江苏省第二届数据安全技术应用职业技能竞赛初赛试题库-上（单选题）

PAGEPAGE1江苏省第二届数据安全技术应用职业技能竞赛初赛试题库-上（单选题汇总）一、单选题1.网络安全法规定国家实行网络安全等级保护制度。A、正确B、错误答案：A2.在ZigBeeMAC安全中,MAC安全帧不包括A、报头B、报尾C、负载D、帧内容答案：C3.在数据包转发过程中,当TTL值减少到0时,这个数据包必须重发。A、正确B、错误答案：B4.以下行为不属于违反国家涉密规定的行为:A、将涉密计算机、涉密存储设备接入互联网及其他公共信息网络B、通过普通邮政等无保密及措施的渠道传递国家秘密载体C、在私人交往中涉及国家秘密D、以不正当手段获取商业秘密答案：D5.数据在进行传输前,需要由协议自上而下对数据进行封装。TCP/IP协议中数据封装顺序是:传输层、网络接口层、互联网络层。A、正确B、错误答案：B6.运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行()次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。()A、一B、二C、三D、四答案：A7.我国目前确定了五大生产要素包括:A、土地、能源、人才、资本、知识B、土地、能源、劳动力、资本、数据C、土地、能源、商业、人才、信息技术D、土地、劳动力、资本、技术、数据答案：D8.运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行()网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。A、一次B、二次C、三次D、四次答案：A9.SIM卡交换攻击中,攻击者假装丢失原来的电话号码,然后请求什么?A、重置受害者的MFA设置B、转移受害者的电话号码到自己的SIM卡上C、发送恶意软件给受害者的设备D、窃取受害者的个人信息答案：B10.《中华人民共和国网络安全法》规定,国家实行网络安全架构保护制度。A、正确B、错误答案：B11.证书的有效期是多久?()A、10/20B、20/30C、30/40D、40/50答案：A12.《中华人民共和国网络安全法》规定,国家实行网络安全()保护制度。A、架构B、分级C、涉密D、等级答案：D13.小王自驾车到一座陌生的城市出差,则对他来说可能最为有用的是A、路况不良B、恶意软件攻击C、车辆碰撞D、音响失效答案：D14.在对某面向互联网提供服务的某应用服务器的安全检测中发现,服务器上开放了以下几个应用,除了一个应用外其他应用都存在明文传输信息的安全问题,作为一名检测人员,你需要告诉用户对应用进行安全整改以解决明文传输数据的问题,以下哪个应用已经解决了明文传输数据问题:A、SSHB、HTTPC、FTPD、SMTP答案：A15.POW是指()A、权益证明B、工作量证明C、零知识证明D、以上都不是答案：B16.根据《个人信息保护法》的规定,以下哪种会受到《个人信息保护法》的规制?()A、接受、处理某APP违规收集用户位置信息的投诉、举报B、接受、处理某APP出售商品质量不合格的投诉、举报C、调查、处理某APP违法从事金融经营活动D、调查、处理某APP的违法宣传活动答案：A17.政务数据中包含的个人信息可以直接参与数据交易,作为政府的新经济营收增长创新模式。A、正确B、错误答案：B18.()人民政府根据实际需要,应当制定公共数据采集、归集、存储、共享、开放、应用等活动的具体管理办法。A、国家级B、省级C、市级D、区级答案：B19.物联网中的物理安全措施主要包括以下哪些方面?A、锁定物联网设备的物理位置B、安装视频监控设备C、控制物联网设备的物理访问权限D、所有以上选项答案：D20.2013年,斯诺登爆料美国从2007年开始实施棱镜计划(PRISM),对全球进行电子监听。棱镜计划是()主导A、美国联邦法院B、美国驻华大使馆C、美国国家安全局(答案)D、美国中央情报局答案：C21.《中华人民共和国网络安全法》规定,国家实行网络安全涉密保护制度。A、正确B、错误答案：B22.关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全责任条款,明确安全和保密义务与责任。A、正确B、错误答案：B23.数据交易应当遵循自愿原则。A、对B、错答案：A24.个人信息处理者利用个人信息进行自动化决策,应当保证决策的()和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇A、可行性B、自动化C、透明度D、精准度答案：C25.提高Apache服务器系统安全性时,下面哪项措施不属于安全配置()?A、不在Windows下安装Apache,只在Linux和Unix下安装B、安装Apache时,只安装需要的组件模块C、不使用操作系统管理员用户身份运行A.pache,而是采用权限受限的专用用户账号来运行D、积极了解Apache的安全通告,并及时下载和更新答案：A26.物联网中的网络监控是用于什么目的?A、实时监测物联网设备和网络的运行状态B、检测物联网设备是否符合安全标准C、监控物联网设备的物理位置D、所有以上选项答案：A27.下列对爬虫使用说法错误的是()。A、网络数据爬取应限于对开放数据的获取。如果网络爬虫获取非开放的数据,便涉嫌违法甚至犯罪B、数据爬虫技术不应具有侵入性,可以说,爬虫的侵入性是其违法性的主要体现C、数据爬取应当基于正当目的,对开放数据的获取可能因不符合正当目的而具有违法性D、爬取公开数据时即使突破网站或App的反爬虫技术设置进行的爬取行为,行为人不需承担刑事责任答案：D28.营者发现使用的网络产品()应当及时采取措施消除风险隐患,涉及重大风险的应当按规定向有关部门报告A、服务存在安全缺陷B、收益未达到运营者期望C、使用了最新的支付系统D、无法从境外网络访问答案：A29.直接可识别性的例子如姓名、身份ID等基本身份信息,下列哪一项不属于直接可识别性的例子?()A、指纹B、声纹C、虹膜D、牙模答案：D30.根据《征信业管理条例》的规定,个人信息主体有权每年()免费获取本人的信用报告。()A、一次B、两次C、三次D、四次答案：B31.车载系统中的物理安全是指什么A、使用物理障碍物保护车辆B、使用物理锁保护车辆C、使用物理传感器监测车辆状态D、使用物理按钮控制车辆功能答案：A32.MFA洪水攻击的目的是什么?A、窃取用户的个人信息B、拦截用户的登录凭据C、使用户对不断的推送通知感到沮丧和厌倦D、发送大量垃圾邮件给用户答案：C33.身份认证的目的是什么?A、确认通信对方的身份B、确认通信对方的财务状况C、确认通信对方的社交地位D、确认通信对方的职业答案：A34.数据脱敏的主要目的是什么?A、数据加密B、隐私保护C、数据备份D、数据恢复答案：B35.公司的信息安全是信息安全部门负责,与其他员工无关A、正确B、错误答案：B36.国家大力推进电子政务建设,提高政务数据的科学性、()、时效性,提升运用数据服务经济社会发展的能力。A、公平性B、创新性C、便民性D、准确性答案：D37.根据《网络安全法》的规定,任何个人和组织可以利用爬虫技术收集个人信息进行加工处理与售卖。A、正确B、错误答案：B38.个人信息的处理不包括个人信息的:A、收集B、使用C、存储D、售卖答案：D39.国家大力推进电子政务建设,提高政务数据的科学性、准确性、(),提升运用数据服务经济社会发展的能力。A、创新性B、公平性C、便民性D、时效性答案：D40.最小特权管理的原则是:A、每个用户都拥有系统中的最大权限B、每个用户只拥有完成任务所必要的权限集C、特权分配应按需使用D、特权拥有者可以随意使用权限答案：B41.以下哪类可以作为网络安全等级保护的定级对象?A、一台裸金属服务器,里面还没有装操作系统B、某部委部长用的PC终端C、某电商网站数据中心边界路由器D、以上都不是答案：D42.()以上地方人民政府有关部门按照国家有关规定开展关键信息基础设施安全保护工作A、区级B、县级C、市级D、省级答案：B43.银行保险监督管理机构应当按照县级以上人民政府及法定授权部门对突发事件的应对要求,审慎评估突发事件对银行保险机构造成的影响,依法履行的职责不包括下列哪一项内容?