網(wǎng)絡安全知識競賽參考題庫（濃縮500題）

PAGEPAGE1網(wǎng)絡安全知識競賽參考題庫（濃縮500題）一、單選題1.在等級保護實施中，對信息系統(tǒng)中使用的信息安全產(chǎn)品的等級進行監(jiān)督檢查是（）的主要職責之一A、信息系統(tǒng)運營、使用單位B、信息系統(tǒng)主管部門C、信息系統(tǒng)安全服務商D、信息安全監(jiān)管機構答案：D2.在信息安全管理體系(ISMS)范圍內(nèi)的資產(chǎn)，其責任人應是（）？A、資產(chǎn)的所有人B、該單位（公司）的法人C、負責控制資產(chǎn)的產(chǎn)生、開發(fā)、維護、使用和保證資產(chǎn)的安全的管理職責的人或?qū)嶓w。D、以上都不是答案：C3.首次提出了非對稱密碼體制的假想的是（）A、《密碼起源》B、《密碼簡史》C、《密碼安全》D、《密碼學新方向》答案：D4.在進行SQL注入測試的時候，如若需要針對POST方法進行注入，其用到SQLmap的參數(shù)和方法應該是A、抓取完整HTTP協(xié)議包文保存成txt文件，并使用--load-file參數(shù)讀取該文件進行注入B、抓取完整HTTP協(xié)議包文保存成txt文件，并使用-r參數(shù)讀取該文件進行注入C、抓取完整HTTP協(xié)議包文保存成txt文件，并使用-p參數(shù)讀取該文件進行注入D、抓取完整HTTP協(xié)議包文保存成txt文件，并使用--dump參數(shù)讀取該文件進行注入答案：B5.收到銀行號碼發(fā)來的中獎信息及銀行升級通知修改密碼并給有相關鏈接地址應該怎么做（）A、反正也沒什么影響點開鏈接看看怎么回事B、核對電話號碼無誤后點開鏈接C、撥打官方電話進行詢問D、對該短信進行轉(zhuǎn)發(fā)答案：C6.在信息安全保障體系中，最重要的核心組成部分為。A、技術體系B、應急與保障體系C、教育與培訓D、管理體系與安全策略答案：D7.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求，其信息安全措施通常需要在資產(chǎn)管理方面實施常規(guī)控制，資產(chǎn)管理包含對資產(chǎn)負責和信息分類兩個控制目標。信息分類控制的目標是為了確保信息受到適當級別的保護，通常采取以下哪項控制措施（）A、資產(chǎn)清單B、資產(chǎn)責任人C、資產(chǎn)的可接受使用D、分類指南、信息的標記和處理答案：D8.設計信息安全策略時，最重要的一點是所有的信息安全策略應該:（）A、非現(xiàn)場存儲B、b)由IS經(jīng)理簽署C、發(fā)布并傳播給用戶D、經(jīng)常更新答案：C9.公安機關建有國家、省、市級（），負責網(wǎng)絡與信息安全事件的發(fā)現(xiàn)、研判、通報和預警等工作A、網(wǎng)絡安全企業(yè)B、委辦局C、網(wǎng)絡與信息安全信息通報中心D、網(wǎng)絡安全評估中心答案：C10.以下關于災難恢復和數(shù)據(jù)備份的理解,說法正確的是:A、增量備份是備份從上次完全備份后更新的全部數(shù)據(jù)文件B、依據(jù)具備的災難恢復資源程度的不同,災難恢復能力分為7個等級C、數(shù)據(jù)備份按數(shù)據(jù)類型劃分可以劃分為系統(tǒng)數(shù)據(jù)備份和用戶數(shù)據(jù)備份D、如果系統(tǒng)在一段時間內(nèi)沒有出現(xiàn)問題,就可以不用再進行容災演練了答案：C11.用戶C打開瀏覽器，訪問受信任網(wǎng)站A，輸入用戶名和密碼請求登錄網(wǎng)站A，在用戶信息通過驗證后，網(wǎng)站A產(chǎn)生Cookie信息并返回給瀏覽器，此時用戶登錄網(wǎng)站A成功，可以正常發(fā)送請求到網(wǎng)站A，用戶未退出網(wǎng)站A之前，在同一瀏覽器中，打開一個TAB頁訪問網(wǎng)站B，網(wǎng)站B接收到用戶請求后，返回一些攻擊性代碼，并發(fā)出一個請求要求訪問第三方站點A，瀏覽器在接收到這些攻擊性代碼后，根據(jù)網(wǎng)站B的請求，在用戶不知情的情況下攜帶Cookie信息，向網(wǎng)站A發(fā)出請求。網(wǎng)站A并不知道該請求其實是由B發(fā)起的，所以會根據(jù)用戶C的Cookie信息以C的權限處理該請求，導致來自網(wǎng)站B的惡意代碼被執(zhí)行。以上過程是下面哪一種攻擊：A、CSRFB、SSRFC、XXED、XSS答案：B12.以下有關軟件加密和硬件加密的比較，不正確的是（）A、硬件加密對用戶是透明的，而軟件加密需要在操作系統(tǒng)或軟件中寫入B、硬件加密的兼容性比軟件加密好C、硬件加密的安全性比軟件加密好D、硬件加密的速度比軟件加密快答案：B13.信息安全培訓制度，是指互聯(lián)網(wǎng)上網(wǎng)服務營業(yè)場所的信息安全管理人員和技術人員必須接受相應的信息安全培訓，考核通過后（）。A、分批上崗B、著裝上崗C、立即上崗D、持證上崗答案：D14.ApacheWeb服務器的配置文件一般位于/usr／local／apache／conf目錄，其中用來控制用戶訪問Apache目錄的配置文件是：A、httpd．confB、srLconfC、access．confD、inetd．conf答案：A15.《等級保護管理辦法》將信息系統(tǒng)的安全保護劃分為（）個等級。A、三B、四C、五D、六答案：C16.在定級要素與信息系統(tǒng)安全保護等級的關系中，國家安全受到嚴重損害屬于安全等級（）A、第一級B、第二級C、第三級D、第四級答案：D17.好友的QQ突然發(fā)來一個網(wǎng)站鏈接要求投票，最合理的做法是？A、因為是其好友信息，直接打開鏈接投票B、可能是好友QQ被盜，發(fā)來的是惡意鏈接，先通過手機跟朋友確認鏈接無異常后，再酌情考慮是否投票C、不參與任何投票D、把好友加入黑名單答案：B18.傳入我國的第一例計算機病毒是（）A、大麻病毒B、米開朗基羅病毒C、1575病毒D、小球病毒答案：D19.什么是URL（）A、統(tǒng)一資源定位符?B、域名C、地址欄D、SMTP協(xié)議答案：A20.RSA是一種具有代表性的公鑰加密算法。用戶A利用RSA實施數(shù)字簽名后不能抵賴的原因是：A、是A而不是第三方實施的簽名B、A公布了自己的公鑰，且不可偽造C、RSA簽名需要使用接收方的公鑰D、只有A知道自己的私鑰答案：D21.確定設計要求、架構評估、威脅建模屬于云應用生命周期安全管理的哪一個階段？A、安全架構審核B、安全需求開發(fā)C、應用立項D、安全開發(fā)答案：A22.以下哪一項不屬于信息安全工程監(jiān)理模型的組成部分：A、監(jiān)理咨詢支撐要素B、控制和管理手段C、監(jiān)理咨詢階段過程D、監(jiān)理組織安全實施答案：D23.從系統(tǒng)服務安全角度反映的信息系統(tǒng)安全保護等級稱為（）A、系統(tǒng)服務安全保護等級B、業(yè)務信息安全保護等級C、服務安全保護等級D、系統(tǒng)安全保護等級答案：A24.下列基于內(nèi)容的過濾技術中在我國沒有得到廣泛應用的是（）。A、內(nèi)容分級審查B、關鍵字過濾技術C、啟發(fā)式內(nèi)容過濾技術D、機器學習技術答案：A25.國家建立網(wǎng)絡安全監(jiān)測預警和（）制度。國家網(wǎng)信部門應當統(tǒng)籌協(xié)調(diào)有關部門加強網(wǎng)絡安全信息收集、分析和通報工作,按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡安全監(jiān)測預警信息A、信息共享B、信息輸送C、信息傳達D、信息通報答案：B26.以保護特定應用為目的的安全技術指的是（）。A、應用安全技術B、物理安全技術C、網(wǎng)絡安全技術D、數(shù)據(jù)安全技術答案：A27.當web服務器訪問人數(shù)超過了設計訪問人數(shù)上限，將可能出現(xiàn)的HTTP狀態(tài)碼是A、200OKB、503ServiceUnavailableC、403ForbiddenD、302Movetemporarily答案：B28.下列安全建議正確的是？A、選擇資源豐富的軟件網(wǎng)站進行下載B、為提高下載速度可以暫時關閉殺毒軟件C、下載完成后直接打開下載的文件D、下載軟件時去軟件的官方網(wǎng)站或其他正規(guī)網(wǎng)站上下載答案：D29.網(wǎng)絡安全等級保護制度中規(guī)定，安全保護義務包括:采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術措施，并按照規(guī)定留存相關的網(wǎng)絡日志不少干()個月A、3B、12C、6D、9答案：C30.信息系統(tǒng)運營、使用單位應當依據(jù)（）和《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級A、《中華人民共和國計算機信息系統(tǒng)安全保護條例》B、《信息安全等級保護管理辦法》C、《信息系統(tǒng)安全等級保護基本要求》D、《中華人民共和國網(wǎng)絡安全法》答案：B31.應急響應計劃中的（）是標識信息系統(tǒng)的資產(chǎn)價值，識別信息系統(tǒng)面臨的自然和人為的威脅，識別信息系統(tǒng)的脆弱性，分析各種威脅發(fā)生的可能性A、風險評估B、業(yè)務影響分析C、制訂應急響應策略D、制定網(wǎng)絡安全預警流程答案：A32.