题库

江汉油田信息技术安全竞赛试题库(V1.00)

网络安全

==============================================================================

网络技术基础

1. HTTP是建立在TCP连接上的，工作在（D）层的协议。

A． 网络接口层 B． 网络层 C． 传输层 D． 应用层

2. 工作在TCP/IP协议模型中应用层的为（D）

A． HTTP、SNMP、FTP、UDP、DNS B． DNS、TCP、IP、Telnet、SSL

C． ICMP、SMTP、POP3、TFTP、SSL D． SNMP、DNS、FTP、POP3、Telnet

3. 当一台计算机发送邮件信息给另一台计算机时，下列的哪一个过程正确的描述了数据打

包的5个转换步骤（A）

A. 数据、数据段、数据包、数据帧、比特 B. 比特、数据帧、数据包、数据段、数据 C. 数据包、数据段、数据、比特、数据帧 D. 数据段、数据包、数据帧、比特、数据

4. 路由器的功能包括（ABC）

A． 网络互连 B． 数据处理 C． 路由 D． 协议转换

5. VLAN的主要作用包括？（ABCD）

A. 控制网络的广播风暴。 B. 确保网络的安全性。 C. 增强网络管理。

D. VLAN能减少因网络成员变化所带来的开销。

6. 关于子网掩码的说法，以下正确的是（AB）

A． 定义了子网中网络号的位数

B． 子网掩码可以把一个网络进一步划分为几个规模相同的子网

C． 子网掩码用于设定网络管理员的密码 D． 子网掩码用于隐藏IP地址

网络运行维护

1. 下面描述的内容属于性能管理的是（C）

A． 监控网络和系统的配置信息

B． 跟踪和管理不同版本的硬件和软件对网络的影响 C． 收集网络管理员指定的性能变量数据 D． 防止非授权用户访问机密信息

2. 以下有关网络管理需求描述中不正确的是（C）

A． 网络应用越来越普遍

B． 计算机网络的组成正日益复杂 C． 个人计算机技术的快速发展 D． 手工网络管理有其局限性和不足

3. 现代计算机网络管理系统主要由四个要素组成，它们包括（ABCD）

A． 被管的代理 B． 网络管理器

C． 公共网络管理协议 D． 管理信息库

4. 网络管理应用对出现的事件可能采取的动作应当在相应的配置文件中定义，这些动作主

要有（ABD）

A． 调用操作系统命令 B． 发出电子邮件 C． 重新扫描网络拓扑 D． 通知维护人员

网络架构安全与安全域划分

1. 在网络安全中，截取是指未授权的实体得到了资源的访问权，这是对（C）

A. 可用性的攻击 B. 完整性的攻击 C. 保密性的攻击 D. 真实性的攻击

2. 所谓加密是指将一个信息经过（A）及加密函数转换，变成无意义的密文，而接受方则

将此密文经过解密函数（A）还原成明文。 A． 加密钥匙、解密钥匙

B． 解密钥匙、解密钥匙 C． 加密钥匙、加密钥匙 D． 解密钥匙、加密钥匙

3. 网络安全的特性有（ABCD）

A． 保密性 B． 完整性 C． 可用性 D． 可控性

4. 目前网络安全域划分有哪些基本方法（ABC）

A． 按业务系统划分 B． 按防护等级划分 C． 按系统行为划分 D． 按企业需求划分

防火墙技术

1．防火墙要对保护的服务器端口映射的好处是（D） A．便于管理

B．提高防火墙的性能 C．提高服务器的利用率

D．隐藏服务器的网络结构，使服务器更加安全

2.内网用户通过防火墙访问公众网中的地址需要对源地址进行转换，规则中的动作应选择（B） A．Allow B．NAT C．SAT D．FwdFast

3.下面关于防火墙的说法，错误的是（CD） A．防火墙可以强化网络安全策略 B．防火墙可以防止内部信息的外泄

C．防火墙能防止感染了病毒的软件或文件传输 D．防火墙可以防范恶意的知情者

