中國移動網(wǎng)絡與信息安全管理通道考試題庫（含答案）

中國移動網(wǎng)絡與信息安全管理通道考試題庫(含答案)

一'單選題

1.向有限的空間輸入超長的字符串是哪一種攻擊手段？()

A、緩沖區(qū)溢出

B、網(wǎng)絡監(jiān)聽

C、拒絕服務

D、IP欺騙

答案：A

2.關鍵信息基礎設施運營者采購網(wǎng)絡產品和服務,影響或可能影響()的,應當進

行網(wǎng)絡安全審查。

A、國家安全

B、社會公共利益

C、集體利益

D、公民、法人和其他組織的合法權益

答案：A

3.《中華人民共和國網(wǎng)絡安全法》規(guī)定，國家實行網(wǎng)絡安全()保護制度。

A、等級

B、分級

C、定級

D、以上選項都不正確

答案：A

4.在工程實施階段，監(jiān)管機構承建合同，安全設計方案、實施方案、實施記錄，國

家地方標準和技術文件,對信息化工程進行安全()檢查，以驗證項目是否實現(xiàn)了

項目設計目標和安全等要求。

A、功能性

B、可用性

C、保障性

D、符合性

答案：D

5.網(wǎng)絡安全等級保護要求中，描述符合第三級要求的是()。

A、等級保護對象受到破壞后，會對公民'法人和其他組織的合法權益造成損害，

但不損害國家安全'社會秩序和公共利益

B、等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損

害,或者對社會秩序和公共利益造成損害，但不損害國家安全

C、等級保護對象受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國

家安全造成損害

D、等級保護對象受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者

對國家安全造成嚴重損害

答案：C

6.以下關于“最小特權”安全管理原則理解正確的是()。

A、組織機構內的敏感崗位不能由一個人長期負責

B、對重要的工作進行分解,分配給不同人員完成

C、一個人有且僅有其執(zhí)行崗位所足夠的許可和權限

D、防止員工由一個崗位變動到另一個崗位,累積越來越多的權限

答案：C

7.哪一類防火墻具有根據(jù)傳輸信息的內容(如關鍵字、文件類型)來控制訪問鏈接

的能力？()

A、包過濾防火墻

B、狀態(tài)檢測防火墻

C、應用網(wǎng)關防火墻

D、以上都不能

答案：C

8.防火墻中網(wǎng)絡地址轉換(NAT)的主要作用是()。

A、提供代理服務

B、隱藏內部網(wǎng)絡地址

C、進行入侵檢測

D、防止病毒入侵

答案:B

9.以下哪一項不是信息安全管理工作必須遵循的原則？()

A、風險管理在系統(tǒng)開發(fā)之處就應該予以充分考慮,并要貫穿于整個系統(tǒng)開發(fā)過程

之中

B、風險管理活動應成為系統(tǒng)開發(fā)、運行、維護、直至廢棄的整個生命周期內的

持續(xù)性工作

C、由于在系統(tǒng)投入使用后部署和應用風險控制措施針對性會更強,實施成本會相

對較低

D、在系統(tǒng)正式運行后，應注重殘余風險的管理,以提高快速反應能力

答案：C

10.電話用戶人證一致率是指()后新入網(wǎng)用戶所持證件與本人一致且通過聯(lián)網(wǎng)核

驗的比率。

A、2016年5月17日

B、2016年9月1日

C、2017年1月1日

D、2017年9月1日

答案：C

11.根據(jù)《網(wǎng)絡安全法》的規(guī)定，關鍵信息基礎設施的運營者在中華人民共和國境

內運營中收集和產生的個人信息和重要數(shù)據(jù)應當在()。因業(yè)務需要,確需向境外

提供的，應當按照國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估，

法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

A、境外存儲

B、外部存儲器儲存

C、第三方存儲

D、境內存儲

答案：D

12.《民法典》規(guī)定，自然人享有()，除法律另有規(guī)定或者權利人明確同意外，任何

組織或者個人以電話、短信、即時通訊工具、電子郵件、傳單等方式侵擾他人的

私人生活安寧。

A?隱私權

B、名譽權

C、榮譽權

D、健康權

答案：A

13.按照《通信網(wǎng)絡安全防護管理辦法》要求,通信網(wǎng)絡運行單位應當自信息變化

之日起()日內向電信管理機構變更備案,通信網(wǎng)絡運行單位報備的信息應當真實、

完整。

A、15

B、30

C、60

D、90

答案：B

14.當沒有足夠的人力斐源保證將數(shù)據(jù)庫管理員和網(wǎng)絡管理員的崗位分配給兩個

不同的人擔任,這種情況造成了一定的安全風險。這時應當怎么做？()

A、抱怨且無能為力

B、向上級報告該情況,等待增派人手

C、通過部署審計措施和定期審查來降低風險

D、由于增加人力會造成新的人力成本，所以接受該風險

答案：C

15.定級備案為等級保護第三級的信息系統(tǒng),應當每()對系統(tǒng)進行一次等級測評。

A、半年

B、一年

c、兩年

D、三年

答案：B

16.某電子商務網(wǎng)絡架構設計時,為了避免數(shù)據(jù)誤操作,在管理員進行訂單刪除時,

需要由審核員進行審核后刪除操作才能生效。這種設計是遵循了以下哪個原則：

0

A、權限分離原則

B\最小特權原則

C、保護最薄弱環(huán)節(jié)的原則

D、縱深防御的原則

答案：A

17.違反國家有關規(guī)定，向他人出售或者提供公民個人信息，情節(jié)特別嚴重的，處()

有期徒刑，并處罰金。

A、一年以下

B、三年以下

C、三年以上五年以下

D、三年以上七年以下

答案：D

18.身份認證的含義是()。

A、注冊一個用戶

B、標識一個用戶

C、驗證一個用戶

D、授權一個用戶

答案：C

19.當web服務器訪問人數(shù)超過了設計訪問人數(shù)上限，將可能出現(xiàn)的HTTP狀態(tài)碼

是：()

A、200

B、503

C、403

D、302

答案：B

20.口令管理原則中，()次以內不得設置相同的口令。

A、4

B、5

C、6

D、7

答案:B

21.以下人員中,誰負有決定信息分類級別的責任？()

A、用戶

B、數(shù)據(jù)所有者

C、審計員

D、安全官

答案:B

22.下面對于信息安全事件分級的說法正確的是？()

A、對信息安全事件的分級可以參考信息系統(tǒng)的重要程度、系統(tǒng)遭受的損失大小

和應急成本三個要素

B、判斷信息系統(tǒng)和重要程度主要考慮其用戶的數(shù)量

C、根據(jù)信息安全事件的分級考慮要是，將信息安全事件劃分為:特別重大事件、

重大事件、較大事件和一般事件四個級別

D、信息安全事件分級可以完全由用戶自行完成

答案:C

23.實體身份鑒別一般依據(jù)以下三種基本情況或這三種情況的組合:實體所知的

鑒別方法、實體所有的鑒別方法和基于實體特征的鑒別方法。下面選項中屬于使

用基于實體特征的鑒別方法是()。

A、將登錄口令設置為出生日期

B、通過詢問和核對用戶的個人隱私信息來鑒別

C、使用系統(tǒng)定制的、在本系統(tǒng)專用的IC卡進行鑒別

D、通過掃描和識別用戶的臉部信息來鑒別

答案:D

24.在關系型數(shù)據(jù)庫系統(tǒng)中通過“視圖(view)”技術,可以實現(xiàn)以下哪一種安全原

則？()

A、縱深防御原則

B、最小權限原則

C、職責分離原則

D、安全性與便利性平衡原則

答案：B

25.以下不是基于用戶生物特征的身份標識與鑒別的是()。

A、指紋

B、虹膜

C、視網(wǎng)膜

D、門卡

答案：D

26.數(shù)據(jù)安全法是指2021年6月10日由十三屆全國人民代表大會常務委員會第

二十九次會議通過的《中華人民共和國數(shù)據(jù)安全法》。這部法律是數(shù)據(jù)領域的基

礎性法律,也是國家安全領域的一部重要法律，于()起施行。

A、2021年11月1日

B、2021年9月1日

C、2022年1月1日

D、2021年10月1日

答案：B

27.在常用的身份認證方式中，()是采用軟硬件相結合、一次一密的強雙因子認證

模式,具有安全性'移動性和使用的方便性。

A、智能卡認證

B、動態(tài)令牌認證

C、USBKey

D、用戶名及密碼方式認證

答案：B

28.自2004年1月起,國內各有關部門在申報信息安全國家標準計劃項目時,必須

經(jīng)由以下哪個組織提出工作意見,協(xié)調一致后由該組織申報。()

A、全國通信標準化技術委員會(TC485)

B、全國信息安全標準化技術委員會(TC260)

C、中國通信標準化協(xié)會(CCSA)