在UTM校驗未知數(shù)據(jù)流時，其CPU指數(shù)低于20%以下，此現(xiàn)象表明（）A、正常現(xiàn)象B、錯誤現(xiàn)象C、警示現(xiàn)象D、危機現(xiàn)象答案：A33.互聯(lián)網(wǎng)上網(wǎng)服務營業(yè)場所經(jīng)營單位應當對上網(wǎng)消費者的（）等有效證件進行核對、登記。A、身份證B、畢業(yè)證C、出入證D、結(jié)業(yè)證答案：A34.拿到一個待檢測的站，你覺得應該先做什么（）A、獲取域名的whois信息,獲取注冊者郵箱姓名電話等B、查詢服務器旁站以及子域名站點，因為主站一般比較難，所以先看看旁站有沒有通用性的cms或者其他漏洞C、查看服務器操作系統(tǒng)版本，web中間件，看看是否存在已知的漏洞，比如IIS，APACHE,NGINX的解析漏洞D、以上三個選項皆正確答案：D35.從系統(tǒng)中取得用戶的角色信息并根據(jù)角色信息獲取用戶的訪問權限，可以根據(jù)訪問權限定義高危的操作以及（）A、授權范圍內(nèi)的訪問B、允許授權的訪問C、非認證的訪問D、非授權的訪問答案：D36.能對計算機硬件破壞的病毒是：A、CIHB、CODEREDC、維金D、熊貓燒香答案：A37.以下哪項可以最有效評估員工信息安全意識培訓效果（）A、培訓后安全考試成績B、針對安全培訓的滿意度調(diào)查結(jié)果C、模擬釣魚攻擊測試結(jié)果D、培訓出席率答案：C38.安全事件應急處理準備階段要做的是A、基于威脅建立合理的安全保障措施B、完全關閉所有系統(tǒng)C、從網(wǎng)絡上斷開主機或部分網(wǎng)絡D、修改所有的防火墻和路由器的過濾規(guī)則答案：A39.2003年以來，我國高度重視信息安全保障工作，先后制定并發(fā)布了多個文件，從政策層面為開展并推進信息安全保障工作進行了規(guī)劃。下面選項中哪個不是我國發(fā)布的文件（）A、《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）B、《國家網(wǎng)絡安全綜合計劃（CNCI）》（國令[2008]54號）C、《國家信息安全戰(zhàn)略報告》（國信[2005]2號）D、《關于大力推進信息化發(fā)展和切實保障信息安全的若干意見》（國發(fā)[2012]23號）答案：B40.下列措施中，()不是減少病毒的傳染和造成的損失的好辦法。A、重要的文件要及時、定期備份，使備份能反映出系統(tǒng)的最新狀態(tài)B、外來的文件要經(jīng)過病毒檢測才能使用，不要使用盜版軟件C、不與外界進行任何交流，所有軟件都自行開發(fā);D、定期用抗病毒軟件對系統(tǒng)進行查毒、殺毒答案：C41.分組密碼算法是一類十分重要的密碼算法，下面描述中，錯誤的是（）A、分組密碼算法要求輸入明文按組分成固定長度的塊B、分組密碼算法每次計算得到固定長度的密文輸出塊C、分組密碼算法也稱為序列密碼算法D、常見的DES、IDEA算法都屬于分組密碼算法答案：C42.關于ARP協(xié)議的描述，錯誤的是A、ARP協(xié)議是根據(jù)IP地址獲取物理地址的協(xié)議B、ARP協(xié)議只能在局域網(wǎng)中獲取物理地址C、當一臺主機接收到ARP請求，會判斷是否為自己的IPD、所有主機會在接收到ARP請求后發(fā)送響應答案：D43.使用Burpsuite爆破Tomcat管理界面弱口令，Payloadtype需要使用什么類型?A、CustomiteratorB、RuntimefileC、CharacterBlocksD、Recursivegrep答案：A44.安全風險計算模型包含()、脆弱性、威脅等關鍵要素A、信息資產(chǎn)B、安全措施C、風險D、殘余風險答案：A45.GB/T18836《信息技術安全性評估準則》是評測標準類中的重要標準,改標準定義了評估對象(TOE)、保護輪廓(PP)和安全目標(ST)等術語,關于安全目標(ST),下面選項中描述錯誤的是（）A、ST描述了安全要求,具體說明了一個既定被評估產(chǎn)品或評估對象的安全功能B、ST包含該TOE的安全要求和用于滿足安全要求的特定安全功能和保證措施C、ST對于產(chǎn)品和系統(tǒng)來講,相當于要求了其安全實現(xiàn)方案D、ST從用戶角度描述,代表了用戶想要的東西,而不是廠商聲稱提供的東西答案：D46.下列哪種情況不能夠通過XSS攻擊實現(xiàn)？A、劫持受害者的會話B、獲取受害者的IP地址C、獲取受害者主機的控制權D、制作蠕蟲劫持用戶的瀏覽器答案：C47.若A給B發(fā)送一封郵件，并想讓B能驗證郵件是由A發(fā)出的，則A應該選用（）對郵件加密。A、A的公鑰B、A的私鑰C、A的私鑰D、B的私鑰答案：B48.關于信息安全策略文件以下說法不正確的是哪個（）A、信息安全策略文件應由管理者批準、發(fā)布。B、信息安全策略文件并傳達給所有員工和外部相關方。C、信息安全策略文件必須打印成紙質(zhì)文件進行分發(fā)。D、信息安全策略文件應說明管理承諾，并提出組織的管理信息安全的方法。答案：C49.下面不屬于跨站請求偽造攻擊防御的是（）。A、驗證碼B、請求檢查C、反CSRF令牌D、輸出檢查答案：D50.通過社會工程的方法進行非授權訪問的風險可以通過以下方法避免：（）A、安全意識程序B、非對稱加密C、入侵偵測系統(tǒng)D、非軍事區(qū)答案：A51.（）針對小概率大災難事件，通過不斷的意識培訓和演練來加強全體員工的應變能力。A、確定BCM戰(zhàn)略B、理解組織C、演練、維護和評審D、BCM應對答案：D52.以下關于HTTP協(xié)議描述錯誤的是（）A、HTTP遵循請求(Request)/應答(Response)模型，發(fā)送一次HTTP請求會產(chǎn)生兩類報文，分別是請求報文與響應報文。B、HTTP協(xié)議默認端口為80C、HTTP為有狀態(tài)的協(xié)議，可以記住客戶端狀態(tài)D、HTTP（HyperTextTransferProtocol）既超文本傳輸協(xié)議，是一種詳細規(guī)定了瀏覽器和萬維網(wǎng)服務器之間互相通信的規(guī)則。答案：C53.（）是指同一系統(tǒng)內(nèi)有相同的安全保護需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡，且相同的網(wǎng)絡安全域共享一樣的安全策略。A、用戶域B、管理域C、安全域D、應用域答案：C54.審核在實施審核時，所使用的檢查表不包括的內(nèi)容有？()A、審核依據(jù)B、審核證據(jù)記錄C、審核發(fā)現(xiàn)D、數(shù)據(jù)收集方法和工具答案：C55.分級保護針對的是涉密信息系統(tǒng)，劃分等級不包括（）A、秘密B、機密C、絕密D、公開答案：D56.張三觸犯了侵犯公民個人信息罪，因偵查需要收集他的聊天記錄，則應當由()以上偵查人員進行。A、兩名B、三名C、四名D、五名答案：A57.業(yè)務連續(xù)性管理框架中，理解組織是指了解組織的產(chǎn)品和服務，識別關鍵活動，搞清楚其供應鏈上的（）。A、對應規(guī)則B、依賴關系C、作用機理D、上下游單位答案：B58.訪問控制是指確定（）以及實施訪問權限的過程。A、用戶權限B、可給予哪些主體訪問權限C、可被用戶訪問的資源D、系統(tǒng)是否遭受入侵答案：A59.關于信息安全等級保護政策，下列說法錯誤的是：A、非涉密計算機信息系統(tǒng)實行等級保護，涉密計算機信息系統(tǒng)實行分級保護；B、信息安全等級保護實行“自主定級、自主保護”的原則C、信息安全等級保護的核心是對信息安全分等級、按標準進行建設、管理監(jiān)督；D、對三級以上信息系統(tǒng)實行備案要求，由公安機關頒發(fā)備案證明。答案：D60.SSL指的是（）A、加密認證協(xié)議B、安全套接層協(xié)議C、授權認證協(xié)議D、安全通道協(xié)議答案：B61.災難發(fā)生后，恢復數(shù)據(jù)所需要的時間與決定備份所需要的時間和（）同樣重要。A、效率B、頻率C、質(zhì)量D、能耗答案：B62.根據(jù)《網(wǎng)絡安全法》第33條的規(guī)定，建設關鍵信息基礎設施，應保證安全技術措施（）A、同步規(guī)劃、同步建設、同步使用B、同步規(guī)劃、同步建設、同步投運C、同步建設、同步測試D、同步規(guī)劃、同步測試答案：A63.以下哪個不屬于跨站腳本漏洞分類（）A、存儲型B、反射型C、CSRF型D、DOM型答案：C64.辦理信息系統(tǒng)安全保護等級備案手續(xù)時第三級以上信息系統(tǒng)應當同時提供系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、()證明A、上市許可B、銷售許可C、技術認定D、環(huán)保認定答案：B65.Session與Cookie狀態(tài)之間的最大區(qū)別在于A、類型不同B、存儲的位置不同C、容量不同D、生命周期不同答案：B66.在下列這些網(wǎng)絡攻擊模型的攻擊過程中，端口掃描攻擊一般屬于哪一項（）（）A、信息收集B、弱點挖掘C、攻擊實施D、痕跡清除答案：A67.信息系統(tǒng)受到破壞后，對公民、法人和其他組織的合法權益產(chǎn)生特別嚴重損害時，相應的系統(tǒng)應定為（）A、第二級保護對象B、第三級保護對象C、第四級保護對象D、第五級保護對象答案：B68.