4.包过滤型防火墙对数据包的检查内容一般包括_ABC__。 A．源地址 B．目的地址 C．端口号 D．有效载荷

无线网络安全

1. 802.11b定义了无线网的安全协议WEP，以下关于WEP的描述中，不正确的是（C）

A． WEP使用RC4流加密协议

B． WEP支持40位秘钥和128位秘钥 C． WEP支持端到端的加密与认证 D． WEP是一种对称秘钥机制

2. 无线局域网标准IEEE 802.11i提出了新的TKIP协议来解决（B）中存在的安全隐患。

A． WAP协议 B． WEP协议 C． MD5

D． 无线路由器

3. 多址技术实质为信道共享的技术，主要包括（ABC）

A． FDMA B． TDMA C． CDMA D． LTE

4. 以下属于802.11无线局域网安全策略的是（ABD）

A． SSID

B． 接入时密码认证 C． 物理层信号认证

D． 接入后通过WEB界面认证 网络准入控制

1. AAA服务器的功能不包括（D）

A． 认证 B． 授权 C． 审计 D． 分析

2. dot1.X协议基于（A）的协议

A. C/S B. B/S C. https D. http

操作系统应用及安全

1. 操作系统的基本类型主要有（B）

A． 批处理系统、分时系统及多任务系统

B． 实时操作系统、批处理操作系统及分时操作系统 C． 单用户系统、多用户系统及批处理系统 D． 实时系统、分时系统和多用户系统

2. 下列选择中，（D）不是操作系统关心的主要问题

A． 管理计算机裸机

B． 设计、提供用户程序与计算机硬件系统的界面 C． 管理计算机系统资源

D． 高级程序设计语言和编译器

3. 操作系统的基本功能包括（ABCD）

A． 处理机管理 B． 存储器管理 C． 设备管理 D． 信息管理

4. 在下列操作系统的各个功能组成部分中，（BCD）需要硬件的支持

A． 进程调度 B． 时钟管理 C． 地址映射 D． 中断系统

数据库应用及安全 1. 要保证数据库的数据独立性，需要修改的是（C）

A． 模式与外模式 B． 模式与内模式

C． 三级模式之间的两层映射 D． 三层模式

2. 数据的（B）是为了防止数据库中存在不符合语义的数据，也就是防止数据库中存在不

正确的数据。数据的（）是保护数据库防止恶意的破坏和非法的存取。 A． 安全性、完整性 B． 完整性、安全性 C． 保密性、安全性 D． 安全性、保密性

3. 数据模型通常分为哪几个模型？（ABCD）

A． 层次模型

A.预防性控制措施 B. 管理性控制措施 C.检查性控制措施 D.纠正性控制措施

攻击检测与防护

1. 完整性机制可以防范以下哪种攻击？（D） A．假冒源地址或用户的地址的欺骗攻击 B．抵赖做过信息的递交行为 C．数据传输中被窃听获取 D．数据传输中被篡改或破坏

2.拒绝服务攻击损害了信息系统的哪一项性能？(B) A．完整性 B．可用性 C．保密性 D．可靠性

3. 以下哪个入侵检测技术能检测到未知的攻击行为？(B) A．基于误用的检测技术 B．基于异常的检测技术 C．基于日志分析的技术 D．基于漏洞机理研究的技术

4. 以下哪些网络攻击是属于拒绝服务攻击（ABC） A.同步风暴(SYN Flood) B.UDP洪水(UDP Flood) C. Smurf攻击 D. Injection攻击 威胁管理与漏洞扫描

1．下面哪类设备常用于识别系统中存在的脆弱性？（C） A．防火墙 B．IDS

C．漏洞扫描器 D．UTM

2. 1433端口漏洞是指：（B） A.操作系统漏洞 B.数据库漏洞 C.输入法漏洞

D.邮件漏洞

3.关于数据库注入攻击的说法正确的是：(ABD) A.它的主要原因是程序对用户的输入缺乏过滤 B.一般情况下防火墙对它无法防范

C.对它进行防范时要关注操作系统的版本和安全补丁 D.注入成功后可以获取部分权限

4. 下列对跨站脚本攻击（XSS）的描述正确的是：(BCD)

