第八届全国职工职业技能大赛（网络和信息安全管理员）广西选拔赛试题库-上（单选题部分）

PAGEPAGE2第八届全国职工职业技能大赛（网络和信息安全管理员）广西选拔赛试题库-上（单选题部分）一、单选题1.信息安全风险评估是信息安全风险管理工作中的重要环节。在国家网络与信息安全协调小组发布的《关于开展信息安全风险评估工作的意见》（国信办[2006]5号）中，风险评估分为自评估和检查评估两种形式，并对两种工作形式提出了有关工作原则和要求，下面选项中描述正确的是（）A、自评估和检查评估是互相排斥的，单位应慎重地从两种工作形式选择一个，并长期使用B、信息安全风险评估应以检查评估为主，自评估和检查评估相互结合，互为补充C、信息安全风险评估应以自评估为主，自评估和检查评估相互结合，互为补充D、自评估和检查评估是互相排斥的，无特殊理由的单位均应选择检查评估，以保证安全效果答案：C2.以下哪个不是常见的网络攻击类型？A、中间人攻击B、水坑攻击C、暴力破解D、蓝牙攻击答案：D3.在Linux系统中，包含了主机名和IP地址之间映射关系的文件是（）。A、/etc/HOSTNAMEB、/etc/hostsC、/etc/resolv.confD、/etc/networks答案：B4.不是常见敏感数据的是:A、姓名B、身份证号码C、地址D、95598电话答案：D5.为了控制目标主机，木马一般都包括（）。A、一个客户端B、一个服务器端C、一个客户端和一个服务器端D、一个客户端和两个服务器端答案：C6.在什么情况下，热站会作为一个恢复策略被执行？A、低灾难容忍度B、高恢复点目标（RPO）C、高恢复时间目标（RTO）D、高灾难容忍度答案：A7.可用性是指信息可被授权实体访问并按需求使用的一个特性，一般用系统（）之比来度量。A、正常使用的时间和整个工作时间B、正常使用时间和故障时间C、故障时间和整个工作时间D、正常使用时间和故障时间答案：A8.《计算机信息系统安全保护条例》规定，对计算机信息系统中发生的案件，有关使用单位应当在（）向当地县级以上人民政府公安机关报告。A、8小时内B、12小时内C、24小时内D、48小时内答案：C9.为了防止踩点、刺探等攻击行为，应更改IIS安装的默认主目录，以下哪个是IIS安装的默认主目录？A、%system%Inetpubroot/IISB、%system%IIS/InetpubrootC、%system%rootD、%system%Inetpubroot答案：D10.当为计算机资产定义保险覆盖率时，下列哪一项应该特别考虑？（）。A、已买的软件B、定做的软件C、硬件D、数据答案：D11.在传输模式IPSec应用情况中，以下哪个区域数据报文可受到加密安全保护？（）A、整个数据报文B、原IP头C、新IP头D、传输层及上层数据报文答案：D12.数据安全存在着多个层次，（）能从根本上保证数据安全。A、制度安全B、运算安全C、技术安全D、传输安全答案：C13.计算机网络中，哪个协议负责网页内容的传输？A、FTPB、HTTPC、SMTPD、TCP答案：B解析：难易度：简单14.2013年3月在《中华人民共和国国民经济和社会发展十二五规划纲要》中要求：健全网络与信息安全法律法规，完善信息安全标准体系和（）。A、健全信息安全法律体系B、建设应急响应小组C、建设认证体系D、认证认可体系答案：D15.通过修改apache配置文件（）可以修复apache目录遍历漏洞。A、httpd.xmlB、httpd.confC、pertiesD、httpd.dat答案：B16.以下哪种方法可以用于对付数据库的统计推论？（）A、信息流控制B、共享资源矩阵C、查询控制D、间接存取答案：C17.关于SSL的描述，不正确的是()A、SSL协议分为SSL握手协议和记录协议B、SSL协议中的数据压缩功能是可选的C、大部分浏览器都内置支持SSL功能D、SSL协议要求通信双方提供证书答案：D18.VPN是指()A、虚拟的专用网络B、虚拟的协议网络C、虚拟的包过滤网络答案：A19.以下哪一项不是我国信息安全保障工作的主要目标：A、保护互联网知识产权B、保障和促进信息化发展C、维护企业和公民的合法权益D、构建高效的信息传播渠道答案：D20.信息安全等级保护标准项目制定流程（）。A、立项阶段，准备阶段起草、征求意见阶段，送审阶段，报批阶段B、准备阶段起草、立项阶段、征求意见阶段，送审阶段，报批阶段C、立项阶段，准备阶段起草、征求意见阶段，报批阶段，送审阶段D、准备阶段起草、立项阶段，送审阶段，征求意见阶段，报批阶段答案：A21.建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施（）。A、同步规划、同步建设、同步审计B、同步规划、同步建设、同步使用C、同步审计、同步建设、同步使用D、同步审计、同步设计、同步使用答案：B22.Oracle10G数据库中可以采用以下命令登录数据库：sqlplus/assysdb请问，该方法登录后的用户是()用户名。A、systemB、sysC、sysmanD、sysdba答案：B23.关于信息安全管理体系的作用，下面理解错误的是（）A、对内而言，是一个光花钱不挣钱的事情，需要组织通过其他方面收入来弥补投入B、对内而言，有助于建立起文档化的信息安全管理规范，实现有“法”可依，有章可循，有据可查C、对外而言，能起到规范外包工作流程和要求，帮助界定双方各自信息安全责任D、对外而言，有助于使各利益相关方对组织充满信心答案：A24.使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于什么攻击类型?（）A、拒绝服务B、文件共享C、BIND漏洞D、远程过程调用答案：A25.什么是安全断言标记语言（SAML）？A、一种用于在网络间传输身份信息的协议B、一种用于加密数据的算法C、一种用于检测网络攻击的软件D、一种用于管理网络设备的系统答案：A26.什么是跨站脚本攻击（XSS）？A、一种利用漏洞在受害者浏览器中执行恶意脚本的攻击B、一种通过电子邮件发送恶意附件的攻击C、一种破解无线网络密码的攻击D、一种利用社交工程进行欺诈的攻击答案：A27.小王是某大学计算机科学与技术专业的学生，最近因为生病缺席了几堂信息安全课程，这几次课的内容是安全审计。为了赶上课程进度，他向同班的小李借来了课堂笔记，进行自学。而小李在听课时由于经常走神，所以笔记中会出现一些错误，下列选项中是小李笔记中关于安全审计系统的内容，其中不属于安全审计作用的选项是（）。A、检测和制止对系统的入侵B、发现计算机的滥用情况C、保证可信网络内部信息不外泄D、提供系统运行的日志，从而发现系统入侵行为及潜在的漏洞答案：C28.metasploit中，搜索与RDP相关的exploit模块的指令是（）？A、findexploitrdpB、findtype:exploitrdpC、searchexploit:rdpD、searchtype:exploitrdp答案：D29.以下关于威胁建模流程步骤说法不正确的是：A、识别威胁是发现组件或进程存在的威胁，它可能是恶意的，也可能不是恶意的，威胁就是漏洞B、威胁建模主要流程包括四步：确定建模对象、识别威胁、评估威胁和消减威胁C、评估威胁是对威胁进行分析，评估被利用和攻击发生的概率，了解被攻击后资产的受损后果，并计算风险D、消减威胁是根据威胁的评估结果，确定是否要消除该威胁以及消减的技术措施，可以通过重新设计直接消除威胁，或设计采用技术手段来消减威胁答案：A30.为保护工业控制系统安全性，达到（）、（）和（）等目标，可在（）、（）和（）等三方面着手进行控制，设计具体的（）和（）。A、……应对措施；可用性；完整性；保密性；管理；操作；技术B、可用性；完整性；保密性；管理；操作；技术；安全保护；应对措施C、……完整性；保密性；安全保护；应对措施；管理；操作；技术D、……操作；技术；可用性；完整性；保密性；安全保护；应对措施答案：B31.在华三路由器上设置SNMP访问安全限制，只允许特定主机通过SNMP读取设备信息网络设备。