2025年全国大学生网络安全知识竞赛题及答案（共60题）

2025年全国大学生网络安全知识竞赛经典题库及答案（共60题）1.以下哪一种数据告缺方式可以保证最高的RPO要求：A．同步复制B．异步复制C．定点拷贝复制D．基于磁盘的复制2.当公司计算机网络受到攻击，进行现场保护应当:1〉指定可靠人员看守2〉无特殊且十分必须原因禁止任何人员进出现场3〉应采取措施防人为地删除或修改现场计算机信息系统保留的数据和其他电子痕迹4〉无行列且十分必须原因禁止任何人员接触现场计算机A．1，2B．1，2，3C．2，3D．1，2，3，4&3.有一些信息安全事件是由于信息系统中多个部分共同作用造成的，人们称这类事件为“多组件事故”，应对这类安全事件最有效的方法是：A．配置网络入侵检测系统以检测某些类型的违法或误用行为B．使用防病毒软件，并且保持更新为最新的病毒特征码C．将所有公共访问的服务放在网络非军事区（DMZ）D.使用集中的日志审计工具和事件关联分析软件4.下列哪项是基于系统的输入、输出和文件的数目和复杂性测量信息系统的大小？A．功能点（FP）B．计划评价与审查技术（PERT）C．快速应用开发（RAD）D．关键路径方法（CPM）5.下面哪一项为系统安全工程能力成熟度模型提供了评估方法？A.ISSEB.SSAMC.SSRD.CEM6.一个组织的系统安全能力成熟度模型达到哪个级别以后，就可以考虑为过程域（PR）的实施提供充分的资源？A．2级――计划和跟踪B．3级――充分定义C．4级――最化控制D．5级――持续改进7.IT工程建设与IT安全工程建设脱节是众多安全风险涌现的根源，同时安全风险也越来越多地体现在应用层。因此迫切需要加强对开发阶段的安全考虑，特别是要加强对数据安全性的考虑，以下哪项工作是在IT项目的开发阶段不需要重点考虑的安全因素？A．操作系统的安全加固B．输入数据的校验C．数据处理过程控制D．输出数据的验证8.以下哪一项对安全风险的描述是准确的？A、安全风险是指一种特定脆弱性利用一种或一组威胁造成组织的资产损失或损害的可能性。B、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失事实。C、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性D、安全风险是指资产的脆弱性被威胁利用的情形。9.以下哪些不属于脆弱性范畴？A、黑客攻击B、操作系统漏洞C、应用程序BUGD、人员的不良操作习惯10.依据信息系统安全保障模型，以下那个不是安全保证对象A、机密性B、管理C、过程D、人员11.在对安全控制进行分析时，下面哪个描述是错误的？A．对每一项安全控制都应该进行成本收益分析，以确定哪一项安全控制是必须的和有效的B．应选择对业务效率影响最小的安全措施C．选择好实施安全控制的时机和位置，提高安全控制的有效性D．仔细评价引入的安全控制对正常业务带来的影响，采取适当措施，尽可能减少负面效应12.以下哪一项不是信息安全管理工作必须遵循的原则？A．风险管理在系统开发之初就应该予以充分考虑，并要贯穿于整个系统开发过程之中B．风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作C．由于在系统投入使用后部署和应用风险控制措施针对性会更强，实施成本会相对较低D．在系统正式运行后，应注重残余风险的管理，以提高快速反应能力13.对于信息系统风险管理描述不正确的是：A.漏洞扫描是整个安全评估阶段重要的数据来源而非全部B．风险管理是动态发展的，而非停滞、静态的C．风险评估的结果以及决策方案必须能够相互比较才可以具有较好的参考意义D．风险评估最重要的因素是技术测试工具14.