信息安全技术模拟试题与答案

信息安全技术模拟试题与答案一、单选题（共100题，每题1分，共100分）1.Web安全防护技术不包括A、服务器端安全防护B、客户端安全防护C、虚拟机查杀技术D、通信信道安全防护正确答案：C2.证书的验证需要对证书的三个信息进行确认。下列选项不包括在其中的是()。A、验证有效性，即证书是否在证书的有效使用期之内B、验证可用性，即证书是否已废除C、验证真实性，即证书是否为可信任的CA认证中心签发D、验证保密性,即证书是否由CA进行了数字签名正确答案：D3.IPSec协议属于()。A、第三层隧道协议B、介于二、三层之间的隧道协议C、传输层的VPN协议D、第二层隧道协议正确答案：A4.下列关于信息安全管理体系认证的描述中，错误的是()。A、信息安全管理体系第三方认证，为组织机构的信息安全体系提供客观评价B、每个组织都必须进行认证C、认证可以树立组织机构的信息安全形象D、满足某些行业开展服务的法律要求正确答案：B答案解析：引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。通过进行信息安全管理体系认证，可以增进组织间电子电子商务往来的信用度，能够建立起网站和贸易伙伴之间的互相信任，但不是所以的组织都必须进行认证,故B选项说法错误。通过认证能保证和证明组织所有的部门对信息安全的承诺。获得国际认可的机构的认证证书，可得到国际上的承认，拓展您的业务。建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位;定期的监督审核将确保组织的信息系统不断地被监督和改善，并以此作为增强信息安全性的依据,信任、信用及信心，使客户及利益相关方感受到组织对信息安全的承诺。故选择B选项。5.下列软件中，采用软件动静结合安全检测技术的是()。A、BitBlazeB、IDAproC、OllyDbgD、SoftICE正确答案：A6.下列选项中，不属于数据库渗透测试的是A、发现数据库服务端口B、监听器安全特性分析C、用户名和密码渗透D、漏洞分析正确答案：A7.风险管理的第一一个任务是()。A、风险制约B、风险控制C、风险识别D、风险挖掘正确答案：C8.灾难恢复中，可用于恢复持续性之外的其他意图的选项,不包括A、数据库镜像B、远程日志C、即时监控D、电子拱桥正确答案：C9.信息安全的发展大致经历了三个阶段。下列选项中，不属于这三个阶段的是A、通信保密阶段B、计算机安全阶段C、互联网使用阶段D、信息安全保障阶段正确答案：C10.有关UNIX/Linux系统安全,说法错误的是()。A、last命令用于显示上一个执行过的命令B、UNIX系统使用了可插入认证模块PAM进行认证登录C、文件系统安全是UNIX/Linux系统安全的核心D、不要随意把rootshell留在终端上正确答案：A答案解析：A选项错误，last命令用于显示最近登录系统的用户信息，而不是上一个执行过的命令。B选项正确，UNIX系统使用了可插入认证模块PAM进行认证登录，PAM提供了一种灵活的方式来进行认证，可以通过配置文件来选择使用哪种认证方式。C选项正确，文件系统安全是UNIX/Linux系统安全的核心，因为文件系统是系统中最重要的资源之一，也是攻击者最常攻击的目标之一。D选项正确，不要随意把rootshell留在终端上，因为这样会增加系统被攻击的风险，建议使用sudo命令来执行需要root权限的操作。11.对非法webshell控制网站服务器的防范措施,不包括()。A、遵循Web安全编程规范,编写安全的网站页面B、部署专用的Web防火墙C、进行安全的Web权限配置和管理D、全面检测系统的注册表、网络连接、运行的进程正确答案：D12.下列关于自主访问控制的说法中,错误的是()。A、系统中的访问控制矩阵本身通常不被完整地存储，因为矩阵中的许多元素常常为空B、自主访问控制模型的实现机制是通过访问控制矩阵实施的，而具体的实现办法则是通过访问能力表或访问控制表来限定哪些主体针对哪些客体可以执行什么操作C、基于矩阵的列的访问控制信息表示的是访问能力表，即每个客体附加一个它可以访问的主体的明细表D、由于分布式系统中很难确定给定客体的潜在主体集,在现代操作系统中访问能力表也得到广泛应用正确答案：C13.国家信息安全漏洞共享平台的英文缩写为A、CNVDB、CNCERTC、CNNVDD、NVD正确答案：A14.系统安全维护的正确步骤是()。