()A、加强对突发事件引发的区域性、系统性风险的监测、分析和预警B、督促银行保险机构按照突发事件应对预案,保障基本金融服务功能持续安全运转C、配合银行保险机构提供突发事件应急处置金融服务D、引导银行保险机构积极承担社会责任答案：C44.访问控制模型由哪些组成要素构成?A、主体、参考监视器、客体、访问控制数据库和审计库B、用户、进程、设备、文件和数据C、身份认证、授权、审计和监控D、所有选项都是答案：A45.数据脱敏中无效化的方法是什么?A、数据加密B、数据替换C、数据截断或隐藏D、数据备份答案：C46.Oracle数据库中,Delete命令可以删除整个表中的数据,并且无法回滚。A、正确B、错误答案：B47.数据在进行传输前,需要由协议自上而下对数据进行封装。TCP/IP协议中数据封装顺序是:互联网络层、网络接口层、传输层。A、正确B、错误答案：B48.网络社会工程学攻击利用了人们的哪些固有弱点?A、轻信他人、缺乏警觉性、冲动行动、不了解安全风险等B、社交技巧不足、缺乏自信、好奇心过强、容易被诱惑等C、情绪不稳定、容易焦虑、记忆力差、判断力弱等D、以上都不是答案：A49.根据《征信业管理条例》的规定,金融信用信息基础数据库接收从事信贷业务的机构按照规定提供的()。()A、信贷信息B、信用信息C、不良信息D、纳税信息答案：A50.《重要数据识别指南》中的“重要数据”是指哪些()A、关系国家安全、国民经济命脉、重要民生、重大公共利益等数据B、一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全C、未公开的政府信息,大面积人口、基因健康、地理、矿产资源等D、以上都是答案：D51.下列关于信息系统生命周期中安全需求说法不准确的是:A、明确安全总体方针,确保安全总体方针源自业务期望B、描述所涉及系统的安全现状,提交明确的安全需求文档C、向相关组织和领导人宣贯风险评估准则D、对系统规划中安全实现的可能性进行充分分析和论证答案：C52.多因素身份验证包括以下哪些因素?A、用户名和密码B、令牌和生物识别C、网络流量分析和数据包过滤D、加密和解密算法答案：B53.《中华人民共和国网络安全法》规定,国家实行网络安全分级保护制度。A、正确B、错误答案：B54.在个人权利的保护方面,《个人信息保护法》规定了哪两项不同于《通用数据保护条例》权利?()A、更正补充权、限制处理权B、个人的决定权、请求解释权C、个人的决定权、限制处理权D、更正补充权、请求解释权答案：B55.关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当()A、按照有关规定向保护工作部门、公安机关报告B、将相关信息尽快发布到境内的安全论坛网站上C、将相关信息尽快发布到境外的安全论坛网站上D、在处理完安全威胁并经过至少30个工作日的分析后再将相关信息发布到境内的安全论坛网站上答案：A56.发改委首次将区块链纳入“新基建”范围的时间是()A、2016B、2015C、2022D、2020答案：D57.访问控制决定用户什么?A、是否能够访问网络资源B、是否能够使用网络资源C、是否能够修改网络资源D、是否能够删除网络资源答案：A58.对于用户删除账号和数据,以下哪种做法是不正确的?()A、提供用户删除账号和数据的功能B、删除用户数据的备份和镜像C、限制用户删除账号和数据的时间和方式D、在用户提交删除请求后及时处理并回复用户三、多选题(19)答案：C59.打开一份邮件时,处理邮件附件的正确做法是()?A、确认发件人信息真实后,查杀病毒后打开B、置之不理C、删除附件D、直接打开运行答案：A60.计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由()会同有关部门制定。()A、国家安全部B、国家保密局C、公安部D、国家网信部门答案：C61.小王自驾车到一座陌生的城市出差,则对他来说可能最为有用的是A、停车诱导系统B、实时交通信息服务C、智能交通管理系统D、车载网络答案：B62.如果发生大规模个人信息泄露事件,个人信息处理者应立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列哪个事项:A、个人信息泄露的信息种类、原因和可能产生的危害B、个人信息处理者采取的补救措施C、个人可以采取的缓解措施D、个人信息处理者的联系方式E、以上都对答案：E63.关于《中华人民共和国数据安全法》下列说法正确的是:A、在中华人民共和国境内开展数据处理活动及其安全监管,适用《中华人民共和国数据安全法》。B、中华人民共和国数据安全法》所称数据,是指任何以电子或者其他方式对文字的记录。C、公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,可以不按国家有关规定进行调查。D、境内的组织、个人可以随意向外国司法或者执法机构提供存储于中华人民共和国境内的数据。答案：A64.根据《网络安全法》的规定,任何个人和组织可以和监管机构合作采集加工处理个人信息进行交易。A、正确B、错误答案：B65.以下不属于大数据特性的是()A、数据体量大B、数据价值密度大C、数据实时性高D、数据维度多答案：B66.国家机关应当遵循公正、()、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。A、公平B、创新C、准确D、开放答案：A67.运营者应当组织从业人员网络安全教育培训,每人每年教育培训时长不得少于A、1个工作日B、7个工作日C、5个工作日D、在经过认证的安全厂商下培训满一个自然月答案：A68.LoRaWAN网络中的Join请求是指什么A、终端设备请求加入LoRaWAN网络B、网关请求与网络服务器建立连接C、应用服务器请求接收终端设备的数据D、网络服务器请求接收网关的数据答案：A69.()负责统筹协调个人信息保护工作和相关监督管理工作。A、国家公安部门B、国家保密部门C、国家工信部门D、国家网信部门答案：D70.访问控制中的强制访问控制(MAC)模型基于()策略。A、最小权限策略B、最大权限策略C、需要到达的特定级别的授权策略D、基于属性的策略答案：C71.访问控制的目的是为了限制什么?A、访问主体对访问客体的访问权限B、访问客体对访问主体的访问权限C、访问主体和客体之间的通信权限D、访问主体和客体之间的数据传输速度答案：A72.政务数据类型包括文字、数字、图表、图像、音视频等。A、正确B、错误答案：A73.民法调整平等主体的()、法人和非法人组织之间的人身关系和财产关系。A、人民B、公民C、居民D、自然人答案：D74.WiFi安全技术中,物理层安全需求不包含A、抗干扰B、抗衰落C、高效的密钥管理需求D、抗窃听性答案：C75.下不属于云计算与物联网融合模式的是A、单中心-多终端模式B、多中心-大量终端模式C、信息应用分层处理-海量终端模式D、单中心-单终端模式答案：D76.下面哪种情况可以被视为社会工程学攻击的目标?A、数据中心的物理安全B、强密码设置C、员工培训计划D、服务器硬件升级答案：C77.依据ISO27001,信息系统审计是()。()A、应在系统运行期间进行,以便于准确地发现弱电B、审计工具在组织内应公开可获取,以便于提升员工的能力C、发现信息系统脆弱性的手段之一D、只要定期进行,就可以替代内部ISMS审核答案：C78.个人信息处理者应当公开个人信息保护负责人的(),并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门A、身份证号B、联系方式C、家庭住址D、工作地点答案：B79.以下不是数据安全中的原则是?()A、最小化原则B、分权分责原则C、高可用原则D、持续性改进原则答案：C80.《中华人民共和国民法典》规定,网络用户利用网络服务实施侵权行为的,权利人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。通知应当包括构成侵权的()及权利人的真实身份信息。A、初步证据B、历史浏览记录C、具体声明D、IP地址答案：A81.