D、網(wǎng)絡與信息安全技術工作委員會

答案:B

29.鑒別是用戶進入系統(tǒng)的第一道安全防線。用戶登錄系統(tǒng)時,輸入用戶名和密碼

就是對用戶身份進行鑒別，鑒別通過,即可以實現(xiàn)兩個實體之間的連接。例如,一

個用戶被服務器鑒別通過后,則被服務器認為是合法用戶，才可以進行后續(xù)訪問。

鑒別是對信息的一項安全屬性進行驗證,該屬性屬于下列選項中的()。

A、保密性

B、可用性

C、真實性

D、完整性

答案：C

30.應急響應是信息安全事件管理的重要內容之一。關于應急響應工作,下面描述

錯誤的是()。

A、信息安全應急響應，通常是指一個組織為了應對各種安全意外事件的發(fā)生所采

取的防范措施,既包括預防性措施,也包括事件發(fā)生后的應對措施

B、應急響應工作有其鮮明的特點:具有高技術復雜性與專業(yè)性、強突發(fā)性、對知

識經(jīng)驗的高依賴性,以及需要廣泛的協(xié)調與合作

C、應急響應是組織在處置應對突發(fā)/重大信息安全事件時的工作,其主要包括兩

部分工作:安全事件發(fā)生時正確指揮、事件發(fā)生后全面總結

D、應急響應工作的起源和相關機構的成立和1988年11月發(fā)生的莫里斯蠕蟲病

毒事件有關,基于該事件,人們更加重視安全事件的應急處置和整體協(xié)調的重要

性

答案：C

31.以下不是非結構化數(shù)據(jù)的項？()

A、圖片

B、首頻

C、數(shù)據(jù)庫二維表格

D、視頻

答案：C

32.()不是網(wǎng)絡安全審計系統(tǒng)的功能。

A、能幫助我們對網(wǎng)絡安全進行實時監(jiān)控,及時發(fā)現(xiàn)整個網(wǎng)絡上的動態(tài)

B、發(fā)現(xiàn)網(wǎng)絡入侵和違規(guī)行為

C、加強系統(tǒng)的訪問控制能力,提高系統(tǒng)安全性

D、忠實記錄網(wǎng)絡上發(fā)生的一切，提供取證手段

答案：C

33.SSL安全套接字協(xié)議使用的端口是()。

A、3389

B、443

C、1433

D、80

答案：B

34.互聯(lián)網(wǎng)公司和機構征集用戶數(shù)據(jù)、使用用戶數(shù)據(jù)必須經(jīng)過用戶的授權和認可，

也就是說用戶應當具有()，有權要求刪除。

A、名譽權和人身權

B、求償權和姓名權

C、知情權和選擇權

D、隱私權和肖像權

答案：C

35.某網(wǎng)絡安全公司基于網(wǎng)絡的實時入侵檢測技術,動態(tài)監(jiān)測來自于外部網(wǎng)絡和

內部網(wǎng)絡的所有訪問行為。當檢測到來自內外網(wǎng)絡針對或通過防火墻的攻擊行為,

會及時響應,并通知防火墻實時阻斷攻擊源,從而進一步提高了系統(tǒng)的抗攻擊能

力,更有效地保護了網(wǎng)絡資源,提高了防御體系級別，但入侵檢測技術不能實現(xiàn)以

下哪種功能()。

A、檢測并分析用戶和系統(tǒng)的活動

B、核查系統(tǒng)的配置漏洞,評估系統(tǒng)關鍵資源和數(shù)據(jù)文件的完整性

C、防止IP地址欺騙

D、識別違反安全策略的用戶活動

答案：C

36.我國標準《信息系統(tǒng)災難恢復規(guī)范》(GB/T20988-2007)指出，依據(jù)具備的災難

恢復資源程度的不同，災難恢復能力可分為6個等級。其中,要求“數(shù)據(jù)零丟失和

遠程集群支持”的能力等級是()。

A、第0級

B、第1級

C、第3級

D、第6級

答案：D

37.某單位計劃在今年開發(fā)一套辦公自動化(0A)系統(tǒng),將集團公司各地的機構通

過互聯(lián)網(wǎng)進行協(xié)同辦公。在0A系統(tǒng)的設計方案評審會上,提出了不少安全開發(fā)的

建議，作為安全專家,請指出大家提的建議中不太合適的一條？()

A、對軟件開發(fā)商提出安全相關要求,確保軟件開發(fā)商對安全足夠的重視,投入資

源解決軟件安全問題

B、要求軟件開發(fā)人員進行安全開發(fā)培訓，使開發(fā)人員掌握基本軟件安全開發(fā)知識

C、要求軟件開發(fā)商使用Java而不是ASP作為開發(fā)語言,避免產生SQL注入漏洞

D、要求軟件開發(fā)商對軟件進行模塊化設計,各模塊明確輸入和輸出數(shù)據(jù)格式,并

在使用前對輸入數(shù)據(jù)進行校驗

答案:C

38.使網(wǎng)絡服務器中充斥著大量要求回復的信息,消耗帶寬,導致網(wǎng)絡或系統(tǒng)停止

正常服務,這屬于什么攻擊類型？()

A、拒絕服務

B、文件共享

GBIND漏洞

D、遠程過程調用

答案：A

39.某銀行網(wǎng)上交易系統(tǒng)開發(fā)項目在設計階段分析系統(tǒng)運行過程中可能存在的攻

擊，請問以下擬采取的安全措施中，哪一項不能降低該系統(tǒng)的受攻擊面：0

A、遠程用戶訪問需進行身份認證

B、遠程用戶訪問時具有管理員權限

C、關閉服務器端不必要的系統(tǒng)服務

D、當用戶訪問其賬戶信息時使用嚴格的身份認證機制

答案:B

40.國家機關或者金融、電信'交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)

定,將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非

法提供給他人，情節(jié)嚴重的，處()以下有期徒刑或者拘役,并處或者單處罰金。

A、一年

B、二年

G三年

D、五年

答案:C

41.HTTPS是一種安全的HTTP協(xié)議,它使用()來保證信息安全。

A、IPSec

B、SSL

C、SET

D、SSH

答案：B

42.網(wǎng)絡產品、服務的提供者不得設置()，發(fā)現(xiàn)其網(wǎng)絡產品、服務存在安全缺陷、

漏洞等風險時,應當立即采取補救措施,按照規(guī)定及時告知用戶并向有關主管部

門報告。

A、惡意程序

B、風險程序

C、病毒程序

D、攻擊程序

答案：A

43.Telnet服務自身的主要缺陷是()。

A、不用用戶名和密碼

B、服務端口23不能被關閉

C、明文傳輸用戶名和密碼

D、支持遠程登錄

答案：C

44.在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,

遵守國家有關規(guī)定，并設置顯著的提示標識。所收集的個人圖像、身份識別信息

只能用于()的目的，不得用于其他目的；取得個人單獨同意的除外。

A、改進服務

B、數(shù)據(jù)開放共享

C、維護公共安全

D、信息推送、商業(yè)營銷

答案：C

45.根據(jù)《關于開展信息安全風險評估工作的意見》的規(guī)定，錯誤的是：（）

A、信息安全風險評估分自評估、檢查評估兩形式。應以檢查評估為主，自評估和

檢查評估相互結合'互為補充

B、信息安全風險評估工作要按照“嚴密組織、規(guī)范操作、講求科學、注重實效”

的原則開展

C、信息安全風險評估應貫穿于網(wǎng)絡和信息系統(tǒng)建設運行的全過程

D、開展信息安全風險評估工作應加強信息安全風險評估工作的組織領導

答案：A

46.當你感覺到你的Windows操作系統(tǒng)運行速度明顯減慢，當你打開任務管理器

后發(fā)現(xiàn)CPU的使用率達到了百分之百，你最有可能認為你受到了（）攻擊。

A、特洛伊木馬

B、拒絕服務

C、欺騙

D、中間人攻擊

答案:B

47.《關鍵信息基礎設施安全保護條例》已經(jīng)2021年4月27日國務院第133次

常務會議通過,現(xiàn)予公布，自（）起施行。

A、2021年9月1日

B、2021年11月1日

C、2022年1月1日

D、2022年2月1日

答案：B

48.信息安全工程作為信息安全保障的重要組成部分,主要是為了解決：()

A、信息系統(tǒng)的技術架構安全問題

B、信息系統(tǒng)組成部分的組件安全問題

C、信息系統(tǒng)生命周期的過程安全問題

D、信息系統(tǒng)運行維護的安全管理問題

答案：C

49.以下對windows賬號的描述,正確的是()。

A、windows系統(tǒng)是采用SID(安全標識符)來標識用戶對文件或文件夾的權限

B、windows系統(tǒng)是采用用戶名來標識用戶對文件或文件夾的權限

C、windows系統(tǒng)默認會生成administration和guest兩個賬號，兩個賬號都不

允許改名和刪除

D、windows系統(tǒng)默認生成administration和guest兩個賬號，兩個賬號都可以

改名和刪除

答案：D

50.由于頻繁出現(xiàn)軟件運行時被黑客遠程攻擊獲取數(shù)據(jù)的現(xiàn)象,某軟件公司裝備

加強軟件安全開發(fā)管理,在下面做法中，對于解決問題沒有直接幫助的是()。

A、要求開發(fā)人員采用敏捷開發(fā)模型進行開發(fā)

