还剩123页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
中国移动网络与信息安全管理通道考试题库含答案一单选题
1.向有限的空间输入超长的字符串是哪一种攻击手段?A、缓冲区溢出B、网络监听C、拒绝服务D、IP欺骗答案A
2.关键信息基础设施运营者采购网络产品和服务,影响或可能影响的,应当进行网络安全审查A、国家安全B、社会公共利益C、集体利益D、公民、法人和其他组织的合法权益答案A
3.《中华人民共和国网络安全法》规定,国家实行网络安全保护制度A、等级B、分级C、定级D、以上选项都不正确答案A
28.自2004年1月起,国内各有关部门在申报信息安全国家标准计划项目时,必须经由以下哪个组织提出工作意见,协调一致后由该组织申报A、全国通信标准化技术委员会TC485B、全国信息安全标准化技术委员会TC260C、中国通信标准化协会CCSA D、网络与信息安全技术工作委员会答案B
29.鉴别是用户进入系统的第一道安全防线用户登录系统时,输入用户名和密码就是对用户身份进行鉴别,鉴别通过,即可以实现两个实体之间的连接例如,一个用户被服务器鉴别通过后,则被服务器认为是合法用户,才可以进行后续访问鉴别是对信息的一项安全属性进行验证,该属性属于下列选项中的A、保密性B、可用性C、真实性D、完整性答案C
30.应急响应是信息安全事件管理的重要内容之一关于应急响应工作,下面描述错误的是A、信息安全应急响应,通常是指一个组织为了应对各种安全意外事件的发生所采取的防范措施,既包括预防性措施,也包括事件发生后的应对措施B、应急响应工作有其鲜明的特点:具有高技术复杂性与专业性、强突发性对知识经验的高依赖性,以及需要广泛的协调与合作
149.一台Li nu错服务器运行的服务包括SMTP、POP
3、I MAP和SNMP,对其进行端口扫描,可以发现下列哪些端口TCP端口可能开放A、25B、110C、21D、143答案:ABD
150.下列哪些选项属于计算机病毒的特点?A、寄生性B、潜伏性C、破坏性D、传染性答案ABCD
151.等级保护三级要求,应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于等A、鉴别数据B、重要业务数据C、重要个人信息D、系统数据答案ABC
152.网络/系统单元的安全等级应根据三个相互独立的定级要素确定结合各类业务系统特点,定级三要素的具体赋值指标可以进一步细化A、社会影响力B、业务系统特点C、规模和服务范围D、所提供服务的重要性答案ACD
153.网络运营者,是指A、网络运维者B、网络所有者C、网络服务提供者D、网络管理者答案:BCD
154.国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害0的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护A、公共利益B、网络安全C、国计民生D、国家安全答案ACD
155.国家实行网络安全等级保护制度网络运营者应当按照网络安全等级保护制度的要求,履行哪些安全保护义务A、制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任B、采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施C、采取监测,记录网络运行状态网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月D、采取数据分类重要数据备份和加密等措施答案ABCD
156.下面关于访问控制模型的说法正确的是A、DAC模型中主体对它所属的对象和运行的程序有全部的控制权B、DAC实现提供了一个基于“need-to-know”的访问授权的方法,默认拒绝任何人的访问访问许可必须被显示地赋予访问者C、在MAC这种模型里,管理员管理访问控制管理员制定策略,策略定义了哪个主体能访问哪个对象但用户可以改变它D、RBAC模型中管理员定义一系列角色roles并把它们赋予主体系统进程和普通用户可能有不同的角色设置对象为某个类型,主体具有相应的角色就可以访问它答案ABD
157.域名注册信息不能在哪里找到?A、路由器B、DNS记录C、Whois数据库D、MIBs库答案ABD
158.除《网络安全法》第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务()A、设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;B、定期对从业人员进行网络安全教育.技术培训和技能考核;C、对重要系统和数据库进行容灾备份;D、制定网络安全事件应急预案,并定期进行演练;E、法律.行政法规规定的其他义务答案:ABCDE
159.以下关于I IS报错的信息含义描述错误的是0A、401找不到文件B、403禁止访问C、404权限问题D、500系统错误答案ACD
160.发现感染计算机病毒后,应采取哪些措施0A、断开网络B、使用杀毒软件检测清除C、如果不能清除,将样本上报国家计算机病毒应急处理中心D、格式化系统答案ABC
161.以下关于w indowsSAM安全账户管理器的说法正确的是Av安全账户管理器SAM具体表现就是%SystemRoot%system32conf igsam B、安全账户管理器SAM存储的账号信息是存储在注册表中C、安全账户管理器SAM存储的账号信息对admin istrator和system是可读和可写的D、安全账户管理器SAM是windows的用户数据库,系统进程通过Secur ityAcco untsManager服务进行访问和操作答案:ABD判断题
1.中国移动陕西公司党委对公司网络安全工作负主体责任,党委书记是第一责任人,主管网络安全的党委委员是直接责任人陕西公司各级党组织对本地区、本单位网络安全工作负主体责任,党组织主要负责人是第一责任人,主管网络安全的党组织成员是直接责任人A、正确B、错误答案A
2.所有系统定级备案每年都要做一次A、正确B、错误答案B
3.网络运营者为用户办理网络接入、域名注册服务,办理固定电话移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息用户不提供真实身份信息的,网络运营者不得为其提供相关服务()A、正确B、错误答案A
4.信息安全问题的根源内因是信息系统复杂性导致漏洞的存在不可避免()A、正确B、错误答案A
5.Web服务常见的威胁有网络层面、系统层面和应用层面网络层面主要有拒绝服务电子欺骗、嗅探;系统层面主要有Web服务漏洞、信息泄露;应用层面主要有代码缺陷(SQL注入、错SS等)、电子欺骗、钓鱼流程缺陷配置错误等()A、正确B、错误答案B
6.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成得影响减到最小,确保组织业务运行得连续性0A、正确B、错误答案:A
7.等级保护对象是指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集存储、传输、交换、处理的系统()A、正确B、错误答案A
8.安全审计主要包括日常审计和专项安全审计()A、正确B、错误答案A
9.国家对关键信息基础设施实行重点保护,采取措施,监测防御处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动()A、正确B、错误答案A
10.计算机病毒只会破坏磁盘上的数据和文件()A、正确B、错误答案B
11.IS0/0SI七层模型定义了网络中不同计算机系统进行通信的基本过程和方法其中底层协议偏重于处理实际的信息传输,负责创建网络通信连接的链路,包括物理层、数据链路层、网络层和传输层高层协议处理用户服务和各种应用请求,包括会话层、表示层和应用层()A、正确B、错误答案A
12.信息安全应该建立在整个生命周期中所关联的人、事、物的基础上,综合考虑人技术管理和过程控制,使得信息安全不是一个局部而是一个整体()A、正确B、错误答案A
13.VPN的主要特点是通过加密使信息能安全的通过Internet传递()A、正确B、错误答案A
14.在公共场所安装图像采集个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识所收集的个人图像身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外()A、正确B、错误答案A
15.等级保护中的备案由当地公安主管,定级备案由各省通信管理局主管()A、正确B、错误答案A
16.网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律行政法规的规定和双方的约定收集使用个人信息,并应当依照法律行政法规的规定和与用户的约定,处理其保存的个人信息()A、正确B、错误答案A
17.未经国家网信部门国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向公安部门报告()A、正确B、错误答案B
18.根据《陕西移动数据安全管理办法》,各使用部门应保留所有敏感数据操作的客户授权凭据,确保真实有效,凭据至少保留2年()A、正确B、错误答案B
19.一次性开办三张卡以上电话卡、一年内两次补办电话卡、一年内两次以上注销并新办电话卡都属于异常办卡线索()A、正确B、错误答案A
20.基于个人同意处理个人信息的,个人无权撤回其同意()A、正确B、错误答案B
21.信息安全保障诸要素中,人是最关键也是最活跃的要素网络攻防对抗,最终较量的是攻防两端的人,而不是设备0A、正确B、错误答案A
22.网络安全工作考核纳入省公司经营业绩考核和战略绩效考核体系,各单位经营业绩考核或战略绩效考核得分与其人工成本分配挂钩()A、正确B、错误答案A
23.外部合作单位人员进行开发、测试工作要先与公司签署保密协议()A、正确B、错误答案A
24.口令管理原则,口令至少每100天更换一次()C、应急响应是组织在处置应对突发/重大信息安全事件时的工作,其主要包括两部分工作:安全事件发生时正确指挥、事件发生后全面总结D、应急响应工作的起源和相关机构的成立和1988年11月发生的莫里斯蠕虫病毒事件有关,基于该事件,人们更加重视安全事件的应急处置和整体协调的重要性答案C
31.以下不是非结构化数据的项?A、图片B、苜频C、数据库二维表格D、视频答案C
32.不是网络安全审计系统的功能A、能帮助我们对网络安全进行实时监控,及时发现整个网络上的动态B、发现网络入侵和违规行为C、加强系统的访问控制能力,提高系统安全性D、忠实记录网络上发生的一切,提供取证手段答案C
33.SSL安全套接字协议使用的端口是A、3389B、443C、1433A、正确B、错误答案B
25.为了从技术上限制非授权用户接触敏感信息,原则上,涉及敏感信息的支撑系统业务平台、通信系统等应纳入4A系统的集中管控()A、正确B、错误答案A
26.安全审计就是日志的记录()A、正确B、错误答案B
27.信息安全风险管理的思路不符合PDCA的问题解决思路()A、正确B、错误答案B
28.根据《陕西移动数据安全合规评估工作实施细则》,条线管理部门每年根据评估计划组织相关部门开展所辖业务/系统的数据安全合规评估工作和问题整改工作,信息安全管理部负责对评估结果进行复核()A、正确B、错误答案:A
29.国家支持网络运营者之间在网络安全信息收集分析通报和应急处置等方面进行合作,提高网络运营者的安全保障能力()A、正确B、错误答案A
30.内部人员误操作导致信息系统故障的事件也属于信息安全事件()A、正确B、错误答案A
31.运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作,以及公安国家安全,保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作应当予以配合()A、正确B、错误答案A
32.风险评估以自评估为主,自评估和检查评估相互结合互为补充0A、正确B、错误答案A
33.任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益的活动()A、正确B、错误答案A
34.根据《陕西移动信息安全教育培训管理办法》,公司新入职员工,必须接受公司部门班组的相应安全培训教育,方能上岗各类培训教育的时间均不得少于8学时()A、正确B、错误答案A
35.若发现内存有病毒,应立即换一张新盘,这样就可以放心使用了()A、正确B、错误答案B36,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息()A、正确B、错误答案A
37.关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任()A、正确B、错误答案:A
38.IPv6地址数量是IPv4地址数量的264倍()A、正确B、错误答案B
39.按照《陕西移动数据分类分级及重要数据安全管理规范》,根据公司生产经营管理现状和自身管理特点,可将数据资源分为“用户相关数据”和“企业自身数据”两大类以便于对数据进行统一管理及推广应用()A、正确B、错误答案A
