信息安全测试员（高级）职业技能鉴定备考试题库-下（多选、判断题）

PAGEPAGE1信息安全测试员（高级）职业技能鉴定备考试题库-下（多选、判断题汇总）多选题1.电力二次系统安全防护策略包括（）。A、安全分区B、网络专用C、横向隔离D、纵向认证答案：ABCD2.《网络安全法》第47条规定，网络运营者应当加强对其用户发布的信息的管理。发现法律、行政法规禁止发布或者传输的信息的，应当立即（）。A、停止信息传输B、采取消除措施C、防止信息扩散D、记录并上报主管部门答案：ABCD3.宪法作为国家的根本法，体现出与普通法律不同的特征。下列关于宪法与普通法律的表述错误的是（）。A、宪法具有最高法律地位，在司法实践中具有优先适用的效力B、宪法是制定普通法律的依据，任何法律法规都不得同宪法相抵触C、宪法的内容不同于普通法律，只涉及社会生活某些重要的方面或领域D、宪法的制定和修改程序比普通法律更为严格，需要全国人大代表过半数通过才能生效答案：ACD4.勒索病毒，是一种新型电脑病毒，危害极大，这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。针对勒索病毒的防护策略主要包括下述()?A、重要的资料一定要备份，谨防资料丢失B、强化网络安全意识，陌生链接不点击，陌生文件不要下载，陌生邮件不要打开C、及时更新Windows安全补丁，开启防火墙D、安装杀毒软件，保持监控开启，定期更新病毒特征库答案：ABCD5.新型的多功能融合信息网络包括()。A、计算机网络B、电视网络C、移动电话网络D、有线电话网络答案：ABCD6.渗透测试服务基本流程含（）？A、测试前期准备B、测试阶段实施C、复测阶段实施D、成果汇报阶段答案：ABCD7.系统正常运行期间，各部门应注意收集各类信息系统突发事件的应急处置实例，总结经验和教训，开展信息系统事件（）的技术研究，加强技术储备。A、预测B、预防C、预警D、应急处置答案：ABCD8.下列工具能用于信息搜集（）A、sqlmapB、digC、nmapD、arp-scan答案：BCD9.下列情况违反“五禁止”的有（）。A、在信息内网计算机上存储国家秘密信息B、在信息外网计算机上存储企业秘密信息C、在信息内网和信息外网计算机上交叉使用普通优盘D、在信息内网和信息外网计算机上交叉使用普通扫描仪答案：ABCD10.以下哪些是XSS漏洞利用的场景()A、盗取合法用户会话信息B、上传蠕虫C、执行script代码D、跳转到原本不可达的内网地址答案：ABC11.下面哪些是常见的Web应用程序漏洞类型（）？A、跨站脚本攻击（XSS）B、SQL注入C、帐户暴力破解D、电子邮件欺骗答案：ABC12.burpSuite的proxy模块不具备的功能是A、目标爬虫B、报文抓取C、数据包重放D、暴力破解答案：ACD13.在网络安全领域，社会工程学常被黑客用于()？A、踩点阶段的信息收集B、获得目标webshellC、组合密码的爆破D、定位目标真实信息答案：ACD14.以下哪些属于《网络安全法》规定的“负有网络安全监督管理职责的部门及其工作人员：（）A、银行风险控制部门B、央企合规部门C、政务网络运维部门D、上市互联网公司CIO答案：ABC15.以下哪些是UDPFlood攻击的方式()A、发送发量的UDP小包冲击应用服务器B、利用Echo等服务形成UDP数据流导致网络拥塞C、利用UDP服务形成UDP数据流导致网络拥塞D、发送错误的UDP数据报文导致系统崩溃答案：ABC16.以下哪些内容是网络运营者的职责？A、制定、完善网络安全战略B、遵守法律、行政法规，履行网络安全保护义务C、接受政府和社会的监督，承担社会责任。D、保障网络安全、稳定运行，维护网络数据的完整性、保密性和可用性答案：BCD17.网络安全事件发生的风险增大时，省级以上人民政府有关部门应当按照规定的权限和程序，并根据网络安全风险的特点和可能造成的危害，采取下列措施：A、要求有关部门、机构和人员及时收集、报告有关信息，加强对网络安全风险的监测B、组织有关部门、机构和专业人员，对网络安全风险信息进行分析评估，预测事件发生的可能性、影响范围和危害程度C、向社会发布网络安全风险预警，发布避免、减轻危害的措施D、增强个人对网络安全风险的认识答案：ABC18.网络运营者为用户办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，对不提供真实身份信息的用户提供相关服务的，由有关主管部门责令改正；拒不改正或者情节严重的，可以由有关主管部门责令，()。A、暂停相关业务B、停业整顿C、关闭网站D、吊销相关业务许可证答案：ABCD19.Web网站常用的请求方法A、GETB、POSTC、PUTD、HEAD答案：ABC20.古今中外成千上万的英模人物，面对人生道路上的艰难曲折，以坚定的信心在逆境中奋起，最后赢得成功，成为后人学习的榜样。这启示我们，对于人生旅途中的逆境，应当采取的正确态度是()。A、大胆正视，积极应对B、努力创造条件，变不利因素为有利因素C、待时机成熟，顺势利导D、怨天尤人，自暴自弃答案：ABC21.违反《网络安全法》规定的，（）的人员，终身不得从事网络安全管理和网络运营关键岗位的工作A、受到行政处分B、因故意犯罪而受到刑事处罚C、因重大过失而受到刑事处罚D、有大额到期应付债务答案：BC22.如何防范钓鱼网站?()A、通过查询网站备案信息等方式核实网站资质的真伪B、安装安全防护软件C、警惕中奖、修改网银密码的通知邮件、短信，不轻意点击未经核实的陌生链接D、不在多人共用的电脑上进行金融业务操作，如网吧等。答案：ABCD23.关于计算机病毒感染能力的说法，下列哪些是正确的()A、能将自身代码注入到引导区B、能将自身代码注入到扇区中的文件镜像C、能将自身代码注入文本文件中并执行D、能将自身代码注入到文档或模版的宏中代码答案：ABD24.在下列说法中哪些是正确的?()A、串行通信一般用于近距离传输,并行通信用于远距离传输B、串行通信的频带利用率比并行通信的高C、串行通信的传输速度比并行通信的快D、串行通信可通过通信缓冲区来进行数据流速匹配答案：BD25.在Web渗透测试中，以下哪些选项描述了远程文件包含漏洞？A、允许攻击者执行恶意代码B、可以读取或包含服务器上的任意文件C、绕过身份验证获取更高权限D、攻击者可以远程包含其他网站的内容答案：BD26.使用网络扫描不能获取()信息A、发现存活主机、IP地址B、发现用户隐私信息C、发现主机存在的漏洞并利用D、不能发现开启的服务类型答案：BCD27.下列属于应用层安全协议的是A、SecureshellB、超文本传输协议C、电子交易安全协议SETD、SSL协议答案：ABC28.当成功通过msf黑进对方系统并获得system权限后，可以做什么操作（）A、屏幕截图B、键盘记录C、读写文件D、开关机答案：ABC29.网络运营者开展经营和服务活动，必须（），承担社会责任。A、遵守法律、行政法规、尊重社会公德B、接受政府和社会的监督C、履行网络安全保护义务D、遵守商业道德、诚实信用答案：ABCD30.道德是人类文明的重要组成部分，中华民族传统美德源远流长。以下选项中体现了中华民族传统美德中爱国奉献、以天下为己任的有（）。A、夙夜在公B、国而忘家、公而忘私C、先天下之忧而忧，后天下之乐而乐D、天下兴亡，匹夫有责答案：ABCD31.网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照()，处理其保存的个人信息A、法律的规定B、行政法规的规定C、部门规章的规定D、与用户的约定答案：ABD32.漏洞的生命周期含（）？A、0DayB、1DayC、2DayD、NDay答案：ABD33.下面()说法正确描述了网络拓扑图。A、显示了布线的细节B、提供了IP编址和计算机名称信息C、显示了所有交换机和路由器D、根据主机使用网络的方式将其编组答案：BD34.下列属于http协议的特点是A、简单，快速，灵活B、无连接，无状态C、管线化和内容编码D、HTTP不支持客户/服务器模式答案：ABD35.