数据安全管理知识竞赛考试题库大全-上（单选题）

PAGEPAGE1数据安全管理知识竞赛考试题库大全-上（单选题汇总）一、单选题1.数据的单位，从小到大依次排序正确的是？A、TB<GB<MB<KBB、MB<GB<TB<PBC、PB<TB<MB<GBD、MB<TB<EB<GB答案：B2.事实授权访问控制模型(Fact-BasedAuthorization,FBA)是基于什么来动态决定用户对资源的访问权限?A、用户属性B、用户历史行为和环境信息C、系统管理员D、用户角色答案：B3.Q:国家积极开展（）等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。A、数据安全监管、数据开发利用B、数据安全治理、数据开发利用C、数据安全监管、数据开发存储D、数据安全治理、数据开发存储答案：B4.关于源代码审核，下列说法正确的是：A、人工审核源代码审校的效率低，但采用多人并行分析可以完全弥补这个缺点B、源代码审核通过提供非预期的输入并监视异常结果来发现软件故障，从而定位可能导致安全弱点的薄弱之处C、使用工具进行源代码审核，速度快，准确率高，已经取代了传统的人工审核D、源代码审核是对源代码检查分析，检测并报告源代码中可能导致安全弱点的薄弱之处答案：D5.Q:网络安全审查工作机制成员单位,意见（）的,按照特别审查程序处理,特别审查程序一般应当在90个工作日内完成。A、一致B、不一致C、部分一致D、部分不一致答案：B6.以下做法，正确的是（）。A、离职后将个人负责的项目的敏感文档一并带走B、将敏感信息在云盘备份C、会议室使用完毕后及时擦除白板D、在公共场所谈论敏感信息答案：C7.以下哪种访问控制模型是基于一组属性规则来确定用户对资源的访问权限?A、自主访问控制模型(DAC)B、强制访问控制模型(MAC)C、角色基础访问控制模型(RBAC)D、属性基础访问控制模型(ABAC)答案：D8.隐私保护和合规性的目的是什么?A、防止物理安全威胁B、保护个人信息和敏感数据的安全和隐私C、提高网络防火墙的性能D、加速数据传输速度答案：B9.Q:除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的（）时间A、两倍B、三倍C、四倍D、最短答案：D10.网络社会工程学攻击利用了哪些原理?A、心理学和社交技巧B、网络传播和信息交换C、病毒和恶意软件的编写和传播D、以上都不是答案：A11.关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的（）。A、国家网络审查B、国家涉密审查C、国家采购审查D、国家安全审查答案：D12.Q:个人信息处理者利用个人信息进行自动化决策,应当保证决策的（）和结果公平、公正,不得对个人在交易价格等交易件上行不合理的差别待遇A、:可行性B、自动化C、透明度D、精准度答案：C13.以下哪种访问控制模型是基于用户的个人身份来授权资源访问权限?A、自主访问控制模型(DAC)B、强制访问控制模型(MAC)C、角色基础访问控制模型(RBAC)D、属性基础访问控制模型(ABAC)答案：A14.关于信息安全管理体系的作用，下面理解错误的是A、对内而言，有助于建立起文档化的信息安全管理规范，实现有“法”可依，有据可查B、对内而言，是一个光花钱不挣钱的事情，需要组织通过其他方法收入来弥补投入C、对外而言，有助于使各科室相关方对组织充满信心D、对外而言，规范工作流程要求，帮助界定双方各自信息安全责任答案：B15.多因素身份验证包括以下哪些因素?A、用户名和密码B、令牌和生物识别C、网络流量分析和数据包过滤D、加密和解密算法答案：B16.运营者的（）对关键信息基础设施安全保护负总责。A、安全运维团队B、信息中心负责人C、生产责任人D、主要负责人答案：D17.组织建立信息安全管理体系并持续运行，其中错误的是（）A、建立文档化的信息安全管理规范，实现有章可循B、强化员工的信息安全意识，培育组织的信息安全企业文化C、对服务供应商要求提供证明其信息安全合规的证明D、使组织通过国际标准化组织的ISO9001认证答案：D18.基于身份的攻击通常始于什么类型的活动?A、网络钓鱼活动B、恶意软件攻击C、中间人代理攻击D、SIM卡交换攻击答案：A19.网络安全等级保护建设的流程是什么？A、定级、备案、监督检查、建设整改、等级测评B、定级、备案、建设整改、等级测评、监督检查C、建设整改、等级测评、监督检查、定级、备案D、等级测评、定级、备案、建设整改、监督检查答案：B20.Q:违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处罚款。A、:一万元以上二十万元以下B、:五万元以上十万元以下C、:一万元以上十万元以下D、:五万元以上二十万元以下答案：C21.对全球重点国家的数据跨境转移要求划分成高中低风险,依据风险的高低即合规措施模式对各国家/地区进行归类分级,并给每一等级的国家适配统一的合规措施,最终形成包含合规措施的数据跨境传输风险矩阵,不包括下列哪一等级?()A、严格管控B、适度管控C、宽松管控D、谨慎管控答案：D22.语句SELECT‘ACCP’FROMDUAL的执行结果是（）A、CCPB、XC、编译错D、提示未选中行答案：A23.为了规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险,根据,制定本规定。A、:《中华人民共和国科学技术进步法》B、:《中华人民共和国刑法》C、:《中华人民共和国网络安全法》D、:《中华人民共和国宪法》答案：C24.证书颁发机构的名称是什么?()A、PKI公钥基础设施B、Kerberos认证协议C、A数字证书认证中心D、公安局答案：D25.在单点登录(SSO)中,为什么采用SSL进行用户、应用系统和认证服务器之间的通信?A、提高用户体验B、加快应用系统的响应速度C、减小敌手截获和窃取信息的可能性D、增加数据的传输效率答案：C26.以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（A）A、突出重要系统，涉及所有等级,试点示范，行业推广，国家强制执行。B、利用信息安全等级保护综合工作平台使等级保护工作常态化。C、管理制度建设和技术措施建设同步或分步实施。D、加固改造缺什么补什么,也可以进行总体安全建设整改规划。答案：A27.密码可以保障数据安全，但数据安全不能单纯依靠安全的密码算法、密码协议也是重要组成部分。下面描述中，错误的是（）A、在实际应用中，密码协议应按照灵活性好、可扩展性高的方式制定，不要限制和框住的执行步骤，有些复杂的步骤可以不明确处理方式。B、密码协议定义了两方或多方之间为完成某项任务而指定的一系列步骤，协议中的每个参与方都必须了解协议，且按步骤执行。C、根据密码协议应用目的的不同，参与该协议的双方可能是朋友和完全信息的人，也可能是敌人和互相完全不信任的人。D、密码协议(Cryptographicprotocol),有时也称安全协议(securityprotocol),是使用密码学完成某项特定的任务并满足安全需求的协议，其末的是提供安全服务。答案：A28.在实施风险评估时，形成了《待评估信息系统相关设备及资产清单》。在风险评估实施的各个阶段中，该《清单》应是()A、风险评估准备B、风险要素识别C、风险分析D、风险结果判定答案：B29.Q:国家大力推进电子政务建设,提高政务数据的科学性、准确性、,提升运用数据服务经济社会发展的能力。A、:创新性B、:公平性C、:便民性D、:时效性答案：D30.在中国境外处理中国境内自然人个人信息的活动的场景，哪个不适用《中华人民共和国个人信息保护法》。A、以向境内自然人提供产品或者服务为目的B、以向境外自然人提供产品或者服务为目的C、大规模分析、评估境内自然人的行为D、法律与行政法规规定的其他情形答案：B31.在车载系统中，CAN总线是什么A、一种汽车品牌的总线标准B、一种车载音响系统C、一种用于车辆通信的总线标准D、一种驾驶员的控制界面答案：C32.