能为不启用外，其他都是启用

D、实时防护功能关闭一段时间后，被关闭的实时保护功能会被系统自动开启

答案:B

172.下列设备中，是网络与网络连接的桥梁，是因特网中最重要的设备的是()

A、中继器

B、集线器

C、路由器

D、服务器

答案：D

173.您突然收到一个自称公安局的人员，说您牵涉到一桩案件，要求提供身份证

及银行账户等信息以证明自己清白，以下哪个做法是正确的？（）

A、对方是公安局的，立即提供

B、无法证明电话那头是否公安部门人员，可以拒绝提供

C、要求对方报出警号后提供

D、要求对方提供一个回拨号码，回拨后提供

答案:B

174.漏洞是在硬件'软件、协议的具体实现或系统安全策略上存在的缺陷。以下

属于常见的应用软件安全漏洞的是（）

A、文件上传漏洞

B、跨站脚本漏洞

GSQL注入漏洞

D、以上都是

答案：D

175.下列哪个选项是错误的（）

A、移动智能终端的硬件信息属于用户个人数据

B、移动智能终端不是用户身份验证的主要方式

C、伪基站是移动智能终端面临的安全威胁之一

D、移动智能终端中安装的应用软件的操作记录属于需要保护的移动智能终端数

据

答案：B

176.在windws系统中，使用win廿快捷键打开运行后输入下列哪个选项可以打

开命令提示符窗口()

A、cmd

B、gpedit.msc

Cxservices,msc

Dxntepad

答案:A

177.在windws系统的安全设置密码策略设置中，一般不建议开启的设置是。

A、密码必须符合复杂性要求

B、密码长度最小值

C、强制密码历史

D、用可还原的加密来储存密码

答案：D

178.()是攻击者构造携带木马程序的网页，该网页在被浏览器访问时，利用系

统漏洞、浏览器漏洞或用户缺乏安全意识等问题，将木马下载到用户的系统中并

执行，从而实现对用户的系统进行攻击。

A、网页挂马

B、跨站脚本攻击

C、跨站请求伪造

D、网络钓鱼

答案:A

179.注入类漏洞是一种常见的安全漏洞，其中SQL注入漏洞是一种危害性较大的

注入类漏洞。以下不属于SQL注入攻击流程的是（）

A、发送大量的数据报文导致系统死机

B、探测SQL注入点

C、判断数据库类型

D、提升权限进一步攻击

答案:A

180.在某网站的留言板处存在XSS漏洞,攻击者是交恶意JavaScript脚本后被

存在了数据库当中，每当有用户浏览留言板页面时就会受到该恶意脚本的攻击,

本案例所描述的XSS攻击属于（）

A、反射型

B、存储型

C、字符型

D、搜索型

答案:B

181.下列不属于电子邮件防护技术的是（）

A、邮件过滤

B、邮件加密

C、邮件炸弹

D、邮件签名

答案:C

182.下面哪种方式不可以发现扫描痕迹（）

A、查看系统日志

B、查看web日志

C、查看注册表

D、查看IDS记录

答案：C

183.关于windws系统补丁，下列说法最合理的是()

A、安装windws系统补丁会影响系统稳定性，应尽量避免安装

B、安装windws系统补丁会影响电脑性能，所以无需安装

C、应该安装最新的操作系统补丁。安装补丁时，尽量先对系统进行兼容性测试

D、windws系统补丁修复了漏洞，只要看到补丁就应该立即安装

答案：C

184.信息不泄漏给非授权的个人'实体或过程，体现了信息安全哪一个性质()

A、完整性

B、可用性

C、保密性

D、不可否认性

答案：C

185.为什么需要进行数据备份()

A、确保数据的安全性

B、防止由于操作失误或硬件损坏等原因导致数据丢失

C、发生问题后可及时恢复

D、以上都对

答案：D

186.信息安全已经成为社会的焦点问题，以下不属于信息系统安全运营原则的是

：)

A、标准化与一致性原则

B、绝对安全原则

C、统筹规划与分步实施原则

D、同步规划建设原则

答案：B

187.关于密码安全的说法，以下正确的是()

A、11位的密码一定比8位的安全

B、容易被记住的密码一定不安全

C、任何密码在理论上都有被破解的可能

D、密码位数越多越好

答案：C

188.下面哪些不属于电子邮件安全使用常识()