40.根据《陕西移动信息安全责任管理实施细则》,发生信息安全事件时,当事单位应向省公司信息安全归口管理部门——省公司信息安全管理部报告事件情况,并由省公司信息安全管理部牵头负责将有关事件向集团公司与所在地通信管理局报告()A、正确B、错误答案A
41.用户身份和鉴权信息包括用户身份和标识信息、用户网络身份鉴权信息()A、正确B、错误答案A
42.个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息()A、正确B、错误答案:A
43.在UNI错系统中,服务可以通过inetd进程来启动()A、正确B、错误答案A
44.SQL注入一般可通过网页表单直接输入()A、正确B、错误答案A
45.格式化过后的计算机硬盘,原来的数据完全不可能找回()A、正确B、错误答案B
46.2017年8月,中共中央办公厅印发《党委(党组)网络安全工作责任制实施办法》()A、正确B、错误答案:A
47.产生脆弱性方式有系统程序代码缺陷、系统设备安全配置错误系统操作流程有缺陷、维护人员安全意识不足等()A、正确B、错误答案A
48.Nmap是一款优秀的端口扫描工具()A、正确B、错误答案A
49.发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者0A、正确B、错误答案A
50.个人信息的处理目的处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意()A、正确B、错误答案A
51.网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度()A、正确B、错误答案A
52.DDOS是指集中式拒绝服务攻击()A、正确B、错误答案B
53.个人信息处理者应当定期对其处理个人信息遵守法律行政法规的情况进行合规审计0A、正确B、错误答案A
54.个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实准确、完整地向个人告知个人信息的处理目的处理方式,处理的个人信息种类保存期限等()A、正确B、错误答案A
55.所有持有增值电信业务经营许可证的企业且已开展电信业务的,均需登录工信部网络安全防护管理系统填写相关内容,完成定级备案工作()As正确B、错误答案A
56.网络战争作为国家整体军事战略的一个组成部分已经成为趋势()A、正确B、错误答案:A
57.网络运营者应当建立网络信息安全投诉举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报()A、正确B、错误答案A
58.发起大规模的DDoS攻击通常要控制大量的中间网络或系统()A、正确B、错误答案A
59.各单位通过网站、应用程序等产品收集使用个人信息时,应具备合法正当的目的,清晰准确地予以描述,并公开收集使用规则()A、正确B、错误答案A
60.根据《陕西移动网络与信息安全渗透演练管理办法》,组织单位应通过0A公文向监督单位报备,同时根据演练活动方案向相关单位宣布演练开始,启动演练活动可根据实际情况引入外部单位和人员,须与外部单位和相关人员签订保密协议和信息安全责任承诺书()A、正确B、错误答案:A
61.关键信息基础设施运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况()A、正确B、错误答案A
62.能够在统一安全策略下防护免受来自外部有组织的团体拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能,这是属于等保第四级安全保护能力()A、正确B、错误答案B
63.国家网信部门会同国务院有关部门制定公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测()As正确B、错误答案A
64.各单位应根据“职责不相容”原则设置独立的安全审计员,安全审计员应每月开展日常审计()As正确B、错误答案A
65.数据内部共享包括部门间共享和单位间共享()A、正确B、错误答案A
66.根据《陕西移动对外网站安全管理办法》,在网站规划设计阶段,各单位应结合网站信息安全需求,落实必要的安全防护和技术保障措施()A、正确B、错误答案A
67.每年的4月15日为全民国家安全教育日()A、正确B、错误答案A
68.构成风险的关键因素有资产、威胁与弱点()As正确B、错误D、80答案B
34.互联网公司和机构征集用户数据、使用用户数据必须经过用户的授权和认可,也就是说用户应当具有,有权要求删除A、名誉权和人身权B、求偿权和姓名权C、知情权和选择权D、隐私权和肖像权答案C
35.某网络安全公司基于网络的实时入侵检测技术,动态监测来自于外部网络和内部网络的所有访问行为当检测到来自内外网络针对或通过防火墙的攻击行为,会及时响应,并通知防火墙实时阻断攻击源,从而进一步提高了系统的抗攻击能力,更有效地保护了网络资源,提高了防御体系级别,但入侵检测技术不能实现以下哪种功能0A、检测并分析用户和系统的活动B、核查系统的配置漏洞,评估系统关键资源和数据文件的完整性C、防止IP地址欺骗D、识别违反安全策略的用户活动答案C
36.我国标准《信息系统灾难恢复规范》GB/T20988-2007指出,依据具备的灾难恢复资源程度的不同,灾难恢复能力可分为6个等级其中,要求“数据零丢失和远程集群支持”的能力等级是答案A
69.造成计算机不能正常工作的原因若不是硬件故障,就是计算机病毒()A、正确B、错误答案:B
70.运营者在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时未按照有关规定向保护工作部门、公安机关报告的,由保护工作部门公安机关依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款()A、正确B、错误答案A
71.帐号的权限分配应当遵循“权限明确、职责融合、最小特权”的原则()A、正确B、错误答案B
72.因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施()A、正确B、错误答案:A
73.对于架设中国大陆地区的网站,只有通过工信部备案才可以正常开通()A、正确B、错误答案A
74.根据《陕西移动三同步安全管理办法》,系统规划、建设及运行安全管理是指在项目立项、建设、验收以及系统运行直至退网的各个阶段中,根据国家及有限公司相关安全管理和技术规范要求,结合系统实际面临的安全风险以及陕西移动自身业务管理和系统维护上的需要,同步落实相关安全防护措施,达到系统安全防护的最佳效果0A、正确B、错误答案A
75.根据《网络安全法》的规定,大众传播媒介应当有针对性地面向社会进行网络安全宣传教育()A、正确B、错误答案A
76.根据《中国移动陕西公司党委网络安全工作责任制实施细则》,各单位的门户网站、网厅或者重点业务网站受到攻击后没有及时组织处置,且瘫痪6小时以上的,应进行问责()As正确B、错误答案A
77.个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的期限处理方式、个人信息的种类、保护措施以及双方的权利和义务等,但无权对受托人的个人信息处理活动进行监督()A、正确B、错误答案B
78.错SS跨站脚本漏洞主要影响的是客户端浏览用户()A、正确B、错误答案A
79.任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案()A、正确B、错误答案A
80.对于一些信息安全隐患,如果还没造成损失,就没必要进行报告()A、正确B、错误答案B
81.SYNFI ood就是一种DOS攻击()B、错误答案A A、第0级B、第1级C、第3级D、第6级答案:D
37.某单位计划在今年开发一套办公自动化0A系统,将集团公司各地的机构通过互联网进行协同办公在0A系统的设计方案评审会上,提出了不少安全开发的建议,作为安全专家,请指出大家提的建议中不太合适的一条?A、对软件开发商提出安全相关要求,确保软件开发商对安全足够的重视,投入资源解决软件安全问题B、要求软件开发人员进行安全开发培训I,使开发人员掌握基本软件安全开发知识C、要求软件开发商使用Java而不是ASP作为开发语言,避免产生SQL注入漏洞D、要求软件开发商对软件进行模块化设计,各模块明确输入和输出数据格式,并在使用前对输入数据进行校验答案C
38.使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于什么攻击类型?0A、拒绝服务B、文件共享C、BIND漏洞D、远程过程调用答案A
39.某银行网上交易系统开发项目在设计阶段分析系统运行过程中可能存在的攻击,请问以下拟采取的安全措施中,哪一项不能降低该系统的受攻击面()A、远程用户访问需进行身份认证B、远程用户访问时具有管理员权限C、关闭服务器端不必要的系统服务D、当用户访问其账户信息时使用严格的身份认证机制答案B
40.国家机关或者金融、电信、交通教育医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处()以下有期徒刑或者拘役,并处或者单处罚金A、一年B、二年C、三年D、五年答案C
41.HTTPS是一种安全的HTTP协议,它使用()来保证信息安全Ax IPSecB、SSL C、SET D、SSH答案B
42.网络产品、服务的提供者不得设置,发现其网络产品服务存在安全缺陷漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告A、恶意程序B、风险程序C、病毒程序D、攻击程序答案A
43.Telnet服务自身的主要缺陷是0A、不用用户名和密码B、服务端口23不能被关闭C、明文传输用户名和密码D、支持远程登录答案C
44.在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识所收集的个人图像身份识别信息只能用于的目的,不得用于其他目的;取得个人单独同意的除外A、改进服务B、数据开放共享C、维护公共安全D、信息推送商业营销答案C
45.根据《关于开展信息安全风险评估工作的意见》的规定,错误的是()A、信息安全风险评估分自评估、检查评估两形式应以检查评估为主,自评估和检查评估相互结合、互为补充B、信息安全风险评估工作要按照“严密组织、规范操作讲求科学、注重实效”的原则开展C、信息安全风险评估应贯穿于网络和信息系统建设运行的全过程D、开展信息安全风险评估工作应加强信息安全风险评估工作的组织领导答案A
46.当你感觉到你的Windows操作系统运行速度明显减慢,当你打开任务管理器后发现CPU的使用率达到了百分之百,你最有可能认为你受到了()攻击A、特洛伊木马B、拒绝服务C、欺骗D、中间人攻击答案B
47.《关键信息基础设施安全保护条例》已经2021年4月27日国务院第133次常务会议通过,现予公布,自()起施行A、2021年9月1日B、2021年11月1日C、2022年1月1日D、2022年2月1日答案:B
48.信息安全工程作为信息安全保障的重要组成部分,主要是为了解决A、信息系统的技术架构安全问题B、信息系统组成部分的组件安全问题C、信息系统生命周期的过程安全问题D、信息系统运行维护的安全管理问题答案C
49.以下对windows账号的描述,正确的是A、windows系统是采用SID安全标识符来标识用户对文件或文件夹的权限B、windows系统是采用用户名来标识用户对文件或文件夹的权限C、windows系统默认会生成administration和guest两个账号,两个账号都不允许改名和删除D、windows系统默认生成administration和guest两个账号,两个账号都可以改名和删除答案D
50.由于频繁出现软件运行时被黑客远程攻击获取数据的现象,某软件公司装备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是A、要求开发人员采用敏捷开发模型进行开发B、要求所有的开发人员参加软件安全意识培训C、要求规范软件编码,并制定公司的安全编码准则D、要求增加软件安全测试环节,尽早发现软件安全问题答案A
51.Oracle、MSSQL、MySQL三种数据库,最高权限的用户分别是A、SYS、Rootv SAB、Root\SA、SYS C、dbsnmpx SA、Root D、SYS、SA、Root答案:D
52.2003年以来,我国高度重视信息安全保障工作,先后制定并发布了多个文件,从政策层面为开展并推进信息安全保障工作进行了规划下面选项中哪个不是我国发布的文件()A、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发
[2003]27号)B、《国家网络安全综合计划(CNCI)》(国令
[2008]54号)C、《国家信息安全战略报告》(国信
[2005]2号)D、《关于大力推进信息化发展和切实保障信息安全的若干意见》(国发
[2012]23号)答案B
53.