下列不是信息化戰(zhàn)爭的“軟打擊”的是（）A、精確導彈攻擊B、網(wǎng)絡攻擊C、心理攻擊D、媒體攻擊答案：A69.RADIUS是利文斯頓事業(yè)(LivingstonEnterprises)公司開發(fā)的一種網(wǎng)絡協(xié)議。該協(xié)議為網(wǎng)絡服務用戶提供集中式的AAA(認證、授權、賬戶)管理。RADIUS服務器不可通過（）方式來認證用戶A、CHAP認證B、PAP認證C、端到端認證D、UNIX登錄答案：C70.（）是國家授權對信息安全和網(wǎng)絡安全進行監(jiān)控和管理的職能機構A、公安部B、國家安全部C、司法部D、審計署答案：A71.（）將信息系統(tǒng)的安全保護等級分為五級，以更好地保護信息系統(tǒng)的安全。A、《等級保護管理辦法》B、《計算機信息系統(tǒng)安全保護條例》C、《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》D、《互聯(lián)網(wǎng)信息服務管理辦法》答案：A72.某單位計劃在今年開發(fā)一套辦公自動化(OA)系統(tǒng),將集團公司各地的機構通過互聯(lián)網(wǎng)進行協(xié)同辦公,在OA系統(tǒng)的設計方案評審會上，提出了不少安全開發(fā)的建議,作為安全專家,請指出大家提出的建議中不太合適的一條?A、對軟件開發(fā)商提出安全相關要求,確保軟件開發(fā)商對安全足夠的重視,投入資源解決軟件安全問題B、要求軟件開發(fā)人員進行安全開發(fā)培訓,使開發(fā)人員掌握基本軟件安全開發(fā)知識C、要求軟件開發(fā)商使用Java而不是ASP作為開發(fā)語言,避免產(chǎn)生SQL注入漏洞D、要求軟件開發(fā)商對軟件進行模塊化設計,各模塊明確輸入和輸出數(shù)據(jù)格式,并在使用前對輸入數(shù)據(jù)進行校驗答案：C73.跨站腳本攻擊漏洞(XSS)需要用到什么編程語言來構造攻擊代碼（）A、CSSB、pythonC、phpD、javascript答案：D74.關于metasploit的參數(shù)，錯誤的是A、RHOST一般是被攻擊主機的IP地址B、RPORT一般是被漏洞利用的端口號C、LHOST一般是發(fā)起攻擊的IPD、LPORT一般是被漏洞利用的端口號答案：B75.在GoogleHacking語法中，下面哪一個是搜索指定類型文件（）A、intextB、intitleC、siteD、filetype答案：D76.分片攻擊問題發(fā)生在A、數(shù)據(jù)包被發(fā)送時B、數(shù)據(jù)包在傳輸過程中C、數(shù)據(jù)包被接收時D、數(shù)據(jù)包中的數(shù)據(jù)進行重組時答案：D77.除了OSI安全體系結(jié)構中提出的安全機制之外，下面還有哪個是普遍采用的安全機制A、數(shù)字簽名B、數(shù)據(jù)完整性C、認證交換D、安全審計跟蹤答案：D78.信息安全管理者需要完成方方面面的繁雜工作，這些日常工作根本的目標是：A、避免系統(tǒng)軟硬件的損傷B、監(jiān)視系統(tǒng)用戶和維護人員的行為C、保護系統(tǒng)內(nèi)的信息資產(chǎn)D、給入侵行為制造障礙，并在發(fā)生入侵后及時發(fā)現(xiàn)、準確記錄答案：C79.如何防范釣魚網(wǎng)站（）A、不用聊天工具B、安裝安全防護軟件C、警惕中獎、修改網(wǎng)銀密碼的通知郵件、短信，不經(jīng)檢查可點擊未經(jīng)核實的陌生鏈接D、可多人共用的電腦上進行金融業(yè)務操作，如網(wǎng)吧等。答案：B80.操作誤用類安全事件是指（）所引起的安全事件。A、合法用戶由于誤操作造成網(wǎng)絡或系統(tǒng)不能正常提供服務B、惡意用戶利用系統(tǒng)的安全漏洞對系統(tǒng)進行未授權的訪問或破壞C、惡意用戶利用發(fā)送虛假電子郵件、建立虛假服務網(wǎng)站、發(fā)送虛假網(wǎng)絡消息等方法D、惡意用戶利用病毒、蠕蟲、特洛伊木馬等其他惡意代碼破壞網(wǎng)絡可用性或竊取網(wǎng)絡中數(shù)據(jù)答案：A81.信息安全的保護對象主要是計算機硬件，軟件和（）。A、操作系統(tǒng)B、開發(fā)語言C、文件系統(tǒng)D、數(shù)據(jù)答案：D82.關于資產(chǎn)賦值，下列說法錯誤的是（）A、資產(chǎn)賦值是以資產(chǎn)的賬面價格來衡量的B、在對資產(chǎn)進行估價時，不僅要考慮資產(chǎn)的成本價格，更重要的是要考慮資產(chǎn)對于組織業(yè)務的安全重要性C、為確保資產(chǎn)估價時的一致性和準確性，應按照上述原則，建立一個資產(chǎn)價值尺度(資產(chǎn)評估標準)，以明確如何對資產(chǎn)進行賦值D、資產(chǎn)估價的過程，也就是對資產(chǎn)保密性、完整性和可用性影響分析的過程答案：A83.為什么一個公司內(nèi)部的風險評估團隊應該由來自不同部門的人員組成（）A、確保風險評估過程是公平的B、因為風險正是由于這些來自不同部門的人員所引起的，因此他們應該承擔風險評估的職責C、因為不同部門的人員對本部門所面臨的風險最清楚，由此進行的風險評估也最接近于實際情況D、風險評估團隊不應該由來自不同部門的人員組成，而應該由一個來自公司外部的小型團隊組成答案：C84.非對稱密碼算法具有很多優(yōu)點，其中不包括：A、可提供數(shù)字簽名、零知識證明等額外服務B、加密/解密速度快，不需占用較多資源C、通信雙方事先不需要通過保密信道交換密鑰D、密鑰持有量大大減少答案：B85.SSE－CMM(SystemSecurityEngineeringCapabilityMaturityModel)模型中的PA06實施表示（）A、評估沖擊影響B(tài)、管理安全性控制C、評估安全性風險D、建立保證論據(jù)答案：D86.下列不屬于單表古典密碼的是A、維吉尼亞密碼B、愷撒加密C、仿射密碼D、全部都是答案：A87.什么是信息安全管理的三個目的（）A、授權、機密性、準確性B、可用行、機密性、完整性C、準確性、可用行、機密性、D、準確性、機密性、完整性答案：B88.會讓一個用戶的“刪除”操作去警告其他許多用戶的垃圾郵件過濾技術是（）。A、黑名單B、白名單C、實時黑名單D、分布式適應性黑名單答案：D89.以下不可以防范口令攻擊的是（）A、設置的口令要盡量復雜些，最好由字母、數(shù)字、特殊字符混合組成B、在輸入口令時應確認無他人在身邊C、定期改變口令D、選擇一個安全性強復雜度高的口令，所有系統(tǒng)都使用其作為認證手段答案：D90.物聯(lián)網(wǎng)就是物物相連的網(wǎng)絡，物聯(lián)網(wǎng)的核心和基礎仍然是（），是在其基礎上的延伸和擴展的網(wǎng)絡。A、城域網(wǎng)B、互聯(lián)網(wǎng)C、局域網(wǎng)D、內(nèi)部辦公網(wǎng)答案：B91.以下關于計算機取證，描述錯誤的是A、使用先進的技術和工具，按照標準規(guī)程全面地檢查計算機系統(tǒng)，以提取和保護有關計算機犯罪的相關證據(jù)的活動B、取證的目的包括：通過證據(jù)查找肇事者，通過證據(jù)推斷犯罪過程、通過證據(jù)判斷受害損失程度及收集證據(jù)提供法律支持C、電子證據(jù)是計算機系統(tǒng)運行過程中產(chǎn)生的各種信息記錄及存儲的電子化資料及物品。對于電子證據(jù)，取證工作主要圍繞證據(jù)的獲取和證據(jù)的保護兩方面D、計算機取證流程可分為準備、保護、提取、分析、提交5個步驟答案：C92.超文本傳輸協(xié)議（HTTP，HyperTextTransferProtocol)是互聯(lián)網(wǎng)上應用最為廣泛的一種網(wǎng)絡協(xié)議。所有的文件都必須遵守這個標準。HTTP協(xié)議的GET請求方法可以獲取（）類型的數(shù)據(jù)。A、HTML文檔B、圖片C、視頻D、以上都可以答案：D93.關于hrdra的參數(shù)，描述錯誤的是A、“-L”參數(shù)可以指定用戶名字典B、“-p”參數(shù)可以指定密碼字典C、“-s”參數(shù)可以指定端口D、“-v”參數(shù)可以顯示爆破詳細信息答案：B94.在OSI參考模型中有7個層次，提供了相應的安全服務來加強信息系統(tǒng)的安全性，以下哪一層提供了保密性、身份鑒別、數(shù)據(jù)完整性服務?A、網(wǎng)絡層B、表示層C、會話層D、物理層答案：B95.建立和訓練一個高效率的專業(yè)應急響應團隊是應急響應（）階段的目標A、準備B、檢測C、收集信息D、抑制答案：A96.下列哪一些對信息安全漏洞的描述是錯誤的A、漏洞是存在于信息系統(tǒng)的某種缺陷。B、漏洞存在于一定的環(huán)境中，寄生在一定的客體上(如TOE中、過程中等)。C、具有可利用性和違規(guī)性，它本身的存在雖不會造成破壞，但是可以被攻擊者利用，從而給信息系統(tǒng)安全帶來威脅和損失。D、漏洞都是人為故意引入的一種信息系統(tǒng)的弱點答案：D97.以下能進行自動化Web漏洞掃描的工具是？A、CknifeB、AWVSC、masscanD、Nmap答案：B98.釣魚網(wǎng)站最顯著的特點是（）？A、偽裝B、傳播C、潛伏D、復制答案：A99.以下可能存在SQL注入攻擊的部分是A、GET請求參數(shù)B、POST請求參數(shù)C、COOKIE值D、以上均有可能答案：D100.