重放攻击是指攻击者截获合法用户的身份验证流量,并在稍后的时间重新发送该流量,以冒充合法用户进行身份验证。以下哪种是重放攻击的示例?A、跨站点脚本(XSS)攻击B、令牌劫持攻击C、生物特征欺骗攻击D、社会工程学攻击答案：B33.明朝时期，科举考生首先要考县试，县试之前需要递交“亲供”包含祖上三代的信息，以及考生本人的姓名、年龄、籍贯、体貌特征和曾祖父母、祖父母、父母三代的姓名履历，以确保考生出身良民世家方可参加考试。这在数据安全治理中体现了什么理念和措施？A、侧写画像B、关键岗位关键人员必须进行背景调查C、身份认证D、以上都对答案：D34.区块链是一种：A、分布式数据库技术B、中心化数据库技术C、人工智能算法D、云计算技术答案：A35.Q:任何组织、个人收集数据,应当采取（）的方式,不得窃取或者以其他非法方式获取数据。A、:合法、正当B、:合规、正当C、:合法、恰当D、:合规、恰当答案：A36.根据《网络安全法》的规定,网络产品、服务的提供者实施哪种行为会受到处罚?()A、提供符合相关国家标准的强制性要求的网络产品、服务;B、不在网络产品、服务中设置恶意程序;C、在规定或者当事人约定的期限内,终止提供安全维护;D、发现网络产品、服务存在安全缺陷、漏洞等风险时,立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。答案：C37.根据中国银保监会监管数据安全管理办法(试行)内容,各业务部门及受托机构发生以下监管数据重大安全风险事项时,应立即采取应急处置措施,及时消除安全隐患,防止危害扩大,并于()小时内向归口管理部门报告?()A、12小时B、6小时C、1小时D、48小时答案：D38.访问控制的目的是为了限制什么?A、访问主体对访问客体的访问权限B、访问客体对访问主体的访问权限C、访问主体和客体之间的通信权限D、访问主体和客体之间的数据传输速度答案：A39.跨站点脚本(XSS)攻击是指攻击者通过在受信任的网站上注入恶意脚本,以窃取用户的凭据或会话信息。XSS攻击通常利用的是以下哪个安全漏洞?A、密码猜测漏洞B、输入验证漏洞C、会话劫持漏洞D、中间人攻击漏洞答案：B40.爬虫技术本身是中立的，因此可以利用爬虫爬取数据A、正确B、错误答案：A41.Q:违反《中华人民共和国数据安全法》第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据并造成严重后果的,处罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。A、:十万元以上一百万元以下B、:五十万元以上一百万元以下C、:一百万元以上五百万元以下D、:一百万元以上一千万元以下答案：C42.以下哪一项不属于常见的风险评估与管理工具：A、基于信息安全标准的风险评估与管理工具B、基于知识的风险评估与管理工具C、基于模型的风险评估与管理工具D、基于经验的风险评估与管理工具答案：D43.准备登陆电脑系统时，发现有人在您的旁边看着，正确做法是（）A、不理会对方B、提示对方避让C、报警D、关机后离开答案：B44.APP收集敏感用户数据时应该()。()A、在APP中嵌入广告,以此换取用户数据B、强制用户授权所有权限C、明确告知用户数据收集的目的和方式,并获得用户明示同意D、不需要获得用户同意,因为这些数据对APP运营至关重要答案：C45.以下哪种访问控制模型是基于用户角色分配来确定用户的访问权限?A、自主访问控制模型(DAC)B、强制访问控制模型(MAC)C、角色基础访问控制模型(RBAC)D、属性基础访问控制模型(ABAC)答案：C46.以下4种对BLP模型的描述中，正确的是（）：A、BLP模型用于保证系统信息的机密性，规则是“向上读，向下写”B、LP模型用于保证系统信息的机密性，规则是“向下读，向上写”C、BLP模型用于保证系统信息的完整性，规则是“向上读，向下写”D、BLP模型用于保证系统信息的完整性，规则是“向下读，向上写”答案：B47.下列哪一规定的颁布被誉为数据领域“哥白尼革命”式的立法,特别注重“数据权利保护”与“数据自由流通”之间的平衡?()A、《加州隐私权利法》B、《通用数据保护条例》(GDPR)C、《弗吉尼亚州消费者数据保护法》D、《科罗拉多州隐私法案》答案：B48.关于信息安全管理体系（InformationSecurityManagementSystems,ISMS）,下面描述错误的是（）。A、信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系，包括组织架构、方针、活动、职责及相关实践要素B、管理体系（ManagementSystems）是为达到组织目标的策略、程序、指南和相关资源的框架，信息安全管理体系是管理体系思想和方法在信息安全领域的应用C、概念上，信息安全管理体系有广义和狭义之分，狭义的信息安全管理体系是指按照ISO27001标准定义的管理体系，它是一个组织整体管理体系的组成部分D、同其他管理体系一样，信息安全管理体系也要建立信息安全管理组织机构，健全信息安全管理制度、构建信息安全技术防护体系和加强人员的安全意识等内容答案：A49.Wi-Fi使用系列协议A、IEEA802.11B、IEEE802.12C、IEEE802.11D、IEEE803.11答案：C50.Q:违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得以上以下罚款,没有违法所得的,处以下罚款。A、:十倍一百倍一百万元B、:一倍十倍一百万元C、:一倍一百倍二十万元D、:十倍一百倍二百万元答案：B51.运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行()次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。()A、一B、二C、三D、四答案：A52.一种被广为接受的应急响应方法是将应急响应管理过程分为6个阶段，准备→检测→遏制→根除→恢复→跟踪总结。请问下列说法有关于信息安全应急响应管理过程错误的是():A、确定重要资产和风险，实施针对风险的防护措施是信息安全应急响应规划过程中最关键的步骤B、在检测阶段，首先要进行监测、报告及信息收集C、遏制措施可能会因为事件的类别和级别不同而完全不同。常见的遏制措施有完全关闭所有系统、断网等D、应按照应急响应计划中事先制定的业务恢复优先顺序和恢复步骤，顺次恢复相关的系统答案：A53.为保障数据可用性，系统设计时应关注（）。A、网络拓扑结构是否存在单点故障B、主要网络设备以及关键业务的服务器是否冗余C、通信线路是否有多条链路D、是否有数据备份与恢复验证措施E、以上都对答案：E54.若要系统中每次缺省添加用户时，都自动设置用户的宿主目录为/users,需修改哪一个配置文件？（）A、/etc/default/useraddB、/etc/login.defsC、/etc/shadowD、/etc/passwd答案：A55.下面哪个是社会工程学的常见形式?A、加密技术B、数据分析C、钓鱼攻击D、防火墙配置答案：C56.根据《中华人民共和国个人信息保护法》有关规定，为履行法定职责或者法定义务所必需的个人信息采集场景，无需取得个人同意A、正确B、错误答案：A57.撞库攻击是指攻击者通过获取已经泄露的用户名和密码组合,尝试在其他网站或服务中使用这些凭据进行身份验证。这种攻击利用了用户倾向于:A、使用弱密码B、使用相同的用户名和密码组合C、喜欢使用公共计算机进行认证D、在社交媒体上公开个人信息答案：B58.实施灾难恢复计划之后，组织的灾难前和灾难后运营成本将：A、降低B、不变C、提高D、提高或降低（取决于业务的性质）答案：C59.中间人攻击是指攻击者在用户和身份验证服务器之间插入自己的设备或软件,以截获和篡改身份验证信息。以下哪种是中间人攻击的示例?A、密码猜测/暴力破解攻击B、跨站点脚本(XSS)攻击C、侧信道攻击D、令牌劫持攻击答案：D60.