16.数据链路层负责监督相邻网络节点的信息流动,用检错或纠错技术来确保正确的传输,确保解决该层的流量控制问题数据链路层的数据单元是()A、报文B、比特流C、帧D、包答案:C
54.网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构或者安全检测符合要求后,方可销售或者提供A、认证设备合格B、安全认证合格C、认证网速合格D、认证产品合格答案B
55.是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测行为A、漏洞扫描B、渗透测试C、代码审计D、配置核查答案A
56.国家建立和完善网络安全标准体系和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品服务和运行安全的国家标准、行业标准A、国务院电信主管部门B、国务院标准化行政主管部门C、网信部门D、公安部门答案:B
4.在工程实施阶段,监管机构承建合同,安全设计方案、实施方案实施记录,国家地方标准和技术文件,对信息化工程进行安全检查,以验证项目是否实现了项目设计目标和安全等要求A、功能性B、可用性C、保障性D、符合性答案D
5.网络安全等级保护要求中,描述符合第三级要求的是A、等级保护对象受到破坏后,会对公民法人和其他组织的合法权益造成损害,但不损害国家安全社会秩序和公共利益B、等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全C、等级保护对象受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害D、等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害答案C
6.以下关于“最小特权”安全管理原则理解正确的是0A、组织机构内的敏感岗位不能由一个人长期负责B、对重要的工作进行分解,分配给不同人员完成C、一个人有且仅有其执行岗位所足够的许可和权限
57.防火墙中地址转换的主要作用是A、提供代理服务B、隐藏内部网络地址C、进行入侵检测D、防止病毒入侵答案B
58.PKI的全称是A、Pr ivateKeyIntrus i on B、Pub Ii cKeyIntrusion C、Pr ivateKeyInfrastructure D、Pub Ii cKeyInfrastructure答案D
59.关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订,明确安全和保密义务与责任A、保密合同B、安全服务合同C、安全保密协议D、安全责任条款答案C
60.小牛在对某公司的信息系统进行风险评估后,因考虑到该业务系统中部分涉及金融交易的功能模块风险太高,他建议该公司以放弃这个功能模块的方式来处理该风险请问这种风险处置的方法是A、降低风险B、规避风险C、转移风险D、接受风险答案:B
61.通常在设计VLAN时,以下哪一项不是VLAN的规划的方法?A、基于交换机端口B、基于网络层协议C、基于MAC地址D、基于数字证书答案D
62.PDRR模型是指对信息的模型A、保护检;则反应和跟踪B、规划、检测、响应和恢复C、规划、检测、响应和跟踪D、保护检测、反应和恢复答案D
63.网络安全事件应急预案应当按照事件发生后的等因素对网络安全事件进行分级A、关注程度、危害程度B、危害程度、影响范围C、影响范围影响层面D、关注程度、影响层面答案B
64.当用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段?A、缓存溢出攻击B、钓鱼攻击C、暗门攻击D、DDOS攻击答案B
65.下面关于软件测试的说法错误的是A、所谓“黑盒”测试就是测试过程不测试报告中的进行描述,切对外严格保密B、出于安全考虑,在测试过程中尽量不要使用真实的生产数据C、测试方案和测试结果应当成为软件开发项目文档的主要部分被妥善的保存D、软件测试不仅应关注需要的功能是否可以被实现,还要注意是否有不需要的功能被实现了答案A
66.根据《陕西移动数据分类分级及重要数据安全管理规范》,禁止第级数据对外共享A、1B、2C、3D、4答案D
67.下列哪一个选项不是错SS跨站脚本漏洞危害A、钓鱼欺骗B、身份盗用C、SQL数据泄露D、网站挂马答案C
68.在风险处置过程中,应当考虑的风险处置措施,通常在哪种情况下采用?A、负面影响损失小于安全投入B、负面影响损失和安全投入持平C、负面影响损失和安全投入都很小D、安全投入小于负面影响损失答案D
69.某单位需要开发一个网站,为了确保开发出安全的软件,软件开发商进行了0A系统的威胁建模,根据威胁建模,SQL注入是网站系统面临的攻击威胁之一,根据威胁建模的消减威胁的做法,以下哪个属于修改设计消除威胁的做法A、在编码阶段程序员进行培训I,避免程序员写出存在漏洞的代码B、对代码进行严格检查,避免存在SQL注入漏洞的脚本被发布C、使用静态发布,所有面向用户发布的数据都使用静态页面D、在网站中部署防SQL注入脚本,对所有用户提交数据进行过滤答案D
70.保证数据的机密性A、数字签名B、消息认证C、单项函数D、加密算法答案:D
71.国家倡导诚实守信健康文明的网络行为,推动传播社会主义核心价值观,采取措施提高全社会的和水平,形成全社会共同参与促进网络安全的良好环境A、网络安全意识B、网络诚信意识C、网络社会道德意识D、网络健康意识答案A
72.某网站为了更好向用户提供服务,在新版本设计时提供了用户快捷登录功能,用户如果使用上次的IP地址进行访问,就可以无需验证直接登录,该功能推出后,导致大量用户账号被盗用,关于以上问题的说法正确的是0A、网站问题是由于开发人员不熟悉安全编码,编写了不安全的代码,导致攻击面增大,产生此安全问题B、网站问题是由于用户缺乏安全意识导致,使用了不安全的功能,导致网站攻击面增大,产生此问题C、网站问题是由于使用便利性提高,带来网站用户数增加,导致网站攻击面增大,产生此安全问题D、网站问题是设计人员不了解安全设计关键要素,设计了不安全的功能,导致网站攻击面增大,产生此问题答案D
73.以下工作哪个不是计算机取证准备阶段的工作0A、获得授权B、准备工具C、介质准备D、保护数据答案D
74.随着信息技术的不断发展,信息系统的重要性也越来越突出,而与此同时,发生的信息安全事件也越来越多,综合分析信息安全问题产生的根源,下面描述正确的是A、信息系统自身存在脆弱性是根本原因,信息系统越来越重要,同时自身在开发、部署和使用过程中存在的脆弱性,导致了诸多的信息安全事件发生,因此,杜绝脆弱性的存在是解决信息安全问题的根本所在B、信息系统面临诸多黑客的威胁,包括恶意攻击者和恶作剧攻击者信息系统应用越来越广泛,接触信息系统的人越多,信息系统越可能遭受攻击因此,避免有恶意攻击可能的人接触信息系统就可以解决信息安全问题C、信息安全问题产生的根源要从内因和外因两个方面两个方面分析,因为信息系统自身存在脆弱性,同时外部又有威胁源,从而导致信息系统可能发生安全事件因此,要防范信息安全风险,需从内外因同时着手D、信息安全问题的根本原因是内因外因和人三个因素的综合作用内因和外因都可能导致安全事件的发生,但最重要的还是人的因素,外部攻击者和内部工作人员通过远程攻击、本地破坏和内外勾结等手段导致安全事件发生因此,对人这个因素的防范应是安全工作重点答案:C
75.用户数据及服务内容信息B类包括A、用户身份和标识信息用户网络身份鉴权信息B、用户服务使用数据、设备信息C、用户使用习惯和行为分析数据、用户上网行为相关统计分析数据D、服务内容数据联系人信息答案D
76.关于信息安全保障管理体系建设所需要重点考虑的因素,下列说法错误的是0A、国家、上级机关的相关政策法规要求B、组织的业务使命C、信息系统面临的风险D、项目的经费预算答案D
77.运营者应当建立健全网络安全保护制度和0,保障人力财力物力投入运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题Av职能制B、岗位制C、责任制D、统筹制答案C
78.2016年4月19日,习近平主持召开网络安全和信息化工作座谈会并发表重要讲话习近平指出,网络安全的本质在对抗,对抗的本质在两端能力较量要落实网络安全责任制,制定网络安全标准,明确保护对象保护层级保护措施A、正反B、内外C、攻防D、明暗答案C
79.防火墙对进出网络的数据进行过滤,主要考虑的是0A、内部网络的安全性B、外部网络的安全性C、Internet的安全性D、内部网络和外部网络的安全性答案A
80.SQL注入是指由于A、恶意用户利用挤占带宽、消耗系统资源等攻击方法B、恶意用户通过提交特殊的参数从而达到获取数据库中存储的数据得到数据库用户的权限C、恶意用户利用发送虚假电子邮件建立虚假服务网站发送虚假网络消息等方法D、恶意用户利用以太网监听、键盘记录等方法获取未授权的信息或资料答案B
81.信息化建设和信息安全建设的关系应当是A、信息化建设的结束就是信息安全建设的开始B、信息化建设和信息安全建设应同步规划同步实施C、信息化建设和信息安全建设是交替进行的,无法区分谁先谁后D、以上说法都正确答案B
82.U盘病毒的传播是借助W indows系统的什么功能实现的?A、自动播放B、自动补丁更新C、服务自启动D、系统开发漏洞答案A
83.计算机应急响应小组的简称是A、CERT B、FIRST GSANA D、CEAT答案A
84.Windows有三种类型的事件日志,分别是A、系统日志应用程序日志安全日志B、系统日志、应用程序日志、DNS日志C、安全日志应用程序日志事件日志D、系统日志应用程序日志事件日志答案A
85.《中华人民共和国网络安全法》规定,个人发现网络运营者违反法律行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者0其个人信息A、更正B、删除C、隐藏D、销毁答案B
86.当访问web网站的某个页面资源不存在时,将会出现的HTTP状态码是A、200B、302C、401D、404答案D
87.《中华人民共和国网络安全法》规定,网络产品、服务具有收集用户信息功能的,其提供者应当D、防止员工由一个岗位变动到另一个岗位,累积越来越多的权限答案C
7.哪一类防火墙具有根据传输信息的内容如关键字、文件类型来控制访问链接的能力?A、包过滤防火墙B、状态检测防火墙C、应用网关防火墙D、以上都不能答案C
8.防火墙中网络地址转换NAT的主要作用是A、提供代理服务B、隐藏内部网络地址C、进行入侵检测D、防止病毒入侵答案B
9.以下哪一项不是信息安全管理工作必须遵循的原则?A、风险管理在系统开发之处就应该予以充分考虑,并要贯穿于整个系统开发过程之中B、风险管理活动应成为系统开发、运行、维护直至废弃的整个生命周期内的持续性工作C、由于在系统投入使用后部署和应用风险控制措施针对性会更强,实施成本会相对较低A、向政府有关部门报备B、向用户明示并取得同意C、停止收集用户信息D、征得用户同意并支付一定的费用答案:B
