2024年網(wǎng)絡(luò)安全專業(yè)技能競賽備考試題庫（含答案）

2024年網(wǎng)絡(luò)安全專業(yè)技能競賽備考試題庫（含答案）

一、單選題

1.互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所，是指通過計算機等裝置向公眾提供互聯(lián)網(wǎng)服務(wù)的網(wǎng)

吧、電腦休閑室等（）性場所。

A、營利

B、營業(yè)

C、非營利

D、非營業(yè)

E、娛樂新聞

答案：B

2.（）是我國信息安全技術(shù)專業(yè)領(lǐng)域內(nèi)從事信息安全標(biāo)準(zhǔn)化工作的專業(yè)性技術(shù)機

構(gòu)，負(fù)責(zé)組織開展國內(nèi)信息安全有關(guān)的標(biāo)準(zhǔn)化工作。

A、全國信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會

B、全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會

C、中國通信標(biāo)準(zhǔn)化協(xié)會

D、中國電子標(biāo)準(zhǔn)化協(xié)會

答案：B

3.下面哪個是安全的基本要求是（）

A、單一性

B、多重性

C、可用性

D、獨立性

答案：C

4.基于對客體安全級別與主體安全級別的比較來進(jìn)行訪問控制的是（）。

A、被動訪問控制

B、自主訪問控制

C、強制訪問控制

D、完全訪問控制

答案：C

5.按密鑰的使用個數(shù)，密碼系統(tǒng)可以分為：

A、置換密碼系統(tǒng)和易位密碼系統(tǒng)

B、分組密碼系統(tǒng)和序列密碼系統(tǒng)

C、對稱密碼系統(tǒng)和非對稱密碼系統(tǒng)

D、密碼系統(tǒng)和密碼分析系統(tǒng)

答案：C

6.入侵檢測系統(tǒng)可以分為基于主機分析和（）兩種基本方式

A、基于操作系統(tǒng)分析

B、基于數(shù)據(jù)庫分析

C、基于用戶分析

D、基于網(wǎng)絡(luò)數(shù)據(jù)包分析

答案：D

7.關(guān)于備份技術(shù)，（）可以把文件恢復(fù)過程簡單化

A、差分備份

B、全備份

C、余量備份

D、增量備份

答案：A

8.關(guān)于信息安全策略文件以下說法不正確的是哪個（）

A、信息安全策略文件應(yīng)由管理者批準(zhǔn)、發(fā)布。

B、信息安全策略文件并傳達(dá)給所有員工和外部相關(guān)方。

C、信息安全策略文件必須打印成紙質(zhì)文件進(jìn)行分發(fā)。

D、信息安全策略文件應(yīng)說明管理承諾，并提出組織的管理信息安全的方法。

答案：C

9.在應(yīng)急處置中，關(guān)于根除階段，下面說法錯誤的是（）

A、因為在進(jìn)行清除工作過程中，由于事情繁多很容易就忽略一兩個至關(guān)重要的

細(xì)節(jié)，而忽略任何細(xì)節(jié)都有可能導(dǎo)致另一起突發(fā)的事件、法律證據(jù)留有缺陷或受

到破壞

B、通常這一階段需要借助軟件，我們在準(zhǔn)備階段就預(yù)備了各種安全工具，此時

應(yīng)該用它們對系統(tǒng)進(jìn)行徹底的清理

C、被惡意程序感染的文件最好格式化處理，并用確保干凈的備份加以替代

D、對機密的環(huán)境來說，快速格式化則更加徹底一些

答案：D

10.如果雙方使用的密鑰不同，從其中的一個密鑰很難推出另外一個密鑰，這樣

的系統(tǒng)稱為

A、常規(guī)加密系統(tǒng)

B、單密鑰加密系統(tǒng)

C、公鑰加密系統(tǒng)

D、對稱加密系統(tǒng)

答案：C

11.黑客入侵了一臺Linux服務(wù)器后，創(chuàng)建了一個惡意用戶，下列哪個命令不可

以查看用戶的登陸信息（）

A、IastIog

B、Iast-f/var/log/wtmp

CxIast-f/etc/run/utmp

D、cat/var/log/auth.log

答案：c

12.site:xxx.inurI:editor這條谷歌語法是用來

A、搜索xxx.網(wǎng)站的編輯器

B、搜索xxx.網(wǎng)站的后臺

C、搜索xxx.網(wǎng)站的上傳點

D、搜索xxx.網(wǎng)站的配置文件

答案：A

13.下列文件擴展名和MIME類型對應(yīng)錯誤的是（）

AxjsappIication/x-javascript

B、pdfappIication/pdf

C、jpgimage/jpg

D、pngimage/png

答案：c

14.關(guān)閉系統(tǒng)多余的服務(wù)有什么安全方面的好處？

A、使黑客選擇攻擊的余地更小

B、關(guān)閉多余的服務(wù)以節(jié)省系統(tǒng)資源

C、使系統(tǒng)進(jìn)程信息簡單，易于管理

D、沒有任何好處

答案：A

15.MD5產(chǎn)生的散列值是多少位（）

A、56

B、64

C、128

D、160

答案：C

16.當(dāng)保護(hù)組織的信息系統(tǒng)時，在網(wǎng)絡(luò)防火墻被破壞以后，通常的下一道防線是

下列哪一項？（）

A、個人防火墻

B、防病毒軟件

C、入侵檢測系統(tǒng)

D、虛擬局域網(wǎng)設(shè)置

答案：C

17.?；饏^(qū)（DemiIitarizedZone,簡稱DMZ）,也稱非軍事化區(qū)，是一個位于可信

的內(nèi)部網(wǎng)絡(luò)和不可信的外部網(wǎng)絡(luò)（如互聯(lián)網(wǎng)）之間的計算機或者小的子網(wǎng)。采用D

MZ的防火墻部署方式是目前一個比較流行和正確的做法。防火墻環(huán)境下各種應(yīng)

用服務(wù)器的放置不必遵守以下哪種原則（）。

A、通過邊界路由過濾設(shè)備保護(hù)外部網(wǎng)絡(luò)可訪問的服務(wù)器，或者將它們放置在外

部DMZ中

B、絕不可將外部網(wǎng)絡(luò)可訪問的服務(wù)器放置在內(nèi)部保護(hù)網(wǎng)絡(luò)中

C、根據(jù)外部服務(wù)器的敏感程度和訪問方式，將它們放置在內(nèi)部防火墻之后

D、盡量隔離各種服務(wù)器，防止一個服務(wù)器被攻破后危及其他服務(wù)器的安全

答案：C

18.SMB的端口是多少（）

A、21

B、445

C、3389

D、443

答案：B

19.（）提出對計算機信息系統(tǒng)實行安全等級保護(hù)。

A、《電信條例》

B、《計算機信息系統(tǒng)安全保護(hù)條例》

C、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》

D、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》

答案：B

20.一個密碼系統(tǒng)至少由明文、密文、加密算法和解密算法、密鑰五部分組成，

而其安全性是由（）決定的

A、加密算法

B、加密算法和解密算法

C、解密算法

D、密鑰

答案：D

21.安全從來就不是只靠技術(shù)就可以實現(xiàn)的，它是一種把技術(shù)和管理結(jié)合在一起

才能實現(xiàn)的目標(biāo)。在安全領(lǐng)域一直流傳著一種觀點：“三分技術(shù)，（）分管理?！?/p>

A、三

B、五

C、七

D、九

答案：B

22.入侵檢測（IntrusionDetection）技術(shù)是用于檢測任何損害或企圖損害系統(tǒng)的

機密性、完整性或可用性等行為的一種網(wǎng)絡(luò)安全技術(shù)。入侵檢測技術(shù)不包括下面

哪個功能模塊（）

A、信息源

B、系統(tǒng)配置

C、分析引擎

D、響應(yīng)

答案：B

23.關(guān)于HTML字符實體，以下實體名稱格式正確的是（）

A、＞

B、#162;

C、0.2

D、\u0061

答案：A

24.暴力破解，是指通過窮舉所有口令組合的方式來破解口令，通常應(yīng)用在以加

密方式存儲的口令中。對抗暴力破解的最佳方法是？

A、設(shè)置復(fù)雜口令

B、設(shè)置多個密碼

C、設(shè)置一個較長的口令以擴大口令的窮舉空間

D、經(jīng)常換口令

答案：C

25.()提出對計算機信息系統(tǒng)實行安全等級保護(hù)。

A、《電信條例》

B、《計算機信息系統(tǒng)安全保護(hù)條例》

C、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》

D、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》

答案：B

26.SQLmap中-columns命令實現(xiàn)的效果是？

A、列出所有數(shù)據(jù)庫名字

B、列出所有字段名字

C、列出所有表的名字

D、列出指定數(shù)據(jù)庫指定表中的所有字段的名字

答案：B

27.下面四款安全測試軟件中，主要用于WEB安全掃描的是（）

A、CiscoAuditingTooIs

B、AcunetixWebVuInerabiIityScanner

C、NMAP

D、ISSDatabaseScanner

答案：B

28.計算機病毒防治體系的核心技術(shù)機制包括，（）以及事發(fā)檢測和響應(yīng)的網(wǎng)絡(luò)

版病毒查殺系統(tǒng)。

A、防火墻

B、事先預(yù)防的安全補丁管理平臺

C、網(wǎng)絡(luò)入侵檢測

D、系統(tǒng)和數(shù)據(jù)備份

答案：B

29.硬件安全技術(shù)，是指用硬件的手段保障計算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的信息安全

的各種技術(shù)，不包括以下哪種（）

A、側(cè)信道技術(shù)（利用設(shè)備在密碼算法執(zhí)行過程中產(chǎn)生的其他信息，如能量消耗

變化、電磁輻射變化等非通信信道物理信息分析）

B、硬件固件安全技術(shù)

C、無線傳感器網(wǎng)絡(luò)安全技術(shù)

D、局域網(wǎng)安全技術(shù)