口令安全管理中,下列哪个原则是不正确的?A、口令应至少包含8个字符以上B、口令应包含大小写字母、数字和特殊字符C、口令可以与账号相同D、口令应有时效机制,定期更换答案：C61.根据《中华人民共和国网络安全法》的规定，关键信息基础设施的运营者应当定期对从业人员进行网络安全教育、技术培训和技能考核。A、正确B、错误答案：A62.某电商系统RPO（恢复点目标）指标为1小时。请问这意味着（）A、该信息系统发生重大安全事件后，工作人员应在1小时内到位，完成问题定位和应急处理工作B、信息系统发生重大安全事件后，工作人员应在1小时内完整应急处理工作并恢复对外运行--RTOC、该信息系统发生重大安全事件后，工作人员在完成处置和灾难恢复工作后，系统至少能提供1小时的紧急业务服务能力D、该信息系统发生重大安全事件后，工作人员在完成处置和灾难恢复工作后，系统至多能丢失1小时的业务数据答案：D63.在单点登录(SSO)认证过程中,为什么需要使用SSL通道来传递Cookie?A、提高用户体验B、加快应用系统的响应速度C、增加Cookie的安全性D、减小Cookie被截获的可能性答案：D64.数据交易应当遵循（）原则。A、自愿原则B、公平原则C、诚信原则D、以上都正确答案：D65.什么是系统变更控制中最重要的内容？A、所有的变更都必须文档化，并经过审批B、变更应通过自动化工具来实施C、应维护系统的备份D、通过测试和批准来确保质量答案：A66.Q:网络运营者应当为、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。A、:网信部门B、:公安机关C、:工信部门D、:法院答案：B67.零信任(ZT)身份验证是什么?A、不信任任何用户或设备,需要对每个请求进行身份验证和授权。B、只信任内部用户,不信任外部用户。C、只信任特定设备,不信任其他设备。D、只信任特定网络,不信任其他网络。答案：A68.口令破解是针对系统进行攻击的常用方法，windows系统安全策略中应对口令破解的策略主要是帐户策略中的帐户锁定策略和密码策略，关于这两个策略说明错误的是A、密码策略主要作用是通过策略避免拥护生成弱口令及对用户的口令使用进行管控B、密码策略对系统中所有的用户都有效C、账户锁定策略的主要作用是应对口令暴力破解攻击，能有效地保护所有系统用户应对口令暴力破解攻击D、账户锁定策略只适用于普通用户，无法保护管理员账户应对口令暴力破解攻击答案：D69.Q:关于数据,下列说法错误的是:A、:使用纸质记录的文字等信息不是数据,因此不适用《中华人民共和国数据安全法》。B、:电子记录的文字等信息是数据,因此适用《中华人民共和国数据安全法》。C、:数据处理是指数据的收集、存储、使用、加工、传输、提供、公开等。D、:数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。答案：A70.Q:网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照的规定进行审查。A、:《网络安全审查办法》B、:《中华人民共和国数据安全法》C、:《中华人民共和国网络安全法》D、:《关键信息基础设施安全保护条例》答案：A71.配置如下两条访问控制列表：access-list1permit55access-list2permit0055访问控制列表1和2，所控制的地址范围关系是：（D）A、1和2的范围相同B、1的范围在2的范围内C、2的范围在1的范围内D、1和2的范围没有包含关系答案：D72.物联网安全是指什么？A、保护物联网设备的物理安全B、保护物联网设备免受未经授权的访问和攻击C、保护物联网设备的电源供应D、保护物联网设备的网络连接速度答案：B73.Q:违反《中华人民共和国密码法》第二十九条规定,未经认定从事电子政务电子认证服务的,由责令改正或者停止违法行为,给予警告,没收违法产品和违法所得。A、:国家网信部门B、:密码管理部门C、:保密行政管理部门D、:国务院商务主管部门答案：B74.令牌劫持攻击是指攻击者获取合法用户的身份验证令牌或会话标识符,并使用它们来冒充该用户进行身份验证。以下哪种是令牌劫持攻击的示例?A、密码猜测/暴力破解攻击B、重放攻击C、中间人攻击D、侧信道攻击答案：B75.下列物件中不体现物联网智能处理特征的是A、数据库B、虚拟机C、云储存D、智能卡答案：D76.网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于个月。A、:8B、:7C、:6D、:5答案：C77.linux中关于登陆程序的配置文件默认的为（B）A、/etc/pam.d/system-authB、/etc/login.defsC、/etc/shadow4D、/etc/passwd答案：B78.以下哪一项不是常见威胁对应的消减措施：A、假冒攻击可以采用身份认证机制来防范B、为了防止传输的信息被篡改，收发双方可以使用单向Hash函数来验证数据的完整性C、为了防止发送方否认曾经发送过的消息，收发双方可以使用消息验证码来防止抵赖D、为了防止用户提升权限，可以采用访问控制表的方式来管理权限答案：C79.Q:违反《中华人民共和国密码法》第十四条规定,情节严重的,由（）建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。A、:国家网信部门B、:密码管理部门C、:保密行政管理部门D、:国务院商务主管部门答案：B80.Q:关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险检测评估。A、:至少半年一次B、:至少一年一次C、:至少两年一次D、:至少每年三次答案：B81.企业应针对数据网络安全设置应急预案与实地演练,下列说法错误的是?()A、应每两年至少组织开展1次本组织的应急演练。关键信息基础设施跨组织、跨地域运行的,应定期组织或参加跨组织、跨地域的应急演练B、应在应急预案中明确,一旦信息系统中断、受到损害或者发生故障时,需要维护的关键业务功能,并明确遭受破坏时恢复关键业务和恢复全部业务的时间C、应在应急预案中包括非常规时期、遭受大规模攻击时等处置流程D、应急预案不仅应包括本组织应急事件的处理,也应包括多个运营者间的应急事件的处理答案：A82.根据《征信业管理条例》的规定,个人信息主体有权每年()免费获取本人的信用报告。()A、一次B、两次C、三次D、四次答案：B83.PDCERF方法是信息安全应急响应工作中常用的一种方法，它将应急响应分成六个阶段。其中：下线中病毒的主机、修改防火墙过滤规则等动作属于哪个阶段（）A、准备阶段B、遏制阶段C、根除阶段D、检测阶段答案：B84.国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。A、对B、错答案：A85.数字中国，最重要的生产要素是〔〕A、资本B、互联网C、高智商劳动力D、数据答案：D86.定密责任人在职权范围内承担有关国家秘密的（）工作。A、确定B、变更C、解除D、以上都不正确答案：B87.Q:制定《网络安全审查办法》的目的不包括。A、确保关键信息基础设施供应链安全B、保障网络安全和数据安全C、维护国家安全D、构建绿色网络环境答案：D88.Q:关键信息基础设施的运营者违反《中华人民共和国密码法》第二十七条第一款规定,拒不改正或者导致危害网络安全等后果的,对直接负责的主管人员处罚款。A、:一万元以下B、:一万元以上三万元以下C、:三万元以上十万元以下D、:一万元以上十万元以下答案：D89.在访问控制中,ABAC(Attribute-BasedAccessControl)的特点是:A、基于角色的访问控制B、基于资源的访问控制C、基于属性的访问控制D、基于策略的访问控制答案：C90.某电商网站进入系统设计阶段，为了保证用户账户安全，开发人员决定用户登陆时除了用户名口令认证方式外，另加入基于数字证书的身份认证功能，同时用户口令经算法加密后存放在后台数据库中，请问以上安全设计遵循的是哪项安全设计原则：A、最小特权原则B、职责分离原则C、纵深防御原则D、最少共享机制原则答案：C91.Q:违反《中华人民共和国数据安全法》规定,给他人造成损害的,并构成犯罪的，（）A、依法承担民事责任,并追究刑事责任B、不用承担民事责任,但追究刑事责任C、既不用承担民事责任,也不追究刑事责任D、只用承担民事责任,不用追究刑事责任答案：A92.