数据安全管理知识竞赛考试题及答案

数据安全管理知识竞赛考试题及答案单选题1.最小特权管理的原则是:A、每个用户都拥有系统中的最大权限B、每个用户只拥有完成任务所必要的权限集C、特权分配应按需使用D、特权拥有者可以随意使用权限参考答案：B2.组织建立业务连续性计划（BCP）的作用包括：A、在遭遇灾难事件时，能够最大限度地保护组织数据的实时性，完整性和一致性；B、提供各种恢复策略选择，尽量减小数据损失和恢复时间，快速恢复操作系统、应用和数据；C、保证发生各种不可预料的故障、破坏性事故或灾难情况时，能够持续服务，确保业务系统的不间断运行，降低损失；D、以上都是。参考答案：D3.组织建立业务连续性计划（BCP）的是为了在遭遇灾难事件时，能够最大限度地保护组织数据的实时性，完整性和一致性；A、正确B、错误参考答案：A4.组织建立业务连续性计划（BCP）的是为了保证发生各种不可预料的故障、破坏性事故或灾难情况时，能够持续服务，确保业务系统的不间断运行，降低损失；A、正确B、错误参考答案：A5.组织建立信息安全管理体系并持续运行，其中错误的是（）A、建立文档化的信息安全管理规范，实现有章可循B、强化员工的信息安全意识，培育组织的信息安全企业文化C、对服务供应商要求提供证明其信息安全合规的证明D、使组织通过国际标准化组织的ISO9001认证参考答案：D6.组织第一次建立业务连续性计划时，最为重要的活动是：A、制定业务连续性策略B、进行业务影响分析C、进行灾难恢复演练D、构建灾备系统参考答案：A7.字典攻击是指攻击者使用常见的用户名和密码组合进行尝试,以猜测用户的凭据。以下哪种是字典攻击的示例?A、密码猜测/暴力破解攻击B、社会工程学攻击C、中间人攻击D、撞库攻击参考答案：A8.准备登陆电脑系统时，发现有人在您的旁边看着，正确做法是（）A、不理会对方B、提示对方避让C、报警D、关机后离开参考答案：B9.撞库攻击是指攻击者通过获取已经泄露的用户名和密码组合,尝试在其他网站或服务中使用这些凭据进行身份验证。这种攻击利用了用户倾向于:A、使用弱密码B、使用相同的用户名和密码组合C、喜欢使用公共计算机进行认证D、在社交媒体上公开个人信息参考答案：B10.重要涉密部门的人员选配，应当坚持（）的原则，并定期进行考核，不适合的应及时调整。A、谁选配谁负责B、先审后用C、先选后训D、边审边用参考答案：B11.重放攻击是指攻击者截获合法用户的身份验证流量,并在稍后的时间重新发送该流量,以冒充合法用户进行身份验证。以下哪种是重放攻击的示例?A、跨站点脚本（XSS）攻击B、令牌劫持攻击C、生物特征欺骗攻击D、社会工程学攻击参考答案：B12.中间人攻击是指攻击者在用户和身份验证服务器之间插入自己的设备或软件,以截获和篡改身份验证信息。以下哪种是中间人攻击的示例?A、密码猜测/暴力破解攻击B、跨站点脚本（XSS）攻击C、侧信道攻击D、令牌劫持攻击参考答案：D13.中间人代理攻击是指什么?A、攻击者通过感染恶意软件接管用户通道B、攻击者通过网络钓鱼诱骗用户输入凭据C、攻击者利用漏洞绕过MFAD、攻击者冒充合法软件与用户进行通信参考答案：D14.中国物联网安全法规定了哪些网络安全事件的报告义务？A、重大网络安全事件B、跨境数据传输的网络安全事件C、物联网设备的网络安全事件D、所有以上选项参考答案：D15.智能卡身份验证需要什么?A、需要智能卡读卡器和智能卡B、需要指纹识别设备和智能卡C、需要面部识别设备和智能卡D、需要虹膜扫描设备和智能卡参考答案：A16.智能合约是一种：A、基于物理合同的数字化版本B、编程代码，用于在区块链上执行合同条款C、虚拟货币交易所D、区块链节点的身份验证机制参考答案：B17.制定《网络安全审查办法》的目的不包括。A、确保关键信息基础设施供应链安全B、保障网络安全和数据安全C、维护国家安全D、构建绿色网络环境参考答案：D18.直接可识别性的例子如姓名、身份ID等基本身份信息,下列哪一项不属于直接可识别性的例子?（）A、指纹B、声纹C、虹膜D、牙模参考答案：D19.证书的有效期是多久?（）A、10/20B、20/30C、30/40D、40/50参考答案：A20.证书颁发机构的名称是什么?（）A、PKI公钥基础设施B、Kerberos认证协议C、A数字证书认证中心D、公安局参考答案：D21.掌握超过100万用户个人信息的网络平台运营者于（）上市,必须向网络安全审查办公室申报网络安全审查。A、国内B、国外C、香港D、上海参考答案：B22.在中华人民共和国开展数据处理活动及其安全监管适用《中华人民共和国数据安全法》A、境内部分地区B、境内以及境外C、境外D、境内参考答案：D23.在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,下列哪个情形也适用本法:A、以向境外自然人提供产品或者服务为目的B、分析、评估境外自然人的行为C、法律、行政法规规定的其他情形D、法律、行政法规规定之外的其他情形参考答案：C24.在中国境外处理中国境内自然人个人信息的活动的场景，哪个不适用《中华人民共和国个人信息保护法》。A、以向境内自然人提供产品或者服务为目的B、以向境外自然人提供产品或者服务为目的C、大规模分析、评估境内自然人的行为D、法律与行政法规规定的其他情形参考答案：B25.在网络中传输数据，如果由于网络质量不佳或拥塞而导致丢包，此时TCP协议不会采用哪种动作保障数据完整性。A、网络拥塞时，TCP协议有拥塞控制机制，调整发送数据包的速率与流量避免拥塞B、超时重传机制，保障传输数据的完整性C、滑动窗口机制，动态适应网络变化与数据传输要求D、切换到UDP协议，尽力传输参考答案：D26.在网络社会工程学攻击中,以下哪项是常见的形式?A、电话诈骗B、媒体欺骗C、社交工程攻击D、以上都是参考答案：D27.在网络社会工程学攻击中,攻击者通常试图通过哪些方式来欺骗目标?A、发送虚假的电子邮件、短信或其他通信形式B、利用人际交往或其他社交技巧来获取目标的信任和信息C、伪装成授权人员或合法用户以获取目标系统或机构的访问权限D、以上都是参考答案：D28.在网络环境下,身份是用来区别于其他个体的一种标识,必须具有什么特点?A、唯一性B、可复制性C、可变性D、随机性参考答案：A29.在网络访问控制中,下面哪个技术可以实现对网络通信连接的细粒度控制?A、防火墙B、VPN（VirtualPrivateNetwork）C、IDS（IntrusionDetectionSystem）D、ACL（AccessControlList）参考答案：D30.在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由组织评估后进行发布。A、工业和信息化部、公安部B、公安部、国家安全委员会C、公安部、国家互联网信息办公室D、国家互联网信息办公室、国防部参考答案：A31.在数据包转发过程中，当TTL值减少到0时，这个数据包必须（）。A、重发B、无动作C、丢弃D、接收参考答案：C32.在实施风险评估时，形成了《待评估信息系统相关设备及资产清单》。在风险评估实施的各个阶段中，该《清单》应是（）A、风险评估准备B、风险要素识别C、风险分析D、风险结果判定参考答案：B33.在科举考试中，考官必须采用锁厅制进行封闭出卷，封闭在考场中出题，并且周围有兵丁把守，禁止内外交流，这种措施体现了数据安全的什么手段（）单选题A、脱敏B、物理隔离C、身份识别与多因素认证D、加密参考答案：B34.在个人权利的保护方面,《个人信息保护法》规定了哪两项不同于《通用数据保护条例》权利?（）A、更正补充权、限制处理权B、个人的决定权、请求解释权C、个人的决定权、限制处理权D、更正补充权、请求解释权参考答案：B35.