答案：D

30.安全專家在對某網(wǎng)站進(jìn)行安全部署時，調(diào)整了Apache的運行權(quán)限，從root

權(quán)限降低為nobody用戶，以下操作的主要目的是：

A、為了提高Apache軟件運行效率

B、為了提高Apache軟件的可靠性

C、為了避免攻擊者通過Apache獲得root權(quán)限

D、為了減少Apache上存在的漏洞

答案：C

31.公司甲做了很多政府網(wǎng)站安全項目，在為網(wǎng)游公司乙的網(wǎng)站設(shè)計安全保障方

案時，借鑒以前項目經(jīng)驗，為乙設(shè)計了多重數(shù)據(jù)加密安全措施，但用戶提出不需

要這些加密措施，理由是影響了網(wǎng)站性能，使用戶訪問量受限。雙方引起爭議。

下面說法哪個是錯誤的：

A、乙對信息安全不重視，低估了黑客能力，不舍得花錢

B、甲在需求分析階段沒有進(jìn)行風(fēng)險評估，所部屬的加密針對性不足，造成浪費

C、甲未充分考慮網(wǎng)游網(wǎng)站的業(yè)務(wù)與政府網(wǎng)站業(yè)務(wù)的區(qū)別

D、乙要綜合考慮業(yè)務(wù)、合規(guī)性和風(fēng)險，與甲共同確定網(wǎng)站安全需求

答案：A

32.網(wǎng)絡(luò)管理員的主要職責(zé)不包括0

A、負(fù)責(zé)網(wǎng)絡(luò)的運行管理，實施網(wǎng)絡(luò)安全策略和安全運行細(xì)則

B、對操作網(wǎng)絡(luò)管理功能的其他人員進(jìn)行安全監(jiān)督

C、監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路，防范黑客入侵，及時向信息

安全人員報告安全事件

D、不得對系統(tǒng)設(shè)置后門

答案：D

33.SHODAN是一種專用搜索Internet上漏洞的搜索引擎，關(guān)于SHODAN可以搜索

的對象，下列說法正確的是：

A、互聯(lián)網(wǎng)上的攝像頭

B、互聯(lián)網(wǎng)上的特定類型數(shù)據(jù)庫服務(wù)器

C、互聯(lián)網(wǎng)上的無線路由器

D、皆是

答案：D

34.關(guān)于數(shù)據(jù)庫恢復(fù)技術(shù),下列說法不正確的是：

A、數(shù)據(jù)庫恢復(fù)技術(shù)的實現(xiàn)主要依靠各種數(shù)據(jù)的冗余和恢復(fù)機制技術(shù)來解決,當(dāng)數(shù)

據(jù)庫中數(shù)據(jù)被破壞時,可以利用冗余數(shù)據(jù)來進(jìn)行修復(fù)

B、數(shù)據(jù)庫管理員定期地將整個數(shù)據(jù)庫或部分?jǐn)?shù)據(jù)庫文件備份到磁帶或另一個磁

盤上保存起來,是數(shù)據(jù)庫恢復(fù)中采用的基本技術(shù)

C、日志文件在數(shù)據(jù)庫恢復(fù)中起著非常重要的作用，可以用來進(jìn)行事務(wù)故障恢復(fù)和

系統(tǒng)故障恢復(fù),并協(xié)助后備副本進(jìn)行介質(zhì)故障恢復(fù)

D、計算機系統(tǒng)發(fā)生故障導(dǎo)致數(shù)據(jù)未存儲到固定存儲器上，利用日志文件中都陪

發(fā)生前數(shù)據(jù)的值將數(shù)據(jù)庫恢復(fù)到故障發(fā)生前的完整狀態(tài)，這一對事物的操作稱為

提交

答案：D

35.()針對小概率大災(zāi)難事件，通過不斷的意識培訓(xùn)和演練來加強全體員工的

應(yīng)變能力。

A、確定BCM戰(zhàn)略

B、理解組織

C、演練、維護(hù)和評審

D、BCM應(yīng)對

答案：D

36.教育部統(tǒng)一規(guī)劃部署的主要信息系統(tǒng)屬于等級保護(hù)（）

A、A類

B、B類

C、C類

D、D類

答案：C

37.當(dāng)組織將客戶信用審查系統(tǒng)外包給第三方服務(wù)提供商時，下列哪一項是信息

安全專業(yè)人士最重要的考慮因素（）該提供商：（）

A、滿足并超過行業(yè)安全標(biāo)準(zhǔn)

B、同意可以接受外部安全審查

C、其服務(wù)和經(jīng)驗有很好的市場聲譽

D、符合組織的安全策略

答案：D

38.在信息安全管理體系的實施過程中，管理者的作用對于信息安全管理體系能

否成功實施非常重要，但是以下選項中不屬于管理者應(yīng)有職責(zé)的是（）

A、制定并頒布信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供

總體綱領(lǐng)，明確總體要求

B、確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計劃得以制定，目標(biāo)應(yīng)明確、可

度量，計劃應(yīng)具體、可實施

C、向組織傳達(dá)滿足信息安全的重要性，傳達(dá)滿足信息安全要求、達(dá)成信息安全

目標(biāo)'符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性

D、建立健全信息安全制度，明確安全風(fēng)險管理作用，實施信息安全風(fēng)險評估過

程，確保信息安全風(fēng)險評估技術(shù)選擇合理、計算正確

答案：D

39.以下人員安全管理中，不是等級保護(hù)2.0的控制點是（）

A、人員錄用

B\人員離崗

C、人員考核

D、外部人員訪問管理

答案：C

40.小王在某web軟件公司工作，她在工作中主要負(fù)責(zé)對互聯(lián)網(wǎng)信息服務(wù)（IIS）

軟件進(jìn)行安全配置，這是屬于（）方面的安全工作。

A、web服務(wù)支撐軟件

B\web應(yīng)用程序

Gweb瀏覽器

D、通信協(xié)議

答案：A

41.以下哪個編碼不屬于base64規(guī)范

A、PQ==

B\YQ==

GZGFz-ZGFz/

D、Yw==

答案：C

42.一個商業(yè)機構(gòu)為其信息系統(tǒng)的建設(shè)購買了一套成熟的軟件包，管理者對軟件

包程序修改的態(tài)度正確的是：（）

A、不允許修改

B、不鼓勵修改

C、盡量爭取軟件商的許可，并組織修改

D、秘密進(jìn)行修改

答案：C

43.SQL注入攻擊中，什么類型的注入可在屏蔽單引號后實施成功

A、字符型注入

B、數(shù)字型注入

C、搜索型注入

D、以上都無法注入成功

答案：B

44.關(guān)于IPSec（IPSecurity）,以下說法錯誤的是

AxIPSec是IETF制定的.在Internet上保證數(shù)據(jù)安全傳輸?shù)囊粋€框架協(xié)議

B、它提供了在未提供保護(hù)的網(wǎng)絡(luò)環(huán)境（如Internet）中傳輸敏感數(shù)據(jù)的保護(hù)機

制

C、它定義了IP數(shù)據(jù)包格式和相關(guān)基礎(chǔ)結(jié)構(gòu)，以便為網(wǎng)絡(luò)通信提供端對端.加強

的身份驗證.完整性.防重放和（可選）保密性

D、IPSec是一個隧道壓縮標(biāo)準(zhǔn)

答案：D

45.密碼口令要求多久更改一次（）

A、1-3個月

B、3-6個月

C、1個月內(nèi)

D、只要不是弱口令，就可以一直使用

答案：A

46.以下屬于計算機安全的范圍的是（）

A、構(gòu)建以關(guān)鍵信息基礎(chǔ)設(shè)施為重點的安全保障體系

B、打擊網(wǎng)絡(luò)違法犯罪行為

C、確保信息系統(tǒng)資產(chǎn)的保密性、完整性和可用性的措施和控制

D、國際范圍的網(wǎng)絡(luò)空間主權(quán)與和平安全

答案：C

47.下面哪種不屬于WEB系統(tǒng)文件上傳功能安全隱患

A、未限制拓展名

B、未檢查文件內(nèi)容

C、未查殺病毒文件

D、未檢查文件大小

答案：D

48.根據(jù)宿主類型進(jìn)行分類，計算機病毒可以分為有宿主的計算機病毒和兩類

A、良性計算機病毒

B、工業(yè)控制系統(tǒng)病毒

C、無宿主的計算機病毒

D、手機病毒

答案：C

49.小明發(fā)現(xiàn)公司的網(wǎng)站存在文件上傳漏洞，他想對此做安全加固，下面關(guān)于文

件上傳漏洞解決方案描述錯誤的是

A、對上傳文件做有效文件類型判斷，采用白名單控制的方法，開放只允許上傳

的文件型式，其中文件類型判斷應(yīng)對上傳文件的后綴.文件頭.圖片類的預(yù)覽圖等

做檢測來判斷文件類型

B、服務(wù)端讀取文件的部分內(nèi)容作判斷，可防止攻擊者偽裝文件類型上傳

C、統(tǒng)一上傳模塊寫入文件的位置并取消上傳目錄的程序運行權(quán)限

D、使用Web應(yīng)用防火墻即可防御文件上傳漏洞

答案：D

50.我國黨和政府一直重視信息安全工作。我國信息安全保障工作也是取得了明

顯成效。關(guān)于我國信息安全實施工作，下面說法錯誤的是？

A、加強信息安全標(biāo)準(zhǔn)化建設(shè)，成立了“全國信息安全標(biāo)準(zhǔn)化”，制訂和發(fā)布了

大批信息安全技術(shù)、管理等方面的標(biāo)準(zhǔn)

B、重視信息安全應(yīng)急處理工作，確定由國家密碼管理局葷頭成立“國家網(wǎng)絡(luò)應(yīng)

