奇安信1+X考试附有答案

奇安信1+X考试[复制]1.本行业的“应急响应”特指：网络安全应急响应的概念是指对已经发生或可能发生的网络安全事件进行（）网络安全的活动。[单选题]*A.监控、分析、协调、处理、伤害B.监视、分析、协调、处理、保护C.监控、分析、调解、处理、保护D.监控、分析、协调、处理、保护（正确答案）(正确答案)2.国家或机构开展应急响应活动的目的是（）主要是为了对网络安全问题提前有所准备，以便在遇到突发网络安全事件时做到，将损失和影响降到最低。[单选题]*A.专常兼备、反应灵敏B.上下联动、平战结合C.有序应对、妥善处理(正确答案)D.专常兼备、上下联动3.网络应急响应的活动应该包括哪两个方面（）。[单选题]*A.病毒检测、后门检测B.未雨绸缪、亡羊补牢(正确答案)C.系统备份、风险评估D.清除病毒、系统恢复4.在《信息技术服务运行维护第3部分：应急响应规范》标准中，主要内容是规定了应急响应的主要阶段及每个阶段的工作内容。该标准提出运行维护服务中的应急响应的过程包括4个阶段，分别是（）。[单选题]*A.预先准备阶段、监测与分析阶段、应急处置阶段、总结改进阶段B.应急准备阶段、监测与预警阶段、应急处置阶段、总结改进阶段(正确答案)C.应急测试阶段、监测与分析阶段、提前处置阶段、总结改进阶段D.应急准备阶段、监控与预警阶段、应急处置阶段、总体实施阶段5.我国：国家应急响应组织——国家计算机网络应急技术处理协调中心其英文简称是（）。[单选题]*A.CERT/CDB.CNERTE/CCC.CERT/CCD.CNCERT/CC(正确答案)6.在风险评估实施过程中通常遵循三个基本原则（）。[单选题]*A.关键业务原则、可控性原则、循环原则B.关键业务原则、可控性原则、最小影响原则(正确答案)C.循环原则、最小影响原则、就近原则D.最小影响原则、循环原则、可控性原则7.应急响应预案（简称“应急预案”）的编制是（）最重要的工作应急预案的针对性和可行性直接影响最终的事件处置结果是否圆满。[单选题]*A.应急响应测试阶段B.应急响应交付阶段C.应急响应准备阶段(正确答案)D.应急响应保证阶段8.应加强（），建立信息安全事件报告和通报制度，发生信息安全事件的单位应当在安全事件发生后，立即向应急响应日常运行小组报告。[单选题]*A.信息安全监测、分析和预警(正确答案)B.信息安全监测、检测和预警C.网络安全监测、分析和预警D.信息安全监测、分析和检测9.考虑到各个组织性质和需求可能存在很大的差异性，本条描述的具体内容是可选的，也可以做适当调整，但（）这三个大的方面是必要的。[单选题]*A.社会保障、物质保障和技术保障B.人力保障、财富保障和技术保障C.社会保障、财富保障和技术保障D.人力保障、物质保障和技术保障(正确答案)10.Windows系统排查包括（）。[单选题]*A.文件排查、进程排查、系统信息排查、使用工具排查、日志排查(正确答案)B.文件排查、系统信息排查、使用工具排查、日志排查C.文件排查、进程排查、系统信息排查、日志排查D.文件排查、进程排查、系统信息排查、使用工具排查11.使用（）等命令查看系统用户登录信息。[单选题]*A.lastlog、lastb、afterB.lastlog、lostore、afterC.lastlog、lastb、last(正确答案)D.lastlog、lastb、inseter12.Linux系统排查包括（）。[单选题]*A.系统信息排查、进程排查、日志排查B.文件排查、进程排查、日志排查(正确答案)C.文件排查、进程排查、使用工具排查D.使用工具排查、进程排查、系统信息排查13.应急准备阶段的主要工作包括（）。*A.建立应急响应组织(正确答案)B.制定应急响应制度(正确答案)C.风险评估与改进(正确答案)D.划分应急事件级别(正确答案)E.应急响应预案制定(正确答案)F.培训与演练(正确答案)14.2016年4月19日，习近平总书记在网络安全和信息化工作座谈会上的讲话中提到：“要全面加强网络（）。*A.安全检查(正确答案)B.摸清家底(正确答案)C.认清风险(正确答案)D.找出漏洞(正确答案)E.风险评估15.应急响应计划文档包括（）*A.总则(正确答案)B.角色及职责(正确答案)C.预防和预警机制(正确答案)D.应急响应流程(正确答案)E.应急响应保障措施(正确答案)F.附件(正确答案)16.软件备份包括（）。[单选题]*A.云端备份和文件备份B.操作系统备份和文件备份(正确答案)C.存储备份和硬件备份D.数据备份和文件备份17.备份的种类包括（）。[单选题]*A.全量备份、增量备份、时间备份、完整备份、计划备份、三地二中心B.全量备份、增量备份、差异备份、完整备份、计划备份、三地二中心C.全量备份、增量备份、差异备份、数据备份、恢复备份、两地三中心D.全量备份、增量备份、差异备份、完整备份、计划备份、两地三中心(正确答案)18.差异备份是指在一次全备份后到进行差异备份的这段时间内，对那些（）文件的备份。[单选题]*A.增加或删除B.删除或修改C.增加或修改(正确答案)D.删除或减少19.计划备份：可以制订计划，以便在指定的日期和时间自动执行备份工作，备份数据可以存储在（）。[单选题]*A.本地磁盘、USB或外接式磁盘和网络共享文件夹(正确答案)B.本地磁盘、USB或外接式磁盘C.本地磁盘、手机内存或外接式磁盘和网络共享文件夹D.本地磁盘、虚拟磁盘或外接式磁盘20.灾难等级恢复能力划分几个等级（）。[单选题]*A.4B.5C.6(正确答案)D.721.灾难等级恢复能力第五级是指（）。[单选题]*A.电子传输和部分设备支持B.电子传输及完整设备支持C.实时数据传输及完整设备支持(正确答案)D.数据零丢失和远程集群支持22.禁用MySQL的命令历史加固方法（）*A.cd~//进入用户的home目录(正确答案)B.rm-rf.mysql_history//删除历史记录(正确答案)C.ln-s/dev/null.mysql_history//将MySQL日志文件指向空设备(正确答案)D.cd~·//进入用户的home目录23.禁用MySQL的命令历史加固确认()[单选题]*A.cat~/.mysql_history//查看mysql命令历史文件的内容，确保其为空。