任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事（）等活动A、危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度B、煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨C、传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序D、侵害他人名誉、隐私、知识产权和其他合法权益答案：ABCD36.下面哪些是常见的Web应用程序安全配置问题（）？A、不安全的默认密码B、未更新的软件版本C、弱加密算法使用D、没有访问控制机制答案：ABCD37.下列渗透测试工具中，不能用于端口扫描的工具是?A、NmapB、sqlmapC、MetasploitD、BurpSuite答案：BCD38.因网络安全事件，发生突发事件或者生产安全事故的，应当依照（）等有关法律、行政法规的规定处置。A、《中华人民共和国网络安全法》B、《中华人民共和国突发事件应对法》C、《中华人民共和国安全生产法》D、《中华人民共和国应急法》答案：BC39.中华民族具有爱国主义的优良传统，以下选项体现了中华民族爱国主义优良传统中的抵御外来侵略、捍卫国家主权的精神的有（）。A、戚继光抗击倭寇B、郑成功收复台湾C、抗美援朝D、义和团运动答案：ABCD40.以下哪些问题是导致DNS欺骗的原因之一?()A、DNS是一个分布式的系统B、为提高效率，DNS查询信息在系统中会缓存C、DNS协议传输没有经过加密的数据D、NS协议是缺乏严格的认证答案：BCD41.关于命令执行漏洞的描述，错误的是()A、命令执行漏洞仅存在于C/S架构中B、命令执行漏洞危害不大C、命令执行漏洞与用户输入无关D、大多数脚本语言都可以调用操作系统命令答案：ABC42.下列哪些属于主机抑制？A、系统账号维护B、提高主机安全级别C、提高主机监控级别D、关闭主机答案：ABC43.以下哪些方法可以有效提高WLAN的安全性？()A、修改默认的服务区标识符SSIDB、禁止SSID广播C、启用终端与AP间的双向认证D、启用无线AP的开放认证模式答案：ABC44.依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得()。A、泄露B、毁损C、出售D、非法向他人提供答案：ACD45.以下哪些选项描述了命令注入和代码执行漏洞()?A、允许攻击者执行恶意代码B、可以读取或包含服务器上的任意文件C、绕过身份验证获取更高权限D、攻击者可以通过注入恶意命令或代码来执行任意操作答案：AD46.任何个人和组织应当对其使用网络的行为负责，不得设立用于实施诈骗，传授犯罪方法，()等违法犯罪活动的网站、通讯群组。A、传授养身秘诀B、制作或者销售图书C、制作或者销售违禁物品D、制作或者销售管制物品答案：CD47.WAF不具备的功能()A、病毒查杀B、web应用防护系统C、应用层协议流量过滤D、网络层防护答案：ACD48.网络运营者具有下列安全保护义务：()。A、制定内部安全管理制度和操作规程B、采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。C、采取监测、记录网络运行状态、网络安全事件的技术措施。D、采取数据分类、重要数据备份和加密等措施答案：ABCD49.在Web渗透测试中，以下哪些技术可以用于发现目标网站的隐藏URL？()A、爬虫B、目录枚举C、弱口令破解D、数据库注入答案：AB50.国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，()，保护网络技术知识产权。A、扶持重点网络安全技术产业和项目B、支持网络安全技术的研究开发和应用C、组织网络安全重要设施生产D、推广安全可信的网络产品和服务答案：ABD51.网络运营者应当按照网络安全等级保护制度的要求，履行（）安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。A、采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施B、采取数据分类、重要数据备份和加密等措施C、采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月D、制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任答案：ABCD52.渗透测试的主要阶段包括()?A、确认目标B、端口扫描C、漏洞利用D、报告编写答案：ABCD53.以下专业名词解释，正确的一项是（）？A、后门：一种形象的比喻，入侵者在利用某些方法成功的控制了目标主机后，可以在对方的系统中植入特定的程序，或者是修改某些设置，用于访问、查看或者控制这台主机B、弱口令：指强度不够，容易被猜解的，类似123，abc这样的口令（密码）C、暴力破解：简称“爆破”。黑客对系统中账号的每一个可能的密码进行高度密集的自动搜索，从而破坏安全并获得对计算机的访问权限D、社会工程学：一种无需依托任何黑客软件，更注重研究人性弱点的黑客手法正在兴起，这就是社会工程学黑客技术答案：ABCD54.网络运营者为用户()，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。A、办理网络接入、域名注册服务B、办理固定电话入网手续C、办移动电话入网手续D、提供信息发布服务答案：ABCD55.任何个人和组织有权对危害网络安全的行为向（）等部门举报。收到举报的部门应当及时依法作出处理，不属于本部门职责的，应当及时移送有权处理的部门。A、安监B、公安C、网信D、电信答案：BCD56.任何个人和组织有权对危害网络安全的行为向（）等部门举报。A、全国人大B、网信C、电信D、公安答案：BCD57.下列关于网络安全法的说法错误的有（）。A、国家规定关键信息基础设施以外的网络运营者必须参与关键信息基础设施保护体系。B、枢纽信息基础办法的运营者可自行采购网络产品和服务不通过安全审查。C、网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即向上级汇报。D、国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。答案：AB58.微机的总线有()。A、地址总线B、通信总线C、数据总线D、控制总线答案：ACD59.公钥密码的应用包括以下哪些选项?()A、数字签名B、非安全信道的密钥交换C、消息认证码D、身份认证答案：ABD60.网络运营者不履行“制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任”义务的，由有关主管部门责令改正，给予警告；()，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。A、拒不改正B、导致危害网络安全等后果C、情节严重的D、情节特别严重的答案：AB61.由于TCP/IP协议的缺陷，可能导致的风险有A、拒绝服务攻击B、顺序号预测攻击C、物理层攻击D、TCP协议劫持入侵答案：ABD62.在Web渗透测试中，以下哪些选项描述了跨站脚本攻击（XSS）？A、将恶意代码注入到网站中B、绕过身份验证获取更高权限C、窃取用户的敏感信息D、修改网站内容答案：AC63.从网站开发的角度来讲，防护暴力破解攻击的方法有()?A、有效的监控并分析流量B、不允许普通用户登录C、限制用户登录的次数D、在多次密码错误后限制登录答案：ACD64.网络运营者，是指（）A、网络运维者B、网络所有者C、网络服务提供者D、网络管理者答案：BCD65.信息系统遭受蠕虫病毒爆发时，网络安全事件专项应急预案应急响应流程包括（）。A、事故确认B、隔离主机C、杀毒清理D、分析取证E、恢复运行答案：ABCDE66.