2018年“两化融合”网络安全技术比武题库大全

更新时间:2023-11-16 08:27:01 阅读量: 教育文库 文档下载

说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。

2018年“两化融合”网络安全技术比武题库

(题目总数500+,共40329字,附标准答案)

一、单选题(200道)

1. 数据保密性指的是 ( A )

A. 保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密 B. 提供连接实体身份的鉴别

C. 防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方发送的信息

完全一致

D. 确保数据数据是由合法实体发出的

2. ( A )包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系

方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 A. 个人信息 B. 个人敏感信息 C. 个人保密信息 D. 公开信息

3. 使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征

模型, 称为(D )。 A. 直接用户 B. 直接用户画像 C. 间接用户 D. 间接用户画像

4. 数据在存储或传输时不被修改、破坏,或数据包的丢失、乱序等指的是( A )

A. 数据完整性 B. 数据一致性 C. 数据同步性 D. 数据源发性

5. 《信息系统灾难恢复规范》中正常情况下支持组织日常运作的信息系统。包括主数据、

主数据处理系统和( C)。 A. 主应用

B. 主流程 C. 主网络 D. 主软件

6. 计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中

的_______,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。( B ) A.经济价值 经济损失 B.重要程度 危害程度 C.经济价值 危害程度 D.重要程度 经济损失

7. 对拟确定为( D)以上信息系统的,运营、使用单位或者主管部门应当请国家信息安

全保护等级专家评审委员会评审。 A.第一级 B.第二级 C.第三级 D.第四级

8. 人为或自然的威胁利用信息系统及其管理体系中存在的(D )导致安全事件的发生。

A. 完整性 B. 可行性 C. 可靠性 D. 脆弱性

9. 信息系统建设完成后,(A )的信息系统的运营使用单位应当选择符合国家规定的测评

机构进行测评合格方可投入使用。 A.二级以上 B.三级以上 C.四级以上 D.五级以上

10. 安全测评报告由(D )报地级以上市公安机关公共信息网络安全监察部门。

A.安全服务机构

B.县级公安机关公共信息网络安全监察部门 C.测评机构

D.计算机信息系统运营、使用单位

11. 新建( )信息系统,应当在投入运行后( ),由其运营、使用单位到所在地设区的

市级以上公安机关办理备案手续。(D ) A.第一级以上30日内 B.第二级以上60日内 C.第一级以上60日内 D.第二级以上30日内

12. 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 — 1999,提出将

信息系统的安全等级划分为__D_ 个等级,并提出每个级别的安全功能要求。 A. 7 B. 8 C. 6 D. 5

13. 等级保护标准GB 17859主要是参考了__B__而提出。

A. 欧洲ITSEC B. 美国TCSEC C. CC D. BS 7799

14. 信息安全等级保护的5个级别中, __B__是最高级别,属于关系到国计民生的最关键

信息系统的保护。 A. 强制保护级 B. 专控保护级 C. 监督保护级 D. 指导保护级 E. 自主保护级

15. 《信息系统安全等级保护实施指南》将_A__作为实施等级保护的第一项重要内容。

A. 安全定级 B. 安全评估 C. 安全规划 D. 安全实施

16. _C__是进行等级确定和等级保护管理的最终对象。

A. 业务系统 B. 功能模块 C. 信息系统 D. 网络系统

17. 当信息系统中包含多个业务子系统时,对每个业务子系统进行安全等级确定,最终信息

系统的安全等级应当由 _B__所确定。 A. 业务子系统的安全等级平均值 B. 业务子系统的最高安全等级 C. 业务子系统的最低安全等级 D. 以上说法都错误

18. 信息系统安全等级保护的相关配套标准中基础标准为:( A )。

A. GB17859-1999 B. GB/T 20269-2006 C. GB/T 20270-2006 D. GB/T 20271-2006

19. 关于资产价值的评估, __D___说法是正确的。

A. 资产的价值指采购费用 B. 资产的价值无法估计

C. 资产价值的定量评估要比定性评估简单容易 D. 资产的价值与其重要性密切相关

20. 安全威胁是产生安全事件的__B__。

A. 内因 B. 外因 C. 根本原因 D. 不相关因素

21. 《信息系统灾难恢复规范》规定灾难恢复能力等级分为( C )。

A. 4 B. 5 C. 6 D. 7

22. 如果一个信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对社会秩序和

公共利益造成一定损害,但不损害国家安全;本级系统依照国家管理规范和技术标准进行自主保护,必要时,信息安全监管职能部门对其进行指导。那么该信息系统属于等级保护中的__C__。 A. 强制保护级 B. 监督保护级

C. 指导保护级 D. 自主保护级

23. 如果一个信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对公民、法人

和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益;本级系统依照国家管理规范和技术标准进行自主保护。那么其在等级保护中属于_D__。 A. 强制保护级 B. 监督保护级 C. 指导保护级 D. 自主保护级

24. 如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,

其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成较大损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。这应当属于等级保护的_B__。 A. 强制保护级 B. 监督保护级 C. 指导保护级 D. 自主保护级

25. 如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,

其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查。这应当属于等级保护的__A_。 A. 强制保护级 B. 监督保护级 C. 指导保护级 D. 自主保护级

26. 如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的

核心子系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害;本级系统依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督、检查。这应当属于等级保护的__A_。 A. 专控保护级 B. 监督保护级 C. 指导保护级 D. 自主保护级