(正确答案)B.cat/.mysql_history//查看mysql命令历史文件的内容，确保其为空。C.cat/mysql_history//查看mysql命令历史文件的内容，确保其为空。D.catmysql_history//查看mysql命令历史文件的内容，确保其为空。24.MySQL账户拥有登录shell加固要求()[单选题]*A.当前Linux系统的mysql用户不允许以交互方式登录，要求禁止其登录OS。B.当前Linux系统的mysql用户禁止以交互方式登录，要求禁止其登录OS。C.当前Linux系统的mysql用户以交互方式登录，要求禁止其登录OS。(正确答案)D.当前Linux系统的mysql用户允许以inter方式登录，要求禁止其登录OS。25.MySQL账户拥有登录shell加固方法（）[单选题]*A.usermod-s/sbin/nologinmysql。(正确答案)B.usermod-x/sbin/nologinmysql。C.usermod-d/sbin/nologinmysql。D.usermod-a/sbin/nologinmysql。26.MySQL账户拥有登录shell加固确认（）[单选题]*A.getentpasswdmysql//查看mysql账户的shell，确定其不具备交互式访问能力(正确答案)B.getentpasswdmysql//查看mysql账户的shell，禁止其不具备交互式访问能力C.getentpasswdmysql//查看mysql账户的she，确定其不具备交互式访问能力D.getentpasswdmysql//查看mysql账户的she，禁止其不具备交互式访问能力27.禁止MySQL访问本地文件加固要求（）[单选题]*A.当前MySQL允许通过LOADDATAINFILE或SELECTlocal_file命令装载本地文件，不要求禁用MySQL的此项功能。B.当前MySQL允许通过LOADDATAINFILE或SELECTlocal_file命令装载本地文件，使用MySQL的此项功能。C.当前MySQL允许通过LOADDATAINFILE或SELECTlocal_file命令装载本地文件，要求禁用MySQL的此项功能。(正确答案)D.当前MySQL允许通过LOADDATAINFILE或SELECTlocal_file命令装载本地文件，运行MySQL的此项功能。28.禁止MySQL访问本地文件加固方法（）[单选题]*A.vi/etc/f//编辑配置文件在[myspld]部分加入：local-infile=0。保存退出。B.vi/etc/f//编辑配置文件在[mysqly]部分加入：local-infile=0。保存退出。C.vi/etc/f//编辑配置文件在[myhome]部分加入：local-infile=0。保存退出。D.vi/etc/f//编辑配置文件在[mysqld]部分加入：local-infile=0。保存退出。(正确答案)29.禁止MySQL访问本地文件加固方法（）[单选题]*A.systemctlrestertmariadb//重启mariadb服务B.systemctyrestartmariadb//重启mariadb服务C.systemctlrestartmariadb//重启mariadb服务(正确答案)D.systemctyrestartmariadb//重启mariadb服务30.禁止MySQL访问本地文件加固确认()[单选题]*A.mysql-uqax_gly-p//登录mlsqB.mysql-uqax_gly-p//登录misqC.mysql-uqax_gly-p//登录masqD.mysql-uqax_gly-p//登录mysq(正确答案)31.禁止MySQL访问本地文件加固确认()[单选题]*A.showvariableslike'local_infile';//查看local_infile参数的值(正确答案)B.showvariableslike'lohal_infile';//查看lohal_infile参数的值C.showvariableslike'loqal_infile';//查看loqal_infile参数的值D.showvariableslike'losal_infile';//查看losal_infile参数的值32.应急演练是指各政企单位组织相关人员，依据有关网络安全应急预案，开展应对网络安全事件的（）[单选题]*演习活动(正确答案)应急演练系统备份风险评估33.关于网络安全事件应急演练，在《网络安全法》中有如下要求：第三十四条规定：[单选题]*A.定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力，是国家网信部门统筹协调有关部门对关键信息基础设施的安全保护措施之一。B.负责关键信息基础设施安全保护工作的部门应当制定本行业，本领域的网络安全事件应急预案，并定期组织演练。C.制定网络安全事件应急预案，并定期进行演练是关键信息基础设施的运营者应当履行安全保护义务之一。(正确答案)D.通过开展应急演练，查找和验证应急预案中存在的问题，完善应急预案，提高应急预案的科学性，实用性和可操作性。34.关于网络安全事件应急演练，在《网络安全法》中有如下要求：

