第八届全国职工职业技能大赛（网络和信息安全管理员）贵州省赛试题库-上（单选题）

PAGEPAGE2第八届全国职工职业技能大赛（网络和信息安全管理员）贵州省赛试题库-上（单选题汇总）一、单选题1.通过人身的安全交流电流规定在(A)以下。A、10mAB、30mAC、50mA答案：A2.关于数据库注入攻击的说法错误的是：（）A、它的主要原因是程序对用户的输入缺乏过滤B、一般情况下防火培对它无法防范C、对它进行防范时要关注操作系统的版本和安全补丁D、注入成功后可以获取部分权限答案：C3.()是备份从最近的海量备份之后对数据所做的修改。A、静态备份B、动态备份C、海量备份D、增量备份答案：D4.恶意代码侵入系统后，等待一定的条件，并具有足够的权限时，就发作并进行破坏活动。是属于恶意代码的攻击模型中的（）作用过程。A、潜伏B、破坏C、侵入系统D、维持或提升现有特权答案：A5.（）不是基于用户特征的身份标识与鉴别。A、指纹B、虹膜C、视网膜D、门卡答案：D6.信息系统安全保护等级为3级的系统，应当（）年进行一次等级测评。A、0.5B、1C、2D、3答案：B7.网络蜜罐(honeypot)是用于什么目的？A、加速网络流量B、提高网络性能C、指示资源的位置D、诱捕黑客答案：D8.容灾的目的和实质是（）A、数据备份B、心理安慰C、保持信息系统的业务持续性D、系统的有益补充答案：C9.下面哪个阶段不属于软件的开发时期()A、详细设计B、总体设计C、编码D、需求分析答案：D10.计算机信息系统安全等级保护的等级是由那几个因素确定（）A、根据计算机信息系统面临的风险B、根据计算机信息系统资源的经济和社会价值及其面临的风险C、根据计算机信息系统价值D、以上都不是答案：B11.IRF(IntelligentResilientFramework)是在该厂家所有数据中心交换机中实现的私有技术，是应用在网络设备控制平面的多虚拟技术。该技术属于哪个厂家?()A、惠普B、JuniperC、isco与VmwareD、博科Brocade答案：A12.以下哪种类型的恶意软件通过在系统中创建后门，允许攻击者远程访问和控制系统？A、木马B、间谍软件C、病毒D、逻辑炸弹答案：A13.设备的硬件维护操作时必须戴()。A、安全帽B、安全带C、防静电手套D、针织手套答案：C14.在Linux系统中新建一个文件或目录时，系统会自动赋予该文件或目录一个（）权限。A、初始访问B、初始读取C、初始写入D、初始保存答案：A15.网络产品、服务的提供者不得设置（）；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取（），按照规定及时告知用户并向有关主管部门报告。A、补救措施，恶意程序B、恶意程序，补救措施C、恶意代码，补救措施D、恶意程序，补救手段答案：B16.C/S的网络工作模式是（）。A、主从式B、对等式C、基于服务器模式D、S/C答案：A17.初始化参数audit_trail为静态参数，使用以下（）命令可以修改其参数值。A、LTERSYSTEMSETaudit_trail=db；B、ALTERSYSTEMSETaudit_trail=dbDEFERRED；C、ALTERSYSTEMSETaudit_trail=dbSCOPE=SPFILE；D、ALTERSESSIONSETaudit_trail=db；答案：C18.终端安全管理目标：规范支撑系统中终端用户的行为，降低来自支撑系统终端的安全威胁，重点解决以下哪些问题？（）。A、终端接入和配置管理；终端账号、秘密、漏洞补丁等系统安全管理；桌面及主机设置管理；终端防病毒管理B、终端账号、秘密、漏洞补丁等系统安全管理；桌面及主机设置管理；终端防病毒管理C、终端接入和配置管理；桌面及主机设置管理；终端防病毒管理D、终端接入和配置管理；终端账号、秘密、漏洞补丁等系统安全管理；桌面及主机设置管理答案：A19.下列对自主访问控制说法不正确的是()。A、自主访问控制允许客体决定主体对该客体的访问权限B、自主访问控制具有较好的灵活性扩展性C、自主访问控制可以方便地调整安全策略D、自主访问控制安全性不高，常用于商业系统答案：A20.在国家信息安全等级保护制度中，信息系统的安全等级被分为（）等级。A、2个B、3个C、4个D、5个答案：D21.网络安全中，用于加密和解密信息的算法叫做什么？A、CipherB、HashC、ProtocolD、Key答案：A22.信息发送者使用_____进行数字签名A、己方的私钥B、己方的公钥C、对方的私钥D、对方的公钥答案：A23.数据安全法规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的什么应当在境内存储？A、加密信息B、原始数据C、备份数据D、处理结果答案：B24.在Web页面中增加验证码功能后，下面说法正确的是（）A、可以防止缓冲溢出B、可以防止文件包含漏洞C、可以增加账号破解等自动化软件的攻击难度D、可以防止目录浏览答案：C25.信息系统安全保护法律规范的基本原则是（）。A、谁主管谁负责的原则、突出重点的原则、预防为主的原则、安全审计的原则和风险管理的原则B、突出重点的原则、预防为主的原则、安全审计的原则和风险管理的原则C、谁主管谁负责的原则、预防为主的原则、安全审计的原则和风险管理的原则D、谁主管谁负责的原则、突出重点的原则、安全审计的原则和风险管理的原则答案：A26.网络运营者应当按照（）的要求，履行安全保护义务。A、电力监控系统安全防护规定B、网络安全等级保护制度C、电力二次系统安全防护规定D、调度数据网管理规定答案：B27.IPv4协议在设计之初并没有过多地考虑安全问题，为了能够使网络方便地进行互联、互通，仅仅依靠IP头部的校验和字段来保证IP包的安全，因此IP包很容易被篡改，并重新计算校验和。IETF于1994年开始制定IPSec协议标准，其设计目标是在IPv4和IPv6环境中为网络层流量提供灵活、透明的安全服务，保护TCP/IP通信免遭窃听和篡改，保证数据的完整性和机密性，有效抵制网络攻击，同时保持易用性。下列选项中说法错误的是（）A、IPSec是一个单独的协议B、IPSec协议提供对IP及其上层协议的保护C、对于IPv4，IPSec是可选的，对于IPv6，IPSec是强制实施的D、IPSec安全协议给出了封装安全载荷和鉴别头两种通信保护机制答案：A28.（）不包含在AAA（AAA的描述）中。A、uthentication（认证）B、Access（接入）C、Authorization（授权）D、Accounting（计费）答案：B29.液体表面的蒸汽与空气形成可燃气体，遇到点火源时，发生一闪即灭的现象称为()A、爆炸B、蒸发C、闪燃答案：C30.以下是对主从式结构数据库系统的描述，请选择错误描述的选项。A、主从式结构是指一个主机带多个终端的多用户结构B、在这种结构中，数据库系统的应用程序、DBMS、数据等都集中存放在主机上C、所有处理任务都由主机来完成，各个用户通过主机的终端并发地存取数据，能够共享数据源D、主从式结构的优点是系统性能高，是当终端用户数目增加到一定程度后，数据的存取通道不会形成瓶颈答案：D31.为尽量防止通过浏览网页感染恶意代码，下列做法中错误的是()。A、不使用IE浏览器，而使用Opera之类的第三方浏览器B、关闭IE浏览器的自动下载功能C、禁用IE浏览器的活动脚本功能D、先把网页保存到本地再浏览答案：D32.拒绝服务攻击（）。A、用超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源等方法的攻击B、全称是DistributedDenialOfServiceC、拒绝来自一个服务器所发送回应请求的指令D、入侵控制一个服务器后远程关机答案：A33.信息安全风险评估是信息安全管理体系建立的基础，以下说法错误的是（）。A、信息安全管理体系的建立需要确定信息安全需求，而信息安全需求获取的主要手段就是信息安全风险评估B、风险评估可以对信息资产进行鉴定和评估，然后对信息资产面对的各种威胁和脆弱性进行评估C、风险评估可以确定需要实施的具体安全控制措施D、风险评估的结果应进行相应的风险处置，本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合。