88.《个人信息保护法》规定,个人信息处理者处理不满周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意A、12B、13C、14D、16答案C
89.路由器的标准访问控制列表以0作为判别条件A、数据包的大小B、数据包的源地址C、数据包的端口号D、数据包的目的地址答案B
90.即非法用户利用合法用户的身份,访问系统资源A、身份假冒B、信息窃取C、数据篡改D、越权访问答案A
91.微软SDL将软件开发生命周期划分为七个阶段,并提出了十七项重要的安全活动,其中“威胁建模”属于的安全活动As要求Requ irements阶段B、设计Design阶段C、实施Imp Iementation D、验证Ver if icat ion阶段答案B
92.0通信网络单元应当每年进行一次符合性评测A、一级及一级以上B、二级及二级以上C、三级及三级以上D、四级及四级以上答案C
93.SSL协议是之间实现加密传输的协议A、物理层和网络层B、网络层和系统层C、传输层和应用层D、物理层和数据层答案C
94.等级保护三级要求,应保证云计算平台不承载0其安全保护等级的业务应用系统A、不等于B、低于C、局于答案C
95.虚拟专用网络VPN通常是指在公共网络中利用隧道技术,建立一个临时的、安全的网络,这里的字母P的正确解释是0A^Specif ic-purpose,特定,专用用途的B、Propr ietary,专有的、专卖的G Private,私有的、专有的D、Specific,特种的、具体的答案C
96.PKI的主要组成不包括0A、证书授权CA B、SSL G注册授权RA D、证书存储库CR答案B
97.DD0S攻击破坏了系统的A、可用性B、保密性C完整性D、真实性答案A
98.小李在检查公司对外服务网站的源代码时,发现程序在发生诸如没有找到资源数据库连接错误、写临时文件错误等问题时,会将详细的错误原因在结果页面上显示出来从安全角度考虑,小李决定修改代码,将详细的错误原因都隐藏起来,在页面上仅仅告知用户“抱歉,发生内部错误!”请问,这种处理方法的主要目的是A、避免缓冲区溢出B、安全处理系统异常C、安全使用临时文件D、最小化反馈信息答案D
99.采用三层交换机VLAN隔离安全域,通过防火墙模块或0进行安全域的隔离A、虚拟防火墙B、访问控制列表C、数字证书D、接口答案B
100.为了保证系统日志可靠有效,以下哪一项不是日志必需具备的特征A、统一而精确的时间B、全面覆盖系统资产C包括访问源、访问目标和访问活动等重要信息D、可以让系统的所有用户方便的读取答案D
101.网络安全审查是网络安全领域的重要法律制度,原《网络安全审查办法》自2020年6月1日施行以来,对于保障关键信息基础设施供应链安全,维护国家安全发挥了重要作用为落实《数据安全法》等法律法规要求,十三部门联合修订发布《网络安全审查办法》,自()起施行A、2022年3月1日B、2022年2月15日C、2021年2月15日D、2021年3月1日答案B
102.某网站管理员小邓在流量监测中发现近期网站的入站ICMP流量上升了250%,尽管网站没有发现任何的性能下降或其他问题,但为了安全起见,他仍然向主管领导提出了应对措施,作为主管负责人,请选择有效的针对此问题的应对措施()A、在防火墙上设置策略,阻止所有的ICMP流量进入(关掉pi ng)B、删除服务器上的p ing.e错e程序C、增加带宽以应对可能的拒绝服务攻击D、增加网站服务器以应对即将来临的拒绝服务攻击答案A
103.Windows系统下,可通过运行0命令打开Windows管理控制台A、reged itB、cmd C、mmc D、mfc答案B
104.根据《网络安全法》,哪个主体应当对其收集的用户信息严格保密,并建立健全用户信息保护制度?A、网络经营者B、网络运营者C、平台经营者D、平台运营者答案B
105.关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门A、四年B、两年C、每年D、三年答案C
106.一个HTTP请求由哪些部分组成?0A、方法、请求包头和实体包B、方法和请求包头C、协议状态代码描述、方法和请求包头D、协议状态代码描述和请求包头答案A
107.时间戳的引入主要是为了防止()A、死锁B、丢失C、重放D、拥塞答案C
108.为推动和规范我国网络安全等级保护工作,我国制定和发布了网络安全等级保护工作所需要的一系列标准,这些标准可以按照等级保护工作的工作阶段大致分类下面四个标准中,()规定了等级保护定级阶段的依据对象、流程方法及等级变更等内容Av GB/T22239-2019《网络安全等级保护基本要求》Bx GB/T22240-2020《网络安全等级保护定级指南》Cx GB/T25070-2019《网络安全等级保护安全设计技术要求》D、GB/T20269-2006《网络安全等级保护测评要求_mb答案B
109.使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于什么攻击类型?()A、拒绝服务B、文件共享C BlND漏洞D、远程过程调用答案A
110.“公开密钥密码体制”的含义是0A、将所有密钥公开B、将私钥公开,公钥保密C、将公钥公开,私钥保密D、两个密钥相同答案C
111.信息安全风险模型阐述了所有者、资产脆弱性漏洞、安全措施之间的关系以下关于信息安全风险模型说法错误的是A、资产价值由使用者确定B、提高脆弱性会提高安全风险C、降低安全威胁会降低安全风险D、提高安全措施会降低安全风险答案A
112.在网络信息系统中对用户进行认证识别时,口令是一种传统但仍然使用广泛的方法,口令认证过程中常常使用静态口令和动态口令下面描述中错误的是A、所谓静态口令方案,是指用户登录验证身份的过程中,每次输入的口令都是固定静止不变的B、使用静态口令方案时,即使对口令进行简单加密或哈希后进行传输,攻击者依然可能通过重放攻击来欺骗信息系统的身份认证模块C、动态口令方案中通常需要使用密码算法产生较长的口令序列,攻击者如果连续地收集到足够多的历史口令,则有可能预测出下次要使用的口令D、通常,动态口令实现方式分为口令序列、时间同步以及挑战/应答等几种类型答案C
113.基于网络的入侵监测系统的信息源是0A、系统的审计日志B、系统的行为数据C、应用程序的事务日志文件D、网络中的数据包答案D
114.许多黑客攻击都是利用软件实现中的缓冲区溢出的漏洞,对此最可靠的解决方案是A、安装防火墙B、安装入侵检测系统C、给系统安装最新的补丁D、安装防病毒软件答案C
115.以下哪一项是对信息系统经常不能满足用户需求的最好解释?A、没有适当的质量管理工具B、经常变化的用户需求C、用户参与需求挖掘不够D、项目管理能力不强
三、多项选择题共160题答案C
116.各业务部门应根据互联网新技术新业务安全评估情况将重大风险及整改情况形成台账,并至少每个月针对上一年的清单业务开展一次动态核验A、四B、五C、六D、七答案C
117.,国资委党委办公厅印发《关于贯彻落实<中共中央国务院关于加强网络安全和信息化工作的意见》的工作方案》,主要从网络意识形态责任制落实、网络安全和风险防范等五个方面,明确了十五项重点工作,要求各央企遵照执行明确将网络安全责任制检查考核纳入央企负责人考核评价体系,将网络意识形态工作责任制落实情况纳入央企党建工作考核A、2017年8月B、2018年3月C、2018年8月D、2018年9月答案B
118.以下对信息安全管理的描述错误的是A、信息安全管理得核心就就是风险管理D、在系统正式运行后,应注重残余风险的管理,以提高快速反应能力答案C
10.电话用户人证一致率是指后新入网用户所持证件与本人一致且通过联网核验的比率A、2016年5月17日B、2016年9月1日C、2017年1月1日D、2017年9月1日答案C
11.根据《网络安全法》的规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估,法律行政法规另有规定的,依照其规定A、境外存储B、外部存储器储存C、第三方存储D、境内存储答案D
12.《民法典》规定,自然人享有,除法律另有规定或者权利人明确同意外,任何组织或者个人以电话、短信、即时通讯工具电子邮件、传单等方式侵扰他人的私人生活安宁Av隐私权B、人们常说,三分技术,七分管理,可见管理对信息安全得重要性C、安全技术就是信息安全得构筑材料,安全管理就是真正得粘合剂与催化剂D、信息安全管理工作得重点就是信息系统,而不是人答案D
119.信息安全管理者需要完成方方面面的繁杂工作,这些日常工作根本的目标是:A、避免系统软硬件的损伤B、监视系统用户和维护人员的行为C、保护组织的信息资产D、给入侵行为制造障碍,并在发生入侵后及时发现、准确记录答案C
120.与PDR模型相比,P2DR模型多了哪一个环节?A、防护B、检测C、反应D、策略答案D
121.《中华人民共和国网络安全法》规定,应当为公安机关国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助A、高等学校、职业学校等教育培训机构B、网络运营者C、各级人民政府及其有关部门D、大众传播媒介答案B
122.关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的A、国家采购审查B、国家网信安全审查C、国家安全审查D、国家网络审查答案C
123.《中华人民共和国网络安全法》规定,网络运营者应当对其收集的用户信息严格保密,并建立健全A、用户信息分类制度B、用户信息保护制度C、网络安全等级保护制度D、数据分级制度答案B
124.从安全属性对各种网络攻击进行分类,截获攻击是针对的攻击,阻断攻击是针对的攻击A、机密性,完整性B、机密性,可用性C、完整性,可用性D、真实性,完整性答案B
125.国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事0的活动,为未成年人提供安全、健康的网络环境A、针对未成年人黄赌毒B、灌输未成年人错误网络思想C、侵害未成年人受教育权D、危害未成年人身心健康答案D
126.使用最广泛的两种消息认证方法是A、对称加密算法法和非对称加密算法B、AES和DES C、RSA和ECDSA D、消息认证码和散列函数答案D
127.网络产品、服务具有的,其提供者应当向用户明示并取得同意,涉及用户个人信息的,还应当遵守《网络安全法》和有关法律行政法规关于个人信息保护的规定A、公开用户资料功能B、收集用户信息功能C、提供用户家庭信息功能D、用户填写信息功能答案:B
128.Windows系统下,哪项不是有效进行共享安全的防护措施?A、使用netshare\\
127.
0.