以下配置正确的是（）。A、B、C、D、答案：C32.信息系统能够对系统安全状态、数据信息及其使用者的所有行为进行安全监控描述的系统安全属性是()。A、机密性B、完整性C、可用性D、可控性答案：D33.2003年以来，我国高度重视信息安全保障工作，先后……保障工作进行了规划，下列选项哪项不是我国发布的文件（）。A、《国家信息安全战略报告》（国信[2005]2号）B、《国家网络安全综合计划（CNCI）》（国令[2008]54号）C、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）D、《关于大力推进信息化发展和切实保障信息安全的若干意见》（国发[2012]23号答案：B34.下列属于C类计算机机房安全要求范围之内的是()。A、火灾报警及消防设施B、电磁波的防护C、防鼠害D、防雷击答案：A35.漏洞扫描（Scanner）和信息安全风险评估之间是怎样的关系（）。A、漏洞扫描就是信息安全风险评估B、漏洞扫描是信息安全风险评估中的一部分，是技术脆弱性评估C、信息安全风险评估就是漏洞扫描D、信息安全风险评估是漏洞扫描的一个部分答案：B36.（）programfilesA、TEMPB、systemvolumeC、informationD、Windows答案：D37.SET的主要目的与（）有关。A、浏览器与服务器之间的安全通信B、Internet上的安全信用卡付款C、数字签名D、消息摘要答案：B38.容易受到会话劫持攻击的是()A、HTTPSB、TELNETC、SFTPD、SSH答案：B39.以下关于VPN的说法中的哪一项是正确的？（）A、VPN是虚拟专用网的简称，它只能只好ISP维护和实施B、VPN是只能在第二层数据链路层上实现加密C、IPSEC是也是VPN的一种D、VPN使用通道技术加密，但没有身份验证功能答案：C40.（）算法抵抗频率分析攻击能力最强，而对已知明文攻击最弱。A、仿射密码B、维吉利亚密码C、轮转密码D、希尔密码答案：D41.实现防火墙的数据包过滤技术与代理服务技术哪一个安全性能高？A、数据包过滤技术安全性能高B、代理服务技术安全性能高C、一样高D、不知道答案：B42.在网络安全中，什么是“安全信息和事件管理”（SIEM）？A、用于收集、分析和响应安全事件的系统B、用于加密网络数据的工具C、用于备份网络数据的软件D、用于监控网络流量的硬件设备答案：A43.防雷保安器：防止()破坏计算机信息系统的保安装置，可分为两大类：电源线防雷保安器（）和信号传输线防雷保安器（）。A、直击雷B、感应雷C、雷暴D、雷电电磁脉冲答案：B44.关于源代码审核，下列说法正确的是（）A、源代码审核是指无需运行被测代码，仅对源代码检查分析，检测并报告源代码中可能隐藏的错误和缺陷B、源代码审核往往需要大量的时间，采用人工审核费时费力，但可以通过多人并行审核来弥补这个缺点C、源代码审核工具应当以检查源代码的功能是否完整、是否执行正确为主要功能D、使用源代码审核工具自动化执行代码检查和分析，能够极大提高软件可靠性并节省软件开发和测试的成本，已经取代了人工审核方式答案：A45.小张是信息安全风险管理方面的专家，被某单位邀请过去对其核心机房经受某种灾害的风险进行评估，已知:核心机房的总价价值一百万，灾害将导致资产总价值损失二成四(24%)，历史数据统计告知该灾害发生的可能性为八年发生三次，请问小张最后得到的年度预期损失为多少（）。A、24万B、0.09万C、37.5万D、9万答案：D46.以下()技术不属于预防病毒技术的范畴。A、加密可执行程序B、引导区保护C、系统监控与读写控制D、自身校验答案：D47.下列哪些不是广泛使用http服务器？（）A、W3CB、ApacheC、IISD、IE答案：D48.什么是旁路攻击？A、通过分析加密设备的电磁辐射来窃取信息B、通过网络钓鱼获取敏感信息C、通过暴力破解密码来访问系统D、通过社会工程学获取访问权限答案：A49.下列选项中，属于UAF（use-after-free）漏洞的是（）A、写污点值到污点地址漏洞B、格式化字符串漏洞C、内存地址对象破坏性调用的漏洞D、数组越界漏洞答案：C50.LINUX的日志文件通常保存在（）。A、/etc/issueB、/etc/syslogdC、/var/syslogD、/var/log答案：D51.网络安全法规定，国家网信部门和有关部门依法履行职责，发现网络存在泄露国家秘密、危害国家安全等风险的，应当按照规定向什么部门报告？A、公安机关B、国家安全机关C、保密部门D、工业和信息化部答案：B52.主要用于加密机制的协议时（）。A、HTTPB、FTPC、TELNETDD、SSL答案：D53.U盘里有重要资料，同事临时借用，如何做更安全?（）A、同事关系较好可以借用B、删除文件之后再借C、同事使用U盘的过程中，全程查看D、将U盘中的文件备份到电脑之后，使用杀毒软件提供的“文件粉碎”功能将文件粉碎，然后再借给同事答案：D54.信息安全的金三角是（）。A、可靠性，保密性和完整性B、多样性，冗余性和模化性C、保密性，完整性和可用性D、多样性，保密性和完整性答案：C55.HTTPS采用（）协议实现安全网站访问。A、SSLB、IPsecC、PGPD、SET答案：A56.一个数据包过滤系统被设计成只允许你要求服务的数据包进入，而过滤掉不必要的服务。这属于（）基本原则。A、最小特权B、阻塞点C、失效保护状态D、防御多样化答案：A57.在什么情况下，防火墙会不起作用？A、内部网用户通过防火墙访问InternetB、外部用户通过防火墙访问WEB服务器C、外部用户向内部用户发E-mailD、内部网用户通过Modem拨号访问internet答案：D58.建立和实施信息安全管理体系的重要原则是。（）A、领导重视B、全员参与C、持续改进D、以上各项都是答案：D59.网络安全中的"沙盒"是用来做什么的？A、过滤垃圾邮件B、执行恶意代码以分析其行为C、存储敏感数据D、加密网络通信答案：B60.下列哪一项不属于数据安全生命周期管理的基本环节()A、数据加密B、数据脱敏C、数据销毁D、数据可视化分析答案：D61.在网络安全中，什么是“沙箱”技术？()A、隔离恶意软件的虚拟环境B、存储敏感数据的加密设备C、提供网络服务的物理设备D、用于测试网络性能的软件答案：A62.国家信息化领导小组在《关于加强信息安全保障工作的意见》中，针对下一时期的信息安全保障工作提出了（）项要求。A、7B、6C、9D、10答案：C63.某服务器被黑客入侵，黑客在服务器上安装了SHIFT后门，正常情况下，启动SHIFT后门的方法是（）。A、远程桌面连接到服务器，按5下键盘SHIFT键B、远程桌面连接到服务器，按3下键盘SHIFT键C、telnet连接到服务器，运行netstartshiftD、telnet连接到服务器，运行netuseshift答案：A64.对于运行OSPF协议的路由器来说，RouteID是路由器的唯一标识，所以协议规定：必须保证RouteID在（）唯一。A、网段内B、区域内C、自治系统内D、整个因特网答案：C65.对于IIS日志文件的访问权限，下列哪些设置是正确的？（）A、SYSTEM（完全控制）Administrator（完全控制）Users（修改）B、SYSTEM（完全控制）Administrator（完全控制）Everyone（读取和运行）C、SYSTEM（完全控制）Administrator（完全控制）Inernet来宾账户（读取和运行）D、SYSTEM（完全控制）Administrator（完全控制）答案：D66.哪种安全协议用于在Web浏览器中建立安全的连接？A、SSHB、SSL/TLSC、IPsecD、SNMP答案：B67.以下安全技术要求中，不属于安全物理环境的是（）。A、网络架构B、防水和防潮C、电力供应D、物理访问控制答案：A68.什么是网络流量分析？A、对网络中的流量进行收集、统计和分析，以识别潜在的安全问题B、对网络设备的性能进行测试和评估C、对网络中的数据进行备份和恢复D、对网络中的故障进行诊断和修复答案：A69.