為了進一步提高信息安全的保障能力和防護水平，保障和促進信息化建設的健康發(fā)展，公安部等四部門聯(lián)合發(fā)布《關于等級保護工作的實施意見》（公通字[2004]66號），對等級保護工作的開展提供宏觀指導和約束。明確了等級保護工作的基本內(nèi)容、工作要求和實施計劃，以及各部門工作職責分工等。關于該文件，下面理解正確的是（）A、該文件是一個由部委發(fā)布的政策性文件，不屬于法律文件B、該文件適用于2004年的等級保護工作。其內(nèi)容不能約束到2005年及之后的工作C、該文件是一個總體性指導文件，規(guī)定了所有信息系統(tǒng)都要納入等級保護定級范圍D、該文件適用范圍為發(fā)文的這四個部門，不適用于其他部門和企業(yè)等單位答案：A101.通過實施信息安全管理體系，組織可獲得以下方面的成功和收益不包含（）。A、構建了大量的流程文檔，為組織在開展各項與安全相關的活動中提供了明確的目標和操作指引B、進一步明確分工，使安全風險和責任意識從傳統(tǒng)的IT部門擴展到組織的每個員工，提高了安全管理的整體效率C、組織的IT部門能夠有效控制成本，提高信息安全水平和用戶的滿意度D、實施ISMS為今后通過ISO9001認證做好了鋪墊答案：D102.對信息安全事件的分級參考下列三個要素:信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響。依據(jù)信息系統(tǒng)的重要程度對系統(tǒng)進行劃分,不屬于正確劃分級別的是:A、特別重要信息系統(tǒng)B、重要信息系統(tǒng)C、一般信息系統(tǒng)D、關鍵信息系統(tǒng)答案：D103.關于Burpsuite中Intruder模塊中描述錯誤的是？A、PayloadProcessing可以對發(fā)送的Payload進行base64編碼B、針對Basic認證的攻擊，PayloadType可以用Charactersubstitution類型構建對應格式C、Positions選項卡中的Clear按鈕，會清除所有已經(jīng)設置好的占位符D、Burpsuite社區(qū)版不能設置Intruder模塊中發(fā)包的線程數(shù)答案：B104.不安全的文件類型中包括（）A、batB、txtC、jpgD、png答案：A105.密碼長度要求設置至少幾位（）A、6位B、7位C、8位D、9位答案：C106.（）數(shù)據(jù)庫備份只記錄自上次數(shù)據(jù)庫備份后發(fā)生更改的數(shù)據(jù)A、完整備份B、差異備份C、增量備份D、副本備份答案：B107.入侵檢測系統(tǒng)通過監(jiān)視網(wǎng)絡或系統(tǒng)資源，尋找違反安全策略的行為或攻擊跡象，并發(fā)出報警。目前入侵檢測系統(tǒng)的成熟技術不包括（）A、網(wǎng)絡識別B、特征匹配C、協(xié)議分析D、異常檢測答案：A108.文件上傳漏洞成因不包括()。A、服務器配置不當B、開放了文件上傳功能,并進行了限制C、系統(tǒng)特性、驗證或者過濾不嚴格D、web用戶對目標目錄有可寫權限甚至執(zhí)行權限答案：B109.賬號鎖定策略中對超過一定次數(shù)的錯誤登錄賬號進行鎖定是為了對抗以下哪種攻擊?A、分布式拒絕服務攻擊(DDoS)B、病毒傳染C、口令暴力破解D、緩沖區(qū)溢出攻擊答案：C110.某同學的以下行為中不屬于侵犯知識產(chǎn)權的是？A、把自己從音像店購買的《美妙生活》原版CD轉(zhuǎn)錄，然后傳給同學試聽B、將購買的正版游戲上網(wǎng)到網(wǎng)盤中，供網(wǎng)友下載使用C、下載了網(wǎng)絡上的一個具有試用期限的軟件，安裝使用D、把從微軟公司購買的原版Windows7系統(tǒng)光盤復制了一份備份，并提供給同學答案：C111.SQL注入攻擊中，什么類型的注入可在屏蔽單引號后實施成功A、字符型注入B、數(shù)字型注入C、搜索型注入D、以上都無法注入成功答案：B112.關于安全等級保護測評，下列說法錯誤的是()A、在信息系統(tǒng)中，有些安全控制可以不依賴于其所在的地點便可測評，即在其部署到運行環(huán)境之前便可以接受安全測評B、在信息系統(tǒng)所有安全控制中，有一些安全控制與它所處于的運行環(huán)境緊密相關(如與人員或物理有關的某些安全控制)，對其測評必須在分發(fā)到相應運行環(huán)境中才能進行C、如果一個信息系統(tǒng)部署和安裝在多個地點，則必須對每個地點的信息系統(tǒng)進行單獨評測D、如果一個信息系統(tǒng)部署和安裝在多個地點，且系統(tǒng)具有一組共同的軟件、硬件、固件等組成部分，對這些安全控制的測評可以在其中一個預定的運行地點實施，在其他運行地點的安全測評便可重用此測評結(jié)果答案：C113.當企業(yè)發(fā)生黑客入侵、系統(tǒng)崩潰或其它影響業(yè)務正常運行的安全事件時，急需第一時間進行處理，使企業(yè)的網(wǎng)絡信息系統(tǒng)在最短時間內(nèi)恢復正常工作，下列不屬于常見應急響應事件的是（）A、網(wǎng)頁掛馬B、主頁篡改C、病毒木馬D、訪問緩慢答案：D114.任意文件上傳漏洞是一種高危漏洞，那么以下哪個不屬于任意文件上傳漏洞的分類A、黑名單校驗B、前端Javascript校驗C、文件頭校驗D、Content-length校驗答案：D115.（）主要包含風險分析和業(yè)務影響分析。A、災難恢復需求的確定B、災難恢復策略的制定C、災難恢復策略的實現(xiàn)D、災難恢復預案的制定、落實和管理答案：A116.國際聯(lián)網(wǎng)經(jīng)營許可證的格式由（）統(tǒng)一制定。A、網(wǎng)絡安全協(xié)會B、公安機關C、國務院信息化工作領導小組D、工信部答案：C117.高層管理者對信息安全管理的承諾以下說法不正確的是（）A、制定、評審、批準信息安全方針。B、為信息安全提供明確的方向和支持。C、為信息安全提供所需的資源。D、對各項信息安全工作進行執(zhí)行、監(jiān)督與檢查。答案：D118.負責授權訪問業(yè)務系統(tǒng)的職責應該屬于：()A、數(shù)據(jù)擁有者B、安全管理員C、IT安全經(jīng)理D、請求者的直接上司答案：A119.互聯(lián)網(wǎng)信息內(nèi)容治理原則中，（）也被稱為“誰運營誰負責”原則，即互聯(lián)網(wǎng)切實加強內(nèi)部管理和對所接入互聯(lián)網(wǎng)站的管理，明確其權利和責任。A、主體責任原則B、行政監(jiān)管原則C、行業(yè)自律原則D、公眾參與原則答案：A120.依據(jù)信息系統(tǒng)安全保障模型，以下那個不是安全保證對象（）A、機密性B、管理C、過程D、人員答案：A121.目前，隨著電信運營商對網(wǎng)絡的改造，（）逐漸普及，已成為一種主流的接入方式。A、ADSL接入B、光纖接入C、DDN接入D、電話線接入答案：B122.下列有關隱私權的表述,錯誤的是()A、網(wǎng)絡時代,隱私權的保護受到較大沖擊B、由于網(wǎng)絡是虛擬世界,所以在網(wǎng)上不需要保護個人的隱私C、雖然網(wǎng)絡世界不同于現(xiàn)實世界,但也需要保護個人隱私D、可以借助法律來保護網(wǎng)絡隱私權答案：B123.以下哪項不屬于造成信息安全問題的自然環(huán)境因素（）A、縱火B(yǎng)、地震C、極端天氣D、洪水答案：A124.下列哪種情況不能夠通過XSS攻擊實現(xiàn)（）A、劫持受害者的會話B、獲取受害者的IP地址C、獲取受害者主機的控制權D、制作蠕蟲劫持用戶的瀏覽器答案：C125.如果數(shù)據(jù)中心發(fā)生災難，下列那一項完整恢復一個關鍵數(shù)據(jù)庫的策略是最適合的（）A、每日備份到磁帶并存儲到異地B、實時復制到異地C、硬盤鏡像到本地服務器D、實時數(shù)據(jù)備份到本地網(wǎng)格存儲答案：B126.傳統(tǒng)的PKI技術(PublicKeyInfrastructure，公開密鑰基礎設施)不提供什么服務（）A、認證B、完整性保護C、密鑰管理D、訪問控制答案：D127.什么措施不能防范文件上傳漏洞?A、檢查上傳文件類型B、限制驗證cookie的到期時間C、定義上傳文件類型白名單D、文件上傳目錄禁止腳本解析答案：B128.（）提出對計算機信息系統(tǒng)實行安全等級保護。A、《電信條例》B、《計算機信息系統(tǒng)安全保護條例》C、《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》D、《互聯(lián)網(wǎng)信息服務管理辦法》答案：B129.李某將銀行卡與微信綁定進行支付，在這里她的銀行卡賬號及密碼屬于{input}A、一般個人信息B、個人敏感信息C、組織外部信息D、組織內(nèi)部信息答案：B130.常用的主機漏洞掃描軟件是（）A、NessusB、AWVSC、APPScanD、XRAY答案：A131.某網(wǎng)站為了更好向用戶提供服務，在新版本設計時提供了用戶快捷登陸功能，用戶如果使用上次的IP地址進行訪問，就可以無需驗證直接登錄，該功能推出后，導致大量用戶賬號被盜用，關于以上問題的說法正確的是：A、網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼導致攻擊面增大，產(chǎn)生此安全問題B、網(wǎng)站問題是由于用戶缺乏安全意識導致，使用了不安全的功能，導致網(wǎng)站攻擊面增大，產(chǎn)生此問題C、網(wǎng)站問題是由于使用便利性提高帶來網(wǎng)站用戶數(shù)增加，導致網(wǎng)絡攻擊面增大，產(chǎn)生此安全問題D、網(wǎng)站問題是設計人員不了解安全設計關鍵要素，設計了不安全的功能，導致網(wǎng)站攻擊面增大，產(chǎn)生此安全問題答案：D132.