在风险管理中，残余风险是指实施了新的或增强的安全措施后还剩下的风险，关于残余风险，下面描述错误的是（）A、风险处理措施确定以后，应编制详细的残余风险清单，并获得管理层对残余风险的书面批准，这也是风险管理中的一个重要过程B、管理层确认接收残余风险，是对风险评估工作的一种肯定，表示管理层已经全面了解了组织所面临的风险，并理解在风险一旦变为现实后，组织能够且承担引发的后果C、接收残余风险，则表明没有必要防范和加固所有的安全漏洞，也没有必要无限制的提高安全保护措施的强度，对安全保护措施的选择要考虑到成本和技术等因素的限制D、如果残余风险没有降低到可接受的级别，则只能被动的选择接受风险，即对风险不进行下一步的处理措施，接受风险可能带来的结果。参考答案：D36.在访问控制中,以下哪个概念描述了对特定资源进行访问操作时所需的身份验证信息?A、认证B、授权C、验证D、鉴别参考答案：A37.在访问控制中,下面哪个措施可以增强系统的身份认证安全性?A、多因素认证B、开放注册C、共享账号和口令D、强制口令重用参考答案：A38.在访问控制中,RBAC模型中的用户角色关系是:A、一对一关系B、一对多关系C、多对多关系D、多对一关系参考答案：C39.在访问控制中,RBAC模型中的权限继承是指:A、用户继承角色的权限B、角色继承用户的权限C、角色继承其他角色的权限D、用户继承其他用户的权限参考答案：C40.在访问控制中,RBAC（Role-BasedAccessControl）是指:A、基于用户的访问控制B、基于角色的访问控制C、基于资源的访问控制D、基于策略的访问控制参考答案：B41.在访问控制中,ABAC（Attribute-BasedAccessControl）的特点是:A、基于角色的访问控制B、基于资源的访问控制C、基于属性的访问控制D、基于策略的访问控制参考答案：C42.在访问控制产品的选择过程中,以下哪个因素应该是最重要的考虑因素?A、产品的售价B、产品的品牌知名度C、产品的功能和特性是否满足需求D、产品的外观设计和用户界面参考答案：C43.在对某面向互联网提供服务的某应用服务器的安全检测中发现，服务器上开放了以下几个应用，除了一个应用外其他应用都存在明文传输信息的安全问题，作为一名检测人员，你需要告诉用户对应用进行安全整改以解决明文传输数据的问题，以下哪个应用已经解决了明文传输数据问题：A、SSHB、HTTPC、FTPD、SMTP参考答案：A44.在单点登录（SSO）中,为什么采用SSL进行用户、应用系统和认证服务器之间的通信?A、提高用户体验B、加快应用系统的响应速度C、减小敌手截获和窃取信息的可能性D、增加数据的传输效率参考答案：C45.在单点登录（SSO）认证过程中,为什么需要使用SSL通道来传递Cookie?A、提高用户体验B、加快应用系统的响应速度C、增加Cookie的安全性D、减小Cookie被截获的可能性参考答案：D46.在单点登录（SSO）认证过程中,Cookie的作用是什么?A、存储用户的登录凭据B、保存用户的个人信息C、传递访问票据和用户信息D、加密用户的通信数据参考答案：C47.在车载系统中，CAN总线是什么A、一种汽车品牌的总线标准B、一种车载音响系统C、一种用于车辆通信的总线标准D、一种驾驶员的控制界面参考答案：C48.在ZigBeeMAC安全中，MAC安全帧不包括A、报头B、报尾C、负载D、帧内容参考答案：C49.在Windows2000以后的操作系统版本中，访问控制是一种双重机制，它对用户的授权基于用户权限和对象许可，通常使用ACL、访问令牌和授权管理器来实现访问控制功能。以下选项中，对windows操作系统访问控制实现方法的理解错误的是（）A、CL只能由管理员进行管理B、ACL是对象安全描述的基本组成部分，它包括有权访问对象的用户和级的SIDC、访问令牌存储着用户的SID，组信息和分配给用户的权限D、通过授权管理器，可以实现基于角色的访问控制参考答案：A50.在（）的领导下建立了国家网络安全审查工作机制。A、中央网络安全和信息化委员会B、中华人民共和国国家安全部C、中华人民共和国工业和信息化部D、中华人民共和国公安部参考答案：A51.运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。A、对B、错参考答案：A52.运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行（）网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。A、一次B、二次C、三次D、四次参考答案：A53.运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行（）次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。（）A、一B、二C、三D、四参考答案：A54.运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。（）对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。（）A、国家网信部门B、国务院公安部门C、省级人民政府有关部门D、运营者的主要负责人参考答案：D55.运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作，应当对以下哪个部门依法开展的关键信息基础设施网络安全检查工作应当予以配合？A、应急管理部B、工信部C、大数据局D、公安、国安、保密行政管理、密码管理参考答案：D56.运营者的主要负责人对关键信息基础设施安全保护负总责。A、对B、错参考答案：A57.运营者的（）对关键信息基础设施安全保护负总责。A、安全运维团队B、信息中心负责人C、生产责任人D、主要负责人参考答案：D58.运输、携带、邮寄计算机信息媒体进出境的,应当如实向（）申报。（）A、省级以上人民政府公安机关B、国家安全部C、国家保密局D、海关参考答案：D59.语句SELECT‘ACCP’FROMDUAL的执行结果是（）A、CCPB、XC、编译错D、提示未选中行参考答案：A60.有权对违反本法规定的行为向有关主管部门投诉、举报?A、只有从事数据安全工作的人员有权B、只有从事数据安全工作的组织有权C、只有从事数据安全工作的人员和组织有权D、任何个人、组织都有权参考答案：D61.隐私保护和合规性的目的是什么?A、防止物理安全威胁B、保护个人信息和敏感数据的安全和隐私C、提高网络防火墙的性能D、加速数据传输速度参考答案：B62.银行保险监督管理机构应当按照县级以上人民政府及法定授权部门对突发事件的应对要求,审慎评估突发事件对银行保险机构造成的影响,依法履行的职责不包括下列哪一项内容?（）A、加强对突发事件引发的区域性、系统性风险的监测、分析和预警B、督促银行保险机构按照突发事件应对预案,保障基本金融服务功能持续安全运转C、配合银行保险机构提供突发事件应急处置金融服务D、引导银行保险机构积极承担社会责任参考答案：C63.以下做法错误的是:（）A、严禁涉密系统一机两网B、涉密硬盘报废后可以格式化后废品回收C、用于连接互联网的PC不得处理涉密信息D、密级高的数据不得向非密系统导入参考答案：B64.以下做法，正确的是（）。A、离职后将个人负责的项目的敏感文档一并带走B、将敏感信息在云盘备份C、会议室使用完毕后及时擦除白板D、在公共场所谈论敏感信息参考答案：C65.以下选项在WiFi技术安全中不属于网络层安全的是A、服务配置标识符B、有线等价保密协议C、身份认证D、虚拟专用网参考答案：B66.以下选项不属于数据库隐私度量标准和位置隐私度量标准的是A、隐私保护度B、数据的可用性C、服务质量D、位置信息的可用性参考答案：D67.以下数据中不属于国家核心数据的是（）。A、关系国家安全的数据B、关系国民经济命脉的数据C、关系重要民生的数据D、关系公共利益的数据参考答案：D68.以下适用《中华人民共和国网络安全法》说法正确的是:A、关键信息基础设施的运营者在中华人民共和国境外运营中收集和产生的重要数据的出境安全管理B、关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理C、关键信息基础设施的运营者在中华人民共和国境外运营中收集和产生的一般数据的出境安全管理D、关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的一般数据的出境安全管理参考答案：B69.