以下对Kerberos协议过程说法正确的是()。A、协议可以分为两个步骤:一是用户身份鉴别；二是获取请求服务B、协议可以分为两个步骤:一是获得票据许可票据；二是获取请求服务C、协议可以分为三个步骤:一是用户身份鉴别；二是获得票据许可票据；三是获得服务许可票据D、协议可以分为三个步骤:一是获得票据许可票据；二是获得服务许可票据；三是获得服务答案：D70.对于日常维护工作，连接路由器的协议通常使用：（）。缺少D选项A、TELNET，简单，容易配置B、SSHC、TELNET配置16位长的密码，加密传输，十分安全答案：B解析：&SSHv2加密算法强劲，安全性好71.信息系统使用中，当会话控制应在会话处于非活跃一定时间或会话结束后（）。A、终止网络连接B、关闭计算机C、关闭服务器D、关闭数据库答案：A72.在计算可接受的关键业务流程恢复时间时（）。A、只需考虑停机时间的成本B、需要分析恢复操作的成本C、停机时间成本和恢复操作成本都需要考虑D、可以忽略间接的停机成本答案：C73.在windows系统安全配置中，以下不属于帐号安全配置的是（）。A、禁用guest帐号B、更改管理员缺省帐号名称C、锁定管理员帐号D、删除与工作无关的帐号答案：C74.Linux系统下，Apache服务器的配置文件是（）A、共有一个文件是/etc/http/conf/srm.confB、共有二个文件分别是/etc/http/conf/httpconf、/etc/http/conf/access.confC、共有3个文件/etc/http/conf/httpconf、/etc/http/conf/access.conf、/etc/http/conf/user.confD、以上都不正确答案：D75.下列哪项技术不属于数据安全防护体系中的关键技术()A、数据完整性校验B、双因素认证机制C、动态数据maskingD、人工智能驱动的语音识别答案：D76.《中华人民共和国密码法》自（）起施行。A、2019年10月26日B、2019年12月1日C、2020年1月1日D、2020年6月1日答案：C77.某单位在一次信息安全风险管理活动中，风险评估报告提出服务器A的FTP服务存在高风险漏洞，随后该单位在风险处理时选择了关闭FTP服务的处理措施，请问该措施属于哪种风险处理方式（）A、风险接受B、风险降低C、风险规避D、风险转移答案：C78.一般情况下，默认安装的ApacheTomcat会报出详细的banner信息，修改ApacheTomcat哪一个配置文件可以隐藏banner信息。A、context.xmlB、server.xmlC、tomcat-users.xmlD、web.xml答案：D79.ApacheHTTPServer（简称Apache）是一个开放源码的Web服务运行平台，在使用过程中，该软件默认会将自己的软件名和版本号发送给客户端，从安全角度出发，为隐藏这些信息，应当采取以下哪种措施（）A、从正确的官方网站下载ApacheHTTPServer，并安装使用B、不选择windows平台，应选择在Linux平台下安装使用C、安装后，修改配置文件http、conf中的有关参数D、安装后，删除ApacheHTTPserver源码答案：C80.最小特权是软件安全设计的基本原则，某应用程序在设计时，设计人员给出了以下四种策略，其中有一个违反了最小特权的原则，作为评审专家，请指出是哪一个？A、为了保证软件在Windows下能稳定的运行，设定运行权限为system，确保系统运行正常，不会因为权限不足产生运行错误B、软件在Linux下安装时，设定运行时使用nobody用户运行实例C、软件的日志备份模块由于需要备份所有数据库数据，在备份模块运行时，以数据库备份操作员账号连接数据库D、软件的日志模块由于要向数据库中的日志表中写入日志信息，是用了一个日志用户账号连接数据库，该账号仅对日志表拥有权限答案：A81.Tomcat为防止直接访问目录时由于找不到默认主页而列出目录下所有文件应在web.xml中配置以下选项（）。A、listings设置为falesB、fork设置为falesC、fork设置为trueD、listings设置为true答案：A82.下述哪项描述是错误的？（）A、抗DDoS防护系统在企业部署在线安全策略中处于非常重要的地位数据收集功能B、网络蠕虫大规模爆发不会对企业网络造成DDoS攻击危害C、抗DDoS防护系统对防火墙在某些安全功能上的不足具有弥补性，是用于构建网络安全体系纵深防御不可缺少的一步D、oS攻击也可能是内网用户发起的攻击答案：B83.加密不能实现（）A、数据信息的完整性B、基于密码技术的身份认证C、机密文件加密D、基于IP头信息的包过滤答案：D84.关于空气的正向压力，下面哪项描述是正确的？（）A、当门打开时，空气向内流动B、当门打开，空气向外流动C、当发生火灾，系统自动切断电源D、当发生火灾，烟雾向另外一间房间流动答案：B85.入侵检测的分析处理过程不包括（）。A、构建分析器阶段B、对现场数据进行分析阶段C、反馈和提炼阶段D、响应处理阶段答案：D86.从风险分析的观点来看，计算机系统的最主要弱点是（）。A、内部计算机处理B、系统输入输出C、通讯和网络D、外部计算机处理答案：B87.计算机信息系统，是指由（）及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。A、计算机硬件B、计算机C、计算机软件D、计算机网络答案：B88.MD5是一种()算法。A、共享密钥B、公开密钥C、报文摘要D、访问控制答案：C89.网络精灵的客户端文件是（）A、UMGR32.EXEB、Checkdll.exeC、KENRNEL32.EXED、netspy.exe答案：D90.下列哪一项是密码破解技术中的一种方法？A、钓鱼B、暴力破解C、防火墙D、代理服务器答案：B91.交换机端口安全违规处理动作不包括()。A、丢弃数据帧，不产生警告B、丢弃数据帧，产生警告C、丢弃数据帧，将端口shutdownD、转发数据帧，并产生警告答案：D92.数据安全法规定，数据处理者利用生物特征进行个人身份认证的，应对其收集的何种信息进行单独保护？A、姓名和地址B、生物特征C、电话号码D、电子邮件答案：B93.下列哪项技术不能对付重放攻击（）。重放攻击（ReplayAttacks）又称重播攻击、回放攻击或新鲜性攻击（FreshnessAttacks），是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。A、一次性口令机制B、挑战—应答机制C、线路加密D、往认证消息中添加随机数答案：B94.计算机内部采用二进制来表示()。A、指令B、地址码C、指令和数据D、操作码和地址码答案：C95.1994年我国颁布的第一个与信息安全有关的法规是A、国际互联网管理备案规定B、计算机病毒防治管理办法C、网吧管理规定D、中华人民共和国计算机信息系统安全保护条例答案：D96.你有一个共享文件夹，你将它的NTFS权限设置为sam用户可以修改，共享权限设置为sam用户可以读取，当sam从网络访问这个共享文件夹的时候，他有什么样的权限？（）A、读取B、写入C、修改D、完全控制答案：A97.影响Web系统安全的因素，不包括？（）A、复杂应用系统代码量大、开发人员多、难免出现疏忽B、系统屡次升级、人员频繁变更，导致代码不一致C、开发人员未经过安全编码培训D、历史遗留系统、试运行系统等多个Web系统运行于不同的服务器上答案：D98.下列哪项是社会工程学攻击的示例？A、使用弱密码进行远程登录尝试B、通过传统的计算机网络攻击手段入侵系统C、攻击者利用人的心理特征来诱使目标提供敏感信息D、在网络上传播恶意软件答案：C99.在每天下午5点使用计算机结束时断开终端的连接属于（）A、外部终端的物理安全B、通信线的物理安全C、窃听数据D、网络地址欺骗答案：A100.在进行风险分析的时候，发现预测可能造成的风险的经济损失时有一定困难。为了评估潜在的损失，应该:（）。