網(wǎng)絡安全態(tài)勢感知整體框架不包括哪個層面：（）A、基礎設施層B、數(shù)據(jù)匯聚層C、邊界防護層D、業(yè)務應用層答案：C133.在高等學校計算機網(wǎng)絡上設立BBS站開展電子公告服務，應當有電子公告服務安全保障措施，不包括（）。A、用戶強制實名身份登記B、上網(wǎng)用戶登記程序C、上網(wǎng)用戶信息安全管理制度D、技術保障設施答案：A134.下列哪種攻擊不可以直接獲得主機權限（）A、存儲型XSS攻擊B、任意文件上傳C、緩沖區(qū)溢出攻擊D、MYSQL下root權限的SQL注入攻擊答案：A135.從安全的角度來看，運行哪一項起到第一道防線的作用：A、遠端服務器B、Web服務器C、防火墻D、使用安全shell程序答案：C136.下列關于Saas、Paas、laaS的描述，錯誤的是？A、PaaS也是SaaS模式的一種應用B、SaaS可以在laas上實現(xiàn)，也可以在Paas上實現(xiàn)，還可以獨立實現(xiàn)C、PaaS可以在laaS上實現(xiàn),也可以獨立實現(xiàn)D、SaaS必須在Paas之.上，PaaS必須在SaaS之上答案：D137.信息安全的屬性有很多，最核心的是保持信息的（）、完整性和可用性。A、穩(wěn)定性B、保密性C、新鮮性D、兼容性答案：B138.關于Cobaltstrike構建DNStunnel的操作，描述錯誤的是A、DNStunnel主要通過DNS協(xié)議進行通信B、利用DNS可以繞過攔截TCP流量的規(guī)則C、攻擊時在靶機上抓包可以看到靶機直接與操作機通信D、使用DNStunnel需要域名答案：C139.以下關于威脅建模流程步驟說法不正確的是A、威脅建模主要流程包括四步：確定建模對象、識別威脅、評估威脅和消減威脅B、評估威脅是對威脅進行分析，評估被利用和攻擊發(fā)生的概率，了解被攻擊后資產(chǎn)的受損后果，并計算風險C、消減威脅是根據(jù)威脅的評估結(jié)果，確定是否要消除該威脅以及消減的技術措施，可以通過重新設計直接消除威脅，或設計采用技術手段來消減威脅。D、識別威脅是發(fā)現(xiàn)組件或進程存在的威脅，它可能是惡意的，威脅就是漏洞。答案：D140.一個好的信息安全意識教育活動的主要目的是A、指導信息安全部門的員工如何開展工作B、宣傳信息安全違規(guī)行為的處罰條例，從而教育員工C、協(xié)助人員資源管理部獲取所需的信息D、激發(fā)參與者的自覺合規(guī)意識答案：D141.超文本傳輸協(xié)議（HTTP，HyperTextTransferProtocol)是互聯(lián)網(wǎng)上應用最為廣泛的一種網(wǎng)絡協(xié)議，以下不屬于HTTP協(xié)議特征的是（）A、簡單快速B、無連接C、靈活D、安全答案：D142.僵尸網(wǎng)絡一般用于（）A、DDoSB、垃圾郵件C、釣魚D、信息竊取答案：A143.數(shù)據(jù)備份，是指將數(shù)據(jù)保存下來，目的是保障系統(tǒng)數(shù)據(jù)在崩潰時能夠快速地恢復。數(shù)據(jù)備份不包含哪種類型（）A、基于主機備份B、基于局域網(wǎng)備份C、無服務器備份D、以上都不對答案：D144.關于metasploit的描述，錯誤的是A、配置數(shù)據(jù)庫的命令是“msfdb”B、exploit模塊用于滲透攻擊C、auxiliary模塊用于輔助攻擊D、payload模塊包含遠程執(zhí)行的代碼答案：A145.安全管理制度主要包括：管理制度、制定和發(fā)布、（）三個控制點A、評審和修訂B、修改C、審核D、閱讀答案：A146.（）應該周期性地保存起來，以消除可能出現(xiàn)的信息丟失并讓數(shù)據(jù)恢復過程更快完成。A、備份記錄B、備份設備C、恢復記錄D、恢復設備答案：A147.BS7799這個標準是由下面哪個機構研發(fā)出來的（）A、美國標準協(xié)會B、英國標準協(xié)會C、中國標準協(xié)會D、國際標準協(xié)會答案：B148.關于WebShell，以下描述正確的是？A、在對方服務器上，成功上傳WebShell，文件內(nèi)容為eval($_POST['a']);，此時可以用冰蝎直接連接使用B、Cknife是一款WebShell查殺工具C、WebDIR+是一款WebShell管理工具D、使用中國蟻劍來管理WebShell，過程中產(chǎn)生的流量是沒有被加密的。答案：D149.向外部機構提供其信息處理設施的物理訪問權限前，組織應當做什么？()A、該外部機構的過程應當可以被獨立機構進行IT審計B、該組織應執(zhí)行一個風險評估，設計并實施適當?shù)目刂艭、該外部機構的任何訪問應被限制在DMZ區(qū)之內(nèi)D、應當給該外部機構的員工培訓其安全程序答案：B150.下列哪個是aspx的一句話木馬？A、B、C、D、答案：C151.跨站腳本攻擊的主要防御手段為輸入檢查和（）。A、輸出檢查B、驗證碼C、反XSS令牌D、請求檢查答案：A152.安全策略體系文件應當包括的內(nèi)容不包括（）A、信息安全的定義、總體目標、范圍及對組織的重要性B、對安全管理職責的定義和劃分C、口令、加密的使用是阻止性的技術控制措施；D、違反安全策略的后果答案：C153.（）指HTTP請求的發(fā)起者，在HTTP中該字段指明該請求是由哪個源(可簡單理解為哪個網(wǎng)站)發(fā)起A、請求B、驗證碼C、輸入檢查D、反CSRF令牌答案：A154.GB/T22080-2008《信息技術安全技術信息安全管理體系要求》指出，建立信息安全管理體系應參照PDCA模型進行，即信息安全谷那里體系應包括建立ISMS、實施和運行ISMS、監(jiān)視和評審ISMS、保持和改進ISMS等過程，并在這些過程中應實施若干活動。請選出以下描述錯誤的選項（）A、“制定ISMS方針”是建立ISMS階段工作內(nèi)容B、“實施培訓和意識教育計劃”是實施和運行ISMS階段工作內(nèi)容C、“進行有效性測量”是監(jiān)視和評審ISMS階段工作內(nèi)容D、“實施內(nèi)部審核”是保持和改進ISMS階段工作內(nèi)容答案：D155.關于CSS，以下描述錯誤的是（）A、CSS指層疊樣式表(CascadingStyleSheets)B、在以下代碼中h1{color:red;}，h1是屬性C、可以通過外部樣式表的方式引用CSSD、通過內(nèi)部樣式表定義CSS需要使用標簽答案：B156.信息安全的保護對象主要是計算機（），軟件和數(shù)據(jù)。A、硬件B、操作系統(tǒng)C、開發(fā)語言D、文件系統(tǒng)答案：A157.如何預防計算機病毒（）A、下載破解版的收費殺毒軟件B、已經(jīng)開啟防火墻的情況下以讀寫的方式打開網(wǎng)絡上下載的文檔C、瀏覽小網(wǎng)頁時只要不隨意點擊廣告頁面就是安全的D、在網(wǎng)絡上下載程序或文件在運行前進行掃描答案：D158.企業(yè)按照ISO27001標準建立信息安全管理體系的過程中，對關鍵成功因素的描述不正確的是()A、不需要全體員工的參入，只要ＩＴ部門的人員參入即可B、來自高級管理層的明確的支持和承諾C、對企業(yè)員工提供必要的安全意識和技能的培訓和教育D、所有管理者、員工及其他伙伴方理解企業(yè)信息安全策略、指南和標準，并遵照執(zhí)行答案：A159.關于信息安全保障技術框架(IATF),以下說法不正確的是:A、分層策略允許在適當?shù)臅r候采用低安全級保障解決方案以便降低信息安全保障的成本B、IATF從人、技術和操作三個層面提供一個框架實施多層保護,使攻擊者即使攻破一層也無法破壞整個信息基礎設施C、允許在關鍵區(qū)域(例如區(qū)域邊界)使用高安全級保障解決方案,確保系統(tǒng)安全性D、IATF深度防御戰(zhàn)略要求在網(wǎng)絡體系結(jié)構的各個可能位置實現(xiàn)所有信息安全保障機制答案：D160.存入數(shù)據(jù)庫的密碼為MTIzNA==，為哪種加密算法（）A、Base64B、md5C、AESD、RC4答案：A161.信息泄露漏洞的修復方案中不包括（）A、對錯誤頁面進行權限設置，禁止未授權用戶訪問B、關閉一切錯誤提示C、自定義錯誤頁面D、模糊錯誤提示答案：B162.身份鑒別是安全服務中的重要一環(huán)，以下關于身份鑒別敘述不正確的是A、目前一般采用基于對稱密鑰加密或公開密鑰加密的方法B、身份鑒別一般不用提供雙向的認證C、數(shù)字簽名機制是實現(xiàn)身份鑒別的重要機制D、身份鑒別是授權控制的基礎答案：B163.某單位門戶網(wǎng)站開發(fā)完成后，測試人員使用模糊測試進行安全性測試，以下關于模糊測試過程的說法正確的是：A、模擬正常用戶輸入行為，生成大量數(shù)據(jù)包作為測試用例B、數(shù)據(jù)處理點、數(shù)據(jù)通道的入口點和可信邊界點往往不是測試對象C、監(jiān)測和記錄輸入數(shù)據(jù)后程序正常運行情況D、深入分析網(wǎng)站測試過程中產(chǎn)生崩潰或異常的原因，必要時需要測試人員手工重現(xiàn)并分析答案：D164.為了災難恢復而對數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡系統(tǒng)、基礎設施、技術支持能力和運行管理能進行備份的過程稱為災難備份。