以下哪种情形不适用《网络安全法》?（）A、在中国境内建设网站B、在中国境内运营网站C、在中国境内使用网站D、在中国境外使用网站参考答案：D70.以下哪种行为不适用《数据安全法》?（）A、中国境内开展数据处理活动的行为B、中国境外开展数据处理活动的行为C、中国境外开展数据处理活动损害中国国家利益的行为D、中国境外开展数据处理活动损害公民合法权益的行为参考答案：B71.以下哪种行为不适用《个人信息保护法》?（）A、在中国境内因商业服务处理自然人个人信息;B、在中国境外以向境内自然人提供产品或者服务为目的处理境内自然人个人信息;C、在中国境外分析、评估境内自然人的行为;D、在中国境内因个人事务处理自然人个人信息。参考答案：D72.以下哪种访问控制模型是基于用户角色分配来确定用户的访问权限?A、自主访问控制模型（DAC）B、强制访问控制模型（MAC）C、角色基础访问控制模型（RBAC）D、属性基础访问控制模型（ABAC）参考答案：C73.以下哪种访问控制模型是基于用户的个人身份来授权资源访问权限?A、自主访问控制模型（DAC）B、强制访问控制模型（MAC）C、角色基础访问控制模型（RBAC）D、属性基础访问控制模型（ABAC）参考答案：A74.以下哪种访问控制模型是基于一组属性规则来确定用户对资源的访问权限?A、自主访问控制模型（DAC）B、强制访问控制模型（MAC）C、角色基础访问控制模型（RBAC）D、属性基础访问控制模型（ABAC）参考答案：D75.以下哪种访问控制模型是基于一组定义良好的属性规则来确定用户对资源的访问权限?A、自主访问控制模型（DAC）B、强制访问控制模型（MAC）C、事实授权访问控制模型（FBA）D、基于属性的访问控制模型（ABAC）参考答案：D76.以下哪种访问控制模型是基于定义的访问控制策略来控制对资源的访问权限?A、自主访问控制模型（DAC）B、强制访问控制模型（MAC）C、角色基础访问控制模型（RBAC）D、基于策略的访问控制模型（PBAC）参考答案：D77.以下哪一项不属于常见的风险评估与管理工具：A、基于信息安全标准的风险评估与管理工具B、基于知识的风险评估与管理工具C、基于模型的风险评估与管理工具D、基于经验的风险评估与管理工具参考答案：D78.以下哪一项不是常见威胁对应的消减措施：A、假冒攻击可以采用身份认证机制来防范B、为了防止传输的信息被篡改，收发双方可以使用单向Hash函数来验证数据的完整性C、为了防止发送方否认曾经发送过的消息，收发双方可以使用消息验证码来防止抵赖D、为了防止用户提升权限，可以采用访问控制表的方式来管理权限参考答案：C79.以下哪一行为,符合国家关于信息处理的要求?（）A、甲利用作为银行职员的便利为境外刺探、非法提供银行金融数据B、甲银行APP软件未经客户明确同意,擅自收集客户的人脸信息C、甲银行柜员乙为客户办理业务需要,经过客户同意,按照银行流程扫描客户身份证原件D、甲公司要求银行提供该公司员工乙的支付劳务工资记录,银行未经审查直接向甲公司提供参考答案：C80.以下哪一个是中国移动的网站:A、B、www.1OO86.cnC、D、参考答案：C81.以下哪些信息不属于个人信息?（）A、个人医疗记录B、个人支付凭证C、个人位置信息D、匿名化的犯罪记录参考答案：D82.以下哪项政务数据可以开放？（）A、涉及国家秘密B、商业秘密C、个人隐私D、领导任命前的公示参考答案：D83.以下哪项是降低社会工程学攻击风险的有效措施?A、增加网络防火墙的配置B、提供员工教育和培训C、定期进行漏洞扫描和渗透测试D、使用强密码保护账户参考答案：B84.以下哪个是恶意代码采用的隐藏技术：A、文件隐藏B、进程隐藏C、网络连接隐藏D、以上都是参考答案：D85.以下哪个拒绝服务攻击方式不是流量型拒绝服务攻击A、LandB、UDPFloodC、SmurfD、Teardrop参考答案：D86.以下哪个方面不是数据合规审查中需要关注的要点?（）A、数据来源的合规性B、数据使用的合规性C、数据跨境的合规性D、数据价值的评估参考答案：D87.以下哪个场景不会导致浏览网页泄露个人信息（）A、钓鱼网站B、Cookie技术C、页面挂马D、开启DNT参考答案：D88.以下哪部法律适用于适用于在中华人民共和国境外开展数据处理活动及其安全监管.A、《中华人民共和国国家安全法》B、《中华人民共和国网络安全法》C、《中华人民共和国数据安全法》D、《中华人民共和国个人信息保护法》参考答案：C89.以下行为违反《网络安全审查办法》的是（）。A、不利用提供产品和服务的便利条件非法获取用户数据B、不非法控制和操纵用户设备C、不中断产品供应或者必要的技术支持服务D、关键信息基础设施运营者采购网络产品和服务不主动申报网络安全审查参考答案：D90.以下行为存在信息泄露隐患的是（）?A、打印文件后删除打印机缓存内容B、使用碎纸机粉碎看过的重要资料C、为方便办公拍摄屏幕D、数据在U盘加密处理参考答案：C91.以下行为不属于违反国家涉密规定的行为：A、将涉密计算机、涉密存储设备接入互联网及其他公共信息网络B、通过普通邮政等无保密及措施的渠道传递国家秘密载体C、在私人交往中涉及国家秘密D、以不正当手段获取商业秘密参考答案：D92.以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（A）A、突出重要系统，涉及所有等级,试点示范，行业推广，国家强制执行。B、利用信息安全等级保护综合工作平台使等级保护工作常态化。C、管理制度建设和技术措施建设同步或分步实施。D、加固改造缺什么补什么,也可以进行总体安全建设整改规划。参考答案：A93.以下关于威胁建模流程步骤说法不正确的是A、威胁建模主要流程包括四步：确定建模对象、识别威胁、评估威胁和消减威胁B、评估威胁是对威胁进行分析，评估被利用和攻击发生的概率，了解被攻击后资产的受损后果，并计算风险C、消减威胁是根据威胁的评估结果，确定是否要消除该威胁以及消减的技术措施，可以通过重新设计直接消除威胁，或设计采用技术手段来消减威胁。D、识别威胁是发现组件或进程存在的威胁，威胁就是漏洞。参考答案：D94.以下关于UDP协议的说法，哪个是错误的?A、具有简单高效的特点，常被攻击者用来实施流量型拒绝服务攻击B、UDP包头中包含了源端口号和目的端口号，因此可通过端口号将数据包送达正确的程序C、相比TCP，UDP开销更小，因此常用来传送如视频这一类大流量需求的数据D、UDP协议不仅具有流量控制，超时重发等机制，还能提供加密等服务，因此常用来传输如视频通话这类需要保护隐私的数据参考答案：D95.以下关于TCP协议的说法，哪个是正确的?A、相比UDP，TCP传输更可靠，并具有更高的效率B、TCP协议包头中包含了源IP和目的IP，因此TCP协议负责将数据传送到正确的主机C、TCP协议具有流量控制、数据校验、超时重发、接收确认等机制，因此能完全可以替代IP协议D、TCP协议虽然高可靠，但是比UDP协议过于复杂，传输效率要比UDP低参考答案：D96.以下登录口令设置，安全强度最高的是？A、1314520B、Admin123C、root123456D、cptbtptp77！参考答案：D97.以下不是关键信息基础设施重要行业和领域的是？A、公共通信B、能源、交通、水利C、公共服务D、各类电商网购平台参考答案：D98.以下不是《电子合同取证流程规范》（标准号:GB/T39321-2020）中规定的电子取证的原则的（）A、合法有效B、主观真实C、完整D、防篡改参考答案：B99.以下Windows系统的账号存储管理机制SAM（SecurityAccoumtsManager）的说法哪个是正确的：A、存储在注册表中的账号数据是管理员组用户都可以访问，具有较高的安全性B、存储在注册表中的账号数据administrator账户才有权访问，具有较高的安全性C、存储在注册表中的账号数据任何用户都可以直接访问，灵活方便D、存储在注册表中的账号数据只有System账号才能访问，具有较高的安全性参考答案：D100.