2021年全国大学生网络安全知识竞赛题库及答案(共80题)
2021年全国大学生网络安全知识竞赛题库及答案(共70题)
2021年全国大学生网络安全知识竞赛题库及答案(共70题)2•以下哪一种人给公司带来了最大的安全风险?2.SSL 提供哪些协议上的数据安全:3•在Windows2000中可以察看开放端口情况的是: A. nbtstat B. netC. n etshowD. netstat 4•以下哪些属于《网络安全法》的基本原则()A. 临时工B. 咨询人员C. 以前的员工D. 当前的员工A. HTTP, FTP 和 TCP/IPB. SKIP, SNMP 和 IPC. UDP, VPN 和 SONETD. PPTPt DMI 和 RC4A、随意使用原则共同治理原则C.网络安全与信息化发展并重原则D.网络空间主权原则5•通过互联网站.应用程序、论坛、博客、微博客.公众账号、即时通信工具、网络直播等形式向社会公众提供互联网新闻信息服务包拾互联网新闻信息()A、公共服务采编发布服务C、转载服务D、传播平台服务6•在使用网络中,错误的行为是()。
A.把网络作为生活的全部B、善于运用网络帮助学习和工作,学会抵御网络上的不良诱惑C、利用网络技术窃取别人的信息。
D.沉迷网络游戏7•计算机病毒会对下列计算机服务造成威胁,除了:A.完整性B・有效性C・保密性D可用性8•以下哪一项计算机安全程序的组成部分是其它组成部分的基础?A.制度和措施B.漏洞分析C意外事故处理计划D.采购计划9•描述系统可靠性的主要参数是:A.平均修复时间和平均故障间隔时间B.冗余的计算机硬件C备份设施D.应急计划W.对不同的身份鉴别方法所提供的防止重用攻击的功效,按照从大到小的顺序,以下排列正确的是:A.仅有密码,密码及个人标识号(PIN), 口令响应,一次性密码B.密码及个人标识号(PIN), 口令响应,一次性密码,仅有密码C.口令响应,一次性密码,密码及个人标识号(PIN),仅有密码D.口令响应,密码及个人标识号(PIN), —次性密码,仅有密码•以下人员中,谁负有决定信息分类级别的责任?A.用户B.数据所有者C 审计员D.安全官12•当为计算机资产定义保险覆盖率时,下列哪一项应该特别考虑?A. 已买的软件B. 定做的软件C. 硬件D.13•以下哪一项安全目标在当前计算机系统安全建设中是最重要的?A.目标应该具体B.目标应该清晰C.目标应该是可实现的D.目标应该进行良好的定义14•哪一项描述了使用信息鉴权码(MAC)和数字签名之间的区别?A.数字签名通过使用对称密钥提供系统身份鉴别。
2021年度全国大学生网络安全知识竞赛题库及答案(四)
2021年全国大学生网络安全知识竞赛题库及答案(四)一、单选题1.Apache的配置文件中,哪个字段定义了Apache产生的错误日志的路径?A.BadLogB.ErrLogC.ErrorLogD.WarnLog2.网络运营者应当为()、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
A.检察院B.网信部门C.工信部门D.公安机关3.默认安装完成IIS后,其默认站点指向的目录是()A.C:\Inetpub\wwwB.C:\wwwC.C:\wwwrootD.C:\inetput\wwwroot4.将某个网站进行推广的方法不包括()A.更新网页B.建立友情链接C.搜索引擎D.论坛5.在MPLSL3VPN当中通过LDP协议来分发标签,LDP分发的是()标签?A.公网标签B.私网标签C.公网和私网标签D.LDP分发除公网和私网以外的标签6.对用户开设公众账号的,互联网新闻信息服务提供者不需审核其哪些信息?A.身份住址B.账号信息C.服务资质D.服务范围7.()是最常用的一类访问控制机制,用来决定一个用户是否有权访问一些特定客体的一种访问约束机制。
A.强制访问控制B.访问控制列表C.自主访问控制D.访问控制矩阵8.互联网直播服务提供者和互联网直播发布者未经许可或者超出许可范围提供互联网新闻信息服务的,由国家和省、自治区、直辖市互联网信息办公室依据()予以处罚A.《互联网新闻信息服务管理规定》B.《中华人民共和国网络安全法》C.《互联网信息服务管理办法》D.《中华人民共和国突发事件应对法》9.以下关于SNMPv1和SNMPv2的安全性问题说法正确的是()A.SNMPv1不能阻止未授权方伪装管理器执行Get和Set操作B.SNMPv1能提供有效的方法阻止第三者观察管理器和代理程序间的消息交换C.SNMPv2解决不了篡改消息内容的安全性问题D.SNMPv2解决不了伪装的安全性问题10.未经许可或超越许可范围开展互联网新闻信息服务活动的,由国家和省、自治区、直辖市互联网信息办公室依据职责责令停止相关服务活动,处多少罚款?A.一万元以下B.一万元以上三万元以下C.三万元以上五万元以下D.五万元以上11.以下哪类网络攻击不属于DoS攻击()A.IPSpoofing攻击B.SYNFlood攻击C.ICMPFlood攻击D.TearDrop攻击12.建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设和A.同步发展B.同步实施C.同步投运D.同步使用13.攻击者可能利用不必要的extproc外部程序调用功能获取对系统的控制权,危胁系统安全。
2021年大学生网络安全知识竞赛必考题库及答案(共80题)
2021年大学生网络安全知识竞赛题库及答案(共80题)1在Hp-ux中,对于系统服务,下面说法正确的是:(B)inetd/xinetd是以一种守护进程的方式来加载一些系统服务从安全的角度考虑,尽量用ssh服务替代ftp和telnet服务通过ch_rc命令修改系统的配置文件,可以关闭不需要的系统服务。