27. 在安全评估过程中,采取__C__手段,可以模拟黑客入侵过程,检测系统安全脆弱性。

A. 问卷调查 B. 人员访谈 C. 渗透性测试 D. 手工检查

28. 在需要保护的信息资产中, _C__是最重要的。

A. 环境 B. 硬件 C. 数据 D. 软件

29. 信息系统安全等级保护实施的基本过程包括系统定级、 B 、安全实施、安

全运维、系统终止。 A. 风险评估 B. 安全规划 C. 安全加固 D. 安全应急

30. 安全规划设计基本过程包括 C 、安全总体设计、安全建设规划。

A. 项目调研 B. 概要设计 C. 需求分析 D. 产品设计

31. 简述等级保护实施过程的基本原则包括, A ,同步建设原则,重点保护原则,

适当调整原则。 A. 自主保护原则 B. 整体保护原则 C. 一致性原则 D. 稳定性原则

32. 《基本要求》分为技术要求和管理要求,其中技术要求包括物理安全、网络安全、主机

系统安全、应用安全和 B ?

A、整体安全 B、数据安全 C、操作系统安全 D、数据库安全

33. 《基本要求》中管理要求中,下面那一个不是其中的内容? D

A、安全管理机构 B、安全管理制度 C、人员安全管理 D、病毒安全管理

34. 应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一

般的自然灾难,所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能是几级要求。B A、 一级 B、 二级 C、三级 D、四级

35. 网络安全主要关注的方面包括:结构安全、访问控制、安全审计、边界完整性检查、入

侵防范、恶意代码防范、 A 等七个控制点。

A、 网络设备防护 B、网络设备自身安全C、网络边界D、网络数据

36. 应用安全包括身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密

性和__A_。

A. 抗抵赖、软件容错、资源控制 B. 不可否认性、软件容错、资源控制 C. 抗抵赖、软件删除、资源控制 D. 抗抵赖、软件容错、系统控制

37. 《基本要求》是针对一至 C 级的信息系统给出基本的安全保护要求。(注意《基

本要求》第9章为空白) A、2 B、3 C、4 D、5

38. 安全管理制度主要包括:管理制度、制定和发布、 A 三个控制点。

A、评审和修订 B、修改 C、 审核 D、 阅读

39. 数据安全包括:数据完整性、数据保密性、 A 。

A、数据备份 B、数据机密性 C、数据不可否认性 D、数据删除性

40. 结构安全、访问控制、安全审计是 A 层面的要求。(注意:主机安全和应用安全

均有访问控制和安全审计控制点,但没有结构安全控制点。结构安全控制点是网络安全类独有控制点)