下列国密算法中,那个是公钥密码算法()A、SM2B、SM3C、SM4D、SM9答案：A93.生物识别身份验证方法包括以下哪些?A、指纹识别、面部识别、虹膜扫描、声纹识别、手掌识别等B、智能卡、USB密钥等C、用户名和密码或PIND、双因素/多因素身份验证答案：A94.数据本地化是数据跨境管理的一种措施,通常理解为某一主权国家/地区,通过制定法律或规则来限制本国/地区数据向境外流动,是对数据出境进行限制的做法之一。下列哪一国家采取的是境内存储副本,对转移或出境无限制的模式?()A、中国B、印度C、荷兰D、美国答案：B95.如果想要为一个存在大量用户的信息系统实现自主访问控制功能，在以下选项中，从时间和资源消耗的角度，下列选项中他应该采取的最合适的模型或方法是（）。A、访问控制列表（ACL）B、能力表（CL）C、BLP模型D、Biba模型答案：A96.Q:网络运营者应当为、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。A、:公安机关B、:网信部门C、:纪委部门D、:检察院答案：A97.对于用户删除账号和数据,以下哪种做法是不正确的?()A、提供用户删除账号和数据的功能B、删除用户数据的备份和镜像C、限制用户删除账号和数据的时间和方式D、在用户提交删除请求后及时处理并回复用户答案：C98.ZigBee根据服务与需求使多个器件之间进行通信()A、物理层B、MAC层C、网络/安全层D、支持/应用层答案：A99.某电商网站发现一个价值1000元的商品被1元下单买走。分析后得出的结论是：出于性能考虑，在浏览时使用Http协议，攻击者通过伪造数据包方式修改了添加道购物车的商品价格，而付款时没有验证的环节，导致薅羊毛事件发生。对于该事件原因及整改措施。下列那种说法最正确A、该问题的产生是由于使用了不安全的协议导致的，为了避免再发生类似问题，网站的访问都强制要求使用httpsB、网站开发前没有进行如威胁建模，没有找到该威胁并采取相应的消减措施C、网站强制使用Https协议，并在付款时验证商品价格D、不是网站的问题，应报警要求警察介入答案：C100.某企业实施信息安全风险评估后，形成了若干文挡，下列文挡不应属于“风险评估准备”阶段输出的文档是。A、《风险评估工作计划》，主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色及职责、经费预算和进度安排等内容B、《风险评估方法和工具列表》。主要包括拟用的风险评估方法和测试评估工具等内容C、《已有安全措施列表》，主要包括经检查确认后的已有技术和管理各方面安全措施等内容D、《风险评估准则要求》，主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、资产分类标准、资产分类准则等内容答案：C101.根据《中华人民共和国网络安全法》的规定，关键信息基础设施的运营者应当（）。A、定期对从业人员进行网络安全教育、技术培训和技能考核B、对重要系统和数据库进行容灾备份C、制定网络安全事件应急预案，并定期进行演练D、设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查E、以上都对答案：E102.Q:国家鼓励参与商用密码国际标准化活动。A、:企业B、:社会团体C、:教育和科研机构D、:以上都是答案：D103.情感分析是分析一句话是主观的描述还是客观描述，不用分辨其是积极情绪还是消极情绪。A、正确B、错误答案：B104.Q:各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好宣传教育工作。A、:网络安全B、:数据安全C、:信息安全D、:体系安全答案：A105.物联网中的安全策略制定应考虑哪些因素？A、风险评估B、合规要求C、技术限制D、所有以上选项答案：D106.小王自驾车到一座陌生的城市出差，则对他来说可能最为有用的是A、保护车辆的外观B、保护车辆的发动机C、保护车辆的乘客和驾驶员D、保护车辆的音响系统答案：C107.依据《中华人民共和国数据安全法》，开展数据处理活动应当依照法律、法规的规定，建立健全（）管理制度。A、数据风险评估B、数据泄露应急处置C、数据交易D、全流程数据安全答案：D108.Q:违反《中华人民共和国数据安全法》第三十五条规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,并处罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。A、:五千元以上一万元以下B、:一万元以上十万元以下C、:五万元以上五十万元以下D、:二十万元以上一百万元以下答案：C109.微软提出了STRIDE模型，其中Repudation（抵赖）的缩写，关于此项安全要求，下面描述错误的是（）A、某用户在登陆系统并下载数据后，却声称“我没有下载过数据”，这种威胁就属于RepudationB、解决Repudation威胁，可以选择使用抗抵赖性服务技术来解决，如强认证、数字签名、安全审计等技术措施C、Repudation威胁是STRIDE六种威胁中第三严重的威胁，比D威胁和E威胁的严重程度更高D、解决Repudation威胁，也应按照确定建模对象、识别威胁、评估威胁以及消减威胁等四个步骤进行答案：C110.侵犯未成年人在网络空间合法权益的情形包括未经监护人同意,收集使用()周岁以下(含)未成年人个人信息。()A、8B、12C、14D、16答案：C111.网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于（）个月。A、5B、6C、7D、8答案：B112.银行保险监督管理机构应当按照县级以上人民政府及法定授权部门对突发事件的应对要求,审慎评估突发事件对银行保险机构造成的影响,依法履行的职责不包括下列哪一项内容?()A、加强对突发事件引发的区域性、系统性风险的监测、分析和预警B、督促银行保险机构按照突发事件应对预案,保障基本金融服务功能持续安全运转C、配合银行保险机构提供突发事件应急处置金融服务D、引导银行保险机构积极承担社会责任答案：C113.假冒身份是指攻击者伪装成以下哪种角色?A、政府官员B、企业高管C、授权人员或合法用户D、手机应用程序答案：C114.负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违法犯罪活动。A、:国家互联网信息办公室B、:工业和信息化部C、:公安部D、:国安局答案：C115.下不属于云计算与物联网融合模式的是A、单中心-多终端模式B、多中心-大量终端模式C、信息应用分层处理-海量终端模式D、单中心-单中端模式答案：D116.下列对爬虫使用说法错误的是()。()A、网络数据爬取应限于对开放数据的获取。如果网络爬虫获取非开放的数据,便涉嫌违法甚至犯罪B、数据爬虫技术不应具有侵入性,可以说,爬虫的侵入性是其违法性的主要体现C、数据爬取应当基于正当目的,对开放数据的获取可能因不符合正当目的而具有违法性D、爬取公开数据时即使突破网站或App的反爬虫技术设置进行的爬取行为,行为人不需承担刑事责任答案：D117.Q:关于《中华人民共和国数据安全法》下列说法正确的是:A、:在中华人民共和国境内开展数据处理活动及其安全监管,适用《中华人民共和国数据安全法》。B、:中华人民共和国数据安全法》所称数据,是指任何以电子或者其他方式对文字的记录。C、:公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,可以不按国家有关规定进行调查。D、:境内的组织、个人可以随意向外国司法或者执法机构提供存储于中华人民共和国境内的数据。