A.XSS攻击指的是恶意攻击在WEB页面里插入恶意代码，当用户浏览该页面时嵌入其中WEB页面的代码会被执行，从而达到恶意攻击用户的特殊目的 B.XSS攻击是DOOS攻击的一种变种 C.XSS攻击就是CC攻击

D.XSS攻击就是利用被控制的机器不断地向被攻击网站发送访问请求，迫使HS连接X超出限制，当CPU耗尽，那么网站也就被攻击垮了，从而达到攻击的目的。

密码学基础及应用

1. 在电子商务应用中，下面哪一种说法是错误的：（D） A.证书上具有证书授权中心的数字签名 B.证书上列有证书拥有者的基本信息 C.证书上列有证书拥有者的公开密钥 D.证书上列有证书拥有者的秘密密钥

2. 数字签名通常使用______方式。（C） A.公钥密码体系中的公开密钥与Hash结合 B.密钥密码体系 C.公钥密码体系中的私人密钥与Hash结合 D.公钥密码体系中的私人密钥

3. 电子邮件的机密性与真实性是通过下列哪一项实现的？（A）

A. 用发送者的私钥对消息进行签名，用接收者的公钥对消息进行加密 B、用发送者的公钥对消息进行签名，用接收者的私钥对消息进行加密 C、用接受者的私钥对消息进行签名，用发送者的公钥对消息进行加密 D、用接受者的公钥对消息进行签名，用发送者的私钥对消息进行加密

4. 关于CA的功能下列说法正确的是_______（ABCD） A. 验证申请者的身份 B. 证书签发 C. 证书更新

D. 证书撤销

5.简述数字签名的基本过程和原理

数字签名包含两个过程：签名过程和验证过程。

由于从公开密钥不能推算出私有密钥，因此公开密钥不会损害私有密钥的安全性；公开密钥无需保密，可以公开传播，而私有密钥必须保密。

因此若某人用其私有密钥加密消息，并且用其公开密钥正确解密，就可肯定该消息是某人签名的。

因为其他人的公开密钥不可能正确解密该加密过的消息，其他人也不可能拥有该人的私有密钥而制造出该加密过的消息，这就是数字签名的原理

应用安全

一、判断题

1、在企业环境下，通常会用防火墙DMZ区域将面向公众的服务器和后端的数据库、支持服务系统隔离。（正确）

2、系统变更必须获得批准、记录和测试。（ ）（正确） 3、系统的变更不需要重新认证和认可。（ ）（错误）

4、内聚（cohesion）是反映某个模块能够执行多少种不同类型的任务的术语。模块内聚越高，就越不容易对其进行更新或修改。（ ）（错误）

5、耦合（coupling）是一种度量，表示一个模块完成其任务需要进行多少交互。如果一个模块低耦合，那么就表示该模块在执行其任务时不需要与太多的其它模块通信。 （ ） （正确）

6、计算机病毒的主要功能是复制。 （ ）（正确）

7、机密信息可以采取直接删除文件的方式进行介质净化。 (错误) 8、信息资产安全管理主要从信息资产管理的角度出发，将信息提升到信息资产的高度，用风险管理的手段来保障信息资产的安全。（ ） （正确）

二、单项选择题

1、应用系统涉及到的五个方面的安全，按粒度从粗到细的排序是（B ）

A. 系统级安全、功能性安全程序、资源访问控制安全、数据域安全、传输安全 B. 系统级安全、程序资源访问控制安全、功能性安全、数据域安全、传输安全 C. 系统级安全、程序资源访问控制安全、数据域安全、功能性安全、传输安全 D. 系统级安全、传输安全、程序资源访问控制安全、功能性安全、数据域安全 2、正式测试应当由（ A ）进行。 A. 完全不同于开发人员的另一组人员 B. 开发人员与非开发人员组成 C. 开发人员 3、任务（ C ）不应由安全管理员执行。 A. 维护安全设备与软件 B. 执行安全评估