以下4种对BLP模型的描述中，正确的是（）：A、BLP模型用于保证系统信息的机密性，规则是“向上读，向下写”B、LP模型用于保证系统信息的机密性，规则是“向下读，向上写”C、BLP模型用于保证系统信息的完整性，规则是“向上读，向下写”D、BLP模型用于保证系统信息的完整性，规则是“向下读，向上写”参考答案：B101.以太坊属于（）A、私有链B、公有链C、联盟链D、以上都不是参考答案：B102.以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定A、省级B、市级C、县级D、区级参考答案：C103.依据ISO27701,个人信息系统用来存储个人信息的方式为?（）A、一个文件存放一个人的信息B、数据库统一管理C、电子表格管理D、存放在内存参考答案：A104.依据ISO27001,信息系统审计是（）。（）A、应在系统运行期间进行,以便于准确地发现弱电B、审计工具在组织内应公开可获取,以便于提升员工的能力C、发现信息系统脆弱性的手段之一D、只要定期进行,就可以替代内部ISMS审核参考答案：C105.依据《中华人民共和国数据安全法》，开展数据处理活动应当依照法律、法规的规定，建立健全（）管理制度。A、数据风险评估B、数据泄露应急处置C、数据交易D、全流程数据安全参考答案：D106.依据《电信和互联网用户个人信息保护规定》,下列那项说法是错误的?（）A、电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项B、电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息C、电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息可以未经用户同意向其关联公司提供D、电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务参考答案：C107.依ISO27001标准制定信息安全管理体系方针应以考虑的输入是?（）A、业务战略B、法律法规要求C、合同要求D、以上全部参考答案：D108.一种被广为接受的应急响应方法是将应急响应管理过程分为6个阶段，准备→检测→遏制→根除→恢复→跟踪总结。请问下列说法有关于信息安全应急响应管理过程错误的是（）:A、确定重要资产和风险，实施针对风险的防护措施是信息安全应急响应规划过程中最关键的步骤B、在检测阶段，首先要进行监测、报告及信息收集C、遏制措施可能会因为事件的类别和级别不同而完全不同。常见的遏制措施有完全关闭所有系统、断网等D、应按照应急响应计划中事先制定的业务恢复优先顺序和恢复步骤，顺次恢复相关的系统参考答案：A109.要防止网络社会工程学攻击,以下哪项是必要的?A、使用复杂的密码,避免使用生日、电话号码等容易被猜到的信息作为密码。B、安装并更新反病毒软件、防火墙等安全软件可以有效防止网络攻击和恶意软件入侵。C、教育员工,提高员工对网络社会工程学攻击的认识和防范意识。D、以上都是参考答案：D110.亚太经济合作组织（以下简称“APEC”）在下列哪一年通过了《跨境隐私规则体系》（《CrossBorderPrivacyRulesSystem》,以下简称“CBPR”）?（）数据A、2010年B、2003年C、2008年D、2013年参考答案：D111.信息安全概念经常与计算机安全、网络安全、数据安全等互相交叉笼统的使用。就目前而言，信息安全的内容不包括A、硬件安全B、软件安全C、运行服务安全D、隐私安全参考答案：D112.小王自驾车到一座陌生的城市出差，则对他来说可能最为有用的是A、路况不良B、恶意软件攻击C、车辆碰撞D、音响失效参考答案：D113.小王自驾车到一座陌生的城市出差，则对他来说可能最为有用的是A、保护车辆的外观B、保护车辆的发动机C、保护车辆的乘客和驾驶员D、保护车辆的音响系统参考答案：C114.下述那项不是区块链中应用的技术（）。A、密码学B、大数据C、共识算法D、P2P网络参考答案：B115.下面哪种情况可以被视为社会工程学攻击的目标?A、数据中心的物理安全B、强密码设置C、员工培训计划D、服务器硬件升级参考答案：C116.下面哪项为错误的说法A、冯·诺依曼结构共用数据存储空间和程序存储空间，不共享存储器总线B、哈佛结构有分离的数据和程序空间及分离的访问总线C、哈佛结构在指令执行时，取址和取数可以进行并行操作D、哈佛结构指令执行时效率更高参考答案：A117.下面哪项是加强安全意识推广的有效方式?A、提供员工奖励计划B、发送周期性的安全通知C、禁止员工使用公司电子邮件D、随机抽查员工隐私信息参考答案：B118.下面哪个是社会工程学的常见形式?A、加密技术B、数据分析C、钓鱼攻击D、防火墙配置参考答案：C119.下面哪个不是生成树的优点（）A、生成树可以管理冗余链路，在链路发生故障时可以恢复网络连接B、生成树可以防止环路的产生C、生成树可以防止广播风暴D、生成树能够节省网络带宽参考答案：D120.下列针对数据安全的运维要求中，正确的操作是（）。A、确认需要备份的是哪些数据/数据库，设定备份与归档的策略B、从数据备份的完整性与成本方面的均衡角度考虑，增量备份结合全量备份是一个推荐的措施C、需要对备份后的数据进行恢复校验，以确保恢复后的数据可用D、定期对数据相关风险进行评估E、以上都对参考答案：E121.下列物件中不体现物联网智能处理特征的是A、数据库B、虚拟机C、云储存D、智能卡参考答案：D122.下列说法中不正确的是（B）A、定级/备案是信息安全等级保护的首要环节。B、等级测评是评价安全保护现状的关键。C、建设整改是等级保护工作落实的关键。D、监督检查是使信息系统保护能力不断提高的保障。参考答案：B123.下列说法正确的是A、鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。B、不建议相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。C、相关组织和个人没有权利向网络产品提供者通报其产品存在的安全漏洞。D、不鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。参考答案：A124.下列说法不正确的是:A、自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益B、个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息C、个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等D、处理个人信息应当遵循合法、正当、必要和诚信原则,可以通过误导、欺诈、胁迫等方式处理个人信息参考答案：D125.下列属于韩国关于全球数据跨境管控要求清单的是?（）A、《电子通信法》B、《互联网服务和在线信息管理、提供和使用条例》C、《电子金融交易监管条例》D、《国家数据分享和准入政策》参考答案：C126.下列哪种通信技术不属于低功率短距离的无线通信技术？A、广播B、超宽带技术C、蓝牙D、Wi-Fi参考答案：A127.下列哪一项不属于数据跨境的场景类型?（）A、数据跨境B、跨境传输C、跨境采集D、跨境访问参考答案：B128.下列哪一规定的颁布被誉为数据领域“哥白尼革命”式的立法,特别注重“数据权利保护”与“数据自由流通”之间的平衡?（）A、《加州隐私权利法》B、《通用数据保护条例》（GDPR）C、《弗吉尼亚州消费者数据保护法》D、《科罗拉多州隐私法案》参考答案：B129.下列哪项是特殊个人信息处理者的义务?（）A、定期发布个人信息保护社会责任报告B、制定内部管理制度和操作规程C、采取适当的安全技术措施D、制定并组织实施个人信息安全事件响应预案参考答案：A130.