答案：A118.重要涉密部门的人员选配，应当坚持（）的原则，并定期进行考核，不适合的应及时调整。A、谁选配谁负责B、先审后用C、先选后训D、边审边用答案：B119.社交工程学攻击者主要利用以下哪个因素来欺骗目标?A、技术手段B、社交技巧和人际交往C、网络协议D、数字证书答案：B120.数据本地化要求数据服务器位于本法域境内,在境内存储或处理数据。目前,全球多个国家/地区提出了本地化要求,宽严程度有所不同,几种模式交织并行。下列哪一国家不是采用境内存储、处理模式的?()A、美国B、土耳其C、澳大利亚D、俄罗斯答案：D121.根据《网络安全法》的规定，网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。A、正确B、错误答案：A122.组织建立业务连续性计划（BCP)的作用包括：A、在遭遇灾难事件时，能够最大限度地保护组织数据的实时性，完整性和一致性；B、提供各种恢复策略选择，尽量减小数据损失和恢复时间，快速恢复操作系统、应用和数据；C、保证发生各种不可预料的故障、破坏性事故或灾难情况时，能够持续服务，确保业务系统的不间断运行，降低损失；D、以上都是。答案：D123.《网络安全法》第37条核心规定包括下列哪一项?()A、涉及个人信息和重要数据未做区分设计B、自评估的具体内容C、监管进行安全审查的标准D、需境内存储,若有需要境外提供,需经安全评估答案：D124.个缺陷，则可以计算出其软件缺陷密度值是A、0.0005B、0.05C、0.5D、5答案：C125.在访问控制中,RBAC(Role-BasedAccessControl)是指:A、基于用户的访问控制B、基于角色的访问控制C、基于资源的访问控制D、基于策略的访问控制答案：B126.块链中的跨链技术（Cross-chain）用于解决什么问题？A、区块链的数据隐私保护B、区块链节点的身份验证C、区块链的共识算法优化D、不同区块链之间的数据互通答案：D127.如果某业务系统定位网络安全等级保护三级，在其遭受灾难性网络攻击严重影响业务系统使用，对社会造成恐慌时，公安机关需调查取证，在取证时，应关注（）。A、查看攻击的源IPB、攻击的类型C、攻击的时间D、查看相关系统的syslog日志E、以上都对答案：E128.关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定。A、正确B、错误答案：A129.嵌入式系统中的安全芯片是指什么A、专用芯片，用于提供硬件级安全功能B、芯片上的加密引擎，用于执行密码算法C、芯片上的安全存储器，用于保存加密密钥D、芯片上的防火墙，用于阻止外部攻击答案：A130.以下登录口令设置，安全强度最高的是？A、1314520B、Admin123C、root123456D、cptbtptp77！答案：D131.Q:违反《中华人民共和国密码法》第二十六条规定,违法所得元以上的,可以并处违法所得一倍以上三倍以下罚款。A、:十万元B、:二十万元C、:三十万元D、:五十万元答案：A132.Q:以下行为违反《网络安全审查办法》的是（）。A、:不利用提供产品和服务的便利条件非法获取用户数据B、:不非法控制和操纵用户设备C、:不中断产品供应或者必要的技术支持服务D、:关键信息基础设施运营者采购网络产品和服务不主动申报网络安全审查答案：D133.多因素身份验证的目的是什么?A、提高用户方便性B、减少数据传输的复杂性C、加强身份验证的安全性D、加速系统登录速度答案：C134.以下哪项是降低社会工程学攻击风险的有效措施?A、增加网络防火墙的配置B、提供员工教育和培训C、定期进行漏洞扫描和渗透测试D、使用强密码保护账户答案：B135.Q:以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定A、:省级B、:市级C、:县级D、:区级答案：C136.负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违法犯罪活动。A、:国家互联网信息办公室B、:工业和信息化部C、:国安局D、:公安部答案：D137.网络运营者兼并、重组、破产的,数据承接方应承接数据安全责任和义务。没有数据承接方的,应当对数据()处理。()A、封存B、删除C、匿名化D、存储答案：C138.下面哪种情况可以被视为社会工程学攻击的目标?A、数据中心的物理安全B、强密码设置C、员工培训计划D、服务器硬件升级答案：C139.以下哪种行为不适用《数据安全法》?()A、中国境内开展数据处理活动的行为B、中国境外开展数据处理活动的行为C、中国境外开展数据处理活动损害中国国家利益的行为D、中国境外开展数据处理活动损害公民合法权益的行为答案：B140.国家互联网信息办公室负责工作。A、:统筹协调网络产品安全漏洞管理B、:网络产品安全漏洞综合管理,承担电信和互联网行业网络产品安全漏洞监督管理C、:网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违法犯罪活动D、:安全软件质检与协调开发答案：A141.涉密人员离岗、离职前，应当将所保管和使用的国家秘密载体全部清退，并（）。A、登记销毁B、订卷归档C、办理移交手续D、不一定办理移交手续答案：C142.关于数据库恢复技术，下列说法不正确的是：A、数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决，当数据库中数据被破坏时，可以利用冗余数据来进行修复B、数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保存起来，是数据库恢复中采用的基本技术C、日志文件在数据库恢复中起着非常重要的作用，可以用来进行事务故障恢复和系统故障恢复，并协助后备副本进行介质故障恢复D、计算机系统发生故障导致数据未存储到固定存储器上，利用日志文件中故障发生前数据的循环，将数据库恢复到故障发生前的完整状态，这一对事务的操作称为提交答案：D143.假设单位机房的总价值为2000万元人民币，暴露系数(ExposureFactor，EF)25％，年度发生率(AnnualizedRateofOccurrence，ARO)为0.1，那么计算的年度预期损失(AnnualizedLossExpectancy，ALE)应该是()。A、50万元人民币B、500万元人民币C、25万元人民币D、250万元人民币答案：A144.负责统筹协调网络产品安全漏洞管理工作。A、:国家互联网信息办公室B、:工业和信息化部C、:公安部D、:国安局答案：A145.运输、携带、邮寄计算机信息媒体进出境的,应当如实向()申报。()A、省级以上人民政府公安机关B、国家安全部C、国家保密局D、海关答案：D146.智能卡身份验证需要什么?A、需要智能卡读卡器和智能卡B、需要指纹识别设备和智能卡C、需要面部识别设备和智能卡D、需要虹膜扫描设备和智能卡答案：A147.Q:国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施。A、:进口许可B、:进口管制C、:出口许可D、:出口管制答案：D148.Q:商用密码检测、认证机构违反《中华人民共和国密码法》第二十五条第二款、第三款规定开展商用密码检测认证的,没有违法所得或者违法所得不足三十万元的,可以并处罚款。A、:十万元以下B、:十万元以上二十万元以下C、:二十万元以上三十万元以下D、:十万元以上三十万元以下答案：D149.Q:可以依法使用商用密码保护网络与信息安全。A、:公民B、:法人C、:其他组织D、:以上都是答案：D150.CTO在对企业的信息系统进行风险评估后，考虑企业业务系统中部分涉及电商支付的功能模块风险太高，他建议该企业以放弃这个功能模块的方式来处理风险，请问这种风险处置的方法是（）A、降低风险B、规避风险C、放弃风险D、转移风险答案：B151.Q:为了保障网络安全,维护网络空间主权和国家安全、,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。