A、计算相关信息资产的摊销费用B、计算投资的回报C、应用定性的方法进行评估D、花费必要的时间去评估具体的损失的金额答案：C101.一个安全的HTTPS连接在浏览器的地址栏中显示为：A、红色的锁形图标B、绿色的锁形图标C、黄色的三角形图标D、没有特别的图标答案：B102.以下哪一项不是审计措施的安全目标？A、发现试图绕过系统安全机制的访问B、记录雇员的工作效率C、记录对访问客体采用的访问方式D、发现越权的访问行为答案：B103.不属于TCP端口扫描方式的是（）。A、Xmas扫描B、ICMP扫描C、ACK扫描D、NULL扫描答案：B104.ISO17799从原来的（2000版）（）控制转变成现在的(2005版)（）项控制。A、10个方面36个控制目标和127项到11个方面39个控制目标和133项B、11个方面30个控制目标和125项到11个方面39个控制目标和133项C、10个方面36个控制目标和127项到12个方面38个控制目标和138项D、15个方面37个控制目标和127项到11个方面35个控制目标和130项答案：A105.计算机漏洞是在硬件，软件，协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。在病毒肆意的信息不安全时代，某公司为减少计算机系统漏洞，对公司计算机系统进行了如下措施，其中错误的是（）A、对系统连接进行限制，通过软件防火墙等技术实现对系统的端口连接进行控制B、减少系统日志的系统开销C、禁用或删除不需要的服务，降低服务运行权限D、设置策略避免系统出现弱口令并对口令猜测进行防护答案：B106.主从账户在4A系统的对应关系包含：（）A、1-NB、1-1C、N-1D、以上全是答案：D107.黑客利用IP地址进行攻击的方法有()A、IP欺骗B、解密C、窃取口令D、发送病毒答案：A108.在软件保障成熟度模型(SoftwareAssuranceMaturityMode，SAMM)中，规定了软件开发过程中的核心业务功能，下列哪个选项不属于核心业务功能:（）。A、治理，主要是管理软件开发的过程和活动B、构造，主要是在开发项目中确定目标并开发软件的过程与活动C、验证，主要是测试和验证软件的过程与活动D、购置，主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动答案：D109.用QESAT/C工具进行软件分析与测试时，以下说法错误的是（）A、进行软件静态分析时不必运行被测程序B、白盒测试又称为程序结构测试，它主要进行程序逻辑结构的覆盖测试C、被测源文件可放在任意目录下D、在进行测试之前，必须先建立以、/prj为后缀的测试项目答案：D110.以下信息不能被记录在inode中的是（）。A、文件所有者B、文件大小C、权限信息D、ACL答案：D111.计算站场地宜采用()蓄电池。A、封闭式B、半封闭式C、开启式D、普通任意的答案：A112.在WINDOWS2000系统中，哪个进程是IIS服务的进程()。A、Inetinfo.exeB、Lsass.exeC、Mstask.exeD、Internat.exe答案：A113.最大公因子gcd（18，24）=（）。A、6B、3C、12D、4答案：A114.Oracle当连接远程数据库或其它服务时，可以指定网络服务名，Oracle9i支持5中命名方法，请选择错误的选项。（）A、本地命名和目录命名B、Oracle名称（OracleNames）C、主机命名和外部命名D、NS和内部命名答案：D115.Windows系统下，可通过运行()命令打开Windows管理控制台。A、regeditB、cmdC、mmcD、mfc答案：B116.方法指导类标准主要包括GB/T_25058-2010_《信息安全技术_信息系统安全等级保护实施指南》GB/T25070-2010《信息系统等级保护安全设计技术要求》等。其中《等级保护实施指南》原以（）政策文件方式发布，后修改后以标准发布。这些标准主要对如何开展（）做了详细规定。状况分析类标准主要包括GB/T?28448?-2012《信息安全技术信息系统安全等级保护测评要求》和GB/T?28449?2012《信息安全技术信息系统安全等级保护测评过程指南》等。其中在（）工作期间还发布过《等级保护测评准则》等文件，后经过修改以《等级保护测评要求》发布。这些标准主要对如何开展（）工作做出了（）。（）A、公安部；等级保护试点；等级保护工作；等级保护测评；详细规定B、公安部；等级保护工作；等级保护试点；等级保护测评；详细规定C、公安部；等级保护工作；等级保护测评；等级保护试点；详细规定D、公安部；等级保护工作；等級保护试点；详细规定；等级保护测评答案：B117.使用静态路由配置的网络，当网络拓扑结构发生变化时，容易出现()A、路由黑洞B、二层环路C、本地回环D、三层环路答案：A118.在信息系统安全中，风险由（）因素共同构成的。A、攻击和脆弱性B、威胁和攻击C、威胁和脆弱性D、威胁和破坏答案：C119.数字信封是用来解决（）。A、公钥分发问题B、私钥分发问题C、对称密钥分发问题D、数据完整性问题答案：C120.以下哪个拒绝服务攻击方式不是流量型拒绝服务攻击？A、LandB、UDPFloodC、SmurfD、Teardrop答案：D121.以下不属于国产加密算法的是A、SM1B、SM2C、RSAD、SM4答案：C122.计算机信息系统安全等级保护的等级是由那几个因素确定。A、根据计算机信息系统面临的风险B、根据计算机信息系统资源的经济和社会价值及其面临的风险C、根据计算机信息系统价值答案：B123.安全域的具体实现可采用的方式为（）。A、物理防火墙隔离B、虚拟防火墙隔离C、Vlan隔离等形式D、以上都是答案：D124.同时支持2、4G和5G频段的802、11协议是以下哪一种（）。A、802、11acB、802、11nC、802、11bD、802、11a答案：B125.WebLogic中可以对用HTTP，HTTPS协议访问的服务器上的文件都做记录，该LOG文件默认的名字为A、Http.logB、Access.logC、info.logD、server.log答案：B126.根据《互联网上网服务营业场所管理条例》,网吧每日营业时间限于（）。A、6时至24时B、7时至24时C、8时至24时D、9时至24时答案：C127.网络安全事件发生的风险增大时，省级以上人民政府有关部门应当按照规定的权限和程序，并根据网络安全风险的特点和可能造成的危害，向社会发布（），发布避免、减轻危害的措施。A、网络安全风险预警B、网络安全红色预警C、网络安全橙色预警D、网络安全安全通报答案：A128.下面不属于容灾内容的是（）A、灾难预测B、灾难演习C、风险分析D、业务影响分析答案：A129.数据库管理系统通常提供授权功能来控制不同用户访问数据的权限，这主要是为了实现数据库的A、可靠性B、一致性C、完整性D、安全性答案：D130.哪种类型的攻击尝试利用软件中的已知漏洞进行未经授权的访问？A、暴力破解B、钓鱼攻击C、漏洞利用攻击D、中间人攻击答案：C131.2005年4月1日正式施行的《电子签名法》，被称为“中国首部真正意义上的信息化法律”，自此电子签名与传统手写签名和盖章具有同等的法律效力。以下关于电子签名说法错误的是（）A、电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务B、电子签名适用于民事活动中的合同或者其他文件、单证等文书C、电子签名——是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据D、电子签名制作数据用于电子签名时，属于电子签名人和电子认证服务提供者共有答案：D132.在网络安全中，什么是“安全审计”（SecurityAudit）？A、对网络系统的性能和功能进行测试B、对网络系统的安全性进行检查和评估C、对网络用户的行为进行监控和记录D、对网络设备的物理位置进行检查答案：B133.企业重要数据要及时进行（），以防出现以外情况导致数据丢失。