A、报告错误，报告错误报告，处理错误B、报告错误，处理错误，处理错误报告C、处理错误，报告错误，处理错误报告D、发现错误，处理错误，报告错误正确答案：B15.GB/T22239标准(《信息系统安全等级保护基本要求》)提出和规定了对不同安全保护等级信息系统的最低保护要求，称为A、基本安全要求B、基本保护要求C、最高安全要求D、最高保护要求正确答案：A16.深入数据库之内,对数据库内部的安全相关对象进行完整的扫描和检测，即()。A、内部安全检测B、端口扫描C、渗透测试D、服务发现正确答案：A17.在定义ISMS的范围时，为了使ISMS定义得更加完整,组织机构无需重点考虑的实际情况是A、资产状况B、组织机构现有部门C、处所D、发展规划正确答案：D18.在信息资产管理中，标准信息系统的因特网组件不包括()。A、电源B、网络设备(路由器、集线器、交换机)C、服务器D、保护设备(防火墙、代理服务器)正确答案：A19.建立完善的信息安全管理体系(ISMS)要求体现A、处理及时为主的思想B、最小代价为主的思想C、事先评估为主的思想D、预防控制为主的思想正确答案：D20.下列选项中，属于信息安全问题产生内在根源的是A、互联网的开放性B、恶意代码攻击C、非授权的访问D、物理侵入正确答案：A21.违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处以几年以下有期徒刑或者拘役A、5年B、7年C、10年D、3年正确答案：A22.下列有关TCP标志位的说法中，错误的是A、ACK标志位说明确认序号字段有效B、PSH标志位表示出现差错，必须释放TCP连接重新建立新连接C、FIN标志位用于释放TCP连接D、SYN标志位说明建立一个同步连接正确答案：B答案解析：本题考查TCP协议中标志位的作用和含义。根据TCP协议的规定，正确的说法应该是：A.ACK标志位用于确认序号字段有效，表示已经收到对方发送的数据。B.PSH标志位表示紧急数据，需要立即传输，但并不表示出现差错需要重新建立连接。C.FIN标志位用于释放TCP连接，表示数据传输已经完成。D.SYN标志位用于建立一个同步连接，表示通信双方已经同步。因此，选项B是错误的，应该是PSH标志位表示紧急数据，需要立即传输，但并不表示出现差错需要重新建立连接。23.进行信息安全风险评估时，所采取的评估措施应与组织机构对信息资产风险的保护需求相一致。具体的风险评估方法有A、四种B、三种C、一种D、二种正确答案：B24.两个通信终端用户在一次交换数据时所采用的密钥是A、根密钥B、人工密钥C、主密钥D、会话密钥正确答案：D25.发表于1949年的《保密系统的通信理论》把密码学置于坚实的数学基础之上，标志着密码学形成一门学科。该论文的作者是A、ShannonB、DiffieC、HellmanD、Caesar正确答案：A答案解析：香农26.信息系统的安全保护等级由两个定级要素决定,它们是()。A、等级保护对象受到破坏时所造成的社会影响;对客体造成侵害的程度B、等级保护对象受到的破坏行为的恶劣程度;对客体造成侵害的程度C、等级保护对象受到破坏时所侵害的客体;对客体造成侵害的程度D、等级保护对象受到破坏时所导致的经济损失;对客体造成侵害的程度正确答案：C27.有关UNIX/Linux系统安全,说法错误的是A、users命令用来管理和维护系统的用户信息B、UNIX系统使用了可插入认证模块PAM进行认证登录C、不要随意把rootshell留在终端上D、除非必要，避免以超级用户登录正确答案：A答案解析：A选项错误，users命令用来显示当前登录系统的用户信息，而不是管理和维护系统的用户信息。B选项正确，UNIX系统使用了可插入认证模块PAM进行认证登录，PAM提供了一种灵活的方式来进行身份验证，可以使用多种身份验证方式。C选项正确，不要随意把rootshell留在终端上，因为这样会增加系统被攻击的风险。D选项正确，除非必要，避免以超级用户登录，因为超级用户拥有系统的最高权限，一旦被攻击者获取了超级用户的权限，将会对系统造成极大的威胁。综上所述，选项A是错误的。28.物理与环境安全中，目前经常采用的视频监视系统是A、闭路电视监视系统B、卫星监视系统C、红外监视系统D、无线监视系统正确答案：A答案解析：本题考查的是物理与环境安全中常用的视频监视系统。选项中，卫星监视系统和红外监视系统虽然也可以用于监视，但并不是目前常用的视频监视系统。无线监视系统虽然也有应用，但由于其信号容易受到干扰，不够稳定，因此也不是目前常用的视频监视系统。