关键信息基础设施的运营者违反《网络安全法》规定，在境外存储网络数据，或者向境外提供网络数据的，由有关主管部门责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令（）；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。A、暂停相关业务B、停业整顿C、关闭网站D、吊销相关业务许可证答案：ABCD67.当CSRF存在Token验证以后，以下哪些不是其能配合的漏洞A、XXEB、SQL注入C、代码执行D、XSS答案：ABC68.网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者（）A、不得设置恶意程序B、发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告C、应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护D、网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意E、涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定答案：ABCDE69.对以下那些字符进行转换，无法过滤XSS攻击A、^B、#%C、<>D、&=答案：ABD70.以下哪些步骤通常包括在漏洞利用阶段中？()A、渗透测试报告编写B、身份验证绕过C、命令执行D、确认目标答案：BC71.以下哪些违法行为可以“对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款”？（）A、违法向境外提供重要数据B、从事数据交易中介服务的机构提供服务，未要求数据提供方说明数据来源，或未审核交易双方的身份，或未留存审核、交易记录C、不配合公安、国安机关因依法维护国家安全或者侦查犯罪的需要调取数据D、泄露经匿名化处理的公民个人信息答案：ABC72.建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施（）。A、同步修改B、同步使用C、同步规划D、同步建设答案：BCD73.人民代表大会制度是我国的根本政治制度，具有广泛的优越性，主要体现在（）。A、人民代表大会制度便于人民参加国家管理，充分保障了人民当家作主的主人翁地位B、人民代表大会制度有力地保障了各民族团结互助的平等关系C、人民代表大会制度全面体现了我国人民民主专政的国家性质D、人民代表大会制度保证了国家机关的高效协调运转答案：ABCD74.信息系统归口管理部门按照职责分工，负责各信息系统的网络安全事件的（）工作。A、预防B、监测C、报告D、应急处置答案：ABCD75.Session与Cookie的区别，说法正确的是A、Cookie的数据保存在客户端浏览器，Session保存在服务器B、服务端保存状态机制需要在客户端做标记，Session可能借助Cookie机制C、ookie通常用于客户端，保存用户的登录状态D、Cookie能保存用户的敏感信息答案：ABC76.未按国家有关规定向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，可以由有关主管部门责令改正，给予警告；拒不改正或者情节严重的，可以由有关主管部门责令，()。A、暂停相关业务B、停业整顿C、关闭网站D、吊销营业执照答案：ABCD77.要组建一个快速以太网，需要的基本硬件设备与材料包括（）。A、100BASE-T交换机B、100BASE-T网卡C、路由器D、双绞线或光缆答案：ABD78.下列属于密码破解的方式A、密码学分析B、撞库C、暴力破解D、字典破解答案：ACD79.以下方法中存在命令执行漏洞的是A、stringshell_exec(string$cmd)B、stringshell_exec(string$cmd)C、voidpassthru(string$command[,int&$return_var])D、stringescapeshellarg(string$arg)答案：ABC80.建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施（）。A、同步规划B、同步建设C、同步投运D、同步使用答案：ABD81.日常做()可以有效保护个人隐私?A、不连接或者少链接公共WI-FI，优先使用个人热点B、定期清理浏览器缓存C、不随意点击未知链接D、海投简历时注意鉴别正经公司答案：ABCD82.下列描述中，关于摘要算法描述错误的是()A、消息摘要算法的主要特征是运算过程不需要密钥，只有输入相同的明文数据经过相同的消息摘要算法才能得到相同的摘要。B、消息摘要算法将一个随机长度的消息生成一个固定长度的信息摘要C、为了保证消息摘要算法安全，必须保证其密钥不被攻击方获取，否则所加密的数据将被破解，造成信息泄密。D、消息摘要算法的一个特点是：输入任何微小的变动都将引起加密结果的很大改变。答案：ABD83.关于WannaCry勒索病毒，下列描述错误的是()?A、可以随意下载并打开邮件中的附件B、只安装杀毒软件就可以让电脑不受黑客和病毒的入侵C、一旦受到感染，马上将受感染的电脑从网络上及外置存储设备装置隔离D、定期更新系统补丁并安装杀毒软件，可以提高计算机的安全性答案：AB84.常见的渗透突破的方法包括()？A、U盘拷贝B、电子邮件C、网站挂马D、即时通讯答案：BCD85.关于命令执行漏洞与代码执行漏洞，描述错误的是()A、命令执行漏洞与代码执行漏洞一样B、命令执行漏洞与代码执行漏洞毫无关联C、命令执行漏洞直接调用操作系统命令，也可叫做OS命令执行D、代码执行漏洞是靠操作系统命令调用脚本代码命令答案：ABD86.国家网信部门和有关部门依法履行网络信息安全监督管理职责，发现法律、行政法规禁止发布或者传输的信息的，应当()。A、要求网络运营者停止传输B、采取消除等处置措施C、保存有关记录D、向有关部门报告答案：ABC87.以下哪些漏洞类型可能导致服务器远程执行恶意代码？A、RCE漏洞B、XSS漏洞C、SRF漏洞D、文件包含漏洞答案：AD88.以下可以防范口令攻击的是()A、设置的口令要尽量复杂些，最好由字母、数字、特殊字符混合组成B、在输入口令时应确认无他人在身边C、定期改变口令D、选择一个安全性强复杂度高的口令，所有系统都使用其作为认证手段答案：ABCD89.除《网络安全法》第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：A、设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；B、定期对从业人员进行网络安全教育、技术培训和技能考核；C、对重要系统和数据库进行容灾备份；D、制定网络安全事件应急预案，并定期进行演练；E、法律、行政法规规定的其他义务。答案：ABCDE90.以下关于DDOS攻击的描述，下列哪些是正确的?A、无需侵入受攻击的系统，即可导致系统瘫痪B、以窃取目标系统上的机密信息为目的C、导致目标系统无法处理正常用户的请求D、如果目标系统没有漏洞，远程攻击就不可能成功答案：AC91.网络运营者为用户办理()，对不提供真实身份信息的用户提供相关服务的，由有关主管部门责令改正。A、固定电话入网手续B、移动电话等入网手续C、提供信息发布服务D、提供即时通讯服务答案：ABCD92.《网络安全法》要求维护网络数据的哪些属性:（）。A、完整性B、保密性C、可用性D、可信性答案：ABC93.以下选项中，（）不属于网络安全渗透测试工具的是A、wiresharkB、urpsuiteC、tracertD、traceroute答案：CD94.对于使用HTTPReferer验证防御方法，以下哪些是可以绕过()A、修改攻击者页面文件名为请求服务器地址B、修改攻击者url路径中含有请求服务器地址C、Referer字段值为空D、无Referer字段答案：ABD95.下列属于恶意代码的是()A、病毒B、后门C、逻辑炸弹D、爬虫答案：ABC96.