答案：C34.802.1X是基于（）的一项安全技术。A、IP地址B、物理端口C、应用类型D、物理地址答案：B35.计算站场地宜采用(A)蓄电池。A、封闭式B、半封闭式C、开启式D、普通任意的答案：A36.信息系统的开发模式中，有利于信息技术人员培养和系统运行维护的模式是（）A、自行开发B、委托开发C、合作开发D、系统复制答案：C37.在软件开发的敏捷方法中，产品功能的一个短小增量叫做什么？A、SprintB、FeatureC、UserStoryD、Task答案：C38.“三一四”事件，境外媒体的报道达到妖魔化中国的程度，发生在（）年。A、2008B、2009C、2010D、2011答案：A39.网络攻击与防御处于不对称状态是因为()A、管理的脆弱性B、应用的脆弱性C、网络软，硬件的复杂性D、软件的脆弱性答案：C40.下列哪些不是SQL注入的方法A、基于报错的注入B、基于时间的盲注C、进程注入D、联合查询注入答案：C41.在网络安全中，什么是端口扫描？A、对目标计算机上开放的端口进行检测B、对网络流量进行实时监控C、对网络设备进行物理检查D、对数据进行加密处理答案：A42.在密码学中，需要被交换的原消息被称为(____)。A、密文B、算法C、密码D、明文答案：D43.webservice中，修改默认监听端口应修改那个参数？A、security.xmlB、wehtmlC、secrurity.htmlD、wexml答案：D44.在设计信息系统安全保障方案时，以下哪个做法是错误的：A、要充分切合信息安全需求并且实际可行B、要充分考虑成本效益，在满足合规性要求和风险处置的前提下，尽量控制成本C、要充分采取新技术，在使用过程中不断完善成熟，精益求精，实现技术投入保值要求D、要充分考虑用户管理和文化的可接受性，减少系统方案实施障碍答案：C45.下列哪项是私有IP地址？（）A、B、C、D、答案：A46.下列不是抵御DDoS攻击的方法有（）。A、加强骨干网设备监控B、关闭不必要的服务C、限制同时打开的Syn半连接数目D、延长Syn半连接的time答案：D解析：out时间47.哪种加密技术使用单个密钥进行加密和解密？A、对称加密B、非对称加密C、哈希函数D、数字签名答案：A48.《信息系统安全等级保护实施指南》（GB/T22240-2008）将（）作为实施等级保护的第一项重要内容。A、安全规划B、安全评估C、安全定级D、安全实施答案：C49.为规范了实现跨交换机VLAN，IEEE组织制定了（）标准。A、ISLB、VLTC、802、1qD、802、1x答案：C50.下面一行是某个UNIX文件的详情，关于该文件权限的描述不正确的是()。A、这是一个目录，名称是“file”B、文件属性是groupC、“其他人”对该文件具有读、写、执行权限D、user的成员对此文件没有写权限答案：B51.以下哪种类型的攻击是通过大量的恶意请求淹没目标服务器，使其无法提供正常服务？A、SQL注入攻击B、跨站脚本攻击C、拒绝服务攻击(DoS)D、社会工程学攻击答案：C52.依据信息系统安全保障模型，以下那个不是安全保证对象A、机密性B、管理C、过程D、人员答案：A53.按感染对象分类，CIH病毒属于哪一类病毒（）。A、引导区病毒B、文件型病毒C、宏病毒D、复合型病毒答案：B54.小赵是一名小公司的数据库维护人员，他以长期的实践为基础，从数据资源的保护角度出发，归纳出常见的应用系统主要威胁，其中不符合出发点的是（）A、数据访问权限B、数据机密性保护C、备份容灾D、竞争状态答案：D55.根据《信息系统安全等级保护定级指南》，信息系统的安全保护等级由哪两个定级要素决定？（）A、威胁、脆弱性B、系统价值、风险C、信息安全、系统服务安全D、受侵害的客体、对客体造成侵害的程度业务答案：D56.区域安全，首先应考虑（B），用来识别来访问的用户的身份，并对其合法性进行验证，主要通过特殊标示符、口令、指纹等来实现。A、来访者所持物B、物理访问控制C、来访者所具有的特征D、来访者所知信息答案：B57.建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施（）。A、同步规划、同步建设、同步审计B、同步规划、同步建设、同步使用C、同步审计、同步建设、同步使用D、同步审计、同步设计、同步使用答案：B58.以下哪些属于系统的物理故障？()A、硬件故障与软件故障B、计算机病毒C、人为的失误D、网络故障和设备环境故障答案：A59.《中华人民共和国网络安全法》第二十二条，为保障网络运行安全，（）、服务应当符合相关国家标准的强制性要求。A、网络产品B、安全产品C、工业产品D、操作系统答案：A60.国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护（），支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。A、网络安全可信B、网络良好发展趋势C、网络开放自主模式D、网络技术知识产权答案：D61.SQL中的视图提高了数据库系统的（）A、完整性B、并发控制C、隔离性D、安全性答案：D62.建立计算机及其网络设备的物理环境，必须要满足《建筑与建筑群综合布线系统工程设计规范》的要求，计算机机房的室温应保持在__________A、10℃至25℃之间B、15℃至30℃之间C、8℃至20℃之间D、10℃至28℃之间答案：A63.电流为（）毫安是，称为致命电流。A、50B、100C、120D、150答案：B64.不属于TCP端口扫描方式的是（）。A、Xmas扫描B、ICMP扫描C、ACK扫描D、NULL扫描答案：B65.“进不来”“拿不走”“看不懂”“改不了”“走不脱”是网络信息安全建设的目的。其中，“看不懂”是指下面哪种安全服务()。A、数据加密B、身份认证C、数据完整性D、访问控制答案：A66.Nslookup工具不具有以下哪项功能()。A、查询域名对应的IP地址B、检测域传送漏洞C、查询目标域名的whois信息D、查询目标主机存活情况答案：D67.《中华人民共和国计算机信息网络国际联网管理暂行规定》是由（）发布的A、公安部B、信息产业部C、国务院D、国际联网管理中心答案：C68.以下互联设备中，处于OSI/RM中层次最高的设备是（）。A、交换机B、路由器C、网关D、网桥答案：C69.OSPF协议中使用()计算路径开销。A、延迟B、可靠性C、带宽D、MTU答案：C70.信息安全风险评估是信息安全风险管理工作中的重要环节。在国家网络与信息安全协调小组发布的《关于开展信息安全风险评估工作的意见》（国信办[2006]5号）中，风险评估分为自评估和检查评估两种形式，并对两种工作形式提出了有关工作原则和要求，下面选项中描述正确的是（）A、自评估和检查评估是互相排斥的，单位应慎重地从两种工作形式选择一个，并长期使用B、信息安全风险评估应以检查评估为主，自评估和检查评估相互结合，互为补充C、信息安全风险评估应以自评估为主，自评估和检查评估相互结合，互为补充D、自评估和检查评估是互相排斥的，无特殊理由的单位均应选择检查评估，以保证安全效果答案：C71.进行腐蚀品的装卸作业应戴（）手套。A、帆布B、橡胶C、棉布答案：B72.我国有哪些接入端提高了信息的传输和发送能力，使得传输非常方便？（）A、电话线接入、专线接入B、光纤接入、电视接入C、电力网接入、无线移动网接入D、以上都是答案：D73.内容过滤技术的含义不包括（）。A、过滤互联网请求从而阻止用户浏览不适当的内容和站点B、过滤流入的内容从而阻止潜在的攻击进入用户的网络系统C、过滤流出的内容从而阻止敏感数据的泄露D、过滤用户的输入从而阻止用户传播非法内容答案：D74.不属于安全策略所涉及的方面是（）。A、物理安全策略B、访问控制策略C、信息加密策略D、防火墙策略答案：D75.HDLC工作在OSI模型（）层。A、物理B、数据链路C、传输D、网络安全答案：B76.