而闭路电视监视系统是目前应用最广泛的视频监视系统，因此选项A正确。29.下列选项中，不属于木马隐藏技术的是()。A、端口反弹B、线程插入C、DLL劫持D、Rootkit技术正确答案：A30.信息安全的发展大致经历了三个阶段。下列选项中，不属于这三个阶段的是A、通信保密阶段B、计算机安全阶段C、信息安全保障阶段D、互联网使用阶段正确答案：D答案解析：本题考查的是信息安全的发展历程，需要考生对信息安全的发展有一定的了解。根据题目所述，信息安全的发展大致经历了三个阶段，分别是通信保密阶段、计算机安全阶段和信息安全保障阶段。因此，选项A、B、C都属于信息安全的发展阶段。而选项D“互联网使用阶段”并不是信息安全的发展阶段，因此选D。31.代码混淆技术,不包括()。A、数据变换B、词法转换C、控制流转换D、功能转换正确答案：D32.技术层面和管理层面的良好配合,是组织机构实现网络与信息安全系统的有效途径。其中，管理层面实现的途径是A、配备适当的安全产品B、建设安全的主机系统C、建设安全的网络系统D、构架信息安全管理体系正确答案：D33.美国第一个用于军事目的的计算机网络ARPAnet出现在A、20世纪60年代末B、20世纪70年代末C、20世纪80年代末D、20世纪90年代末正确答案：A34.完成用户代码请求操作系统服务的过程，所采用的方法是A、显示执行自陷指令B、异常C、系统调用D、中断正确答案：C35.Linux系统启动后执行第一个进程是A、bootB、sysiniC、initD、login正确答案：C36.香农的论文《保密系统的通信理论》用信息论的观点对保密问题进行了论述,是信息安全发展的里程碑，这篇论文发表在()。A、1965年B、1976年C、1949年D、1977年正确答案：C37.《信息系统安全保护等级划分准则》提出的定级四要素不包括A、业务自动化处理程度B、信息系统服务范围C、信息系统所属类型D、用户类型正确答案：D38.下列选项中,不应被列为国家秘密的是()。A、国防建设和武装力量活动中的秘密事项B、企业的商用信息C、科学技术中的秘密事项D、国民经济和社会发展中的秘密事项正确答案：B答案解析：国家秘密是指关系国家的安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知情的事项,如:国防建设和武装力量活动中的秘密事项、科学技术中的秘密事项、国民经济和社会发展中的秘密事项。企业的商用信息不应被列为国家秘密。故选择B选项。39.风险评估主要依赖的因素，不包括A、所采用的系统环境B、使用信息的商业目的C、商业信息和系统的性质D、灾难恢复策略正确答案：D答案解析：本题考查的是风险评估的主要依赖因素，不包括哪一项。风险评估是指对信息系统中的各种威胁和漏洞进行评估，以确定系统的安全性和可靠性。而风险评估主要依赖于系统环境、商业信息和系统的性质以及使用信息的商业目的等因素。因此，选项A、B、C都是风险评估的主要依赖因素，而选项D灾难恢复策略并不是风险评估的主要依赖因素，故选D。40."泄露会使国家安全和利益遭受特别严重的损害”的保密级别是A、秘密级国家秘密B、机密级国家秘密C、绝密级国家秘密D、一般级国家秘密正确答案：C41.下列关于集中式访问控制的描述中，错误的是()。A、RADIUS协议本身存在一些缺陷，包括基于UDP的传输、简单的丢包机制、没有关于重传的规定和集中式审计服务等B、TACACS+使用传输控制协议TCP,而RADIUS使用用户数据报协议UDPC、如果进行简单的用户名/密码认证,且用户只需要一个接受或拒绝即可获得访问,TACACS+是最适合的协议D、Diameter协议是RADIUS协议的升级版本，是最适合未来移动通信系统的AAA协议正确答案：C42.当用户双击自己Web邮箱中邮件的主题时，触发了邮件正文页面中的XSS漏洞，这种XSS漏洞属于()。A、反射型XSSB、存储型XSSC、CSRF-basedXSSD、DOM-basedXSS正确答案：B43.下列选项中，ESP协议不能对其进行封装的是()。A、应用层协议B、传输层协议C、网络层协议D、链路层协议正确答案：D答案解析：ESP协议主要设计在IPv4和IPv6中提供安全服务的混合应用。1ESP通过加密需要保护的数据以及在ESP的数据部分放置这些加密的数据来提供机密性和完整性。且ESP加密采用的是对称密钥加密算法,能够提供无连接的数据完整性验证、数据来源验证和抗重放攻击服务。