0.1\c$/delete命令,删除系统中的c$等管理共享,并重启系统B、确保所有的共享都有高强度的密码防护C、禁止通过“空会话”连接以匿名的方式列举用户、群组系统配置和注册表键值D、安装软件防火墙阻止外面对共享目录的连接答案A
129.机构应该把信息系统安全看作0A、业务中心B、风险中心C、业务促进因素D、业务抑制因素答案C
130.主要用于加密机制的协议是A、HTTP B、FTP C、TELNET D、SSL答案D
131.令牌Tokens,智能卡及生物检测设备同时用于识别和鉴别,依据的是以下原则A、多因素鉴别原则B、双因素鉴别原则C、强制性鉴别原则D、自主性鉴别原则答案:B
132.UNI错/L inu错操作系统的文件系统是结构A、星型B、树型C、网状D、环型答案B
133.电子商务交易必须具备抗抵赖性,目的在于防止A、一个实体假装另一个实体B、参与此交易的一方否认曾经发生过此次交易C、他人对数据进行非授权的修改、破坏D、信息从被监视的通信过程中泄露出去答案B
134.安全审计是对系统活动和记录的独立检查和验证,以下哪一项不是审计系统的作用A、辅助辨识和分析未经授权的活动或攻击B、对与已建立的安全策略的一致性进行核查C、及时阻断违反安全策略的访问D、帮助发现需要改进的安全控制措施答案C
135.安全审计是对系统活动和记录的独立检查和验证,以下不是审计系统的作用A、辅助辨识和分析未经授权的活动或攻击B、对与已建立的安全策略的一致性进行核查C、及时阻断违反安全策略的访问D、帮助发现需要改进的安全控制措施答案C
136.关于第三方人员4A账号,以下说法正确的是A、第三方人员可以作为金库审批人,可以给第三方人员长期授权管理员权限从账号B、第三方人员可以作为金库审批人,不可以给第三方人员长期授权管理员权限从账号C、第三方人员不可以作为金库审批人,可以给第三方人员长期授权管理员权限从账号D、第三方人员不可以作为金库审批人,不可以给第三方人员长期授权管理员权限从账号答案D
137.以下哪一项不是常见威胁对应的消减措施A、假冒攻击可以采用身份认证机制来防范B、为了防止传输的信息被篡改,收发双方可以使用单向Hash函数来验证数据的完整性C、为了防止发送方否认曾经发送过的消息,收发双发可以使用消息验证码来防止抵赖D、为了防止用户提升权限可以采用访问控制表的方式来管理权限答案C
138.根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,非法获取出售或者提供行踪轨迹信息通信内容、征信信息、财产信息条以上的,属于情节严重A、五十B、五百C、一千D、五千答案A
139.MD5算法可以提供数据安全性检查A、可用性B、机密性C、完整性D、以上三者均有答案C
140.下列关于kerckhofff准则的说法正确的是A、保持算法的秘密性比保持密钥的秘密性要困难得多B、密钥一旦泄漏,也可以方便的更换C、在一个密码系统中,密码算法是可以公开的,密钥应保证安全D、公开的算法能够经过更严格的安全性分析答案C
141.网络产品、服务应当符合相关国家标准的要求A、自觉性B、规范性C、建议性D、强制性答案D
142.《网络安全审查办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查,并明确掌握超过用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查Av10万B、50万C、100万D、500万答案C
143.不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况,选择适当的风险评估方法下面的描述中,错误的是A、定量风险分析试图从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,以度量风险的可能性和损失量B、定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应选择定性风险分析C、定性风险分析过程中,往往需要凭借分析者的经验和直接进行,所以分析结果和风险评估团队的素质、经验和知识技能密切相关D、定性风险分析更具主观性,而定量风险分析更具客观性答案B
144.关于信息安全管理体系的作用,下面理解错误的是A、对内而言,有助于建立起文档化的信息安全管理规范,实现有“法”可依,有章可循,有据可查B、对内而言,是一个光花钱不挣钱的事情,需要组织通过其他方面收入来弥补投入C、对外而言,有助于使各利益相关方对组织充满信心D、对外而言,能起到规范外包工作流程和要求,帮助界定双方各自信息安全责任答案B
145.自然人死亡的,其为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅复制更正删除等权利;死者生前另有安排的除外A、直系亲属B、近亲属C、配偶父母、子女D、亲属答案B
146.以下不属于对称式加密算法的是o A、DES B、RSA C、GOST D、IDEA答案:B
147.哈希算法MD5的摘要长度为Av64位B、128位C、256位D、512位答案B
148.下列哪一项不是黑客在信息收集阶段使用到的技术A、公开信息的合理利用及分析B、IP及域名信息收集C、主机及系统信息收集D、使用sq Imap验证sq I注入是否存在答案C
149.据GB/T24364-2009《信息安全技术信息安全应急响应计划规范》,应急响应方法论的第二阶段是0A、准备B、检测C、遏制B\名誉权C、荣誉权D、健康权答案A
13.按照《通信网络安全防护管理办法》要求,通信网络运行单位应当自信息变化之日起日内向电信管理机构变更备案,通信网络运行单位报备的信息应当真实完整A、15B、30C、60D、90答案B
14.当没有足够的人力资源保证将数据库管理员和网络管理员的岗位分配给两个不同的人担任,这种情况造成了一定的安全风险这时应当怎么做?A、抱怨且无能为力B、向上级报告该情况,等待增派人手C、通过部署审计措施和定期审查来降低风险D、由于增加人力会造成新的人力成本,所以接受该风险答案C
15.定级备案为等级保护第三级的信息系统,应当每对系统进行一次等级测评A、半年B、一年D\根除答案B
150.等级保护三级要求,大数据平台应提供和去标识化的工具或服务组件技术A、动态脱敏B、静态脱敏C、动态加密D、静态加密答案B
151.通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,按照各通信网络单元遭到破坏后可能对国家安全、经济运行社会秩序、公众利益的危害程度,最高等级为A、四级B、五级C、六级D、七级答案B
152.以下关于威胁建模流程步骤说法不正确的是A、威胁建模主要流程包括四步:确定建模对象、识别威胁、评估威胁和消减威胁B、评估威胁是对威胁进行分析,评估被利用和攻击发生的概率,了解被攻击后资产的受损后果,并计算风险C、消减威胁是根据威胁的评估结果,确定是否要清除该威胁以及消减的技术措施,可以通过重新设计直接消除威胁,或设计采用技术手段来消减威胁D、识别威胁是发现组件或进程存在的威胁,它可能是恶意的,也可能不是恶意的,威胁就是漏洞答案D
153.以下哪条属于个人信息影响的评估场景A、处理敏感个人信息,利用个人信息进行自动化决策B、委托处理个人信息、向第三方提供个人信息、公开个人信息C、向境外提供个人信息D、以上皆是答案D
154.2018年4月20日至21日,全国网络安全和信息化工作会议召开,对新时代网信事业进行战略部署习近平出席会议并发表重要讲话他强调,我们必须敏锐抓住信息化发展的历史机遇,加强网上正面宣传,维护网络安全,推动信息领域突破,发挥信息化对经济社会发展的引领作用,加强网信领域军民融合,主动参与网络空间国际治理进程,自主创新推进网络强国建设A、关键技术B、核心技术C、局新技术D、前沿技术答案B
155.软件存在漏洞和缺陷是不可避免的,实践中常使用软件缺陷密度Defects/K L0C来衡量软件的安全性,假设某个软件共有
29.6万行源代码,总共被检测出145个缺陷,则可以计算出其软件缺陷密度值是o Ax
0.00049B、
0.049C、
0.49D、49C答案:C
156.拒不履行信息网络安全管理义务,致使泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息条以上的,应当认定为刑法第二百八十六条拒不履行信息网络安全管理义务规定的“造成严重后甲,,O A、50B、500C、5000D、50000答案C
157.根据《网络安全法》的规定,负责统筹协调网络安全工作和相关监督管理工作A、行业主管部门B、国家安全部门C、国家网信部门D、上级监管部门答案C
158./etc/Passwd文件是UNI错/Linu错安全的关键文件之一该文件用于用户登录是校对用户登录名、加密的口令数据项、用户IDUID、默认的用户分组I DGID、用户信息、用户登录目录以及登录后使用的shell程序某黑客设法窃取了银行账户管理系统的passwd文件后,发现每个用户的加密的口令数据项都显示为‘错下列选项中,对此现象的解释正确的是A、黑客窃取的passwd文件是假的B、用户的登录口令经过不可逆的加密算法加密结果为“错”C、加密口令被转移到了另一个文件里D、这些账户都被禁用了答案C
159.常用的混合加密加ybridEncryption方案指的是A、使用对称加密进行通信数据加密,使用公钥加密进行会话密钥协商B、使用公钥加密进行通信数据加密,使用对称加密进行会话密钥协商C、少量数据使用公钥加密,大量数据则使用对称加密D、大量数据使用公钥机密,少量数据则使用对称加密答案A多选题
1.《中华人民共和国网络安全法》规定,网络运营者收集使用个人信息,应当遵循的原则,公开收集使用规则,明示收集使用信息的目的方式和范围,并经被收集者同意As合法B、合理C、正当D、必要答案ACD
2.下列哪些权限属于windows系统下的ntfs权限?A、修改B、读取和运行C、写入D、同步答案ABC
3.严格的口令策略应当包含哪些要素A、满足一定的长度,比如8位以上B、同时包含数字,字母和特殊字符C、系统强制要求定期更改口令D、用户可以设置空口令答案:ABC
4.以下哪些项是和电子邮件系统有关的?AX PEMPri vacyenhancedmaiI B、PGP Prettygoodpri vacyG错.500D、错.400答案ABD
5.国家支持网络运营者之间在网络安全信息等方面进行合作,提高网络运营者的安全保障能力A、分析B、通报C、应急处置D、收集答案ABCD
6.在信息安全管理工作中“符合性”的含义包括以下哪几项?A、对法律法规的符合B、对安全策略和标准的符合C、对用户预期服务效果的符合D、通过审计措施来验证符合情况答案ABD
7.《网络安全等级保护基本要求》安全通信网络分类中包含以下哪些安全控制点Oo A、通信传输B、边界防护C、可信验证D、网络架构答案ACD
8.以下属于《网络安全等级保护基本要求》安全管理要求的是A、安全物理环境B、安全建设管理C、安全管理中心D、安全运维管理答案BD
9.网络产品、服务应当符合相关国家标准的强制性要求网络产品、服务的提供者A、不得设置恶意程序B、发现其网络产品服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告C、应当为其产品.服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护D、网络产品.服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意E、涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定答案ABCDE
10.数据分级应按照数据重要程度和敏感程度,依据以下原则A、时效性原则B、就高不就低原则C、关联叠加效应原则D、最小权限原则答案ABC
11.突发事件是指等各类突发情况A、自然灾害B、事故灾难C、公共卫生事件D、社会安全事件答案ABCD
12.根据《APP违法违规收集使用个人信息行为认定方法》,以下行为可被认定为“未经用户同意收集使用个人信息”A、实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围B、APP更新时自动将用户设置的权限恢复到默认状态C、利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项D、向用户提供撤回同意收集个人信息的途径、方式答案ABC