A、网络 B、主机 C、 系统 D、物理

41. 主机系统安全涉及的控制点包括:身份鉴别、安全标记、访问控制、可信路径、安全审

计等 B 个控制点

A、8 B、9 C、10 D、7

42. _A__标准为评估机构提供等级保护评估依据。

A、基本要求 B、测评指南 C、评估实施指南 D、定级指南

43. 人员管理主要是对人员的录用、人员的离岗、 C 、安全意识教育和培训、第三

方人员访问管理5个方面。

A、人员教育 B、人员裁减 C、人员考核 D、人员审核

44. 每个级别的信息系统按照 A 进行保护后,信息系统具有相应等级的基本安全保

护能力,达到一种基本的安全状态。

A、基本要求 B、分级要求 C、测评准则 D、实施指南

45. 《基本要求》的管理部分包括安全管理机构、安全管理制度、人员安全管理 、系统建设管理、 ___A__。

A、系统运维 B、人员录用 C、管理运行 D、系统运行

46. 环境管理、资产管理、介质管理都属于安全管理部分的 __D__管理。

A、人员管理 B、安全管理机构 C安全管理制度、 D、系统运维管理

47. 系统建设管理中要求,对新建系统首先要进行 _A__,在进行方案设计。

A、定级 B、规划 C、需求分析 D、测评

48. 从 _B_级系统开始,基本要求中有规定要作异地备份。

A、2 B、3 C、4 D、5

49. 四级系统中,物理安全要求共有 __C____项。

A、8 B、9 C、10 D、11

50. 《关键信息基础设施安全保护条例》是根据哪部法律法规制定的( C )。

A. 《互联网信息服务管理办法》 B. 《信息安全等级保护管理办法》 C. 《中华人民共和国网络安全法》

D. 《关于开展信息安全等级保护安全建设整改工作的指导意见》

51. ( C )等部门依法侦查打击针对和利用关键信息基础设施实施的违法犯罪活动。

A. 国家安全部门 B. 国家网信部门 C. 公安机关 D. 国家保密部门

52. 根据《关键信息基础设施安全保护条例》采取技术措施,监测、记录网络运行状态、网

络安全事件,并按照规定留存相关的网络日志不少于( C )个月。 A. 3 B. 5 C. 6 D. 12

53. 根据《关键信息基础设施安全保护条例》,( C )以上人民政府应当将关键信息基础

设施安全保护工作纳入地区经济社会发展总体规划,加大投入,开展工作绩效考核评价。 A. 市级 B. 省级 C. 地市级 D. 省市级

54. 根据《关键信息基础设施安全保护条例》关键岗位专业技术人员每人每年教育培训时长

不得少于( B )个工作日。 A. 1 B. 3 C. 5 D. 7

55. 根据《关键信息基础设施安全保护条例》运营者应当组织从业人员网络安全教育培训,

每人每年教育培训时长不得少于( A )个工作日。 A. 1 B. 3 C. 5 D. 7

56. 根据( A )等有关法律法规,制定《信息安全等级保护管理办法》。

A. 《中华人民共和国计算机信息系统安全保护条例》 B. 《互联网信息服务管理办法》 C. 《关键信息基础设施安全保护条例》 D. 《中华人民共和国网络安全法》

57. 《信息安全等级保护管理办法》中规定( B )负责信息安全等级保护工作的监督、检

查、指导。 A. 网信办 B. 公安机关

C. 国家保密部门 D. 国家安全部门

58. 军事关键信息基础设施的安全保护,由( D )另行规定。

A. 国务院 B. 国家安全局

C. 网络安全最高领导小组 D. 中央军事委员会

59. 《关于开展信息安全等级保护安全建设整改工作的指导意见》统一组织,加强领导。要

按照“( B )”的原则,切实加强对信息安全等级保护安全建设整改工作的组织领导,完善工作机制。 A. 统筹规划 B. 谁主管、谁负责 C. 同步规划、同步实施 D. 持续改进

60. 《关于开展信息安全等级保护安全建设整改工作的指导意见》认真总结,按时报送。自

( C )年起,要对定级备案、 等级测评、安全建设整改和自查等工作开展情况进行年度总结。 A. 2007 B. 2008 C. 2009 D. 2011

61. 《关于开展信息安全等级保护安全建设整改工作的指导意见》信息系统备案单位每( D)

要填写《信息安全等级保护安全建设整改工作情况统计表》并报受理备案的公安机关。 A. 二年 B. 一年半 C. 一年 D. 半年

62. 为加强和规范互联网安全技术防范工作,保障互联网网络安全和信息安全,促进互联网

健康、有序发展,维护国家安全、社会秩序和公共利益,根据( B ),制定《互联网安全保护技术措施规定》。

A. 《关键信息基础设施安全保护条例》

B. 《计算机信息网络国际联网安全保护管理办法》

C. 《关于开展信息安全等级保护安全建设整改工作的指导意见》

D. 《互联网信息服务管理办法》

63. 《中华人民共和国电子签名法》发文字号:主席令第( C )号。

A. 二十二 B. 二十三 C. 二十四 D. 二十五

64. 根据《信息安全等级保护管理办法》,( D )应当依照相关规范和标准督促、检查、指

导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。 A.公安机关 B.国家保密工作部门 C.国家密码管理部门 D.信息系统的主管部门

65. 《互联网安全保护技术措施规定》中互联网服务提供者和联网使用单位依照本规定落实

的记录留存技术措施,应当具有至少保存( D)天记录备份的功能。 A. 15 B. 30 C. 45 D. 60

66. 《中华人民共和国网络安全法》已由中华人民共和国第( B )届全国人民代表大会常

务委员会第二十四次会议于2016年11月7日通过 A. 十一 B. 十二 C. 十三 D. 十四

67. 《互联网安全保护技术措施规定》中规定公安机关在监督检查时,监督检查人员不得少

于( B )人,并应当出示执法身份证件。 A. 1 B. 2 C. 3 D. 4

68. 《互联网信息服务管理办法》中规定国家对经营性互联网信息服务实行( A )。

A. 许可制度 B. 备案制度

C. 监管制度 D. 备份制度

69. 《信息安全等级保护管理办法》中规定对拟确定为第( C )级以上信息系统的,运营、

使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 A. 二 B. 三 C. 四 D. 五

70. 《中华人民共和国网络安全法》中规定为了保障网络安全,维护网络空间主权和国家安

全、( B ),保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。 A. 国家利益 B. 社会公共利益 C. 企业利益 D. 国家单位利益

71. 《信息安全等级保护管理办法》中规定依据《信息系统安全等级保护测评要求》等技术

标准,定期对信息系统安全等级状况开展等级测评。第( B )级信息系统应当每年至少进行一次等级测评。 A. 二 B. 三 C. 四 D. 五

72. 《互联网信息服务管理办法》中规定互联网信息服务提供者变更服务项目、网站网址等

事项的,应当提前( C )日向原审核、发证或者备案机关办理变更手续。 A. 45 B. 60 C. 30 D. 15

73. 违反《互联网信息服务管理办法》的规定,未在其网站主页上标明其经营许可证编号或

者备案编号的,由省、自治区、直辖市电信管理机构责令改正,处5000元以上(D )万元以下的罚款。 A. 1

B. 3 C. 4 D. 5

74. 《互联网信息服务管理办法》中规定互联网信息服务提供者和互联网接入服务提供者的

记录备份应当保存( B )日,并在国家有关机关依法查询时,予以提供。 A. 45 B. 60 C. 30 D. 15

75. 《中华人民共和国电子签名法》中规定电子认证服务有关部门自接到申请之日起( C )

日内作出许可或者不予许可的决定。 A. 15 B. 30 C. 45 D. 60

76. 《信息安全等级保护管理办法》中规定国家密码管理部门对信息安全等级保护的密码实

行(C )管理。 A. 严格 B. 保密 C. 分类分级 D. 同步

77. 《中华人民共和国电子签名法》中规定数据电文进入发件人控制之外的某个信息系统的

时间,视为该数据电文的( B )时间。 A. 传输 B. 发送 C. 保存 D. 待收取

78. 《中华人民共和国网络安全法》中规定关键信息基础设施的运营者采购网络产品和服务,

可能影响( A )的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。 A. 国家安全 B. 社会安全 C. 网络安全 D. 信息安全