下列哪一项准确地描述了脆弱性、威胁、暴露和风险之间的关系？A．脆弱性增加了威胁，威胁利用了风险并导致了暴露B．风险引起了脆弱性并导致了暴露，暴露又引起了威胁C．风险允许威胁利用脆弱性，并导致了暴露D．威胁利用脆弱性并产生影响的可能性称为风险，暴露是威胁已造成损害的实例15.统计数据指出，对大多数计算机系统来说，最大的威胁是：A．本单位的雇员B．黑客和商业间谍C．未受培训的系统用户D．技术产品和服务供应商16．风险评估按照评估者的不同可以分为自评和第三方评估。这两种评估方式最本质的差别是什么？A．评估结果的客观性B．评估工具的专业程度C．评估人员的技术能力D．评估报告的形式17.应当如何理解信息安全管理体系中的“信息安全策略”？A．为了达到如何保护标准而提供的一系列建议B．为了定义访问控制需求面产生出来的一些通用性指引C．组织高层对信息安全工作意图的正式表达D．一种分阶段的安全处理结果18.以下哪一个是对人员安全管理中“授权蔓延”这概念的正确理解？A．外来人员在进行系统维护时没有收到足够的监控B．一个人拥有了不是其完成工作所必要的权限C．敏感岗位和重要操作长期有一个人独自负责D．员工由一个岗位变动到另一人岗位，累积越来越多权限19.一个组织中的信息系统普通用户，以下哪一项是不应该了解的？A．谁负责信息安全管理制度的制定和发布B．谁负责都督信息安全制度的执行C．信息系统发生灾难后，进行恢复工作的具体流程&D．如果违反了制度可能受到的惩戒措施20.一上组织财务系统灾难恢复计划声明恢复点目标（RPO）是没有数据损失，恢复时间目标（RTO）是72小时。以下哪一技术方案是满足需求且最经济的？A．一个可以在8小时内用异步事务的备份日志运行起来的热站B．多区域异步更新的分布式数据库系统C．一个同步更新数据和主备系统的热站D．一个同步过程数据拷备、可以48小时内运行起来的混站21.自主访问控制与强制访问控制相比具有以下哪一个优点？A．具有较高的安全性B．控制粒度较大C．配置效率不高D．具有较强的灵活性22.以下关于ChineseWall模型说法正确的是A.Bob可以读银行a的中的数据，则他不能读取银行c中的数据B.模型中的有害客体是指会产生利益冲突，不需要限制的数据C.Bob可以读银行a的中的数据，则他不能读取石油公司u中的数据D.Bob可以读银行a的中的数据，Alice可以读取银行b中的数据，他们都能读取在油公司u中的数据，由则Bob可以往石油公司u中写数据23.以下关于BLP模型规则说法不正确的是：A．BLP模型主要包括简单安全规则和*-规则B．*-规则可以简单表述为下写C．主体可以读客体，当且仅当主体的安全级可以支配客体的安全级，且主体对该客体具有自主型读权限D．主体可以读客体，当且仅当客体的安全级可以支配主体的安全级，且主体对该客体具有自主型读权限24.以下关于RBAC模型说法正确的是：A．该模型根据用户所担任的角色和安全级来决定用户在系统中的访问权限B．一个用户必须扮演并激活某种角色，才能对一个象进行访问或执行某种操作C．在该模型中，每个用户只能有一个角色D．在该模型中，权限与用户关联，用户与角色关联25.下列对常见强制访问控制模型说法不正确的是：A．BLP影响了许多其他访问控制模型的发展B．Clark-Wilson模型是一种以事物处理为基本操作的完整性模型C．ChineseWall模型是一个只考虑完整性的安全策略模型D．Biba模型是一种在数学上与BLP模型对偶的完整性保护模型26.访问控制的主要作用是：A.防止对系统资源的非授权访问B.在安全事件后追查非法访问活动C.防止用户否认在信息系统中的操作D.以上都是27.作为一名信息安全专业人员，你正在为某公司设计信息资源的访问控制策略。