13.等级保护三级要求,应采用等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现A、口令B、密码技术C、生物技术D、动态口令答案ABC
14.《中华人民共和国网络安全法》规定,网络运营者“在发生或者可能发生个人信息泄露毁损丢失的情况时,应当立即采取补救措施,按照规定及时”A、告知用户B、向有关主管部门报告C、向公安机关报案D、向国家网信部门举报答案AB
15.黑客攻击某个系统之前,首先要进行信息收集,那么哪些信息收集方法属于社会工程学范畴?0A、通过破解SAM库获取密码B、通过获取管理员信任获取密码C、使用暴力密码破解工具猜测密码D、通过办公室电话、姓名、生日来猜测密码答案BD
16.Chmod744test命令执行的结果的说法不正确的是A、test文件的所有者具有执行读写权限文件所属的组和其他用户有读的权限B、test文件的所有者具有执行读写和执行权限,文件所属的组和其他用户有权限C、test文件的所有者具有执行读和执行权限,文件所属的组和其他用户有读的权限D、test文件的所有者具有执行读写和执行权限,文件所属的组和其他用户有读的权限答案ABC
17.根据《中国移动陕西公司网络安全工作考核问责办法》,问责的情形包括A、省公司门户网站重点业务网站大型网络平台、网络设备等重要信息系统被攻击篡改,导致反动言论或者谣言等违法有害信息大面积扩散,且没有及时报告和组织处置的B、关键信息基础设施遭受网络攻击,没有及时处置导致大面积影响客户工作生活,或者造成重大经济损失,或者造成严重不良社会影响的C、发生国家秘密泄露,大量地理人口资源等国家基础数据泄露,或者大量战略、基站、位置、营销、网络运行等公司重要基础数据泄露的D、关键设备安全可控工作存在相关国家法律法规及集团公司工作要求落实不到位等违规行为,或未完成上级单位相关安全责任考核,造成不良影响的答案ABCD
18.网络安全,是指通过采取必要措施,防范对网络的攻击、侵入干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的的能力A、真实性B、完整性C、保密性D、可用性答案BCD
19.金库模式的实施应遵循如下基本原则A、所有涉及客户敏感数据的操作均须纳入金库模式管控,不留盲区B、双人操作限事限时C、授权不操作,操作不授权C两年D、三年答案B
16.某电子商务网络架构设计时,为了避免数据误操作,在管理员进行订单删除时,需要由审核员进行审核后删除操作才能生效这种设计是遵循了以下哪个原则A、权限分离原则B、最小特权原则C、保护最薄弱环节的原则D、纵深防御的原则答案A
17.违反国家有关规定,向他人出售或者提供公民个人信息,情节特别严重的,处有期徒刑,并处罚金A、一年以下B、三年以下C、三年以上五年以下D、三年以上七年以下答案D
18.身份认证的含义是A、注册一个用户B、标识一个用户C、验证一个用户D、单人操作,限事限时答案ABC
20.以下对访问许可描述正确的是0A、访问许可定义了改变访问模式的能力或向其它主体传送这种能力的能力B、有主型访问许可是对每个客体设置一个拥有者,拥有者对其客体具有全部控制权C、等级型访问控制许可通常按照组织机构的人员结构关系来设置主体对客体的控制权D、有主型访问许可是对每个客体设置一个拥有者,但拥有者不是唯一有权修改客体访问控制表答案:ABC
21.信息安全保障工程生命周期一般分为立项,开发采购,工程实施,运行维护等阶段,下面对每个过程对应的成果文件描述正确的是A、立项一《信息安全保障方案》B、开发采购一《安全保障工程实施方案》C、工程实施一《终验报告》D、运维阶段一《系统认证证书》答案ACD
22.云计算服务安全评估重点评估0A、云服务商的征信、经营状况等基本情况B、云服务商人员背景及稳定性,特别是能够访问客户数据能够收集相关元数据的人员C云平台技术、产品和服务供应链安全情况D、云服务商安全管理能力及云平台安全防护情况E、客户迁移数据的可行性和便捷性答案ABCD
23.以下哪项问题或概念是公钥密码体制中经常使用到的困难问题?A、大整数分解B、离散对数问题C、背包问题D、伪随机数发生器答案ABD
24.下列说法属于等级保护三级备份和恢复要求的是A、能够对重要数据进行备份和恢复B、能够提供设备和通信线路的硬件冗余C、提出数据的异地备份和防止关键节点单点故障的要求D、要求能够实现异地的数据实时备份和业务应用的实时无缝切换答案:ABC
25.以下哪几项是风险评估阶段应该做的?A、对ISMS范围内的信息资产进行鉴定和估价B、对信息资产面对的各种威胁和脆弱性进行评估C、对已存在的或规划的安全控制措施进行界定D、根据评估结果实施相应的安全控制措施答案ABC
26.以下关于信息系统的安全保护等级正确的是A、第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益B、第二级,信息系统受到破坏后,会对公民法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全C、第四级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害D、第五级,信息系统受到破坏后,会对国家安全造成特别严重损害答案:ABD
27.开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒,网络攻击网络侵入等网络安全信息的,由有关主管部门责令改正,给予警告;拒不改正或者情节严重的,处一万元以上十万元以下罚款,并可以由有关主管部门责令0,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款A、暂停相关业务B、停业整顿C、关闭网站D、吊销相关业务许可证或者吊销营业执照答案ABCD
28.等级保护三级要求,应配备一定数量的等A、系统管理员B、审计管理员C安全管理员D、保密管理员答案ABC
29.在风险管理准备阶段“建立背景”对象确立过程中应该做的是0A、分析系统的体系结构B、分析系统的安全环境C、制定风险管理计划D、调查系统的技术特性答案:ABD
30.网络安全等级保护第三级安全要求中,安全通信网络架构应满足以下哪些要求A、应保证网络设备的业务处理能力满足业务高峰期需要B、应保证网络各个部分的带宽满足业务高峰期需要C、应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址D、应将重要网络区域部署在边界处答案:ABC
31.根据《信息安全分类分级指南》GB/Z20986-2007,信息安全事件分类包括A、有害程序事件B、网络攻击事件C、信息破坏事件D、设备设施故障E、灾害性事件答案ABCDE
32.以下哪些项是工作在网络第二层的隧道协议?A、VTP B、L2F C、PPTP D、L2TP答案:BCD
33.个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失A、制定内部管理制度和操作规程B、对个人信息实行分类管理C、采取相应的加密、去标识化等安全技术措施D、合理确定个人信息处理的操作权限并定期对从业人员进行安全教育和培训E、制定并组织实施个人信息安全事件应急预案答案ABCDE
34.以下对于非集中访问控制中“域”说法不正确的是A、每个域的访问控制与其他域的访问控制相互关联B、跨域访问不一定需要建立信任关系C、域中的信任必须是双向的D、域是一个共享同一安全策略的主体和客体的集合答案ABC
35.安全域的划分除了遵循根本原则外,还根据划分安全域安全子域、安全区域A、业务逻辑B、地域与管理模式C、业务特点D、访问量答案ABC
36.根据《陕西移动数据安全管理办法》,应与第三方公司签订数据安全承诺书,严禁发生如下行为A、窃取、泄露、滥用公司数据B、利用系统漏洞损害公司或用户的利益C、修改业务信息强制或伪造订购业务等D、在已上线使用的系统中留存后门和无法删除的超级帐户及密码答案ABCD
37.以下对于蠕虫病毒的说法正确的是0A、通常蠕虫的传播无需用户的操作B、蠕虫病毒的主要危害体现在对数据保密性的破坏C、蠕虫的工作原理与病毒相似,除了没有感染文件阶段D、是一段能不以其他程序为媒介,从一个电脑系统复制到另一个电脑系统的程序答案ABD
38.进行信息安全管理体系的建设是一个涉及企业文化,信息系统特点,法律法规等多方面因素的复杂过程,人们在这样的过程中总结了许多经睑,下面哪些项是最值得赞同的?A、成功的信息安全管理体系建设必须得到组织的高级管理的直接支持B、制定的信息安全管理措施应当与组织的文化环境相匹配C、应该对IS027002等国际标注批判地参考,不能完全照搬D、借助有经验的大型国际咨询公司,往往可以提高管理体系的执行效果答案ABC
39.以下对系统日志信息的操作中哪项是可以发生的?A、对日志内容进行编辑B、只抽取部分条目进行保存和查看C、用新的日志覆盖旧的日志D、使用专用工具对日志进行分析答案BCD
40.国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施A、对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助B、促进有关部门关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享C、对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估D、定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力答案ABCD
41.在信息系统联网测试期间不得采用真实业务数据如因联网测试发生安全事件,将追究相关责任A、信息通信系统业务主管部门B、信息通信系统运维单位C、信息通信系统研发单位D、信息通信系统测评单位答案ABC
42.属于中间件A、Apache B、Tomcat C、Solaris D、redhat答案:AB
43.以下对“信息安全风险”的描述不正确的是A、是来自外部的威胁利用了系统自身存在脆弱性作用于资产形成风险B、是系统自身存在的威胁利用了来自外部的脆弱性作用于资产形成风险C、是来自外部的威胁利用了系统自身存在的脆弱性作用于网络形成风险D、是系统自身存在的威胁利用了来自外部的脆弱性作用于网络形成风险答案BCD
44.完整性机制不可以防范以下哪种攻击?A、假冒源地址或用户地址的欺骗攻击B、抵赖做过信息的递交行为C、数据传输中的窃听获取D、数据传输中的篡改或破坏答案ABC
45.以下哪些属于脆弱性范畴A、黑客攻击B、操作系统漏洞C、应用程序BUG D、人员的不良操作习惯答案BCD
46.关于《网络安全法》以下正确的是A、《网络安全法》提出制定网络安全战略,明确网络空间治理目标,提高了我国网络安全政策的透明度B、《网络安全法》进一步明确了政府各部门的职责权限,完善了网络安全监管体制C、《网络安全法》强化了网络运行安全,重点保护关键信息基础设施D、《网络安全法》将监测预警与应急处辂措施制度化.法制化答案ABCD
47.《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障其所确立的基本原则包括A、网络空间主权原则B、网络安全与信息化发展并重原则C、共同治理原则D、高效便民原则答案:ABC
48.在《国家网络空间安全战略》中,中国提出愿与各国一道,加强沟通扩大共识深化合作,积极推进全球互联网治理体系变革,共同维护网络空间和平安全,并遵照以下原则A、尊重维护网络空间主权B、和平利用网络空间C、依法治理网络空间D、统筹网络安全与发展答案ABCD
49.网络运营者应当制定网络安全事件应急预案,及时处置安全风险,在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告A、系统漏洞B、网络攻击C、网络侵入D、计算机病毒D、授权一个用户答案C
19.当web服务器访问人数超过了设计访问人数上限,将可能出现的HTTP状态码是A、200B、503C、403D、302答案B
20.口令管理原则中,次以内不得设置相同的口令A、4B、5C、6D、7答案B
21.以下人员中,谁负有决定信息分类级别的责任?A、用户B、数据所有者C、审计员D、安全官答案B
22.下面对于信息安全事件分级的说法正确的是?答案ABCD