第三十九条规定：[单选题]*A.定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力，是国家网信部门统筹协调有关部门对关键信息基础设施的安全保护措施之一。(正确答案)B.负责关键信息基础设施安全保护工作的部门应当制定本行业，本领域的网络安全事件应急预案，并定期组织演练。C.制定网络安全事件应急预案，并定期进行演练是关键信息基础设施的运营者应当履行安全保护义务之一。D.通过开展应急演练，查找和验证应急预案中存在的问题，完善应急预案，提高应急预案的科学性，实用性和可操作性。35.关于网络安全事件应急演练，在《网络安全法》中有如下要求：第五十三条规定：[单选题]*A.定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力，是国家网信部门统筹协调有关部门对关键信息基础设施的安全保护措施之一。B.负责关键信息基础设施安全保护工作的部门应当制定本行业，本领域的网络安全事件应急预案，并定期组织演练。(正确答案)C.制定网络安全事件应急预案，并定期进行演练是关键信息基础设施的运营者应当履行安全保护义务之一。D.通过开展应急演练，查找和验证应急预案中存在的问题，完善应急预案，提高应急预案的科学性，实用性和可操作性。36.•2020年4月，GB/T38645—2020（《》）正式发布，该指南于2020年11月1日正式实施。[单选题]*A.互联网技术网络安全事件应急预案指南B.信息安全技术网络基础设施安全保护指南C.互联网技术网络基础设施安全保护指南D.信息安全技术网络安全事件应急演练指南(正确答案)37.应急演练的目的宣传教育（）；[单选题]*A.通过开展应急演练，查找和验证应急预案中存在的问题，完善应急预案，提高应急预案的科学性，实用性和可操作性B.关键业务原则，可控性原则，最小影响原则通过开展应急演练，普及应急知识，不断增强网络安全管理的专业化程度，提高全员网络安全风险防范意识。(正确答案)C.通过开展应急演练，检查应对网络安全事件所需应急队伍，物资，装备，技术等方面的准备情况，发现不足及时予以调整补充，做好应急准备工作D.通过开展应急演练，进一步明确相关单位和人员的职责任务，理顺工作关系，完善各关联方之间分离，阻隔，配套应急联动机制，防范网络安全风险传导38.应急演练的目的检验预案：[单选题]*A.通过开展应急演练，检查应对网络安全事件所需应急队伍，物资，装备，技术等方面的准备情况，发现不足及时予以调整补充，做好应急准备工作B.关键业务原则，可控性原则，最小影响原则通过开展应急演练，普及应急知识，不断增强网络安全管理的专业化程度，提高全员网络安全风险防范意识。C.通过开展应急演练，查找和验证应急预案中存在的问题，完善应急预案，提高应急预案的科学性，实用性和可操作性(正确答案)D.通过开展应急演练，进一步明确相关单位和人员的职责任务，理顺工作关系，完善各关联方之间分离，阻隔，配套应急联动机制，防范网络安全风险传导39.应急演练的目的完善准备：[单选题]*A.通过开展应急演练，检查应对网络安全事件所需应急队伍，物资，装备，技术等方面的准备情况，发现不足及时予以调整补充，做好应急准备工作(正确答案)B.通过开展应急演练，进一步明确相关单位和人员的职责任务，理顺工作关系，完善各关联方之间分离，阻隔，配套应急联动机制，防范网络安全风险传导C.通过开展应急演练，查找和验证应急预案中存在的问题，完善应急预案，提高应急预案的科学性，实用性和可操作性D.关键业务原则，可控性原则，最小影响原则通过开展应急演练，普及应急知识，不断增强网络安全管理的专业化程度，提高全员网络安全风险防范意识。40.应急演练的目的锻炼队伍：[单选题]*A.通过开展应急演练，增强演练管理部门，指挥机构，参演机构和人员等对应急预案的熟悉程度，锻炼应急处置需要的技能，加强配合，提高其应急处置能力(正确答案)B.通过开展应急演练，进一步明确相关单位和人员的职责任务，理顺工作关系，完善各关联方之间分离，阻隔，配套应急联动机制，防范网络安全风险传导C.通过开展应急演练，查找和验证应急预案中存在的问题，完善应急预案，提高应急预案的科学性，实用性和可操作性D.关键业务原则，可控性原则，最小影响原则通过开展应急演练，普及应急知识，不断增强网络安全管理的专业化程度，提高全员网络安全风险防范意识。41.应急演练的目的磨合机制：[单选题]*A.通过开展应急演练，检查应对网络安全事件所需应急队伍，物资，装备，技术等方面的准备情况，发现不足及时予以调整补充，做好应急准备工作B.通过开展应急演练，进一步明确相关单位和人员的职责任务，理顺工作关系，完善各关联方之间分离，阻隔，配套应急联动机制，防范网络安全风险传导(正确答案)C.通过开展应急演练，查找和验证应急预案中存在的问题，完善应急预案，提高应急预案的科学性，实用性和可操作性D.关键业务原则，可控性原则，最小影响原则通过开展应急演练，普及应急知识，不断增强网络安全管理的专业化程度，提高全员网络安全风险防范意识。42.按照应急演练的组织形式，分为如下形式：[单选题]*A.桌面推演，模拟演练，实操演练，专项演练，综合演练，检验性演练，示范性演练，提高应急演练。B.桌面推演，风险评估演练，实操演练，专项演练，综合演练，检验性演练，示范性演练，研究性演练。C.桌面推演，安全检查演练，实操演练，专项演练，综合演练，检验性演练，示范性演练，研究性演练。(正确答案)D.桌面推演，模拟演练，实操演练，应急响应演练，综合演练，检验性演练，示范性演练，研究性演练。43.演练组织架构包括（）。[单选题]*A.协调各单位，外联络相关单位，指挥机构B.管理部门，指挥机构，参演机构(正确答案)C.安全监管部门，管理部门，指挥机构D.指挥机构，参演机构，下级组织44.指挥机构主要由三种人员组成：指挥人员、策划人员、督导人员。（）的主要职责如下：对应急演练工作的承诺和支持，包括发布正式文件、提供必要资源（人、财、物）等；审核并批准应急演练方案；指挥、调度应急演练现场工作；宣布应急演练开始、结束或终止；总结应急演练效果、完成演练总结报告。[单选题]*A.指挥人员(正确答案)B.策划人员C.督导人员45.指挥机构主要由三种人员组成：指挥人员、策划人员、督导人员。（）的主要职责如下：策划、制定应急演练方案；负责应急演练过程中的解说。[单选题]*A.指挥人员B.策划人员(正确答案)C.督导人员46.指挥机构主要由三种人员组成：指挥人员、策划人员、督导人员。（）的主要职责如下：督查演练活动是否符合应急演练规划要求；现场监督知道应急演练具体工作。[单选题]*A.指挥人员B.策划人员C.督导人员(正确答案)47.参演机构主要由（）人员组成：*顾问人员(正确答案)实施人员(正确答案)保障人员(正确答案)技术支持人员(正确答案)评估人员(正确答案)其他人员(正确答案)48.制定演练计划包括（）*明确演练目的(正确答案)分析演练要求(正确答案)确定演练范围(正确答案)起草日程计划(正确答案)编制演练经费预算(正确答案)49.