网络运营者为用户办理网络接入、域名注册服务，对不提供真实身份信息的用户提供相关服务的，由有关主管部门责令改正；拒不改正或者情节严重的，可以由有关主管部门责令，()。A、暂停相关业务B、停业整顿C、关闭网站D、吊销相关业务许可证答案：ABCD97.网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务：()。A、制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任B、采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月C、采取数据分类、重要数据备份和加密等措施D、采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施答案：ABCD98.网络的配置主要是安装和配置了()。A、用户B、IP地址C、网卡D、协议答案：CD99.关于网络安全技术学习相关方式，以下说法正确的是（）?A、出于学习的角度，可以未经许可对某网站进行渗透测试B、可搭建虚拟仿真环境来学习一些入侵与防御的技术C、可以参加一些技术学习类比赛来锻炼自己的能力D、可以学习基础知识的同时，关注一些安全事件，分析问题原因答案：BCD100.下列属于web服务端开发语言的是?A、HTMLB、phpC、netD、java答案：BCD101.重大安全事件发生时，企管部应及时上报至（）。A、运营公司领导B、集团信息中心C、集团网络安全D、信息化领导小组答案：AB102.国家建立集中统一、高效权威的数据安全风险评估、（）、（）、监测预警机制。A、报告B、信息共享C、分析D、研判答案：AB103.以下一句话木马有错误的是（）A、<?eval($_GET["code"])?>B、<?php($_GET["code"])?>C、<?phpeval($_GET["code"])?>D、答案：ABD104.法治思维是以法治的固有特性和对法治的信仰为基础的思维模式，下列关于法治思维的表述中，正确的是()。A、法治思维是一种法本位思维B、法治思维是一种正当性思维C、法治思维是一种符合逻辑的思维D、法治思维是一种科学思维答案：ABCD105.下列哪些属于物理抑制？A、关闭主机B、切断网络连接C、提高物理安全级别D、环境安全抑制答案：ABCD106.以下对渗透测试基本原则解释正确的是（）？A、保护：不因自己的行为导致用户正常业务受损；B、保密：角色决定认知，为用户保密是本份；C、保证：所学所用，皆为提升用户安全防护水平，为用户信息系统持续运行和创造价值保驾护航；D、保存：明确那些因业务过程而产生的数据和信息是否应该保存；答案：BD107.较大安全事件发生时，企管部应及时上报至（）。A、运营公司领导B、集团信息中心C、安全工作组D、安全监察部答案：ACD108.下列关于计算机网络的说法正确的是(）。A、网络中，通信线路可以是双绞线、同轴电缆、光纤、无线电和通信卫星等B、网络连接设备有调制解调器、网卡、集线器、网桥、路由器交换机等C、计算机网络系统可以在一座建筑物、一座城市内，也可以在-个省，甚至全球D、计算机网络中，计算机之间的连接可用导线、光纤、通信卫星但不能用微波答案：ABC109.网络运营者应当制定网络安全事件应急预案，及时处置（）等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。A、系统漏洞B、计算机病毒C、网络攻击D、网络侵入E、密码泄露答案：ABCD110.AES在抵抗差分密码分析及线性密码分析的能力比DES更有效，已经替代DES成为新的数据加密标准。其算法的信息块长度和加密密钥是可变的，以下哪些是其可能得密钥长度()A、64bitB、128bitC、192bitD、256bit答案：BCD111.有关HTTP协议的说法，正确的是A、HTTP是一种无状态的协议B、HTTP请求只能由客户端发起，而服务器不能主动向客户端发送数据。C、HTTP的无状态性简化了服务器的设计，使其更容易支持大量并发的HTTP请求D、在服务器端保留连接的有关信息，可以记住客户端的信息答案：ABC112.网络安全事件应急预案应当按照事件发生后的（）等因素对网络安全事件进行分级。A、危害程度B、影响规模C、变乱等级D、关注程度答案：AB113.CSRF攻击防范的方法有?A、使用随机TokenB、校验refererC、过滤文件类型D、限制请求频率答案：AB114.在下列说法中哪些是正确的?()A、虚电路与电路交换中的电路没有实质不同B、在通信的两站间只能建立一条虚电路C、虚电路也有连接建立、数据传输、连接拆除三个阶段D、虚电路的各个结点不需要为每个分组做路径选择判断答案：CD115.下列有关URL，说法正确的是A、URL叫统一资源定位器，可以用来标识一个资源，还指明了如何定位这个资源。B、URL的基本格式：协议类型:[//服务器地址[:端口号]][/资源层级UNIX文件路径]文件名[?查询][#片段ID]C、输入,浏览器不会自动转换成D、协议类型有：ftp,http,https答案：ABD116.下列传输介质中，可以在局域网中使用的是()A、双绞线B、同轴电缆C、光缆D、无线介质答案：ABCD117.中国式现代化，是中国共产党领导的社会主义现代化，既有各国现代化的共同特征，更有基于自己国情的中国特色。以下选项中关于中国式现代化表述正确的有（）。A、中国式现代化是全体人民共同富裕的现代化B、中国式现代化是物质文明和精神文明相协调的现代化C、中国式现代化是人与自然和谐共生的现代化D、中国式现代化是走和平发展道路的现代化答案：ABCD118.渗透测试中，以下哪些步骤通常发生在信息收集阶段之后？A、漏洞扫描B、社交工程攻击C、渗透攻击D、报告编写答案：AB119.关于WAF，说法正确的是()A、WAF可防止SQL注入攻击B、WAF可防止XSS攻击C、WAF可防止非法连接攻击D、WAF能防止针对服务器缺陷的攻击答案：ACD120.常见漏洞危害等级含（）？A、紧急漏洞B、高危漏洞C、中危漏洞D、低危漏洞答案：ABCD121.网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的（）的能力。A、真实性B、完整性C、保密性D、可用性答案：BCD122.在信息收集时，与域名有关的信息有（）？A、子域名B、CDNC、IPD、域名备案信息答案：ABCD123.根据某数据显示，目前只有5%的公司数据库得到妥善保护，由此可见，数据存储安全现在已成为企业的重中之重，以下哪些选项的做法可以加强数据安全（）？A、限制员工使用可移动存储设备B、通过实施强身份验证机制（例如多因素身份验证）和使用最小特权访问模型C、实施强大的数据存储安全策略D、监视用户数据访问控制答案：ABCD124.以下哪些技术可以帮助绕过WAF（Web应用防火墙）检测？()A、编码技术B、字典破解C、HTTP方法欺骗D、零宽空格答案：AB125.下面()属于网络应用。A、证券交易系统B、远程医疗C、信息处理系统D、电子图书答案：ABCD126.根据《网络安全法》的规定，任何个人和组织（）。A、明知他人从事危害网络安全的活动的，不得为其提供技术支持B、不得从事非法侵入他人网络、干扰他人网络正常功能等危害网络安全的活动C、不得提供专门用于从事侵入网络、干扰网络正常功能等危害网络安全活动的程序D、明知他人从事危害网络安全的活动的，可以为其进行广告推广答案：ABC127.信息收集的内容一般有（）？A、域名信息收集B、Web应用框架信息收集C、第三方平台泄露信息收集D、主机信息收集答案：ABCD128.网络运营者为用户（），在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。A、为用户提供信息发布、即时通讯等服务B、办理监听业务C、办理固定电话、移动电话等入网手续D、办理网络接入、域名注册服务答案：ACD129.php://filter/read=convert.base64-encode/resource=./././././etc/passwd，PHP页面存在文件包含漏洞，上述Payload获取不到哪些信息A、Linux系统中所有的用户名B、Windows系统中所有的用户名C、系统中用户组信息D、用户密码答案：BCD130.