A、电子邮件账号使用安全的口令

B、使用易于记忆的口令避免忘记，例如123456

C、邮箱密码和其他应用的密码不同

D、不在陌生终端上登录自己的邮箱

答案：B

189.关于恶意代码，网页恶意代码通常利用()来实现植入并进行攻击。

A、U盘工具

B、口令攻击

C、拒绝服务攻击

D、浏览器的漏洞

答案：D

190.组织首先必须能够认识到信息安全对组织所形成的必要性，信息安全关联着

组织的业务命脉，在现代高度依赖信息化发展的产业销中，没有信息安全就没有

成功的企业。下面不会对组织业务产生致命影响的是（）

A、知识产权盗窃

B、用户敏感信息泄露

C、组织信息系统遭到勒索或拒绝服务攻击

D、重要技术员辞职

答案：D

191.企业按照IS027001标准建立信息安全管理体系过程中，对关键成功因素描

述错误的是（）

A、来自所有管理层级、特别是最高管理者的可见支持和承诺

B、有效的信息安全意识、培训和教育计划

C、只需要高层管理员和IT部门的人员参与建设信息安全管理体系，不需要全体

员工参与

D、所有管理者、员工及其他相关方理解企业信息安全策略、指南与标准等当中

他们的信息安全义务，并遵照执行

答案：C

192.现今，网络攻击与病毒、蠕虫程序越来越有结合的趋势，病毒'蠕虫的复制

传播特点使得攻击程序如虎添翼，这体现了网络攻击的下列哪种发展趋势（）

A、网络攻击人群的大众化

B、网络攻击的野蛮化

C、网络攻击的智能化

D、网络攻击的协同化

答案:C

193.对于一个组织机构来说，资产包括（）

A、该组织机构所拥有的座椅板凳以及办公场所

B、该组织机构所拥有的信息系统

C、该组织机构所拥有的著作权

D、以上全部

答案：D

194.下列关于网页挂马的说法错误的是（）

A、可能会盗取个人信息

B、可能会对计算机系统进行破坏

C、网页挂马不会自动下载

D、尽量访问官方网站能降低感染木马的概率

答案：C

195.后门与其它恶意代码比较而言是有区别的，下列描述中正确的是（）

A、后门是一个完整的程序软件

B、后门具有“传染性”

C、后门和木马类似，但隐蔽性不如木马

D、后门的主要功能是隐藏在系统中搜集信息或便于攻击者连接使用

答案：D

196.网页病毒的主要传播途径是()

A、文件交换

B、网页浏览

C、邮件

D、光盘

答案：B

197.下列防御XSS攻击的方式可取的是()

A、设置安全的密码

B、更换浏览器

C、对用户输入的内容进行严格过滤

D、为网站添加验证码

答案:C

198.CSRF攻击的中文名称是()

A、服务端请求伪造

B、跨站请求伪造

C、网络钓鱼

D、网页挂马

答案:B

199.下列关于即时通信应用安全说法错误的是()

A、经过多年的发展，即时通信应用信息系统自身已经不存在安全风险

B、即时通信有庞大的用户数量，并且每个用户都有大量的联系人清单，这些都

为蠕虫病毒传播提供了很好的基础

C、攻击者可能利用即时通信破坏防御系统

D、可能利用即时通信进行网络欺诈

答案：A

200.作为国家注册信息安全专业人员应该遵循其应有的道德准则，下面对“诚实

守信，遵纪守法”的说法错误的是（）

A、不通过计算机网络系统进行造谣、欺诈'诽谤、弄虚作假等违反诚信原则的

行为

B、利用日常工作、学术交流等各种方式保持和提升信息安全实践能力

C、不利用个人的信息安全技术能力实施或组织各种违法犯罪行为

D、不在公众网络传播反动、暴力'黄色、低俗信息及非法软件

答案：B

201.信息安全管理体系文档层次化的文件结构是构成管理体系的重要内容之一,

通常文件分为四个层级，下面属于四级文件的是（）

A、制度、流程、使用手册、规范

B、标准、制度、流程、检查表

C、标准、制度、流程、检查表、记录

D、日志、记录、检查表、模板、表单等

答案:D

202.下列说法错误的是（）

A、应养成定期清除浏览器记录的习惯

B、为了解决Ckie的安全问题，应在浏览器的Ckie管理相关设置处开启允许所

有Ckie

C、重要的网站的账号和口令不要设置自动填充

D、代理服务器访问模式下浏览器不直接向网站服务器请求数据

答案：B

203.关闭windws系统的自动播放可以预防下列哪种安全威胁()

A、跨站脚本攻击

B、网络钓鱼攻击

C、U盘病毒

D、网页挂马

答案：C

204.下列关于邮件加密与签名说法错误的是()

A、SMTP、PP3协议在设计上没有对安全有足够的考虑

B、对邮件进行加密和签名最常用的方式是使用MD5对会话进行保护

C、使用SMTP、PP3进行邮件收发的会话缺乏加密机制

D、PGP(PrettyGdPrivacy)是一个用于消息加密和验证应用程序

答案：B

205.信息的存在形式说法正确的是()