下列哪项内容描述的是缓冲区溢出漏洞?A、通过把SQL命令插入到web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令B、攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行。C、当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上D、信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中，有意或无意产生的缺陷参考答案：C131.下列哪个是访问控制中的授权方式?A、访问请求审查B、双因素认证C、单一登录D、加密传输参考答案：A132.下列哪个情形,个人信息处理者不可处理个人信息:A、为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需B、并非履行法定职责或者法定义务所必需,且未获得当事人允许C、为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息D、法律、行政法规规定的其他情形参考答案：B133.下列哪个不是资源对象?A、文件B、应用服务C、数据D、用户参考答案：D134.下列行为不符合个人信息处理法律法规A、最小化采集B、内部制定管理制度，确保个人信息处理合规C、采取加密、去标识等措施D、APP设计开发时采用默认采集默认授权的模式参考答案：D135.下列国密算法中,那个是哈希算法（）A、SM9B、SM4C、SM2D、SM3参考答案：D136.下列国密算法中,那个是公钥密码算法（）A、SM2B、SM3C、SM4D、SM9参考答案：A137.下列国密算法中,那个是对称密码算法（）A、SM3B、SM4C、SM2D、SM9参考答案：B138.下列对爬虫使用说法错误的是（）。（）A、网络数据爬取应限于对开放数据的获取。如果网络爬虫获取非开放的数据,便涉嫌违法甚至犯罪B、数据爬虫技术不应具有侵入性,可以说,爬虫的侵入性是其违法性的主要体现C、数据爬取应当基于正当目的,对开放数据的获取可能因不符合正当目的而具有违法性D、爬取公开数据时即使突破网站或App的反爬虫技术设置进行的爬取行为,行为人不需承担刑事责任参考答案：D139.下不属于云计算与物联网融合模式的是A、单中心-多终端模式B、多中心-大量终端模式C、信息应用分层处理-海量终端模式D、单中心-单中端模式参考答案：D140.物联网中的隐私保护措施主要包括以下哪些方面？A、数据加密B、访问控制C、数据备份D、所有以上选项参考答案：D141.物联网中的物理安全措施主要包括以下哪些方面？A、锁定物联网设备的物理位置B、安装视频监控设备C、控制物联网设备的物理访问权限D、所有以上选项参考答案：D142.物联网中的网络监控是用于什么目的？A、实时监测物联网设备和网络的运行状态B、检测物联网设备是否符合安全标准C、监控物联网设备的物理位置D、所有以上选项参考答案：A143.物联网中的网络隔离是指什么？A、将物联网设备与互联网隔离B、将不同的物联网设备划分到独立的网络C、阻止物联网设备之间的通信D、限制物联网设备的访问速度参考答案：B144.物联网中的社交工程是指什么？A、攻击者利用社交媒体进行攻击B、攻击者通过社交网络窃取数据C、攻击者利用人们的社交行为进行欺骗和攻击D、攻击者利用物联网设备进行社交活动参考答案：C145.物联网中的恶意软件是指什么？A、针对物联网设备的恶意软件程序B、针对物联网网络的恶意软件程序C、针对物联网数据的恶意软件程序D、针对物联网用户的恶意软件程序参考答案：A146.物联网中的安全审计是用于什么目的？A、监测和记录物联网设备的安全事件B、评估物联网设备的性能指标C、分析物联网数据的使用情况D、优化物联网设备的能源消耗参考答案：A147.物联网中的安全策略制定应考虑哪些因素？A、风险评估B、合规要求C、技术限制D、所有以上选项参考答案：D148.物联网中的安全测试是用于什么目的？A、发现物联网设备和系统的安全漏洞B、测试物联网设备的性能指标C、测试物联网设备的可用性D、评估物联网设备的制造成本参考答案：A149.物联网分为感知、网络和（）三个层次，在每个层面上。都将有多种选择去开拓市场A、应用B、推广C、传输D、运营参考答案：A150.物联网的安全漏洞可能导致以下哪些风险？A、个人隐私泄露B、设备被远程控制C、数据泄露D、所有以上选项参考答案：D151.物联网安全是指什么？A、保护物联网设备的物理安全B、保护物联网设备免受未经授权的访问和攻击C、保护物联网设备的电源供应D、保护物联网设备的网络连接速度参考答案：B152.我国有关文件指出：风险评估的工作形式可分为自评估和检查评估两种，关于自评估，下面选项中描述错误的是（）。A、自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估B、自评估应参照相应标准、依据制定的评估方案和准则，结合系统特定的安全要求实施C、自评估应当是由发起单位自行组织力量完成，而不应委托社会风险评估服务机构来实施D、周期性的自评估可以在评估流程上适当简化，如重点针对上次评估后系统变化部分进行参考答案：C153.我国相关法律对电子数据的审查判断作了明确要求,提出“以收集原始存储介质为原则,以直接提取电子数据为例外”的原则。（）A、正确B、错误参考答案：A154.我国目前确定了五大生产要素包括：A、土地、能源、人才、资本、知识B、土地、能源、劳动力、资本、数据C、土地、能源、商业、人才、信息技术D、土地、劳动力、资本、技术、数据参考答案：D155.文档体系建设是信息安全管理体系（ISMS）建设的直接体现，下列说法不正确的是：A、组织内的信息安全方针文件、信息安全规章制度文件、信息安全相关操作规范文件等文档是组织的工作标准，也是ISMS审核的依据B、组织内的业务系统日志文件、风险评估报告等文档是对上一级文件的执行和记录，对这些记录不需要保护和控制C、组织在每份文件的首页，加上文件修订跟踪表，以显示每一版本的版本号、发布日期、编写人、审批人、主要修订等内容D、多层级的文档体系是ISMS建设的直接体现，文档体系应当依据风险评估的结果建立参考答案：B156.维护数据安全,应当坚持总体国家安全观,建立健全,提高数据安全保障能力。A、信息安全治理体系B、数据安全治理体系C、信息安全保障体系D、数据安全保障体系参考答案：B157.违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处罚款。A、一万元以上二十万元以下B、五万元以上十万元以下C、一万元以上十万元以下D、五万元以上二十万元以下参考答案：C158.违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处罚款A、一百万元以下B、一百万元以上C、两百万元以上D、任意金额参考答案：A159.违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处罚款A、一百万元以上B、两百万元以上C、五百万元以上D、一百万元以下参考答案：D160.违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处罚款A、五十万元以下B、一百万元以下C、两百万元以上D、任意金额参考答案：B161.违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得以上以下罚款,没有违法所得的,处以下罚款。A、一倍十倍一百万元B、十倍一百倍一百万元C、十倍一百倍十万元D、十倍一百倍一百万元参考答案：A162.违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得以上以下罚款,没有违法所得的,处以下罚款。A、十倍一百倍一百万元B、一倍十倍一百万元C、一倍一百倍二十万元D、十倍一百倍二百万元参考答案：B163.