79. 《中华人民共和国网络安全法》中规定网络运营者应当对其收集的用户信息严格保密,

并建立健全( B )。 A. 用户信息保密制度 B. 用户信息保护制度 C. 用户信息加密制度 D. 用户信息保全制度

80. 《中华人民共和国网络安全法》中规定网络运营者不得泄露、篡改、毁损其收集的个人

信息;未经( C )同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。 A. 本人 B. 本人单位 C. 被收集者 D. 国家主管部门

81. 《中华人民共和国网络安全法》中规定国家坚持网络安全与信息化发展并重,遵循( B )

的方针,推进网络基础设施建设和互联互通。 A. 同步规划、同步建设、同步使用

B. 积极利用、科学发展、依法管理、确保安全 C. 网络实名制

D. 网络安全等级保护制度

82. 《中华人民共和国网络安全法》自( B )起施行。

A. 2016年6月1日 B. 2017年6月1日 C. 2017年5月1日 D. 2016年1月1日

83. 《互联网安全保护技术措施规定》中规定互联网服务提供者依照本规定采取的互联网安

全保护技术措施应当具有符合公共安全行业技术标准的( C )。 保密接口 秘密接口 联网接口 断网接口

84. 网络运行单位应当在安全风险评估结束后( B )内,将安全风险评估结果、隐患处

理情况或者处理计划报送相关的备案机构。

A. 10 B. 30 C. 60 D. 90

85. 按照网络安全防护管理办法的规定,二级通信网络单元应当(C)进行一次安全风

险评估。 A. 每半年 B. 每一年 C. 每两年 D. 每三年

86. 以下哪个威胁是非恶意的人为威胁:(B) A. 恶意代码和病毒 B. 无作为 C. 网络攻击 D. 泄密、篡改、抵赖

87. 在互联网安全风险评估中,技术因素不包含以下哪项:(D) A. 设备自身的软硬件故障 B. 本身设计缺陷 C. 软件缺陷 D. 通讯线路故障

88. 对于经集团公司审核后,安全保护等级拟定为第(B)级及以下级别的定级对象,

无需报工信部电信网络安全防护专家组评审,可直接向电信监管部门进行备案。 A. 1 B. 2 C. 3 D. 3.1 E. 3.2

89. 某省运营商的IDC中心希望进行信息安全管理体系认证,按照规定其应:(B) A. 仅向集团公司进行申报 B. 经集团总部审核后向工信部申报 C. 在公司内部进行备案 D. 直接向工信部申报

90. 根据《网络单元安全防护检测评分方法》,某网上系统有80个适用的评测项,检

查发现其有三个不符合项,则该网络单元的符合性评测得分为(D)。 A. 77分 B. 97分 C. 80分 D. 96.25分

91. 组织身处的文化环境对IT安全管理有许多影响,下面描述错误的是:(C) A. 影响对资产价值或者属性的判断,有些文化认为保护个人信息是非常重要的,然而

其他文化对于这一话题给予了低级别的关注 B. 影响对威胁严重性的判断; C. 影响对安全脆弱性等级的判断 D. 对防护措施的选择有影响; E. 影响人员的安全意识

92. 按照《互联网管理安全等级保护要求》,对于3.1级保护要等,针对人员离岗管理

描述错误的是:(C)

A. 应规范人员离岗过程,及时终止离岗员工的所有访问权限;

B. 对于离岗人员,应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备; C. 对于离岗人员,须承诺调离后的保密义务后方可离开。 D. 对于离岗人员,应办理严格的调离手续。

93. 按照《互联网管理安全等级保护要求》,对于3.1级保护要等,针对人员配置方面

描述错误的是:(C)

A. 应配备一定数量的系统管理人员、网络管理人员、安全管理员等; B. 应配备专职安全管理员,不可兼任; C. 应配备专职安全审计人员; D. 关键事务岗位应配备多人共同管理。

94. 下面对信息安全管理体系描述错误的是:(D)

A. 管理层应按计划的时间定期(至少一年一次)评审组织的 ISMS,以确保其持续的

适宜性、充分性和有效性。

B. 组织应根据自身的内部目标,按计划的时间定期进行内部评审; C. 内部评审为管理评审提供了输入; D. 管理评审的输出对内部评审没有任何影响;

95. 恶意代码主要指病毒、蠕虫和特洛伊木马,其不能通过以下哪一个途径传播:(D) A. 软盘;

B. 其他可移动介质; C. 电子邮件; D. Txt文件

96. SQL Server可能被执行系统命令的说法正确的是(D)

A. 主要是利用xp_cmdshell方法执行系统命令,所以最好的方法就是将它禁用了 B. MSSQL2005默认启用了xp_cmdshell

C. MSSQL2000只需要将xp_cmdshell的扩展存储过程删除,就不会被执行了 D. MSSQL执行系统命令主要是要有sysadmin权限和系统管理员权限

97. 用户发现自己的账户在Administrators组,所以一定对系统进行什么操作(D) A. 建立用户 B. 修改文件权限 C. 修改任意用户的密码 D. 以上都错

98. DNS域名劫持的说法错误是(D)

A. DNS劫持通过某些手段取得某域名的解析记录控制权,进而修改此域名的解析结

果,导致对该域名的访问由原IP地址转入到修改后的指定IP

B. DNS劫持通过篡改DNS服务器上的数据返回给用户一个错误的查询结果来实现的 C. 对于DNS劫持,可以采用使用国外公认的DNS服务器解决

D. DNS劫持是一种让一般用户由于得到虚假目标主机IP而不能与其通信的方法

99. 以下对XML注入描述错误的是(A)