A、借助媒体以多种形式存在

B、存储在计算机、磁带、纸张等介质中

C、记忆在人的大脑里

D、以上都对

答案：D

206.小张在某网站上找到了一篇他需要的资料，可以免费下载，但是下载要求在

网站上使用邮箱进行注册，以下哪个做法是最正确的？()

A、使用自己常用的邮箱地址用户名和密码进行注册，这样方便管理

B、申请一个仅用于注册不常用网站的邮箱进行注册，密码单独设一个

C、不注册了，另外到别的网站去寻找,不用注册就能下载的

D、不注册了，也不下载了

答案：B

207.下列关于windw的SAM的说法错误的是()

A、SAM文件即账号密码数据库文件

B、安全账号管理器的具体表现就是%SystemRt%\system32\cnfig\sam文件

C、当我们登录系统的时候，系统会自动地和Cnfig中的SAM自动校对

D、SAM中存储的账号信息administratr是可读和可写的

答案:D

208.根据《信息安全等级保护管理办法》，()负责信息安全等级保护工作的监

督、检查、指导。

A、公安机关

B、国家保密工作部门

C、国家密码管理部门

D、国家网信办

答案：A

209.下列说法错误的是()

A、Web(WrldWideWeb)也称为万雒网

B、Web应用广泛使用的是客户端/服务器架构(C/S)

C、Web应用在互联网上占据了及其重要的地位

D、浏览器是检索、展示以及传递Web中信息资源的应用程序

答案：B

210.主要用于加密机制的协议是()

A、FTP

B、SSL

C、TELNET

D、HTTP

答案：D

211.下列哪种方式删除的文件最彻底，最难以恢复()

A、按shift+delete组合键删除的文件

B、按delete删除的文件

C、在CMD中用del命令删除的文件

D、使用文件粉碎工具删除的文件

答案：D

212.某大型企业声称自己的ISMS符合IS/IBC27001或GB/T22080标准要求，其

信息安全控制措施通常在以下方面实施常规控制，不包括哪一项()

A、信息安全方针、信息安全组织'资产管理

B、人力资源安全、物理和环境安全、通信和操作管理

C、访问控制、信息系统获取、开发和雉护、符合性

D、规划与建立ISMS

答案：D

213.以下哪种行为能有效防止计算机感染病毒（

A、公司门口捡到的U盘直接插电脑上打开看看有什么东西

B、随意查看不明邮件和附件

C、安装防病毒软件，并经常更新病毒库

D、浏览网站的过程中随意点击弹出的领奖槌接

答案：C

214.可远程访问的注册表路径可在下列哪个选项修改（）

A、在本地组策略编辑器中对审核策略进行设置

B、在本地组策略编辑器中对用户权限分配进行设置

C、在本地组策略编辑器中对账户策略进行设置

D、在本地组策略编辑器中对安全选项进行设置

答案:D

215.在注册和浏览社交网站时下列哪个做法是错误的（）

A、尽可能少输入个人信息

B、充分利用网站的安全机制

C、好友发送的槌接等信息随意访问

D、在社交网站发照片时要谨慎，不要暴露照片拍摄地址和时间

答案:C

216.下列关于数据备份的说法错误的是（）

A、使用专用备份软件进行备份

B、可通过云盘或者存储系统进行远程备份

C、数据最好在自有的存储系统或私有云进行备份

D、数据备份无法防止由于操作失误导致的数据丢失风险

答案：D

217.端口映射的作用是（）

A、将MAC地址解析成IP地址

B、将内网的服务端口映射到路由器的外网地址

C、将端口划分广播域

D、实现点对点将本地主机加入到目标路由器所在的内网

答案：B

218.下列关于system账户描述错误的是（）

A、是本地系统账户

B、权限高于用户自建账户

C、不可用于从交互界面进行登录

D、权限和administratr相同

答案：D

219.某windws系统用户名为Admin,该系统开启了账户策略中的口令符合复杂性

的策略，并限制密码长度最小值为6个字符，以下哪个口令是符合策略要求会被

系统接受的（）

A、Admin246!

B、a135!

GAdlLN153!

Dx2w3e4dfg

答案：C

220.在Web应用中设置口令时，无需遵循以下哪个要求（）

A、口令应具有足够的复杂性

B、多个网站共用一个口令避免遗忘

C、养成定期更改口令的好习惯

D、口令的相关信息包括验证信息应避免告诉其他人

答案：B

221.很多应用在做重要操作时都需要给