50.个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项A、个人信息处理者的名称或者姓名和联系方式B、个人信息的处理目的、处理方式,处理的个人信息种类、保存期限C、个人行使《个人信息保护法》规定权利的方式和程序D、法律、行政法规规定应当告知的其他事项答案ABCD
51.以下关于IS0/IEC27001标准说法正确的是A、本标准可被内部和外部相关方用于一致性评估,审核的重点就是组织信息安全的现状,对部署的信息安全控制是好的还是坏的做出评判B、本标准采用一种过程方法来建立实施、运行、监视、评审、保持和改进一个组织的ISMS C、目前国际标准化组织推出的四个管理体系标准:质量管理体系、职业健康安全管理体系、环境管理体系、信息安全管理体系,都采用了相同的方法,即PDCA模型D、本标准注重监视和评审,因为监视和评审是持续改进的基础如果缺乏对执行情况和有效性的测量,改进就成了“无的放矢”答案BCD
52.某公司进行了进行了风险评估并及时进行了整改,但后来还是发生了信息安全事件,对此的解释不正确的是A、安全不是静态的,是会随时间的推移而动态变化的B、安全是相对的,不安全是绝对的和必然的C、仅有风险评估还不够,必须要采取其它安全手段来实现100%的安全D、该公司在信息安全方面缺乏有效的管理答案BCD
53.等级保护三级要求,应规定统一的应急预案框架,包括等内容A、启动预案的条件B、应急组织构成C、应急资源保障D、事后教育和培训答案ABCD
54.下列关于网络信息安全说法正确的有A、在经过处理无法识别特定个人且不能被复原的情况下,未经被收集者同意,不得向他人提供个人信息B、网络运营者不得泄露、篡改毁损其收集的个人信息C、网络运营者应当对其收集的用户信息严格保密D、网络运营者应当妥善管理用户信息,无需建立用户信息保护制度答案BC
55.基于重要数据的定义,依据识别方法,识别的重要数据主要集中为0中的部分数据A、网络与系统的建设与运行维护类数据B、业务运营类数据C、企业管理类数据D、合作方提供数据答案AC
56.根据《网络安全法》的规定,任何个人和组织A、不得从事非法侵入他人网络干扰他人网络正常功能等危害网络安全的活动B、不得提供专门用于从事侵入网络干扰网络正常功能等危害网络安全活动的程序C、明知他人从事危害网络安全的活动的,不得为其提供技术支持D、明知他人从事危害网络安全的活动的,可以为其进行广告推广答案:ABC
57.计算机病毒的特点A、传染性B、可移植性C、破坏性D、可触发性答案ACD
58.以下哪些项是SQL语言的功能?A、数据定义B、数据查询C、数据操纵D、数据加密答案ABC
59.以下对于Windows系统的服务描述,不正确的是A、windows服务必须是一个独立的可执行程序B、Windows服务的运行不需要用户的交互登录Cv windows服务都是随系统启动而启动,无需用户进行干预D、windows服务都需要用户进行登录后,以登录用户的权限进行启动答案ACD
60.当企业网络遭受DOS或DDOS攻击时,会引发以下哪些常见现象A、数据接收延迟B、Ping服务器出现丢包C、系统强制要求定期更改口令D、访问Web资源较慢答案:ABD
61.如果对一个应用系统实施全面的主机层和应用层安全评估,实现手段有o A、配置核查B、渗透测试C、漏洞扫描D、代码审计答案ABCD
62.以下哪一项是风险评估阶段应该做的?A、对ISMS范围内的信息资产进行鉴定和估价B、对信息资产面对的各种威胁和脆弱性进行评估C、对已存在的或规划的安全控制措施进行界定D、根据评估结果实施相应的安全控制措施答案ABC
63.根据《网络安全法》,除按照网络安全等级保护制度的要求,履行相关安全保护义务外,关键信息基础设施的运营者还应当履行下列安全保护义务A、设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查B、定期对从业人员进行网络安全教育、技术培训和技能考核C、对重要系统和数据库进行容灾备份D、制定网络安全事件应急预案,并定期进行演练答案ABCD
64.网络安全等级保护第三级安全要求中,入侵防范应满足以下哪些要求A、应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型攻击时间攻击流量等;B、应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;C、应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流最;D、应在检测到网络攻击行为异常流量情况时进行告警答案ABCD
65.通信网络安全防护工作坚持的原则有A、积极防御B、统一调度C、综合防范D、分级保护答案ACD
66.政府数据开放面临着哪些问题?A、涉及的法律问题分散而复杂B、涉及众多政府部门和公共机构,协调难度大C、开放数据许多具体问题需要重新界定D、数据太少答案:ABC
67.在ARP攻击中,使被攻击者通过攻击者连接互联网,需要同时对发出欺骗A、主机B、交换机C、网关D、DNS答案AC
68.风险处理方式包括A、降低B、规避C、转移D、接受答案ABCD
69.系统上线前,设计研发单位应回收所有开发过程中使用的0等临时账号及权限A、特权用户B、测试账户C、用户账户D、超级管理员答案ABD
70.以下对PDCA循环特点描述正确的是A、按顺序进行,周而复始,不断循环B、组织中的每个部分,甚至个人,均可以PDCA循环,大环套小环,一层一层地解决问题C、每通过一次PDCA循环,都要进行总结,提出新目标,再进行第二次PDCA循环D、可以由任何一个阶段开始,周而复始,不断循环答案:ABC
71.对信息安全风险评估要素理解不正确的是A、资产识别的粒度随着评估范围评估目的的不同而不同,既可以是硬件设备,也可以是业务系统,也可以是组织机构B、应针对构成信息系统的每个资产做风险评价C、脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项D、信息系统面临的安全威胁仅包括人为故意威胁人为非故意威胁答案BCD
72.下来防止通过远程访问来侵入系统的措施正确的是A、要求用户经常更新他们的帐号口令;B、当员工离职时,回收他她的系统帐号;C定期对远程接入审核;D、对远程管理地址进行限制答案ABCD
73.指出下列关于计算机病毒的正确论述A、计算机病毒是人为地编制出来.可在计算机上运行的程序B、计算机病毒具有寄生于其他程序或文档的特点C、计算机病毒只要人们不去执行它,就无法发挥其破坏作用D、计算机病毒在执行过程中,可自我复制或制造自身的变种E、只有计算机病毒发作时才能检查出来并加以消除F、计算机病毒具有潜伏性,仅在一些特定的条件下才发作答案:ABCDF
74.WindowsNT的“域”控制机制具备哪些安全特性?A、用户身份验证B、访问控制C、审计日志D、数据通讯的加密答案ABC
75.《网络安全法》所称网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行的系统A、存储B、传输、交换C、处理D、收集答案:ABCD
76.根据《陕西移动智能终端应用安全管理办法》,智能终端应用包括A、APP B、小程序C、公众号D、网站答案ABC
77.2016年12月,我国发布了《国家网络空间安全战略》,明确了网络空间是国家的疆域,网络空间主权是国家主权的重要组成部分总结了网络空间面临的挑战包括A、网络渗透危害政治B、网络攻击威胁经济安全C、网络有害信息侵蚀文化安全D、网络恐怖与违法犯罪破坏社会安定答案:ABCD
78.计算机信息系统安全管理包括A、组织建设B、事前检查C、制度建设D、人员意识答案ACD
79.风险是需要保护的资产发生损失的可能性,它是综合结果A、攻击方式B、威胁C、攻击目标D、漏洞答案BD
80.以下密码学手段需要共享密钥的是A、消息认证B、消息摘要C、加密解密D、数字签名答案ACD
81.等级保护中的定级备案和工信部定级备案A、文件规范不同B、等级划分个数不同C、保护对象不同D、备案机关不同E、工作内容不同答案ACDE
82.属于数据库A、Ng in错B\OracIe A、对信息安全事件的分级可以参考信息系统的重要程度、系统遭受的损失大小和应急成本三个要素B、判断信息系统和重要程度主要考虑其用户的数量C、根据信息安全事件的分级考虑要是,将信息安全事件划分为:特别重大事件重大事件较大事件和一般事件四个级别D、信息安全事件分级可以完全由用户自行完成答案C
23.实体身份鉴别一般依据以下三种基本情况或这三种情况的组合:实体所知的鉴别方法实体所有的鉴别方法和基于实体特征的鉴别方法下面选项中属于使用基于实体特征的鉴别方法是A、将登录口令设置为出生日期B、通过询问和核对用户的个人隐私信息来鉴别C、使用系统定制的、在本系统专用的IC卡进行鉴别D、通过扫描和识别用户的脸部信息来鉴别答案D
24.在关系型数据库系统中通过“视图view”技术,可以实现以下哪一种安全原则?A、纵深防御原则B、最小权限原则C、职责分离原则D、安全性与便利性平衡原则答案B C\MYSQL D、DB2答案BCD
83.下面哪个是私有pr ivateIP地址A、
172.
23.
0.1B、
192.
168.
1.100C、
193.
0.
4.7D、
226.
135.
0.1答案:AB
84.非对称密码算法相较于对称密码算法,其优点包括o A、解决密钥传递问题B、耗用资源小C、密钥管理简单D、提供数字签名等其他服务答案ACD
85.下列工具中,是用于配置核查的主要工具A、4A合规工具B、AppScan C、绿盟BVS D、弱口令破解工具答案ACD
86.某单位信息内网的一台计算机上一份重要文件泄密,但从该计算机上无法获得泄密细节和线索,可能的原因是A、该计算机未开启审计功能B、该计算机审计日志未安排专人进行维护C、该计算机感染了木马D、该计算机存在系统漏洞答案ABCD
87.设备安全评估中安全硬件设备包括A、防火墙B、入侵检测系统C、WAF D、交换机答案ABC
88.下列对自主访问控制说法正确的是A、自主访问控制允许客体决定主体对该客体的访问权限B、自主访问控制具有较好的灵活性和可扩展性C、自主访问控制可以方便地调整安全策略D、自主访问控制安全性不高,常用于商业系统答案BCD
89.建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施A、同步修改B、同步使用C、同步建设D、同步规划答案BCD
90.安全编码原则包括A、最小特权原则B、权限分离原则C、保护最薄弱环节原则D、攻击面最小化原则答案ABCD
91.对于采用静态口令认证技术的设备,应支持字符构成的口令A、数字B、小写字母C、大写字母D、特殊符号答案:ABCD
92.网络安全风险应急响应分为Av I级B、I I级C、I II级D、IV级答案:ABCD
93.当发生下述情况时,应立即撤销帐号或更改帐号口令,并做好记录A、帐号使用者由于岗位职责变动、离职等原因,不再需要原有访问权限时B、临时性或阶段性使用的帐号,在工作结束后C、帐号使用者违反了有关口令管理规定D、有迹象表明口令可能已经泄露等答案ABCD
94.《陕西移动三同步安全管理办法》确定的系统规划、建设及运行安全管理总体原则包含以下哪些原则A、三同步原则B、适度安全原则C、标准性原则D、完整性原则答案ABCD
95.对一台服务器的安全评估主要内容A、操作系统B、正版版权C、中间件D、数据库答案ACD
96.《网络安全法》,明确禁止网络使用者“七类行为”,其中涉及0A、非法入侵他人网络干扰他人网络正常功能、窃取网络数据等危害网络安全活动B、窃取或者以其他方式获取个人信息,非法出售或者非法向他人提供个人信息C、设立用于实行诈骗,传授犯罪办法,制作或者销售违禁物品、管制物品等违法犯罪活动网站、通信群组D、危害国家安全荣誉和利益答案ABC
97.根据《信息安全分类分级指南》GB/Z20986-2007,信息安全事件级别包括0A、特别重大事件(I级)B、重大事件(II级)C、较大事件(III级)D、一般事件(IV级)答案:ABCD
98.“断卡”行动的目的是什么?()A、打击治理电信网络新型违法犯罪B、从源头堵截电诈C、拦截犯罪分子销售“两卡”D、保护个人信息防止外泄答案ABC
99.根据《中国移动陕西公司网络安全工作考核问责办法》,网络安全工作问责坚持以下原则()A、依纪依规、实事求是B、失责必问问责必严C、惩前忠后治病救人D、分级负责层层落实责任答案:ABCD
100.设备安全评估的对象主要有A、主机服务器B、安全设备C、网络设备D、灭火器答案ABC