急中心”，推動了應(yīng)用處理和信息通報技術(shù)合作工作進(jìn)展

C、推進(jìn)信息安全等級保護(hù)工作，研究制定了多個有關(guān)信息安全等級保護(hù)的規(guī)劃

和標(biāo)準(zhǔn)，重點保障了關(guān)系國家安全、經(jīng)濟命脈和社會穩(wěn)定等方面重要信息系統(tǒng)的

安全性

D、實施了信息安全風(fēng)險評估工作，探索了風(fēng)險評估工作的工作的基本規(guī)律和方

法，檢驗并修改完善了有關(guān)標(biāo)準(zhǔn)，培養(yǎng)和鍛煉了人才隊伍

答案：B

51.WebShelI管理工具冰蝎中不帶有以下哪些功能？

A、數(shù)據(jù)庫管理

B、虛擬終端

G反彈SheII

D、權(quán)限提升

答案：D

52.互聯(lián)網(wǎng)信息內(nèi)容治理原則中，（）也被稱為“誰運營誰負(fù)責(zé)”原則，即互聯(lián)網(wǎng)

切實加強內(nèi)部管理和對所接入互聯(lián)網(wǎng)站的管理，明確其權(quán)利和責(zé)任。

A、主體責(zé)任原則

B、行政監(jiān)管原則

C、行業(yè)自律原則

D、公眾參與原則

答案：A

53.關(guān)于HTML標(biāo)簽格式，以下格式錯誤的是（）

A、B、C、D、答案：A

54.電子認(rèn)證服務(wù)提供者簽發(fā)認(rèn)證證書內(nèi)容不必須包括以下哪一項:

A、電子認(rèn)證服務(wù)提供者名稱，證書持有人名稱

B、證書序列號，證書有效期

C、證書使用范圍

D、電子認(rèn)證服務(wù)提供者的電子簽名

答案：C

55.判斷網(wǎng)站外鏈域名是否是黑鏈的基本依據(jù)，下列哪一項是錯誤的()

A、外鏈域名注冊郵箱是個人QQ郵箱

B、外鏈域名解析IP頻繁改變，且歸屬地在國外

C、搜索引擎檢索外鏈域名結(jié)果有“危險”提示

D、外鏈域名對應(yīng)站點頁面訪問出現(xiàn)博彩色情內(nèi)容

答案：A

56.哪個不是美國信息安全測評認(rèn)證體系模塊

A、信息安全系統(tǒng)測評

B、通用準(zhǔn)則評估和認(rèn)證計劃(CCEVS)

C、密碼算法正確性檢測(CAVP)

D、網(wǎng)絡(luò)模塊安全性認(rèn)證

答案：D

57.GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》指出，建立信

息安全管理體系應(yīng)參照PDCA模型進(jìn)行,即信息安全谷那里體系應(yīng)包括建立ISMS、

實施和運行ISMS、監(jiān)視和評審ISMS、保持和改進(jìn)ISMS等過程，并在這些過程中

應(yīng)實施若干活動。請選出以下描述錯誤的選項()

A、“制定ISMS方針”是建立ISMS階段工作內(nèi)容

B、“實施培訓(xùn)和意識教育計劃”是實施和運行ISMS階段工作內(nèi)容

C、“進(jìn)行有效性測量”是監(jiān)視和評審ISMS階段工作內(nèi)容

D、“實施內(nèi)部審核”是保持和改進(jìn)ISMS階段工作內(nèi)容

答案：D

58.信息發(fā)布審核的主體為（）

A、信息審核單位

B、互聯(lián)網(wǎng)信息服務(wù)提供者

C、用戶

D、民間組織

答案：B

59.metaspIoit中可以use的模塊不包括

AvexpIoit

B、auxiIiary

C、post

DvpayIoad

答案：D

60.公安機關(guān)對網(wǎng)吧營業(yè)場所現(xiàn)場檢查，必須（）

A、民警在現(xiàn)場

B、表明身份并出示執(zhí)法證件

C、填寫檢查網(wǎng)吧情況登記表

D、以上皆是

答案：D

61.關(guān)于metasploit的參數(shù)，錯誤的是

A、RHOST一般是被攻擊主機的IP地址

B、RPORT一般是被漏洞利用的端口號

C、LHOST一般是發(fā)起攻擊的IP

D、LPORT一般是被漏洞利用的端口號

答案：B

62.關(guān)鍵信息基礎(chǔ)設(shè)施的運營者不履行“對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份|"義

務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等

后果的，（）。

A、處一萬元以上十萬元以下罰款

B、處五萬元以上五十萬元以下罰款

C、處十萬元以上五十萬元以下罰款

D、處十萬元以上一百萬元以下罰款

答案：D

63.黑客造成的主要危害是

A、破壞系統(tǒng)、竊取信息及偽造信息

B、攻擊系統(tǒng),獲取信息及假冒信息

C、進(jìn)入系統(tǒng)、損毀信息及謠傳信息

D、進(jìn)入系統(tǒng)，獲取信息及偽造信息

答案：A

64.衡量容災(zāi)系統(tǒng)的主要目標(biāo)不包括（）

A、恢復(fù)點目標(biāo)

B、恢復(fù)時間目標(biāo)

C\網(wǎng)絡(luò)恢復(fù)目標(biāo)

D、本地恢復(fù)目標(biāo)

答案：D

65.發(fā)送郵件時需要注意（）

A、盡量不發(fā)送附件

B、包括但不限于其他ACD三項

C、發(fā)送文件之前進(jìn)行病毒掃描

D、盡量不發(fā)送.doc.xls等文件

答案：B

66.一個好的信息安全意識教育活動的主要目的是

A、指導(dǎo)信息安全部門的員工如何開展工作

B、宣傳信息安全違規(guī)行為的處罰條例，從而教育員工

C、協(xié)助人員資源管理部獲取所需的信息

D、激發(fā)參與者的自覺合規(guī)意識

答案：D

67.業(yè)務(wù)連續(xù)性管理框架中，（）是指根據(jù)企業(yè)規(guī)模的不同，可能有一個或多個

連續(xù)性的計劃。

A、BCM管理程序

B、理解組織

C、演練、維護(hù)和評審

D、開發(fā)并實施BCM響應(yīng)

答案：D

68.如需在本地使用Burpsuiteproxy代理模塊進(jìn)行WEB安全測試時，應(yīng)將Bindt

oaddress中Specificaddress的值設(shè)置為以下哪個選項

A、10,211.55.2

B、127.94.0.1

C、127.0.0.1

D、0:0:0:0:0:0:0:1

答案：C

69.信息系統(tǒng)建設(shè)完成后，（）的信息系統(tǒng)的運營使用單位應(yīng)當(dāng)選擇符合國家規(guī)

定的測評機構(gòu)，測評合格后方可投入使用。

A、二級以上

B、三級以上

C、四級以上

D、五級以上

答案：B

70.經(jīng)過審核和批準(zhǔn)的應(yīng)急響應(yīng)計劃文檔，下面說法錯誤的是（）?

A、由專人負(fù)責(zé)保存與分發(fā)

B、具有多份拷貝，并在不同的地點保存

C、在每次修訂后所有拷貝統(tǒng)一更新，并保留一套，以備查閱

D、舊版本應(yīng)立即自行刪除

答案：D

71.鑒別的基本途徑有三種：所知、所有和個人特征，以下哪一項不是基于你所

知道的

A、口令

B、令牌

C、知識

D、密碼

答案：B

72.下列不屬于垃圾郵件過濾技術(shù)的是()。

A、軟件模擬技術(shù)

B、貝葉斯過濾技術(shù)

C、關(guān)鍵字過濾技術(shù)

D、黑名單技術(shù)

答案：A

73.等級保護(hù)中的“一個中心、三重防護(hù)”具體是指。

A、日志審計中心、安全計算環(huán)境防護(hù)'安全區(qū)域邊界防護(hù)、安全通信網(wǎng)絡(luò)防護(hù)

B、日志審計中心、安全物理環(huán)境防護(hù)、安全區(qū)域邊界防護(hù)、安全通信網(wǎng)絡(luò)防護(hù)

C、安全管理中心、安全物理環(huán)境防護(hù)、安全區(qū)域邊界防護(hù)、安全通信網(wǎng)絡(luò)防護(hù)

D、安全管理中心、安全計算環(huán)境防護(hù)'安全區(qū)域邊界防護(hù)、安全通信網(wǎng)絡(luò)防護(hù)

答案：D

74.關(guān)于WebShelI,以下描述正確的是?

A、在對方服務(wù)器上，成功上傳WebShelI,文件內(nèi)容為evaI($_POST['a']);,此

時可以用冰蝎直接連接使用

B\Cknife是一款WebSheII查殺工具

C、WebDIR+是一款WebShelI管理工具

D、使用中國蟻劍來管理WebShelI,過程中產(chǎn)生的流量是沒有被加密的。

答案：D

75.信息系統(tǒng)的安全保護(hù)等級分為五級。其中第一級指的是（）

A、信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，

或者對社會秩序和公共利益造成損害，但不損害國家安全

B、信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害

C、信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但

不損害國家安全、社會秩序和公共利益

D、信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對

國家安全造成嚴(yán)重?fù)p害

答案：C

76.關(guān)于預(yù)防跨站腳本攻擊的常見方法，不合理的做法是

A、禁用JavaScript

B、過濾客戶端提交參數(shù)

C、過濾輸出的內(nèi)容，對輸出的內(nèi)容進(jìn)行編碼

D、使用WEB應(yīng)用防火墻

答案：A

77.以下關(guān)于威脅建模流程步驟說法不正確的是

A、威脅建模主要流程包括四步：確定建模對象、識別威脅、評估威脅和消減威

脅

B、評估威脅是對威脅進(jìn)行分析，評估被利用和攻擊發(fā)生的概率，了解被攻擊后

資產(chǎn)的受損后果，并計算風(fēng)險

C、消減威脅是根據(jù)威脅的評估結(jié)果，確定是否要消除該威脅以及消減的技術(shù)措

施，可以通過重新設(shè)計直接消除威脅，或設(shè)計采用技術(shù)手段來消減威脅。

D、識別威脅是發(fā)現(xiàn)組件或進(jìn)程存在的威脅，它可能是惡意的，威脅就是漏洞。

答案：D

78.()是指同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求，相互信任，并具有相同的安全

訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)，且相同的網(wǎng)絡(luò)安全域共享一樣的安全策