根据用户安全要求,这个机制既可以用于加密一个传输层的段(如:TCP、UDP、ICMP、IGMP)，也可以用于加密一整个的IP数据报。封装受保护数据是非常必要的,这样就可以为整个原始数据报提供机密性,但是，ESP协议无法封装链路层协议。故选择D选项。44.BS7799是依据英国的工业、政府和商业共同需求而制定的一一个标准，它分为两部分:第一部分为“信息安全管理事务准则”，第二部分为()。A、信息安全管理系统的规范B、信息安全管理系统的法律C、信息安全管理系统的技术D、信息安全管理系统的设备正确答案：A45.利用ICMP协议进行扫描时，可以扫描的目标主机信息是()。A、IP地址B、操作系统版本C、漏洞D、弱口令正确答案：A46.TCP的端口号范围是A、0-65535B、0-10240C、0-25500D、0-49958正确答案：A47.下列关于Kerberos协议的说法中，错误的是()。A、支持单点登录B、支持双向的身份认证C、身份认证采用的是非对称加密机制D、通过交换"跨域密钥”实现分布式网络环境下的认证正确答案：C答案解析：Kerberos协议是一种网络认证协议，用于在计算机网络上进行身份验证。下列关于Kerberos协议的说法中，错误的是C选项。Kerberos协议采用的是对称加密机制，而不是非对称加密机制。对称加密机制是指加密和解密使用相同的密钥，而非对称加密机制则是使用一对密钥，即公钥和私钥。Kerberos协议通过交换"跨域密钥"实现分布式网络环境下的认证，支持单点登录和双向的身份认证。因此，选项C是错误的。48.不属于对称密码的是A、DESB、AESC、IDEAD、MD5正确答案：D49.在风险管理中，应采取适当的步骤,以确保机构信息系统具备三个安全特性。下列选项不包括在其中的是()。A、完整性B、坚固性C、有效性D、机密性正确答案：B50.下列工具中，不支持对IP地址进行扫描的是A、SuperscanB、NmapC、PingD、Wireshark正确答案：D51.有关数据库安全，下列说法错误的是A、CREATEUSER命令中如果没有指定创建的新用户的权限，默认该用户拥有CONNECT权限B、为一组具有相同权限的用户创建一个角色，使用角色来管理数据库权限可以简化授权的过程C、视图机制的安全保护功能太不精细，往往不能达到应用系统的要求,其主要功能在于提供了数据库的逻辑独立性D、防火墙能对SQL注入漏洞进行有效防范正确答案：D52.数据库内部大量内置函数和过程的安全漏洞的重要特征是A、每个安全漏洞只存在于相应的某个具体版本B、根据版本号判断安全漏洞会存在误判的可能C、数据库安装漏洞补丁后,版本表中的版本号不会随着改变D、不同版本的安全漏洞具有不同的特征正确答案：A53.下列关于残留风险的描述中，错误的是A、可能降低了通过安全措施保护资产价值的效果B、信息安全的目标是把残留风险降低为零C、即使各种机构尽可能地控制漏洞，依然有风险未能排除和缓解D、信息安全的目标是把残留风险降低在可以判定的范围内正确答案：B54.下列选项中，不属于Windows系统进程管理工具的是()。A、任务管理器B、本地安全策略C、Msinfo32D、DOS命令行正确答案：B55.信息技术安全评价通用标准(CC)，是由六个国家联合提出，并逐渐形成国际标准A、ISO13335B、ISO17799C、ISO15408D、GB18336正确答案：C56.Nmap支持的扫描功能是A、软件漏洞扫描B、端口扫描C、Web漏洞扫描D、网络漏洞扫描正确答案：B57.有关信息安全管理体系(ISMS)构架的具体实施,不包括A、安全事件记录、回馈B、安全宣传手册发放C、文档的严格管理D、建立相关文档正确答案：B58.产生认证码的方法不包括A、消息认证码B、哈希函数C、消息加密D、消息摘要正确答案：D59.信息安全管理体系是一个系统化、程序化和文件化的管理体系,它所属的范畴是A、风险管理B、风险识别C、风险评估D、风险控制正确答案：A60.下列组件中，典型的PKI系统不包括()。A、CAB、RAC、CDSD、LDAP正确答案：C答案解析：一个简单的PKI系统包括证书机构CA、注册机构RA和相应的PKI存储库。CA用于签发并管理证书;RA可作为CA的一部分，也可以独立，其功能包括个人身份审核、CRL管理、密钥产生和密钥对备份等;PKI存储库包括LDAP目录服务器和普通数据库，用于对用户申请、证书、密钥、CRL和日志等信息进行存储和管理，并提供--定的查询功能。