数字签名不能实现的安全特性为()A、防抵赖B、防伪造C、防冒充D、保密通信答案：D82.根据《征信业管理条例》的规定,征信机构对个人不良信息的保存期限,自不良行为或者事件终止之日起为()年;超过()年的,应当予以删除。()A、2B、3C、4D、5答案：D83.违反《中华人民共和国个人信息保护法》规定处理个人信息,或处理个人信息未履行本法规定的个人信息保护义务的,履行个人信息保护职责的部门可做出下列处罚措施()。A、警告B、督促整改C、对违法处理个人信息的应用程序,责令暂停或者终止服务D、没收违法所得E、以上都是答案：E84.根据《网络安全法》的规定,网络产品、服务的提供者实施哪种行为会受到处罚?()A、提供符合相关国家标准的强制性要求的网络产品、服务;B、不在网络产品、服务中设置恶意程序;C、在规定或者当事人约定的期限内,终止提供安全维护;D、发现网络产品、服务存在安全缺陷、漏洞等风险时,立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。答案：C85.以下哪种访问控制模型是基于定义的访问控制策略来控制对资源的访问权限?A、自主访问控制模型(DAC)B、强制访问控制模型(MAC)C、角色基础访问控制模型(RBAC)D、基于策略的访问控制模型(PBAC)答案：D86.根据《密码法》的规定,国家密码管理部门对采用()技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。()A、核心密码B、普通密码C、商用密码D、混合密码答案：C87.DoS攻击是拒绝服务攻击。攻击者通过利用漏洞或发送大量的请求导致攻击对象无法访问网络或者网站无法被访问。A、TRUEB、FALSE答案：A88.在访问控制中,以下哪个概念描述了对特定资源进行访问操作时所需的身份验证信息?A、认证B、授权C、验证D、鉴别答案：A89.在App界面中应当能够找到隐私政策,包括通过弹窗、文本链接、常见问题(FAQs)等形式。A、正确B、错误二、单选题(12)答案：A90.PDCERF方法是信息安全应急响应工作中常用的一种方法,它将应急响应分成六个阶段。其中:下线中病毒的主机、修改防火墙过滤规则等动作属于哪个阶段()A、准备阶段B、遏制阶段C、根除阶段D、检测阶段答案：B91.《数据安全法》规定,国家开展数据安全监测预警,建立数据安全风险评估、报告、信息共享、监测预警机制。这些机制的目的是什么?A、增加数据处理的复杂性B、限制数据处理活动C、提高数据安全风险应对能力D、阻碍数据流通答案：C92.单点登录(SSO)认证过程中,当请求中携带的Cookie无效时,拦截器会怎么处理?A、放行访问请求B、重定向用户到目标应用系统的登录界面C、向统一认证服务器发送验证请求D、检查请求的URL是否在无需保护的列表中答案：B93.有关部门以及网络安全服务机构在关键信息基础设施安全检测评估中获取的信息A、可以在网络上公开售卖B、不能用于其他用途C、可以提供给安全从业人员进行参考学习D、可以提供给境外安全论坛进行谈论、研究和学习以促进互动和安全行业发展答案：B94.属性基础访问控制模型(Attribute-BasedAccessControl,ABAC)是基于什么来决定用户对资源的访问权限?A、用户属性B、资源属性C、环境属性D、所有以上答案：D95.本地化差分隐私和中心化差分隐私最主要的区别在于()A、名字不同B、敏感度定义不同C、是否依赖可信第三方D、数据种类不同答案：C96.近年来利用DNS劫持攻击大型网站恶性攻击事件时有发生,防范这种攻击比较有效的方法是?A、加强网站源代码的安全性B、对网络客户端进行安全评估C、运营商对域名解析服务器进行加固D、在网站的网络出口部署应用级防火墙答案：C97.哪种身份认证方式容易被破解和盗用?()A、生物特征识别B、智能卡认证C、双因素认证D、用户名和密码答案：D98.以下哪些政务数据不得开放?。A、涉及国家秘密B、商业秘密C、个人隐私D、以上全部都是答案：D99.4A系统指的是以下哪些功能的集合?A、认证B、授权C、账号管理D、审计E、所有选项都是正确的答案：E100.以下关于TCP协议的说法,哪个是正确的?A、相比UDP,TCP传输更可靠,并具有更高的效率B、TCP协议包头中包含了源IP和目的IP,因此TCP协议负责将数据传送到正确的主机C、TCP协议具有流量控制、数据校验、超时重发、接收确认等机制,因此能完全可以替代IP协议D、TCP协议虽然高可靠,但是比UDP协议过于复杂,传输效率要比UDP低答案：D101.运营者网络安全管理负责人履行下列职责A、组织制定网络安全规章制度、操作规程并监督执行B、组织对关键岗位人员的技能考核C、组织开展网络安全检查和应急演练,应对处置网络安全事件D、以上都是答案：D102.()主管全国的保密工作。A、国家安全部门B、公安部门C、中央保密委员会D、国家保密行政管理部门答案：D103.《数据安全法》中的“数据”是指()。A、任何电子或者非电子形式对信息的记录B、进行各种统计、计算、科学研究或技术设计等所依据的数值C、网络数据D、只包括电子形式的信息记录答案：A104.为了预防SQL注入,以下哪种方法不推荐使用?A、使用参数化查询B、直接拼接SQL语句C、对不可信数据进行校验D、预编译处理答案：B105.嵌入式系统中的安全芯片是指什么A、专用芯片,用于提供硬件级安全功能B、芯片上的加密引擎,用于执行密码算法C、芯片上的安全存储器,用于保存加密密钥D、芯片上的防火墙,用于阻止外部攻击答案：A106.对于数据安全防护,访问控制措施是一个基础的防护手段,以下哪些可以被认为是访问控制措施A、基于五元组的访问控制B、基于时间的访问控制C、基于角色的访问控制D、基于物理安全的E、以上都对答案：E107.基于密码的身份验证依赖于什么?A、用户名和密码或PINB、指纹和密码C、面部识别和密码D、虹膜扫描和密码答案：A108.我国定义的五大生产要素,不包括:A、数据B、能源C、劳动力D、资本答案：B109.物联网分为感知、网络和()三个层次,在每个层面上。都将有多种选择去开拓市场A、应用B、推广C、传输D、运营答案：A110.在实施风险评估时,形成了《待评估信息系统相关设备及资产清单》。在风险评估实施的各个阶段中,该《清单》应是()A、风险评估准备B、风险要素识别C、风险分析D、风险结果判定答案：B111.下面()是强制访问控制(MAC)模型中的一个重要元素。A、主体B、客体C、标签D、规则答案：C112.()有权对违反本法规定的行为向有关主管部门投诉、举报?A、只有从事数据安全工作的人员有权B、只有从事数据安全工作的组织有权C、只有从事数据安全工作的人员和组织有权D、任何个人、组织都有权答案：D113.在中华人民共和国()开展数据处理活动及其安全监管适用《中华人民共和国数据安全法》A、境内部分地区B、境内以及境外C、境外D、境内答案：D114.某公司的员工,正当他在忙于一个紧急工作时,接到一个电话,被告知系统发现严重漏洞,紧急修复,需提供他的系统管理账户信息”,接下来他的正确做法是()。A、核实之后,如是真实情况,才可提供账号信息B、诈骗电话,直接挂机C、直接拒绝D报警答案：A115.国家实施网络实名制身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。A、正确B、错误答案：B116.自2017年爆出幽灵漏洞之后,2021年又爆出熔断漏洞,常见CPU无一幸免,该漏洞导致数据泄露的原理是主板内存泄露。A、正确B、错误答案：B117.降低风险(或减低风险)指通过对面的风险的资产采取保护措施的方式来降低风险,下面那个措施不属于降低风险的措施()A、减少威胁源,采用法律的手段制裁计算机的犯罪,发挥法律的威慑作用,从而有效遏制威胁源的动机B、签订外包服务合同,将存在风险的任务通过签订外包合同给与第三方完成,通过合同条款问责应对风险C、减低威胁能力,采取身份认证措施,从而抵制身份假冒这种威胁行为的能力D、减少脆弱性,及时给系统打补丁,关闭无用的网络服务端口,从而减少系统的脆弱性,降低被利用可能答案：B118.