制定演练方案包括（）*编制工作方案(正确答案)编制保障方案(正确答案)编制评估方案(正确答案)编写演练脚本(正确答案)50.评审与修订演练方案包括（）*应急演练保障(正确答案)演练效果演练动员与培训(正确答案)应急演练规划51.实施阶段包括（）*演练启动(正确答案)安全事件模拟(正确答案)演练执行(正确答案)演练记录(正确答案)演练结束与终止(正确答案)52.评估与总结阶段包括（）*演练评估(正确答案)演练总结(正确答案)文件归档与备案(正确答案)考核与奖惩(正确答案)改善提升(正确答案)监督整改(正确答案)53.（）是一个多用户多任务的操作系统，允许多个用户同时登陆到系统，使用系统资源。为了使所有用户的工作顺利进行，保护每个用户的文件和进程，规范每个用户的权限，需要区分不同的用户，就产生了用户账户和组群。[单选题]*A.linux操作系统(正确答案)B.Windows操作系统C.Uinux操作系统54.（）是用户的身份标识，用户通过用户账户可以登录到系统，并且访问已经被授权的资源。系统依据账户来区分属于每个用户的文件、进程、任务，并给每个用户提供特定的工作环境，使每个用户的工作都能各自独立不受干扰地工作。[单选题]*A.企业账号B.个人账号C.用户账户(正确答案)55.超级用户账户（root）：又称为根用户或管理员账户，可以对普通用户和整个系统进行管理。[单选题]*A.root(正确答案)B.roomC.user56.每一个用户都有一个唯一的身份标识，成为用户ID（）；每一个用户组也有一个唯一的身份标识，成为用户组ID（）。[单选题]*A.UID，MIDB.UID，GID(正确答案)C.UID，CID57.在Linux系统中/etc/（）文件是存储系统中账户信息的文件。[单选题]*A.passwd(正确答案)B.shadowC.group58.在Linux系统中/etc/（）文件查看用户属性[单选题]*A.shadow(正确答案)B.userC.group59.在Linux系统中/etc/（）文件存储着用户的分组信息[单选题]*A.shadowB.userC.group(正确答案)60.一般情况下，常规用途的Linux在开机启动时拉起各种相关服务进程，包括许多你可能无需使用的服务，除系统自动拉起的服务外，我们还可以手动添加自己需要的服务，比如：开机启动（）开机备份数据库、开机后立马重启等操作[单选题]*A.apache(正确答案)B.dhcpC.http61.当Linux操作系统开机后就会进入（）进程，（）进程中存储系统启动时所需要的服务以及自己手动的服务。[单选题]*A.init，init(正确答案)B.exit，initC.exit，exit62.在Linux系统中/etc/（）文件存储着启动项相关属性信息[单选题]*A.rl.localB.rc.local(正确答案)C.rc.locaI63.每个服务对应一个端口，ftp的对应的服务端口号（）[单选题]*A.22B.23C.20(正确答案)D.8064.每个服务对应一个端口，ssh的对应的服务端口号（）[单选题]*A.22(正确答案)B.23C.20D.8065.每个服务对应一个端口，telnet的对应的服务端口号（）[单选题]*A.23(正确答案)B.80C.22D.2566.每个服务对应一个端口，http的对应的服务端口号（）[单选题]*A.20B.80(正确答案)C.23D.2567.每个服务对应一个端口，smtp的对应的服务端口号（）[单选题]*A.20B.80C.23D.25(正确答案)68.（）是一款开源的，基于Python开发的内存取证工具集，可以分析内存中的各种数据。Volatility支持对32位或64位Windows、Linux、Mac、Android操作系统的RAM数据进行提取与分析。[单选题]*Volatility(正确答案)WindowsMacAndroid69.HTTP协议端口号（）[单选题]*HTTP默认端口为88，HTTPS默认端口为443；B.HTTP默认端口为80，HTTPS默认端口为440；C.HTTP默认端口为80，HTTPS默认端口为443；(正确答案)D.HTTP默认端口为88，HTTPS默认端口为442；70.HTTP协议属于什么层协议（）[单选题]*A.应用层协议(正确答案)B.数据链路层协议C.网络层协议D.表示层协议71.HTTP协议服务端和客户端实现程序（）[单选题]*A.https,ngins和web浏览器B.httpp,ngins和web浏览器C.httpd,nginx和web浏览器(正确答案)D.https,nginx和web浏览器72.HTTP协议版本正确的是（）[单选题]*A.HHTP/1.1,HHTP/2,HTTP/0.9,HTTP/1.1B.HHTP/1.0,HHTP/1,HTTP/0.9,HTTP/1.2C.HHTP/1.0,HHTP/2,HTTP/0.9,HTTP/1.1(正确答案)D.HHTP/1.0,HHTP/2,HTTP/0.9,HTTP/1.273.HTTP协议特点是（）[单选题]*A.客户端/服务器，简单快速，灵活，无连接，状态B.客户端/服务器，简单快速，灵活，连接，状态C.客户端/服务器，简单快速，灵活，无连接，无状态(正确答案)D.客户端/服务器，简单快速，灵活，连接，状态74.HTTP请求报文哪三部分（）[单选题]*A.请求行，请求尾，请求正文B.请求列，请求尾，请求正文C.请求行，请求头，请求正文(正确答案)D.请求列，请求头，请求正文75.HTTP请求方法哪四个（）[单选题]*A.PARCH,MOVA,COPY,LINKB.PARCH,MOVE,COPY,LINK(正确答案)C.PARCH,MOVA,WLAN,LINKD.PARCH,MOVE,WLAN,LINK76.web日志分析工具正确的是（）[单选题]*A.AWStats,Web-Log-Analyzer-IceFairy,Webalizer,Graylog,Nagios,ElasticQtackB.AWStats,Web-Log-Bnalyzer-IceFairy,Webalizer,Graylog,Nagios,ElasticQtackC.AWStats,Web-Log-Bnalyzer-IceFairy,Webalizer,Graylog,Nagios,ElasticStackD.AWStats,Web-Log-Analyzer-IceFairy,Webalizer,Graylog,Nagios,ElasticStack(正确答案)77.IIS日志描述正确的是（）[单选题]*A.