B、要求所有的開發(fā)人員參加軟件安全意識培訓

C、要求規(guī)范軟件編碼,并制定公司的安全編碼準則

D、要求增加軟件安全測試環(huán)節(jié),盡早發(fā)現(xiàn)軟件安全問題

答案:A

51.Oracle、MSSQL、MySQL三種數(shù)據(jù)庫，最高權限的用戶分別是()。

A、SYS、RootxSA

B、RootsSA、SYS

CxdbsnmpxSA、Root

D、SYSxSA、Root

答案：D

52.2003年以來,我國高度重視信息安全保障工作,先后制定并發(fā)布了多個文件，

從政策層面為開展并推進信息安全保障工作進行了規(guī)劃。下面選項中哪個不是我

國發(fā)布的文件（）。

A、《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]2

7號）

B、《國家網(wǎng)絡安全綜合計劃（CNCI）》（國令[2008]54號）

C、《國家信息安全戰(zhàn)略報告》（國信[2005]2號）

D、《關于大力推進信息化發(fā)展和切實保障信息安全的若干意見》（國發(fā)[2012]2

3號）

答案:B

53.16.數(shù)據(jù)鏈路層負責監(jiān)督相鄰網(wǎng)絡節(jié)點的信息流動,用檢錯或糾錯技術來確保

正確的傳輸,確保解決該層的流量控制問題。數(shù)據(jù)鏈路層的數(shù)據(jù)單元是（）。

A、報文

B、比特流

C、幀

D、包

答案：C

54.網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產品應當按照相關國家標準的強制性要求，由

具備資格的機構()或者安全檢測符合要求后,方可銷售或者提供。

A、認證設備合格

B、安全認證合格

C、認證網(wǎng)速合格

D、認證產品合格

答案:B

55.()是指基于漏洞數(shù)據(jù)庫,通過掃描等手段對指定的遠程或者本地計算機系統(tǒng)

的安全脆弱性進行檢測,發(fā)現(xiàn)可利用的漏洞的一種安全檢測行為。

A、漏洞掃描

B、滲透測試

C、代碼審計

D、配置核查

答案：A

56.國家建立和完善網(wǎng)絡安全標準體系。()和國務院其他有關部門根據(jù)各自的職

責,組織制定并適時修訂有關網(wǎng)絡安全管理以及網(wǎng)絡產品、服務和運行安全的國

家標準、行業(yè)標準。

A、國務院電信主管部門

B、國務院標準化行政主管部門

C、網(wǎng)信部門

D、公安部門

答案：B

57.防火墻中地址轉換的主要作用是()。

A、提供代理服務

B、隱藏內部網(wǎng)絡地址

C、進行入侵檢測

D、防止病毒入侵

答案：B

58.PKI的全稱是()。

AxPrivateKeyIntrusion

B、PubIicKeyIntrusion

CxPrivateKeyInfrastructure

D、PubIicKeyInfrastructure

答案：D

59.關鍵信息基礎設施的運營者采購網(wǎng)絡產品和服務,應當按照規(guī)定與提供者簽

訂()，明確安全和保密義務與責任。

A、保密合同

B、安全服務合同

C、安全保密協(xié)議

D、安全責任條款

答案：C

60.小牛在對某公司的信息系統(tǒng)進行風險評估后,因考慮到該業(yè)務系統(tǒng)中部分涉

及金融交易的功能模塊風險太高,他建議該公司以放棄這個功能模塊的方式來處

理該風險。請問這種風險處置的方法是()。

A、降低風險

B、規(guī)避風險

C、轉移風險

D、接受風險

答案：B

61.通常在設計VLAN時,以下哪一項不是VLAN的規(guī)劃的方法？()

A、基于交換機端口

B、基于網(wǎng)絡層協(xié)議

C、基于MAC地址

D、基于數(shù)字證書

答案：D

62.PDRR模型是指對信息的()模型。

A、保護、檢測、反應和跟蹤

B、規(guī)劃、檢測、響應和恢復

C、規(guī)劃、檢測、響應和跟蹤

D、保護、檢測、反應和恢復

答案：D

63.網(wǎng)絡安全事件應急預案應當按照事件發(fā)生后的()等因素對網(wǎng)絡安全事件進行

分級。

A、關注程度、危害程度

B、危害程度、影響范圍

C、影響范圍'影響層面

D、關注程度、影響層面

答案：B

64.當用戶收到了一封可疑的電子郵件,要求用戶提供銀行賬戶及密碼,這是屬于

何種攻擊手段？()

A、緩存溢出攻擊

B、釣魚攻擊

C、暗門攻擊

D、DDOS攻擊

答案：B

65.下面關于軟件測試的說法錯誤的是()。

A、所謂“黑盒”測試就是測試過程不測試報告中的進行描述，切對外嚴格保密

B、出于安全考慮,在測試過程中盡量不要使用真實的生產數(shù)據(jù)

C、測試方案和測試結果應當成為軟件開發(fā)項目文檔的主要部分被妥善的保存

D、軟件測試不僅應關注需要的功能是否可以被實現(xiàn),還要注意是否有不需要的功

能被實現(xiàn)了

答案：A

66.根據(jù)《陜西移動數(shù)據(jù)分類分級及重要數(shù)據(jù)安全管理規(guī)范》，禁止第()級數(shù)據(jù)對

外共享。

A、1

B、2

C、3

D、4

答案：D

67.下列哪一個選項不是錯SS跨站腳本漏洞危害()

A、釣魚欺騙

B、身份盜用

C、SQL數(shù)據(jù)泄露

D、網(wǎng)站掛馬

答案:C

68.在風險處置過程中，應當考慮的風險處置措施,通常在哪種情況下采用？()

A、負面影響損失小于安全投入

B、負面影響損失和安全投入持平

C、負面影響損失和安全投入都很小

D、安全投入小于負面影響損失

答案：D

69.某單位需要開發(fā)一個網(wǎng)站,為了確保開發(fā)出安全的軟件,軟件開發(fā)商進行了0

A系統(tǒng)的威脅建模,根據(jù)威脅建模,SQL注入是網(wǎng)站系統(tǒng)面臨的攻擊威脅之一,根

據(jù)威脅建模的消減威脅的做法,以下哪個屬于修改設計消除威脅的做法：()

A、在編碼階段程序員進行培訓,避免程序員寫出存在漏洞的代碼

B、對代碼進行嚴格檢查,避免存在SQL注入漏洞的腳本被發(fā)布

C、使用靜態(tài)發(fā)布,所有面向用戶發(fā)布的數(shù)據(jù)都使用靜態(tài)頁面

D、在網(wǎng)站中部署防SQL注入腳本,對所有用戶提交數(shù)據(jù)進行過濾

答案:D

70.()保證數(shù)據(jù)的機密性。

A、數(shù)字簽名

B、消息認證

C、單項函數(shù)

D、加密算法

答案：D

71.國家倡導誠實守信、健康文明的網(wǎng)絡行為,推動傳播社會主義核心價值觀,采

取措施提高全社會的()和水平,形成全社會共同參與促進網(wǎng)絡安全的良好環(huán)境。

A、網(wǎng)絡安全意識

B、網(wǎng)絡誠信意識

C、網(wǎng)絡社會道德意識

D、網(wǎng)絡健康意識

答案：A

72.某網(wǎng)站為了更好向用戶提供服務,在新版本設計時提供了用戶快捷登錄功能，

用戶如果使用上次的IP地址進行訪問,就可以無需驗證直接登錄,該功能推出后,

導致大量用戶賬號被盜用，關于以上問題的說法正確的是：()

A、網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼,導致攻擊面

增大,產生此安全問題

B、網(wǎng)站問題是由于用戶缺乏安全意識導致，使用了不安全的功能,導致網(wǎng)站攻擊

面增大,產生此問題

C、網(wǎng)站問題是由于使用便利性提高，帶來網(wǎng)站用戶數(shù)增加，導致網(wǎng)站攻擊面增大，

產生此安全問題

D、網(wǎng)站問題是設計人員不了解安全設計關鍵要素,設計了不安全的功能,導致網(wǎng)

站攻擊面增大,產生此問題

答案：D

73.以下工作哪個不是計算機取證準備階段的工作()。

A、獲得授權

B、準備工具

C、介質準備

D、保護數(shù)據(jù)

答案：D

74.隨著信息技術的不斷發(fā)展，信息系統(tǒng)的重要性也越來越突出,而與此同時,發(fā)