略。

A、用戶域

B、管理域

C、安全域

D、應(yīng)用域

答案：C

79.網(wǎng)絡(luò)運營者采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)和網(wǎng)絡(luò)安全事件的日志信息不少于

()。

A、1個月

B、3個月

C、6個月

D、1年

答案：C

80.以下防范措施不能防范SQL注入攻擊的是()

A、配置IIS

B、在Web應(yīng)用程序中，將管理員賬號連接數(shù)據(jù)庫

C、去掉數(shù)據(jù)庫不需要的函數(shù),存儲過程

D、檢查輸入?yún)?shù)

答案：B

81.0是指為保護(hù)組織的利益、聲譽'品牌和價值創(chuàng)造活動，找出對組織有潛

在影響的威脅，提供建設(shè)組織有效反應(yīng)恢復(fù)能力的框架的整體管理過程。

A、業(yè)務(wù)連貫性性管理

B、業(yè)務(wù)一致性管理

C、業(yè)務(wù)連續(xù)性管理

D、業(yè)務(wù)協(xié)調(diào)性管理

答案：C

82.IS027001認(rèn)證項目一般有哪幾個階段？（）

A、管理評估，技術(shù)評估，操作流程評估

B、確定范圍和安全方針，風(fēng)險評估，風(fēng)險控制（文件編寫），體系運行，認(rèn)證

C、產(chǎn)品方案需求分析，解決方案提供，實施解決方案

D、基礎(chǔ)培訓(xùn)，RA培訓(xùn)，文件編寫培訓(xùn)，內(nèi)部審核培訓(xùn)

答案：B

83.SQL注入漏洞需要用到什么語言來構(gòu)造攻擊代碼（）

A、HTML語句

B、CSS語句

C、數(shù)據(jù)庫語句

D、后端編程語句

答案：C

84.電磁干擾(EIectroMagneticIinterference,簡稱EMI)主要分為()種。

A、二

B、三

C、四

D、五

答案：A

85.以下關(guān)于WEB應(yīng)用漏洞說法不正確的是

A、任意文件下載漏洞可以通過輸入payload,f./etc/passwd"進(jìn)

行測試，如果返回內(nèi)容包含passwd文件則表示該漏洞存在

B、通過請求“id=1andsleep(10)-」‘且瀏覽器在10秒后返回網(wǎng)頁內(nèi)容,表明該

參數(shù)存在SQL注入漏洞

C、任意文件上傳漏洞常出現(xiàn)在“相冊”.“頭像上傳”.“圖片上傳”等場景

D、任意文件上傳漏洞通過設(shè)置白名單校驗即可解決

答案：D

86.按照等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重點對第三級、第四級信息系

統(tǒng)的等級保護(hù)狀況進(jìn)行監(jiān)督檢查是()的主要職責(zé)之一

A、信息系統(tǒng)運營、使用單位

B、信息系統(tǒng)主管部門

C、信息系統(tǒng)安全服務(wù)商

D、信息安全監(jiān)管機構(gòu)

答案：D

87.以下關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施的運營者違反本法第三十五條規(guī)定，使用未經(jīng)安

全審查或者安全審查未通過的網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的，處采購金額（）罰款，說法

錯誤的是

A、一倍以上二倍以下

B、一倍以上十倍以下

C、一倍以上五倍以下

D、一倍以上五十倍以下

答案：B

88.在機房直接通過鍵盤、鼠標(biāo)及（）等方式操作主機、網(wǎng)絡(luò)設(shè)備等。因為無法

進(jìn)行有效的認(rèn)證，權(quán)限控制和日志審計，所以，非緊急情況建議不采用這種方式

A、CONSOLE口

B、FE口

C、GE口

D、RJ45口

答案：A

89.以下關(guān)于https協(xié)議與http協(xié)議相比的優(yōu)勢說明，哪個是正確的

A、https協(xié)議對傳輸?shù)臄?shù)據(jù)進(jìn)行了加密,可以避免嗅探等攻擊行為

B、https使用的端口與http不同，讓攻擊者不容易找到端口，具有較高的安全性

C、https協(xié)議是http協(xié)議的補充,不能獨立運行,因此需要更高的系統(tǒng)性能

D、https協(xié)議使用了挑戰(zhàn)機制,在會話過程中不傳輸用戶名和密碼，因此具有較

高的安全性

答案：A

90.()指HTTP請求的發(fā)起者，在HTTP中該字段指明該請求是由哪個源(可簡單

理解為哪個網(wǎng)站)發(fā)起

A、請求

B、驗證碼

C、輸入檢查

D、反CSRF令牌

答案：A

91.隨著互聯(lián)網(wǎng)的日益復(fù)雜，單一因素的身份鑒別技術(shù)存在的安全問題不斷暴露,

已不能滿足用戶的基本使用和安全需求，尤其在一些電子商務(wù)、金融行業(yè)等對安

全性提出較高要求的領(lǐng)域，需要多種安全技術(shù)結(jié)合使用以提高安全保障性能。網(wǎng)

上支付的多因素身份鑒別技術(shù)不包括？

A、靜態(tài)口令+動態(tài)口令認(rèn)證

B、靜態(tài)口令+數(shù)字證書認(rèn)證

C、靜態(tài)口令+手機驗證碼認(rèn)證

D、靜態(tài)口令+生物特征認(rèn)證

答案：D

92.網(wǎng)絡(luò)隔離(NetworkIsolation),主要是指把兩個或兩個以上的網(wǎng)絡(luò)通過物理

設(shè)備隔離開來，使得在任何時刻、任何兩個網(wǎng)絡(luò)之間都不會存在物理連接。()

是一種實現(xiàn)網(wǎng)絡(luò)隔離技術(shù)的設(shè)備。

A、入侵檢測技術(shù)

B、隔離網(wǎng)閘

C、路由器

D、網(wǎng)關(guān)

答案：B

93.下列關(guān)于SSL的安全漏洞，那一項需要升級OpenSSL解決（）

A、SSL/TLS受誡禮（BAR-MITZVAH）攻擊漏洞

B、SSL3.OPOODLE攻擊信息泄露漏洞

C、SSL/TLS中間人攻擊漏洞（CCS注入）

D、MITM（Man-in-the-MiddIeAttack）中間人攻擊

答案：C

94.主要用于加密機制的協(xié)議是

A、HTTP

B、FTP

GTELNET

D、SSL

答案：D

95.災(zāi)難恢復(fù)規(guī)劃是一個周而復(fù)始、持續(xù)改進(jìn)的過程，最后個階段是（）。

A、災(zāi)難恢復(fù)需求的確定

B、災(zāi)難恢復(fù)策略的制定

C、災(zāi)難恢復(fù)策略的實現(xiàn)

D、災(zāi)難恢復(fù)預(yù)案的制定、落實和管理

答案：D

96.信息系統(tǒng)驗收時進(jìn)行安全評估的最主要目的是:

A、發(fā)現(xiàn)信息系統(tǒng)的代碼層安全隱患

B、發(fā)現(xiàn)信息系統(tǒng)的抗攻擊能力

C、發(fā)現(xiàn)系統(tǒng)安全現(xiàn)狀與建設(shè)之初安全目標(biāo)的符合程度

D、發(fā)現(xiàn)系統(tǒng)安全現(xiàn)狀與相應(yīng)安全等級的差異

答案：C

97.引入新系統(tǒng)和對已有系統(tǒng)進(jìn)行大的變更可以按照從文件'規(guī)范'測試'質(zhì)量

控制到（）這個正式的過程進(jìn)行

A、發(fā)布管理

B、驗收管理

C、實施管理

D、周期管理

答案：C

98.Shannon提出：

A、僅當(dāng)密鑰至少和明文一樣長時，才能達(dá)到無條件安全

B、僅當(dāng)密鑰長度至少是明文長度的一般時，才能達(dá)到無條件安全

C、僅當(dāng)密鑰長度至少為明文長度的兩倍，才能達(dá)到無條件安全

D、不存在無條件安全

答案：A

99.數(shù)據(jù)的安全性不包括

A、唯一性

B、完整性

C、可用性

D、機密性

答案：A

100.光纖接入能提供（）的高速帶寬。

A、1Mbps—5Mbps

B、1Mbps—10Mbps

C、10Mbps—1000Mbps

D、500Mbps—5000Mbps

答案：c

101.災(zāi)難發(fā)生后，恢復(fù)數(shù)據(jù)所需要的時間與決定備份所需要的時間和。同樣重要。

A、效率

B、頻率

C、質(zhì)量

D、能耗

答案：B

102.下列關(guān)于應(yīng)急響應(yīng)各個階段說法正確的是

A、準(zhǔn)備遏制檢測恢復(fù)根除跟蹤總結(jié)

B、準(zhǔn)備檢測遏制根除恢復(fù)跟蹤總結(jié)

C、準(zhǔn)備檢測根除遏制恢復(fù)跟蹤總結(jié)

D、準(zhǔn)備檢測恢復(fù)根除遏制跟蹤總結(jié)

答案：B

103.如果惡意開發(fā)人員想在代碼中隱藏邏輯炸彈，什么預(yù)防方式最有效（）

A、源代碼周期性安全掃描

B、源代碼人工審計

C、滲透測試

D、對系統(tǒng)的運行情況進(jìn)行不間斷監(jiān)測記錄

答案：B

104.在HTTP/1.1協(xié)議中共定義了幾種請求方法（）

A、2

B、4

C、6

D、8

答案：D

105.好友的QQ突然發(fā)來一個網(wǎng)站鏈接要求投票，最合理的做法是？

A、因為是其好友信息，直接打開鏈接投票

B、可能是好友QQ被盜，發(fā)來的是惡意鏈接，先通過手機跟朋友確認(rèn)鏈接無異常

后，再酌情考慮是否投票

C、不參與任何投票

D、把好友加入黑名單

答案：B

106.拒絕服務(wù)攻擊的目的是利用各種攻擊技術(shù)使服務(wù)器或者主機等拒絕為合法

用戶提供服務(wù)。來自網(wǎng)絡(luò)的拒絕服務(wù)攻擊可以分為停止服務(wù)和消耗資源兩類。攻

擊特點不包括以下哪個（）

A、多源性、特征多變性

B、攻擊目標(biāo)與攻擊手段多樣性

C\隱蔽性

D、開放性

答案：D

107.超文本傳輸協(xié)議（HTTP,HyperTextTransferProtocol）是互聯(lián)網(wǎng)上應(yīng)用最為

廣泛的一種網(wǎng)絡(luò)協(xié)議，以下不屬于HTTP協(xié)議特征的是（）

A、簡單快速

B、無連接

C、靈活

D、安全

答案：D

108.關(guān)于信息安全體系的構(gòu)成，下列說法正確的是：

A、關(guān)鍵是制度

B、關(guān)鍵是技術(shù)