建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的（）。A、可用性B、完整性C、技术性D、保密性答案：ABD131.网络安全事件发生的风险增大时，省级以上人民政府有关部门应当按照规定的权限和程序，并根据网络安全风险的特点和可能造成的危害，采取下列措施：()。A、要求有关部门、机构和人员及时收集、报告有关信息，加强对网络安全风险的监测。B、组织有关部门、机构和专业人员，对网络安全风险信息进行分析评估，预测事件发生的可能性、影响范围和危害程度。C、向社会发布网络安全风险预警，发布避免、减轻危害的措施。D、向有关部门报告。答案：ABC132.关于HTML事件的叙述，正确的是()A、onkeyup松开键盘执行脚本B、onclick鼠标点击执行脚本C、onerror当错误时执行脚本D、onkeypress当按下键盘执行脚本答案：ABC133.网络安全攻击的主要表现方式有()。A、中断B、截获C、篡改D、伪造答案：ABCD134.set是一个以信用卡支付为基础的网上电子支付协议，在set(安全电子交易)协议中的安全措施有()。A、加密技术B、数字签名技术C、电子论证D、电子信封答案：ABCD135.法律权威是指法律在社会生活中的作用力、影响力和公信力，是法律应有的尊严和生命。下列关于法律权威的表述中，错误的是（）。A、法律权威只能源自法律的外在强制力B、法律权威意味着法律是人们行为规范的唯一准则C、法律权威意味着社会主体的一切行为都要以法律为最高权威D、法律权威并不排斥政策、道德和习惯在一定情形下取代法律答案：ABD136.PPDR模型包括以下哪些选项?()A、策略B、检测C、响应D、加密答案：ABC137.文件包含漏洞的一般特征有A、?page=a.phpB、?home=a.htmlC、?file=contentD、?id=1’答案：ABC138.关于IP协议，以下()是正确的。A、IP协议规定了IP地址的具体格式B、IP协议规定了IP地址与其域名的对应关系C、IP协议规定了IP数据报的具体格式D、IP协议规定了IP数据报分片和重组原则答案：ABC139.在Web渗透测试过程中，以下哪些技术可能用于获取目标网站的敏感信息？()A、SQL注入B、XSS攻击C、域名解析D、文件上传漏洞答案：AB140.以下哪些常用防御CSRF的方法（）A、验证HTTPReferer字段B、token验证C、HTTP头自定义属性D、User-Agent验证答案：ABC141.国家采取措施，（）来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏。A、监测B、防御C、处置D、隔离答案：ABC142.下列哪些不是虚拟专用网络VPN的安全功能?()A、验证访问控制和密码B、隧道，防火墙和拨号C、加密，鉴别和密钥管理D、压缩，解密和密码答案：ABD143.以下哪个是常用的XSS绕过编码（）A、JS编码B、URL编码C、HTML实体编码D、PYTHON编码答案：ABC144.任何个人和组织应当对其使用网络的行为负责，不得设立用于（）违法犯罪活动的网站、通讯群组，不得利用网络发布涉及实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息A、传授犯罪方法B、实施诈骗C、制作或者销售违禁物品D、制作或者销售管制物品答案：ABCD145.作为安全人员，在日常的工作中应该怎么做？A、遵纪守法坚守道德底线B、打法律的插边球C、提高自己技术水平让别人抓不到证据D、不对非授权网站进行渗透测试答案：AD146.在进行Web应用程序渗透测试时，以下哪些技术可以帮助发现目标网站的弱口令？A、字典破解B、社会工程学攻击C、SQL注入D、XSS攻击答案：AB147.根据《网络安全法》的规定，国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，（）。A、支持网络安全技术的研究开发和应用B、保护网络技术知识产权C、支持企业、研究机构和高等学校等参与国家网络安全技术创新项目D、推广安全可信的网络产品和服务答案：ABCD148.完整性机制不可以防范以下哪些攻击?()A、假冒源地址或用户的地址的欺骗攻击B、抵赖做过信息的递交行为C、数据传输中被窃听获取D、数据传输中被篡改或破坏答案：ABC149.关于密钥管理，下列说法正确的是()?A、保密通信过程，通信使用之前用过的会话密钥建立会话，不影响通信安全B、科克霍夫原则指出算法的安全性不应基于算法的保密，而应基于密钥的安全性C、密钥管理需要考虑密产生、存储、备份、分配、更新、撤销等生命周期过程的每一个环节D、在网络通信中，通信双方可利用Diffie-Hellman协议协商出会话密钥答案：BCD150.下面()是对等网的优点A、易于组建B、易于扩展C、尖端的安全功能D、价格便宜答案：AD151.Internet中包含的网络类型包括（）A、局城网B、城域网C、广域网D、无线网络答案：ABC152.以下哪个端口属于常见数据库的默认端口（）？A、1433B、1521C、5432D、27017答案：ABCD153.针对暴力_攻击，网站后台常用的安全防护措施有哪些（）?A、拒绝多次错误登录请求B、修改默认的后台用户名C、检测cookiereferer的值D、过滤特殊字符串答案：AB154.服务集(SSID)是()。A、标示无线设备所属的WLANB、包含32个字符C、负责确定信号强度D、同一WLAN的所有无线设备必须具有相同的SSID答案：AD155.应急抑制分为哪几个层次的工作内容？（）A、物理抑制B、网络抑制C、主机抑制D、应用抑制答案：ABCD156.一般安全事件发生时，企管部应及时上报至（）。A、运营公司领导B、集团信息中心C、安全工作组D、安全监察部答案：CD157.国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，()。A、保障网络免受干扰、破坏B、保障网络免受未经授权的访问C、防止网络数据泄露D、防止网络数据被窃取答案：ABCD158.以下属于物理层设备的是()A、集线器B、路由器C、网桥D、中继器答案：AD159.国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害（）的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。A、国家安全B、国计民生C、网速D、公共利益答案：ABD160.下列关于信息安全漏洞的描述，哪些是正确的()A、漏洞是存在于信息系统的某种缺陷。B、漏洞存在于一定的环境中，寄生在一定的客体上。C、具有可利用性和违规性，它本身的存在虽不会造成破坏，但是可以被攻击者利用，从而给信息系统安全带来威胁和损失。D、漏洞都是认为故意引入的一种信息系统的弱点。答案：ABC161.关于PHP文件包含函数描述正确的是()A、include()函数找不到被包含文件时会产生警告，并停止脚本B、require()函数找不到被包含文件时会产生致命错误，并停止脚本C、include_once()函数如果文件代码已经被包含则不会再次包含D、require_once()函数如果文件代码已经被包含则不会再次包含答案：BCD162.法律关系属于社会关系，表现为人与人之间的关系，下列关于法律关系的表述，正确的是()。A、法律关系是以法律规范为基础形成的社会关系B、法律关系是法律主体之间的社会关系C、法律关系是以权利和义务为内容的社会关系D、法律关系是规范友谊、爱情等的社会关系答案：ABC163.网络运营者收集、使用个人信息，应当遵循()的原则A、合法B、合理C、正当D、必要答案：ACD164.