防火墙的透明模式配置中在网桥上配置的IP主要用于（）。A、管理B、保证连通性C、NAT转换D、双机热备答案：A77.下列选项中，与面向构件提供者的构件测试目标无关的是（）A、检查为特定项目而创建的新构件的质量B、检查在特定平台和操作环境中构件的复用、打包和部署C、尽可能多地揭示构件错误D、验证构件的功能、接口、行为和性能答案：A78.在国际通用准则（CC）中，关于保护轮廓PP介绍说法正确的是（）。A、PP包含一套来自CC（或明确阐述）的安全要求，它应包括一个评估保证级别（EAL）B、PP可反复使用，还可用来定义那些公认有用的、能够有效满足特定安全目标的TOE要求，包括安全目的和安全要求的基本原理C、PP的开发者可以是用户团体、IT产品开发者或其它对定义这样一系列通用要求有兴趣的团体D、其他三项都是答案：D79.《国家保密法》对违法人员的量刑标准是（）。A、国家机关工作人员违法保护国家秘密的规定，故意或者过失泄露国家秘密，情节严重的，处三年以下有期徒刑或者拘役；情节特别严重的，处三年以上七年以下有期徒刑B、国家机关工作人员违法保护国家秘密的规定，故意或者过失泄露国家秘密，情节严重的，处四年以下有期徒刑或者拘役；情节特别严重的，处四年以上七年以下有期徒刑C、国家机关工作人员违法保护国家秘密的规定，故意或者过失泄露国家秘密，情节严重的，处五年以下有期徒刑或者拘役；情节特别严重的，处五年以上七年以下有期徒刑D、-国家机关工作人员违法保护国家秘密的规定，故意或者过失泄露国家秘密，情节严重，处七年以下有期徒刑或者拘役；情节特别严重的，处七年以下有期徒刑答案：A80.容灾的目的和实质是().A、数据备份B、心理安慰C、保持信息系统的业务持续性D、系统的有益补充答案：C81.进行域名备案审核时，工信部最新要求，需通过工信部备案系统进行（）核验。A、人脸B、短信C、身份D、资金答案：B82.在WinMail的（）版本中，除提供无限期的使用外，还增加了公共文件夹、用户访问控制，系统广播等功能，也不再有域名个数的限制。（选择一项）A、试用版B、企业版C、标准版D、基础班答案：B83.我们在日常生活和工作中，为什么需要定期修改电脑、邮箱、网站的各类密码?()A、遵循国家的安全法律B、降低电脑受损的几率C、确保不会忘掉密码D、确保个人数据和隐私安全答案：D84.在网络安全中，中断指攻击者破坏网络系统的资源，使之变成无效的或无用的这是对（）。A、可用性的攻击B、保密性的攻击C、完整性的攻击D、真实性的攻击答案：A85.防火墙的主要功能是什么？A、加密数据B、阻止未经授权的访问C、加速网络传输D、存储网络数据答案：B86.SSL层位于（）与（）之间。(securesocketlayer)A、应用层，传输层B、网络层，数据链路层C、传输层，网络层D、数据链路层，物理层答案：A87.在什么情况下，热站会作为一个恢复策略被执行？A、低灾难容忍度B、高恢复点目标（RPO）C、高恢复时间目标（RTO）D、高灾难容忍度答案：A88.在风险分析中，下列不属于软件资产的是（）A、计算机操作系统B、网络操作系统C、应用软件源代码D、外来恶意代码答案：B89.网络安全事件分级总共有（）。A、1级B、2级C、3级D、4级答案：D90.国家专项“1110工程”执行后，开始系统地制定国家信息安全标准，90年代末形成一批急需的信息安全标准，其中包括（）。A、信息安全第一个强制性标准B、第一个国家信息安全体系标准C、国家信息安全管理标准D、信息安全协议标准答案：A91.以下哪项不属于针对数据库的攻击？A、特权提升B、利用XSS漏洞攻击C、SQL注入D、强力破解弱口令或默认的用户名及口令答案：B92.安全审计是事后认定违反安全规则行为的分析技术，在检测违反安全规则方面、准确发现系统发生的事件以及对事件发生的事后分析方面，都发挥着巨大的作用。但安全审计也有无法实现的功能，以下哪个需求是网络安全审计无法实现的功能（）A、发现系统中存储的漏洞和缺陷B、发现用户的非法操作行为C、发现系统中存在后门及恶意代码D、发现系统中感染的恶意代码类型及名称答案：D93.某软件公司准备提高其开发软件的安全性，在公司内部发起了有关软件开发生命周期的讨论，在下面的发言观点中，正确的是（）A、和传统的软件开发阶段相比，微软提出的安全开发生命周期（SecurityDevelopmentLifecycle,SDL）的最大特点是增加了一个专门的安全编码阶段B、应当尽早在软件开发的需求和设计阶段就增加一定的安全措施，这样可以比在软件发布以后进行漏洞修复所花的代价少得多C、软件安全开发生命周期较长、阶段较多，而其中最重要的是要在软件的编码阶段做好安全措施，就可以解决90%以上的安全问题D、软件的安全测试也很重要，考虑到程序员的专业性，如果该开发人员已经对软件进行了安全性测试，就没有必要再组织第三方进行安全性测试答案：B94.下列哪一项与数据库的安全有直接关系（）A、访问控制的粒度B、数据库的大小C、关系表中属性的数量D、关系表中元组的数量答案：A95.在ISO的OSI安全体系结构中，以下哪一个安全机制可以提供抗抵赖安全服务?（）A、加密B、数字签名C、访问控制D、路由控制答案：B96.以下哪种方法可以有效防御DDoS攻击？()A、使用弱密码B、部署DDoS防护设备或服务C、不限制用户访问权限D、不更新系统和应用程序答案：B97.在以下OSI七层模型中，synflooding攻击发生在哪层？（）A、数据链路层B、网络层C、传输层D、应用层答案：C98.一般情况下，默认安装的ApacheTomcat会报出详细的banner信息，修改ApacheTomcat哪一个配置文件可以隐藏banner信息。A、context.xmlB、server.xmlC、tomcat-users.xmlD、web.xml答案：D99.下列方法()不能有效地防止SQL注入。A、使用参数化方式进行查询B、检查用户输入有效性C、对用户输入进行过滤D、对用户输出就行处理答案：D100.在Linux系统中，下列哪个命令可以用来查看kernel版本信息:（）。A、checkB、lskernelC、kernelD、uname答案：D101.无论是哪一种web服务器，都会受到HTTP协议本身安全问题的困扰，这样的信息系统安全漏洞属于：A、设计型漏洞B、开发型漏洞C、运行型漏洞D、以上都不是答案：A102.僵尸网络Botnet是指采用()传播手段。A、2种B、3种C、4种D、多种答案：D103.密码学的目的是（）。A、研究数据保密B、研究数据解密C、研究数据加密D、研究信息安全答案：A104.指纹、虹膜、语音识别技术是以下哪一种鉴别方式的实例:（）。A、你是什么B、你有什么C、你知道什么D、你做了什么答案：A105.2011年，Skype存在用户端对端加密的密钥直接写在代码里(hardcodedkey)的安全漏洞，由此可知Skype存在()安全漏洞。A、不安全的加密存储B、安全配置错误C、不安全的直接对象引用D、传输层保护不足答案：A106.SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多，但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患，小李在对某app网站进行测试时，采用了。的1=11=2测试法，测试发现1=1时网页显示正常，1=2时报错，于是小李得出了四条猜测，则下列说法错误的是（）A、该网站不可以进行SQL注入攻击B、该网站可能存在漏洞C、如果在网站前部署一台H3C的IPS设备，那么1=11=2测试时，URL请求将会被IPS设备阻断，攻击者得不到任何有效信息D、攻击者可以根据报错信息获得的信息，从而进一步实施攻击答案：A107.在网络安全领域，什么是SIEM（）？()A、一种网络防火墙技术B、用于监控和分析安全事件的系统C、存储网络数据的硬件设备D、提供网络服务的软件平台答案：B108.入侵检测系统提供的基本服务功能包括（）。A、异常检测和入侵检测B、入侵检测和攻击告警C、异常检测和攻击告警D、异常检测、入侵检测和攻击告警答案：D109.