生的信息安全事件也越來越多,綜合分析信息安全問題產生的根源,下面描述正

確的是()。

A、信息系統(tǒng)自身存在脆弱性是根本原因,信息系統(tǒng)越來越重要，同時自身在開發(fā)、

部署和使用過程中存在的脆弱性,導致了諸多的信息安全事件發(fā)生,因此,杜絕脆

弱性的存在是解決信息安全問題的根本所在

B、信息系統(tǒng)面臨諸多黑客的威脅,包括惡意攻擊者和惡作劇攻擊者。信息系統(tǒng)應

用越來越廣泛,接觸信息系統(tǒng)的人越多,信息系統(tǒng)越可能遭受攻擊。因此,避免有

惡意攻擊可能的人接觸信息系統(tǒng)就可以解決信息安全問題

C、信息安全問題產生的根源要從內因和外因兩個方面兩個方面分析,因為信息系

統(tǒng)自身存在脆弱性，同時外部又有威脅源,從而導致信息系統(tǒng)可能發(fā)生安全事件。

因此,要防范信息安全風險,需從內外因同時著手

D、信息安全問題的根本原因是內因、外因和人三個因素的綜合作用。內因和外

因都可能導致安全事件的發(fā)生,但最重要的還是人的因素,外部攻擊者和內部工

作人員通過遠程攻擊、本地破壞和內外勾結等手段導致安全事件發(fā)生。因此，對

人這個因素的防范應是安全工作重點

答案：C

75.用戶數(shù)據(jù)及服務內容信息(B類)包括()。

A、用戶身份和標識信息、用戶網(wǎng)絡身份鑒權信息

B、用戶服務使用數(shù)據(jù)、設備信息

C、用戶使用習慣和行為分析數(shù)據(jù)、用戶上網(wǎng)行為相關統(tǒng)計分析數(shù)據(jù)。

D、服務內容數(shù)據(jù)、聯(lián)系人信息

答案：D

76.關于信息安全保障管理體系建設所需要重點考慮的因素,下列說法錯誤的是：

0

A、國家、上級機關的相關政策法規(guī)要求

B、組織的業(yè)務使命

C、信息系統(tǒng)面臨的風險

D、項目的經(jīng)費預算

答案：D

77.運營者應當建立健全網(wǎng)絡安全保護制度和()，保障人力、財力、物力投入。運

營者的主要負責人對關鍵信息基礎設施安全保護負總責，領導關鍵信息基礎設施

安全保護和重大網(wǎng)絡安全事件處置工作,組織研究解決重大網(wǎng)絡安全問題。

A、職能制

B、崗位制

C、責任制

D、統(tǒng)籌制

答案：c

78.2016年4月19日，習近平主持召開網(wǎng)絡安全和信息化工作座談會并發(fā)表重要

講話。習近平指出，網(wǎng)絡安全的本質在對抗,對抗的本質在()兩端能力較量。要落

實網(wǎng)絡安全責任制，制定網(wǎng)絡安全標準，明確保護對象、保護層級'保護措施。

A、正反

B、內外

C、攻防

D、明暗

答案：C

79.防火墻對進出網(wǎng)絡的數(shù)據(jù)進行過濾,主要考慮的是()。

A、內部網(wǎng)絡的安全性

B、外部網(wǎng)絡的安全性

GInternet的安全性

D、內部網(wǎng)絡和外部網(wǎng)絡的安全性

答案：A

80.SQL注入是指由于()。

A、惡意用戶利用擠占帶寬、消耗系統(tǒng)資源等攻擊方法

B、惡意用戶通過提交特殊的參數(shù)從而達到獲取數(shù)據(jù)庫中存儲的數(shù)據(jù)、得到數(shù)據(jù)

庫用戶的權限

C、惡意用戶利用發(fā)送虛假電子郵件、建立虛假服務網(wǎng)站、發(fā)送虛假網(wǎng)絡消息等

方法

D、惡意用戶利用以太網(wǎng)監(jiān)聽、鍵盤記錄等方法獲取未授權的信息或資料

答案：B

81.信息化建設和信息安全建設的關系應當是()。

A、信息化建設的結束就是信息安全建設的開始

B、信息化建設和信息安全建設應同步規(guī)劃、同步實施

C、信息化建設和信息安全建設是交替進行的,無法區(qū)分誰先誰后

D、以上說法都正確

答案：B

82.U盤病毒的傳播是借助Windows系統(tǒng)的什么功能實現(xiàn)的？()

A、自動播放

B、自動補丁更新

C、服務自啟動

D、系統(tǒng)開發(fā)漏洞

答案：A

83.計算機應急響應小組的簡稱是()。

A、CERT

B、FIRST

C、SANA

D、CEAT

答案：A

84.Windows有三種類型的事件日志,分別是0o

A、系統(tǒng)日志、應用程序日志、安全日志

B、系統(tǒng)日志、應用程序日志、DNS日志

C、安全日志'應用程序日志、事件日志

D、系統(tǒng)日志、應用程序日志、事件日志

答案：A

85.《中華人民共和國網(wǎng)絡安全法》規(guī)定，個人發(fā)現(xiàn)網(wǎng)絡運營者違反法律、行政法

規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的,有權要求網(wǎng)絡運營者()其個

人信息。

A、更正

B、刪除

C、隱藏

D、銷毀

答案：B

86.當訪問web網(wǎng)站的某個頁面資源不存在時,將會出現(xiàn)的HTTP狀態(tài)碼是()

A、200

B、302

C、401

D、404

答案：D

87.《中華人民共和國網(wǎng)絡安全法》規(guī)定，網(wǎng)絡產品、服務具有收集用戶信息功能

的,其提供者應當()。

A、向政府有關部門報備

B、向用戶明示并取得同意

C、停止收集用戶信息

D、征得用戶同意并支付一定的費用

答案：B

88.《個人信息保護法》規(guī)定,個人信息處理者處理不滿()周歲未成年人個人信息

的,應當取得未成年人的父母或者其他監(jiān)護人的同意。

A、12

B、13

C、14

D、16

答案：C

89.路由器的標準訪問控制列表以()作為判別條件

A、數(shù)據(jù)包的大小

B、數(shù)據(jù)包的源地址

C、數(shù)據(jù)包的端口號

D、數(shù)據(jù)包的目的地址

答案：B

90.()即非法用戶利用合法用戶的身份,訪問系統(tǒng)資源。

A、身份假冒

B、信息竊取

C、數(shù)據(jù)篡改

D、越權訪問

答案：A

91.微軟SDL將軟件開發(fā)生命周期劃分為七個階段,并提出了十七項重要的安全

活動，其中“威脅建?！睂儆?)的安全活動。

A、要求(Requirements)階段

B、設計(Design)階段

G實施(ImpIementation)

D、驗證(Verification)階段

答案：B

92.()通信網(wǎng)絡單元應當每年進行一次符合性評測。

A、一級及一級以上

B、二級及二級以上

C、三級及三級以上

D、四級及四級以上

答案:C

93.SSL協(xié)議是()之間實現(xiàn)加密傳輸?shù)膮f(xié)議。

A、物理層和網(wǎng)絡層

B、網(wǎng)絡層和系統(tǒng)層

C、傳輸層和應用層

D、物理層和數(shù)據(jù)層

答案：C

94.等級保護三級要求,應保證云計算平臺不承載()其安全保護等級的業(yè)務應用

系統(tǒng)。

A、不等于

B、低于

C、高于

答案：C

95.虛擬專用網(wǎng)絡(VPN)通常是指在公共網(wǎng)絡中利用隧道技術,建立一個臨時的、

安全的網(wǎng)絡,這里的字母P的正確解釋是()

A、Specific-purpose,特定，專用用途的

B、Proprietary,專有的'專賣的

GPrivate,私有的、專有的

D、Specific,特種的、具體的

答案：C

96.PKI的主要組成不包括()。

A、證書授權CA

B、SSL

C、注冊授權RA

D、證書存儲庫CR

答案：B

97.DD0S攻擊破壞了系統(tǒng)的()。

A、可用性

B、保密性

G完整性

D、真實性

答案：A

98.小李在檢查公司對外服務網(wǎng)站的源代碼時,發(fā)現(xiàn)程序在發(fā)生諸如沒有找到斐

源'數(shù)據(jù)庫連接錯誤、寫臨時文件錯誤等問題時，會將詳細的錯誤原因在結果頁

面上顯示出來。從安全角度考慮，小李決定修改代碼，將詳細的錯誤原因都隱藏起

來，在頁面上僅僅告知用戶“抱歉,發(fā)生內部錯誤!”。請問，這種處理方法的主要

目的是()。

A、避免緩沖區(qū)溢出

B、安全處理系統(tǒng)異常

C、安全使用臨時文件

D、最小化反饋信息

答案：D

99.采用三層交換機VLAN隔離安全域,通過防火墻模塊或()進行安全域的隔離。

A、虛擬防火墻

B、訪問控制列表

C、數(shù)字證書

D、接口

答案：B

100.為了保證系統(tǒng)日志可靠有效,以下哪一項不是日志必需具備的特征。()

A、統(tǒng)一而精確的時間

B、全面覆蓋系統(tǒng)費產

C、包括訪問源、訪問目標和訪問活動等重要信息

D、可以讓系統(tǒng)的所有用戶方便的讀取

答案：D

101.網(wǎng)絡安全審查是網(wǎng)絡安全領域的重要法律制度，原《網(wǎng)絡安全審查辦法》自

2020年6月1日施行以來,對于保障關鍵信息基礎設施供應鏈安全,維護國家安

全發(fā)揮了重要作用。為落實《數(shù)據(jù)安全法》等法律法規(guī)要求，十三部門聯(lián)合修訂

發(fā)布《網(wǎng)絡安全審查辦法》，自()起施行。

A、2022年3月1日

B、2022年2月15日

C、2021年2月15日

D、2021年3月1日

答案：B

102.某網(wǎng)站管理員小鄧在流量監(jiān)測中發(fā)現(xiàn)近期網(wǎng)站的入站ICMP流量上升了250%,

盡管網(wǎng)站沒有發(fā)現(xiàn)任何的性能下降或其他問題，但為了安全起見,他仍然向主管

領導提出了應對措施，作為主管負責人,請選擇有效的針對此問題的應對措施()：

A、在防火墻上設置策略，阻止所有的ICMP流量進入(關掉ping)