下列所述风险评估方法中错误的是哪项:A、风险评估方法包括:定性风险分析、定量风险分析以及半定量风险分析B、定性风险分析需要凭借分析者的经验和直觉或者业界的标准和惯例,因此具有随意性C、定量风险分析试图在计算风险评估与成本效益分析期间收集的各个组成部分的具体数字值,因此更具客观性D、半定量风险分析技术主要指在风险分析过程中综合使用定性和定量风险分析技术对风险要素的赋值答案：B119.已被发现,但相关软件厂商还未第一时间给出补丁进行修复的漏洞称之为?()单选A、已有漏洞B、CVE漏洞C、Nday漏洞D、0DAY漏洞答案：D120.对恶意代码的预防,需要采取增强安全防范策略与意识等措施,关于以下预防措施或意识,说法错误的是:A、在使用来自外部的移动介质前,需要进行安全扫描B、限制用户对管理员权限的使用C、开放所有端口和服务,便利且充分使用系统资源D、不要从不可信来源下载或执行应用程序答案：C121.国密256加密算法是采用国家密码管理局公布的公钥算法()进行加密的。A、SM1B、SM2C、RSAD、AES答案：B122.如果想要为一个存在大量用户的信息系统实现自主访问控制功能,在以下选项中,从时间和资源消耗的角度,下列选项中他应该采取的最合适的模型或方法是()。A、访问控制列表(ACL)B、能力表(CL)C、BLP模型D、Biba模型答案：A123.以下不属于个人敏感信息的有()A、个人基因信息B、个人血样C、个人声纹D、未满14岁未成年人个人信息E、以上都属于答案：E124.关于信息系统安全等级保护第三级的系统运维管理,应对系统相关的人员进行应急预案培训,应急预案的培训至少()举办一次。A、每季度B、每半年C、每年D、每2年答案：C125.当前,应用软件安全已经日益引起人们的重视,每年新发现的应用软件漏洞已经占新发现漏洞总数一半以上。下列选项中,哪个与应用软件漏洞成因无关:A、传统的软件开发工程未能充分考虑安全因素B、开发人员对信息安全知识掌握不足C、相比操作系统而言,应用软件编码所采用的高级语言更容易出现漏洞D、应用软件的功能越来越多,软件越来越复杂,更容易出现漏洞答案：C126.国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,目的是:。A、促进数据跨境安全、自由流动B、促进数据跨境安全,安全流动C、促进数据自由跨境,自由流动D、促进数据自由跨境,安全流动答案：A127.以下关于定级工作说法不正确的是:()A、确定定级对象过程中,定级对象是指以下内容:起支撑、传输作用的信息网络(包括(答案)专网、内网、外网、网管系统)以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统(答案)B、确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。C、在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。D、新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。答案：A128.在进行数据安全风险评估时,以下哪项是关键的第一步?A、制定详细的风险应对措施B、选择合适的风险评估方法和工具C、识别并确定评估的范围和对象D、汇总并报告评估结果答案：C129.下列哪个是访问控制中的授权方式?A、访问请求审查B、双因素认证C、单一登录D、加密传输答案：A130.在大数据环境中,()不是隐私保护的关键挑战之一。A、数据集成和共享B、数据存储和处理能力C、跨组织数据交换D、网络攻击和入侵答案：D131.在访问控制中,以下哪个概念描述了用户或主体的访问权限在特定时间段内有效?A、审计B、审查C、时效D、撤销答案：C132.多因素身份验证的目的是什么?A、提高用户方便性B、减少数据传输的复杂性C、加强身份验证的安全性D、加速系统登录速度答案：C133.以下关于模糊测试过程的说法正确的是:A、模糊测试的效果与覆盖能力,与输入样本选择不相关B、为保障安全测试的效果和自动化过程,关键是将发现的异常进行现场保护记录C、可能无法恢复异常状态进行后续的测试D、通过异常样本重现异常,人工分析异常原因,判断是否为潜在的安全漏洞,如果是安全漏洞,就需要进一步分析其危害性、影响范围和修复建议E、对于可能产生的大量异常报告,需要人工全部分析异常报告答案：D134.身份信息在传输过程中需要保证哪些安全性?A、机密性、完整性、可用性B、机密性、可复制性、可用性C、完整性、可变性、可用性D、完整性、可靠性、可复制性答案：A135.下列哪个是常见的单点登录(SSO)技术?A、OAuthB、SAMLC、LDAPD、RADIUS答案：B136.区块链信息服务提供者应当记录区块链信息服务使用者发布内容和日志等信息,记录备份应当保存不少于()。()A、3个月B、6个月C、9个月D、12个月答案：B137.省级以上人民政府应当将()发展纳入本级国民经济和社会发展规划.A、信息经济B、智慧经济C、数字经济D、数据经济答案：C138.数据安全能力成熟度模型强调,企业在数据安全方面应首先确立哪项内容?A、数据安全目标B、业务发展计划C、信息安全政策D、数据治理架构答案：A139.CTO在对企业的信息系统进行风险评估后,考虑企业业务系统中部分涉及电商支付的功能模块风险太高,他建议该企业以放弃这个功能模块的方式来处理风险,请问这种风险处置的方法是()A、降低风险B、规避风险C、放弃风险D、转移风险答案：B140.组织第一次建立业务连续性计划时,最为重要的活动是:A、制定业务连续性策略B、进行业务影响分析C、进行灾难恢复演练D、构建灾备系统答案：A141.HASH加密用复杂的数字算法来实现有效的加密,其算法不包括()A、MD2;B、MD4;C、MD5;D、Cost256答案：D142.以下哪项是降低社会工程学攻击风险的有效措施?A、增加网络防火墙的配置B、提供员工教育和培训C、定期进行漏洞扫描和渗透测试D、使用强密码保护账户答案：B143.数据在进行传输前,需要由协议自上而下对数据进行封装。TCP/IP协议中数据封装顺序是:A、传输层、网络接口层、互联网络层B、传输层、互联网络层、网络接口层C、互联网络层、传输层、网络接口层D、互联网络层、网络接口层、传输层答案：B144.某网站为了更好向用户提供服务,在新版本设计时提供了用户快捷登录功能,用户如果使用上次的IP地址进行访问,就可以无需验证直接登录,该功能推出后,导致大量用户账号被盗用,关于以上问题的说法正确的是:A、网站问题是由于开发人员不熟悉安全编码,编写了不安全的代码,导致攻击面增大,产生此安全问题B、网站问题是由于用户缺乏安全意识导致,使用了不安全的功能,导致网站攻击面增大,产生此问题C、网站问题是由于使用便利性提高,带来网站用户数增加,导致网站攻击面增大,产生此安全问题D、网站问题是设计人员不了解安全设计关键要素,设计了不安全的功能,导致网站攻击面增大,产生此问题答案：D145.以下关于数据库常用的安全策略理解不正确的是:A、最小特权原则,是让用户可以合法的存取或修改数据库的前提下,分配最小的特权,使得这些信息恰好能够完成用户的工作B、最大共享策略,在保证数据库的完整性、保密性和可用性的前提下,最大程度地共享数据库中的信息C、粒度最小的策略,将数据库中数据项进行划分,粒度越小,安全级别越高,在实际中需要选择最小粒度D、按内容存取控制策略,不同权限的用户访问数据库的不同部分答案：B146.以下哪种情形不适用《网络安全法》?()A、在中国境内建设网站B、在中国境内运营网站C、在中国境内使用网站D、在中国境外使用网站答案：D147.业务连续性计划(BCP)是组织为避免关键业务功能因重大事件而中断,减少业务风险而建立的一个控制过程。A、正确B、错误答案：A148.数据交易应当遵循()原则。A、自愿原则。B、公平原则C、诚信原则D、以上都正确答案：D149.网络社会工程学攻击的防范措施之一是避免哪些行为?A、在公共场合或网络上泄露个人敏感信息,如银行卡号、密码、身份证号等B、在电子邮件中发送敏感信息,使用安全加密的方式进行传输C、点击可疑的链接、下载可疑的附件等D、以上都是答案：D150.