A、:民族利益B、:社会公共利益C、:私人企业利益D、:国有企事业单位利益答案：B152.某社交网站的用户点击了该网站上的一个广告。该广告会将浏览器定向到一个网游网站，网游网站获得了该用户的社交网络信息。这种向Web页面插入恶意html代码的攻击方式称为（）A、分布式拒绝服务攻击B、跨站脚本攻击C、SQL注入攻击D、缓冲区溢出攻击答案：B153.实践中常使用软件缺陷密度（Defects/KLPC）来衡量软件的安全性，假设某个软件共有30万行源代码，总共检出150个缺陷，则可以计算出其软件缺陷密度值是()A、0.0005B、0.05C、0.5D、5答案：C154.关键系统关键岗位的人员，要求（）。A、关键岗位人员需要经过背景调查B、关键岗位人员离职需遵守脱密流程C、技能必须匹配D、以上都是答案：D155.以下行为存在信息泄露隐患的是（）?A、打印文件后删除打印机缓存内容B、使用碎纸机粉碎看过的重要资料C、为方便办公拍摄屏幕D、数据在U盘加密处理答案：C156.物联网中的物理安全措施主要包括以下哪些方面？A、锁定物联网设备的物理位置B、安装视频监控设备C、控制物联网设备的物理访问权限D、所有以上选项答案：D157.国家()负责统筹协调网络安全工作和相关监督管理工作。()A、电信主管部门B、网信部门C、工业和信息化部门D、公安部门答案：A158.组织建立业务连续性计划（BCP)的是为了保证发生各种不可预料的故障、破坏性事故或灾难情况时，能够持续服务，确保业务系统的不间断运行，降低损失；A、正确B、错误答案：A159.以下Windows系统的账号存储管理机制SAM（SecurityAccoumtsManager）的说法哪个是正确的：A、存储在注册表中的账号数据是管理员组用户都可以访问，具有较高的安全性B、存储在注册表中的账号数据administrator账户才有权访问，具有较高的安全性C、存储在注册表中的账号数据任何用户都可以直接访问，灵活方便D、存储在注册表中的账号数据只有System账号才能访问，具有较高的安全性答案：D160.生物特征认证一般需要经过哪三个过程?()A、图像采集、特征提取和特征匹配B、用户名和密码、共享密钥和口令、算法C、IC卡和PIN、共享密钥和口令、算法D、随机数值、共享密钥和口令、算法答案：A161.Q:违反《中华人民共和国密码法》规定,构成犯罪的,依法追究。A、:刑事责任B、:民事责任C、:刑事诉讼D、:民事诉讼答案：A162.敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，哪项不属于《中华人民共和国个人信息保护法》多定义的个人敏感信息。A、宗教信仰B、金融账户、行踪轨迹C、医疗健康、生物特征D、组织部领导任命前的公示信息答案：D163.Q:商用密码清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。A、:进口许可和出口管制B、:进口许可和出口许可C、:进口管制和出口管制D、:进口管制和出口许可答案：A164.履行个人信息保护职责的部门履行开展个人信息保护宣传教育，指导、监督个人信息处理者开展个人信息保护工作的职责。A、对B、错答案：A165.社会工程学是一种攻击技术,利用以下哪方面的原理?A、数学B、心理学和社交工程学C、物理学D、经济学答案：B166.中国物联网安全法规定了哪些网络安全事件的报告义务？A、重大网络安全事件B、跨境数据传输的网络安全事件C、物联网设备的网络安全事件D、所有以上选项答案：D167.Q:国家推动参与国际标准化活动,参与制定相关国际标准,推进相关中国标准与国外标准之间的转化运用。A、:核心密码B、:普通密码C、:民用密码D、:商用密码答案：D168.关于数据安全管理，以下哪项说法不合理（）?A、数据安全应当全员参与B、人是薄弱的环节C、部署数据安全的产品就可以解决数据安全问题D、有必要增强数据安全意识培训答案：C169.Q:国家机关应当遵循、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。A、:创新B、:公正C、:准确D、:开放答案：B170.网络社会工程学攻击的防范措施应该包括哪些方面?A、提高警觉性、保护个人信息、使用安全软件、定期更新密码等B、提高人际交往能力、增强自信心、增强抵抗力、加强运动等C、提高学历水平、增强沟通能力、增加社交圈子、扩大人脉等D、以上都不是答案：A171.6.主体通常是什么?A、文件B、用户C、应用服务D、数据答案：B172.LoRaWAN网络中的反重放攻击是指什么A、攻击者重复发送相同的数据包B、网络服务器重复发送相同的数据包C、终端设备在同一时间窗口内发送多个数据包D、网关将数据包重复传输到网络服务器答案：A173.APT攻击往往利用社会工程学、结合蠕虫、病毒、木马、0day漏洞、注入攻击、勒索加密等多种复杂的组合手段。A、正确B、错误答案：A174.访问控制的主体是指什么?A、一个提出请求或要求的实体,是动作的发起者B、接受其他实体访问的被动实体C、主动发起访问请求的实体D、被动接受访问请求的实体答案：A175.Q:违反《中华人民共和国数据安全法》第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处罚款。A、:一万元以上十万元以下B、:五万元以上一百万元以下C、:十万元以上一百万元以下D、:二十万元以上二百万元以下答案：A176.提高Apache服务器系统安全性时，下面哪项措施不属于安全配置()?A、不在Windows下安装Apache，只在Linux和Unix下安装B、安装Apache时，只安装需要的组件模块C、不使用操作系统管理员用户身份运行Apache，而是采用权限受限的专用用户账号来运行D、积极了解Apache的安全通告，并及时下载和更新答案：A177.下列针对数据安全的运维要求中，正确的操作是（）。A、确认需要备份的是哪些数据/数据库，设定备份与归档的策略B、从数据备份的完整性与成本方面的均衡角度考虑，增量备份结合全量备份是一个推荐的措施C、需要对备份后的数据进行恢复校验，以确保恢复后的数据可用D、定期对数据相关风险进行评估E、以上都对答案：E178.证书的有效期是多久?()A、10/20B、20/30C、30/40D、40/50答案：A179.经济合作与发展组织()在下列哪一年发布《隐私保护和跨境个人数据流动指南》(),鼓励数据跨境和自由流动。()A、1967年B、1968年C、1990年D、1980年答案：D180.《中华人民共和国数据安全法》于（）起施行。A、2021年6月1日B、2021年8月1日C、2021年9月1日D、2021年10月1日答案：C181.SIM卡交换攻击中,攻击者假装丢失原来的电话号码,然后请求什么?A、重置受害者的MFA设置B、转移受害者的电话号码到自己的SIM卡上C、发送恶意软件给受害者的设备D、窃取受害者的个人信息答案：B182.下列国密算法中,那个是对称密码算法()A、SM3B、SM4C、SM2D、SM9答案：B183.ZigBee的()负责设备间无线数据链路得建立、维护与结束A、物理层B、MAC层C、网络/安全层D、支持/应用层答案：C184.以下数据中不属于国家核心数据的是（）。A、关系国家安全的数据B、关系国民经济命脉的数据C、关系重要民生的数据D、关系公共利益的数据答案：D185.强制访问控制模型(MandatoryA.ccessControl,MAC)基于什么来确定资源的访问权限?A、资源所有者授权B、用户角色分配C、固定的安全策略和标签D、用户行为和环境信息答案：C186.依据《电信和互联网用户个人信息保护规定》,下列那项说法是错误的?()A、电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项B、电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息C、电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息可以未经用户同意向其关联公司提供D、电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务答案：C187.