A. XML注入只是通过注入的方式,将数据插入到XML中存储,不能调用一些系统的

命令

B. XML注入存在的前提条件是,输入必须可控,且程序拼凑了数据 C. XML的防护只需要将用户输入的特殊字符转义过滤

D. 特殊的情况下,可以利用XML注入读取系统的一些文件内容

100. 对于oracle采用默认安装时,他的监听口默认是无需密码就可以直接监听的,由

此引发了很多不安全的行为,如何为listen设置密码(B)

A. 在%ORACLE_HOME%\\network\\admin\\listener.ora文件中进行配置 B. 在命令行下执行%ORACLE_HOME%/bin/lsnrctl程序进行修改 C. 使用sqlplus登录system用户后,进行修改 D. 以上都不正确

101. net user命令说法正确的是(C)

A. 一定要管理员权限才能使用 B. 普通用户无法使用该命令

C. 默认的Guest用户就可以使用该命令 D. 以上都不对

102. 关于autorun.inf下列说法正确的是(D)

A. 这是一个正常文件,每个磁盘驱动器下都存在这样的文件 B. 这就是一个普通的配置文件,恶意程序无法通过它进行传播

C. 它只能硬盘或者U盘中使用,Win95时代的磁盘由于太过古老过于无法使用 D. 通过配置这个文件,可以启动一种恶意程序,很多公共机房都存在这样的恶意程序

103. cron服务说法错误的是(C)

A. cron服务提供crontab命令来设定cron服务的 B. crontab –r删除某个用户的cron服务

C. Cron是Linux的内置服务,所以它默认是自动启动的

D. cron是一个linux下的定时执行工具,可以在无需人工干预的情况下运行作业

104. 跨站一般分为存储型跨站、反射型跨站、DOM型跨站,以下对于跨站的描述错

误的是(C)

A. 从安全的角度来看,存储型的跨站比反射型跨站危害要更大

B. 基于DOM 的跨站点脚本漏洞可以在许多情况下执行,不需要服务器确定哪些需要

执行

C. 对于跨站脚本的防护,安全人员建议对输出的语句进行编码,所以只要对所有输出

的语句进行HTML编码就好了

D. 如果用户想服务器提交了的javascript脚本,之后服务

器返回的页面执行了该语句,那这个网站基本可以判断存在跨站漏洞

105 关于svchost下列说法错误的是(B)

E. 这是一个共享进程,本身不提供任何服务,别的服务在这里启动

F. Svchost并不是系统的程序,如果在进程列表中看到它的存在,要毫不犹豫的杀掉 G. RasAuto服务的启动参数为:svchost.exe –k netsvcs

H. 由于默认系统会运行很多服务,所以在进程列表中会看到很多这个程序

106、以下哪个工具用于在网络中捕获数据包,进行网络故障排查(A)

A. wireshark B. Nessus

C. RSAS D. APPScan

107、网络后门的功能是(A)

A. 保持对目标主机长期控制 B. 防止管理员密码丢失

C.为定期维护主机 D. 为了防止主机被非法入侵

108、恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。以上攻击属于(B)

A. SQL注入攻击 B.跨站脚本攻击

C. DDoS攻击 D. 会话劫持攻击

109、打电话请求密码属于以下哪种攻击(A)

A. 社会工程学 B. 缓冲区溢出 C. 电话监听 D.拒绝服务

110、使用Nmap扫描系统时,如果想跳过主机发现,应使用哪个参数(C)

A. -A B. -O C. -Pn D. -sT

111、以下哪种设备可以防止SQL注入攻击(D)

A 防火墙 B 漏扫 C 负载均衡 D WAF

112、以下通信中哪种会加密传输(C)

A . ftp B. telnet C. SSH

D. http

113、在Windows CMD命令提示符下创建一个用户admin,密码设置为123456的命令是(A)

A. net user admin 123456 /add B. net user admin /123456 /add C. useradd admin 123456 D. useradd admin/password

114、以下哪种工具可用于arp欺骗,实现中间人攻击(B)

A. netcat B. Ettercap C. fiddler D. nmap

115、MS08-067漏洞属于(A)

A. 缓冲区溢出 B. SQL注入 C. XSS D. DDoS

116、以下哪个文件IIS6会当作asp执行(A)

A. 1.asp.jpg B. 1.asp;jpg C. 1.asp,jpg D. 1.asp?jpg

117、以下哪个工具可用于进行SQL注入漏洞测试(D)

A Nessus B tcpdump C x-scan D sqlmap

118、对于解密工具john the ripper说法正确的是(D)

A 不管密码多复杂,john都一定能够解出来 B john只对shadow文件有效

C 能被john解出来的一定是弱口令 D john能否破解密码主要还是靠字典

66. 根据《网络单元安全防护检测评分方法》,下列描述正确的是:(ABCD) A. 网络单元的安全防护得分等于安全评测得分加风险评估得分。 B. 网络单元的得分=安全评测得分*60% + 风险评估得分40%。 C. 安全评测得分和风险评估得分的满分为一百分。 D. 风险评估得分采用二次扣分方法。

67. 下面对信息安全管理体系认证管理工作描述正确的是:(ABDE)

A. 如基础运营企业确需申请信息安全管理体系认证的,应事前报工业和信息化部同意

后方可进行;

B. 各基础电信运营企业的下属机构申请信息安全管理体系认证的,应经集团总部审核

后向工业和信息化部申报;

C. 信息安全管理体系认证不应涉及通信网络安全防护三级(含)以上网元;

D. 应选择国家认证认可监督管理部门批准从事信息安全管理体系认证的认证机构进

行认证;