A、杀毒B、加密C、备份答案：C134.对称密钥加密比非对称密钥加密()。A、速度慢B、速度相同C、速度快D、通常较慢答案：C135.WindowsNT和Windows2000系统能设置为在几次无效登录后锁定账号，可以防止：（）。A、木马B、暴力破解C、IP欺骗D、缓冲区溢出攻击答案：B136.以下对“信息安全风险”的描述正确的是（）。A、是来自外部的威胁利用了系统自身存在脆弱性作用于资产形成风险B、是系统自身存在的威胁利用了来自外部的脆弱性作用于资产形成风险C、是来自外部的威胁利用了系统自身存在的脆弱性作用于网络形成风险D、是系统自身存在的威胁利用了来自外部的脆弱性作用于网络形成风险答案：A137.以下哪项不属于数据库系统实体安全？（）A、环境安全B、线路安全C、设备安全D、媒体安全答案：B138.降低风险（或减低风险）是指通过对面临风险的资产采取保护措施的方式来降低风险，下面哪个措施不属于降低风险的措施（）A、减少脆弱性，及时给系统打补丁，关闭无用的网络服务端口，从而减少系统的脆弱性，降低被利用的可能性B、减少威胁源，采用法律的手段制裁计算机犯罪，发挥法律的威慑作用，从而有效遏制威胁源的动机C、签订外包服务合同，将有技术难点，存在实现风险的任务通过签订外部合同的方式交予第三方公司完成，通过合同责任条款来应对风险D、减低威胁能力，采取身份认证措施，从而抵制身份假冒这种威胁行为的能力答案：C139.COBIT标准中，信息技术控制目标中定义的信息技术资源主要包括（）。A、数据、应用系统、技术、设备和人员B、数据、技术、设备和人员C、应用系统、技术和人员D、应用系统、数据、设备和人员答案：A140.触电事故中，绝大部分是由于（）导致人身伤亡的。A、人体接受电流遭到电击B、烧伤C、触电休克答案：A141.下列哪种技术可用于为用户的会话提供额外的安全层，以防止未经授权的访问？A、加密B、CSRF令牌C、XSS过滤D、单点登录答案：B142.物联网将我们带入一个复杂多元、综合交互的新信息时代，物联网安全成为关系国计民生的大事，直接影响到个人生活和社会稳定。物联网安全问题必须引起高度重视，并从技术、标准和法律方面予以保障。物联网的感知层安全技术主要包括()、()？等。实现RFID安全性机制所采用的方法主要有三类；（）、（）和（）。传感器网络认证技术主要包含()、()和()。A、RFID安全技术；传感器网络安全技术；内部实体认证、网络与用户认证，以及广播认证；物理机制、密码机制，以及二者相结合的方法B、RFLD安全技术；传感器技术；物理机制、密码机制，以及二者相结合的方法；实体认证、网络与用户认证，以及广播认证C、RFID安全技术；传感器网络安全技术；物理机制、密码机制，以及二者相结合的方法；内部实体认证、网络与用户认证，以及广播认证D、RFID技术；传感器技术；物理机制、密码机制，以及二者相结合的方法；实体认证、网络与用户认证，以及广播认证答案：C143.以下哪一项不属于常见的风险评估与管理工具？A、基于信息安全标准的风险评估与管理工具B、基于知识的风险评估与管理工具C、基于模型的风险评估与管理工具D、基于经验的风险评估与管理工具答案：D144.“互联网已成为思想文化信息的集散地和社会舆论的放大器”这个说法是（）提出的。A、邓小平B、江泽民C、胡锦涛D、习近平答案：C145.RIP和OSPF是两种常见的路由协议，分别属于哪种类型的路由协议。A、RIP是链路状态路由协议、OSPF是距离向量路由协议B、RIP是距离向量路由协议、OSPF是链路状态路由协议C、二者都是距离向量路由协议D、二者都是链路状态路由协议答案：B146.PKI的性能中，信息通信安全通信的关键是__________A、透明性B、易用性C、互操作性D、跨平台性答案：C147.国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，提升（）水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。A、网络服务B、网络主权C、网络安全D、诚实守信答案：A148.POP3S连接服务器使用端口是（）。A、995B、110C、465D、25答案：A149.以下对信息安全管理体系说法不正确的是：（）A、基于国际标准B、它是综合信息安全管理和技术手段，保障组织信息安全的一种方法C、它是管理体系家族的一个成员D、基于国际标准答案：D150.么是DDoS攻击？A、分布式拒绝服务攻击B、数据驱动攻击C、深度防御策略D、动态防御系统答案：A151.我国在1999年发布的国家标准()为信息安全等级保护奠定了基础A、GB17799B、GB15408C、GB17859D、GB14430答案：C152.单项散列函数的安全性来自于他的（）。A、单向性B、算法复杂性C、算法的保密性D、离散性答案：A153.信息安全是通过实施一组合适的（）而达到的，包括策略、过程、规程、（）以及软件和硬件功能。在必要时需建立、安施、监视、评审和改进包含这些控制措施的()过程，以确保满足该组织的特定安全和（），这个过程宜与其他业务（）联合进行。A、信息安全管理；控制措施；组织结构；业务目标；管理过程B、组织结构；控制措施；信息安全管理；业务目标；管理过程C、控制措施；组织结构；信息安全管理；业务目标；管理过程D、控制措施；组织结构；业务目标；信息安全管理；管理过程答案：C154.电子信息发送服务提供者和应用软件下载服务提供者，应当履行安全管理义务，知道其用户有前款规定行为的，应当停止提供服务，采取消除等处置措施，（）有关记录，并向有关主管部门报告。A、销毁B、保存C、审计D、更新答案：B155.以下对于标准化特点的描述哪项是错误的？（）A、标准化的对象是共同的、可重复的事物，不是孤立的一件事、一个事物B、标准化必须是静态的，相对科技的进步和社会的发展不能发现变化C、标准化的相对性，原有标准随着社会发展和环境变化，需要更新D、标准化的效益，通过应用体现经济和社会效益，否则就没必要答案：B156.下列关于防火墙的错误说法是（）A、防火墙工作在网络层B、对IP数据包进行分析和过滤C、重要的边界保护机制D、部署防火墙，就解决了网络安全问题答案：D157.以下那些属于系统的物理故障A、硬件故障与软件故障B、计算机病毒C、人为的失误D、网络故障和设备环境故障答案：A158.在2000/XP/03中，开始/运行：（）可以打开“本地策略编辑器”的管理控制台。A、gpeditB、gpedit.mscC、gpupdateD、gpmmsc答案：B159.8个300G的硬盘做RAID5后的容量空间为（）。A、1200GB、1.8TC、2.1TD、2400G答案：C160.IPv6为了实现对数据包的保护，从而内嵌了以下哪种协议？A、NeighborDiscoveryProtocolB、IPSecC、ICMPv6D、HCPv6答案：B161.供电安全是所有电子设备都需要考虑的问题，只有持续平稳的电力供应，才能保障电子设备工作稳定可靠店此电力供应需要解决问题包括两个，一是确保电力供应不中断、二是确保电力供应平稳。下列选项中，对电力供应的保障措施的描述正确的是（）A、可以采用双路供电来确保电力供应稳定性B、UPS可提供持续、平稳的电力供应，不会受到电涌的影响C、可以部署电涌保护器来确保电力供应稳定性D、发动机供电是目前电力防护最主要的技术措施答案：C162.在什么情况下，企业因特网出口防火墙不起作用？（）A、内部网用户通过防火墙访问因特网B、内部网用户通过Modem拨号访问因特网C、外部用户向内部用户发E-mailD、外部用户通过防火墙访问Web服务器答案：B163.对计算机安全事故的原因的认定或确定由_____作出()A、人民法院B、公安机关C、发案单位D、以上都可以答案：C164.（）是磁介质上信息擦除的最彻底形式。A、格式化B、消磁C、删除D、文件粉碎答案：B165.小李是公司的网络管理员，公司的计算机处于单域中，他使用的操作系统为WindowsServer2003，由于计算机中有非常重要的资料，因此他想设置一个安全的密码。