《中华人民共和国网络安全法》规定，国家实行网络安全（）保护制度。A、架构B、分级C、涉密D、等级答案：D188.访问控制包含哪三个要素?A、主体、客体、控制策略B、服务器、数据库、客户端C、用户名、密码、验证码D、IP地址、端口号、协议类型答案：A189.ZigBee采用了CSMA-CA(),同时为需要固定带宽的通信业务预留了专用时隙，避免了发送数据时的竞争和冲突；明晰的信道检测A、自愈功能B、自组织功能C、碰撞避免机制D、数据传输机制答案：C190.恢复时间目标（RTO）和恢复点目标（RPO）是信息系统灾难恢复中的重要概念，关于这两个值能否为零，正确的选项是（）A、RTO可以为0，RPO也可以为0B、RTO可以为0，RPO不可以为0C、RTO不可以为0，但RPO可以为0D、RTO不可以为0，RPO也不可以为0答案答案：A191.Q:任何组织或者个人窃取他人加密保护的信息或者非法侵入他人的密码保障系统。A、:允许B、:不得C、:可以D、:经批准可以答案：B192.以太坊属于()A、私有链B、公有链C、联盟链D、以上都不是答案：B193.下列国密算法中,那个是哈希算法()A、SM9B、SM4C、SM2D、SM3答案：D194.为什么说在网络环境下,信任不是对一个人的可靠性认可?A、因为网络环境下,人们很容易伪造身份信息。B、因为网络环境下,人们很难判断对方的可靠性。C、因为网络环境下,信任主要是基于秘密信息。D、因为在网络环境下,信息主要是基于权限控制。答案：C195.Q:网络安全审查重点评估相关对象或者情形的国家安全风险因素不包括（）。A、产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险B、产品和服务供应报价对关键信息基础设施业务运维成本的影响C、产品和服务提供者遵守中国法律、行政法规、部门规章情况D、核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险答案：B196.Q:《个人信息保护法》通过的时间是:A、:2021年8月17日B、:2021年8月18日C、:2021年8月19日D、:2021年8月20日答案：D197.物联网的安全漏洞可能导致以下哪些风险？A、个人隐私泄露B、设备被远程控制C、数据泄露D、所有以上选项答案：D198.UNIX/Linux系统中,使用哪种方式来标识文件的访问权限信息?A、4比特位模式B、6比特位模式C、8比特位模式D、10比特位模式答案：C199.防火墙(Firewall)通过什么来保护内部网络免受未经授权的访问和攻击?A、身份验证B、双因素认证C、过滤网络流量D、定义的访问控制策略答案：C200.Kerberos认证协议是哪种身份认证协议?()A、基于生物特征认证协议B、基于智能卡认证协议C、基于时间同步认证协议D、基于用户名和密码认证协议答案：C201.访问者可以是下列哪些?A、用户B、进程C、应用程序D、所有选项都是答案：D202.在单点登录(SSO)认证过程中,Cookie的作用是什么?A、存储用户的登录凭据B、保存用户的个人信息C、传递访问票据和用户信息D、加密用户的通信数据答案：C203.以下哪一行为,符合国家关于信息处理的要求?()A、甲利用作为银行职员的便利为境外刺探、非法提供银行金融数据B、甲银行APP软件未经客户明确同意,擅自收集客户的人脸信息C、甲银行柜员乙为客户办理业务需要,经过客户同意,按照银行流程扫描客户身份证原件D、甲公司要求银行提供该公司员工乙的支付劳务工资记录,银行未经审查直接向甲公司提供答案：C204.科举考生在贡院考试时，全程有兵丁在考场最高建筑“明远楼”巡视，如发现交头接耳，飞鸽传书等舞弊问题，白天摇旗，夜间举火，这在数据安全保护场景下是采用了哪种措施？A、加密B、隔离C、异常行为监测与告警D、身份认证答案：C205.工业和信息化部负责。A、:统筹协调网络产品安全漏洞管理B、:网络产品安全漏洞综合管理,承担电信和互联网行业网络产品安全漏洞监督管理C、:网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违法犯罪活动D、:安全软件质检与协调开发答案：B206.若一个组织声称自己的信息安全管理体系符合ISO/TEC27001或GB22080标准要求，其信息安全控制措施不包括哪一项（）A、信息安全方针、信息安全组织、资产管理B、人力资源安全、物理和环境安全、通信和操作管理C、访问控制、信息系统获取、开发和维护、符合性D、规划与创建信息安全管理体系答案：D207.从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定,下列说法正确的是A、:在发布网络产品安全漏洞时,修补或者防范措施可以不用发表。B、:在国家举办重大活动期间,网络产品安全漏洞信息的发布没有限制。C、:可以在一定范围内发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。D、:不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。答案：D208.秘钥管理需要考虑秘钥产生、存储、备份、分配、更新、撤销等全生命周期的每个环节A、正确B、错误答案：A209.拒绝服务攻击（DDOS）是黑客常用手段，会严重影响系统与数据可用性，以下属于DDOS防御手段的是（）A、流量清洗B、过滤畸形包头C、防火墙上开启Synflood与UDPflood过滤功能D、增加数据库缓存层，缓解对数据库穿透访问带来的压力答案：A210.人力资源部门使用一套OA系统，用于管理所有员工的各种工资、绩效考核等事宜。员工都可以登录系统完成相关需要员工配合的工作，以下哪项技术可以保证数据的保密性：A、SSL加密B、双因子认证C、加密会话cookieD、IP地址校验答案：A211.Q:违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处罚款A、:一百万元以下B、:一百万元以上C、:两百万元以上D、:任意金额答案：A212.以下哪种行为不适用《个人信息保护法》?()A、在中国境内因商业服务处理自然人个人信息;B、在中国境外以向境内自然人提供产品或者服务为目的处理境内自然人个人信息;C、在中国境外分析、评估境内自然人的行为;D、在中国境内因个人事务处理自然人个人信息。答案：D213.根据《中华人民共和国网络安全法》的规定，关键信息基础设施的运营者应当对重要系统和数据库进行容灾备份A、正确B、错误答案：A214.Q:为了防范风险,当事人应当在审查期间按照网络安全审查要求采取的（）措施A、预防和消减风险B、提高服务质量C、降低服务成本D、扩展业务答案：A215.Q:在中华人民共和国开展数据处理活动及其安全监管适用《中华人民共和国数据安全法》A、:境内部分地区B、:境内以及境外C、:境外D、:境内答案：D216.根据《中华人民共和国个人信息保护法》规定，个人信息的处理包括个人信息的收集、（存储、使用、加工、传输、提供、公开、删除等。A、对B、错答案：A217.根据《中华人民共和国个人信息保护法》规定，个人信息处理者应对其个人信息处理活动负责，并采取必要措施保障所处理个人信息的安全。A、对B、错答案：A218.声纹是生物特征之一，但是不建议利用声纹进行验证，原因是什么？A、可能会有波形拼接方式的攻击攻陷声纹识别系统B、可以利用激光模拟方式攻陷声纹识别系统C、环境噪音会对识别率造成影响D、同一个人的声音易受身体状况、年龄、情绪等的影响，具有易变性E、以上都对答案：E219.以下做法错误的是:（）A、严禁涉密系统一机两网B、涉密硬盘报废后可以格式化后废品回收C、用于连接互联网的PC不得处理涉密信息D、密级高的数据不得向非密系统导入答案：B220.Q:个人信息保护影响评估报告和处理情况记录应当至少保存。