災難備份系統(tǒng)是用于災難恢復目的，由_______和備用的網(wǎng)絡系統(tǒng)組成的信息系統(tǒng)。A、數(shù)據(jù)備份系統(tǒng)B、數(shù)據(jù)處理系統(tǒng)C、數(shù)據(jù)備份系統(tǒng)、數(shù)據(jù)處理系統(tǒng)D、數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)答案：D165.微信收到“微信團隊”的安全提示：“您的微信賬號在16:46嘗試在另一個設備登錄。登錄設備：XX品牌XX型號”。這時我們應該怎么做（）A、有可能是誤報，不用理睬B、確認是否是自己的設備登錄，如果不是，則盡快修改密碼C、自己的密碼足夠復雜，不可能被破解，堅決不修改密碼D、撥打110報警，讓警察來解決答案：B166.導致信息安全事件的原因中，系統(tǒng)故障屬于（）？A、非人為原因B、人為故意C、人為過失D、自然原因答案：C167.IT部門在發(fā)現(xiàn)近期發(fā)生多起勒索軟件病毒事件后，進行了事件分析，發(fā)現(xiàn)病毒主要通過郵件方式傳播，那么應最先采取以下哪些措施可以最有效預防類似事件再次發(fā)生？A、做好文件備份工作B、發(fā)送安全提醒郵件給全體員工C、將病毒來源郵件地址加入郵件接收黑名單列表D、加強反病毒/垃圾郵件庫更新頻率答案：D168.下面哪個不是SSH方式登錄設備的加固方式？A、密碼認證和Public-Key認證B、關閉SSH服務C、變更端口號D、配置SSH服務器源接口答案：B169.哪一項不是管理層承諾完成的（）A、確定組織的總體安全目標B、購買性能良好的信息安全產(chǎn)品C、推動安全意識教育D、評審安全策略的有效性答案：B170.可能對重要的網(wǎng)絡安全保護對象產(chǎn)生一般的損害時，應發(fā)布（）A、紅色預警B、橙色預警C、黃色預警D、藍色預警答案：D171.以下狀態(tài)碼和描述錯誤的是（）A、200表示客戶端請求成功B、304表示直接使用本地緩存C、404表示請求資源不存在D、403表示請求未經(jīng)授權答案：D172.以下選項不屬于通過保中心的主要職能的是（）A、建立與協(xié)調(diào)小組成員單位和各重要信息系統(tǒng)主管部門間信息通報渠道，接收、匯總來自各成員單位和主管部門的安全信息通報B、組織專門人員和有關專家，對涉及網(wǎng)絡與信息安全信息的性質(zhì)、危害程度和可能影響范圍進行分析、研判和評估C、跟蹤、了解國際信息網(wǎng)絡安全動態(tài)和國內(nèi)信息安全狀況，掌握新出現(xiàn)的計算機病毒、系統(tǒng)漏洞和網(wǎng)絡攻擊手段等網(wǎng)絡安全信息D、確定信息安全事件管理方案的改進答案：D173.對于無法進行定期修改口令的賬號，如內(nèi)置賬號、專用賬號等，由（）負責在系統(tǒng)升級或重啟時督促落實口令修改工作A、賬號責任人B、系統(tǒng)管理員C、賬號審批領導D、其他人答案：B174.SQL注入漏洞需要用到什么語言來構造攻擊代碼（）A、HTML語句B、CSS語句C、數(shù)據(jù)庫語句D、后端編程語句答案：C175.關于備份技術，（）可以把文件恢復過程簡單化A、差分備份B、全備份C、余量備份D、增量備份答案：A176.現(xiàn)在一臺windows系統(tǒng)的服務器被入侵，現(xiàn)要查看啟動項可以通過()的方式打開A、win+r->msconfigB、win+r->schtasksC、win+r->regeditD、win+r->resmon答案：A177.如果惡意開發(fā)人員想在代碼中隱藏邏輯炸彈，什么預防方式最有效（）A、源代碼周期性安全掃描B、源代碼人工審計C、滲透測試D、對系統(tǒng)的運行情況進行不間斷監(jiān)測記錄答案：B178.以下屬于常用的安全測試的方法是？A、黑盒測試B、白盒測試C、灰盒測試D、全部都是答案：D179.隨著大數(shù)據(jù)和云計算技術的發(fā)展，網(wǎng)絡的匿名性將（）。A、不再凸顯B、徹底消失C、更加凸顯D、沒有變化答案：C180.下列哪些MIME類型是文本類型（）A、text/plainB、text/javascriptC、text/htmlD、text/css答案：A181.網(wǎng)絡管理員的主要職責不包括()A、負責網(wǎng)絡的運行管理，實施網(wǎng)絡安全策略和安全運行細則B、對操作網(wǎng)絡管理功能的其他人員進行安全監(jiān)督C、監(jiān)控網(wǎng)絡關鍵設備、網(wǎng)絡端口、網(wǎng)絡物理線路，防范黑客入侵，及時向信息安全人員報告安全事件D、不得對系統(tǒng)設置后門答案：D182.在機房直接通過鍵盤、鼠標及（）等方式操作主機、網(wǎng)絡設備等。因為無法進行有效的認證，權限控制和日志審計，所以，非緊急情況建議不采用這種方式A、CONSOLE口B、FE口C、GE口D、RJ45口答案：A183.以下哪一項不是用于提升郵件安全的協(xié)議（）A、DMARCB、SPFC、DKIMD、IMAP答案：D184.我國的信息安全測評主要對象不包括A、信息產(chǎn)品安全測評B、信息安全人員資質(zhì)測評C、服務商資質(zhì)測評D、信息保障安全測評答案：D185.信息安全組織的管理涉及內(nèi)部組織和外部各方兩個控制目標。為了實現(xiàn)控制外部各方的目標應該包括下列哪個選項（）A、信息安全的管理承諾、信息安全協(xié)調(diào)、信息安全職責的分配B、信息處理設施的授權過程、保密性協(xié)議、與政府部門的聯(lián)系C、與特定利益集團的聯(lián)系、信息安全的獨立評審D、與外部各方相關風險的識別、處理外部各方協(xié)議中的安全問題答案：D186.關于防電磁泄漏信息安全標準，以下由我國制定的是（）A、NACSIM5100B、NSTISSAMTEMPEST/1－91C、GGBB1－1999D、GB50343－2012答案：C187.如下圖所示,Alice用Bob的密鑰加密明文,將密文發(fā)送給Bob。Bob再用自己的私鑰解密,恢復出明文。以下說法正確的是:A、此密碼體制為對稱密碼體制B、此密碼體制為私鑰密碼體制C、此密碼體制為單鑰密碼體制D、此密碼體制為公鑰密碼體制答案：D188.管理評審的最主要目的是A、確認信息安全工作是否得到執(zhí)行B、檢查信息安全管理體系的有效性C、找到信息安全的漏洞D、考核信息安全部門的工作是否滿足要求答案：B189.準備相關的資源是應急響應（）階段的目標A、準備B、檢測C、收集信息D、抑制答案：A190.在2014年巴西世界杯舉行期間，一些黑客組織攻擊了世界杯贊助商及政府網(wǎng)站，制造了大量網(wǎng)絡流量，阻塞正常用戶訪問網(wǎng)站。這種攻擊類型屬于下面什么攻擊A、跨站腳本（crosssitescriptiong,xss）攻擊B、TCP會話劫持（TCPHIJACK）攻擊C、IP欺騙攻擊D、拒絕服務（DenialofService,DoS）攻擊答案：D191.關于信息安全保障技術框架（IATF），以下說法不正確的是：A、分層策略允許在適當?shù)臅r候采用低安全級保障解決方案以便降低信息安全保障的成本B、IATF從人、技術和操作三個層面提供一個框架實施多層保護，使攻擊者即使攻破一層也無法破壞整個信息基礎設施C、允許在關鍵區(qū)域（例如區(qū)域邊界）使用高安全級保障解決方案，確保系統(tǒng)安全性D、IATF深度防御戰(zhàn)略要求在網(wǎng)絡體系結(jié)構的各個可能位置實現(xiàn)所有信息安全保障機制答案：D192.隨著互聯(lián)網(wǎng)的日益復雜，單一因素的身份鑒別技術存在的安全問題不斷暴露，已不能滿足用戶的基本使用和安全需求，尤其在一些電子商務、金融行業(yè)等對安全性提出較高要求的領域，需要多種安全技術結(jié)合使用以提高安全保障性能。網(wǎng)上支付的多因素身份鑒別技術不包括?A、靜態(tài)口令＋動態(tài)口令認證B、靜態(tài)口令＋數(shù)字證書認證C、靜態(tài)口令＋手機驗證碼認證D、靜態(tài)口令＋生物特征認證答案：D193.第三級信息系統(tǒng)應當（）至少進行一次等級測評。A、每半年B、每年C、每三個月D、每兩年答案：B194.在等保工作中，運營、使用單位在收到整改通知后應當根據(jù)整改通知要求，按照管理規(guī)范和（）進行整改A、管理標準B、自身業(yè)務要求C、技術標準D、運維管理辦法答案：C195.信息安全保障技術框架(IATF)中，主要討論了縱深防御的技術方面。它從技術方面根據(jù)信息安全的需求將信息系統(tǒng)解構為（）、保護區(qū)域邊界、保護計算環(huán)境和支撐性基礎設施這四個基本方面A、保護網(wǎng)絡基礎設施B、保護操作系統(tǒng)C、保護計算機硬件D、保護核心信息持有人員答案：A196.（）是比災難恢復更高一層面的概念。A、業(yè)務協(xié)調(diào)性管理B、業(yè)務連貫性管理C、業(yè)務連續(xù)性管理D、業(yè)務一致性管理答案：D197.在制定控制前，管理層首先應該保證控制（）A、滿足控制一個風險問題的要求B、不減少生產(chǎn)力C、基于成本效益的分析D、檢測行或改正性的答案：A198.拒絕服務攻擊容易發(fā)起，而且快速的拒絕服務攻擊可以說是立竿見影，被攻擊的目標或者網(wǎng)絡很快就會癱瘓。