违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得以上以下罚款,没有违法所得的,处以下罚款,对直接负责的主管人员和其他直接责任人员处以上以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。A、十倍一百倍一百万元十万元一百万元B、二倍一百倍十万元一百万元十万元C、一倍十倍十万元一万元十万元D、一倍十倍一百万元一万元十万元参考答案：D164.违反《中华人民共和国数据安全法》规定,给他人造成损害的,并构成犯罪的，（）A、依法承担民事责任,并追究刑事责任B、不用承担民事责任,但追究刑事责任C、既不用承担民事责任,也不追究刑事责任D、只用承担民事责任,不用追究刑事责任参考答案：A165.违反《中华人民共和国数据安全法》第三十五条规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处罚款。A、五千元以上一万元以下B、一万元以上十万元以下C、五万元以上五十万元以下D、二十万元以上一百万元以下参考答案：B166.违反《中华人民共和国数据安全法》第三十五条规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,并处罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。A、五千元以上一万元以下B、一万元以上十万元以下C、五万元以上五十万元以下D、二十万元以上一百万元以下参考答案：C167.违反《中华人民共和国数据安全法》第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处罚款。A、一万元以上十万元以下B、五万元以上一百万元以下C、十万元以上一百万元以下D、二十万元以上二百万元以下参考答案：A168.违反《中华人民共和国数据安全法》第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据并造成严重后果的,处罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。A、十万元以上一百万元以下B、五十万元以上一百万元以下C、一百万元以上五百万元以下D、一百万元以上一千万元以下参考答案：C169.违反《中华人民共和国密码法》规定,构成犯罪的,依法追究。A、刑事责任B、民事责任C、刑事诉讼D、民事诉讼参考答案：A170.违反《中华人民共和国密码法》第十四条规定,情节严重的,由（）建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。A、国家网信部门B、密码管理部门C、保密行政管理部门D、国务院商务主管部门参考答案：B171.违反《中华人民共和国密码法》第二十六条规定,违法所得元以上的,可以并处违法所得一倍以上三倍以下罚款。A、十万元B、二十万元C、三十万元D、五十万元参考答案：A172.违反《中华人民共和国密码法》第二十九条规定,未经认定从事电子政务电子认证服务的,由责令改正或者停止违法行为,给予警告,没收违法产品和违法所得。A、国家网信部门B、密码管理部门C、保密行政管理部门D、国务院商务主管部门参考答案：B173.违反《中华人民共和国密码法》第二十九条规定,未经认定从事电子政务电子认证服务的,违法所得的,可以并处违法所得一倍以上三倍以下罚款A、十万元以上B、二十万元以上C、三十万元以上D、五十万元以上参考答案：C174.违反《中华人民共和国密码法》第二十九条规定,未经认定从事电子政务电子认证服务的,没有违法所得或者违法所得不足三十万元的,可以并处罚款。A、三万元以下B、三万元以上十万元以下C、十万元以上二十万元以下D、十万元以上三十万元以下参考答案：D175.违反《个人信息保护法》规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务且拒不改正的，并处（）罚款；对直接负责的主管人员和其他直接责任人员处（）罚款。A、50万元以下，1万元以上10万元以下B、50万元以下，5万元以上10万元以下C、100元以下，1万元以上10万元以下D、100万元以下，5万元以上10万元以下参考答案：C176.为什么说在网络环境下,信任不是对一个人的可靠性认可?A、因为网络环境下,人们很容易伪造身份信息。B、因为网络环境下,人们很难判断对方的可靠性。C、因为网络环境下,信任主要是基于秘密信息。D、因为在网络环境下,信息主要是基于权限控制。参考答案：C177.为确保信息资产的安全,设备、信息或软件在（）之前不应带出公司、组织场所。（）A、使用B、检查合格C、授权D、识别出薄弱环节参考答案：C178.为了规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险,根据,制定本规定。A、《中华人民共和国科学技术进步法》B、《中华人民共和国刑法》C、《中华人民共和国网络安全法》D、《中华人民共和国宪法》参考答案：C179.为了规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险,根据（）制定本规定。A、《中华人民共和国科学技术进步法》B、《中华人民共和国刑法》C、《中华人民共和国宪法》D、《中华人民共和国网络安全法》参考答案：D180.为了防范风险,当事人应当在审查期间按照网络安全审查要求采取的（）措施A、预防和消减风险B、提高服务质量C、降低服务成本D、扩展业务参考答案：A181.为了防范风险,当事人应当在（）按照网络安全审查要求采取预防和消减风险的措施A、审查期间B、审查申报前C、申报审查期间D、申报完成后参考答案：A182.为了保障网络安全,维护网络空间主权和国家安全、,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。A、民族利益B、社会公共利益C、私人企业利益D、国有企事业单位利益参考答案：B183.为降低本国数据传输至境外造成的安全风险,我国针对性的推出了哪项政策法规?（）A、《关键信息基础设施安全保护条例》B、《网络安全产品漏洞管理规定》C、《数据出境安全评估办法》D、《信息安全等级保护管理办法》参考答案：C184.为保障数据可用性，系统设计时应关注（）。A、网络拓扑结构是否存在单点故障B、主要网络设备以及关键业务的服务器是否冗余C、通信线路是否有多条链路D、是否有数据备份与恢复验证措施E、以上都对参考答案：E185.微软提出了STRIDE模型，其中Repudation（抵赖）的缩写，关于此项安全要求，下面描述错误的是（）A、某用户在登陆系统并下载数据后，却声称“我没有下载过数据”，这种威胁就属于RepudationB、解决Repudation威胁，可以选择使用抗抵赖性服务技术来解决，如强认证、数字签名、安全审计等技术措施C、Repudation威胁是STRIDE六种威胁中第三严重的威胁，比D威胁和E威胁的严重程度更高D、解决Repudation威胁，也应按照确定建模对象、识别威胁、评估威胁以及消减威胁等四个步骤进行参考答案：C186.网站加固时，将Apache的运行权限从root降为nobody，其目的是：A、提高Apache软件运行效率B、提高Apache软件的可靠性C、避免攻击者通过Apache获得root权限D、减少Apache存在的漏洞参考答案：C187.网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护的需要,不得用于其他用途。A、信息安全B、数据安全C、隐私安全D、网络安全参考答案：D188.网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护的需要,不得用于其他用途。A、网络安全B、信息安全C、认证安全D、服务安全参考答案：A189.网信部门和有关部门在履行网络安全保护职责中获取的信息，用于维护网络安全的需要，也可以用于其他用途。A、正确B、错误参考答案：B190.网络运营者应当为、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。