B、刪除服務器上的ping,e錯e程序

C、增加帶寬以應對可能的拒絕服務攻擊

D、增加網(wǎng)站服務器以應對即將來臨的拒絕服務攻擊

答案：A

103.Windows系統(tǒng)下,可通過運行()命令打開Windows管理控制臺。

Axregedit

B、cmd

Cxmmc

D、mfc

答案：B

104.根據(jù)《網(wǎng)絡安全法》，哪個主體應當對其收集的用戶信息嚴格保密,并建立健

全用戶信息保護制度？()

A、網(wǎng)絡經(jīng)營者

B、網(wǎng)絡運營者

C、平臺經(jīng)營者

D、平臺運營者

答案：B

105.關鍵信息基礎設施的運營者應當自行或者委托網(wǎng)絡安全服務機構對其網(wǎng)絡

的安全性和可能存在的風險()至少進行一次檢測評估,并將檢測評估情況和改進

措施報送相關負責關鍵信息基礎設施安全保護工作的部門。

A、四年

B、兩年

G每年

D、三年

答案：C

106.一個HTTP請求由哪些部分組成？()

A、方法、請求包頭和實體包

B、方法和請求包頭

C、協(xié)議狀態(tài)代碼描述、方法和請求包頭

D、協(xié)議狀態(tài)代碼描述和請求包頭

答案：A

107.時間戳的引入主要是為了防止：()

A、死鎖

B、丟失

C、重放

D、擁塞

答案：C

108.為推動和規(guī)范我國網(wǎng)絡安全等級保護工作,我國制定和發(fā)布了網(wǎng)絡安全等級

保護工作所需要的一系列標準,這些標準可以按照等級保護工作的工作階段大致

分類。下面四個標準中，0規(guī)定了等級保護定級階段的依據(jù)、對象'流程、方法

及等級變更等內容。

A、GB/T22239-2019《網(wǎng)絡安全等級保護基本要求》

B、GB/T22240-2020《網(wǎng)絡安全等級保護定級指南》

C、GB/T25070-2019《網(wǎng)絡安全等級保護安全設計技術要求》

D、GB/T20269-2006《網(wǎng)絡安全等級保護測評要求_mb

答案：B

109.使網(wǎng)絡服務器中充斥著大量要求回復的信息,消耗帶寬,導致網(wǎng)絡或系統(tǒng)停

止正常服務,這屬于什么攻擊類型？()

A、拒絕服務

B、文件共享

GBIND漏洞

D、遠程過程調用

答案：A

110.“公開密鑰密碼體制”的含義是()。

A、將所有密鑰公開

B、將私鑰公開，公鑰保密

C、將公鑰公開，私鑰保密

D、兩個密鑰相同

答案：C

111.信息安全風險模型闡述了所有者、資產、脆弱性、漏洞、安全措施之間的關

系。以下關于信息安全風險模型說法錯誤的是()。

A、資產價值由使用者確定

B、提高脆弱性會提高安全風險

C、降低安全威脅會降低安全風險

D、提高安全措施會降低安全風險

答案：A

112.在網(wǎng)絡信息系統(tǒng)中對用戶進行認證識別時，口令是一種傳統(tǒng)但仍然使用廣泛

的方法，口令認證過程中常常使用靜態(tài)口令和動態(tài)口令。下面描述中錯誤的是()。

A、所謂靜態(tài)口令方案,是指用戶登錄驗證身份的過程中，每次輸入的口令都是固

定'靜止不變的

B、使用靜態(tài)口令方案時,即使對口令進行簡單加密或哈希后進行傳輸,攻擊者依

然可能通過重放攻擊來欺騙信息系統(tǒng)的身份認證模塊

C、動態(tài)口令方案中通常需要使用密碼算法產生較長的口令序列，攻擊者如果連續(xù)

地收集到足夠多的歷史口令,則有可能預測出下次要使用的口令

D、通常,動態(tài)口令實現(xiàn)方式分為口令序列、時間同步以及挑戰(zhàn)/應答等幾種類型

答案：C

113.基于網(wǎng)絡的入侵監(jiān)測系統(tǒng)的信息源是()。

A、系統(tǒng)的審計日志

B、系統(tǒng)的行為數(shù)據(jù)

C、應用程序的事務日志文件

D、網(wǎng)絡中的數(shù)據(jù)包

答案：D

114.許多黑客攻擊都是利用軟件實現(xiàn)中的緩沖區(qū)溢出的漏洞,對此最可靠的解決

方案是()

A、安裝防火墻

B、安裝入侵檢測系統(tǒng)

C、給系統(tǒng)安裝最新的補丁

D、安裝防病毒軟件

答案：C

115.以下哪一項是對信息系統(tǒng)經(jīng)常不能滿足用戶需求的最好解釋？0

A、沒有適當?shù)馁|量管理工具

B、經(jīng)常變化的用戶需求

C、用戶參與需求挖掘不夠

D、項目管理能力不強

三、多項選擇題(共160題)

答案：C

116.各業(yè)務部門應根據(jù)互聯(lián)網(wǎng)新技術新業(yè)務安全評估情況將重大風險及整改情

況形成臺賬,并至少每()個月針對上一年的清單業(yè)務開展一次動態(tài)核驗。

A、四

B、五

C、六

D、七

答案：C

117.(),國資委黨委辦公廳印發(fā)《關于貫徹落實＜中共中央國務院關于加強網(wǎng)絡安

全和信息化工作的意見》的工作方案》，主要從網(wǎng)絡意識形態(tài)責任制落實、網(wǎng)絡安

全和風險防范等五個方面，明確了十五項重點工作,要求各央企遵照執(zhí)行。明確將

網(wǎng)絡安全責任制檢查考核納入央企負責人考核評價體系，將網(wǎng)絡意識形態(tài)工作責

任制落實情況納入央企黨建工作考核。

A、2017年8月

B、2018年3月

C、2018年8月

D、2018年9月

答案：B

118.以下對信息安全管理的描述錯誤的是()。

A、信息安全管理得核心就就是風險管理

B、人們常說,三分技術,七分管理,可見管理對信息安全得重要性

C、安全技術就是信息安全得構筑材料,安全管理就是真正得粘合劑與催化劑

D、信息安全管理工作得重點就是信息系統(tǒng)，而不是人

答案：D

119.信息安全管理者需要完成方方面面的繁雜工作,這些日常工作根本的目標是:

0

A、避免系統(tǒng)軟硬件的損傷

B、監(jiān)視系統(tǒng)用戶和維護人員的行為

C、保護組織的信息資產

D、給入侵行為制造障礙，并在發(fā)生入侵后及時發(fā)現(xiàn)、準確記錄

答案：C

120.與PDR模型相比,P2DR模型多了哪一個環(huán)節(jié)？0

A、防護

B、檢測

C、反應

D、策略

答案：D

121.《中華人民共和國網(wǎng)絡安全法》規(guī)定，（）應當為公安機關、國家安全機關依

法維護國家安全和偵查犯罪的活動提供技術支持和協(xié)助。

A、高等學校、職業(yè)學校等教育培訓機構

B、網(wǎng)絡運營者

C、各級人民政府及其有關部門

D、大眾傳播媒介

答案：B

122.關鍵信息基礎設施的運營者采購網(wǎng)絡產品和服務,可能影響國家安全的,應

當通過國家網(wǎng)信部門會同國務院有關部門組織的()。

A、國家采購審查

B、國家網(wǎng)信安全審查

C、國家安全審查

D、國家網(wǎng)絡審查

答案：C

123.《中華人民共和國網(wǎng)絡安全法》規(guī)定，網(wǎng)絡運營者應當對其收集的用戶信息

嚴格保密,并建立健全()。

A、用戶信息分類制度

B、用戶信息保護制度

C、網(wǎng)絡安全等級保護制度

D、數(shù)據(jù)分級制度

答案：B

124.從安全屬性對各種網(wǎng)絡攻擊進行分類,截獲攻擊是針對()的攻擊，阻斷攻擊

是針對0的攻擊。

A、機密性，完整性

B、機密性，可用性

G完整性，可用性

D、真實性，完整性

答案：B

125.國家支持研究開發(fā)有利于未成年人健康成長的網(wǎng)絡產品和服務，依法懲治利

用網(wǎng)絡從事()的活動,為未成年人提供安全、健康的網(wǎng)絡環(huán)境。

A、針對未成年人黃賭毒

B、灌輸未成年人錯誤網(wǎng)絡思想

C、侵害未成年人受教育權

D、危害未成年人身心健康

答案：D

126.使用最廣泛的兩種消息認證方法是()。

A、對稱加密算法法和非對稱加密算法

B、AES和DES

C、RSA和ECDSA

D、消息認證碼和散列函數(shù)