在一个URL形如http://.x./x.asp?id=284处使用手工探测注入点，出现“请不要在参数中包含非法字符尝试注入！”提示，请问最有可能绕过注入限制的是下面哪种方法？（）A、Get注入B、POST注入C、ookie注入D、盲注答案：C110.SSH使用的端口号为（）。A、21B、22C、23D、24答案：B111.网站的安全协议是https时，该网站浏览时会进行（）处理。A、增加访问标记B、加密C、身份验证D、口令验证答案：B112.云计算是对（）技术的发展与运用。A、并行计算B、网格计算C、分布式计算D、三个选项都是答案：D113.(C)是通过使用公开密钥技术和数字证书等来提供网络信息安全服务的基础平台。A、公开密钥体制B、对称加密体制C、PKI（公开密钥基础设施）D、数字签名答案：C114.在OSI七个层次的基础上,将安全体系划分为四个级别,以下那一个不属于四个级别A、网络级安全B、系统级安全C、应用级安全D、链路级安全答案：D115.社会工程学常被黑客用于（）。A、口令获取B、ARPC、TCPD、DOS答案：A116.100Base-T标准使用（）传输介质。A、同轴电缆线路B、双绞线C、光纤D、红外线答案：B117.下面不属于本地用户组密码安全策略的内容是()。A、密码必须符合复杂性要求B、设定密码长度最小值C、设定用户不能更改密码D、强制密码历史答案：C118.《中华人民共和国网络安全法》为中华人民共和国主席令第（）号。A、四十三B、四十九C、五十三D、五十九答案：C119.国家科学技术秘密的密级分为绝密级、机密级、秘密级，以下哪项属于绝密级的描述?A、处于国际先进水平，并且有军事用途或者对经济建设具有重要影响的B、能够局部反应国家防御和治安实力的C、我国独有、不受自然条件因素制约、能体现民族特色的精华，并且社会效益或者经济效益显著的传统工艺D、国际领先，并且对国防建设或者经济建设具有特别重大影响的答案：D120.以下哪项不是网络安全的基本要素？A、保密性B、完整性C、可用性D、匿名性答案：D121.以下哪一项不是我国信息安全保障工作的主要目标：A、保护互联网知识产权B、保障和促进信息化发展C、维护企业和公民的合法权益D、构建高效的信息传播渠道答案：D122.在OSI参考模型中有7个层次，提供了相应的安全服务来加强信息系统的安全性。以下哪一层提供了保密性、身份鉴别、数据完整性服务()。A、网络层B、表示层C、会话层D、物理层答案：A123.恶意代码的手工查杀中动态分析法分为()。A、内部观察法、外部观察法B、外部观察法、跟踪调试法C、代码特征分析法、代码语句分析法D、内部观察法、跟踪调试法答案：D124.下面关于信息系统安全保障的说法不正确的是（）。A、信息系统安全保障与信息系统的规划组织.开发采购.实施交付.运行维护和废弃等生命周期密切相关B、信息系统安全保障要素包括信息的完整性.可用性和保密性C、信息系统安全需要从技术.工程.管理和人员四个领域进行综合保障D、信息系统安全保障需要将信息系统面临的风险降低到可接受的程度，从而实现其业务使命答案：B125.下列关于测试方法的叙述中不正确的是（）A、从某种角度上讲，白盒测试与黑盒测试都属于动态测试B、功能测试属于黑盒测试C、结构测试属于白盒测试D、对功能的测试通常是要考虑程序的内部结构的答案：D126.一般性的计算机安全事故和计算机违法案件可由_____受理()A、案发地市级公安机关公共信息网络安全监察部门B、案发地当地县级（区、市）公安机关治安部门。C、案发地当地县级（区、市）公安机关公共信息网络安全监察部门D、案发地当地公安派出所答案：C127.在某次信息安全应急响应过程中，小王正在实施如下措施：消除或阻断攻击源、找到并消除系统的脆弱性/漏洞、修改安全策略、加强防范措施、格式化被感染恶意程序的介质等。请问，按照PDCERF应急响应方法，这些工作处于以下哪个阶段（）A、检测阶段B、准备阶段C、根除阶段D、遏制阶段答案：C128.关于DDoS技术，下列哪一项描述是错误的()。A、一些DDoS攻击是利用系统的漏洞进行攻击的B、黑客攻击前对目标网络进行扫描是发功DDoS攻击的一项主要攻击信息来源C、对入侵检测系统检测到的信息进行统计分析有利于检测到未知的黑客入侵和更为复杂的DDoS攻击入侵D、oS攻击不对系统或网络造成任何影响答案：D129.网络安全在多网合一时代的脆弱性体现在（）。A、网络的脆弱性B、软件的脆弱性C、管理的脆弱性D、应用的脆弱性答案：C130.关于认证机构CA，下列哪种说法是错误的。（）A、CA的核心职能是发放和管理用户的数字证书B、CA有着严格的层次结构，其中根CA要求在线并被严格保护C、A可以通过颁发证书证明密钥的有效性D、CA是参与交易的各方都信任的且独立的第三方机构组织答案：C131.在网络安全中，什么是IDS和IPS的主要区别？A、IDS提供实时阻止攻击的能力，而IPS仅提供检测功能B、IPS提供实时阻止攻击的能力，而IDS仅提供检测功能C、IDS和IPS都提供实时检测和阻止攻击的能力D、IDS和IPS都没有实时检测和阻止攻击的能力答案：B132.下列哪一项不是数据安全策略中的关键组成部分()A、访问控制机制B、数据加密技术C、安全审计跟踪D、网络流量分析答案：D133.关于信息安全事件和应急响应的描述不正确的是（）A、应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施B、至今，已有一种信息安全策略或防护措施，能够对信息及信息系统提供绝对的保护，这就使得信息安全事件的发生是不可能的C、信息安全事件，是指由于自然或人为以及软、硬件本身缺陷或故障的原因，对信息系统造成危害，或者在信息系统内发生对社会造成负面影响的事件D、应急相应工作与其他信息安全管理工作相比有其鲜明的特点：具有高技术复杂性与专业性、强突发性、对知识经验的高依赖性，以及需要广泛的协调与合作答案：B134.从研究现状上看，下面不属于云计算特点的是（）A、超大规模B、虚拟化C、私有化D、高可靠性答案：C135.请问以下哪个不是计算机病毒的不良特征()A、隐蔽性B、感染性C、破坏性D、自发性答案：D136.下列命令中错误的是（）A、PASS_MAX_DAYS30<登录密码有效期30天B、PASS_MIN_DAYS2<登录密码最短修改时间2天C、FALL_DELAY10<登录错误时等待10分钟D、FALLLOG_ENABYES<登录错误记录到日志答案：C137.虚拟专网的重点在于建立安全的数据通道，构造这条安全通道的协议必须具备多项条件，以下哪条不属于构造的必备条件()A、保证数据的真实性B、保证数据的完整性C、提供网络信息数据的纠错功能和冗余处理D、确保数据传输中的保密性答案：C138.在网络安全中，什么是“入侵检测系统”（）和“入侵防御系统”（）的主要区别？()A、IDS只能检测攻击，而IPS可以检测和阻止攻击B、IDS用于保护内部网络，而IPS用于保护外部网络C、IDS是软件，而IPS是硬件D、IDS可以阻止所有攻击，而IPS只能检测部分攻击答案：A139.数字证书是将用户的公钥与其（）相联系。A、序列号B、身份C、私钥D、CA答案：D140.GBT20986-2007信息安全事件分类分级指南中信息安全等级保护管理标准共列出14个有关标准（但不限于），包括：信息系统安全管理总体要求、信息系统安全工程管理要求、风险管理的系统要求、安全事件管理要求、漏洞管理要求、信息安全应急响应和（）有关要求，较全面、具体地覆盖了信息安全等级保护管理的各个主要方面。A、数据恢复B、资产清查C、灾难恢复D、数据备份答案：C141.在解答查询时，如果DNS服务器能提供所请求的信息，就直接()解析结果。A、转发B、丢弃C、返回D、禁止答案：C142.数据分类与标签化是实现数据精细化安全管理的重要手段，对于涉及国家秘密的数据，应标记为何种标签()A、机密B、私密C、商业秘密D、公开答案：A143.Unix中，默认的共享文件系统在哪个位置？（）A、/sbin/B、/usr/local/C、/export/D、/usr/答案：C144.