101.提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务A、按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督B、遵循公开公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务C、对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务D、定期发布个人信息保护社会责任报告,接受社会监督答案ABCD
102.网络数据全生命周期分为环节A、采集、存储B、传输、使用C、共享、销毁D\恢复、重用答案ABC
103.下述选项中对于“风险管理”的描述不正确的是A、安全必须是完美无缺、面面俱到的B、最完备的信息安全策略就是最优的风险管理对策C、在应对信息安全风险时,要从经济、技术管理的可行性和有效性上做出权衡和取舍D、防范过多就可以避免损失答案:ABD
104.下列关于内外网邮件系统说法正确的有0A、严禁使用未进行内容审计的信息内外网邮件系统B、严禁用户使用默认口令作为邮箱密码C、严禁内外网邮件系统开启自动转发功能D、严禁用户使用互联网邮箱处理公司办公业务答案ABCD
105.网络安全道德准则包括A、维护国家、社会和公众的信息安全B、诚实守信遵纪守法C、努力工作,尽职尽责D、发展自身,维护荣誉答案ABCD
106.有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录0A、处理敏感个人信息B、利用个人信息进行自动化决策C、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息D、向境外提供个人信息答案ABCD
107.根据《密码法》,密码分为A、核心密码B、普通密码C、商用密码D、专业密码答案ABC
108.“用户信息”可以理解为在用户使用产品或者服务过程中收集的信息构成用户信息,包括A、IP地址B、用户名和密码C、上网时间D、Cookie信息答案ABCD
109.一般来说,蜜罐的作用是A、捕捉黑客B、收集数据C、获得资源D、入侵检测答案BC
110.以下哪些信息属于受《网络安全法》等法律法规保护的个人信息?A、自然人的姓名出生日期身份证件号码、电话号码B、指纹、DNA C、个人住址、行踪轨迹、精确地理位置D、银行账号、财产状况答案ABCD
111.以下关于VPN说法不正确的是A、VPN指的是用户自己租用线路,和公共网络完全隔离开,安全的通道B、VPN是用户通过公用网络建立的临时的安全的通道C、VPN不能做到信息验证和身份验证D、VPN只能提供身份认证不能提供加密数据的功能答案ACD
112.依据国家标准《信息安全技术信息系统灾难恢复规范》GB/T20988,灾难恢复管理过程的主要步骤是灾难恢复需求分析、灾难恢复策略制定灾难恢复策略实现灾难恢复预案制定和管理;其中灾难恢复策略实现包括以下哪些项?0A、分析业务功能B、选择和建设灾难备份中心C、实现灾备系统技术方案D、实现灾备系统技术支持和维护能力答案BCD
113.网络与信息安全应急保障工作原则是A、谁主管,谁负责B、谁运营,谁负责C、谁使用,谁负责D、谁接入,谁负责答案ABCD
114.下列哪个是网络扫描器的技术?A、端口扫描B、帐号扫描C、漏洞扫描D、文件权限扫描答案ABC
115.计算机网络安全管理主要功能不包括A、性能和配置管理功能B、安全和计费管理功能C、故障管理功能D、网络规划和网络管理者的管理功能答案ABC
116.证书中一般包含以下内容中A、证书主体的名称
25.以下不是基于用户生物特征的身份标识与鉴别的是A、指纹B、虹膜C、视网膜D、门卡答案D
26.数据安全法是指2021年6月10日由十三届全国人民代表大会常务委员会第二十九次会议通过的《中华人民共和国数据安全法》这部法律是数据领域的基础性法律,也是国家安全领域的一部重要法律,于0起施行A、2021年11月1日B、2021年9月1日C、2022年1月1日D、2021年10月1日答案B
27.在常用的身份认证方式中,是采用软硬件相结合、一次一密的强双因子认证模式,具有安全性移动性和使用的方便性A、智能卡认证B、动态令牌认证C、USBKey D、用户名及密码方式认证答案B B、证书主体的公钥C、签发者的签名D、签发者的公钥答案ABC
117.网络操作系统应当提供哪些安全保障A、验证Authent icat ion B、授权Author izat ionC、数据保密性DataConf idential ity D、数据一致性Data IntegrityEx数据的不可否认性DataNonrepud iat ion答案ABODE
118.根据《陕西移动数据安全管理办法》,对外合作数据开放时使用到的数据形式包括0,依据不同的使用场景使用不同的数据类型A、原始数据B、脱敏数据C、标签数据D、群体数据答案ABCD
119.网络运营者应当为依法维护国家安全和侦查犯罪的活动提供技术支持和协助A、国家安全机关B、公安机关C、国家网信部门D、公检法答案AB
120.风险的构成包括()A、起源(威胁源)B、方式(威胁行为)C、途径(脆弱性)D、受体(资产)E、后果(影响)答案ABCDE
121.网络安全等级保护第三级安全要求中,云计算安全扩展要求包括0A、应保证云计算基础设施位于中国境内B、应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定C、云计算平台的运维地点应位于中国境内,境外对境内云计算平台实施运维操作应遵循国家相关规定D、应实现不同云服务客户虚拟网络之间的隔离答案ABCD
122.《网络安全法》对产品和服务管理提出了完整要求,包括()A、网络产品和服务提供者的安全义务B、网络产品和服务提供者的个人信息保护义务C、网络关键设备和网络安全专用产品的安全认证和安全检测制度D、网络产品和服务影响国家安全的应通过国家安全审查答案ABCD
123.下面一行是某个UNI错文件的详情“drw错r-错rw错2groupuser4096Sep-0509n14file,关于该文件权限的描述正确的是o A、这是一个目录,名称是“file”B、文件属性是group C、“其他人”对该文件具有读、写执行权限Dx user的成员对此文件没有写权限答案:ACD
124.习近平总书记在中央网络安全和信息化领导小组第一次会议上旗帜鲜明地提出了A、没有信息化就没有国家安全B、没有信息化就没有现代化C、没有网络安全就没有现代化D、没有网络安全就没有国家安全答案BD
125.“断卡行动”中的“两卡”从广义上是什么?A、购物卡:指个人或单位购买或赠送的商超、网上超市购物卡B、电话卡:三大运营商的手机卡虚拟运营商的电话卡、物联网卡等C、会员卡:具有一定价值、金额或消费次数,供持卡人在消费活动中进行会员身份认证识别,并凭此消费免于付费或享受折扣的凭证D、银行卡:个人银行卡对公账户及结算卡、非银行支付机构账户等答案BD
126.网络安全事件发生的风险增大时,省级以上人民政府有关部门应当按照规定的权限和程序,并根据网络安全风险的特点和可能造成的危害,采取下列措施0A、要求有关部门机构和人员及时收集、报告有关信息B、加强对网络安全风险的监测C、组织有关部门机构和专业人员,对网络安全风险信息进行分析评估D、向社会发布网络安全风险预警,发布避免减轻危害的措施答案ACD
127.下面哪些项是IDS的主要功能?A、监控和分析用户和系统活动B、统一分析异常活动模式C、对被破坏的数据进行修复D、识别活动模式以反映已知攻击答案:ABD
128.灾难备份的3种备份方式,备份数据从快到慢和恢复数据的从快到慢分别是Oo A、增量、差异、完全B、完全、差异、增量C、差异、完全、增量D、增量、完全、差异答案AB
129.有下列情形之一的,个人信息处理者应当主动删除个人信息A、处理目的已实现无法实现或者为实现处理目的不再必要B、个人信息处理者停止提供产品或者服务,或者保存期限已届满C、个人撤回同意D、个人信息处理者违反法律行政法规或者违反约定处理个人信息答案:ABCD
130.根据《陕西移动帐号口令管理细则》,口令管理原则包括A、不得以明文方式保存或者传输口令B、口令至少每90天更换一次C、5次以内不得设置相同的口令D、须保留口令修改记录,包含帐号修改时间修改原因等,以备审计答案:ABCD
131.目前数据大集中是我国重要的大型分布式信息系统建设和发展的趋势,数据大集中就是将数据集中存储和管理,为业务信息系统的运行搭建了统一的数据平台,对这种做法的认识不正确的是?A、数据库系统庞大会提高管理成本B、数据库系统庞大会降低管理效率C、数据的集中会降低风险的可控性D、数据的集中会造成风险的集中答案:ABC
132.《网络安全法》第二十六条开展网络安全认证、检测风险评估等活动,向社会发布等网络安全信息,应当遵守国家有关规定As系统漏洞B、计算机病毒C、网络攻击D、网络侵入答案ABCD
133.下列哪种处置方法不属于转移风险?A、部署综合安全审计系统B、对网络行为进行实时监控C、制订完善的制度体系D、聘用第三方专业公司提供维护外包服务答案ABC
134.《网络安全等级保护基本要求》安全运维管理包含以下哪些控安全制点A、身份鉴别B、密码管理C、漏洞和风险管理D、等级测评答案BC
135.保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案制定认定规则应当主要考虑下列因素A、网络设施信息系统等对于本行业、本领域关键核心业务的重要程度B、网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度C、对其他行业和领域的关联性影响D、对国家安全态势的影响答案ABC
136.下面分类属于恶意代码的是A、病毒B、后门C、木马D、蠕虫答案ABCD
137.以下属于数据安全生命周期的是A、存储B、传输C、共享D、销毁答案:ABCD
138.当员工或外单位的工作人员离开组织或岗位变化时,必须进行以下的管理程序A、明确此人不再具有以前的职责B、确保归还应当归还的资产C、确保属于以前职责的访问权限被撤销D、安全管理员陪同此人离开工作场所答案ABC
139.等级保护三级要求,应对被录用人员的等进行审查A、身份B、安全背景C、专业资格或资质D、技术能力答案ABC
140.关于垃圾邮件隐患扫描说法不正确的A、完成扫描,对隐患主机进行处理B、不处理C、完成扫描,不对隐患主机进行处理D、只扫描答案:BCD
141.根据对灾难的抵抗程度,容灾技术可分为A、数据容灾B、系统容灾C、应用容灾D、业务容灾答案ABC
142.在风险管理准备阶段“建立背景”对象确立过程中应该做的是A、分析系统的体系结构B、分析系统的安全环境C、制定风险管理计划D、调查系统的技术特性答案ABD
143.用户相关数据,包括()A、用户身份和鉴权信息(A类)B、用户数据及服务内容信息(B类)C、用户服务相关信息(C类)D、用户统计分析数据(D类)答案ABCD
144.下面对WAPI描述正确的是()A、安全机制由WAI和WPI两部分组成B、WAI实现对用户身份的鉴别Cx WPI实现对传输的数据加密D、WAI实现对传输的数据加密答案ABC
145.国家采取措施,()来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏A、监测B、防御C、处置D、隔离答案ABC
146.在进行计算机网路安全设计规划时,合理的是()A、只考虑安全的原则B、易操作性原则C、适应性、灵活性原则D、多重保护原则答案BCD
147.在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当采取哪些措施0A、立即采取补救措施,消除引发个人信息泄露的程序漏洞B、在网站中及时发布公告,告知用户个人信息泄露的有关情况,提醒用户注意防范个人信息泄露可能引发的网络诈骗行为C、发现涉嫌侵犯个人信息刑事犯罪的行为,及时向公安机关报警D、及时向网信办工信部等行政主管部门报告答案ABCD
148.下列关于网络安全法的说法错误的有A、国家规定关键信息基础设施以外的网络运营者必须参与关键信息基础设施保护体系B、关键信息基础设施的运营者可自行采购网络产品和服务不通过安全审查C、网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即向上级汇报D、国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息答案AB。