网络运营者不履行“制定网络安全事件应急预案”义务的，由有关主管部门责令改正，给予警告；()，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。A、情节严重的B、拒不改正C、情节特别严重的D、导致危害网络安全等后果答案：BD165.下列关于网络信息安全说法正确的有（）。A、网络运营者应当对其收集的用户信息严格保密B、网络运营者应妥帖管理用户信息，无需建立用户信息保护制度C、网络运营者不得泄露、篡改、毁损其收集的小我信息D、在经过处理无法识别特定个人且不能复原的情况下，未经被收集者同意，网络运营者不得向他人提供个人信息。答案：AC166.下面sql语句解释正确的是A、SELECT-从数据库表中获取数据B、UPDATE-更新数据库表中的数据C、DELETE-从数据库表中删除数据D、INSERTINTO-向数据库中插入数据答案：ABC167.千兆以太网和百兆以太网的共同特点是()。A、相同的数据格式B、相同的物理层实现技术C、相同的组网方法D、相同的介质访问控制方法答案：ACD168.在windows中，关于对话框叙述正确的是()。A、对话框不能改变形状大小B、对话框没有最大化按扭C、对话框没有最小化按扭D、对话框不能移动答案：ABC169.某单位信息内网的一台计算机上一份重要文件泄密，但从该计算机上无法获得泄密细节和线索，可能的原因是（）。A、该计算机未开启审计功能B、该计算机审计日志未放置专人进行维护C、该计算机感染了木马D、该计算机存在系统漏洞答案：ABCD170.在php语言中，以下函数可以包含文件?A、include()B、require()C、import()D、require_once()答案：ABD171.在Web渗透测试中，以下哪些步骤通常包括在信息收集阶段中？()A、网站扫描B、反弹shellC、漏洞利用D、目录和文件枚举答案：AD172.未按国家有关规定向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，由有关主管部门()。A、给予提醒B、责令改正C、给予警告D、给予批评答案：BC173.信息安全“三个不发生”是指（）。A、确保不发生大面积信息系统故障停运事故B、确保不发生恶性信息泄密事故C、确保不发生信息外网网站被恶意篡改事故D、确保不发生信息内网非法外联事故答案：ABC174.以下哪些拒绝服务攻击方式是流量型拒绝服务攻击？()A、LandB、UDPFloodC、SmurfD、Teardrop答案：ABC175.拒绝服务攻击导致的危害中，以下哪些说法是正确的()A、网络带宽被耗尽，网络被堵塞，无法访问网络B、主机资源被耗尽，主机无法响应请求C、应用资源被耗尽，应用无法响应请求D、应用系统被破坏，应用无法响应请求答案：ABC176.GET与POST方法区别，说法正确的是：A、在客户端，Get方式在通过URL提交数据，数据在URL中可以看到；POST方式，数据放置在HTML文件头中发送给服务器。B、对于get方式，服务器端用Request.QueryString获取变量的值，对于post方式，服务器端用Request.Form获取提交的数据。C、GET方式提交的数据大小有限制，而POST则没有此限制D、POST方式提交数据，会带来安全问题，而GET不会答案：ABC177.无数事实说明，人有了明确的理想，才能在人生的追求上不断去攀登，最大限度地实现人生价值；人若没有明确的理想，就会像没有舵的小船，在生活的大海中迷失方向，甚至搁浅触礁。这就是说（）。A、理想是人生的奋斗目标B、理想是人生前进的动力C、理想是人生的精神支柱D、理想是人们的主观意志和想当然答案：ABC178.数据库管理员对站点操作的权限一般为（）。A、增(Create)B、删(Retrieve)C、删(Retrieve)D、改(Delete)答案：ABCD179.以下哪些措施是有效的缓冲区溢出的防护措施()A、使用标准的C语言字符串库进行操作B、严格验证输入字符串长度C、过滤不合规则的字符D、使用第三方安全的字符串库操作答案：BCD180.关于PHP文件包含利用方法，正确的是()A、远程文件包含需服务器开启allow_urlfopen配置B、利用php//input伪协议需开启allow_url_include配置C、利用文件包含漏洞需被包含文件为，.php格式D、文件包含漏洞常可以配合文件上传漏洞共同利用答案：ABD181.以下哪些工具可以扫描网站目录（）？A、DirsearchB、nmapC、dirbD、Burpsuite答案：ACD182.系统的缺陷、错误被有意或无意的使用后，可能造成（）影响？A、重要资料被窃取B、系统被攻击或控制C、用户数据被篡改D、系统被作为入侵其他主机系统的跳板答案：ABCD183.国家保护公民、法人和其他组织依法使用网络的权利，（）。A、促进网络接入普及B、为社会提供安全、便利的网络服务C、提升网络服务水平D、保障网络信息依法有序自由流动答案：ABCD184.当访问web网站某个页面资源不存在时，将不会出现HTTP的状态码是A、200B、302C、504D、404答案：ABC185.下面关于超文本叙述中，正确的()。A、超文本是由结点和链路组成一个网络B、超文本是一种信息管理技术，也是一种电子文献形式C、多媒体超文本也可以认为是超文本D、超文本采用非线性的网络结构来组织信息答案：BCD186.安全测试服务含（）？A、渗透测试B、安全众测C、红蓝对抗D、应急响应答案：ABC187.国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列（）措施。A、对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助B、促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享C、对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估D、定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力答案：ABCD188.Webshell脚本进行分类的话，可以有A、spB、phpC、大马D、小马答案：ABCD189.以下选项中，哪些是数字签名机制能够实现的目标（）？A、接受者能够核实发送者对信息的签名B、发送者不能抵赖对信息的签名C、接受者不能伪造对信息的签名D、发送者能够确定接受者收到信息答案：ABC190.下列哪些功能可以由认证中心CA完成?()A、撤销和中止用户的证书B、产生并分发CA的公钥C、在请求实体和它的公钥间建立链接D、发放并分发用户的证书答案：ABD191.以下选项中哪些不是对于信息安全风险采取的纠正机制?()A、访问控制B、入侵检测C、灾难恢复D、防病毒系统答案：ABD192.下列哪些说法是正确的?()A、数据链路层处理设备到设备间的通信B、网络层处理高层进程间的通信C、传输层处理端节点间的通信D、以上均对答案：AC193.在Web渗透测试中，以下哪些是常见的敏感信息泄露点（）？A、配置文件B、日志文件C、数据库备份文件D、临时文件答案：ABCD194.下列属于信息完整性破坏的是A、篡改B、删除C、复制D、在信息插入其他信息答案：BCD195.下列HTTP协议方法中，不能用于传输实体主体的方法是?A、GETB、HEADC、OPTIONSD、POST答案：BC196.网络运营者为用户办理网络接入、域名注册服务，未要求用户提供真实身份信息的，由有关主管部门责令改正；拒不改正或者情节严重的，可以由有关主管部门责令()。A、暂停相关业务B、停业整顿C、关闭网站D、吊销相关业务许可证答案：ABCD197.以下哪些选项描述了文件上传漏洞？A、允许攻击者执行恶意代码B、可以读取或包含服务器上的任意文件C、绕过身份验证获取更高权限D、攻击者可以上传恶意文件到服务器答案：AD198.《网络安全法》（）发布，（）起实施。A、2016月11月4日B、2016月11月7日C、2017月11月4日D、2017月6月1日答案：BD199.