你所使用的系统为win2000，所有的分区均是NTFS的分区，C区的权限为everyone读取和运行，D区的权限为everyone完全控制，现在你将一名为test的文件夹，由C区移动到D区之后，test文件夹的权限为？（）A、everyone读取和运行B、everyone完全控制C、everyone读取、运行、写入D、以上都不对答案：B145.数据恢复的第一步一般是做什么的恢复？A、主引导扇区记录B、分区恢复C、文件分配表的恢复D、数据文件的恢复答案：B146.与传统端点安全防护采用预设安全策略的静态防御技术相比，下列有关EDR描述的说法中，错误的是（）。A、EDR加强了威胁检测的能力。B、EDR加强了响应取证的能力。C、EDR可以在威胁造成危害后立即进行检测和阻止。D、EDR具有能够快速检测、识别、监控和处理端点事件的能力。答案：C147.信息战的战争危害较常规战争的危害()A、轻B、重C、不一定答案：C148.鉴别的基本途径有三种：所知.所有和个人特征，以下哪一项不是基于你所知道的（）。A、口令B、令牌C、知识D、密码答案：B149.计算机系统的组成包括()。A、程序和数据B、计算机硬件和计算机软件C、处理器和内存D、处理器,存储器和外围设备答案：B150.下列关于计算机病毒的叙述中，正确的一条是（）A、反病毒软件可以查、杀任何种类的病毒B、计算机病毒是一种被破坏了的程序。C、反病毒软件必须随着新病毒的出现而升级，提高查、杀病毒的功能D、感染过计算机病毒的计算机具有对该病毒的免疫性答案：C151.CISP职业道德包括维护国家、社会和公众的信息安全，主要有（）A、通过持续学习保持并提升自身的信息安全知识；利用日常工作、学术交流等各种方式保持和提升信息安全实践能力；以CISP身份为荣，积极参与各种证后活动，避免任何损害CISP声誉形象的行为B、不通过计算机网络系统进行造谣、欺诈、诽谤、弄虚作假等违反诚信原则的行为；不利用个人的信息安全技术能力实施或组织各种违法犯罪行为；不在公共网络传播反动、暴力、黄色、低俗信息及非法软件C、自觉维护国家信息安全，拒绝并抵制泄露国家秘密和破坏国家信息基础设施的行为；自觉维护网络社会安全，拒绝并抵制通过计算机网络系统侵犯公众合法权益和泄露个人隐私的行为D、热爱信息安全工作岗位，充分认识信息安全专业工作的责任和使命；为发现和消除本单位或雇主的信息系统安全风险作出应有的努力和贡献；帮助和指导信息安全同行提升信息安全保障知识和能力，为有需要的人谨慎负责地提出应对信息安全问题的建议和帮助答案：C152.下列哪一项是arp协议的基本功能？（）A、通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行B、对局域网内的其他机器广播路由地址C、过滤信息，将信息传递个数据链路层D、将信息传递给网络层答案：A153.下列哪种类型的攻击是通过在互联网上扫描，查找并利用网络上的弱点来获取未经授权的访问？A、SQL注入攻击B、社会工程学攻击C、网络钓鱼攻击D、渗透测试答案：D154.哪种安全策略有助于防止敏感数据在未经授权的情况下被泄露？A、数据脱敏B、数据备份C、数据加密D、数据审计答案：C155.在Linux中，可以通过配置（）目录来存放硬件设备的特殊文件A、/devB、/binC、/etcD、/home答案：A156.SL代表什么？A、安全套接字层B、简单套接字层C、同步套接字层D、加密套接字层答案：A157.涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入（）专用产品目录，由具备资格的机构检测认证合格后，方可销售或者提供。A、网络关键设备B、网络安全C、网络关键设备和网络安全D、密码安全答案：C158.关于密码学的讨论中，下列（）观点是不正确的。A、密码学是研究与信息安全相关的方面如机密性、完整性、实体鉴别、抗否认等的综合技术B、密码学的两大分支是密码编码学和密码分析学C、密码并不是提供安全的单一的手段，而是一组技术D、密码学中存在一次一密的密码体制，它是绝对安全的答案：D159.哪个原则是指在信息安全管理中，用户或程序仅获得完成其任务所需的最小权限？A、最小知识原则B、需要知道原则C、最小特权原则D、分离职责原则答案：C160.关于黑客注入攻击说法错误的是A、它的主要原因是程序对用户的输入缺乏过滤B、一般情况下防火墙对它无法防范C、对它进行防范时要关注操作系统的版本和安全补丁D、注入成功后可以获取部分权限答案：C161.下列关于木马反弹端口技术的描述中，错误的是（）A、反弹端口技术中，由木马服务端程序主动连接木马客户端程序B、反弹端口技术中，木马客户端的IP地址必须是公网IP地址C、反弹端口技术中，由跳板计算机将变动后的IP地址主动通知木马服务端程序D、反弹端口技术中，木马的服务端程序可穿透所在内网的包过滤防火墙答案：C162.设备维护保养管理的目的是（）。A、提高设备的使用效率B、延长设备的使用年限C、保证设备的正常使用D、不让设备损坏答案：A163.审计管理指（）。A、保证数据接收方收到的信息与发送方发送的信息完全一致B、防止因数据被截获而造成的泄密C、对用户和程序使用资源的情况进行记录和审查D、保证信息使用者都可有得到相应授权的全部服务答案：C164.根据《信息安全等级保护管理办法》、《关于开展信息安全等级保护测评体系建设试点工作的通知》（公信安[2009]812号）、关于推动信息安全等级保护（）建设和开展（）工作的通知（公信安[2010]303号）等文件，由公安部（）对等级保护测评机构管理，接受测评机构的申请、考核和定期（），对不具备能力的测评机构则（）A、测评体系；等级保护评估中心；等级测评；能力验证；取消授权B、测评体系；等级测评；等级保护评估中心；能力验证；取消授权C、等级测评；测评体系；等级保护评估中心；能力验证；取消授权D、测评体系；等级保护评估中心；能力验证；等级测评；取消授权答案：B165.存储过程是SQL语句的一个集合，在一个名称下存储，按独立单元方式执行。以下哪一项不是使用存储过程的优点：A、提高性能，应用程序不用重复编译此过程B、降低用户查询数量，减轻网络拥塞C、语句执行过程中如果中断，可以进行数据回滚，保证数据的完整性和一致性D、可以控制用户使用存储过程的权限，以增强数据库的安全性答案：B166.IPv6地址的长度是多少位？A、32位B、64位C、128位D、256位答案：C167.以下哪个选项最好描述了多因素身份验证（MFA）？A、只需要用户名和密码即可访问系统B、需要至少两种以上的身份验证方法，如密码和验证码C、只需要提供指纹或虹膜扫描即可访问系统D、使用公钥和私钥进行加密通信答案：B168.apk文件可以使用什么工具进行逆向分析A、ndroidkillerB、urpsuiteC、appscanD、nmap答案：A169.在数据安全领域，以下哪种做法不符合《网络安全法》要求()A、对重要系统进行定期安全检查和维护B、不经用户同意就收集、使用用户的个人敏感信息C、对数据泄露事件进行及时上报和处置D、在设计阶段就考虑数据安全风险并采取预防措施答案：B170.在信息安全风险管理体系中分哪五个层面？A、决策层、管理层、执行层、支持层、用户层B、决策层、管理层、建设层、维护层、用户层C、管理层、建设层、运行层、支持层、用户层D、决策层、管理层、执行层、监控层、用户层答案：D171.某网络安全公司基于网络的实时入侵检测技术，动态监测来自于外部网络和内部网络的所有访问行为，当检测到来自内部网络针对或通过FW的攻击行为，会及时响应，并通知FW实施阻断攻击源，从而进一步提高了系统的抗攻击能力，更有效的保护了网络资源，提高了防御体系的级别。但入侵检测技术不能实现以下哪种功能（）A、核查系统的配置漏洞，评估系统关键资源和数据文件的完整性B、检测并分析用户和系统的活动C、识别违反安全策略的用户活动D、防止IP地址欺骗答案：D172.网络安全中的"沙盒"是用来做什么的？A、过滤垃圾邮件B、执行恶意代码以分析其行为C、存储敏感数据D、加密网络通信答案：B173.