此時，即使發(fā)現(xiàn)了拒絕服務攻擊，目前也沒有十分有效的方法可以抵抗，因而我們并不知道誰在發(fā)起攻擊，大量的數(shù)據(jù)包依然向服務器和網(wǎng)絡涌來，如果只是簡單地丟棄這些數(shù)據(jù)包，那么正常用戶的服務請求也會被丟棄，拒絕服務攻擊的目的也就達到了。（）技術的基本思想是利用均衡負載等技術提高服務器系統(tǒng)的處理能力或者網(wǎng)絡帶寬，使得服務器在接收大量攻擊數(shù)據(jù)包的情況下仍然可以提供服務。A、Over－provisioning(超量供應)B、TCPSYNCookieC、TCP狀態(tài)檢測D、HTTP重定向答案：A199.嚴格落實網(wǎng)絡實名制。用戶不提供真實身份信息的，網(wǎng)絡運營者（）為其提供相關服務。A、不得B、可以C、暫時D、應該答案：A200.在計算機病毒防治體系的每一個環(huán)節(jié)中，都要本著（）的基本原則，包含必要的技術手段和管理措施。A、技術與管理并重B、技術為主C、管理為主D、整體防御答案：A201.下列算法屬于Hash算法的有（）A、RSA、MD5B、SHA1、MD5C、DES、SHA1D、RSA、DES答案：B202.關于WebShell，以下描述錯誤的是（）A、D盾不能在Linux操作系統(tǒng)中使用，需將源碼拖拽到本地，進行查殺B、$_GET['a']($_GET['b']);可以被最新版D盾所查殺C、print_r($_GET['a']);是一個WebShellD、我們常說的小馬，是將功能封裝在了客戶端，而大馬則是將功能封裝在了服務端。答案：C203.關于動態(tài)網(wǎng)站、偽靜態(tài)網(wǎng)站和靜態(tài)網(wǎng)站的說法，哪個是不正確的A、靜態(tài)網(wǎng)站訪問速度快，更容易被搜索引擎找到收錄，但是占用較多空間容量B、在IE瀏覽器上可以通過在地址欄輸入javascript:alert(document.lastModified)判斷這個網(wǎng)站是動態(tài)還是靜態(tài)C、偽靜態(tài)網(wǎng)站沒有解決靜態(tài)頁面占用較多空間容量的問題，但是能夠較好的應付搜索引擎D、偽靜態(tài)的實質(zhì)是動態(tài)形式，是通過url重寫技術把傳遞參數(shù)插入到了URL地址中，它所指向的文件并不是真實的地址答案：C204.以下關于直接附加存儲(DirectAttachedStorage,DAS)說法錯誤的是:A、DAS能夠在服務器物理位置比較分散的情況下實現(xiàn)大容量存儲是一種常用的數(shù)據(jù)存儲方法B、DAS實現(xiàn)了操作系統(tǒng)與數(shù)據(jù)的分離,存取性能較高并且實施簡單C、DAS的缺點在于對服務器依賴性強,當服務器發(fā)生故障時,連接在服務器上的存儲設備中的數(shù)據(jù)不能被存取D、較網(wǎng)絡附加存儲(NetworkAttachedStorage,NAS),DAS節(jié)省硬盤空間,數(shù)據(jù)非常集中,便于對數(shù)據(jù)進行管理和備份答案：D205.IT部門在發(fā)現(xiàn)近期發(fā)生多起勒索軟件病毒事件后，進行了事件分析，發(fā)現(xiàn)病毒主要通過郵件方式傳播，那么應最先采取以下哪些措施可以最有效預防類似事件再次發(fā)生（）A、做好文件備份工作B、發(fā)送安全提醒郵件給全體員工C、將病毒來源郵件地址加入郵件接收黑名單列表D、加強反病毒/垃圾郵件庫更新頻率答案：D206.（）階段完成后，應對組織的信息安全狀況和信息安全事件管理水平有所改善和提高A、執(zhí)行B、評審C、規(guī)劃和準備D、改進答案：D207.在對安全控制進行分析時,下面哪個描述是不準確的?A、對每一項安全控制都應該進行成本收益分析,以確定哪一項安全控制是必須的和有效的;B、應確保選擇對業(yè)務效率影響最小的安全措施;C、選擇好實施安全的時機和位置,提高安全控制的有效性;D、仔細評價引入的安全控制對正常業(yè)務帶來的影響,采取適當措施,盡可能減少負面效應;答案：B208.分級保護針對的是涉密信息系統(tǒng)，不包括（）等級（）A、秘密B、機密C、絕密D、公開答案：B209.若用戶計劃在一次項目中實施較為完整的安全解決方案，則應同時選擇和部署A、防火墻B、IPSC、IDSD、以上都是答案：D210.《中華人民共和國網(wǎng)絡安全法》為保障網(wǎng)絡安全，維護（）和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經(jīng)濟社會信息化健康發(fā)展制定。A、信息安全B、網(wǎng)絡安全C、網(wǎng)絡主權D、網(wǎng)絡空間主權答案：D211.微軟提出了stride模型，其中R是（Repudiation抵賴）的縮寫，關于此項安全要素，下面說法錯誤的是（）A、某用戶在登陸系統(tǒng)并下載數(shù)據(jù)后，卻聲稱“我沒有下載過數(shù)據(jù)”，軟件系統(tǒng)中的這種威脅為R威脅B、某用戶在網(wǎng)絡通信中傳輸完數(shù)據(jù)后，卻聲稱“這些數(shù)據(jù)不是我傳輸?shù)摹?，軟件系統(tǒng)中的這種威脅為R威脅C、對于R威脅，可以選擇使用如強認證、數(shù)字簽名、安全審計等技術措施來解決D、對于R威脅，可以選擇使用如隱私保護、過濾、流量控制等技術措施來解決答案：D212.在系統(tǒng)日常運行及發(fā)生信息網(wǎng)絡安全事件時，單位、組織可能需要一些公共基礎設施方面，比如（）的支持A、電信服務提供商B、公安部C、公安機關網(wǎng)絡安全保衛(wèi)部門D、國家安全部答案：A213.關于《商用密碼管理條例》，正確的是：A、商用密碼技術屬于國家秘密；B、商用密碼可以對涉及國家秘密內(nèi)容的信息進行加密保護C、國家對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實行認證管理；D、國內(nèi)用戶可以使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品答案：A214.關閉系統(tǒng)多余的服務有什么安全方面的好處?A、使黑客選擇攻擊的余地更小B、關閉多余的服務以節(jié)省系統(tǒng)資源C、使系統(tǒng)進程信息簡單,易于管理D、沒有任何好處答案：A215.非對稱密碼算法中，（）只有通信一方知道A、私鑰B、公鑰C、密鑰D、加解密算法答案：A216.以下對企業(yè)信息安全活動的組織描述不正確的是A、企業(yè)應該在組織內(nèi)建立發(fā)起和控制信息安全實施的管理框架B、企業(yè)應該維護被外部合作伙伴或者客戶訪問和使用的企業(yè)信息處理設施和信息資產(chǎn)的安全C、在沒有采取必要控制措施，包括簽署相關協(xié)議之前，不應該授權給外部伙伴訪問。應該讓外部伙伴意識到其責任和必須遵守的規(guī)定D、企業(yè)在開展業(yè)務活動的過程中，應該完全相信員工，不應該對內(nèi)部員工采取安全管控措施答案：D217.?；饏^(qū)(DemilitarizedZone，簡稱DMZ)，也稱非軍事化區(qū)，是一個位于可信的內(nèi)部網(wǎng)絡和不可信的外部網(wǎng)絡(如互聯(lián)網(wǎng))之間的計算機或者小的子網(wǎng)。采用DMZ的防火墻部署方式是目前一個比較流行和正確的做法。防火墻環(huán)境下各種應用服務器的放置不必遵守以下哪種原則（）。A、通過邊界路由過濾設備保護外部網(wǎng)絡可訪問的服務器，或者將它們放置在外部DMZ中B、絕不可將外部網(wǎng)絡可訪問的服務器放置在內(nèi)部保護網(wǎng)絡中C、根據(jù)外部服務器的敏感程度和訪問方式，將它們放置在內(nèi)部防火墻之后D、盡量隔離各種服務器，防止一個服務器被攻破后危及其他服務器的安全答案：C218.信息資產(chǎn)敏感性指的是：A、機密性B、完整性C、可用性D、安全性答案：A219.以下（）參數(shù)是Nmap進行端口掃描添加檢測服務版本信息的參數(shù)。A、sVB、OC、PnD、F答案：A220.DDoS攻擊的主要目換是:A、破壞完整性和機密性B、破壞可用性C、破壞機密性和可用性D、破壞機密性答案：B221.單點登錄(SingleSignOn，簡稱SSO)是目前比較流行的企業(yè)業(yè)務整合的解決方案之一。主要的單點登錄協(xié)議不包括（）?A、基于Kerberos的單點登錄協(xié)議B、基于FIDO的單點登錄協(xié)議C、基于SAML的單點登錄協(xié)議D、基于OpenID的單點登錄協(xié)議答案：B222.（）是CMVP(CryptographicModuleValidationProgram)必要的先決條件A、通用準則評估和認證計劃(CCEVS)B、密碼算法正確性檢測(CAVP)C、FIPSPUB標準D、NVLAP答案：B223.國際聯(lián)網(wǎng)使用單位的登記備案制度雖然直接規(guī)范的是用戶的行為，但其最終目的是（）。A、維護經(jīng)濟利益B、維護組織利益C、維護個人利益D、維護計算機信息系統(tǒng)的安全答案：D224.網(wǎng)站域名發(fā)生劫持，下列哪一項處理措施是錯誤的（）A、聯(lián)系域名注冊商處理，或取回控制權自己修改為正確的IPB、更改與域名相關的所有帳戶的密碼C、緊急關停網(wǎng)站D、針對搜索引擎中檢索網(wǎng)站結(jié)果中的非法信息鏈接，進行快照投訴答案：C225.