A、网信部门B、公安机关C、工信部门D、法院参考答案：B191.网络运营者应当为、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。A、公安机关B、网信部门C、纪委部门D、检察院参考答案：A192.网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取更改措施，防止信息扩散，保存有关记录，并向有关主管部门报告。A、正确B、错误参考答案：B193.网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取（）等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。A、更改B、撤回C、删除D、消除参考答案：D194.网络运营者兼并、重组、破产的,数据承接方应承接数据安全责任和义务。没有数据承接方的,应当对数据（）处理。（）A、封存B、删除C、匿名化D、存储参考答案：C195.网络社会工程学攻击利用了哪些原理?A、心理学和社交技巧B、网络传播和信息交换C、病毒和恶意软件的编写和传播D、以上都不是参考答案：A196.网络社会工程学攻击的防范措施之一是避免哪些行为?A、在公共场合或网络上泄露个人敏感信息,如银行卡号、密码、身份证号等B、在电子邮件中发送敏感信息,使用安全加密的方式进行传输C、点击可疑的链接、下载可疑的附件等D、以上都是参考答案：D197.网络社会工程学攻击的防范措施应该包括哪些方面?A、提高警觉性、保护个人信息、使用安全软件、定期更新密码等B、提高人际交往能力、增强自信心、增强抵抗力、加强运动等C、提高学历水平、增强沟通能力、增加社交圈子、扩大人脉等D、以上都不是参考答案：A198.网络平台运营者赴国外上市申报网络安全审查,可能的结果不包括。A、无需审查B、启动审查后,经研判不影响国家安全的,可继续赴国外上市程序C、启动审查后,经研判影响国家安全的,不允许赴国外上市D、启动审查后,经研判影响国家安全的,可继续赴国外上市程序参考答案：D199.网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构（）或者安全检测符合要求后，方可销售或者提供。A、鉴定产品功能B、安全认证合格C、测试产品性能D、认证产品质量合格参考答案：B200.网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于个月。A、8B、7C、6D、5参考答案：C201.网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于（）个月。A、5B、6C、7D、8参考答案：B202.网络安全审查重点评估相关对象或者情形的国家安全风险因素不包括（）。A、产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险B、产品和服务供应报价对关键信息基础设施业务运维成本的影响C、产品和服务提供者遵守中国法律、行政法规、部门规章情况D、核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险参考答案：B203.网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照的规定进行审查。A、《网络安全审查办法》B、《中华人民共和国数据安全法》C、《中华人民共和国网络安全法》D、《关键信息基础设施安全保护条例》参考答案：A204.网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报批准后,依照《网络安全审查办法》的规定进行审查。A、中央网络安全和信息化委员会B、中华人民共和国国家安全部C、中华人民共和国工业和信息化部D、中华人民共和国公安部参考答案：A205.网络安全审查工作机制成员单位、相关部门意见一致的,网络安全审查办公室以（）形式将审查结论通知当事人A、书面B、口头C、电话D、电子邮件参考答案：A206.网络安全审查工作机制成员单位、相关部门意见（）的,网络安全审查办公室以书面形式将审查结论通知当事人A、一致B、不一致C、部分一致D、部分不一致参考答案：A207.网络安全审查工作机制成员单位,意见（）的,按照特别审查程序处理,特别审查程序一般应当在90个工作日内完成。A、一致B、不一致C、部分一致D、部分不一致参考答案：B208.网络安全审查办公室认为需要开展网络安全审查的,应当自向当事人发出书面通知之日起个工作日内完成初步审查。A、30B、60C、90D、10参考答案：A209.网络安全审查办公室认为需要开展网络安全审查的,如果应情况复杂,可以延长（）个工作日。A、5B、7C、14D、15参考答案：D210.网络安全等级保护建设的流程是什么？A、定级、备案、监督检查、建设整改、等级测评B、定级、备案、建设整改、等级测评、监督检查C、建设整改、等级测评、监督检查、定级、备案D、等级测评、定级、备案、建设整改、监督检查参考答案：B211.网络安全等级保护第三级信息系统测评过程中，关于数据安全及备份恢复的测评，应检查（）中是否为专用通信协议或安全通信协议服务，避免来自基于通信协议的攻击破坏数据完整性。A、操作系统B、网络设备C、数据库管理系统D、应用系统E、以上均对参考答案：E212.网络安全等级保护2.0正式实施日期是（）。A、2017年6月1日B、2019年12月1日C、2019年12月10日D、2019年5月10日参考答案：B213.通过伪基站接收附近手机发送的数据，是数据窃密者使用的一种隐蔽的窃密手段A、正确B、错误参考答案：A214.通道劫持是指攻击者通过什么方式获取受害者的通信信息?A、中间人代理攻击B、恶意软件感染C、网络钓鱼诈骗D、盗取用户的登录凭据参考答案：A215.提高Apache服务器系统安全性时，下面哪项措施不属于安全配置（）?A、不在Windows下安装Apache，只在Linux和Unix下安装B、安装Apache时，只安装需要的组件模块C、不使用操作系统管理员用户身份运行Apache，而是采用权限受限的专用用户账号来运行D、积极了解Apache的安全通告，并及时下载和更新参考答案：A216.双因素认证是指结合几种认证方式进行身份认证?（）A、一种B、两种C、三种D、四种参考答案：B217.数字中国，最重要的生产要素是〔〕A、资本B、互联网C、高智商劳动力D、数据参考答案：D218.数据在进行传输前，需要由协议自上而下对数据进行封装。TCP/IP协议中数据封装顺序是：互联网络层、网络接口层、传输层。A、正确B、错误参考答案：B219.数据在进行传输前，需要由协议自上而下对数据进行封装。TCP/IP协议中数据封装顺序是：A、传输层、网络接口层、互联网络层B、传输层、互联网络层、网络接口层C、互联网络层、传输层、网络接口层D、互联网络层、网络接口层、传输层参考答案：B220.数据提供部门应当按照（）的原则，负责本部门数据采集、归集、存储、提供、共享、应用和开放等环节的安全管理。A、谁主管、谁负责，谁提供、谁负责B、谁经手、谁负责，谁提供、谁负责C、谁使用、谁负责，谁管理、谁负责D、谁经手、谁负责，谁使用、谁负责参考答案：A221.数据交易应当遵循（）原则。A、自愿原则B、公平原则C、诚信原则D、以上都正确参考答案：D222.数据分类和保护的目的是什么?A、限制员工的数据访问权限B、降低数据存储成本C、简化数据管理过程D、保护敏感信息的安全和隐私参考答案：D223.数据的单位，从小到大依次排序正确的是？A、TB<GB<MB<KBB、MB<GB<TB<PBC、PB<TB<MB<GBD、MB<TB<EB<GB参考答案：B224.数据本地化要求数据服务器位于本法域境内,在境内存储或处理数据。目前,全球多个国家/地区提出了本地化要求,宽严程度有所不同,几种模式交织并行。下列哪一国家不是采用境内存储、处理模式的?