E. 认证工作结束后,应加强信息安全风险评估,及时排查安全漏洞和安全隐患。

68. 某运营商要对域名系统的安全性进行安全检查,其应参考:(ABDEF)

A. 域名系统安全防护/检测要求 B. 互联网安全防护/检测要求 C. 固定通信网安全防护/检测要求 D. 电信网和互联网风险评估事实指南 E. 电信网和互联网灾难备份和恢复指南 F. 电信网和互联网管理安全等级保护/检测要求

69. 根据互联网灾难备份及恢复要求,对3.1级系统,其冗余路由要素应满足:(BCD) A. 有冗余设备和链路设计; B. 有路由的冗余设计; C. 有流量负荷分担设计; D. 网络收敛时间应满足相关要求;

70. 网络和运营商应根据灾难备份及恢复等级和目标,按照成本风险平衡原则,在制定

冗余路由实施资源的具体要求时,应确定:(BCE) A. 系统、设备及链路部署的冗余性; B. 网络路由设计的冗余性; C. 网络是否支持流量负荷分担; D. 网络链路保护倒换的速度; E. 网络收敛速度。

71. 信息安全管理体系的适用性声明包括:(BCD) A. 管理体系适用的范围

B. 选择适用的控制目标和控制措施以及被选择的原因; C. 正在实施控制目标和控制措施;

D. 被排除的控制目标和控制措施的解释和理由

72. Linux中Shadow文件说法正确的是(AD) A. 不是所有加密算法的密码域都三部分组成

B. 当使用MD5 hash算法时,如果是同一个密码,得到的hash是一样的 C. 使用DES加密时,只能识别10位密码

D. 在密码域的三部分组成中,一般id域上是6的时候,为sha512进行的加密

73. DNS缓存投毒说法正确的是(ABCD)

A. DNS缓存投毒攻击者欺骗DNS服务器相信伪造的DNS响应的真实性 B. DNS缓存投毒的目的是将依赖于此DNS服务器的受害者重定向到其他的地址 C. 防护DNS缓存投毒可以强制服务器检查其他非权威的服务器转发的 DNS响应信

息,并丢弃任何返回的与最初的查询不相关DNS响应记录 D. DNS缓存投毒常用于钓鱼攻击

74. 下面那些攻击,可以使攻击者获取后台的权限(AB) A. SQL注入 B. 跨站请求伪造攻击 C. CRLF攻击 D. 目录遍历

75. 移动应用开发可以使用(ABCD)技术保证应用安全 A. 应用TSL/SSL B. 对应用代码进行签名 C. 本地加密存储敏感信息 D. 进行代码混淆

76. 跨站漏洞可以造成哪些危害(ABCDE) A. 钓鱼攻击 B. 窃取cookie C. 挂马 D. 内网端口扫描 E. 拒绝服务攻击

77. 对于账户数据库SAM文件,描述正确的是(ABD)

A. 安全账号管理器的具体表现就是%SystemRoot%\\system32\\config\\sam文件 B. 所有2K03/2k/NT用户的登录名及口令等相关信息都会保存在这个文件中 C. sam文件类似于unix系统中的shadow文件,都记录了账户密码等信息,并且是

md5加密方式保存

D. SAM文件的内容,正常情况下仅对system用户可读写

78. CRLF是回车换行,在注入漏洞中,有一种攻击是CRLF攻击,而他的预防方法也

很简单,只需要注意回车换行两个字符在实际的应用中单独的回车换行两个字符的危害有限,所以常常与其他的漏洞结合起来使用,除了本身的CRLF注入漏洞之外,CRLF还能应用于以下哪些攻击中(ABCD) A. 代码注入 B. SQL注入 C. 跨站漏洞 D. XML注入

79. 近年来,php的框架原来越多,例如discuz、phpcms等,而乌云等很多白帽子的

网站,也经常公布这些框架的漏洞,其中有一项为本地文件包含的漏洞,下列说法正确的是(BC)

A. 本地文件包含只是php语言特有的 B. 本地文件包含可以用来隐藏webshell

C. 如果include()的一个参数,是通过客户端传递进来的,很可能存在本地包含的漏洞 D. 本地文件包含的文件,只要是txt的文件,就算里面有恶意代码,也不会影响站点

80. 在WEB服务器上上传webshell,有时会要用到解析漏洞,以下是攻击者在相应的

web服务器上,上传的文件名字,有可能利用成功的是(假设服务器的解析漏洞存在)(BD)

A. apache服务器,上传文件名为1.php.gif B. apache服务器,上传文件名为 1.php.rar

C. IIS7.0服务器,在asp.asp目录下上传了1.jpg文件 D. IIS6.0服务器,上传了1.asp;.jpg文件

81. 下面那些工具可以读取SAM的hash值(AC) A. wce.exe B. getpasswd.exe C. pwdump6.exe D. LP_Check.exe

E. pslist.exe

82. 下列Windows下日志默认存放位置正确的是(ABD)

A. Windows日志文件默认位置是“%systemroot%\\system32\\config B. 应用程序日志文件:%systemroot%\\system32\\config\\AppEvent.EVT C. 安全日志文件:%systemroot%\\system32\\config\\SysEvent.EVT D. FTP连接日志和HTTPD事务日志:%systemroot%\\system32\\LogFiles\\ E. 系统日志文件:%systemroot%\\system32\\config\\SecEvent.EVT

83. 在OWASP TOP 10中,有一个漏洞“安全设置错误”,该漏洞可能存在的位置是

(ABCD)