C. 确保网络和资源的高可用性 D. 为用户设置初始口令 E. 检查审计日志

4、下面哪种远程计算机终端访问是最安全的（ A ） A. SSH B. Telnet C. FTP D. Rsh

5、一种从互联网下载的程序，能执行磁盘清理以及删除一些临时文件，这类程序也能记录网络登录数据并且发送到对方，对这种程序最好的描述是（ B ） A. 病毒

B. 特洛伊木马 C. 蠕虫 D. 逻辑炸弹

6、下面哪一项不是软件创建过程中的安全关键要素 （ D ）

A. 软件需求计划及设计。 B. 软件测试

C. 软件代码中的安全性缺陷检查 D. 软件的开发平台选择 7、在资金集中管理系统，（C ）必须配备专用机。

A. Y3凭证提交环节 B. Y3凭证审核环节 C. Y3凭证导出环节 D. 上载电子对账单

8、根据内控权限管理要求，出纳不应该拥有事务代码 （ D ）。 A. ZTRTG03 （电子付款指令导出）

B. ZTRTG04 （电子付款银行反馈结果查询） C. FB03 （显示凭证） D. FB50 （总帐科目过帐） 正确答案

9、为保证资金支付安全，（ C ）说法是错误的。

A. 电子支付的出纳岗必须使用中石化统一下发的专机 B. 电子支付的出纳岗必须使用UKEY登录ERP系统 C. 付款审批岗可以不使用UKEY

D. 出纳岗专机必须与使用人的UKEY绑定 10、以下关于江汉油田ERP系统应急响应的说法哪项是错误的（D）

A. 因系统故障，导致分公司局部地区或部分模块故障持续超过2小时，但

未到4小时的，应启动一级响应 B. 因系统故障，造成分公司所属区域或所有模块故障持续超过4小时，应

启动二级响应

C. 应急响应级别由应急工作小组确认，并上报应急领导小组，由应急领导

小组决定启动应急预案 D. 二级应急响应不需要报总部备案

三、不定向选择题

1、下列哪些是系统实现阶段需要关注的安全注意事项。 A. 检查与验收 B. 系统集成 C. 安全认证 D. 安全认可 E. 介质净化 （ABCD）

2、产品的安全需求应该从（ ）方面进行定义。 A. 功能性 B. 可用性 C. 完整性 D. 机密性 （BCD）

3、关于安全测试哪些说法是正确的？（ ） A. 关于安全测试没有任何统一的方法。 B. 单元测试可以在开发早期开始。 C. 单元测试通常贯穿于整个开发阶段。

D. 编程人员可以包揽软件的开发、测试和发布。

E. 编程人员开发出一个组件或代码单元后，应该通过在各种不同的情况下输入不

同的数据进行测试。 （ABCE）

4、关于零日漏洞(zero-day)说法正确的是：（ ）

A. 零日漏洞是指被发现后立即被恶意利用的安全漏洞。 B. 零日漏洞是目前还没有找到解决方案的漏洞。

C. 有关“零日漏洞”攻击的详细信息只在攻击被确定后才会出现。 D. 零日漏洞攻击往往具有很大的突发性与破坏性。 （ABCD）

5、从职责分离原则考虑，（ ）不宜由系统和安全管理员担任。 A. 安装软件

B. 执行备份和恢复程序 C. 设置权限

D. 添加和删除用户 E. 开发用户配置文件 F. 改变桌面配置 （A F）

6、下面关于cookie的说法，哪些是正确的 （ ）

A. Cookie是浏览器保存在用户硬盘上的文本文件或是驻留在内存中 B. Cookie保留了HTTP连接之间的历史记录 C. Cookie内具有时间标记，确保安全连接超时

D. 包含有敏感信息的cookie可以用文本形式存在硬盘。

（ ABC）

7、应用系统安全包括哪些主要内容。( ) A. 系统级安全

B. 程序资源访问控制安全 C. 功能性安全 D. 数据域安全 E. 传输安全 （ABCDE）

8、应用开发实施过程中有哪些主要的安全要求。（ ）

A. 详细功能设计。将业务场景转化成面向程序员的详细设计说明书。 B. 严谨的程序设计。由程序员将设计说明书转化为应用软件。

C. 严格的软件测试。通过对软件规范测试，确保软件的安全性及可靠性。 D. 应用实施。正式发布应用软件并提交给业务部门使用。 （ABCD）