以下对“信息安全风险”的描述正确的是（）。A、是来自外部的威胁利用了系统自身存在脆弱性作用于资产形成风险B、是系统自身存在的威胁利用了来自外部的脆弱性作用于资产形成风险C、是来自外部的威胁利用了系统自身存在的脆弱性作用于网络形成风险D、是系统自身存在的威胁利用了来自外部的脆弱性作用于网络形成风险答案：A174.下列哪项不属于机器视觉应用的分类()A、视觉引导与定位B、产品外观检测C、精准测量测距D、自然语言处理答案：D175.下面协议中，（）不是一个传送E-Mail的协议。A、MIMEB、TELNETC、SMTPD、POP答案：B176.下列算法中属于非对称密钥加密算法的是（）A、RSAB、DSAC、ECCD、AES答案：A177.著作权行政管理部门对侵犯互联网信息服务活动中的信息网络传播权的行为实施行政处罚，适用（）。A、《著作权行政处罚实施办法》B、《互联网著作权行政保护办法》C、民法中关于知识产权的相关规定D、《商标法》答案：A178.下面对访问控制技术描述最准确的是()。A、保证系统资源的可靠性B、实现系统资源的可追查性C、防止对系统资源的非授权访问D、保证系统资源的可信性答案：C179.关键信息基础设施的运营者采购网络产品和服务，哪项是不应当开展的？A、可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查B、应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任C、应当审核网络产品和服提供商资质D、应当采购国外最先进的产品和服务答案：D180.关于双联签名描述正确的是（）。A、一个用户对同一消息做两次签名B、两个用户分别对同一消息签名C、对两个有联系的消息分别签名D、对两个有联系的消息同时签名答案：D181.注册或者浏览社交类网站时，不恰当的做法是：（）A、尽量不要填写过于详细的个人资料B、不要轻易加社交网站好友C、充分利用社交网站的安全机制D、信任他人转载的信息答案：D182.下列不是操作系统安全配置的是()。A、系统所有用户的密码都必须符合一定的复杂度B、当前在用的操作系统没有已知的安全漏洞C、为了方便用户使用，应启动FTP服务D、禁止启动不用的服务，例如Telnet、SMTP等答案：C183.在网络安全中，什么是DDoS攻击？A、分布式拒绝服务攻击，通过多个来源发送大量请求来拥塞目标B、暴力破解密码攻击C、跨站脚本攻击D、数据泄露攻击答案：A184.AIX系统管理员要为用户设置一条登录前的欢迎信息，要修改（）。A、/etc/motdB、/etc/profileC、/etc/evironmentD、/etc/security/login.cfg答案：D185.在丢包率测试中，测试单位为()。A、每秒钟传输的帧个数B、防火墙的转发后的帧数量与转发前的帧数量的百分比C、被丢弃的帧占所有应转发的帧的百分比D、每一帧的转发时间答案：C186.某系统被攻击者入侵，初步怀疑为管理员存在弱口令，攻击者从远程终端以管理员身份登录进系统进行了相应的破坏，验证此事应查看：（）A、系统日志B、应用程序日志C、安全日志答案：C187.路由器的路由表包括目的地址，下一站地址以及()。A、时间.距离B、距离.计时器.标志位C、路由.距离.时钟D、时钟.路由答案：B188.一下对于Oracle文件系统描述错误的是（）？A、∗nix下Oracle的可执行文件在$Oracle_HOME/bin/Oracle,$Oracle_HOME/bin也应该包含在路径环境变量内B、Windows下Oracle的可执行文件在%Oracle_HOME%\bin\Oracle.exe,其他C、硬件加密D、固件加密答案：B189.国家秘密的保密期限，应当根据事项的性质和特点进行制定，对不能确定期限的，应当确定（）。A、最长保密期限B、限定保密领域C、保密对象D、解密条件答案：D190.安全等级是国家信息安全监督管理部门对计算机信息系统（）的确认。A、规模B、重要性C、安全保护能力D、网络结构答案：B191.在网络安全监管、防范、管控还有打击、处置方面，要紧紧抓住（）要素，建立一定的机制，发挥作用。A、政府B、人C、法律D、数据答案：B192.2005年4月1日正式施行的《电子签名法》，被称为“中国首部真正意义上的信息化法律”，自此电子签名与传统手写签名和盖章具有同等的法律效力。以下关于电子签名说法错误的是（）A、电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务B、电子签名适用于民事活动中的合同或者其他文件、单证等文书C、电子签名——是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据D、电子签名制作数据用于电子签名时，属于电子签名人和电子认证服务提供者共有答案：D193.使用入侵检测技术的核心问题是（）的建立以及后期的维护和更新。A、异常模型B、规则集处理引擎C、网络攻击特征库D、审计日志答案：C194.关于对信息安全事件进行分类分级管理的原因描述不正确的是（）A、我国早期的计算机安全事件的应急响应工作主要包括计算机病毒防范和“千年虫”问题的解决，关于网络安全应急响应的起步最早B、信息安全事件的种类很多，严重程度也不尽相同，其响应和处理方式也应各不相同C、对信息安全事件进行分类和分级管理，是有效防范和响应信息安全事件的基础D、能够使事前准备、事中应对和事后处理的各项相关工作更具针对性和有效性答案：A195.STP网络中，可以通过配置（）来指定根桥。A、桥优先级B、端口速率C、双工模式D、管理IP答案：A196.网络运营者应当为（）、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。A、国家安全局B、国家能源局C、国家网信部门D、公安机关答案：D197.你想实现每天自动进行磁盘的病毒扫描工作，可以从本地扫描器菜单的以下选项实现：（）A、实时扫描选项B、本地扫描选项C、安排扫描工作D、服务管理器答案：C198.上网行为管理系统工作模式对设备功能支持程度由大到小排序为()。A、网桥模式>路由模式>旁路模式B、旁路模式>路由模式>网桥模式C、路由模式>网桥模式>旁路模式D、以上都不对答案：C199.下列对跨站脚本攻击（XSS）的解释最准确的一项是A、引诱用户点击虚假网络链接的一种攻击方法B、构造精妙的关系数据库的结构化查询语言对数据库进行非法的访问C、一种很强大的木马攻击手段D、将恶意代码嵌入到用户浏览的web网页中，从而达到恶意的目的答案：D200.攻击者可能利用不必要的extproc外部程序调用功能获取对系统的控制权，威胁系统安全。关闭Extproc功能需要修改TNSNAMES.ORA和LISTENER.ORA文件删除一下条目，其中有一个错误的请选择出来（）。A、sys_ertprocB、icache_extprocC、PLSExtprocD、extproc答案：A201.我国存在很多网络的高危漏洞，信息技术产品的（）程度非常低。A、进口化B、国产化C、研发D、销售答案：B202.什么是口令猜测攻击？A、攻击者尝试使用常见的口令或词典中的单词来破解用户账户B、攻击者通过暴力破解密码来访问系统C、攻击者通过拦截网络流量来窃取密码D、攻击者通过伪造电子邮件来诱骗用户泄露密码答案：A203.下列哪一项不是数据安全生命周期管理的关键环节()A、数据加密存储B、数据备份与恢复C、数据传输安全D、图像识别与追踪答案：D204.对照ISO/OSI参考模型各个层中的网络安全服务，在物理层可以采用哪种方式来加强通信线路的安全（）A、防窃听技术B、防火墙技术C、防病毒技术D、……拒认技术答案：A205.与另一台机器建立IPC$会话连接的命令是（）。A、netB、netC、netD、net答案：D解析：user\\\IPC$use\\\IPC$user:Administrator/passwd:aaauser\IPC$use\\\IPC$206.以下对于四级安全运维管理的描述，正确的是？