A. tomcat服务器,默认使用了manager的用户密码,而没有修改

B. 一个用户在提交信息的时候,添加了一些特殊字符,服务器直接返回详细的500错

C. 开发人员在开发Struts2框架的时候,启用了开启模式,之后直接部署到了生产网

络中,而没有关闭该模式

D. 管理人员给WEB站点后台设置用户和口令为admin/admin

84. 管理员查看WEB日志的时候,发现自己的管理员账户有异常登录的情况,并且有

很多非法的操作,所以管理员认为自己的账户信息被人窃取了,以下可能是攻击者使用的手段是(AE) A. SQL注入 B. 文件包含 C. 目录遍历 D. CSRF攻击 E. 暴力破解

85. 管理员在WEB后台查看日志,发现自己的管理员账户有异常操作,但是没有看到

有异常登录的情况,并且日志没有被删除的痕迹,该管理员可能遭受的攻击是(BD) A. SQL注入 B. 跨站攻击 C. 目录遍历 D. CSRF攻击 E. 暴力破解

86. 对于一个站点是否存在SQL注入的判断,正确的是(ABC) A. 可以使用单引号查询来判断 B. 可以使用“or 1=1”方法来判断

C. 可以使用在参数后面加入一些特殊字符来判断

D. 可以直接修改参数的具体数据,修改参数值为一个不存在的数值来判断

87. 下面关于Windows日志说法正确的是(ABD) A. 应用程序日志记录用户应用程序的活动情况

B. 安全性日志记录系统使用的登陆进程、特权使用、安全审核以及审核结果 C. 某时刻某用户更改了审核策略可以在系统日志记录下查看 D. 某时刻防火墙被关闭可以再应用程序日志记录中查看

88. 提权一直是攻击者的攻击的一个亮点,对于不同的应用和服务,都有着不同的手段

进行提权,而对于很多Windows的服务器,攻击者入侵成功后,可能回去寻找一个Serv-U的FTP服务,并且通过它来提权,下面那些选项会影响Serv-U提权(ABCD)

A. Serv-U不是管理员权限启动

B. 禁止普通用户对Serv-U的目录进行读写操作 C. 禁止FTP的用户最高权限为系统管理员权限 D. cmd.exe、net.exe等系统命令禁止执行

89. 下面针对于各种应用的提权方法正确的是(ABCD)

A. Mysql利用支持自定义函数,上传udf.dll文件后,执行系统命令 B. MSSQL利用xp_cmdshell的扩展过程,直接执行系统命令

C. Serv-U利用默认的管理员密码和管理端口,建立可以执行系统命令的用户,从而

进行提权

D. pcAnyWhere通过破解其用户名和密码登录

90. Msql的提权,通常是利用Mysql来执行一些系统的命令,以下对Mysql做的一些

安全设置有效的是(AB)

A. 给Mysql降权,不给于管理员权限的用户运行

B. root采用强密码,且其他应用使用Mysql时,不使用root权限进行连接 C. Windows中,限制Mysql对system32下的可写权限

D. WEB用户使用root权限连接,在Windows的防火墙上做限制,不允许其他服务器

连接mysql

91. 攻击者要想拿下一台web服务器,有很多方法,其中一个方式是,想办法上传一

个webshell,所以WEB服务,在对上传文件的检测,有效的是(AD)

A. 服务器对上传文件进行文件名重命名,文件后缀不变,但会检测文件的后缀是否合

B. 服务器对文件名和后缀都重命名,后缀的命名取决于MIME类型,对上传文件的检

119、下面那个情况可以说明Windows系统正常(D)

A. 发送或接收大量SYN数据包 B. 发送或接收大量ICMP数据包 C. 某个程序进程消耗大量物理内存 D. netstat –ano发现没有可疑的连接

120、下面那种防护手段对SQL注入无效(B)

A. 使用存储过程 B. 加入token值

C. 检查数据类型,并使用安全函数 D. 过滤特殊字符和sql语句

121、管理员发现本机上存在多个webshell,之后查看日志信息,发现服务器本身的日志被删除了,所以登录WEB后台,查看后台日志,此时发现后台有被管理员登录的情况,且有很多管理员登录失败的信息,之后有成功登录后并执行了一些操作的情况,下面可能是攻击者的攻击手段的是(C)

A. 利用SQL注入,获取管理员的密码,直接登录后台,上传webshell

B. 直接利用SQL注入写入一句话后,上传webshell,获取管理员密码,登录后台 C. 利用暴力破解登录后台,上传webshell

D.利用跨站语句,窃取cookie后,利用cookie登录,上传webshell,窃取管理员后台密码登录

122、下列关于木马的叙述错误的是(B)

A. 木马是一种窃取信息的程序,通常情况下用户很难察觉

B. 木马可以通过极为隐蔽的方式发送数据,即使在网络最底层也无法发觉数据的传送 C. 木马拥有很高的效能,同时又尽可能少的占用CPU资源 D.木马是一种不合法的程序,编写并传播这种程序会受到法律的制裁

123、用于获取防火墙配置信息的安全工具是(A)

A. hping B. Loki C. Flawfinder D. firewalk

124、黑客在受害主机上安装(A)工具,可以防止系统管理员用ps或netstat发现。

A. rootkit B. fpipe

C. adore D. NetBus

125、被喻为“瑞士军刀”的安全工具是(B)

A. SuperScan B. netcat C. WUPS D. NetScanTools

126、在Windows 中,取消IPC$默认共享的操作是B

A. net share /del IPC$ B. net share IPC$ /delete C. net share /delete IPC$ D. net IPC$ /delete

127、向有限的空间输入超长的字符串是哪种攻击手段(A)