默认位置，默认文件名，日计格式B.默认位置，默认文件名，日志格式(正确答案)C.默认位置，默认文件路径，日志格式D.默认位置，默认文路径，日志格式78.Apache和Weblogic日志描述正确的是（）[单选题]*A.日志类别，日志路径，日志格式B.日志类型，日志路径，日志样式C.日志类别，日志路径，日志样式D.日志类型，日志路径，日志格式(正确答案)79.TOmcat和Nginx日志志描述正确的是（）[单选题]*A.日志路径，日志命名方式，日志类型B.日志路径，日志为命名方式，日志类型C.日志路径，日志为命名方式，日志格式D.日志路径，日志命名方式，日志格式(正确答案)80.Windows事件的级别为()[单选题]*A.信息，警告，错误，成功审核，失败审核(正确答案)B.信息，警告，维护，成功审核，失败审核C.信息，禁止，维护，成功审核，失败审核D.信息，禁止，错误，成功审核，失败审核81.Windows日志文件类型为（）[单选题]*A.程序文件，应用程序日志，安全日记B.系统文件，应用程序日志，安全日志(正确答案)C.程序文件，应用程序日志，安全日志D.系统文件，应用程序日志，安全日记82.Linux日志描述正确的是（）[单选题]*A.数字等级越大，优先级越高，消息越重要B.数字等级越小，优先级越高，消息不重要C.数字等级越小，优先级越高，消息越重要(正确答案)D.数字等级越小，优先级越低，消息越重要83.下列描述日志正确的是（）[单选题]*A.日志就是计算机系统、设备、软件等在某种情况下记录的信息。具体的内容取决于日志的来源。(正确答案)B.日志就是计算机系统、设备、软件等在某种情况下不记录的信息。具体的内容取决于日志的来源。C.日志就是计算机系统、设备、软件等在某种情况下不记录的信息。具体的内容不取决于日志的来源。D.日志就是计算机系统、设备、软件等在某种情况下记录的信息。具体的内容不取决于日志的来源。84.日志的作用（）[单选题]*A.入侵检测，优化性能，系统排序，审计跟踪B.入侵检测，低化性能，系统排错，审计跟踪C.入侵检测，优化性能，系统排错，审计跟踪(正确答案)D.入侵检测，低化性能，系统排序，审计跟踪85.日志分析的方法（）[单选题]*A.关键字分析，统计分查，关联分析B.关键字分析，统计分查，关建分析C.关键字分析，统计分析，关建分析D.关键字分析，统计分析，关联分析(正确答案)86.日志消息格式（）[单选题]*A.%＜facility>-＜severity>-＜mnemonic>:＜message_text>(正确答案)B.@＜facility>-＜severity>-＜mnemonic>:＜message_text>C.$＜facility>-＜severity>-＜mnemonic>:＜message_text>D.&＜facility>-＜severity>-＜mnemonic>:＜message_text>87.Cisco日志级别（）[单选题]*A.0~7(正确答案)B..0~8C..0~9D..0~688.日志记录目的地（）[单选题]*A.console或tty/vty；内部缓存；系统日志服务器（syslogserver）；SNMT服务器B.console或tty/vty；外部缓存；系统日志服务器（syslogserver）；SNMT服务器C.console或tty/vty；内部缓存；系统日志服务器（syslogserver）；SNMP服务器(正确答案)D.console或tty/vty；外部缓存；系统日志服务器（syslogserver）；SNMP服务器89.APT检测系统简介（）[单选题]*A.文件威胁鉴定器，流量传感器，分析程序B.文本威胁鉴定器，流量传感器，分析程序C.文件威胁鉴定器，流量传感器，分析平台(正确答案)D.文本威胁鉴定器，流量传感器，分析平台90.关联分析可提供的计算单元为（）[单选题]*A.日志过滤，日志连接，聚类统计，阀值大较，序列分析B.日志过滤，日志连接，聚类统选，阀值大较，序列分析C.日志过滤，日志连接，聚类统计，阀值比较，序列分析(正确答案)D.日志过滤，日志连接，聚类统选，阀值比较，序列分析91.关联分析典型的场景是（）[单选题]*A.暴力破解，流量异常，撞据攻击，web应用凝似沦陷B.暴力破攻，流量异常，撞据攻击，web应用凝似沦陷C.暴力破解，流量异常，撞库攻击，web应用凝似沦陷(正确答案)D.暴力破攻，流量异常，撞库攻击，web应用凝似沦陷92.场景分析的主要内容是（）[单选题]*A.资产主动外连，暴力破解，DNS隧道，HTTP代理检测，reGeorg发现，socks检测，DNS服务器发现(正确答案)B.资产被动外连，暴力破解，DNS隧道，HTTP代理检测，reGeorg发现，socks检测，DNS服务器发现C.资产被动外连，暴力破攻，DNS隧道，HTTP代理检测，reGeorg发现，socks检测，DNS服务器发现D.资产主动外连，暴力破攻，DNS隧道，HTTP代理检测，reGeorg发现，socks检测，DNS服务器发现93.（）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。可以运行在Windows、Linux、Unix和MacOS等操作系统上。[单选题]*A.Wireshark(正确答案)B.WindowsC.Uinux94.Wireshark常用功能包括（）[单选题]*A.故障任务，网络安全分析，应用程序分析，分析任务B.故障任务，网络安全分析，应用程序分析，一般任务C.分析一般任务，故障任务，网络安全分析，应用程序分析。(正确答案)95.