C、關(guān)鍵是人

D、人、制度、技術(shù)的結(jié)合

答案：D

109.災(zāi)難恢復(fù)策略的實現(xiàn)中，不需要考慮的內(nèi)容包括（）。

A、獲得同主系統(tǒng)相當(dāng)?shù)陌踩Ｗo(hù)

B、客戶端可與備用數(shù)據(jù)處理系統(tǒng)的物理環(huán)境

C、具有可擴展性

D、考慮其對主系統(tǒng)可用性和性能的影響

答案：B

110.計算機病毒，是指通過修改其他程序進(jìn)行“感染”，并對系統(tǒng)造成破壞的一

段代碼，（）不屬于計算機病毒的特性。

A、傳染性

B、破壞性

C、隱蔽性

D、可用性

答案：D

111.經(jīng)過近幾年學(xué)術(shù)界對無線傳感器網(wǎng)絡(luò)的深入研究，當(dāng)前無線傳感器網(wǎng)絡(luò)面臨

多種攻擊技術(shù)，其中（）是指兩個或多個攻擊節(jié)點進(jìn)行的一種合謀攻擊，通過壓

縮攻擊節(jié)點間的路由，使得彼此成為鄰居節(jié)點,從而將不同分區(qū)的節(jié)點距離拉近,

破壞整個網(wǎng)絡(luò)的正常分區(qū)。

A、路由攻擊

B、選擇性數(shù)據(jù)轉(zhuǎn)發(fā)攻擊

C、槽洞攻擊

D、蟲洞攻擊

答案：D

112.云計算是對（）技術(shù)的發(fā)展與運用。

A、并行計算

B、網(wǎng)格計算

C、分布式計算

D、以上三個選項都是

答案：D

113.某公司開發(fā)了一個游戲網(wǎng)站，但是由于網(wǎng)站軟件存在問題,結(jié)果在軟件上線

后被黑客攻擊,某數(shù)據(jù)庫中的網(wǎng)游用戶真實身份數(shù)據(jù)被黑客看到。關(guān)于此案例,

下面描述正確的是()

A、該網(wǎng)站軟件出現(xiàn)了保密性方面安全問題

B、該網(wǎng)站軟件出現(xiàn)了完整性方面安全問題

C、該網(wǎng)站軟件出現(xiàn)了可用性方面安全問題

D、該網(wǎng)站軟件出現(xiàn)了不可否認(rèn)性方面安全問題

答案：A

114.散布險情、疫情、警情等違法有害信息具有()特征。

A、針對特定的自然人

B、針對特定單位

C、針對特定的公共事件

D、針對不特定的自然人、單位或公共事件

答案：D

115.屬于散布險情、疫情、警情等違法有害信息的是()。

A、某甲路過某地火災(zāi)現(xiàn)場，拍照、視頻并上傳到個人空間

B、某乙從醫(yī)院病友處聽到某新型禽流感發(fā)生的消息，發(fā)布在朋友圈

C、某丙聚集朋友在飛機上打牌，說出“炸彈”等牌語

D、某丁公務(wù)員考試未中，發(fā)帖懷疑結(jié)果內(nèi)定

答案：B

116.關(guān)于后門防范正確的是？

A、定期檢查日志，包括但不限于Web、系統(tǒng)等日志

B、長期不對系統(tǒng)進(jìn)行漏掃，不安裝補丁

C、隨意使用非正規(guī)軟件

D、不對系統(tǒng)進(jìn)行病毒查殺，清除有害軟件

答案：A

117.為了災(zāi)難恢復(fù)而對數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、基礎(chǔ)設(shè)施、技術(shù)支持能

力和運行管理能進(jìn)行備份的過程稱為災(zāi)難備份。災(zāi)難備份系統(tǒng)是用于災(zāi)難恢復(fù)目

的，由______和備用的網(wǎng)絡(luò)系統(tǒng)組成的信息系統(tǒng)。

A、數(shù)據(jù)備份系統(tǒng)

B、數(shù)據(jù)處理系統(tǒng)

C、數(shù)據(jù)備份系統(tǒng)、數(shù)據(jù)處理系統(tǒng)

D、數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)

答案：D

118.關(guān)于信息安全保障技術(shù)框架（IATF）,以下說法不正確的是：

A、分層策略允許在適當(dāng)?shù)臅r候采用低安全級保障解決方案以便降低信息安全保

障的成本

B、IATF從人、技術(shù)和操作三個層面提供一個框架實施多層保護(hù)，使攻擊者即使

攻破一層也無法破壞整個信息基礎(chǔ)設(shè)施

C、允許在關(guān)鍵區(qū)域（例如區(qū)域邊界）使用高安全級保障解決方案,確保系統(tǒng)安全性

D、IATF深度防御戰(zhàn)略要求在網(wǎng)絡(luò)體系結(jié)構(gòu)的各個可能位置實現(xiàn)所有信息安全保

障機制

答案：D

119.關(guān)于Wi-Fi聯(lián)盟提出的安全協(xié)議WPA和WPA2的區(qū)別，下面描述正確的是（）

A、WPA是有線局域安全協(xié)議，而WPA2是無線局域網(wǎng)協(xié)議

B、WPA是適用于中國的無線局域安全協(xié)議，而WPA2適用于全世界的無線局域網(wǎng)

協(xié)議

C、WPA沒有使用密碼算法對接入進(jìn)行認(rèn)證，而WPA2使用了密碼算法對接入進(jìn)行

認(rèn)證

D、WPA是依照802.11i標(biāo)準(zhǔn)草案制定的，而WPA2是依照802.11i正式標(biāo)準(zhǔn)制定

的

答案：D

120.張三將微信個人頭像換成微信群中某好友頭像,并將昵稱改為該好友的昵稱,

然后向該好友的其他好友發(fā)送一些欺騙消息。該攻擊行為屬于以下哪類攻擊？

A、口令攻擊

B、暴力破解

C、拒絕服務(wù)攻擊

D、社會工程學(xué)攻擊

答案：D

121.《信息安全等級保護(hù)管理辦法》將信息系統(tǒng)的安全保護(hù)劃分為()個等級。

A、三

B、四

C、五

D、六

答案：C

122.當(dāng)涉及到信息算計系統(tǒng)犯罪取證時，應(yīng)與哪個部門取得聯(lián)系()

A、監(jiān)管機構(gòu)

B、重要客戶

C、供應(yīng)商

D、政府部門

答案：D

123.以下關(guān)于cookie,描述錯誤的是()

A、目前有些Cookie是臨時的，有些則是持續(xù)的。臨時的Cookie只在瀏覽器上

保存一段規(guī)定的時間，一旦超過規(guī)定的時間，該Cookie就會被系統(tǒng)清除

B、Cookie是由HTTP服務(wù)器設(shè)置的，保存在瀏覽器中，但HTTP協(xié)議是一種無狀

態(tài)協(xié)議，在數(shù)據(jù)交換完畢后，服務(wù)器端和客戶端的鏈接就會關(guān)閉，每次交換數(shù)據(jù)

都需要建立新的鏈接。

C、Cookie的幾種常見屬性：key=vaIue;expires=失效時間；path=路徑；domain=

域名；secure;(secure表安全級別)

D、使用Javascript代碼uaIert(document,cookie)"一定可以讀取所有的coo

kie內(nèi)容。

答案：D

124.下列不屬于可識別個人的信息是()。

A、手機號碼

B、電子郵件地址

GQQ昵稱

D、銀行卡CVV

答案：C

125.軟件的盜版是一個嚴(yán)重的問題。在下面哪一種說法中反盜版的策略和實際行

為是矛盾的()

A、員工的教育和培訓(xùn)

B、遠(yuǎn)距離工作(Telemuting)與禁止員工攜帶工作軟件回家

C、自動日志和審計軟件

D、策略的發(fā)布與策略的強制執(zhí)行

答案：B

126.信息安全的保護(hù)對象主要是計算機硬件，軟件和()。

A、操作系統(tǒng)

B\開發(fā)語言

C、文件系統(tǒng)

D、數(shù)據(jù)

答案：D

127.根據(jù)《信息安全等級保護(hù)管理辦法》的規(guī)定，信息系統(tǒng)運營、使用單位及其

主管部門應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實情況進(jìn)行自

查。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行()自查。

A、一次

B、兩次

G三次

D、四次

答案：A

128.將基礎(chǔ)設(shè)施作為服務(wù)的云計算服務(wù)類型是laas,其中的基礎(chǔ)設(shè)施包括?