9、下面哪些做法可以降低自己受到社会工程学攻击的几率 （ ）

A. 在未确认对方机构及身份之前，不要提供给对方关于自己的私人信息 B. 不要在电子邮件中泄露私人的或财务方面的信息，不要点击陌生邮件中的

链接。

C. 在个人使用的电脑中安装正版杀毒软件并及时更新 D. 在网络上发送机密信息时不需要检查网站的安全性。

（ ABC ）

10、下面哪些做法属于社会工程学攻击范畴（ ）

A. 直接向目标人员索取所需信息

B. 通过冒充某机构或某特定职能人员索取信息

C. 使用反向社会工程学技术，诱使目标人员反过来向攻击者提供信息。 D. 利用邮件植入木马或通过钓鱼网站窃取所需信息

（ ABCD ）

11、财（银）企直联权限设置中，哪些权限要执行不相容岗位分离？（） A. 付款凭证编制和支付指令导出权限 B. 支付指令导出权限和线上审核权限 C. 付款凭证编制和线上审核权限 D. 导出释放权限和支付指令导出权限 （ABCD ）

12、以下说法错误的有（）

A. ERP系统中银行对账的权限由出纳拥有。 B. 财务部门按日进行电子银行对账。

C. ERP电子付款只需要线下审核，不需要在ERP系统中审核。 D. 由于通过电子媒介签名认证，因此uskey不需要更换密码 （ ACD ）

13、在ERP系统中供应商主数据管理员主要负责供应商主数据维护，根据内控权限管理要求，他不可以拥有以下哪些事务代码的权限。（ ） A. XK06 给供应商打删除标记 B. ME21N（创建采购订单） C. ME28（采购订单审批） D. F-41（结算供应商）

（ BCD ）

14、资金集中系统专机用户使用UKEY无法登录ERP，可能存在哪些原因。（ ） A. 未正确安装UKEY驱动。

B. 未正确安装江南天安CSP安全软件。 C. UKEY使用期限过期。 D. ERP账号被锁定。 （ ABCD ）

15、根据内控管理要求，下面关于ERP系统账号的说法哪些是正确的。 A． 系统管理员对超过30天不登录系统的账号进行锁定 B． 系统管理员对超过180天不登录系统的账号进行删除 C． 用户登录系统时，密码错误输入超过5次，将被锁定 D． 用户账号可以借给他人使用 （BC） 16、应急响应级别由哪些因素决定 （ ） A. 应急故障影响范围 B. 应急故障恢复时间

C. 解决应急故障参与的人数 D. 应急故障设备类型 （AB）

四、简答题

1、系统开发项目风险分析和安全风险分析有何区别？

答：项目风险主要分析与项目失败相关的风险；安全风险分析处理软件产品本身的脆弱性。

2、在开发或者购买一个系统（计算机、网络或者软件）之前，需要做哪些事情，以确保最终结果符合公司的真正需要？请列出活动名称并简述活动内容。

答：主要活动有：

1) 需求分析。深入研究公司需要目标系统具备什么功能。

2) 正式的风险评估。标识拟用系统中的脆弱性和威胁，以及它们与机密性、完整

性和可用性相关的潜在风险级别。

3) 安全功能需求分析。标识系统必须提供的保护级别，以满足所有规定、法律和

政策的要求。

4) 安全保证需求分析。标识系统必须具备的保证级别。确定为确保系统具备所需

的信心程度而需要执行的活动有哪些，这些活动往往指具体的测试和评估。 5) 第三方评估。如果打算购买该系统，审核系统供货商的服务和质量等级。 6) 安全计划。确定系统必须具备的安全控制措施，确保符合公司安全需求的规定。 7) 安全测试和评估计划。规定出在系统被批准部署之前应该如何评估安全控制措

施。

3、减少攻击面（attack surface）的基本策略有哪些？

答：减少攻击面的基本策略是减少运行代码的数量、减少不可信用户可用的进入点、尽可能多地降低权限级别和删除不必要的服务。

4、恶意代码或恶意软件存在哪几种类型？

答：恶意代码或恶意软件主要类型有：病毒、蠕虫、特洛伊木马和逻辑炸弹。 5、软件开发过程中业务用户及程序开发人员一般要提供哪些类型的文档。 答：需提供的文档有：软件需求规格说明书、软件设计说明书、软件测试及确认计划、软件测试及确认报告、用户文档及其他文档。