（）A、美国B、土耳其C、澳大利亚D、俄罗斯参考答案：D225.数据本地化是数据跨境管理的一种措施,通常理解为某一主权国家/地区,通过制定法律或规则来限制本国/地区数据向境外流动,是对数据出境进行限制的做法之一。下列哪一国家采取的是境内存储副本,对转移或出境无限制的模式?（）A、中国B、印度C、荷兰D、美国参考答案：B226.数据安全责任，按照（）的原则确定。A、谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责、谁采集谁负责B、谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责C、谁所有谁负责、谁持有谁负责、谁管理谁负责D、谁所有谁负责、谁持有谁负责参考答案：A227.数据安全防护要求不包括以下哪项?（）A、建立数据安全管理责任和评价考核制度B、严格控制重要数据的使用、加工、传输、提供和公开等关键环节,并采取加密、脱敏、去标识化等技术手段保护敏感数据安全C、采购网络关键设备和网络安全专用产品目录中的设备产品时,应采购通过国家检测认证的设备和产品。D、因业务需要,确需向境外提供数据的,应当按照国家相关规定和标准进行安全评估参考答案：C228.属性基础访问控制模型（Attribute-BasedAccessControl,ABAC）是基于什么来决定用户对资源的访问权限?A、用户属性B、资源属性C、环境属性D、所有以上参考答案：D229.收到银行升级通知修改密码并给有相关连接地址时（）A、点开链接看看怎么回事B、核对电话号码后发现没有诈骗电话的标记，所以可以点开连接C、诈骗短信直接删除D、转发亲友，一起修改银行口令为数字结合字母（包含大小写）和特殊字符的复杂口令参考答案：C230.事实授权访问控制模型（Fact-BasedAuthorization,FBA）是基于什么来动态决定用户对资源的访问权限?A、用户属性B、用户历史行为和环境信息C、系统管理员D、用户角色参考答案：B231.实施灾难恢复计划之后，组织的灾难前和灾难后运营成本将：A、降低B、不变C、提高D、提高或降低（取决于业务的性质）参考答案：C232.实施《网络安全审查办法》的理念不包括。A、坚持防范网络安全风险与促进先进技术应用相结合B、坚持过程公正透明与知识产权保护相结合C、坚持事前审查与持续监管相结合D、坚持政企合作与人们监督相结合参考答案：D233.实践中常使用软件缺陷密度（Defects/KLPC）来衡量软件的安全性，假设某个软件共有30万行源代码，总共检出150个缺陷，则可以计算出其软件缺陷密度值是（）A、0.0005B、0.05C、0.5D、5参考答案：C234.识别风险要素是风险评估中的一个重要步骤，有关安全要素，请选择一个最合适的选项（）。A、识别面临的风险并赋值B、识别存在的脆弱性并赋值C、制定安全措施实施计划D、检查安全措施有效性参考答案：B235.省级以上人民政府应当将发展纳入本级国民经济和社会发展规划.A、信息经济B、智慧经济C、数字经济D、数据经济参考答案：C236.省级人民政府根据实际需要，应当制定公共数据采集、归集、存储、共享、开放、应用等活动的具体管理办法。A、对B、错参考答案：A237.声纹是生物特征之一，但是不建议利用声纹进行验证，原因是什么？A、可能会有波形拼接方式的攻击攻陷声纹识别系统B、可以利用激光模拟方式攻陷声纹识别系统C、环境噪音会对识别率造成影响D、同一个人的声音易受身体状况、年龄、情绪等的影响，具有易变性E、以上都对参考答案：E238.生物特征认证一般需要经过哪三个过程?（）A、图像采集、特征提取和特征匹配B、用户名和密码、共享密钥和口令、算法C、IC卡和PIN、共享密钥和口令、算法D、随机数值、共享密钥和口令、算法参考答案：A239.生物识别身份验证方法包括以下哪些?A、指纹识别、面部识别、虹膜扫描、声纹识别、手掌识别等B、智能卡、USB密钥等C、用户名和密码或PIND、双因素/多因素身份验证参考答案：A240.什么是系统变更控制中最重要的内容？A、所有的变更都必须文档化，并经过审批B、变更应通过自动化工具来实施C、应维护系统的备份D、通过测试和批准来确保质量参考答案：A241.什么是身份攻击面映射?A、分析组织的身份信息以发现弱点B、监测并响应可疑身份活动C、清除账户接管攻击的弱点D、定位恶意软件感染的账户参考答案：A242.身份信息在传输过程中是否可以被恶意篡改?A、可以B、不可以C、取决于网络环境D、取决于身份客体权限参考答案：A243.身份认证中,如何防止身份信息在传输过程中被恶意篡改?A、完全杜绝恶意篡改是不可能的,只能在身份信息被恶意篡改后,接收端可以检测出来。B、可以加密身份信息,在传输过程中解密验证身份信息。C、可以加密身份信息,传输后由发送端解密验证身份信息。D、只要身份信息正确,就可以防止恶意篡改。参考答案：A244.身份认证是为了确认通信过程中的另一端个体是谁,这个个体可以是哪些类型?A、人B、物体C、虚拟过程D、以上都可以参考答案：D245.身份认证的目的是什么?A、对事物的资质审查B、对事物真实性的确认C、对事物的合法性的确认D、对事物的权限进行确认参考答案：B246.涉密人员离岗、离职前，应当将所保管和使用的国家秘密载体全部清退，并（）。A、登记销毁B、订卷归档C、办理移交手续D、不一定办理移交手续参考答案：C247.社交工程学攻击者主要利用以下哪个因素来欺骗目标?A、技术手段B、社交技巧和人际交往C、网络协议D、数字证书参考答案：B248.社会工程学是一种攻击技术,利用以下哪方面的原理?A、数学B、心理学和社交工程学C、物理学D、经济学参考答案：B249.社会工程学攻击利用人们在社交情境中的固有弱点,例如:A、缺乏技术知识B、不信任任何人C、强密码设置D、物理安全措施参考答案：A250.商用密码清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。A、进口许可和出口管制B、进口许可和出口许可C、进口管制和出口管制D、进口管制和出口许可参考答案：A251.商用密码检测、认证机构违反《中华人民共和国密码法》第二十五条第二款、第三款规定开展商用密码检测认证的,没有违法所得或者违法所得不足三十万元的,可以并处罚款。A、十万元以下B、十万元以上二十万元以下C、二十万元以上三十万元以下D、十万元以上三十万元以下参考答案：D252.若一个组织声称自己的信息安全管理体系符合ISO/TEC27001或GB22080标准要求，其信息安全控制措施不包括哪一项（）A、信息安全方针、信息安全组织、资产管理B、人力资源安全、物理和环境安全、通信和操作管理C、访问控制、信息系统获取、开发和维护、符合性D、规划与创建信息安全管理体系参考答案：D253.若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求。其信息安全控制措施通常需要在物理和环境安全方面实施常规控制。物理和环境安全领域包括安全区域和设备安全两个控制目标。安全区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰。关键或敏感的信息及信息处理设施应放在安全区域内并受到相应保护。该目标可以通过以下控制措施来实现，不包括哪一项A、物理安全边界、物理入口控制B、办公室、房间和设施的安全保护。外部和环境威胁的安全防护C、在安全区域工作。公共访问、交接区安全D、人力资源安全参考答案：D254.若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，其信息安全控制措施通常需要在人力资源安全方面实施常规控制，人力资源安全划分为3个控制阶段，不包括哪一项（）A、任用之前B、任用中C、任用终止或变化D、任用后参考答案：D255.若要系统中每次缺省添加用户时，都自动设置用户的宿主目录为/users,需修改哪一个配置文件？（）A、/etc/default/useraddB、/etc/login.defsC、/etc/shad