下面（）是比较安全的密码。A、xiaoli123B、bcdefGhijklmD、cb^9L2i82答案：D166.配置通过Console口登录设备时采用AAA认证,设置本地用户的命令级别缺省情况下，命令级别为()。A、0B、1C、2D、3答案：A167.按明文形态划分，对两个离散电平构成0、1二进制关系的电报信息加密的密码是什么密码()A、离散型密码B、模拟型密码C、数字型密码D、非对称式密码答案：C168.在网络安全领域，什么是蜜罐？()A、用于吸引并捕获攻击者的假系统B、存储敏感数据的加密容器C、用于测试网络性能的工具D、防止数据泄露的软件答案：A169.EC-DSA复杂性的程度是（）。A、简单B、最简单C、困难D、最困难答案：D170.杀毒软件报告发现病毒MacorMelissa,由该病毒名称可以推断出病毒类型是()。A、文件型B、引导型C、目录型D、宏病毒答案：D171.安全等级是国家信息安全监督管理部门对计算机信息系统()的确认。A、规模B、安全保护能力C、重要性D、网络结构答案：C172.以下不属于链路聚合优点的是（）。A、扩展链路带宽B、实现物理端口上的负载均衡C、自动链路冗余备份D、避免交换环路答案：D173.关于道德，正确的说法是（）。A、道德在职业活动中不起作用B、道德在公共生活中几乎不起作用C、道德威力巨大，无坚不克D、道德是调节社会关系的重要手段答案：D174.不恰当的异常处理，是指WEB应用在处理内部异常、错误时处理不当，导致会给攻击者透露出过多的web应用架构信息和安全配置信息，某软件开发团队的成员经常遇到处理内部异常，他知道如果错误时处理不当，导致会给攻击者透露出过多的WEB应用架构信息和安全配置。这会导致（）A、拒绝服务B、堆栈追溯C、钓鱼网站D、蠕虫传播答案：B175.关于屏蔽子网防火墙，下列说法错误的是（）。A、屏蔽子网防火墙是几种防火墙类型中最安全的B、屏蔽子网防火墙既支持应用级网关也支持电路级网关C、内部网对于Internet来说是不可见的D、内部用户可以不通过DMZ直接访问Internet答案：D176.《测评准则》和（）是对用户系统测评的依据（《测评准则》现已被《测评要求》替代）A、《信息系统安全等级保护实施指南》B、《信息系统安全保护等级定级指南》C、《信息系统安全等级保护基本要求》D、《信息系统安全等级保护管理办法》答案：C177.INT3指令的机器码为（）。A、CAB、CBC、D、CD答案：C178.以下哪些进程是不正常的。（）A、csrss.exeB、explorer.exeC、explore.exeD、iexplore.exe答案：C179.下列哪个选项不是缓解SQL注入攻击的方法？A、使用参数化查询或预编译语句B、对用户输入进行严格的验证和过滤C、最小化数据库权限D、使用HTTPOnly标志限制cookie的访问权限答案：D180.WindowsServer内有一些特殊组，这些组的成员()。A、可以新建，不能删除B、无法更改C、不可新建，可以删除D、可以新建，可以删除答案：B181.路由器启动时默认开启了一些服务，有些服务在当前局点里并没有作用，对于这些服务：（）。A、就让他开着，也耗费不了多少资源B、就让他开着，不会有业务去访问C、必须关闭，防止可能的安全隐患答案：A182.ITIL最新版本是V3、0,它包含5个生命周期，分别是（）、（）、（）、（）、（）。A、战略阶段；设计阶段；转换阶段；运营阶段；改进阶段B、设计阶段；战略阶段；转换阶段；运营阶段；改进阶段C、战略阶段；设计阶段；运营阶段；转换阶段；改进阶段D、转换阶段；战略阶段；设计阶段；运营阶段；改进阶段答案：A183.以下对Windows系统账号的描述，正确的是（）。A、Windows系统默认不允许修改administrator管理员账号为其它名称B、Windows系统默认生成administrator和guest两个账号，两个账号都不可以改名C、Windows系统默认会生成administrator和guest两个账号，不允许修改guest账号名称D、Windows系统默认生成administrator和guest两个账号，两个账号都可以改名答案：D184.下列情形之一的程序，不应当被认定为《中华人民共和国刑法》规定的“计算机病毒等破坏性程序”的是：（）。A、能够盗取用户数据或者传播非法信息的B、能够通过网络、存储介质、文件等媒介，将自身的部分、全部或者变种进行复制、传播，并破坏计算机系统功能、数据或者应用程序的C、能够在预先设定条件下自动触发，并破坏计算机系统功能、数据或者应用程序的D、其他专门设计用于破坏计算机系统功能、数据或者应用程序的程序答案：A185.下面对国家秘密定级和范围的描述中，哪项不符合《保守国家秘密法》要求？（）A、国家秘密和其密级的具体范围，由国家保密工作部门分别会同外交、公安、国家安全和其他中央有关规定B、各级国家机关、单位对所产生的秘密事项，应当按照国家秘密及其密级的具体范围的规定确定密级C、对是否属于国家和属于何种密级不明确的事项，可有各单位自行参考国家要求确定和定级，然后国家保密工作部门备案D、对是否属于国家和属于何种密级不明确的事项，由国家保密工作部门，省、自治区、直辖市的保密工作部门，省、自治区、直辖市的保密工作部门，省、自治区政府所在地的市和经国务院批准的较大的市的保密工作部门或者国家保密工作部门审定的机关确定。答案：C186.什么是网络安全中的“网络隔离区”（）？A、用于放置公共服务的网络区域，与内部网络隔离B、用于存储敏感数据的网络区域C、用于优化网络性能的区域D、提供远程访问控制的系统答案：A187.传输控制协议(TCP)是传输层协议，以下关于TCP协议的说法，哪个是正确的?A、相比传输层的另外一个协议UDP，TCP既提供传输可靠性，还同时具有更高的效率，因此具有广泛的用途B、TCP协议包头中包含了源IP地址和目的IP地址，因此TCP协议负责将数据传送到正确的主机C、TCP协议具有流量控制.数据校验.超时重发.接收确认等机制，因此TCP协议能完全替代IP协议D、TCP协议虽然高可靠，但是相比UDP协议机制过于复杂，传输效率要比UDP低答案：D188.如果发送方用自己的私钥加密消息，则可以实现()。A、鉴别B、保密与鉴别C、保密而非鉴别D、保密性答案：B189.能够在网络通信中寻找符合网络入侵模式的数据包而发现攻击特征的入侵检测方式是（）。A、基于网络的入侵检测方式B、基于文件的入侵检测方式C、基于主机的入侵检测方式D、基于系统的入侵检测方式答案：A190.Radius协议包是采用()作为其传输模式的。A、TCPB、UDPC、以上两者均可D、其他答案：B191.信息网络安全的第一个时代()A、九十年代中叶B、九十年代中叶前C、世纪之交D、专网时代答案：B192.（）增加明文冗余度。A、混淆B、扩散C、混淆与扩散D、都不是答案：B193.CISP职业道德包括诚实守信，遵纪守法，主要有()。A、不通过计算机网络系统进行造谣、欺诈、诽谤、弄虚作假等违反诚信原则的行为；不利用个人的信息安全技术能力实施或组织各种违法犯罪行为；不在公众网络传播反动、暴力、黄色、低俗信息及非法软件B、热爱信息安全工作岗位，充分认识信息安全专业工作的责任和使命:为发现和消除本单位或雇主的信息系统安全风险做出应有的努力和贡献；帮助和指导信息安全同行提升信息安全保障知识和能力，为有需要的人谨慎负责地做出应对信息安全问题的建议和帮助C、自觉维护国家信息安全，拒绝并抵制泄露国家秘密和破坏国家信息基础设施的行为；自觉维护网络社会安全，拒绝并抵制通过计算机网络系统谋取非法利益和破坏社会和谐的行为；自觉维护公众信息安全，拒绝并抵制通过计算机网络系统侵犯公众合法权益和泄露个人隐私的行为D、通过持续学习保持并提升自身的信息安全知识；利用日常工作、学术交流等各种方式保持和提升信息安全实践能力；以CISP身份为荣，积极参与各种证后活动，避免任何损害CISP声誉形象的行为答案：A194.