以下哪个是恶意代码采用的隐藏技术:A、文件隐藏B、进程隐藏C、网络连接隐藏D、以上都是答案：D151.以下哪种行为不适用《数据安全法》?()A、中国境内开展数据处理活动的行为B、中国境外开展数据处理活动的行为C、中国境外开展数据处理活动损害中国国家利益的行为D、中国境外开展数据处理活动损害公民合法权益的行为答案：B152.为切实服务受重大突发事件影响的客户,支持受影响的个人、机构和行业,银行业金融机构可以采取的措施不包括以下哪一项?()A、减免受影响客户账户查询、挂失和补办、转账、继承等业务的相关收费B、与受重大影响的客户协商调整债务期限、利率和偿还方式等C、为受重大影响的客户提供续贷服务D、适当延长受重大影响客户的报案时限,减免保单补发等相关费用答案：D153.数据处理者应当采取什么措施保障数据免遭泄露、篡改、破坏、丢失、非法获取或者非法利用?A、仅依赖技术手段B、仅依赖管理制度C、采取技术保护和管理措施D、无需采取任何措施答案：C154.网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取更改措施,防止信息扩散,保存有关记录,并向有关主管部门报告。A、正确B、错误答案：B155.以下关于UDP协议的说法,哪个是错误的?A、具有简单高效的特点,常被攻击者用来实施流量型拒绝服务攻击B、UDP包头中包含了源端口号和目的端口号,因此可通过端口号将数据包送达正确的程序C、相比TCP,UDP开销更小,因此常用来传送如视频这一类大流量需求的数据D、UDP协议不仅具有流量控制,超时重发等机制,还能提供加密等服务,因此常用来传输如视频通话这类需要保护隐私的数据答案：D156.以下哪种方式可以保障数据的安全传输?()A、脱敏B、加密C、分类D、明文传输答案：B157.运营者不履行关键信息基础设施安全保护条例的,拒不改正或者导致危害网络安全等后果的,处()罚款A、十万元以上一百万元以下B、二十万元以上二百万元以下C、五十万元以上三百万元以下D、一百万元以上答案：A158.数据安全风险评估的主要目的是什么?A、增加数据处理量B、提高数据处理速度C、识别和控制数据安全风险D、降低数据安全投入成本答案：C159.重要涉密部门的人员选配,应当坚持()的原则,并定期进行考核,不适合的应及时调整。A、谁选配谁负责B、先审后用C、先选后训D、边审边用答案：B160.Wi-Fi使用()系列协议A、IEEE802.11B、IEEE802.12C、IEEE802.11gD、IEEE803.11答案：A161.根据安全漏洞检测的方法,漏洞扫描技术的类型不包括A、基于主机的检测技术B、基于路由的检测技术C、基于网络的检测技术D、基于审计的检测技术答案：D162.3.角色基础访问控制模型(Role-BasedAccessControl,RBAC)是基于什么来确定用户的访问权限?A、用户属性B、资源属性C、用户角色D、环境属性答案：C163.什么是系统变更控制中最重要的内容?A、所有的变更都必须文档化,并经过审批B、变更应通过自动化工具来实施C、应维护系统的备份D、通过测试和批准来确保质量答案：A164.以下哪种行为不适用《个人信息保护法》?()A、在中国境内因商业服务处理自然人个人信息;B、在中国境外以向境内自然人提供产品或者服务为目的处理境内自然人个人信息;C、在中国境外分析、评估境内自然人的行为;D、在中国境内因个人事务处理自然人个人信息。答案：D165.Kerberos认证协议中的"AS"代表什么?A、认证服务器B、授权服务器C、应用服务器D、票据授予服务器答案：A166.白盒测试的具体优点是:A、其检查程序是否可与系统的其他部分一起正常运行B、在不知程序内部结构下确保程序的功能性操作有效C、其确定程序准确性成某程序的特定逻辑路径的状态D、其通过严格限制访问主机系统的受控或虚拟环境中执行对程序功能的检查答案：C167.强制访问控制模型(MandatoryA.ccessControl,MAC)基于什么来确定资源的访问权限?A、资源所有者授权B、用户角色分配C、固定的安全策略和标签D、用户行为和环境信息答案：C168.民法调整平等主体的自然人、法人和()之间的人身关系和财产关系。A、法人组织B、非法人组织C、自然人组织D、个体工商户答案：B169.实践中常使用软件缺陷密度(Defects/KLPC)来衡量软件的安全性,假设某个软件共有30万行源代码,总共检出150个缺陷,则可以计算出其软件缺陷密度值是0.5。A、正确B、错误答案：A170.虚拟专用网络(VirtualPrivateNetwork,VPN)通过什么来建立安全的连接?A、加密和隧道技术B、用户角色C、系统管理员D、用户属性答案：A171.在网络社会工程学攻击中,以下哪项是常见的形式?A、电话诈骗B、媒体欺骗C、社交工程攻击D、以上都是答案：D172.《中华人民共和国民法典》规定,个人信息的处理包括个人信息的收集、存储、使用、加工、()、提供、公开等。A、买卖B、传输C、删除D、管理答案：B173.Oracle中的三种系统文件不包含()A、数据文件DBFB、控制文件CTLC、日志文件LOGD、归档文件ARC答案：D174.网络安全等级保护2.0正式实施日期是()。A、2017年6月1日B、2019年12月1日C、2019年12月10日D、2019年5月10日答案：B175.以下哪些信息不属于个人信息?()A、个人医疗记录B、个人支付凭证C、个人位置信息D、匿名化的犯罪记录答案：D176.根据《密码法》的规定,商用密码产品检测认证适用()的有关规定,避免重复检测认证。()A、《中华人民共和国网络安全法》B、《中华人民共和国数码安全法》C、《中华人民共和国个人信息保护法》D、《中华人民共和国消费权益保护法》答案：A177.物联网中的安全测试是用于什么目的?A、发现物联网设备和系统的安全漏洞B、测试物联网设备的性能指标C、测试物联网设备的可用性D、评估物联网设备的制造成本答案：A178.ISMS是基于组织的()风险角度建立的。()A、财务部门B、资产安全C、信息部门D、整体业务答案：D179.对系统工程(SystemsEngineering,SE)的理解,以下错误的是:A、系统工程偏重于对工程的组织与经营管理进行研究B、系统工程不属于技术实现,而是一种方法论C、系统工程不是一种对所有系统都具有普遍意义的科学方法D、系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法答案：C180.数据提供部门应当按照谁主管、谁负责,谁提供、谁负责的原则,负责本部门数据采集、归集、存储、提供、共享、应用和开放等环节的安全管理。A、正确B、错误答案：A181.数据安全风险评估过程中,最重要的是什么?A、数据收集B、风险评估方法选择C、风险识别与分析D、风险应对措施制定答案：C182.《中华人民共和国民法典》规定,处理个人信息时,应当遵循()、正当、必要原则。A、合法B、合理C、适度D、适当答案：A183.Windows访问控制中,用户的身份标识是通过什么方式创建的?A、访问令牌B、用户名和密码C、IP地址和端口号D、数字证书答案：A184.通过向被攻击者发送大量的ICMP回应请求,消耗被攻击者的资源来进行响应,直至被攻击者再也无法处理有效的网络信息流时,这种攻击称之为:A、Land攻击B、Smurf攻击C、PingofDeath攻击D、ICMPFlood答案：D185.动态令牌是一种常见的身份认证方法,它基于()原理。A、事先共享的密钥B、时钟同步算法C、数字签名D、会话密钥答案：B186.如果APP要将用户数据转移至其他公司,该公司应当()。A、事先告知用户数据转移的目的和方式,并获得用户明示同意B、不需要获得用户同意,因为这些数据属于公司资产C、将用户数据转移后再通知用户D、不需要通知用户,因为这些数据已经匿名化答案：A187.国家实施网络()战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。A、认证身份B、可信身份C、信誉身份D、实名制身份答案：B188.某电商系统RPO(恢复点目标)指标为1小时。