A、存儲資源

B、應(yīng)用程序

C、內(nèi)存資源

D、COU資源

答案：B

129.小明設(shè)置的以下口令哪個是安全的（）

A、!#$%

B、xiaoming2018

C、Bry3J,981

D\qazwsx

答案：C

130.PKI是利用公開密鑰技術(shù)所構(gòu)建的、解決網(wǎng)絡(luò)安全問題的、普遍適用的一種

基礎(chǔ)設(shè)施。PKI提供的核心服務(wù)不包括了哪些信息安全的要求

A、訪問安全性

B、真實性

C、完整性

D、保密性

答案：A

131.下面關(guān)于文件上傳表單說法錯誤的是。（）

A、form表單的method屬性設(shè)置為post

B、form表單的method屬性設(shè)置為get

C、form表單的enctype屬性設(shè)置為multipart/form-data

D、提供的文件上傳輸入框

答案：B

132.根據(jù)檢測目標(biāo)的不同，惡意代碼的檢測方法可以分為基于主機的檢測和基于

網(wǎng)絡(luò)的檢測。其中，（）屬于基于網(wǎng)絡(luò)的檢測方式。

A、基于特征碼的掃描技術(shù)

B、基于行為的檢測

C、基于沙箱技術(shù)的檢測

D、基于蜜罐的檢測

答案：D

133.在系統(tǒng)日常運行及發(fā)生信息網(wǎng)絡(luò)安全事件時，單位、組織可能需要一些公共

基礎(chǔ)設(shè)施方面，比如（）的支持

A、電信服務(wù)提供商

B、公安部

C、公安機關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門

D、國家安全部

答案：A

134.當(dāng)企業(yè)發(fā)生黑客入侵、系統(tǒng)崩潰或其它影響業(yè)務(wù)正常運行的安全事件時，急

需第一時間進(jìn)行處理，使企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)在最短時間內(nèi)恢復(fù)正常工作，下列

不屬于常見應(yīng)急響應(yīng)事件的是（）

A、網(wǎng)頁掛馬

B、主頁篡改

C、病毒木馬

D、訪問緩慢

答案：D

135.對于信息安全風(fēng)險的描述不正確的是

A、企業(yè)信息安全風(fēng)險管理就是要做到零風(fēng)險

B、在信息安全領(lǐng)域，風(fēng)險就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來負(fù)面影響及其

潛在可能性

C、風(fēng)險管理就是以可接受的代價，識別、控制,減少或消除可能影響信息系統(tǒng)

的安全風(fēng)險的過程

D、風(fēng)險評估就是對信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點

以及威脅發(fā)生的可能性的評估

答案：A

136.管理評審的最主要目的是

A、確認(rèn)信息安全工作是否得到執(zhí)行

B、檢查信息安全管理體系的有效性

C、找到信息安全的漏洞

D、考核信息安全部門的工作是否滿足要求

答案：B

137.IIS6.0版本服務(wù)默認(rèn)不解析（）號后面的內(nèi)容

A、；

B、，

C、：

D、

答案：A

138.以下哪個不屬于跨站腳本漏洞分類？

A、存儲型

B、反射型

GCSRF型

D、DOM型

答案：C

139.安全管理制度主要包括：管理制度,制定和發(fā)布、（）三個控制點

A、評審和修訂

B、修改

C、審核

D、閱讀

答案：A

140.metasploit在滲透測試使用中，相關(guān)數(shù)據(jù)同樣會存儲在數(shù)據(jù)庫中，它所使

用數(shù)據(jù)庫和數(shù)據(jù)庫端口號為（）

AvSqIServer&&1433

B、PostgreSQL&&5432

GMySql&&3306

D、0racle&&1521

答案：B

141.災(zāi)難恢復(fù)是指將信息系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到可正常運行

狀態(tài)，并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到()而設(shè)計的活動

和流程。

A、理想狀態(tài)

B、穩(wěn)定狀態(tài)

G正常狀態(tài)

D、可接受狀態(tài)

答案：D

142.以下關(guān)于中國菜刀描述錯誤的是？

A、中國菜刀是一款是WebShelI管理工具

B、可以通過中國菜刀直接執(zhí)行系統(tǒng)命令

C、可以通過中國菜刀可以上傳或下載服務(wù)端文件

D、通過中國菜刀管理WebShelI過程中的流量都會被混淆加密

答案：D

143.關(guān)于動態(tài)網(wǎng)站、偽靜態(tài)網(wǎng)站和靜態(tài)網(wǎng)站的說法，哪個是不正確的

A、靜態(tài)網(wǎng)站訪問速度快，更容易被搜索引擎找到收錄，但是占用較多空間容量

B、在IE瀏覽器上可以通過在地址欄輸入javascript:aIert(document.IastMod

ified)判斷這個網(wǎng)站是動態(tài)還是靜態(tài)

C、偽靜態(tài)網(wǎng)站沒有解決靜態(tài)頁面占用較多空間容量的問題，但是能夠較好的應(yīng)

付搜索引擎

D、偽靜態(tài)的實質(zhì)是動態(tài)形式，是通過url重寫技術(shù)把傳遞參數(shù)插入到了URL地

址中，它所指向的文件并不是真實的地址

答案：c

144.2011年是我國“十二五”規(guī)劃的開局之年，“十二五”規(guī)劃首次將“加強

網(wǎng)絡(luò)與信息安全保障”作為專門章節(jié)，要求健全（）法律法規(guī)，完善信息安全標(biāo)

準(zhǔn)體系和認(rèn)證認(rèn)可體系，實施信息安全等級保護(hù)、風(fēng)險評估等制度。

A、個人隱私

B、金融安全

C、食品安全

D、網(wǎng)絡(luò)與信息安全

答案：D

145.近年來利用DNS劫持攻擊大型網(wǎng)站惡性攻擊事件時有發(fā)生，防范這種攻擊比

較有效的方法是？

A、加強網(wǎng)站源代碼的安全性

B、對網(wǎng)絡(luò)客戶端進(jìn)行安全評估

C、協(xié)調(diào)運營商對域名解析服務(wù)器進(jìn)行加固

D、在網(wǎng)站的網(wǎng)絡(luò)出口部署應(yīng)用級防火墻

答案：C

146.下列哪個選項不屬于反向安全隔離裝置的安全功能：

A、簽名驗證

B、內(nèi)容過濾

C、有效性檢查

D、木馬檢測

答案：D

147.下列安全建議正確的是？

A、選擇資源豐富的軟件網(wǎng)站進(jìn)行下載

B、為提高下載速度可以暫時關(guān)閉殺毒軟件

C、下載完成后直接打開下載的文件

D、下載軟件時去軟件的官方網(wǎng)站或其他正規(guī)網(wǎng)站上下載

答案：D

148.BS7799這個標(biāo)準(zhǔn)是由下面哪個機構(gòu)研發(fā)出來的（）

A、美國標(biāo)準(zhǔn)協(xié)會

B、英國標(biāo)準(zhǔn)協(xié)會

C、中國標(biāo)準(zhǔn)協(xié)會

D、國際標(biāo)準(zhǔn)協(xié)會

答案：B

149.在發(fā)生信息安全案件后，單位、組織應(yīng)當(dāng)及時向（）報案，并在取證和調(diào)查

等環(huán)節(jié)給予密切配合。

A、公安部

B、單位領(lǐng)導(dǎo)

C、國家安全部

D、公安機關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門

答案：D

150.以下關(guān)于HTTP協(xié)議描述錯誤的是（）

A、HTTP遵循請求（Request）/應(yīng)答（Response）模型，發(fā)送一次HTTP請求會產(chǎn)生

兩類報文，分別是請求報文與響應(yīng)報文。

B、HTTP協(xié)議默認(rèn)端口為80

C、HTTP為有狀態(tài)的協(xié)議，可以記住客戶端狀態(tài)

DvHTTP(HyperTextTransferProtocol)既超文本傳輸協(xié)議，是一種詳細(xì)規(guī)定了

瀏覽器和萬維網(wǎng)服務(wù)器之間互相通信的規(guī)則。

答案：C

151.下列哪一項不屬于模糊測試(fuzz)的特性？

A、主要針對軟件漏洞或可靠性錯誤進(jìn)行測試。

B、采用大量測試用例進(jìn)行激勵響應(yīng)測試

C、一種試探性測試方法，沒有任何理論依據(jù)。

D、利用構(gòu)造畸形的輸入數(shù)據(jù)引發(fā)被測試目標(biāo)產(chǎn)生異常

答案：C

152.ISMS包括建立、實施、操作、監(jiān)視、復(fù)查、維護(hù)和改進(jìn)信息安全等一系列

的管理活動，其表現(xiàn)形式不包括()。

A、組織結(jié)構(gòu)

B、策略方針

C、計劃活動

D、人員成本

答案：D

153.使用Burpsuite爆破Tomcat管理界面弱口令，PayIoadtype需要使用什么

類型()

A、Customiterator

B、RuntimefiIe

C、CharacterBIocks

D、Recursivegrep

答案：A

154.信息安全保障技術(shù)框架（IATF）中，主要討論了縱深防御的技術(shù)方面。它從技

術(shù)方面根據(jù)信息安全的需求將信息系統(tǒng)解構(gòu)為（）、保護(hù)區(qū)域邊界、保護(hù)計算環(huán)

境和支撐性基礎(chǔ)設(shè)施這四個基本方面

A、保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施

B、保護(hù)操作系統(tǒng)

C、保護(hù)計算機硬件

D、保護(hù)核心信息持有人員

答案：A

155.以下有關(guān)通信與日常操作描述不正確的是（）

A、信息系統(tǒng)的變更應(yīng)該是受控的

B、企業(yè)在崗位設(shè)計和人員工作分配時應(yīng)該遵循職責(zé)分離的原則

C、移動介質(zhì)使用是一個管理難題，應(yīng)該采取有效措施，防止信息泄漏

D、所有日常操作按照最佳實踐來進(jìn)行操作，無需形成操作手冊

答案：C

156.如何防范釣魚網(wǎng)站？（）

A、不用聊天工具

B、安裝安全防護(hù)軟件

C、警惕中獎、修改網(wǎng)銀密碼的通知郵件、短信，不經(jīng)檢查可點擊未經(jīng)核實的陌

生鏈接

D、可多人共用的電腦上進(jìn)行金融業(yè)務(wù)操作，如網(wǎng)吧等。

答案：B

157.人員管理主要是對人員的錄用、人員的離崗、（）、安全意識教育和培訓(xùn)、

第三方人員訪問管理5個方面

A、人員教育

B、人員裁減

C、人員考核

D、人員審核

答案：A

158.基于主體在系統(tǒng)中承擔(dān)的角色進(jìn)行的訪問控制是（）

A、基于身份的訪問控制

B、基于權(quán)限的訪問控制

C、基于角色的訪問控制

D、基于用戶的訪問控制

答案：C

159.信息安全管理體系（ISMS）是一個怎樣的體系，以下描述不正確的是（）

AxISMS是一個遵循PDCA模式的動態(tài)發(fā)展的體系

B、ISMS是一個文件化、系統(tǒng)化的體系

CvISMS采取的各項風(fēng)險控制措施應(yīng)該根據(jù)風(fēng)險評估等途徑得出的需求而定

D、ISMS應(yīng)該是一步到位的，應(yīng)該解決所有的信息安全問題

答案：D

160.在WEB應(yīng)用攻擊中，對客戶端進(jìn)行攻擊的手段是?