以下安全技术要求中，属于安全通讯网络的是（）。A、安全架构B、通讯传输C、可信验证D、其他三项都有答案：D195.对发生计算机安全事故和案件的计算机信息系统，如存在安全隐患的，______应当要求限期整改()A、人民法院B、公安机关C、发案单位的主管部门D、以上都可以答案：B196.机房活动地板下的空间作为空调静压箱时，地板高度不宜小于（）mmA、250B、300C、350D、400答案：D197.在网络安全审计中，日志分析主要用于：A、提升网络性能B、监控用户行为C、增强网络带宽D、优化数据库查询答案：B198.以下属于哪一种认证实现方式:用户登录时，认证服务器（AuthenticationServer，AS)产生一个随机数发送给用户，用户用某种单向算法将自己的口令.种子秘钥和随机数混合计算后作为一次性口令，并发送给AS,AS用同样的防腐计算后，验证比较两个口令即可验证用户身份？A、口令序列B、时间同步C、挑战/应答D、静态口令答案：C199.国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供（）、健康的网络环境。A、自由B、安全C、开放D、诚信答案：B200.在网络攻击的多种类型中，以遭受的资源目标不能继续正常提供服务的攻击形式属于哪一种（）。A、拒绝服务B、侵入攻击C、信息盗窃D、信息篡改答案：A201.路由器产品提供完备的安全架构以及相应的安全模块，在软、硬件层面设置重重过滤，保护路由器业务安全。其中不对的说法是：（）。--》缺少D选项A、路由器产品支持URPF，可以过滤大多数虚假IP泛洪攻击B、路由器产品支持CAR功能，可以有效限制泛洪攻击C、路由器产品不支持ACL配置功能，不能定制过滤规则答案：C202.有关危害国家秘密安全的行为，包括:（）。A、严重违反保密规定行为.定密不当行为.公共信息网络运营商及服务商不履行保密义务的行为.保密行政管理部门的工作人员的违法行为B、严重违反保密规定行为.公共信息网络运营商及服务商不履行保密义务的行为.保密行政管理部门的工作人员的违法行为，但不包括定密不当行为C、严重违反保密规定行为.定密不当行为.保密行政管理部门的工作人员的违法行为，但不包括公共信息网络运营商及服务商不履行保密义务的行为D、严重违反保密规定行为.定密不当行为.公共信息网络运营商及服务商不履行保密义务的行为，但不包括保密行政管理部门的工作人员的违法行为答案：A203.下一代网络（NGN）不包括下列哪一个层面。（）A、应用层B、网络业务层C、控制层D、媒体层答案：A204.在某网络机房建设项目中，在施工前，以下哪一项不属于监理需要审核的内容:（）。A、审核实施投资计划B、审核实施进度计划C、审核工程实施人员D、企业资质答案：A205.网页病毒主要通过以下途径传播()A、1>邮件B、文件交换C、网络浏览D、光盘答案：C206.澳大利亚的一个税务局的网站曾被黑客通过简单的修改URL中的ID就获得了17000家公司的信息，可以得出澳大利亚的税务局的网站存在()安全漏洞。A、不安全的加密存储B、安全配置错误C、不安全的直接对象引用D、传输层保护不足答案：C207.网络违法犯罪案件中，各类案件所占比例最高的是（）。A、诈骗、传销等侵财型案B、色情C、赌博D、销售违禁品答案：A208.在使用影子口令文件(shadowedpasswords)的Linux系统中，/etc/passwd文件和/etc/shadow文件的正确权限分别是()。A、rw-r,-rB、rw-r--r--,-r--r--r—C、rw-r--r--,-r答案：C209.在思科设备上，若要查看所有访问表内容，可以使用命令（）。A、showaccess-listsB、showipinterfaceC、showallaccess-listsD、showinterface答案：A210.某项目的主要内容为建造A类机房，监理单位需要根据《电子信息系统机房设计规范》（GB50174-2008）的相关要求，对承建单位的施工设计方案进行审核，以下关于监理单位给出的审核意见错误的是（）A、因机房属于A级主机房，因此设计方案中应考虑配备柴油发电机，当市电发生故障时，所配备的柴油发电机应能承担全部负荷的需要B、由于高端小型机发热量大，因此采用活动地板下送风、上回风的方式C、在异地建立备份机房，设计时应与主用机房等级相同D、A级主机房应设置自动喷水灭火系统答案：D211.SSL握手协议的主要步骤有__________A、三个B、四个C、五个D、六个答案：B212.根据网络安全法，发生网络安全事件，应当立即启动网络安全事件应急预案，对网络安全事件进行调查和评估，要求网络运营者采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向社会发布与什么有关的信息？A、网络安全事件B、企业经营C、个人隐私D、网络技术答案：A213.按照（）规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。A、国务院B、国家网信部门C、公安机关D、国家安全局答案：A214.下列不属于文件包含漏洞的敏感函数（）A、require_once()B、readfile()C、include()D、sum()答案：D215.澳大利亚的一个税务局的网站曾被黑客通过简单地修改URL中的ID就获得了17000家公司的信息，可以得出澳大利亚的税务局的网站存在（）安全漏洞。A、不安全的加密存储B、安全配置错误C、不安全的直接对象引用D、传输层保护不足答案：C216.以下哪个不是网络安全中常见的漏洞扫描工具？()A、NmapB、MetasploitC、WiresharkD、OpenVAS答案：C217.DES算法属于加密技术中的（）。A、对称加密B、不对称加密C、不可逆加密D、以上都是答案：A218.IPS的基本处理流程如下：1、重组应用数据2、匹配签名3、协议识别4、完成检测，以下排列顺序正确的是：（）。A、1-2-3-4B、1-3-2-4C、2-1-3-4D、2-3-4-1答案：B219.从风险管理的角度，以下哪种方法不可取（）?A、接受风险B、分散风险C、转移风险D、拖延风险答案：D220.（）在实施攻击之前，需要尽量收集伪装身份（），这些信息是攻击者伪装成功的（）。例如攻击者要伪装成某个大型集团公司总部的（），那么他需要了解这个大型集团公司所处行业的一些行规或者（）、公司规则制度、组织架构等信息，甚至包括集团公司中相关人员的绰号等等。A、攻击者；所需要的信息；系统管理员；基础；内部约定B、所需要的信息；基础；攻击者；系统管理员；内部约定C、攻击者；所需要的信息；基础；系统管理员；内部约定D、所需要的信息；攻击者；基础；系统管理员；内部约定答案：C221.哪种攻击方式是通过伪装成合法网站来窃取用户信息？A、钓鱼攻击B、水坑攻击C、中间人攻击D、拒绝服务攻击答案：A222.Apache安装配置完成后，有些不用的文件应该及时删除掉。下面不可以采用的做法是：A、将源代码文件转移到其他的机器上，以免被入侵者来重新编译ApacheB、删除系统自带的缺省网页，一般在htdocs目录下C、删除cgi例子脚本D、删除源代码文件，将使Apache不能运行，应禁止一般用户对这些文件的读权限答案：D223.以下哪一项计算机安全程序的组成部分是其它组成部分的基础？（）A、制度和措施B、漏洞分析C、意外事故处理计划D、采购计划答案：A224.（）媒体的综合指数得分超过60分，说明国内媒体的移动传播能力建设还有很大的增长空间。A、人民日报B、中国新闻周刊C、中央电视台新闻频道D、以上都是答案：D225.下列对常见强制访问控制模型说法不正确的是:A、BLP模型影响了许多其他访问控制模型的发展B、Clark-Wilson模型是一种以事物处理为基本操作的完整性模型C、hineseWall模型是一个只考虑完整性的安全策略模型D、Biba模型是-种在数学上与BLP模型对偶的完整性保护模型答案：C226.在L网站服务器中，Httpd服务通过配置项DocumentRoot来指定（）。