文件上传漏洞成因可能是A、服务器配置不当B、开放了文件上传功能,并进行了限制C、系统特性、验证或者过滤不严格D、web用户对目标目录有可写权限甚至执行权限答案：ACD200.以下对渗透测试工程师的职业道德描述正确的是（）？A、技术和能力：所有技术都是双刃剑；B、自我价值：得到用户的认可，是自我价值的实现重要方式；C、用户的信任：建立信任需要过程，不信任是用户的常态；D、交流和分享：不欺骗，不误导，不吹捧，不贬低；答案：ABCD判断题1.如果需要进行远程文件包含，则PHP需要开启allow_url_include参数()A、正确B、错误答案：A2.（）银行机构在个人金融交易中获取的身份证信息、个人脸部图像、个人签名笔迹、个人账户金额等经申请可在政府行政机构间共享A、正确B、错误答案：B3.()使用电子邮件应该有一个电子邮件地址，它的格式是固定的，其中必不可少的字符是。A、正确B、错误答案：A4.（）任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益的活动。A、正确B、错误答案：A5.()《中华人民共和国网络安全法》中不涉及人才培养相关规定。A、正确B、错误答案：B6.（）运营公司网络信息安全工作组是运营公司网络安全的最高决策机构，安全工作组下设办公室，办公室设在企管部。A、正确B、错误答案：A7.（）经过处理无法识别和恢复个人信息所有者身份的信息（如实名制纸质火车票，以＊代替了身份证号码的若干位数）可以进行数据交易A、正确B、错误答案：A8.（）根据《网络安全法》的规定，有关部门可以对举报人的相关信息予以保密，保护举报人的合法权益。A、正确B、错误答案：B9.()资源子网由主计算机系统、终端、终端控制器、连网外设、各种软件资源及数据资源组成。A、正确B、错误答案：A10.sql注入中，用true和false的回显来判断注入点的是叫做报错注入A、正确B、错误答案：B11.()在计算机网络术语中，LAN的中文含义是局域网。A、正确B、错误答案：A12.（）监测预警信息的准确发布有赖于全天候全方位感知网络安全态势能力的建设A、正确B、错误答案：A13.HTTP协议会保存请求和响应的通信状态，具有持久化处理。A、正确B、错误答案：B14.用于保护整个网络IPS系统通常会部署在网络边界A、正确B、错误答案：A15.()以太网是当今现有局域网采用的最通用的通信协议标准。A、正确B、错误答案：B16.文件上传客户端做过滤限制后服务端不需要再做了A、正确B、错误答案：B17.（）国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络购物安全认证、检测和风险评估等安全服务。A、正确B、错误答案：B18.()人类社会需要道德，也产生和发展了道德。马克思主义科学揭示了道德的起源，认为道德起源于人先天具有的某种良知和善良意志。A、正确B、错误答案：B19.（）根据《网络安全法》的规定，市级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。A、正确B、错误答案：B20.()电子邮件中所包含的信息只能是文字。A、正确B、错误答案：B21.HTTP协议的端口号为53。A、正确B、错误答案：B22.（）渗透测试可以对系统进行全面的安全评估，包括网络安全应用安全和物理安全等方面。A、正确B、错误答案：A23.stringshell_exec(string$cmd)不会存在命令执行漏洞A、正确B、错误答案：B24.()蜜网或蜜罐是网络攻防演练中非常有效的安全防护措施，它一般串联部署在内网与外网系统，高效快速处理访问流量，隔离外部网络攻击。A、正确B、错误答案：B25.()任何个人和组织发送的电子信息、提供的应用软件，不得设置恶意程序，不得含有法律、行政法规禁止发布或者传输的信息。A、正确B、错误答案：A26.（）国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。A、正确B、错误答案：A27.（）在我国严重的网络犯罪行为不需要接受刑法的相关处罚。A、正确B、错误答案：B28.()PKI体系里面，由CA来负责数字证书的申请和注册。A、正确B、错误答案：B29.()WAF的绕过方法包括转换特征字符大小写、利用注释绕过、编码特征字符绕过、转换数据提交方式绕过等方法。A、正确B、错误答案：A30.马克思指出：“人的本质不是单个人所固有的抽象物，在其现实性上，它是一切社会关系的总和。”这句话说明，人的本质属性在于人的抽象性。A、正确B、错误答案：B31.SQL注入主要危害的是内存堆栈里面的信息()A、正确B、错误答案：B32.HTTP协议会保存请求和响应的通信状态，具有持久化处理。A、正确B、错误答案：A33.在SQL盲注过程中，可以借助二分法来提高注入的效率。A、正确B、错误答案：A34.()ModSecurity将HTTP会话交互周期划分为5个阶段。A、正确B、错误答案：A35.Web安全漏洞防护的方法包括：修复漏洞和采用waf防火墙方式A、正确B、错误答案：A36.（）通过分析Windows操作系统的内存文件，我们可以发现系统被hook的API函数。A、正确B、错误答案：A37.（）根据《网络安全法》的规定，大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。A、正确B、错误答案：A38.()Internet起源于美国的ARPAnet。A、正确B、错误答案：A39.()全面推进依法治国是一项系统工程，要贯彻落实“科学立法、严格执法、公正司法、全民守法”的要求。其中，全民守法被称为法治的生命线以及维护社会公平正义的最后一道防线。A、正确B、错误答案：B40.()信息是以精神介质为载体，传递和反映世界各种事物存在方式、运动状态的表征。A、正确B、错误答案：B41.Metasploit是一款开源的安全漏洞检测工具，其核心代码中绝大部分由Ruby语言实现。()A、正确B、错误答案：A42.（）渗透测试应该在未经授权的情况下进行，以便测试系统的真实安全性。A、正确B、错误答案：B43.()相对于有线局域网，可移动性是无线局域网的优势之一。A、正确B、错误答案：A44.()日志审计技术的作用包括发现入侵行为、排查故障、资源管理优化以及溯源取证等。A、正确B、错误答案：A45.（）重要网络和信息系统遭受特别严重的系统损失，造成全线网系统大面积瘫痪，丧失业务处理能力的事件属于重大安全事件。A、正确B、错误答案：B46.mssql的数据库默认端口是3389A、正确B、错误答案：B47.()风险处理的目标就是将组织面临的网络安全风险降低到零。A、正确B、错误答案：B48.（）访问控制的主要作用是防止非法的主体进入受保护的网络资源，允许合法用户访问受保护的网络资源，允许合法的用户A、正确B、错误答案：A49.Web安全漏洞防护的方法包括：修复漏洞和采用WAF防火墙方式()A、正确B、错误答案：A50.()蠕虫病毒的主要危害体现在对数据保密性的破坏。A、正确B、错误答案：B51.MSF的全称是TheMetasploitFramework。A、正确B、错误答案：A52.()Windows在应急响应时，可以使用netuser命令查看隐藏账户。A、正确B、错误答案：B53.利用Hackbar插件，可以对攻击payload中的字符串进行16进制编码。()A、正确B、错误答案：A54.（）《网络安全法》推动了《未成年人网络保护条例》的立法进程。A、正确B、错误答案：A55.()在企业管理层面，信息安全事件分级分类，都有相应的标准，必须严格按标准执行。A、正确B、错误答案：B56.（）信息系统遭受拒绝服务攻击消退后，仍应密切监控1至2天。A、正确B、错误答案：A57.()参照《GBT28827.3--2012信息技术服务运维维护第3部分：应急响应规范》中，对事件的重要程度分为4级，依次是信息系统安全利益主体、信息系统处理的业务信息类别、信息系统服务范围、业务对信息系统的依赖程度。