筛选DHCP时，使用的命令不是dhcp，而是（），这是因为DHCP的前身是（）[单选题]*A.bootp，BOOTP(正确答案)B.room，roomC.user，user96.Wireshark常用使用方法包括（）[单选题]*A.从流量中还原文件，分割数据，导出特定字段内容，应用程序分析。B.从流量中还原文件，分割数据，或者按照包的时间进行分割，导出特定字段内容(正确答案)C.从流量中还原文件，分割数据，应用程序分析，分析任务97.为什么需要ARP协议呢？因为在OSI七层模型中，数据在源端从高层向低层逐层完成封装，到目的端数据从低层向高层逐层进行解封装，（）[单选题]*A.但是网络层完成IP封装，数据链路层完成MAC帧的封装，这个时候就需要映射IP和MAC。(正确答案)B.但是网络层完成MAC封装，数据链路层完成MAC帧的封装，这个时候就需要映射IP和MAC。C.但是网络层完成MAC封装，数据链路层完成IP帧的封装，这个时候就需要映射IP和MAC。98.（）是一种一种基于流的流量分析技术，可以收集进入及离开网络界面的IP封包的数量及资讯，最早由思科公司研发，应用在路由器及交换机等产品上。[单选题]*A.NetFlow(正确答案)B.userC.group99.（）攻击使用非正常的数据流量攻击网络设备或其接入的服务器，致使网络设备或服务器的性能下降，或占用网络带宽，影响其它相关用户流量的正常通信，最终可能导致网络服务的不可用。[单选题]*A.shadowB.userC.DoS(正确答案)100.DoS可以利用（）协议的缺陷，通过()打开半开的()连接，占用系统资源，使合法用户被排斥而不能建立正常的连接。[单选题]*A.TCP,SYN,TCP,TCP(正确答案)B.TCP,DHCP,TCP,TCPC.SYN,DHCP,SYN,SYN101.协议号为6，协议为()[单选题]*A.TCP(正确答案)B.DHCPC.SYN102.协议号为()，协议为UDP[单选题]*A.6B.17(正确答案)C.7103.APT攻击Gartner定义（）[单选题]*A.高级（A）,可持续（P）威胁（A）B.高级（B）,可持续（P）威胁（A）C.高级（A）,可持续（P）威胁（T）(正确答案)D.高级（B）,可持续（P）威胁（T）104.APT攻击的具体表现（）[单选题]*A.驱动力，攻击手段，攻击对象，造成影响B.驱动力，攻击手段，攻击对象，造成影响(正确答案)C.驱动力，攻击手段，攻击对象，造成影响D.驱动力，攻击手段，攻击对象，造成影响105.威胁情报在安全建设中的定位（）[单选题]*A.架构安全，主动防御，积极防御，威胁情报，进攻反制B.架构安全，被动防御，积极防御，威胁情报，进攻反制(正确答案)C.架构类型，主动防御，积极防御，威胁情报，进攻反制D.架构类型，被动防御，积极防御，威胁情报，进攻反制106.威胁情报的四种类型（）[单选题]*A.战略协胁情报，运营威胁情报，战术威胁情报，技术威胁情报B.战略协胁情报，运行威胁情报，战术威胁情报，技术威胁情报C.战略威胁情报，运营威胁情报，战术威胁情报，技术威胁情报(正确答案)D.战略威胁情报，运行威胁情报，战术威胁情报，技术威胁情报107.TTP三要素（）[单选题]*A.战率，技术，运行B.战率，技术，过程C.战术，技术，过程(正确答案)D.战术，技术，运行108.威胁情报数据的产生（）*A.数据来源，需要足够大量的数据来源用于关联分析(正确答案)B.技术体系支撑，从数据处理到关联分析，需要一套稳定灵活的技术平台服务。(正确答案)C.专业知识，需要有专业背景的分析师全程参与。(正确答案)D.人工运营投入，持续提升情报质量。(正确答案)109.商业情报的定义（）*A.商业情报的更新周期相对固定，且频率较高(正确答案)B.商业情报的数据维度丰富，数据关联性强(正确答案)C.商业情报有专门的情报供应商对情报质量负责(正确答案)D.持续的人工运营投入(正确答案)110.高级定向攻击情报与常规流行性失陷情报（）*A.范围：发现的APT事件、对已有APT团伙的持续跟踪；(正确答案)B.价值：监控组织是否被APT攻击影响，并确定内部受控主机，防止重大损失发生(正确答案)C.范围：僵尸网络、蠕虫木马、后门软件、黑客工具等；(正确答案)D.价值：发现内部被黑客控制的主机，防止个人及组织信息泄漏，或成为攻击跳板(正确答案)111.情报数据IP的信誉包括（）*A.基础信息、归属地、近期活动情况描述(正确答案)B.协助判定报警进度、确定优先级(正确答案)C.检测自动化机制的攻击(正确答案)D.自动化扫描(正确答案)E.爆库、撞库(正确答案)F.网站扫描(正确答案)G.刷数据(正确答案)112.情报数据文件信誉包括（）*A.云端多引擎检测，效果优于任何单一引擎检测(正确答案)B.可提供本地Cache(正确答案)C.提供明确的恶意类型和家族信息(正确答案)D.可提供对应的网络IOC作为分析使用(正确答案)113.APT主要研究难度包括（）*A.偶发性强(正确答案)B.样本稀疏(正确答案)C.手段高级(正确答案)D.不易发现(正确答案)114.APT主要研究难点包括（）*A.新组织、新活动发现(正确答案)B.攻击背景研判(正确答案)C.攻击目的研判(正确答案)D.攻击能力研判奇(正确答案)115.域名和进程名样本涉及哪些C&C域名（）*A.P(正确答案)B.(正确答案)C.(正确答案)D.24.(正确答案)116.什么是奇安信商用情报（）*A.失陷检测(正确答案)B.文件信誉(正确答案)C.ip信誉(正确答案)D.安全通告(正确答案)117.什么是输出报告（）*A.确认告警有效，将告警事件写入报告(正确答案)B.事件描述(正确答案)C.行为分析：通过天眼威胁分析，分析周期内发现客户主机存在对Xtreme远控木马DNS请求解析行为，部分IP存在通信流量并且流量符合已知病毒流量特征，建议排查主机。(正确答案)D.影响分析：受影响IP包括29(正确答案)118.什么是计算机病毒（）[单选题]*A.计算机病毒从广义上讲，不能够引起计算机故障，不破坏计算机数据、影响计算机的正常运行的指令或代码统称为计算机病毒。B.计算机病毒从广义上讲，凡能够引起计算机故障，不破坏计算机数据、不影响计算机的正常运行的指令或代码统称为计算机病毒。C.