故选择C选项。61.IATF将信息系统的信息保障技术层面划分为四个技术框架焦点域。下列选项中，不包含在该四个焦点域中的是()。A、本地计算环境B、资产C、域边界D、支撑性基础设施正确答案：B62.在信息资产管理中,不属于标准信息系统因特网组件的是A、保护设备(如防火墙、代理服务器)B、不间断电源C、网络设备(如路由器、集线器、交换机)D、服务器正确答案：B63.为判断目标主机是否连通，ping命令利用的是A、ICMP协议B、echo协议C、telnet协议D、DNS协议正确答案：A64.下列选项中，不属于诱骗式攻击手段的是A、网站挂马B、社会工程C、钓鱼网站D、漏洞利用正确答案：D65.国际信息安全标准化组织不包括A、ISOB、IETFC、ITUD、WTO正确答案：D答案解析：本题考查的是国际信息安全标准化组织（ISO）的相关知识。ISO是国际标准化组织的缩写，是一个非政府、非营利的国际标准化组织，致力于制定和推广各种标准，包括信息安全标准。而IETF（InternetEngineeringTaskForce）是互联网工程任务组，是一个开放的国际社区，致力于制定和推广互联网标准。ITU（InternationalTelecommunicationUnion）是国际电信联盟，是一个联合国专门机构，致力于推广电信和信息通信技术的发展。因此，选项A、B、C都是与ISO相关的组织，而选项DWTO（WorldTradeOrganization）是世界贸易组织，与ISO无关，故选D。66.中国信息安全测评中心的英文缩写是A、CNITSECB、ITUC、ISO/IECJTC1D、IETF正确答案：A67.除去奇偶校验位,DES算法密钥的有效位数是()。A、64B、128C、56D、168正确答案：C68.使用Caesar密码，k取值为3,则对明文"meetmeafterthetogaparty"加密得到的密文是A、phhwphdiwhuwkhwrjdsduwbB、phhphdiwhuwkhwrjdsouwbwC、phophdiwhuwkhwrjdsouwwbD、phowphdiwhuwkhwrjdsouwb正确答案：A69.使用Caesar密码，k取值为4,对明文"passwordisroot"加密得到的密文是()。A、tewwasvhmwvssxB、tewwasvimwvssyC、tewwasvimwvsshD、tewwasyumwvssy正确答案：A70.关系数据库系统中的所有数据以表格的方式来描述，每一个数据表又可以称为A、视图B、模型C、关系D、角色正确答案：C71.《刑法》有关信息安全犯罪的规定第285条:违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的。A、处3年以下有期徒刑或拘役B、处5年以下有期徒刑或拘役C、处5年以上有期徒刑D、处3年以上有期徒刑正确答案：A72.下列关于信息安全管理基本技术要求所涉及的五个层面的描述中，正确的是()。A、物理安全、网络安全、主机安全、应用安全和数据安全B、物理安全、网络安全、主机安全、协议安全和数据安全C、路由安全、网络安全、主机安全、协议安全和数据安全D、路由安全、网络安全、主机安全、应用安全和数据安全正确答案：A73.关于SEHOP,说法错误的是A、SEHOP是微软针对SEH攻击提出的一种安全防护方案B、SEHOP通过对程序中使用的SEH结构进行安全检测，判断应用程序是否遭受SEH攻击C、SEHOP是Windows异常处理机制中所采用的重要数据结构链表D、SEHOP的核心是检测程序栈中的所有SEH结构链表的完整性正确答案：C74.不能通过消息认证技术解决的攻击是A、计时修改B、顺序修改C、内容修改D、泄密正确答案：D75.下列选项中，不属于信息安全风险评估基本方法的是()。A、长远风险评估B、基本风险评估C、基本风险评估和详细风险评估相结合D、详细风险评估正确答案：A76.P2DR模型:是美国ISS公司提出的动态网络安全体系的代表模型。在该模型的四个组成部分中,核心是()。A、策略B、防护C、检测D、响应正确答案：A答案解析：P2DR模型包括四个主要部分:Policy(策略)、Protection(防护)、Detection(检测)和Response(响应)，在整体的安全策略的控制和指导下，在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时，利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态，通过适当的反应将系统调整到“最安全"和"风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环，在安全策略的指导下保证信息系统的安全。