A、暴力破解

B、越權(quán)訪問（邏輯漏洞）

C、SQL注入攻擊

D、跨站腳本攻擊

答案：D

161.laas是一下哪個選項的簡稱？

A、基礎(chǔ)設(shè)施即服務(wù)

B、軟件即服務(wù)

C、硬件即服務(wù)

D、平臺即服務(wù)

答案：A

162.在WEB應(yīng)用攻擊中，對客戶端進(jìn)行攻擊的手段是（）

A、暴力破解

B、越權(quán)訪問（邏輯漏洞）

C、SQL注入攻擊

D、跨站腳本攻擊

答案：D

163.在提高阿帕奇系統(tǒng)（ApacheHTTPServer）系統(tǒng)安全性時,下面哪項措施不屬于

安全配置內(nèi)容（）?

A、不在Windows下安裝Apache,只在Linux和Unix下安裝

B、安裝Apache時，只安裝需要的組件模塊

C、不使用操作系統(tǒng)管理員用戶身份運行Apache,而是采用權(quán)限受限的專用用戶

賬號來運行

D、積極了解Apache的安全通告,并及時下載和更新

答案：A

164.非對稱密碼算法中，（）只有通信一方知道

A、私鑰

B、公鑰

C、密鑰

D、加解密算法

答案：A

165.系統(tǒng)要防止將用戶輸入未經(jīng)檢查就用于構(gòu)造文件路徑，防止（）攻擊。

A、web遍歷

B、深度遍歷

C、路徑遍歷

D、廣度遍歷

答案：C

166.以下哪一個是ITU的數(shù)字證書標(biāo)準(zhǔn)

A、SSL

B、SHTTP

C、x.509

D、SOCKS

答案：A

167.業(yè)務(wù)連續(xù)性管理框架中，（）是指了解組織的產(chǎn)品和服務(wù)，識別關(guān)鍵活動，

搞清楚其供應(yīng)鏈上的依賴關(guān)系。

A、BCM管理程序

B、理解組織

C、演練、維護(hù)和評審

D、開發(fā)并實施BCM響應(yīng)

答案：B

168.Burpsuite是常見的WEB安全測試工具，以下關(guān)于Burpsuite模塊說法錯誤

的是

A、Burpsuite的Proxy模塊本質(zhì)是HTTP/HTTPS代理服務(wù)器

B\Burpsuite的Decoder模塊是是一個進(jìn)行手動執(zhí)行或解壓文件的工具。

GBurpsuite的Intruder模塊是一個定制的高度可配置的工具,對web應(yīng)用程

序進(jìn)行自動化攻擊，如：枚舉標(biāo)識符，收集有用的數(shù)據(jù)，以及使用千uzzing技術(shù)

探測常規(guī)漏洞

D\Burpsuite的Repeater模塊是一^靠手動操作來補發(fā)單獨的HTTP請求，并

分析應(yīng)用程序響應(yīng)的工具

答案：B

169.下列對跨站腳本攻擊（XSS）描述正確的是

A、XSS攻擊是指惡意攻擊者往web頁面里面插入惡意代碼，當(dāng)用戶瀏覽該頁之

時，嵌入其中Web里面的代碼會被執(zhí)行，從而達(dá)到惡意攻擊用戶的特殊目的

B、XSS攻擊是DD0S攻擊的一種變種

C、XSS攻擊就是CC攻擊

D、XSS攻擊就是利用被控制的機器不斷地向被攻擊網(wǎng)站發(fā)送訪問請求，迫使II

s連接數(shù)超出限制，當(dāng)CPU資源或者帶寬資源耗盡，那么網(wǎng)站也就被攻擊垮了，

從而達(dá)到攻擊目的

答案：A

170.關(guān)于netsh的描述，錯誤的是

A、netsh是windows自帶的工具

B\netsh可以用于端口轉(zhuǎn)發(fā)

Gnetshnetsh在轉(zhuǎn)發(fā)端口到本地時,可以不指定Iistenport

D\netsh在轉(zhuǎn)發(fā)端口到本地時，可以不指定Iistenaddress

答案：C

171.某單位計劃在今年開發(fā)一套辦公自動化(0A)系統(tǒng)，將集團公司各地的機構(gòu)通

過互聯(lián)網(wǎng)進(jìn)行協(xié)同辦公,在0A系統(tǒng)的設(shè)計方案評審會上，提出了不少安全開發(fā)的

建議，作為安全專家,請指出大家提出的建議中不太合適的一條？

A、對軟件開發(fā)商提出安全相關(guān)要求,確保軟件開發(fā)商對安全足夠的重視，投入資

源解決軟件安全問題

B、要求軟件開發(fā)人員進(jìn)行安全開發(fā)培訓(xùn)，使開發(fā)人員掌握基本軟件安全開發(fā)知識

C、要求軟件開發(fā)商使用Java而不是ASP作為開發(fā)語言,避免產(chǎn)生SQL注入漏洞

D、要求軟件開發(fā)商對軟件進(jìn)行模塊化設(shè)計,各模塊明確輸入和輸出數(shù)據(jù)格式,并

在使用前對輸入數(shù)據(jù)進(jìn)行校驗

答案：C

172.http協(xié)議的中文翻譯是()

A、超文本傳輸協(xié)議

B、超文本telnet協(xié)議

C、高級文本傳輸協(xié)議

D、高級文本telnet協(xié)議

答案：A

173.在項目開發(fā)中，會經(jīng)常遇到不同的編碼方式。不管什么編碼，都是信息在計

算機中的一種表現(xiàn)，理解常見的編碼方式，有助于我們避免出現(xiàn)亂碼等現(xiàn)象。那

下列對于各種編碼的敘述有誤的是

A、ASCII（AmericanStandardCodeforInformationInterchange,美國信息交換標(biāo)

準(zhǔn)代碼）是基于拉丁字母的一套電腦編碼系統(tǒng)。它主要用于顯示現(xiàn)代英語，而其

擴展版本EASCII則可以部分支持其他西歐語言，并等同于國際標(biāo)準(zhǔn)IS0/IEC646。

B、GB2312或GB2312-80是中華人民共和國國家標(biāo)準(zhǔn)簡體中文字符集，全稱《信

息交換用漢字編碼字符集?基本集》，又稱GB0,由中國國家標(biāo)準(zhǔn)總局發(fā)布，19

81年5月1日實施。GB2312編碼通行于中國大陸；新加坡等地也采用此編碼。

中國大陸幾乎所有的中文系統(tǒng)和國際化的軟件都支持GB2312

C、漢字內(nèi)碼擴展規(guī)范，稱GBK,全名為《漢字內(nèi)碼擴展規(guī)范（GBK）》1.0版，GB

K對GB2312-80進(jìn)行擴展，總計擁有23940個碼位，共收入21886個漢字和圖形

符號，其中漢字（包括部首和構(gòu)件）21003個，圖形符號883個。

D、Unicode（中文：萬國碼.國際碼.統(tǒng)一碼.單一碼）是我國計算機科學(xué)領(lǐng)域里

的一項業(yè)界標(biāo)準(zhǔn)。它對世界上大部分的文字系統(tǒng)進(jìn)行了整理.編碼，使得電腦可

以用更為簡單的方式來呈現(xiàn)和處理文字。

答案：D

174.對某asp網(wǎng)站，我們采用經(jīng)典的1=1,1=2測試法，測試發(fā)現(xiàn)1=1時網(wǎng)頁顯

示正常，1=2時報錯，則下列說法錯誤的是

A、該網(wǎng)站可能存在漏洞

B、該網(wǎng)站不可以進(jìn)行SQL注入攻擊

C、攻擊者可以根據(jù)報錯信息獲得的信息，從而進(jìn)一步實施攻擊

D、如果在網(wǎng)站前布署一臺H3c的IPS設(shè)備，那么1=1,1=2測試時，URL請求將

會被IPS設(shè)備阻斷，攻擊者得不到任何有效信息。

答案：B

175.()標(biāo)準(zhǔn)是信息系統(tǒng)安全建設(shè)整改的基本目標(biāo)

A、GB/T25058-2010《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實施指南》

B、GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》

C、GB/T22240—2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》

D、GB/T25070-2010《信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》

答案：B

176.反向連接后門和普通后門的區(qū)別是？

A、主動連接控制端、防火墻配置不嚴(yán)格時可以穿透防火墻

B、只能由控制端主動連接，所以防止外部連入即可

C、這種后門無法清除

D、根本沒有區(qū)別

答案：A

177.計算機信息網(wǎng)絡(luò)直接進(jìn)行國際聯(lián)網(wǎng)，必須使用()提供的國際出入口信道。

A、郵電部國家公用電信網(wǎng)

B\國豕網(wǎng)信部

C、中國電信部門

D、外交部

答案：A

178.審核責(zé)任人的審核內(nèi)容不包括

A、賬號責(zé)任人崗位職責(zé)