计算机病毒从广义上讲，凡能够引起计算机故障，破坏计算机数据、影响计算机的正常运行的指令或代码统称为计算机病毒。(正确答案)D.计算机病毒从广义上讲，凡能够引起计算机故障，破坏计算机数据、不影响计算机的正常运行的指令或代码统称为计算机病毒。119.在我国，1994年2月18日颁布实施的《中华人民共和国计算机信息系统安全保护条例》对计算机病毒作出了明确的定义，《条例》第二十八条中规定：什么是计算机病毒（）？[单选题]*A.计算机病毒从广义上讲，凡能够引起计算机故障，破坏计算机数据、影响计算机的正常运行的指令或代码统称为计算机病毒。B.“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”(正确答案)C.计算机病毒从广义上讲，凡能够引起计算机故障，破坏计算机数据、不影响计算机的正常运行的指令或代码统称为计算机病毒。D.“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，不影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”120.病毒的特征有哪些（）。*A.破坏性(正确答案)B.隐藏性(正确答案)C.传染性(正确答案)D.触发性(正确答案)E.寄生性(正确答案)121.病毒主要分为哪两大类（）。[单选题]*A.行为和宿主(正确答案)B.传染和破坏C.行为和传染D.破坏和宿主122.行为类病毒主要包括（）。[单选题]*A.程序、后门、蠕虫、感染、脚本型、黑客工具等B.木马、后门、蠕虫、感染、释放型、黑客工具等(正确答案)C.木马、后门、病毒、传染、脚本型、黑客工具等D.程序、后门、病毒、感染、释放型、黑客工具等123.病毒名是由（）字段组成的？[单选题]*A.4B.5C.6(正确答案)D.7124.病毒的传播方式有哪些（）？*A.移动存储(正确答案)B.文件传播(正确答案)C.网络传播(正确答案)D.主动放置(正确答案)E.软件漏洞(正确答案)125.病毒的临时处置方法有哪些（）。[单选题]*A.物理隔离和访问控制(正确答案)B.手动隔离和访问控制C.手动隔离和阅览控制D.物理隔离和阅览控制126.木马排查的全过程有哪些（）？*A.根据黑客在服务器中的操作对木马进行查杀并对系统加固(正确答案)B.删除黑客添加的计划任务(正确答案)C.删除网站后台添加的用户(正确答案)D.删除系统中的webshell文件(正确答案)E.恢复web页面的正常访问(正确答案)F.修复SQL注入漏洞(正确答案)127.病毒排查的修复方法有哪些（）？*A.清除机器中的文件病毒，可以用杀毒软件进行全盘扫描，主要清除文件病毒。部分病毒文件需要手动清除，清空C:\Windows\Temp下的临时文件以及回收站里的文件。(正确答案)B.清除恶意定时任务，在管理工具-->计划任务程序-->计划任务程序库中删除可疑计划任务。(正确答案)C.清除powershell和cmd的开机启动程序。(正确答案)128.什么是sql注入（）[单选题]*A.SQL注入是一种将SQL代码插入或添加到应用(用户)的输入参数中，不将这些参数传递给后台的SQL服务器加以解析并执行B.SQL注入是一种将SQL代码插入不添加到应用(用户)的输入参数中，再将这些参数传递给后台的SQL服务器加以解析并执行C.SQL注入是一种将SQL代码插入或添加到应用(用户)的输入参数中，再将这些参数传递给后台的SQL服务器加以解析并执行(正确答案)D.SQL注入是一种将SQL代码插入不添加到应用(用户)的输入参数中，不将这些参数传递给后台的SQL服务器加以解析并执行129.web服务器--静态网页的特点包括哪些（）*A.灵活性差，制作、更新、维护麻烦(正确答案)B.交互性交差，在功能方面有较大的限制(正确答案)C.安全，不存在SQL注入漏洞(正确答案)D.不依赖数据库(正确答案)130.web服务器-动态网页的特点包括哪些（）*A.依赖数据库(正确答案)B.灵活性好，维护方便(正确答案)C.交互性好，功能强大(正确答案)D.存在安全风险，可能存在SQL注入漏洞(正确答案)131.下列哪些是SQL注入起源的解释（）*A.程序员水平和经验的欠缺，对SQL注入没有防范意识。(正确答案)B.现在许多教程或者模版存在SQL注入漏(正确答案)C.Internet上给出的许多解决办法并未从根本上解决问题。(正确答案)D.数据库管理员对数据库权限设置不合理(正确答案)132.SQL注入典型攻击手段包括哪些（）*A.判断应用程序是否存在注入漏洞(正确答案)B.收集信息、并判断数据库类型(正确答案)C.根据注入参数类型，重构SQL语句的原貌(正确答案)D.猜解表名、字段名(正确答案)E.获取账户信息、攻击web或为下一步攻击做准备(正确答案)133.下列哪些是SQL注入的危害*A.数据库信息泄露(正确答案)B.网页篡改(正确答案)C.数据库被恶意操作(正确答案)D.服务器被远程控制(正确答案)E.种植木马(正确答案)134.下列哪些是SQL的注入类型（）*A.数字型注入点(正确答案)B.字符型注入点(正确答案)C.搜索型注入点(正确答案)135.下列哪些是SQL的数据提交方式分类的类型（）*A.GET注(正确答案)B.POST注入(正确答案)C.Cookie注入(正确答案)D.HTTP头部注入(正确答案)136.什么是ASCII码表（）[单选题]*A.ASCII是基于拉丁字母的一套电脑写码系统，主要用于显示现代英语和其他西欧语言。它是现今最通用的单字节写码系统，并等同于国际标准ISO/IEC646B.ASCII是基于拉丁字母的一套电脑编码系统，主要用于显示现代英语和其他西欧语言。它是现今最通用的单字节写码系统，并等同于国际标准ISO/IEC646C.ASCII是基于拉丁字母的一套电脑编码系统，主要用于显示现代英语和其他西欧语言。它是现今最通用的单字节编码系统，并等同于国际标准ISO/IEC646(正确答案)D.ASCII是基于拉丁字母的一套电脑写码系统，主要用于显示现代英语和其他西欧语言。它是现今最通用的单字节编码系统，并等同于国际标准ISO/IEC646137.