6、中石化ERP系统技术模块应急预案包括哪些故障类型。 答：网络基础设施软、硬件故障、ERP服务器硬件故障、ERP服务器软件故障应急处理细则、ERP数据库软件故障、ERP应用系统软件故障、机房环境故障、重大灾难事故。

IT内控

一、单选题 1、（B）年6月，我国财政部、证监会、银监会、保监会及审计署委联合发布了被称为“中国版萨班斯法案”的《企业内部控制基本规范》。 A.2007年 B.2008年 C.2009年 D.2010年

2、外购信息的订购、采集由信息(C)部门统一归口管理。 A. 提供 B.需求 C.管理

3、信息(C)部门负责信息源的维护。 A.管理 B.需求 C.提供

4、需委托外部维护的信息系统，信息系统管理部门负责审查运维服务商资质，并签订系统维护服务合同以及（ c ）。

A.口头保密协议 B.安全协议 C.安全保密协议 5、信息系统管理部门(C)项目责任部门(单位)审查集成商、咨询商、开发商及供应商的资质，开展询比价、商务谈判等工作

A、参与 B、会同 C、负责组织 D、配合

6、数据迁移时，项目责任部门(单位)组织相关(A)进行数据的收集、整理和审核，保证数据的真实、完整和准确。

A、业务部门 B、技术专家 C、信息管理部门 D、单位信息员 7、应用管理员每月在线检查用户帐号使用情况，对（ C ）天未登录账号进行锁定，（ C ）天未登录账号进行删除，并通知相关人员。

A、30、90 B、60、120 C、90、180 D、180、360

8、建立或变更用户帐号和权限，由（ ）实施维护操作。（ D ）

A、操作系统管理员 B、 数据库管理员 C、安全管理员 D、应用管理员

9、系统管理员至少（A）修改操作系统用户密码，填写密码更换记录。A.每季度 B.每半年 C.每月 D.每年

10、网络管理员必须每（B）个月修改网络设备登录密码，填写密码更换记录， A.三个月 B.6个月 C.1个月 D.12个月

二、多选题

1、18.4基础设施IT一般性控制流程共包括以下部分（ABCEF） A.网络管理 B.服务器管理 C.桌面计算机管理 D.机房管理 E.备份管理 F.故障处理和应急预案 G.软件管理

2、18.2 ERP系统IT一般性控制适用范围包括（ABCD）

A. ERP系统程序和数据的访问管理 B. 程序变更管理 C. 程序开发管理 D. 系统运行管理

3、18.2 ERP系统IT一般性控制中对第三方人员管理要求是（ABC） A. 针对第三方合作单位需要签订安全保密协议

B. 第三方人员访问系统，需填写第三方人员帐号申请表 C. 第三方人员撤离后，其帐号需在系统中进行删除或锁定

D. 第三方需交一定的保证金，以确保业务操作的安全性和连续性

4、IT内控流程中为IT一般性控制的流程是（CDE） A.17.1 B.18.1 C.18.2 D.18.3 E.18.4

5、18.1流程中，项目责任部门(单位)责成项目实施单位负责知识转移，并提交项目相关的技术文档，这些技术文档包括（ABCDE） A.用户使用手册 B.系统维护手册

C.系统安全和使用授权管理办法 D.应急处理办法

E. 用户培训教材等资料

6、网络用户终端接入的程序包括（ABCD） A.用户终端接入网络需填写申请表 B由申请人所在部门确认

C.信息系统管理部门批准并备案 D.终端接入安全责任条款

7、18.1流程中对项目的管理要求，项目责任部门(单位)负责至少每季度向信息系统管理部门提交项目实施报告，内容包括（ABCD）

A. 项目进度 B. 质量 C. 经费使用 D. 存在问题和整改措施

本文来源：https://www.bwwdw.com/article/sit5.html