请问这意味着()A、该信息系统发生重大安全事件后,工作人员应在1小时内到位,完成问题定位和应急处理工作B、信息系统发生重大安全事件后,工作人员应在1小时内完整应急处理工作并恢复对外运行--RTOC、该信息系统发生重大安全事件后,工作人员在完成处置和灾难恢复工作后,系统至少能提供1小时的紧急业务服务能力D、该信息系统发生重大安全事件后,工作人员在完成处置和灾难恢复工作后,系统至多能丢失1小时的业务数据(答案)答案：D189.数据安全防护要求不包括以下哪项?()A、建立数据安全管理责任和评价考核制度B、严格控制重要数据的使用、加工、传输、提供和公开等关键环节,并采取加密、脱敏、去标识化等技术手段保护敏感数据安全C、采购网络关键设备和网络安全专用产品目录中的设备产品时,应采购通过国家检测认证的设备和产品。D、因业务需要,确需向境外提供数据的,应当按照国家相关规定和标准进行安全评估答案：C190.防火墙是网络信息系统建设中常常采用的一类产品,它在内外网隔离方面的作用是不能物理隔离,但是能逻辑隔离。A、正确B、错误答案：A191.入侵检测技术不能实现以下哪种功能()。A、检测并分析用户和系统的活动B、核查系统的配置漏洞,评估系统关键资源和数据文件的完整性C、防止IP地址欺骗D、识别违反安全策略的用户活动答案：B192.在数据包转发过程中,当TTL值减少到0时,这个数据包必须接收。A、正确B、错误答案：B193.网络安全等级保护建设的流程是什么?A、定级、备案、监督检查、建设整改、等级测评B、定级、备案、建设整改、等级测评、监督检查C、建设整改、等级测评、监督检查、定级、备案D、等级测评、定级、备案、建设整改、监督检查答案：B194.最小特权是软件安全设计的基本原则,某应用程序在设计时,设计人员给出了以下四种策略,其中有一个违反了最小特权的原则,作为评审专家,请指出是哪一个?A、软件在Linux下按照时,设定运行时使用nobody用户运行实例B、软件的日志备份模块由于需要备份所有数据库数据,在备份模块运行时,以数据库备份操作员账号连接数据库C、软件的日志模块由于要向数据库中的日志表中写入日志信息,使用了一个日志用户账号连接数据库,该账号仅对日志表拥有权限D、为了保证软件在Windows下能稳定的运行,设定运行权限为system,确保系统运行正常,不会因为权限不足产生运行错误(答案)答案：D195.国家鼓励开发网络数据安全保护和利用技术,促进国家政务数据开放,推动技术创新和经济社会发展。A、正确B、错误答案：B196.等保2.0对云计算环境有额外的安全扩展要求。A、正确B、错误答案：A197.为了体现公平公正原则,每年高考都有严格的数据防泄密措施。以下哪项是无效的数据保密手段?A、封闭出卷、封闭阅卷B、试卷密封,运输过程全监控C、考生个人信息必须填入密封线以内,否则答卷无效D、出题完毕后出题组统一离场,不得交头接耳E、试卷交由甲级国家秘密载体印制资质的单位印刷答案：D198.未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权A、个人可以直接进行漏洞探测B、在发现确定存在漏洞后才能进行漏洞探测C、任何个人和组织不得对关键信息基础设施实施漏洞探测D、安全服务厂商可以直接进行漏洞探测答案：C199.MFA疲劳是指什么?A、攻击者拦截MFA推送通知B、用户疲惫不堪于频繁的MFA推送通知C、攻击者通过社会工程欺骗用户提供登录凭据D、用户忘记了MFA代码答案：B200.公安部门队对某款抢红包外挂进行分析发现此外挂是一个典型的木马后门,使黑客能够获得受害者电脑的访问权,该后门程序为了达到长期驻留在受害者的计算机中,通过修改注册表启动项来达到后门程序随受害者计算机系统启动而启动为防范此类木马的攻击,以下做法无用的是()A、不下载、不执行、不接收来历不明的软件和文件B、不随意打开来历不明的邮件,不浏览不健康不正规的网站C、禁用共享文件夹D、安装反病毒软件和防火墙,安装专门的木马防范软件答案：C201.依据IS027001,信息分类方案的目的是?()A、划分信息的数据型,如供销数据、生产数据、开发测试数据,以便于应用大数据技术对其分析。B、划分信息载体所属的职能以便于明确管理责任C、划分信息载体的不同介质以便于存储和处理,如纸张、光盘、磁盘。D、划分信息对于组织业务的关键性和敏感性分类,按此分类确定信息存储、处理、处置的原则答案：C202.某社交网站的用户点击了该网站上的一个广告。该广告会将浏览器定向到一个网游网站,网游网站获得了该用户的社交网络信息。这种向Web页面插入恶意html代码的攻击方式称为()A、分布式拒绝服务攻击B、跨站脚本攻击C、SQL注入攻击D、缓冲区溢出攻击答案：B203.下面哪项为错误的说法A、冯·诺依曼结构共用数据存储空间和程序存储空间,不共享存储器总线B、哈佛结构有分离的数据和程序空间及分离的访问总线C、哈佛结构在指令执行时,取址和取数可以进行并行操作D、哈佛结构指令执行时效率更高答案：A204.以下做法,正确的是()。A、离职后将个人负责的项目的敏感文档一并带走B、将敏感信息在云盘备份C、会议室使用完毕后及时擦除白板D、在公共场所谈论敏感信息答案：C205.数据私有产权不包括哪些()A、控制权B、管理权C、开放权D、使用权答案：C206.下列不属于核心数据的是()A、关系国家安全的数据B、关系国民经济命脉的数据C、关系重要民生的数据D、关系公共利益的数据答案：D207.《中华人民共和国网络安全法》规定:()A、促进公共数据开放B、保护关键信息基础设施C、严打网络诈骗,明确“网络实名制”.D、保护个人信息E、以上都对答案：E208.数据安全责任,按照谁所有谁负责、谁持有谁负责A、对B、错答案：B209.LoRaWAN网络中的反重放攻击是指什么A、攻击者重复发送相同的数据包B、网络服务器重复发送相同的数据包C、终端设备在同一时间窗口内发送多个数据包D、网关将数据包重复传输到网络服务器答案：A210.书面形式的涉密载体,应在封面或者首页做出国家秘密标志,汇编涉密文件、资料或摘录、引用属于国家秘密内容的应按照其中最低密级和最短保密期限标注。A、正确B、错误答案：B211.钓鱼攻击通常利用以下哪种方式来欺骗目标?A、伪造电子邮件、短信或其他通信形式B、直接物理接触C、网络扫描D、加密解密技术答案：A212.下列不属于数据脱敏方案的是?()A、无效化B、随机值C、偏移和取整D、程序化答案：D213.导致数据发生升降级的主要因素不包括()A、数据汇聚融合B、生产数据脱敏C、特定时间或事件后信息失去原有敏感性D、对数据复制答案：D214.国家支持开展数据安全知识宣传普及,下列说法错误的是:A、只有企业参与数据安全保护工作B、行业组织需要参与数据安全保护工作C、行业组织、科研机构需要参与数据安全保护工作D、有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作答案：A215.恢复攻击是指攻击者如何获取访问权限?A、通过请求重置受害者的账户来绕过MFAB、通过网络钓鱼诈骗获得受害者的登录凭据C、通过感染恶意软件窃取受害者的个人信息D、通过冒充合法软件与受害者进行通信答案：A216.未满()的未成年人为无民事行为能力人,其网络打赏行为是无效的。A、8周岁B、10周岁C、12周岁D、14周岁答案：A217.字典攻击是指攻击者使用常见的用户名和密码组合进行尝试,以猜测用户的凭据。以下哪种是字典攻击的示例?A、密码猜测/暴力破解攻击B、社会工程学攻击C、中间人攻击D、撞库攻击答案：A218.实践中常使用软件缺陷密度(Defects/KLPC)来衡量软件的安全性,假设某个软件共有30万行源代码,总共检出150个缺陷,则可以计算出其软件缺陷密度值是A、0.0005B、0.05C、0.5D、5答案：C219.以太坊属于()A、私有链B、公有链C、联盟链D、以上都不是答案：B220.《中华人民共和国民法典》规定,()应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关()报告。A、国防部门B、政府部门C、主管部门D、监管部门答案：C221.