答案：D

127.網(wǎng)絡產品、服務具有()的，其提供者應當向用戶明示并取得同意，涉及用戶個

人信息的，還應當遵守《網(wǎng)絡安全法》和有關法律'行政法規(guī)關于個人信息保護

的規(guī)定。

A、公開用戶資料功能

B、收集用戶信息功能

C、提供用戶家庭信息功能

D、用戶填寫信息功能

答案：B

128.Windows系統(tǒng)下，哪項不是有效進行共享安全的防護措施？()

A、使用netshare\\127.0.0.1\c$/delete命令,刪除系統(tǒng)中的c$等管理共享,并

重啟系統(tǒng)

B、確保所有的共享都有高強度的密碼防護

C、禁止通過“空會話”連接以匿名的方式列舉用戶、群組、系統(tǒng)配置和注冊表

鍵值

D、安裝軟件防火墻阻止外面對共享目錄的連接

答案：A

129.機構應該把信息系統(tǒng)安全看作：0

A、業(yè)務中心

B、風險中心

C、業(yè)務促進因素

D、業(yè)務抑制因素

答案：C

130.主要用于加密機制的協(xié)議是()。

A、HTTP

B、FTP

C、TELNET

DvSSL

答案：D

131.令牌(Tokens),智能卡及生物檢測設備同時用于識別和鑒別，依據(jù)的是以下()

原則?

A、多因素鑒別原則

B、雙因素鑒別原則

C、強制性鑒別原則

D、自主性鑒別原則

答案：B

132.UNI錯/Linu錯操作系統(tǒng)的文件系統(tǒng)是()結構。

A、星型

B、樹型

G網(wǎng)狀

D、環(huán)型

答案：B

133.電子商務交易必須具備抗抵賴性，目的在于防止()。

A、一個實體假裝另一個實體

B、參與此交易的一方否認曾經(jīng)發(fā)生過此次交易

C、他人對數(shù)據(jù)進行非授權的修改、破壞

D、信息從被監(jiān)視的通信過程中泄露出去

答案：B

134.安全審計是對系統(tǒng)活動和記錄的獨立檢查和驗證,以下哪一項不是審計系統(tǒng)

的作用。()

A、輔助辨識和分析未經(jīng)授權的活動或攻擊

B、對與已建立的安全策略的一致性進行核查

C、及時阻斷違反安全策略的訪問

D、幫助發(fā)現(xiàn)需要改進的安全控制措施

答案：C

135.安全審計是對系統(tǒng)活動和記錄的獨立檢查和驗證,以下()不是審計系統(tǒng)的作

用：

A、輔助辨識和分析未經(jīng)授權的活動或攻擊

B、對與已建立的安全策略的一致性進行核查

C、及時阻斷違反安全策略的訪問

D、幫助發(fā)現(xiàn)需要改進的安全控制措施

答案：C

136.關于第三方人員4A賬號，以下說法正確的是0。

A、第三方人員可以作為金庫審批人,可以給第三方人員長期授權管理員權限從賬

號

B、第三方人員可以作為金庫審批人,不可以給第三方人員長期授權管理員權限從

賬號

C、第三方人員不可以作為金庫審批人,可以給第三方人員長期授權管理員權限從

賬號

D、第三方人員不可以作為金庫審批人,不可以給第三方人員長期授權管理員權限

從賬號

答案：D

137.以下哪一項不是常見威脅對應的消減措施：()

A、假冒攻擊可以采用身份認證機制來防范

B、為了防止傳輸?shù)男畔⒈淮鄹?，收發(fā)雙方可以使用單向Hash函數(shù)來驗證數(shù)據(jù)的

完整性

C、為了防止發(fā)送方否認曾經(jīng)發(fā)送過的消息,收發(fā)雙發(fā)可以使用消息驗證碼來防止

抵賴

D、為了防止用戶提升權限可以采用訪問控制表的方式來管理權限

答案：C

138.根據(jù)《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，非

法獲取、出售或者提供行蹤軌跡信息、通信內容'征信信息、財產信息()條以上

的,屬于情節(jié)嚴重。

A、五十

B、五百

G一千

D、五千

答案：A

139.MD5算法可以提供()數(shù)據(jù)安全性檢查。

A、可用性

B、機密性

C、完整性

D、以上三者均有

答案：C

140.下列關于kerckhofff準則的說法正確的是()。

A、保持算法的秘密性比保持密鑰的秘密性要困難得多

B、密鑰一旦泄漏，也可以方便的更換

C、在一個密碼系統(tǒng)中,密碼算法是可以公開的,密鑰應保證安全

D、公開的算法能夠經(jīng)過更嚴格的安全性分析

答案：C

141.網(wǎng)絡產品、服務應當符合相關國家標準的()要求。

A、自覺性

B、規(guī)范性

C、建議性

D、強制性

答案：D

142.《網(wǎng)絡安全審查辦法》將網(wǎng)絡平臺運營者開展數(shù)據(jù)處理活動影響或者可能影

響國家安全等情形納入網(wǎng)絡安全審查，并明確掌握超過()用戶個人信息的網(wǎng)絡平

臺運營者赴國外上市必須向網(wǎng)絡安全審查辦公室申報網(wǎng)絡安全審查。

A、10萬

B、50萬

G100萬

D、500萬

答案：C

143.不同的信息安全風險評估方法可能得到不同的風險評估結果,所以組織機構

應當根據(jù)各自的實際情況,選擇適當?shù)娘L險評估方法。下面的描述中，錯誤的是()。

A、定量風險分析試圖從財務數(shù)字上對安全風險進行評估,得出可以量化的風險分

析結果，以度量風險的可能性和損失量

B、定量風險分析相比定性風險分析能得到準確的數(shù)值,所以在實際工作中應使用

定量風險分析,而不應選擇定性風險分析

C、定性風險分析過程中,往往需要憑借分析者的經(jīng)驗和直接進行,所以分析結果

和風險評估團隊的素質'經(jīng)驗和知識技能密切相關

D、定性風險分析更具主觀性,而定量風險分析更具客觀性

答案：B

144.關于信息安全管理體系的作用，下面理解錯誤的是()。

A、對內而言,有助于建立起文檔化的信息安全管理規(guī)范,實現(xiàn)有“法”可依,有章

可循,有據(jù)可查

B、對內而言,是一個光花錢不掙錢的事情,需要組織通過其他方面收入來彌補投

入

C、對外而言,有助于使各利益相關方對組織充滿信心

D、對外而言,能起到規(guī)范外包工作流程和要求,幫助界定雙方各自信息安全責任

答案：B

145.自然人死亡的，其()為了自身的合法、正當利益,可以對死者的相關個人信息

行使本章規(guī)定的查閱、復制'更正、刪除等權利;死者生前另有安排的除外。

A、直系親屬

B、近親屬

C、配偶、父母、子女

D\親屬

答案:B

146.以下不屬于對稱式加密算法的是()o

A、DES

B、RSA

GGOST

D、IDEA

答案：B

147.哈希算法MD5的摘要長度為()。

A、64位

B、128位

G256位

D、512位

答案：B

148.下列哪一項不是黑客在信息收集階段使用到的技術()