A、对介质的管理没有包含对介质销毁时的保密管理B、将机房环境管理和办公环境管理分开管理C、将机房环境管理和办公环境管理提到同等重要的程度D、应急响应重点关注了灾难防御计划的制定答案：C207.某网站为了更好向用户提供服务，在新版本设计时提供了用户快捷登录功能，用户如果使用IP地址进行访问，就可以无需验证直接登录，该功能推出后，导致大量用户帐号被盗用，对该问题的说法正确的是：A、网站问题是由于使用便利性提高，带来网站用户数增加，导致网站攻击面增加产生此安全问题B、网站问题是由于用户缺乏安全意识导致，使用了不安全的功能，导致网站攻击面增加产生此安全问题C、网站问题是由于开发人员不熟悉安全编码，编写了不安全的代码，导致攻击面增加产生此安全问题D、网站问题是设计人员不了解安全设计关键要素，设计了不安全的功能，导致网站攻击面增加产生此安全问题答案：D208.著名的橘皮书指的是（）。A、可信计算机系统评估标准(TCSEB、C、信息安全技术评估标准（ITSED、E、美国联邦标准（FF、G、通用准则（C答案：A209.常用的口令入侵手段有A、通过网络监听B、利用专门软件进行口令破解C、利用系统的漏洞D、利用系统管理员的失误E、以上都正确答案：E210.信息安全是通过实施一组合适的（）而达到的，包括策略、过程、规程、（）以及软件和硬件功能。在必要时需建立、安施、监视、评审和改进包含这些控制措施的()过程，以确保满足该组织的特定安全和（），这个过程宜与其他业务（）联合进行。A、信息安全管理；控制措施；组织结构；业务目标；管理过程B、组织结构；控制措施；信息安全管理；业务目标；管理过程C、控制措施；组织结构；信息安全管理；业务目标；管理过程D、控制措施；组织结构；业务目标；信息安全管理；管理过程答案：C211.在MA网段建立OSPF邻接关系，需要进行DR和BDR的选举，其好处不包括（）。A、减少路由器的邻接关系数量B、节约路由器CPU资源C、减少路由器频繁处理LSA的情况D、无需等待wait-time答案：D212.什么是网络安全中的“安全基线”？A、网络设备出厂时的默认安全配置B、用户自定义的安全策略集合C、网络系统达到的最低安全标准D、网络安全事件的应急响应流程答案：C213.某单位开发了一个面向互联网提供服务的应用网站，该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试，在应用上线前，项目经理提出了还需要对应用网站进行一次渗透测试，作为安全主管，你需要提出渗透性测试相比源代码测试、模糊测试的优势给领导做决策，以下哪条是渗透性测试的优势？A、渗透测试使用人工进行测试，不依赖软件，因此测试更准确B、渗透测试是用软件代替人工的一种测试方法，因此测试效率更高C、渗透测试以攻击者的思维模拟真实攻击，能发现如配置错误等运行维护所产生的漏洞D、渗透测试中必须要查看软件源代码，因此测试中发现的漏洞更多答案：C214.访问控制的防护要点和信息系统等级描述不正确的是（）。A、防护要点：在会话处于非活跃一段时间或会话结束后终止网络连接。B、防护要点：限制网络最大流量数及网络连接数C、防护要点：能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级D、防护要点：重要网段采取技术手段防止地址欺骗答案：C解析：信息系统等级：三级信息系统等级：三级信息系统等级：三级信息系统等级：三级215.口令要及时更新，要建立定期修改制度，其中系统管理员口令修改间隔不得超过（），并且不得重复使用前（）以内的口令。A、3个月、6次B、6个月、3次C、3个月、3次D、以上答案均不正确答案：C216.安全漏洞产生的原因不包括以下哪一点（）A、复杂异构的网络环境B、软件系统市场出现的信息不对称现象C、软件系统代码的复杂性D、攻击者的恶意利用答案：D217.在插入电子钥匙后，操作系统下的哪个现象是错误的（）。A、lsusb命令可以查看到相应的usb设备B、/sys/bus/usb/devices文件夹下增加了相应的设备文件夹C、/dev文件夹下增加了相应的设备文件D、弹出类似u盘插入的文件夹对话框答案：D218.下面哪一个情景属于身份验证(Authentication)过程?()A、用户依照系统提示输入用户名和口令B、用户在网络上共享了自己编写的一份Office文档，并设定哪些用户可以阅读，哪些用户可以修改C、用户使用加密软件对自己编写的Office文档进行加密，以阻止其他人得到这份拷贝后看到文档中的内容D、某个人尝试登录到你的计算机中，但是口令输入的不对，系统提示口令错误，并将这次失败的登录过程纪录在系统日志中答案：A219.默认情况下，防火墙对抵达防火墙接口的流量如何控制()。A、deny抵达的流量B、对抵达流量不做控制C、监控抵达流量D、交由admin墙处理答案：B220.与网络计算相比，不属于云计算特征的是（）。A、资源高度共享B、适合紧耦合科学计算C、支持虚拟机D、适用于商业领域答案：B221.请从下列各项中选出不是HASH函数算法的一项。（）A、MD5B、SHAC、HMACD、MMAC答案：D222.下面关于IIS报错信息含义的描述正确的是?（）A、401-找不到文件B、500-系统错误C、404-权限问题D、403-禁止访问答案：D223.在网络安全中，什么是“数据脱敏”？A、对数据进行加密以保护其安全性B、删除数据中不必要的个人信息C、使用伪数据替换真实数据用于非生产环境D、对数据进行备份以防止数据丢失答案：C224.使用新设备，必须了解、掌握其安全技术特征，采取有效的安全防护措施，并对从业人员进行专门的安全生产。（）A、当地B、本单位C、行业答案：B225.防止非法授权访问网络设备的方法不包括（）。A、强制使用Telnet远程登录B、使用基于用户名和加密密码的强认证方法C、使用基于用户名的权限分配D、使用ACL限制非法IP答案：A226.某软件在设计时，有三种用户访问模式，分别是仅管理员可访问，所有合法用户可访问和允许匿名访问，请问采用这三种访问模式时，攻击面最高的是（）A、允许匿名访问B、所有合法用户可访问C、仅管理员可访问D、三种方式一样答案：A227.数据完整性指的是（）。A、对数据进行处理，防止因数据被截获而造成泄密B、对通信双方的实体身份进行鉴别C、确保数据数据是由合法实体发出的D、防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致答案：D228.风险处理是依据()，选择和实施合适的安全措施。风险处理的目的是为了将(？)始终控制在可接受的范围内。风险处理的方式主要有(？)、(？)、(？)和(？)四种方式。A、风险；风险评估的结果；降低；规避；转移；接受B、风险评估的结果；风险；降低；规避；转移；接受C、风险评估；风险；降低；规避；转移；接受D、风险；风险评估降低；规避；转移；接受答案：B229.下列哪一项最准确地描述了定量风险分析？（）A、通过基于场景的分析方法来研究不同的安全威胁B、一种将潜在的损失以及进行严格分级的分析方法C、在风险分析时，将货币价值赋给信息资产D、一种基于主观判断的风险分析方法答案：C230.与其它安全手段相比，蜜罐系统的独特之处在于()A、对被保护的系统的干扰小B、能够对攻击者进行反击C、能够搜集到攻击流量D、能够离线工作答案：C231.在数据库安全配置中需要对默认密码进行修改，以下密码中()是sys用户的默认密码。A、tigerB、managerC、hange_on_installD、aqadm答案：C232.设哈希函数H有128个可能的输出(即输出长度为128位)，如果H的k个随机输入中至少有两个产生相同输出的概率大于0.5，则k约等于（）A、232B、264C、296D、528答案：B233.以下关于诚实守信的认识和判断中，正确的选项是（）。A、诚实守信与经济发展相矛盾B、诚实守信是市场经济应有的法则C、是否诚实守信要视具体对象而定D、诚实守信应以追求利益最大化为准则答案：B234.'应用程序接口'()的安全风险不包括：A、未授权访问B、数据泄露C、电源故障D、注入攻击答案：A解析：正确选项：C235.