A、缓冲区溢出 B、网络监听 C、端口扫描 D、IP欺骗

128、Windows系统能设置为在几次无效登录后锁定帐号,这可以防止( B )

A、木马; B、暴力攻击; C、IP欺骗; D、缓存溢出攻击

129、以下哪项不是netcat的功能(A)

A. 漏洞扫描 B. 文件传输 C. 端口探测 D.反向连接

130、以下哪种状态表明TCP三次握手建立连接完成,可以开始传输数据(C)

A. SYN-RCVD B. SYN-SENT C. ESTABLISHED D. TIME-WAIT

131、SQL注入的本质是(A)

A 程序未对用户输入的数据进行过滤,把用户精心构造的数据当作代码执行。 B 程序未对用户输入的数据长度进行限制,用户输入的数据超出定义长度,致使程序报错。

C 程序未对cookie设置httponly属性,恶意用户通过窃取他人cookie,绕过登录。 D 程序的数据库存在漏洞,恶意用户利用该漏洞绕过认证。

132、以下哪种不属于XSS的类型(D)

A 反射型XSS B 存储型XSS C 基于DOM的XSS D 注入型XSS

133、Tomcat的后台管理路径默认是(A)

A. http://www.xxx.com:8080/manager/html B. http://www.xxx.com:8080/admin-console C. http://www.xxx.com:8080/console D. http://www.xxx.com:8080/jbossws

134、关于杀毒软件下列说法正确的是(D)

A. 杀毒软件也是一种正义的软件,只要被它提示过的软件都是恶意程序 B. 杀毒软件可以检测出所有恶意程序,用户可以完全信赖它 C. 再厉害的“恶意程序”都无法躲避杀软的检测 D.杀软也是一种应用,也有它脆弱的一面

135、默认在WINDOWS上安装ORACLE之后,没有进行任何的安全配置,攻击者登录了本机后,使用哪个命令,可以不需要用户名和密码就可以直接登录oracle(A)

A. sqlplus \B. sqlplus “/as system” C. sqlplus “/as sys” D. 以上都不对

136. 谁应该承担决定信息系统资源所需的保护级别的主要责任?( B ) A. 信息系统安全专家 B. 企业负责人 C. 安全主管 D. 系统审查员

137. 我国的信息安全等级保护制度将信息和信息系统的安全保护等级共分为( C )

级。 A. 3 B. 4 C. 5 D. 6

138. 信息系统安全保护等级由两个定级要素决定,它们是?( C ) A. 信息系统面临的风险和信息系统的脆弱性 B. 受侵害的客体和客体的脆弱性 C. 受侵害的客体和对客体的侵害程度 D. 信息系统面临的风险和受侵害的程度

139. 国家公安机关负责等级保护中的什么类别工作?( A ) A. 负责信息安全等级保护工作的监督、检查、指导 B. 负责等级保护工作中有关保密工作的监督、检查、指导 C. 负责等级保护工作中有关密码工作的监督、检查、指导 D. 负责信息安全等级保护工作中部门间的协调

140. 信息安全管理同其他管理问题一样,首先要解决( C )、( )和( )这三

方面的问题。 A. 人员、技术、操作 B. 威胁、风险、资产 C. 组织、制度、人员

D. 工程、风险、人员

141. 组织制定信息安全方针的主要意图是( A )? A. 阐明管理层的承诺

B. 阐明信息安全管理人员的职责 C. 阐明信息安全体系的建设思路 D. 阐明每个员工应尽的义务

142. 建立信息安全管理体系要遵循PDCA原则,PDCA 循环中的P的含义是( B )。 A. People,人员 B. Plan,计划 C. Policy,策略

D. Process,过程

143. 随着信息化的不断深入,人们开始意识到信息安全保障不能仅仅依赖于防火墙、

防病毒等产品的添加,开始认识到( B )的重要性。 A. 动态防御 B. 管理

C. 安全教育与培训 D. 安全策略

144. 在进行信息安全管理的过程中有三个关键层次,其中不包括:( C ) A. 安全管理体系 B. 风险管理 C. 资产管理 D. 安全管理控制措施

145. 什么是计算机蠕虫:( C ) A. 一种长在计算机中的小虫子

B. 一种软件程序,用于演示毛毛虫的生长过程

C. 一种完全自包含的自复制程序。可通过网络等方式快速传播,并完全可以不依赖用

户操作、不必通过“宿主”程序或文件 D. 一种计算机设备,外形象蠕虫

146. 穷举法密码破译方法,很像数学上的\完全归纳法\并在密码破译方面得到了广泛

的应用。简单来说就是将密码进行逐个推算直到找出真正的密码为止,用穷举法解题时,就是按照某种方式列举问题答案的过程。针对问题数据类型而言,常用的列举方法有:( D )

A. 顺序列举是指答案范围内的各种情况很容易与自然数对应甚至就是自然数,可以按

自然数的变化顺序去列举

B. 排列列举 有时答案的数据形式是一组数的排列,列举出所有答案所在范围内的排

列,为排列列举

C. 组合列举当答案的数据形式为一些元素的组合时,往往需要用组合列举,组合是无

序的 D. 以上都是

147. 下列是漏洞生态系统模型的主要生态链条,请问哪一项最大程度的降低漏洞给用

户带来的风险( A )

A. 漏洞产生者—漏洞发现者—漏洞补丁发布者+漏洞发布者—漏洞利用者

本文来源:https://www.bwwdw.com/article/bwhv.html

Top