A、公開信息的合理利用及分析

B、IP及域名信息收集

C、主機及系統(tǒng)信息收集

D、使用sqlmap驗證sql注入是否存在

答案：C

149.據(jù)GB/T24364-2009《信息安全技術信息安全應急響應計劃規(guī)范》，應急響應

方法論的第二階段是()。

A、準備

B、檢測

C、遏制

D、根除

答案：B

150.等級保護三級要求,大數(shù)據(jù)平臺應提供()和去標識化的工具或服務組件技術。

A、動態(tài)脫敏

B、靜態(tài)脫敏

C、動態(tài)加密

D、靜態(tài)加密

答案：B

151.通信網(wǎng)絡運行單位應當對本單位已正式投入運行的通信網(wǎng)絡進行單元劃分，

按照各通信網(wǎng)絡單元遭到破壞后可能對國家安全、經(jīng)濟運行、社會秩序、公眾利

益的危害程度,最高等級為()。

A\四級

B\五級

C、六級

D、七級

答案：B

152.以下關于威脅建模流程步驟說法不正確的是：0

A、威脅建模主要流程包括四步:確定建模對象、識別威脅、評估威脅和消減威脅

B、評估威脅是對威脅進行分析，評估被利用和攻擊發(fā)生的概率，了解被攻擊后資

產的受損后果,并計算風險

C、消減威脅是根據(jù)威脅的評估結果,確定是否要清除該威脅以及消減的技術措施,

可以通過重新設計直接消除威脅,或設計采用技術手段來消減威脅。

D、識別威脅是發(fā)現(xiàn)組件或進程存在的威脅，它可能是惡意的，也可能不是惡意的，

威脅就是漏洞。

答案：D

153.以下哪條屬于個人信息影響的評估場景：0

A、處理敏感個人信息,利用個人信息進行自動化決策

B、委托處理個人信息、向第三方提供個人信息、公開個人信息

C、向境外提供個人信息

D、以上皆是

答案：D

154.2018年4月20日至21日，全國網(wǎng)絡安全和信息化工作會議召開，對新時代

網(wǎng)信事業(yè)進行戰(zhàn)略部署。習近平出席會議并發(fā)表重要講話。他強調，我們必須敏

銳抓住信息化發(fā)展的歷史機遇,加強網(wǎng)上正面宣傳,維護網(wǎng)絡安全,推動信息領域

()突破,發(fā)揮信息化對經(jīng)濟社會發(fā)展的引領作用，加強網(wǎng)信領域軍民融合,主動參

與網(wǎng)絡空間國際治理進程，自主創(chuàng)新推進網(wǎng)絡強國建設。

A、關鍵技術

B、核心技術

C、高新技術

D、前沿技術

答案：B

155.軟件存在漏洞和缺陷是不可避免的,實踐中常使用軟件缺陷密度(Defects/K

L0C)來衡量軟件的安全性，假設某個軟件共有29.6萬行源代碼,總共被檢測出14

5個缺陷,則可以計算出其軟件缺陷密度值是0o

A、0.00049

B、0.049

C、0.49

D、49C

答案：c

156.拒不履行信息網(wǎng)絡安全管理義務，致使泄露住宿信息、通信記錄、健康生理

信息、交易信息等其他可能影響人身、財產安全的用戶信息()條以上的,應當認

定為刑法第二百八十六條拒不履行信息網(wǎng)絡安全管理義務規(guī)定的“造成嚴重后

里，，

O

A、50

B、500

C、5000

D、50000

答案：C

157.根據(jù)《網(wǎng)絡安全法》的規(guī)定，()負責統(tǒng)籌協(xié)調網(wǎng)絡安全工作和相關監(jiān)督管理

工作。

A、行業(yè)主管部門

B、國家安全部門

C、國家網(wǎng)信部門

D、上級監(jiān)管部門

答案：C

158./etc/Passwd文件是UNI錯/Linu錯安全的關鍵文件之一。該文件用于用戶

登錄是校對用戶登錄名、加密的口令數(shù)據(jù)項、用戶ID(UID)、默認的用戶分組I

D(GID)、用戶信息、用戶登錄目錄以及登錄后使用的shell程序。某黑客設法竊

取了銀行賬戶管理系統(tǒng)的passwd文件后,發(fā)現(xiàn)每個用戶的加密的口令數(shù)據(jù)項都

顯示為'錯'。下列選項中，對此現(xiàn)象的解釋正確的是()

A、黑客竊取的passwd文件是假的

B、用戶的登錄口令經(jīng)過不可逆的加密算法加密結果為“錯”

C、加密口令被轉移到了另一個文件里

D、這些賬戶都被禁用了

答案：C

159.常用的混合加密(HybridEncryption)方案指的是()。

A、使用對稱加密進行通信數(shù)據(jù)加密，使用公鑰加密進行會話密鑰協(xié)商

B、使用公鑰加密進行通信數(shù)據(jù)加密，使用對稱加密進行會話密鑰協(xié)商

C、少量數(shù)據(jù)使用公鑰加密,大量數(shù)據(jù)則使用對稱加密

D、大量數(shù)據(jù)使用公鑰機密，少量數(shù)據(jù)則使用對稱加密

答案：A

多選題

1.《中華人民共和國網(wǎng)絡安全法》規(guī)定，網(wǎng)絡運營者收集'使用個人信息，應當遵

循()

的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍,并經(jīng)被

收集者同意。

A、合法

B、合理

G正當

D、必要

答案：ACD

2.下列哪些權限屬于windows系統(tǒng)下的ntfs權限？()

A、修改

B、讀取和運行

C、寫入

D、同步

答案:ABC

3.嚴格的口令策略應當包含哪些要素()

A、滿足一定的長度，比如8位以上

B、同時包含數(shù)字，字母和特殊字符

C、系統(tǒng)強制要求定期更改口令

D、用戶可以設置空口令

答案：ABC

4.以下哪些項是和電子郵件系統(tǒng)有關的？()

A、PEM(PrivacyenhancedmaiI)

B、PGP(Prettygoodprivacy)

G錯.500

D、錯.400

答案：ABD

5.國家支持網(wǎng)絡運營者之間在網(wǎng)絡安全信息()等方面進行合作,提高網(wǎng)絡運營者

的安全保障能力。

A、分析

B、通報

C、應急處置

D、收集

答案：ABCD

6.在信息安全管理工作中“符合性”的含義包括以下哪幾項？()

A、對法律法規(guī)的符合

B、對安全策略和標準的符合

C、對用戶預期服務效果的符合

D、通過審計措施來驗證符合情況

答案：ABD

7.《網(wǎng)絡安全等級保護基本要求》安全通信網(wǎng)絡分類中包含以下哪些安全控制點

()o

A、通信傳輸

B、邊界防護

C、可信驗證

D、網(wǎng)絡架構

答案：ACD

8.以下屬于《網(wǎng)絡安全等級保護基本要求》安全管理要求的是()。

A、安全物理環(huán)境

B、安全建設管理

C、安全管理中心

D、安全運維管理

答案：BD

9.網(wǎng)絡產品'服務應當符合相關國家標準的強制性要求。網(wǎng)絡產品、服務的提供

者()。

A、不得設置惡意程序

B、發(fā)現(xiàn)其網(wǎng)絡產品'服務存在安全缺陷、漏洞等風險時,應當立即采取補救措施,

按照規(guī)定及時告知用戶并向有關主管部門報告

C、應當為其產品.服務持續(xù)提供安全維護;在規(guī)定或者當事人約定的期限內,不得

終止提供安全維護

D、網(wǎng)絡產品.服務具有收集用戶信息功能的,其提供者應當向用戶明示并取得同

意

E、涉及用戶個人信息的，還應當遵守本法和有關法律、行政法規(guī)關于個人信息保

護的規(guī)定

答案：ABCDE

10.數(shù)據(jù)分級應按照數(shù)據(jù)重要程度和敏感程度,依據(jù)以下原則()。

A、時效性原則

B、就高不就低原則

C、關聯(lián)疊加效應原則

D、最小權限原則

答案：ABC

11.突發(fā)事件是指()等各類突發(fā)情況。

A、自然災害

B、事故災難

C、公共衛(wèi)生事件

D、社會安全事件

答案：ABCD

12.根據(jù)《APP違法違規(guī)收集使用個人信息行為認定方法》，以下()行為可被認定

為“未經(jīng)用戶同意收集使用個人信息”：

A、實際收集的個人信息或打開的可收集個人信息權限超出用戶授權范圍

B、APP更新時自動將用戶設置的權限恢復到默認狀態(tài)

C、利用用戶個人信息和算法定向推送信息,未提供非定向推送信息的選項

D、向用戶提供撤回同意收集個人信息的途徑、方式

答案：ABC

13.等級保護三級要求,應采用()等兩種或兩種以上組合的鑒別技術對用戶進行

身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現(xiàn)。

A、口令

B、密碼技術

C、生物技術

D、動態(tài)口令

答案：ABC

14.《中華人民共和國網(wǎng)絡安全法》規(guī)定,網(wǎng)絡運營者“在發(fā)生或者可能發(fā)生個人

信息泄露、毀損、丟失的情況時，應當立即采取補救措施,按照規(guī)定及時()”。

A、告知用戶

B、向有關主管部門報告

C、向公安機關報案

D、向國家網(wǎng)信部門舉報

答案:AB

15.黑客攻擊某個系統(tǒng)之前，首先要進行信息收集,那么哪些信息收集方法屬于社

會工程學范疇？()

A、通過破解SAM庫獲取密碼

B、通過獲取管理員信任獲取密碼

C、使用暴力密碼破解工具猜測密碼

D、通過辦公室電話、姓名、生日來猜測密碼

答案：BD

16.Chmod744test命令執(zhí)行的結果的說法不正確的是()。

A、test文件的所有者具有執(zhí)行讀寫權限,文件所屬的組和其他用戶有讀的權限

B、test文件的所有者具有執(zhí)行讀寫和執(zhí)行權限,文件所屬的組和其他用戶有權

限

C、test文件的所有者具有執(zhí)行讀和執(zhí)行權限,文件所屬的組和其他用戶有讀的

權限

D、test文件的所有者具有執(zhí)行讀寫和執(zhí)行權限,文件所屬的組和其他用戶有讀

的權限

答案：ABC

17.根據(jù)《中國移動陜西公司網(wǎng)絡安全工作考核問責辦法》，問責的情形包括：()

A、省公司門戶網(wǎng)站、重點業(yè)務網(wǎng)站、大型網(wǎng)絡平臺、網(wǎng)絡設備等重要信息系統(tǒng)

被攻擊篡改,導致反動言論或者謠言等違法有害信息大面積擴散,且沒有及時報

告和組織處置的

B、關鍵信息基礎設施遭受網(wǎng)絡攻擊,沒有及時處置導致大面積影響客戶工作、生

活,或者造成重大經(jīng)濟損失,或者造成嚴重不良社會影響的

C、發(fā)生國家秘密泄露，大量地理、人口'資源等國家基礎數(shù)據(jù)泄露，或者大量戰(zhàn)