下列哪些是SQL注入类型—联合查询步骤（）*A.求闭合字符(正确答案)B.求列数(正确答案)C.求显示位(正确答案)D.爆数据库名(正确答案)E.爆表名(正确答案)F.爆列名(正确答案)G.爆字段名(正确答案)138.下列哪些是SQL注入类型—联合查询注入步骤（）*A.找到sql注入点(id=1或者name=1)(正确答案)B.求列数(正确答案)C.求显示位(正确答案)D.查询当前使用的数据库名(正确答案)E.查询当前数据库所有的表名(正确答案)F.查询当前数据库中users表中所有的列名(正确答案)G.查询当前数据库中users表中password列的数据(正确答案)139.下列哪些是SQL注入类型—报错注入步骤（）*A.求闭合字符(正确答案)B.爆数据库名(正确答案)C.爆表名(正确答案)D.爆列名(正确答案)E.爆字段名(正确答案)140.下列哪些是SQL注入类型—布尔盲注步骤（）*A.求闭合字符(正确答案)B.求当前数据库名的长度(正确答案)C.求当前数据库名对应的ascii值(正确答案)D.求表的数量(正确答案)E.求表名的长度(正确答案)F.求表名对应的ascii值(正确答案)G.求列的数量(正确答案)J.求列名的长度(正确答案)K.求列名对应的ascii值(正确答案)L.求字段的数量(正确答案)M.求字段内容的长度(正确答案)N.求字段内容对应的ascii值(正确答案)141.下列哪个是对SQL注入-读文件与写入文件的正确说法（）[单选题]*A.主要目的：在于获取webshell或损坏重要文件。B.主要目的：在于获取web或盗取重要文件C.主要目的：在于获取webshell或盗取重要文件(正确答案)D.主要目的：在于获取web或损坏重要文件142.WAF绕过之道的特点包括哪些（）*A.大小写混合(正确答案)B.多重关键字(正确答案)C.注释(正确答案)D.编码(正确答案)E.等价函数或命令(正确答案)F.特殊符号(正确答案)G.组合绕过(正确答案)143.下列哪些是SQL注入类型—堆叠查询步骤（）*A.新建一张表(正确答案)B.删除上面新建的test表(正确答案)C.查询users表中id=1的内容和1，2,3(正确答案)D.读取文件tmpupbbn.php的内容(正确答案)E.修改数据(正确答案)144.（）XSS(Cross-SiteScripting)跨站脚本自1996年诞生以来，如今已经历十多年的演化。在各种网络安全漏洞中，XSS一直都被（）(OpenWebApplicationSecurityProject,开放式Web应用程序安全项目,它是世界上最知名的Web安全与数据库安全研究组织)评为十大安全漏洞。也有黑客把跨站脚本比作新型的“（）”，而JavaScript则是新型的ShellCode。[单选题]*XSS，OWASP，缓冲区溢出攻击(正确答案)Windows，BOOTP，应用程序分析XSS，OWASP，网络安全分析145.XSS可能会给网站和用户带来的危害简单概括如下：（）*A.网络钓鱼；窃取用户cookies资料;劫持用户(浏览器)会话;强制弹出广告页面、刷流量等;(正确答案)B.网页挂马;进行恶意操作;进行大量的客户端攻击;获取客户端信息;(正确答案)C.控制受害者机器向其他网站发起攻击;结合其他漏洞实施进一步作恶;提升用户权限;传播跨站脚本蠕虫等;(正确答案)146.DOM型：这种类型则是利用非法输入来闭合对应的标签。（）[单选题]*A.html(正确答案)B.roomC.user147.存储型它的相关源代码存放于服务器，用户访问该页面的时候触发代码执行，是危害最大的xss。（）[单选题]*A.roomB.userC.xss(正确答案)148.（）的作用是过滤用户（客户端）提交的有害信息，从而达到防范XSS攻击的效果。XSSFilter作为防御跨站攻击的主要手段之一，已经广泛应用在各类Web系统之中，包括现今的许多应用软件，例如IE8浏览器，通过加入XSSFilter功能可以有效防范所有非持久型的XSS攻击。[单选题]*A.XSSFilter(正确答案)B.IPMACC.NetFlow149.（）是一种一种基于流的流量分析技术，可以收集进入及离开网络界面的IP封包的数量及资讯，最早由思科公司研发，应用在路由器及交换机等产品上。[单选题]*A.NetFlow(正确答案)B.userC.group150.（）的过滤，就是程序先列出不能出现的对象清单，如对和这两个关键字符进行检索，一旦发现提交信息中包含[单选题]*A.群组式（group）B.用户式（user）C.黑名单式（Blacklist）(正确答案)151.（）的过滤和黑名单相反，不是列出不被允许的对象，而是列出可被接受的对象，除此之外的其他对象都抛弃或过滤掉。[单选题]*A.白名单式（Whitelist）(正确答案)B.黑名单式（Blacklist）C.群组式（group）152.（）是鼠标点击事件。我们可以像如下这样在元素中定义JavaScript事件：[单选题]*A.onclick(正确答案)B.DHCPC.SYN153.（）是很灵活的语言，可以使用十六进制、Unicode、HTML等进行编码，以下属性可以被编码。[单选题]*A.C++ScriptB.JavaScript(正确答案)C.PythonScript154.（）是TheBrowserExploitationFramework的缩写。它是一种专注于Web浏览器的渗透测试工具。[单选题]*A.BeEF(正确答案)B.DHCPC.SYN155.（）一台主机设备冒充另外一台主机的IP地址，与其它设备通信，从而达到某种目的技术。[单选题]*IP欺骗（IPspoof）(正确答案)B.用户式（user）C.黑名单式（Blacklist）156.php中文件包含函数有哪几种（）？*A.require()(正确答案)B.require_once()(正确答案)C.include()(正确答案)D.include_once()(正确答案)157.Windows系统下，目录最大长度为（），超出的部分会被丢弃。[单选题]*A.256biteB.256MBC.256字节(正确答案)D.256B158.Linux系统下，目录最大长度为（