由于该公司的人员流动较大，你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限，最应该采用下列哪一种访问控制模型？A．自主访问控制（DAC）B．强制访问控制(MAC)C．基于角色访问控制(RBAC)D．最小特权(LEASTPrivilege)28.下列对kerberos协议特点描述不正确的是：A.协议采用单点登录技术，无法实现分布式网络环境下的认证—B.协议与授权机制相结合，支持双向的身份认证C.只要用户拿到了TGT并且TGT没有过期，就可以使用该TGT通过TGS完成到任一个服务器的认证而不必重新输入密码D.AS和TGS是集中式管理，容易形成瓶颈，系统的性能和安全也严重依赖于AS和TGS的性能和安全29.以下对单点登录技术描述不正确的是：A．单点登录技术实质是安全凭证在多个用户之间的传递或共享B．使用单点登录技术用户只需在登录时进行一次注册，就可以访问多个应用C．单点登录不仅方便用户使用，而且也便于管理D．使用单点登录技术能简化应用系统的开发30.下列对标识和鉴别的作用说法不正确的是：A.它们是数据源认证的两个因素B.在审计追踪记录时，它们提供与某一活动关联的确知身份C.标识与鉴别无法数据完整性机制结合起来使用D.作为一种必要支持，访问控制的执行依赖于标识和鉴别确知的身份31.下面哪一项不属于集中访问控制管理技术？A．RADIUSB．TEMPESTC．TACACSD．Diameter32.安全审计是系统活动和记录的独立检查和验证，以下哪一项不是审计系统的作用？A．辅助辨识和分析未经授权的活动或攻击B．对与已建立的安全策略的一致性进行核查C．及时阻断违反安全策略的致性的访问D．帮助发现需要改进的安全控制措施33.下列对蜜网关键技术描述不正确的是：A.数据捕获技术能够检测并审计黑客的所有行为数据B.数据分析技术则帮助安全研究人员从捕获的数据中分析出黑客的具体活动，使用工具及其意图C.通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全D.通过数据控制、捕获和分析，能对活动进行监视、分析和阻止34.以下哪种无线加密标准中哪一项的安全性最弱？A．WepB．wpaC．wpa2D．wapi35.路由器的标准访问控制列表以什么作为判别条件？A.数据包的大小B.数据包的源地址C.数据包的端口号D.数据包的目的地址36.通常在设计VLAN时，以下哪一项不是VIAN规划方法？A．基于交换机端口B．基于网络层协议C．基于MAC地址D．基于数字证书37.防火墙中网络地址转换（MAT）的主要作用是：A．提供代理服务B．隐藏内部网络地址C．进行入侵检测D．防止病毒入侵38.哪一类防火墙具有根据传输信息的内容（如关键字、文件类型）来控制访问连接的能力？A．包过滤防火墙B．状态检测防火墙C．应用网关防火墙D．以上都不能39.以下哪一项不属于入侵检测系统的功能？A．监视网络上的通信数据流B．捕捉可疑的网络活动C．提供安全审计报告D．过滤非法的数据包40.下面哪一项不是通用IDS模型的组成部分:A.传感器B.过滤器C.分析器D.管理器41.windows操作系统中,令人欲限制用户无效登录的次数,应当怎么做?A.在”本地安全设置”中对”密码策略”进行设置B.在”本地安全设置”中对”用户锁定策略”进行设置C.在”本地安全设置”中对”审核策略”进行设置D.在”本地安全设置”中对”用户权利措施”进行设置42.下列哪一项与数据库的安全的直接关系？A.访问控制的程度B．数据库的大小C．关系表中属性的数量D．关系表中元组的数量43.ApacheWeb服务器的配置文件一般位于//local/spache/conf目录.