略、基站、位置、營銷、網(wǎng)絡運行等公司重要基礎數(shù)據(jù)泄露的

D、關鍵設備安全可控工作存在相關國家法律法規(guī)及集團公司工作要求落實不到

位等違規(guī)行為,或未完成上級單位相關安全責任考核,造成不良影響的

答案:ABCD

18.網(wǎng)絡安全，是指通過采取必要措施，防范對網(wǎng)絡的攻擊、侵入、干擾、破壞和

非法使用以及意外事故,使網(wǎng)絡處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡數(shù)據(jù)的()

的能力。

A、真實性

B、完整性

C、保密性

D、可用性

答案：BCD

19.金庫模式的實施應遵循如下基本原則：()

A、所有涉及客戶敏感數(shù)據(jù)的操作均須納入金庫模式管控,不留盲區(qū)

B、雙人操作、限事限時

C、授權不操作,操作不授權

D、單人操作，限事限時

答案:ABC

20.以下對訪問許可描述正確的是()。

A、訪問許可定義了改變訪問模式的能力或向其它主體傳送這種能力的能力

B、有主型訪問許可是對每個客體設置一個擁有者，擁有者對其客體具有全部控制

權

C、等級型訪問控制許可通常按照組織機構的人員結構關系來設置主體對客體的

控制權

D、有主型訪問許可是對每個客體設置一個擁有者，但擁有者不是唯一有權修改客

體訪問控制表

答案：ABC

21.信息安全保障工程生命周期一般分為立項,開發(fā)采購,工程實施,運行維護等

階段,下面對每個過程對應的成果文件描述正確的是()。

A、立項一《信息安全保障方案》

B、開發(fā)采購一《安全保障工程實施方案》

C、工程實施一《終驗報告》

D、運維階段一《系統(tǒng)認證證書》

答案：ACD

22.云計算服務安全評估重點評估()。

A、云服務商的征信、經(jīng)營狀況等基本情況

B、云服務商人員背景及穩(wěn)定性，特別是能夠訪問客戶數(shù)據(jù)、能夠收集相關元數(shù)據(jù)

的人員

C、云平臺技術、產品和服務供應鏈安全情況

D、云服務商安全管理能力及云平臺安全防護情況

E、客戶遷移數(shù)據(jù)的可行性和便捷性

答案：ABCD

23.以下哪項問題或概念是公鑰密碼體制中經(jīng)常使用到的困難問題？()

A、大整數(shù)分解

B、離散對數(shù)問題

C、背包問題

D、偽隨機數(shù)發(fā)生器

答案:ABD

24.下列說法屬于等級保護三級備份和恢復要求的是()。

A、能夠對重要數(shù)據(jù)進行備份和恢復

B、能夠提供設備和通信線路的硬件冗余

C、提出數(shù)據(jù)的異地備份和防止關鍵節(jié)點單點故障的要求

D、要求能夠實現(xiàn)異地的數(shù)據(jù)實時備份和業(yè)務應用的實時無縫切換

答案：ABC

25.以下哪幾項是風險評估階段應該做的？()

A、對ISMS范圍內的信息資產進行鑒定和估價

B、對信息資產面對的各種威脅和脆弱性進行評估

C、對已存在的或規(guī)劃的安全控制措施進行界定

D、根據(jù)評估結果實施相應的安全控制措施

答案：ABC

26.以下關于信息系統(tǒng)的安全保護等級正確的是()

A、第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損

害,但不損害國家安全、社會秩序和公共利益

B、第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產生嚴

重損害,或者對社會秩序和公共利益造成損害，但不損害國家安全

C、第四級，信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對

國家安全造成損害

D、第五級，信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害

答案：ABD

27.開展網(wǎng)絡安全認證、檢測、風險評估等活動,或者向社會發(fā)布系統(tǒng)漏洞、計算

機病毒'網(wǎng)絡攻擊、網(wǎng)絡侵入等網(wǎng)絡安全信息的，由有關主管部門責令改正，給予

警告;拒不改正或者情節(jié)嚴重的,處一萬元以上十萬元以下罰款,并可以由有關主

管部門責令()，對直接負責的主管人員和其他直接責任人員處五千元以上五萬元

以下罰款。

A、暫停相關業(yè)務

B、停業(yè)整頓

C、關閉網(wǎng)站

D、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照

答案：ABCD

28.等級保護三級要求,應配備一定數(shù)量的()等。

A、系統(tǒng)管理員

B、審計管理員

C、安全管理員

D、保密管理員

答案：ABC

29.在風險管理準備階段“建立背景”(對象確立)過程中應該做的是()。

A、分析系統(tǒng)的體系結構

B、分析系統(tǒng)的安全環(huán)境

C、制定風險管理計劃

D、調查系統(tǒng)的技術特性

答案：ABD

30.網(wǎng)絡安全等級保護第三級安全要求中，安全通信網(wǎng)絡架構應滿足以下哪些要

求()。

A、應保證網(wǎng)絡設備的業(yè)務處理能力滿足業(yè)務高峰期需要

B、應保證網(wǎng)絡各個部分的帶寬滿足業(yè)務高峰期需要

C、應劃分不同的網(wǎng)絡區(qū)域,并按照方便管理和控制的原則為各網(wǎng)絡區(qū)域分配地址

D、應將重要網(wǎng)絡區(qū)域部署在邊界處

答案：ABC

31.根據(jù)《信息安全分類分級指南》GB/Z20986-2007,信息安全事件分類包括()。

A、有害程序事件

B、網(wǎng)絡攻擊事件

C、信息破壞事件

D、設備設施故障

E、災害性事件

答案：ABODE

32.以下哪些項是工作在網(wǎng)絡第二層的隧道協(xié)議？()

A、VTP

B、L2F

C、PPTP

D、L2TP

答案：BCD

33.個人信息處理者應當根據(jù)個人信息的處理目的'處理方式、個人信息的種類

以及對個人權益的影響、可能存在的安全風險等,采取下列措施確保個人信息處

理活動符合法律、行政法規(guī)的規(guī)定,并防止未經(jīng)授權的訪問以及個人信息泄露、

篡改、丟失：()

A、制定內部管理制度和操作規(guī)程

B、對個人信息實行分類管理

C、采取相應的加密、去標識化等安全技術措施

D、合理確定個人信息處理的操作權限并定期對從業(yè)人員進行安全教育和培訓

E、制定并組織實施個人信息安全事件應急預案

答案：ABCDE

34.以下對于非集中訪問控制中“域”說法不正確的是()。

A、每個域的訪問控制與其他域的訪問控制相互關聯(lián)

B、跨域訪問不一定需要建立信任關系

C、域中的信任必須是雙向的

D、域是一個共享同一安全策略的主體和客體的集合

答案：ABC

35.安全域的劃分除了遵循根本原則外,還根據(jù)()劃分安全域、安全子域、安全區(qū)

域。

A、業(yè)務邏輯

B、地域與管理模式

G業(yè)務特點

D、訪問量

答案：ABC

36.根據(jù)《陜西移動數(shù)據(jù)安全管理辦法》，應與第三方公司簽訂數(shù)據(jù)安全承諾書，

嚴禁發(fā)生如下行為：()

A、竊取、泄露、濫用公司數(shù)據(jù)

B、利用系統(tǒng)漏洞損害公司或用戶的利益

C、修改業(yè)務信息、強制或偽造訂購業(yè)務等

D、在已上線使用的系統(tǒng)中留存后門和無法刪除的超級帳戶及密碼

答案：ABCD

37.以下對于蠕蟲病毒的說法正確的是()。

A、通常蠕蟲的傳播無需用戶的操作

B、蠕蟲病毒的主要危害體現(xiàn)在對數(shù)據(jù)保密性的破壞

C、蠕蟲的工作原理與病毒相似,除了沒有感染文件階段

D、是一段能不以其他程序為媒介,從一個電腦系統(tǒng)復制到另一個電腦系統(tǒng)的程序

答案：ABD

38.進行信息安全管理體系的建設是一個涉及企業(yè)文化，信息系統(tǒng)特點,法律法規(guī)

等多方面因素的復雜過程,人們在這樣的過程中總結了許多經(jīng)驗,下面哪些項是

最值得贊同的？()

A、成功的信息安全管理體系建設必須得到組織的高級管理的直接支持

B、制定的信息安全管理措施應當與組織的文化環(huán)境相匹配

C、應該對IS027002等國際標注批判地參考,不能完全照搬

D、借助有經(jīng)驗的大型國際咨詢公司,往往可以提高管理體系的執(zhí)行效果

答案：ABC

39.以下對系統(tǒng)日志信息的操作中哪項是可以發(fā)生的？()

A、對日志內容進行編輯

B、只抽取部分條目進行保存和查看

C、用新的日志覆蓋舊的日志

D、使用專用工具對日志進行分析

答案：BCD

40.國家網(wǎng)信部門應當統(tǒng)籌協(xié)調有關部門對關鍵信息基礎設施的安全保護采取下