A、正确B、错误答案：A58.getimagesize（）方法不能过滤敏感字符A、正确B、错误答案：A59.HTTP的响应状态码为：404，说明请求未经授权A、正确B、错误答案：B60.addslashes是可以过滤SQL注入使用的函数()A、正确B、错误答案：A61.通过互联网向客户传输渗透测试报告时，应尽可能选择明文方式发送，方便客户接收和查阅A、正确B、错误答案：B62.信念是人们在一定的认知基础上确立的对某种思想或事物坚信不疑并身体力行的态度。A、正确B、错误答案：A63.（）安全事件责任部门对安全事件处理过程进行详细记录，应填写《信息安全事件记录表》。A、正确B、错误答案：A64.()当他人发来电子邮件时，计算机必须处于开机状态，否则邮件就会丢失。A、正确B、错误答案：B65.（）网络运营者收集、使用个人信息，应当遵循合理、适当、必要的原则。A、正确B、错误答案：B66.（）制定完备的法律体系是有效治理互联网不良信息的法律前提与制度保障。A、正确B、错误答案：A67.（）TCP和UDP协议对比，UDP传送数据更安全。A、正确B、错误答案：B68.（）网信部门和有关部门在履行网络安全保护职责中获取的信息，用于维护网络安全的需要，也可以用于其他用途。A、正确B、错误答案：B69.（）渗透测试是一种攻击性的测试，旨在发现系统的漏洞和弱点，以便进行修复。A、正确B、错误答案：A70.()受到治安管理条列处罚的人员，五年内不得从事网络安全管理和网络关键运营岗位的工作。A、正确B、错误答案：A71.()漏洞扫描技术可用于发现系统中存在的各种威胁，并提供相应的防护方法或建议。A、正确B、错误答案：B72.httponly属性起到的作用是防御XSS攻击A、正确B、错误答案：A73.()参照《GBT28827.3--2012信息技术服务运维维护应急响应规范》中，对事件的重要程度分为4级A、正确B、错误答案：A74.()在信息安全保障的三大要素（人员、技术、管理）中，技术要素居主导地位。A、正确B、错误答案：B75.（）渗透测试可以完全保证系统的安全性，因为它可以发现所有漏洞。A、正确B、错误答案：B76.（）国家机关政务网络的运营者不履行《网络安全法》规定的网络安全保护义务的，由其同级机关或者有关机关责令改正，对直接负责的主管人员和其他直接责任人员依法给予处分。A、正确B、错误答案：B77.（）常见的渗透测试步骤包括信息收集、漏洞扫描、漏洞利用和维持访问。A、正确B、错误答案：A78.（）网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。A、正确B、错误答案：A79.()通过IP、域名DNS，每一台主机在Internet都被赋予了不同的地址。A、正确B、错误答案：A80.对<>字符进行转换，可以过滤XSS攻击A、正确B、错误答案：A81.()分布在一座大楼中的网络可称为一个局域网。A、正确B、错误答案：A82.()《网络安全等级保护安全设计技术要求》突出了从“计算环境安全、区域边界安全、通信网络安全和安全管理中心（一个中心三重防护）”四方面对系统进行安全技术设计。A、正确B、错误答案：A83.SQLMap是一款经典的渗透测试工具，它主要用于SQL注入()A、正确B、错误答案：A84.()人的本质不是单个人所固有的抽象物，在其现实性上，它是一切社会关系的总和。A、正确B、错误答案：A85.Kali中的/usr/share/wordlists/reckyou.txt是个很大的密码字典。A、正确B、错误答案：A86.()信息共享是计算机网络的重要功能之一。A、正确B、错误答案：A87.（）渗透测试只能在生产环境中进行，以便测试真实的安全性。A、正确B、错误答案：B88.()关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。A、正确B、错误答案：A89.()在网络通信中，一般使用对称加密算法来保证机密性。A、正确B、错误答案：A90.（）存储、处理涉及国家秘密信息的网络的运行安全保护，除应当遵守《网络安全法》外，还应当遵守保密法律、行政法规的规定。A、正确B、错误答案：A91.（）漏洞扫描技术可用于发现所有威胁，并提供相应的防护方法或建议。A、正确B、错误答案：B92.（）防止数据库遭到用户名密码暴力枚举，可以把密码设置的足够复杂，并且将频繁来自于同一IP地址的连接请求写进防火墙的黑名单中。A、正确B、错误答案：A93.黑客拿到用户的cookie后能冒充用户进行登录访问网站A、正确B、错误答案：A94.（）Windows在应急响应时，可以使用netuser命令查看隐藏账户。A、正确B、错误答案：B95.()1994年我国颁布的第一个与信息安全有关的法规是中华人民共和国计算机信息系统安全保护条例。A、正确B、错误答案：A96.密码学是网络安全的基础，所以网络安全可以单纯依靠安全的密码算法。A、正确B、错误答案：B97.（）网络安全等级保护基本要求》是按照控制类、控制点和要求项三个层次组织的。A、正确B、错误答案：A98.()计算机网络拓扑定义了网络资源在逻辑上或物理上的连接方式。A、正确B、错误答案：A99.BurpSuite默认监听本地的8000端口。A、正确B、错误答案：B100.管理员可通过修改Apache的配置文件，设定网站的根目录和默认服务端口。A、正确B、错误答案：A101.()SYN洪水攻击属于分布式拒绝服务攻击。A、正确B、错误答案：A102.（）我国第一部保护计算机信息系统安全的专门法规是《中华人民共和国信息安全法》。A、正确B、错误答案：B103.早期静态页面遇到安全问题有暗链和反动黑页()A、正确B、错误答案：A104.()数字信封是指发送方使用接收方的公钥来加密对策密钥后所得的数据，其目的是用来确保对策密钥传输的安全性。A、正确B、错误答案：A105.()网络安全等级保护制度是依据网络安全等级保护基本要求制定的。A、正确B、错误答案：B106.（）为了防御网络监听，最常用的方法是信息加密。A、正确B、错误答案：A107.()普通的家庭上网使用的是A类IP地址。A、正确B、错误答案：B108.()网络通信可以不遵循任何协议。A、正确B、错误答案：B109.()网页文件的扩展名是“.html”或“.htm”，还有“.asp”、“.php”等。A、正确B、错误答案：A110.（）在对MySQL数据库进行注入时，常用的延时函数是sleep。A、正确B、错误答案：A111.1qazWSX属于强口令A、正确B、错误答案：B112.（）重要网络和信息系统遭受严重的系统损失，造成全线网系统长时间中断或局部瘫痪，业务处理能力受到极大影响的事件属于重大安全事件。A、正确B、错误答案：A113.（）网络运营者的网络信息安全投诉举报制度应要求投诉和举报者实名A、正确B、错误答案：B114.（）隐写术的目的是不引起任何怀疑的情况下明文传送信息。A、正确B、错误答案：A115.（）国家互联网应急中心是行业信息共享与合作的主要形式A、正确B、错误答案：B116.（）网络和用户恢复任务与系统恢复是异步进行的。A、正确B、错误答案：B117.（）各有关部门有权单独发布网络安全监测预警信息。A、正确B、错误答案：B118.（）《网络安全法》明确，系统日志的留存时间不少于六个月A、正确B、错误答案：B119.（）入侵检测技术可用于发现系统中的各种入侵行为，并进行阻断和告警。A、正确B、错误答案：B120.水平越权指攻击者尝试访问与其具有相同级别的用户资源，垂直越权指高级别攻击者尝试访问低级别用户的资源()A、正确B、错误答案：B121.()和电话号码一样，IP地址是由Internet网络中心统一分配的。A、正确B、错误答案：A122.（）发生特别重大安全事件时，启动I级响应。A、正确B、错误答案：A123.（）网信部门和有关部门在履行网络安全保护职责中获取的信息，除用于维护网络安全的需要，还可用于其他用途。A、正确B、错误答案：B124.（）在命令注入利用实现过程中，通过|或&符号可以修改Shell命令执行的本来意思，从而实现命令注入漏洞。A