（选择一项）A、站点的网页根目录B、服务程序Httpd的起始目录C、站点的管理员邮箱D、默认索引页/首页答案：A227.配置（）目前仍然是防范网络入侵者的主要保护措施。A、杀毒软件B、防火墙C、路由器D、交换机答案：B228.SQL注入时下列哪些数据库不可以从系统表中获取数据库结构（）。A、MicrosoftSQLServerB、MySQLC、OracleD、Access答案：D229.在网络安全中，什么是“网络嗅探器”（）？()A、用于捕获和分析网络流量的工具B、用于优化网络性能的软件C、存储网络数据的数据库D、用于检测网络故障的系统答案：A230.什么是恶意软件沙箱？A、一个隔离环境，用于运行和分析潜在的恶意软件B、一种用于备份数据的系统C、一种用于加密数据的工具D、一种用于管理网络设备的软件答案：A231.反病毒软件采用（）技术比较好的解决了恶意代码加壳的查杀。A、特征码技术B、校验和技术C、行为检测技术D、虚拟机技术答案：D232.下面关于网络入侵检测的叙述不正确的是（）。A、占用资源少B、攻击者不易转移证据C、容易处理加密的会话过程D、检测速度快答案：C233.什么是网络安全中的“数据泄露”？()A、网络速度慢导致的数据传输延迟B、未经授权的访问或披露敏感数据C、数据在传输过程中被篡改D、数据备份失败导致的数据丢失答案：B234.我国二十多年的信息安全标准化发展经历第一个阶段描述正确的是（）A、从最开始到2001年，这期间信息安全引起人们的高度重视，标准化工作都是由各部门和行业根据行业业务需求分别制定。B、从最开始到2002年，这期间信息安全还没有引起人们的高度重视，标准化工作都是由各部门和行业根据行业业务需求分别制定，没有统筹规划和统一管理，各部门相互之间缺少沟通和交流。C、从最开始到2001年，我国成立全国信息安全标准化技术委员会，全面规划和管理我国信息安全国家标准。D、其他三项都不对答案：B235.按密钥的使用个数，密码系统可以分为(____)。A、置换密码系统和易位密码系统B、分组密码系统和序列密码系统C、对称密码系统和非对称密码系统D、密码系统和密码分析系统答案：C236.VLAN主要是为了给局域网的设计增加灵活性，下面关于VLAN作用的描述中，不正确的有（）。A、VLAN提高网络的安全性B、VLAN增加了广播域的数量但降低了广播的规模C、VLAN增大了冲突域D、VLAN可以根据人们的需要划分物理网段，非常灵活答案：C237.新浪微博用户中90后、80后，这个年纪的用户占了全体注册用户的（）。A、40%-50%B、50%-60%C、65%-75%D、80%-90%答案：D238.下面关于IIS报错信息含义的描述正确的是()。A、401-找不到文件B、403-禁止访问C、404-权限问题D、500-系统错误答案：B239.如果一个网站存在CSRF漏洞，可以通过CSRF漏洞做下面哪些事情A、获取网站用户注册的个人资料信息B、修改网站用户注册的个人资料信息C、冒用网站用户的身份发布信息D、以上都可以答案：D240.WindowsNT提供的分布式安全环境又被称为()A、域（Domain）B、工作组C、对等网D、安全网答案：A241.关于arp命令，常用的选项有()。A、-aB、-sC、-dD、全都是答案：D242.加密、认证实施中首要解决的问题是（）。A、信息的包装与用户授权B、信息的分布与用户的分级C、信息的分级与用户的分类D、信息的包装与用户的分级答案：C243.GB/T18336《信息技术安全性评估准则》是测评标准类中的重要标准，该标准定义了保护轮廓（ProtectionProfile，PP）和安全目标（SecurityTarget，ST）的评估准则，提出了评估保证级（EvaluationAssurancesLevel，EAL），其评估保证级共分为（）个递增的评估保证等级。A、6B、5C、4D、7答案：D244.上传漏洞产生的原因不包括如下哪几种？()A、没有对上传的扩展名进行检查B、没有对文件内容进行检查C、服务器存在文件名解析漏洞D、文件名生成规律不可预测答案：D245.在进行应用系统的测试时，应尽可能避免使用包含个人隐私和其他敏感信息的实际生产系统中的数据，如果需要使用时，以下哪一项不是必须做的:（）。A、测试系统应使用不低于生产系统的访问控制措施B、为测试系统中的数据部署完善的备份与恢复措施C、在测试完成后立即清除测试系统中的所有敏感数据D、部署审计措施，记录产生数据的拷贝和使用答案：B246.小王在使用superscan对目标网络进行扫描时发现，某一个主机开放了53和5631端口，此主机最有可能是什么？A、文件服务器B、邮件服务器C、WEb服务器D、NS服务器答案：D247.下列哪一项不属于针对数据库的安全防护措施()A、SQL注入防护B、定期进行数据库漏洞扫描C、应用程序层面的数据加密D、使用数据库防火墙答案：C248.在风险分析中，以下哪种说法是正确的?（）A、定量影响分析的主要优点是它对风险进行排序并对那些需要立即改善的环节B、定性影响分析可以很容易地对控制进行成本收益分析。C、定量影响分析不能用在对控制进行的成本收益分析中。D、定量影响分析的主要优点是它对影响大小给出了一个度量。答案：D解析：进行标识。249.安全域实现方式以划分（）区域为主，明确边界以对各安全域分别防护，并且进行域间边界控制。A、逻辑B、物理C、网络D、系统答案：A250.小明在登陆网站.buybook.时，不是直接在浏览器中输入网址，而通过外部链接进入网站，小明自己观察浏览器中网址，发现网址是http://.buybook./login.jsp?sessionid=1234567，此时小明受到的攻击是（）。A、SQL注入B、跨站脚本攻击C、失效的身份认证和会话管理D、跨站请求伪造答案：C251.以下关于“最小特权”安全管理原则理解正确的是（）。A、组织机构内的敏感岗位不能由一个人长期负责B、对重要的工作进行分解，分配给不同人员完成C、一个人有且仅有其执行岗位所足够的许可和权限D、防止员工由一个岗位变动到另一个岗位，累积越来越多的权限答案：C252.安装了合格防雷保安器的计算机信息系统，还必须在（）雷雨季节前对防雷保安器、保护接地装置进行一次年度检查，发现不合格时，应及时修复或更换。A、第三年B、第二年C、每年D、当年答案：C253.防水检测设备应该安装在（）A、空调出水口附近B、窗户附近C、屋顶上方D、以上均可答案：D254.如今，DES加密算法面临的问题是（）。A、密钥太短，已经能被现代计算机暴力破解B、加密算法有漏洞，在数学上已被破解C、留有后门，可能泄露部分信息D、算法过于陈旧，已经有更好的替代方案答案：A255.网络安全法将等级保护制度作为（），2016年11月发布的（）第二十一条明确指出“国家实行网络安全等级保护制度”。正式宣告在网络空间（），我国将等级保护制度作为基本国策。同时也正式将针对信息系统的（）变更为针对网络安全的等级保护标准。现正在修订的《等级保护基本要求》和《等级保护定级指南》等标准的前缀也从过去的“信息安全”修改为（）。A、基本国策；《网络安全法》；安全领域；等级保护标准；“网络安全B、重要国策；《网络安全保护法》；安全领域；等级保护标准；“网络安全”C、重大国策；《网络安全保护法》；安全领域；等级保护标准；“网络安全”D、重要国策；《网络安全法》；安全领域；等级保护标准；“网络安全”答案：A256.BOTNET是（）。A、普通病毒B、木马程序C、僵尸网络D、蠕虫病毒答案：C257.S3的基本存储单元是（）A、服务B、对象C、卷D、组答案：B258.什么是“网络分段”（NetworkSegmentation）？A、将网络划分为多个逻辑上独立的子网络B、将网络物理上划分为多个区域C、将网络用户按照地理位置进行分组D、将网络设备按照功能进行分类答案：A259.下列选项中，（）不能有效地防止跨站脚本漏洞。A、对特殊字符进行过滤B、对系统输出进行处理C、使用参数化查询D、使用白名单的方法答案：C260.H