以下不屬于郵件服務器的安全管理的是（）。A、SMTP身份認證B、病毒過濾C、安全審計D、DNS測試答案：D226.利用網(wǎng)絡傳授制作計算機病毒屬于（）。A、教唆犯罪B、傳授犯罪方法C、侵犯著作權D、危害國家安全罪答案：A227.一個商業(yè)機構為其信息系統(tǒng)的建設購買了一套成熟的軟件包，管理者對軟件包程序修改的態(tài)度正確的是：（）A、不允許修改B、不鼓勵修改C、盡量爭取軟件商的許可，并組織修改D、秘密進行修改答案：C228.以下哪個選項不屬于SQL注入的分類？A、字符型注入B、數(shù)字型注入C、搜索型注入D、函數(shù)型注入答案：C229.以下哪個標準是ISO27001的前身標準（）A、BS5750B、BS7750C、BS7799D、BS15000答案：C230.某網(wǎng)站的流程突然激增，訪問該網(wǎng)站響應慢，則該網(wǎng)站最有可能受到的攻擊是（）A、SQL注入攻擊B、特洛伊木馬C、端口掃描D、DOS攻擊答案：D231.目前全球最大的業(yè)務連續(xù)性管理專業(yè)組織是（）A、英國標準協(xié)會B、國際業(yè)務持續(xù)協(xié)會C、國際標準化組織D、國際電工委員會答案：B232.HTTP請求方法中只返回響應頭部不返回響應內(nèi)容的方法是（）。A、GETB、POSTC、HEADD、DELETE答案：C233.以下能攔截以及修改HTTP報文的工具是（）A、AntSwordB、dirbC、dirsearchD、Burpsuite答案：D234.為了保證系統(tǒng)日志可靠有效，以下哪一項不是日志必須具備的特征。A、統(tǒng)一而精確地的時間B、全面覆蓋系統(tǒng)資產(chǎn)C、包括訪問源、訪問目標和訪問活動等重要信息D、可以讓系統(tǒng)的所有用戶方便的讀取答案：D235.關于外部合作組織和專家顧問，組織應該保持與外部合作組織和（）的聯(lián)系，或者成為一些安全組織的成員單位A、專家顧問B、國外安全機構C、公安機關D、黑客答案：A236.下面四款安全測試軟件中，主要用于WEB安全掃描的是（）A、CiscoAuditingToolsB、AcunetixWebVulnerabilityScannerC、NMAPD、ISSDatabaseScanner答案：B237.某網(wǎng)站管理員小鄧在流量監(jiān)測發(fā)現(xiàn)近期網(wǎng)站的入站ICMP流量上升了到50%，盡管網(wǎng)站沒有發(fā)現(xiàn)任何的性能下降或其他問題，但為了安全起見，他仍向主管領導提出應對措施，作為主管負責人，請選擇有效的針對對此問題應對措施：A、在防火墻上設置策略，阻止所有的ICMP流量進入（關掉ping）B、刪除服務器上的ping.exe程序C、增加帶寬以應對可能的拒絕服務攻擊D、增加網(wǎng)站服務以應該即將來臨的拒絕服務攻擊答案：A238.以下關于ISMS內(nèi)部審核報告的描述不正確的是？()A、內(nèi)審報告是作為內(nèi)審小組提交給管理者代表或最高管理者的工作成果B、內(nèi)審報告中必須包含對不符合性項的改進建議C、內(nèi)審報告在提交給管理者代表或者最高管理者之前應該受審方管理者溝通協(xié)商，核實報告內(nèi)容。D、內(nèi)審報告中必須包括對糾正預防措施實施情況的跟蹤答案：D239.以下關于軟件安全測試說法正確的是？A、軟件安全測試就是黑盒測試B、Fuzz測試是經(jīng)常采用的安全測試方法之一C、軟件安全測試關注的是軟件的功能D、軟件安全測試可以發(fā)現(xiàn)軟件中產(chǎn)生的所有安全問題答案：B240.數(shù)字水印的應用沒有（）A、完整性保護B、版權保護C、拷貝保護D、拷貝追蹤答案：A241.下列關于AES加密的說法錯誤的是A、AES加密算法屬于Feistel密碼結(jié)構B、AES算法的輪數(shù)依賴于密鑰長度C、AES對密鑰的選擇沒有任何限制D、AES屬于非對稱加密答案：D242.信息系統(tǒng)的價值確定需要與哪個部門進行有效溝通確定（）A、系統(tǒng)維護部門B、系統(tǒng)開發(fā)部門C、財務部門D、業(yè)務部門答案：D243.某市政府采用的為政府各級部門提供可靠的基礎IT服務的云平臺稱為？A、教育云B、金融云C、電子政務云D、智能交通云答案：C244.以下關于Nmap工具描述錯誤的是（）A、Nmap可以進行主機存活發(fā)現(xiàn)B、Nmap不可以進行漏洞掃描C、Nmap不可以進行漏洞利用D、Nmap可以掃描主機端口開放情況答案：B245.關于ddos和cc攻擊的描述錯誤的是A、ddos是指處于不同位置的多個攻擊者同時向一個或數(shù)個目標發(fā)動dos攻擊B、cc攻擊是ddos攻擊的一種C、cc攻擊主要針對目標主機的數(shù)據(jù)庫D、ddos主要針對IP，所以可以攻擊各種網(wǎng)絡設備答案：D246.“連我”是一家互聯(lián)網(wǎng)直播服務提供者，某直播內(nèi)容侵犯了瑤瑤的個人隱私，瑤瑤隨即進行了投訴，則“連我”應（）處理投訴。A、及時B、在兩個工作日內(nèi)C、在三個工作日內(nèi)D、在五個工作日內(nèi)答案：A247.Linux最高權限叫做？A、rootB、adminC、userD、system答案：A248.當發(fā)現(xiàn)個人電子信息泄露事件后，互聯(lián)網(wǎng)交互式服務提供者應立即采取補救措施，防止信息繼續(xù)泄露，()告知用戶。A、立即B、12小時內(nèi)C、24小時內(nèi)D、48小時內(nèi)答案：C249.以下哪幾種工具可以對網(wǎng)站進行自動化web漏洞掃描（）A、hackbarB、AWVSC、firebugD、Nmap答案：B250.（）是用來分析網(wǎng)絡報文的入侵檢測系統(tǒng)A、網(wǎng)絡入侵檢測B、主機入侵檢測技術C、服務器入侵監(jiān)測D、虛擬機入侵檢測答案：A251.某公司在執(zhí)行災難恢復測試時．信息安全專業(yè)人員注意到災難恢復站點的服務器的運行速度緩慢，為了找到根本愿因，他應該首先檢查：A、災難恢復站點的錯誤事件報告B、災難恢復測試計劃C、災難恢復計劃(DRP)D、主站點和災難恢復站點的配置文件答案：A252.公安機關建有國家、省、市級（），負責網(wǎng)絡與信息安全事件的發(fā)現(xiàn)、研判、通報和預警等工作？A、網(wǎng)絡安全企業(yè)B、委辦局C、網(wǎng)絡與信息安全信息通報中心D、網(wǎng)絡安全評估中心答案：C253.以下哪一項是數(shù)據(jù)完整性得到保護的例子？A、某網(wǎng)站在訪問量突然增加時對用戶鏈接數(shù)量進行了限制，保證已登錄的用戶可以完成操作B、在提款過程中ATM終端發(fā)生故障，銀行業(yè)務系統(tǒng)及時對該用戶的賬戶余額進行了沖正操作C、某網(wǎng)絡系統(tǒng)具有嚴格的審計功能，可以確定哪個管理員在何時對核心交換機進行了什么操作D、李先生在每天下班前將重要文件鎖在檔案室的保密柜中，使偽裝成清潔工的商業(yè)間諜無法查看答案：B254.下面關于信息系統(tǒng)安全保障模型的說法不正確的是：A、國家標準《信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》(GB／T20274．1-2006)中的信息系統(tǒng)安全保障模型將風險和策略作為基礎和核心B、模型中的信息系統(tǒng)生命周期模型是抽象的概念性說明模型，在信息系統(tǒng)安全保障具體操作時，可根據(jù)具體環(huán)境和要求進行改動和細化C、信息系統(tǒng)安全保障強調(diào)的是動態(tài)持續(xù)性的長效安全，而不僅是某時間點下的安全D、信息系統(tǒng)安全保障主要是確保信息系統(tǒng)的保密性、完整性和可用性，單位對信息系統(tǒng)運行維護和使用的人員在能力和培訓方面不需要投入答案：D255.對戴明環(huán)（PDCA）方法的描述不正確的是：A、“PDCA”的含義是P計劃，D實施，C檢查，A改進；B、“PDCA”循環(huán)又叫“戴明”環(huán)；C、“PDCA”循環(huán)是只能用于信息安全管理體系有效改進的工作程序；D、“PDCA”循環(huán)是可用于任何一項活動有效進行的工作程序；答案：C256.Apache服務器存放站點文件的路徑一般是/var//html，當我們發(fā)現(xiàn)其存在的文件下載漏洞，我們傳入哪個參數(shù)無法成功下載我們要的文件A、/etc/passwdB、./etc/passwdC、passwdD、./../etc/passwd答案：C257.在WLAN用戶終端和PORTAL服務器之間，通過()保證用戶信息安全.A、HTTPB、HTTPSC、IPSECD、GRETunnel答案：B258.根據(jù)檢測目標的不同，惡意代碼的檢測方法可以分為基于主機的檢測和基于網(wǎng)絡的檢測。其中，（）屬于基于網(wǎng)絡的檢測方式。A、基于特征碼的掃描技術B、基于行為的檢測C、基于沙箱技術的檢測D、基于蜜罐的檢測答案：D259.關于netsh的描述，錯誤的是A、netsh是windows自帶的工具B、netsh可以用于端口轉(zhuǎn)發(fā)C、netshnetsh在轉(zhuǎn)發(fā)端口到本地時，可以不指定listenportD、netsh在轉(zhuǎn)發(fā)端口到本地時，可以不指定listenaddress答案：C260.安全管理體系，國際上有標準