A、:半年B、:一年C、:两年D、:三年答案：D221.以下哪种访问控制模型是基于定义的访问控制策略来控制对资源的访问权限?A、自主访问控制模型(DAC)B、强制访问控制模型(MAC)C、角色基础访问控制模型(RBAC)D、基于策略的访问控制模型(PBAC)答案：D222.当前，应用软件安全已经日益引起人们的重视，每年新发现的应用软件漏洞已经占新发现漏洞总数一半以上。下列选项中，哪个与应用软件漏洞成因无关：A、传统的软件开发工程未能充分考虑安全因素B、开发人员对信息安全知识掌握不足C、相比操作系统而言，应用软件编码所采用的高级语言更容易出现漏洞D、应用软件的功能越来越多，软件越来越复杂，更容易出现漏洞答案：C223.在网络中传输数据，如果由于网络质量不佳或拥塞而导致丢包，此时TCP协议不会采用哪种动作保障数据完整性。A、网络拥塞时，TCP协议有拥塞控制机制，调整发送数据包的速率与流量避免拥塞B、超时重传机制，保障传输数据的完整性C、滑动窗口机制，动态适应网络变化与数据传输要求D、切换到UDP协议，尽力传输答案：D224.各信息安全风险要素之间的关系是（）A、资产B、安全事件C、脆弱性D、安全措施答案：C225.关于业务连续性计划（BCP）以下说法最恰当的是：A、组织为避免所有业务功能因重大事件而中断，减少业务风此案而建立的一个控制过程。B、组织为避免关键业务功能因重大事件而中断，减少业务风险而建立的一个控制过程。C、组织为避免所有业务功能因各种事件而中断，减少业务风此案而建立的一个控制过程D、组织为避免信息系统功能因各种事件而中断，减少信息系统风险建立的一个控制过程答案：B226.信息安全概念经常与计算机安全、网络安全、数据安全等互相交叉笼统的使用。就目前而言，信息安全的内容不包括A、硬件安全B、软件安全C、运行服务安全D、隐私安全答案：D227.组织建立业务连续性计划（BCP)的是为了在遭遇灾难事件时，能够最大限度地保护组织数据的实时性，完整性和一致性；A、正确B、错误答案：A228.以下哪项政务数据可以开放？（）A、涉及国家秘密B、商业秘密C、个人隐私D、领导任命前的公示答案：D229.Q:关键信息基础设施的运营者采购网络产品和服务,可能影响的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。A、:政府安全B、:信息安全C、:国家安全D、:企业安全答案：C230.物联网中的网络隔离是指什么？A、将物联网设备与互联网隔离B、将不同的物联网设备划分到独立的网络C、阻止物联网设备之间的通信D、限制物联网设备的访问速度答案：B231.以下哪个拒绝服务攻击方式不是流量型拒绝服务攻击A、LandB、UDPFloodC、SmurfD、Teardrop答案：D232.Q:关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照的规定,通过有关部门组织的国家安全审查。A、:《中华人民共和国密码法》B、:《中华人民共和国数据安全法》C、:《中华人民共和国网络安全法》D、:《中华人民共和国个人信息保护法》答案：C233.物联网中的安全审计是用于什么目的？A、监测和记录物联网设备的安全事件B、评估物联网设备的性能指标C、分析物联网数据的使用情况D、优化物联网设备的能源消耗答案：A234.以下哪个是恶意代码采用的隐藏技术：A、文件隐藏B、进程隐藏C、网络连接隐藏D、以上都是答案：D235.车载系统中的黑客攻击是指什么A、对车辆进行物理破坏B、对车辆进行远程控制C、对车辆进行常规维护D、对车辆进行装饰和改装答案：D236.对于数字证书而言，一般采用的是哪个标准？A、ISO/IEC1540B、802.11C、GB/T20984D、X.509答案：D237.网信部门和有关部门在履行网络安全保护职责中获取的信息，用于维护网络安全的需要，也可以用于其他用途。A、正确B、错误答案：B238.下列哪个不是资源对象?A、文件B、应用服务C、数据D、用户答案：D239.Q:违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处罚款A、:五十万元以下B、:一百万元以下C、:两百万元以上D、:任意金额答案：B240.Q:负责统筹协调个人信息保护工作和相关监督管理工作A、:国家法律部门B、:国家征信机构C、:国家网信部门D、:国家监管机构答案：C241.公有链与私有链的主要区别是：A、公有链使用智能合约，而私有链不使用智能合约B、公有链更安全，而私有链更高效C、公有链使用密码学加密算法，而私有链不使用加密算法D、公有链可以被任何人参与，而私有链仅限于特定的参与者答案：D242.身份认证中,如何防止身份信息在传输过程中被恶意篡改?A、完全杜绝恶意篡改是不可能的,只能在身份信息被恶意篡改后,接收端可以检测出来。B、可以加密身份信息,在传输过程中解密验证身份信息。C、可以加密身份信息,传输后由发送端解密验证身份信息。D、只要身份信息正确,就可以防止恶意篡改。答案：A243.通道劫持是指攻击者通过什么方式获取受害者的通信信息?A、中间人代理攻击B、恶意软件感染C、网络钓鱼诈骗D、盗取用户的登录凭据答案：A244.数据安全防护要求不包括以下哪项?()A、建立数据安全管理责任和评价考核制度B、严格控制重要数据的使用、加工、传输、提供和公开等关键环节,并采取加密、脱敏、去标识化等技术手段保护敏感数据安全C、采购网络关键设备和网络安全专用产品目录中的设备产品时,应采购通过国家检测认证的设备和产品。D、因业务需要,确需向境外提供数据的,应当按照国家相关规定和标准进行安全评估答案：C245.Q:参与网络安全审查的相关机构和人员应当严格保护知识产权,对在审查工作中知悉的数据承担保密义务,其中不包括A、:商业信息B、:个人信息C、:当事人、产品和服务提供者提交的未公开材料D、:以及其他未公开信息承答案：A246.根据《网络安全法》的规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险,每年进行几次监测评估?()A、1B、2C、3D、4答案：A247.违反《个人信息保护法》规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务且拒不改正的，并处（）罚款；对直接负责的主管人员和其他直接责任人员处（）罚款。A、50万元以下，1万元以上10万元以下B、50万元以下，5万元以上10万元以下C、100元以下，1万元以上10万元以下D、100万元以下，5万元以上10万元以下答案：C248.《中华人民共和国数据安全法》适用于在中华人民共和国境内与境外开展数据处理活动及其安全监管。A、正确B、错误答案：B249.运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行（）网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。A、一次B、二次C、三次D、四次答案：A250.国家鼓励开发网络数据安全保护和利用技术，促进（），推动技术创新和经济社会发展。A、国家政务数据开放B、国家数据资源开放C、公共数据资源开放D、敏感数据合理开放答案：C251.下列说法中不正确的是（B）A、定级/备案是信息安全等级保护的首要环节。B、等级测评是评价安全保护现状的关键。C、建设整改是等级保护工作落实的关键。D、监督检查是使信息系统保护能力不断提高的保障。答案：B252.国家大力推进电子政务建设，提高政务数据的（），提升运用数据服务经济社会发展的能力。A、公益性、准确性B、科学性、准确性、时效性C、准确性、便利性、公益性D、科学性、准确性、高效性答案：D253.钓鱼攻击通常利用以下哪种方式来欺骗目标?A、伪造电子邮件、短信或其他通信形式B、直接物理接触C、网络扫描D、加密解密技术答案：A254.关键信息基础设施发生较大变化,可能影响其认定结果的,运营者应当及时将