跨站点脚本(XSS)攻击是指攻击者通过在受信任的网站上注入恶意脚本,以窃取用户的凭据或会话信息。XSS攻击通常利用的是以下哪个安全漏洞?A、密码猜测漏洞B、输入验证漏洞C、会话劫持漏洞D、中间人攻击漏洞答案：B222.以下哪个选项不是数据匿名化的优势()A、让数据的非敏感部分仍然能比广泛利用B、避免数据滥用和隐私数据泄露C、增加从数据中提取有意义信息的能力D、强化数据管理和一致性答案：C223.国家建立网络安全监测预警和信息传输制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。A、正确B、错误答案：B224.矿藏、水流、海域属于()所有。A、国家B、地方政府C、企业D、私人答案：A225.为确保信息资产的安全,设备、信息或软件在()之前不应带出公司、组织场所。()A、使用B、检查合格C、授权D、识别出薄弱环节答案：C226.《个人信息保护法》施行的时间是:A、2021年10月1日B、2021年11月1日C、2021年11月11日D、2021年12月12日答案：B227.根据《网络安全法》的规定,电信运营商应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。A、正确B、错误答案：B228.认证服务器在单点登录(SSO)过程中的主要职责是什么?A、生成访问票据并存放在Cookie中B、验证用户的登录请求并确认其合法性C、建立安全访问通道与应用系统通信D、检查Cookie的有效性并进行验证答案：B229.个人信息保护影响评估报告和处理情况记录应当至少保存()。A、半年B、两年C、三年D、五年答案：C230.关于业务连续性计划(BCP)以下说法最恰当的是:A、组织为避免所有业务功能因重大事件而中断,减少业务风此案而建立的一个控制过程。B、组织为避免关键业务功能因重大事件而中断,减少业务风险而建立的一个控制过程。C、组织为避免所有业务功能因各种事件而中断,减少业务风此案而建立的一个控制过程D、组织为避免信息系统功能因各种事件而中断,减少信息系统风险建立的一个控制过程答答案：B231.网络安全等级保护总共有3个保护级别。A、正确B、错误答案：B232.生物特征欺骗攻击是指攻击者使用伪造的指纹、面部图像等来欺骗基于生物特征的身份认证系统。以下哪种是生物特征欺骗攻击的示例?A、密码猜测/暴力破解攻击B、中间人攻击C、XSS攻击D、人脸伪造攻击答案：D233.电子合同的标的物为采用在线传输方式交付的,()为交付时间。电子合同当事人对交付商品或者提供服务的方式、时间另有约定的,按照其约定。A、合同签署时间B、合同标的物进入对方当事人指定的特定系统时间C、合同标的物进入对方当事人指定的特定系统且能够检索识别的时间D、当事人确认签收时间答案：C234.网络社会工程学攻击的防范措施应该包括哪些方面?A、提高警觉性、保护个人信息、使用安全软件、定期更新密码等B、提高人际交往能力、增强自信心、增强抵抗力、加强运动等C、提高学历水平、增强沟通能力、增加社交圈子、扩大人脉等D、以上都不是答案：A235.UNIX/Linux系统中,使用哪种方式来标识文件的访问权限信息?A、4比特位模式B、6比特位模式C、8比特位模式D、10比特位模式答案：C236.以下是数据安全分类分级最终输出成果物的是()A、数据资产清单B、数据字典C、数据资源目录D、数据安全分类分级清单答案：D237.下列物件中不体现物联网智能处理特征的是A、数据库B、虚拟机C、云储存D、智能卡答案：D238.区块链的核心特点是:A、可逆性B、匿名性C、不可篡改性D、高速性答案：C239.6.主体通常是什么?A、文件B、用户C、应用服务D、数据答案：B240.关于强制访问控制模型,其中错误的是()A、强制访问控制是指主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体B、安全属性是强制性的规定,它由安全管理员或操作系统根据限定的规则确定,不能随意修改C、系统通过比较客体和主体的安全属性来决定主体是否可以访问客体D、它是一种对单个用户执行访问控制的过程控制措施答案：D241.应用软件的数据存储在数据库中,为了保证数据安全,应设置良好的数据库防护策略,以下不属于数据库防护策略的是?A、安装最新的数据库软件安全补丁B、对存储的敏感数据进行加密C、不使用管理员权限直接连接数据库系统D、定期对数据库服务器进行重启以确保数据库运行良好答案：D242.关键信息基础设施发生较大变化,可能影响其认定结果的,运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起()内完成重新认定,将认定结果通知运营者,并通报国务院公安部门。()A、1个月B、2个月C、3个月D、6个月答案：C243.安全审计和监控(SecurityA.uditingandMonitoring)可以帮助发现什么?A、异常行为和安全漏洞B、用户行为C、系统管理员D、资源属性答案：A244.根据《中国银保监会监管数据安全管理办法(试行)》的规定,下列归口管理部门具体职责不包括?()A、制定监管数据安全工作规则和管理流程B、制定监管数据安全技术防护措施C、规范本部门监管数据安全使用,明确具体工作要求,落实相关责任D、组织实施监管数据安全评估和监督检查答案：C245.密码猜测/暴力破解攻击是指攻击者尝试使用各种可能的密码组合来猜测用户的密码。这种攻击的目的是:A、窃取用户的生物特征信息B、截获用户的凭据C、篡改身份验证信息D、欺骗用户进行认证答案：B246.《数据安全法》维护数据安全,应当坚持(),建立健全(),提高()。A、数据安全治理体系,国家安全观,数据安全治理体系B、国家安全观,数据安全治理体系,数据安全保障能力C、数据安全保障能力,数据安全治理体系,国家安全观D、国家安全观,数据安全保障能力,数据安全治理体系答案：B247.区块链是一种:A、分布式数据库技术B、中心化数据库技术C、人工智能算法D、云计算技术答案：A248.防止非法授权访问数据文件的控制措施,哪项是最佳的方式:A、自动文件条目B、磁带库管理程序C、访问控制软件D、锁定库答案：C249.通道劫持是指攻击者通过什么方式获取受害者的通信信息?A、中间人代理攻击B、恶意软件感染C、网络钓鱼诈骗D、盗取用户的登录凭据答案：A250.以下4种对BLP模型的描述中,正确的是():A、BLP模型用于保证系统信息的机密性,规则是“向上读,向下写”B、LP模型用于保证系统信息的机密性,规则是“向下读,向上写”C、BLP模型用于保证系统信息的完整性,规则是“向上读,向下写”D、BLP模型用于保证系统信息的完整性,规则是“向下读,向上写”答案：B251.运营者的()对关键信息基础设施安全保护负总责。A、安全运维团队B、信息中心负责人C、生产责任人D、主要负责人答案：D252.数据安全风险评估应遵循哪些原则?A、科学性、公正性、客观性B、主观性、随意性、灵活性C、高效性、便捷性、低成本D、保密性、封闭性、排他性答案：A253.关于信息系统安全等级保护第三级的系统运维管理,应建立系统安全管理制度,对系统安全策略作出具体规定。A、正确B、错误答案：A254.信息安全管理体系(InformationSecurityManagementSystem,ISMS)的内部审核和管理审核是两项重要的管理活动,关于这两者,下面描述的错误是A、内部审核和管理评审都很重要,都是促进ISMS持续改进的重要动力,也都应当按照一定的周期实施B、内部审核的实施方式多采用文件审核和现场审核的形式,而管理评审的实施方式多采用召开管理评审会议形式进行C、内部审核的实施主体组织内部的ISMS内审小组,而管理评审的实施主体是由国家政策指定的第三方技术服务机构D、组织的信息安全方针、信息安全目标和有关ISMS文件等,在内部审核中作为审核标准使用,但在管理评审总,这些文件时被审对象答案：C255.以下Windows系统的账号存储管理机制SAM(SecurityAccoumtsManager)的说法哪个是正确的:A、存储在注册表中的账号数据是管理员组用户都可以访问,具有较高的安全性B、存储在注册表中的账号数据administrator账户才有权访问,具有较高的安全性C、存储在注册表中的账号数据任何用户都可以直接访问,灵活方便D、存储在注册表中的账号数据只有System账号才能访问,具有较高的安全性答案：D256.