其中用来控制用户访问Apache目录的配置文件是:A.httqd.confB.srm.confC.access.confD.inetd.conf44.关于计算机病毒具有的感染能力不正确的是:A.能将自身代码注入到引导区B.能将自身代码注入到限区中的文件镜像C.能将自身代码注入文本文件中并执行D.能将自身代码注入到文档或模板的宏中代码45.蠕虫的特性不包括:A.文件寄生B.拒绝服务C.传播快D.隐蔽性好46.关于网页中的恶意代码,下列说法错误的是:A.网页中的恶意代码只能通过IE浏览器发挥作用B.网页中的恶意代码可以修改系统注册表C.网页中的恶意代码可以修改系统文件D.网页中的恶意代码可以窃取用户的机密文件47.当用户输入的数据被一个解释器当作命令或查询语句的一部分执行时,就会产生哪种类型的漏洞?A.缓冲区溢出B.设计错误C.信息泄露D.代码注入48.下列哪一项不是信息安全漏洞的载体?A.网络协议B.操作系统C.应用系统D.业务数据49.攻击者使用伪造的SYN包,包的源地址和目标地址都被设置成被攻击方的地址,这样被攻击方会给自己发送SYN-ACK消息并发回ACK消息,创建一个连接,每一个这样的连接都将保持到超时为止,这样过多的空连接会耗尽被攻击方的资源,导致拒绝服务.这种攻击称为之为:A.Land攻击B.Smurf攻击C.PingofDeath攻击D.ICMPFlood50.以下哪个攻击步骤是IP欺骗(IPSPoof)系列攻击中最关键和难度最高的?A.对被冒充的主机进行拒绝服务,使其无法对目标主机进行响应B.与目标主机进行会话,猜测目标主机的序号规则C.冒充受信主机想目标主机发送数据包,欺骗目标主机D.向目标主机发送指令,进行会话操作51.以下针对Land攻击的描述,哪个是正确的?A.Land是一种针对网络进行攻击的方式,通过IP欺骗的方式向目标主机发送欺骗性数据报文,导致目标主机无法访问网络B.Land是一种针对网络进行攻击的方式,通过向主机发送伪造的源地址为目标主机自身的连接请求,导致目标主机处理错误形成拒绝服务C.Land攻击是一种利用协议漏洞进行攻击的方式,通过发送定制的错误的数据包使主机系统处理错误而崩溃D.Land是一种利用系统漏洞进行攻击的方式,通过利用系统漏洞发送数据包导致系统崩溃52.下列对垮站脚本攻击(XSS)描述正确的是:A.XSS攻击指的是恶意攻击者往WEB页面里插入恶意代码,当用户浏览该页之时,嵌入其中WEB里面的代码会被执行,从而达到恶意攻击用户的特殊目的.B.XSS攻击是DDOS攻击的一种变种C.XSS.攻击就是CC攻击D.XSS攻击就是利用被控制的机器不断地向被网站发送访问请求,迫使NS连接数超出限制,当CPU资源或者带宽资源耗尽,那么网站也就被攻击垮了,从而达到攻击目的53.下列哪一项不属于FUZZ测试的特性?A.主要针对软件漏洞或可靠性错误进行测试.B.采用大量测试用例进行激励响应测试C.一种试探性测试方法,没有任何依据&D.利用构造畸形的输入数据引发被测试目标产生异常54.对攻击面(Attacksurface)的正确定义是:A.一个软件系统可被攻击的漏洞的集合,软件存在的攻击面越多,软件的安全性就越低B.对一个软件系统可以采取的攻击方法集合,一个软件的攻击面越大安全风险就越大C.一个软件系统的功能模块的集合,软件的功能模块越多,可被攻击的点也越多,安全风险也越大D.一个软件系统的用户数量的集合,用户的数量越多,受到攻击的可能性就越大,安全风险也越大55.以下哪个不是软件安全需求分析阶段的主要任务?A.确定团队负责人和安全顾问B.威胁建模C.定义安全和隐私需求(质量标准)D.设立最低安全标准/Bug栏56.风险评估方法的选定在PDCA循环中的那个阶段完成？A.实施和运行B.保持和改进C.建立D.监视和评审57.