B、賬號申請審批情況

C、權(quán)限變更等流程執(zhí)行情況

D、口令修改執(zhí)行情況

答案：A

179.某集團公司根據(jù)業(yè)務(wù)需要，在各地分支機構(gòu)部署前置機，為了保證安全，集

團總部要求前置機開放日志共享，由總部服務(wù)器采集進(jìn)行集中分析，在運行過程

中發(fā)現(xiàn)攻擊者也可通過共享從前置機中提取日志，從而導(dǎo)致部分敏感信息泄露，

根據(jù)降低攻擊面的原則，應(yīng)采取以下哪項處理措施？

A、由于共享導(dǎo)致了安全問題，應(yīng)直接關(guān)閉日志共享，禁止總部提取日志進(jìn)行分

析

B、為配合總部的安全策略，會帶來一定的安全問題，但不影響系統(tǒng)使用，因此

接受此風(fēng)險

C、日志的存在就是安全風(fēng)險，最好的辦法就是取消日志，通過設(shè)置讓前置機不

記錄日志

D、只允許特定的IP地址從前置機提取日志，對日志共享設(shè)置訪問密碼且限定訪

問的時間

答案：D

180.以下哪些不屬于云計算安全服務(wù)體系？

A、云安全基礎(chǔ)服務(wù)

B、云安全應(yīng)用服務(wù)

C、云平臺管理

D、云基礎(chǔ)設(shè)施安全服務(wù)

答案：C

181.物聯(lián)網(wǎng)就是物物相連的網(wǎng)絡(luò)，物聯(lián)網(wǎng)的核心和基礎(chǔ)仍然是（），是在其基礎(chǔ)

上的延伸和擴展的網(wǎng)絡(luò)。

A、城域網(wǎng)

B、互聯(lián)網(wǎng)

C、局域網(wǎng)

D、內(nèi)部辦公網(wǎng)

答案：B

182.僵尸程序通過感染數(shù)以千計的主機，形成（）控制的網(wǎng)絡(luò)。

A、一對一

B、一對多

C\多對一

D\多對多

答案：B

183.以下關(guān)于中國菜刀描述錯誤的是（）

A、中國菜刀是一款是WebShelI管理工具

B、可以通過中國菜刀直接執(zhí)行系統(tǒng)命令

C、可以通過中國菜刀可以上傳或下載服務(wù)端文件

D、通過中國菜刀管理WebShelI過程中的流量都會被混淆加密

答案：D

184.用戶C打開瀏覽器,訪問受信任網(wǎng)站A,輸入用戶名和密碼請求登錄網(wǎng)站A,

在用戶信息通過驗證后，網(wǎng)站A產(chǎn)生Cookie信息并返回給瀏覽器，此時用戶登

錄網(wǎng)站A成功，可以正常發(fā)送請求到網(wǎng)站A,用戶未退出網(wǎng)站A之前，在同一瀏

覽器中，打開一個TAB頁訪問網(wǎng)站B,網(wǎng)站B接收到用戶請求后，返回一些攻擊

性代碼，并發(fā)出一個請求要求訪問第三方站點A,瀏覽器在接收到這些攻擊性代

碼后，根據(jù)網(wǎng)站B的請求，在用戶不知情的情況下攜帶Cookie信息，向網(wǎng)站A

發(fā)出請求。網(wǎng)站A并不知道該請求其實是由B發(fā)起的，所以會根據(jù)用戶C的C。。

kie信息以C的權(quán)限處理該請求，導(dǎo)致來自網(wǎng)站B的惡意代碼被執(zhí)行。以上過程

是下面哪一種攻擊

A、CSRF

B、SSRF

C、XXE

D、XSS

答案：A

185.網(wǎng)絡(luò)運營者收集、使用個人信息，應(yīng)當(dāng)遵循的原則不包括（）。

A、合法

B、正當(dāng)

C、隱敝

D、必要

答案：C

186.以下哪一項是DOS攻擊的一個實例（）

A、SQL注入

B、IP地址欺騙

C\Smurf攻擊

D、字典破解

答案：C

187.以下哪個是ARP欺騙攻擊可能導(dǎo)致的后果？

A、ARP欺騙可直接獲得目標(biāo)主機的控制權(quán)

B、ARP欺騙可導(dǎo)致目標(biāo)主機的系統(tǒng)崩潰，藍(lán)屏重啟

C、ARP欺騙可導(dǎo)致目標(biāo)主機無法訪問網(wǎng)絡(luò)

D、ARP欺騙可導(dǎo)致目標(biāo)主機死機

答案：C

188.DoS攻擊是一種對網(wǎng)絡(luò)危害巨大的惡意攻擊，其中，具有代表性的攻擊手段

不包括（）

A、SYN洪泛

B、ICMP洪泛

C、UDP洪泛

D、Apache洪泛

答案：D

189.當(dāng)組織將客戶信用審查系統(tǒng)外包給第三方服務(wù)提供商時，下列哪一項是信息

安全專業(yè)人士最重要的考慮因素？該提供商：（）

A、滿足并超過行業(yè)安全標(biāo)準(zhǔn)

B、同意可以接受外部安全審查

C、其服務(wù)和經(jīng)驗有很好的市場聲譽

D、符合組織的安全策略

答案：D

190.如下圖所示,Alice用Bob的密鑰加密明文,將密文發(fā)送給Bob。Bob再用自

己的私鑰解密，恢復(fù)出明文。以下說法正確的是：

A、此密碼體制為對稱密碼體制

B、此密碼體制為私鑰密碼體制

C、此密碼體制為單鑰密碼體制

D、此密碼體制為公鑰密碼體制

答案：D

191.漏洞的存在通常和站點的功能掛鉤，一個網(wǎng)站什么功能有可能存在文件下載

漏洞（）

A、下載附件

B、上傳頭像

C、修改資料

D、注冊

答案：A

192.等級保護(hù)分級要求，第三級適用正確的是

A、適用于一般的信息和信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織

的權(quán)益有一定影響，但不危害國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益

B、適用于一定程度上涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的一般信

息和信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益

造成一定損害

C、適用于涉及國家安全社會秩序、經(jīng)濟建設(shè)和公共利益的信息和信息系統(tǒng)，其

受到破壞后，對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成較大損害

D、適用于涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的重要信息和信息系

統(tǒng)的核心子系統(tǒng)，其受到破壞后，會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利

益造成特別嚴(yán)重?fù)p害

答案：B

193.決定在哪些情況下、由什么主體發(fā)起、什么類型的訪問是被允許的是（）

A、網(wǎng)絡(luò)防御技術(shù)

B、訪問控制策略

C、防火墻技術(shù)

D、網(wǎng)絡(luò)攻擊

答案：B

194.下列哪種方法不能檢查出電腦被裝了木馬（）

A、檢查網(wǎng)線連接情況

B、查看目前運行的服務(wù)

C、檢查系統(tǒng)啟動項

D、檢查系統(tǒng)帳戶

答案：A

195.為了保證系統(tǒng)日志可靠有效，以下哪一項不是日志必需具備的特征。

A、統(tǒng)一而精確地的時間

B、全面覆蓋系統(tǒng)資產(chǎn)

C、包括訪問源、訪問目標(biāo)和訪問活動等重要信息

D、可以讓系統(tǒng)的所有用戶方便的讀取

答案：D

196.業(yè)務(wù)連續(xù)性管理框架中，確定BCM戰(zhàn)略不包括以下哪個內(nèi)容（）。

A、事件的應(yīng)急處理計劃

B、連續(xù)性計劃

C、識別關(guān)鍵活動

D、災(zāi)難恢復(fù)計劃

答案：C

197.metasploit是一款開源的滲透測試框架平臺，它的模塊開發(fā)語言為（）

A、python

B、java

C、C

D、ruby

答案：D

198.SQL注入漏洞是在互聯(lián)網(wǎng)上非常常見的漏洞之一，以下哪個不是基本SQL注

入類型

A、越界型

B、字符型

C、數(shù)字型

D、搜索型

答案：A

199.安全日志：包括系統(tǒng)自身帳號管理，認(rèn)證，授權(quán)及遠(yuǎn)程接入客戶端登錄、（）

日志；

A、禺線

B、下線

G非法下載

D、登出

答案：D

200.以下不屬于郵件服務(wù)器的安全管理的是（）。

A、SMTP身份認(rèn)證

B、病毒過濾

C、安全審計

D、DNS測試

答案：D

201.《可信計算機系統(tǒng)評估準(zhǔn)則》TCSEC將安全級別由高到低分為（）個等級

A、四

B、五

C、六

D、七

答案：D

202.風(fēng)險評估要素關(guān)系模型中，業(yè)務(wù)戰(zhàn)略依賴于0去完成

A、風(fēng)險

B、殘余風(fēng)險

C、脆弱性

D、資產(chǎn)

答案：D

203.跨站腳本攻擊通常指的是通過利用網(wǎng)頁開發(fā)時留下的漏洞，通過巧妙的方法

注入惡意指令代碼到網(wǎng)頁，使用戶加載并執(zhí)行攻擊者惡意制造的網(wǎng)頁程序。關(guān)于

預(yù)防跨站腳本攻擊的常見方法，不合理的做法是

A、禁用JavaScript功能。

B、過濾客戶端提交參數(shù)。

C、過濾輸出的內(nèi)容，對輸出的內(nèi)容進(jìn)行編碼。

D、使用WEB應(yīng)用防火墻

答案：A

204.在計算機中心，下列哪一項是磁介質(zhì)上信息擦除的最徹底形式()

A、清除

B、凈化

G刪除

D、破壞

答案：D

205.下列選項屬于安全保密管理員的主要職責(zé)的是()

A、協(xié)助有關(guān)部門對網(wǎng)絡(luò)失泄密事件進(jìn)行調(diào)查與技術(shù)分析

B、對進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督

C、保障計算機網(wǎng)絡(luò)設(shè)備、信息系統(tǒng)和配套的設(shè)施的安全，保障運行環(huán)境的安全

D、按操作員證書號、操作時間、操作類型、事件類型等進(jìn)行審計

答案：A

206.信息安全管理體系(InformationSecurityManagementSystem,ISMS)的內(nèi)

部審核和管理審核是兩項重要的管理活動。關(guān)于這兩者，下面描述錯誤的是()

A、內(nèi)部審核和管理審評都很重要，都是促進(jìn)ISMS持續(xù)改進(jìn)的重要動力，也都應(yīng)

當(dāng)按照一定的周期實施

B、內(nèi)部審核的實施方式多采用文件審核和現(xiàn)場審核的形式，而管理評審的實施