关键信息基础设施基于网络安全等级保护而高于网络安全等级保护,需在等级保护第三级及以上对象中确定。A、正确B、错误答案：A257.区块链的本质是()A、比特币B、去中心化分布式账本数据库C、计算机技术D、金融产品答案：B258.能够把零散的、规则的、不规则的数据通过有效的采集方法采集,并进行储存、加工、处理、分析使其进一步产生新的价值的是()A、物联网B、大数据C、移动互联网D、云计算答案：B259.为降低本国数据传输至境外造成的安全风险,我国针对性的推出了哪项政策法规?()A、《关键信息基础设施安全保护条例》B、《网络安全产品漏洞管理规定》C、《数据出境安全评估办法》D、《信息安全等级保护管理办法》答案：C260.经济合作与发展组织(OECD)在下列哪一年发布《隐私保护和跨境个人数据流动指南》(GuidelinesGoverningtheProtectionofPrivacyandTransborderFlowsofPersonalData),鼓励数据跨境和自由流动。()A、1967年B、1968年C、1990年D、1980年答案：D261.以下不属于数据库软件的是()A、MSSQLB、SQLiteC、ApacheD、Oracle答案：D262.侵犯未成年人在网络空间合法权益的情形包括未经监护人同意,收集使用()周岁以下(含)未成年人个人信息。A、8B、12C、14D、16答案：C263.微软提出了STRIDE模型,其中R.epudation(抵赖)的缩写,关于此项安全要求,下面描述错误的是()A、某用户在登陆系统并下载数据后,却声称“我没有下载过数据”,这种威胁就属于R.epudationB、解决Repudation威胁,可以选择使用抗抵赖性服务技术来解决,如强认证、数字签名、安全审计等技术措施C、Repudation威胁是STRIDE六种威胁中第三严重的威胁,比D威胁和E威胁的严重程度更高D、解决Repudation威胁,也应按照确定建模对象、识别威胁、评估威胁以及消减威胁等四个步骤进行答案：C264.行为人发表的文学、艺术作品以真人真事或者特定人为描述对象,含有侮辱、诽谤内容,侵害他人()的,受害人有权依法请求该行为人承担民事责任。A、姓名权B、隐私权C、名誉权D、名称权答案：C265.拒绝服务攻击(DDOS)是黑客常用手段,会严重影响系统与数据可用性,以下属于DDOS攻击的是()A、利用僵尸网络进行超大流量攻击B、利用自动化脚本高频次在论坛灌水以及刷评论C、利用高频爬虫反复爬取同一页面内容D、发送畸形数据包E、以上都对答案：E266.在HDFS透明加密中,每个文件块都有一个独立的加密密钥,这个密钥由()来管理。A、HDFS管理员B、文件所有者C、KeyManagementService(KMS)D、操作系统管理员答案：C267.开展数据处理活动应当(),发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施。A、加强安全管理B、加强团队管理C、加强技术培养D、加强风险监测答案：D268.关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家采购审查。A、正确B、错误答案：B269.规范的实施流程和文档管理,是信息安全风险评估结能否取得成果的重要基础,按照规范的风险评估实施流程,《风险评估方案》是风险要素识别阶段的输出成果。A、正确B、错误答案：B270.身份认证是为了确认通信过程中的另一端个体是谁,这个个体可以是哪些类型?A、人B、物体C、虚拟过程D、以上都可以答案：D271.因业务需要,确需进行境外远程维护的,应事先A、进行远程调试确保境外网络能进行访问B、报国家行业主管或监管部门和国务院公安部门C、进行远程调试确保境外网络无法直接进行访问D、咨询企业股东答案：B272.关于信息系统安全等级保护第三级的系统运维管理,应建立系统安全管理制度,对安全配置作出具体规定。A、正确B、错误答案：A273.数据安全责任,按照()的原则确定。A、谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责、谁采集谁负责B、谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责C、谁所有谁负责、谁持有谁负责、谁管理谁负责D、谁所有谁负责、谁持有谁负责答案：A274.关于数据库恢复技术,下列说法不正确的是:A、数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决,当数据库中数据被破坏时,可以利用冗余数据来进行修复B、数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保存起来,是数据库恢复中采用的基本技术C、日志文件在数据库恢复中起着非常重要的作用,可以用来进行事务故障恢复和系统故障恢复,并协助后备副本进行介质故障恢复D、计算机系统发生故障导致数据未存储到固定存储器上,利用日志文件中故障发生前数据的循环,将数据库恢复到故障发生前的完整状态,这一对事务的操作称为提交答案：D275.除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的()时间A、两倍B、三倍C、四倍D、最短答案：D276.配置如下两条访问控制列表:a.ccess-l.ist1permit55access-l.ist2permit0055访问控制列表1和2,所控制的地址范围关系是:()A、1和2的范围相同B、1的范围在2的范围内C、2的范围在1的范围内D、1和2的范围没有包含关系(答案)答案：D277.区块链最早应用于下列哪个领域?A、金融和数字货币B、社交媒体C、游戏开发D、医疗保健答案：A278.《信息安全技术数据安全能力成熟度模型》适用于哪些组织?A、仅适用于大型企业B、仅适用于政府机构C、适用于所有涉及数据处理的组织D、仅适用于信息技术企业答案：C279.拒绝服务攻击可能导致的后果是()。A、信息不可用B、应用程序不可用C、系统宕机、阻止通信D、上面几项都是(答案)答案：D280.网络安全等级保护第三级信息系统测评过程中,关于数据安全及备份恢复的测评,应检查()中是否为专用通信协议或安全通信协议服务,避免来自基于通信协议的攻击破坏数据完整性。A、操作系统B、网络设备C、数据库管理系统D、应用系统E、以上均对答案：E281.各信息安全风险要素之间的关系是()A、资产B、安全事件C、脆弱性D、安全措施答案：C282.国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列()措施。A、对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估B、促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享C、定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力D、对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助E、以上都对答案：E283.事实授权访问控制模型(Fact-BasedAuthorization,FBA)是基于什么来动态决定用户对资源的访问权限?A、用户属性B、用户历史行为和环境信息C、系统管理员D、用户角色答案：B284.以下哪一项不属于常见的风险评估与管理工具:A、基于信息安全标准的风险评估与管理工具B、基于知识的风险评估与管理工具C、基于模型的风险评估与管理工具D、基于经验的风险评估与管理工具答案：D285.《个人信息保护法》是在()全国人民代表大会常务委员会第三十次会议通过的A、第十届B、第十二届C、第十三届D、第十六届答案：C286.国家机关应当遵循()、公平、便民的原则,按照规定及