故选择A选项。77.CC标准是信息技术安全评价的国际标准，我国与之对应的标准为A、GB/T17895B、GB/T18336C、GB/T22240D、GB/T2223正确答案：B78.有关Kerberos协议，下列说法错误的是A、支持单点登录B、支持双向的身份认证C、身份认证采用的是非对称加密机制D、是一种非集中访问控制方法正确答案：C答案解析：Kerberos协议是一种网络认证协议，用于在计算机网络上进行身份验证。下列说法错误的是“身份认证采用的是非对称加密机制”。实际上，Kerberos协议采用的是对称加密机制，即客户端和服务器之间共享一个密钥，用于加密和解密通信过程中的数据。因此，选项C是错误的。其他选项都是正确的，即Kerberos协议支持单点登录、支持双向的身份认证，且是一种集中访问控制方法。79.下列关于堆和栈的描述中，正确的是A、栈在内存中的增长方向是从低地址向高地址增长B、堆在内存中的增长方向是从高地址向低地址增长C、栈是一个先进先出的数据结构D、堆在内存中的增长方向是从低地址向高地址增长正确答案：D80.访问控制管理的重要组成部分，不包括()。A、系统监控B、账户跟踪C、操作审计D、日志备份正确答案：D81.Ping命令利用的是A、ICMP协议B、TCP协议C、UDP协议D、SNMP协议正确答案：A82.风险分析主要分为A、定量风险分析和定性风险分析B、客观风险分析和主观风险分析C、内部风险分析和外部风险分析D、技术的风险分析和管理的风险分析正确答案：A答案解析：本题考察风险分析的分类。风险分析是指对可能发生的风险进行识别、评估和控制的过程。根据分析方法的不同，风险分析主要分为定量风险分析和定性风险分析两种。定量风险分析是指通过数学模型和统计方法对风险进行量化分析，得出风险的概率和影响程度等指标，以便进行决策。定性风险分析是指根据专家经验和判断，对风险进行主观评估和描述，以便确定风险的性质和影响程度。因此，选项A正确，其他选项均不符合风险分析的分类。83.对传送的会话或文件密钥进行加密时，采用的密钥是A、对称密钥B、非对称密钥C、密钥加密密钥D、会话密钥正确答案：C84.违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机系统，处有期徒刑A、5年以下B、4年以下C、2年以下D、3年以下正确答案：D85.下列关于IPS系统的描述中，错误的是A、对网络流量监测的同时进行过滤B、实现对传输内容的深度检测和安全防护C、拦截黑客攻击、蠕虫、网络病毒等恶意流量D、控制台以串联方式部署在网络中以实现网络数据的拦截正确答案：D86.微软的SDL模型中，通过教育培训培养开发团队员工的安全意识，属于A、第0阶段:准备阶段B、第1阶段:项目启动阶段C、第2阶段:定义需要遵守的安全设计原则D、第3阶段:产品风险评估正确答案：A87.下列选项中，不属于代码混淆技术的是A、词法转换B、软件水印C、数据转换D、控制流转换正确答案：B88.下列选项中，不属于应急计划三元素的是()。A、基本风险评估B、事件响应C、灾难恢复D、业务持续性计划正确答案：A答案解析：应急计划三元素是事件响应、灾难恢复、业务持续性计划。基本风险评估预防风险,而应急计划则是当风险发生时采取的措施。故选择A选项。89.下列选项中，被称为半连接扫描的端口扫描技术是A、TCP全连接扫描B、TCPSYN扫描C、TCPFIN扫描D、ICMP扫描正确答案：B90.有关数据库安全,说法错误的是A、一个大学管理员在工作中只需要能够更改学生的联系信息，不过他可能会利用过高的数据库更新权限来更改分数,这种威胁是合法的特权滥用B、SQL注入攻击可以不受限制地访问整个数据库，也可以达到控制服务器的目的C、攻击者可以利用数据库平台软件的漏洞将普通用户的权限转换为管理员权限D、薄弱的身份验证方案可以使攻击者窃取或以其它方法获得登录凭据，从而获取合法的数据库用户的身份正确答案：A91.有关数据库安全，说法错误的是A、通过视图机制把要保密的数据对无权存取这些数据的用户隐藏起来，从而自动地对数据提供一定程度的安全保护B、为了避免SQL注入，在设计