周期性行为，如扫描，会产生哪种处理器负荷?(A)A、IdleB、UsageC、TrafficD、以上都不对答案：A解析：IoadIoadload236.对明文字母重新排列，并不隐藏他们的加密方法属于（）。A、置换密码B、分组密码C、易位密码D、序列密码答案：C237.在linux系统中拥有最高级别权限的用户是()。A、rootB、administratorC、mailD、nobody答案：A238.为了保障网络安全，防止外部网对内部网的侵犯，多在内部网络与外部网络之间设置()。A、密码认证B、时间戳C、防火墙D、数字签名答案：C239.以下选项属于《文明上网自律公约》内容的是①自觉遵纪守法，倡导社会公德，促进绿色网络建设②提倡自主创新，摒弃盗版剽窃，促进网络应用繁荣③提倡诚实守信，摒弃弄虚作假，促进网络安全可信④提倡人人受益，消除数字鸿沟，促进信息资源共享（）。A、②③④B、①②④C、①②③D、①②③④答案：D240.下列关于数据库范式说法不正确的是()A、第一范式（1NB、要求属性不可再分，即每个属性都是原子性的C、第二范式（2ND、要求表必须消除部分依赖，即不存在非主属性对键的部分依赖E、第三范式（3NF、要求表必须消除传递依赖，即不存在非主属性对键的传递依赖G、第四范式（4NH、仅要求关系满足BCNF范式，并不要求消除多值依赖答案：D241.从下列数据库分割条件中，选出用于抵御跟踪器攻击和抵御对线性系统攻击的一项。（）。A、每个分割区G有g=|G|记录，其中g=0或g>=n，且g为偶数，B、记录必须成对地加入G或从G中删除C、查询集虚报口各个分割区，如果查询含有一个以上记录的统计信息是从m各分割区G1，G2，…D、记录必须不对地加入G或从G中删除答案：B解析：…Gm中每一个分割区而来的，则统计信息g（G1VG2V……VGm）是允许发布242.为风险管理工作提供一份有效的方法之一是()。A、BBSB、ABSC、WBSD、RBS答案：D243.用来追踪DDoS流量的命令式：（）A、ipsource-routeB、ipcefC、ipsource-trackD、ipfinger答案：C244.“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级，国家秘密的密级分为：（）。A、“普密”、“商密”两个级别B、“低级”和“高级”两个级别C、“绝密”、“机密”、“秘密”三个级别D、“一密”、“二密”，“三密”、“四密”四个级别答案：C245.软件开发者对要发布的软件进行数字签名，并不能保证（）。A、软件的完整性B、软件的来源可靠可信C、软件的代码安全D、软件的发布日期可信答案：C246.BurpSuite是用于攻击web应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程，以下说法错误的是（）A、BurpSuite默认监听本地的8080端口B、urpSuite默认监听本地的8000端口C、BurpSuite可以扫描访问过的网站是否存在漏洞D、BurpSuite可以抓取数据包破解短信验证码答案：B247.Sqlmap是一个什么工具？（）A、信息收集B、webshellC、注入D、跨站攻击答案：C248.关于SSL的描述，不正确的是()A、SSL协议分为SSL握手协议和记录协议B、SSL协议中的数据压缩功能是可选的C、大部分浏览器都内置支持SSL功能D、SSL协议要求通信双方提供证书答案：D249.在Windows2000中，以下哪个进程不是基本的系统进程:()A、smss.exeB、csrss.ExeC、winlogon.exeD、-conime.exe答案：D250.网络安全法规定，国家推进网络安全什么建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务？A、标准化B、产业化C、信息化D、市场化答案：A251.1995年之后信息网络安全问题就是()A、风险管理B、访问控制C、消除风险D、回避风险答案：A252.防火墙主要可以分为()A、包过滤型、代理性、混合型B、包过滤型、系统代理型、应用代理型C、包过滤型、内容过滤型、混合型答案：A253.以下是对面向对象数据库结构的描述，请选择错误描述的选项。A、它允许用对象的概念来定义与关系数据库交互B、面向对象数据库中有两个基本的结构：对象和字面量C、优点是程序员需要掌握与面向对象概念以及关系数据库有关的存储D、缺点是用户必须理解面向对象概念，目前还没有统一的标准，稳定性还是一个值得关注的焦点答案：C254.SMTPS连接服务器使用端口是（）。A、995B、110C、465D、25答案：C255.以下不属于链路聚合优点的是（）。A、扩展链路带宽B、实现物理端口上的负载均衡C、自动链路冗余备份D、避免交换环路答案：D256.下面哪个HTTP服务器无文件解析漏洞A、IISB、ApacheC、TomcatD、Nginx答案：C257.西方反华势力和敌对组织通过网络平台多的优势，大搞西方价值观念的输出，在（）争夺话语权。A、政治空间B、社会空间C、网络空间D、私人空间答案：C258.下列说法不正确的一项是()。A、需要制定既满足相关要求又符合实际情况的人员安全管理条例，并进行必要B、应依据安全策略允许或者拒绝便携式和移动式设备的网络接入C、应安装系统的最新补丁程序，当发现新的补丁时要马上安装D、一定要定期对网络系统和主机系统进行漏洞扫描，对发现的安全漏洞进行及时的修补。答案：C解析：的人员安全意识和安全技能培训。259.下列哪种加密算法主要用于实现数据在传输过程中的机密性()A、MD5B、AESC、RSAD、SHA-256答案：B260.以下关于软件安全保障说法错误的是（）A、软件安全保障是对“软件可以规避安全漏洞而按照预期方式执行其功能”的客观证明。B、软件安全保障以风险管理为基础C、没有考虑风险管理的软件安全是不完整的D、软件安全保障的目标是在软件开发生命周期中提升安全性答案：B261.以Windowsserver2008IIS中自带的FTP服务为例，配置默认站点属性中的“安全帐户”选项卡，如果勾选了“允许匿名连接”，则客户端访问该FTP站点时（）。A、只允许匿名用户访问B、允许匿名用户和指定用户访问C、不允许匿名用户和指定用户访问D、只允许指定用户访问答案：B262.小王进行资产评估的过程中，根据资产的表产形式对资产进行了分类，可将资产分为数据，软件硬件，服务，人员等类型。有一种类型的资产中含有源代码，数据库数据，系统文档，运行管理规程，计划，报告，用户手册，各类纸质的文档等，请问这是哪种类型资产（）A、服务B、软件C、硬件D、数据答案：D263.目前运行在主机上的主流的操作系统有（）。A、WindowsB、LinuxC、SunSolarisD、其他三项都是答案：D264.下列哪些不是广泛使用http服务器？（）A、W3CB、ApacheC、IISD、IE答案：D265.下面哪类设备常用于风险分析过程中，识别系统中存在的脆弱性？A、防火墙B、IDSC、漏洞扫描器D、UTM答案：C266.VPN是指()A、虚拟的专用网络B、虚拟的协议网络C、虚拟的包过滤网络答案：A267.BOTNET是（）。A、普通病毒B、木马程序C、僵尸网络D、蠕虫病毒答案：C268.ITIL最新版本是V3、0,它包含5个生命周期，分别是（）、（）、（）、（）、（）。A、战略阶段；设计阶段；转换阶段；运营阶段；改进阶段B、设计阶段；战略阶段；转换阶段；运营阶段；改进阶段C、战略阶段；设计阶段；运营阶段；转换阶段；改进阶段D、转换阶段；战略阶段；设计阶段；运营阶段；改进阶段答案：A269.（）不是逻辑隔离装置的主要功能。A、网络隔离B、SQL过滤C、地址绑定D、数据完整性检测答案：D270.《中华人民共和国网络安全法》共（）章，七十九条。A、六B、七C、八D、九答案：B271.有三种基本的鉴别的方式：你知道什么，你有什么,以及（）。A、你需要什么B、你看到什么C、你是什么D、你做什么答案：C272.网盘是