基于RPC的系统服务(比如:NFS)安全隐患很多,应该尽量关闭相关的服务2在unix系统中,以下哪条命令可以查找系统中同时设置SUID和SGID的文件(A)find / -perm -4000 –lsfind / -perm -2000 –lsfind / -perm -6000 -lsfind / -user root3 linux系统中,在使用手工的方法配置网络时,可通过修改哪个文件来改变主机名?(B)/etc/sysconfig/xinetd/etc/resolv.conf/etc/sysconfig/init/etc/sysconfig/network4在以太网上,何时会发生冲突?(D)当一台主机未通知其他主机就向外发包时在传输过程中出现错误时当多台主机向一个不存在的地址发包时当两台主机同时向外发包时5 TCP/IP的第四层有两个协议,分别是TCP和UDP,TCP协议的特点是什么?UDP协议的特点是什么?____A__TCP提供面向连接的路服务,UDP提供无连接的数据报服务TCP提供面向连接的路服务,UDP提供有连接的数据报服务UDP提供面向连接的路服务,TCP提供有连接的数据报服务UDP提供面向连接的路服务,TCP提供无连接的数据报服务6关于apache的日志功能,下面说法正确的是(D)。
apache系统可以记录两类日志,一种为错误日志,一种为访问日志apache的错误日志,记录的是客户端访问服务器时时产生的错误信息apache访问日志的日志格式是不可以定制的以上说法均不正确7若需要修改TOMCAT的监听端口,应修改哪个配置文件?(B)tomcat.xmlserver.xmlweb.xmltomcat-users.xml8下面是远程破解Oracle账户的方法,选择一个错误的?(C)选择远程破解Oracle 的最好帐户是SYS,因为此帐户永远有效用Orabrute 工具来进行远程破解需要依赖SQLplus进行登录验证用户的密码以明文方式保存在ER$表中Oracle10g默认可通过WEB的8080 端口来远程管理数据库9、SQL Server服务有一个启动帐号,默认帐号是属于administrators组,现在为了安全需要创建一个新的服务启动帐号,它需要哪些权限既能兼顾安全又能保证启动数据库成功,请排除一个错误的?(D)数据库本地目录的读写权限;启动本地服务的权限;读取注册表的权限;通过API访问Windows Resource。
2021年度全国大学生网络安全知识竞赛题库及答案(共70题)
2021年全国大学生网络安全知识竞赛题库及答案(共70题)1.“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:()A. “普密”、“商密”两个级别B. “低级”和“高级”两个级别C. “绝密”、“机密”、“秘密”三个级别D. “一密”、“二密”、“三密”、“四密”四个级别2.应用软件测试的正确顺序是:A. 集成测试、单元测试、系统测试、验收测试B. 单元测试、系统测试、集成测试、验收测试C. 验收测试、单元测试、集成测试、系统测试D. 单元测试、集成测试、系统测试、验收测试3.多层的楼房中,最适合做数据中心的位置是:A. 一楼B. 地下室C. 顶楼D. 除以上外的任何楼层4.随着全球信息化的发展,信息安全成了网络时代的热点,为了保证我国信息产业的发展与安全,必须加强对信息安全产品、系统、服务的测评认证,中国信息安全产品测评认证中心正是由国家授权从事测评认证的国家级测评认证实体机构,以下对其测评认证工作的错误认识是:A. 测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估,认证一系列环节。
B. 认证公告将在一些媒体上定期发布,只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。
C. 对信息安全产品的测评认证制度是我国按照WTO规则建立的技术壁垒的管理体制。
D. 通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。
5.计算机安全事故发生时,下列哪些人不被通知或者最后才被通知:A. 系统管理员B. 律师C. 恢复协调员D. 硬件和软件厂商6.下面的哪种组合都属于多边安全模型?A. TCSEC和Bell-LaPadulaB. ChineseWall和BMAC. TCSEC和Clark-WilsonD. ChineseWall和Biba7.下面哪种方法可以替代电子银行中的个人标识号(PINs)的作用?A. 虹膜检测技术B. 语音标识技术C. 笔迹标识技术D. 指纹标识技术8.拒绝服务攻击损害了信息系统的哪一项性能?A. 完整性B. 可用性C. 保密性D. 可靠性9.ORACLE的数据库监听器(LISTENER)的默认通讯端口是?•TCP1521•TCP1025•TCP1251•TCP143310.UNIX系统的目录结构是一种()结构•树状•环状•星状•线状11.在IIS中,造成任意用户可使用HTTPPUT方法上传恶意程序到WEB 目录的原因是()WEB程序目录对users组用户具有可写权限,且安装了FrontPage扩展WEB程序目录对users组用户具有可写权限,且在IIS上设置了写入WEB程序目录对users组用户具有可写权限,且在IIS上设置了目录洒在浏览WEB程序目录对users组用户具有可写权限,且在IIS上设置了脚本资源访问12.某公司的Windows网络准备采用严格的验证方式,基本的要求是支持双向身份认证,应该建议该公司采用哪一种认证方式NTLMNTLMv2KerberosLanManager13.如果不设置必要的日志审核,就无法追踪回溯安全事件。
2021年度全国大学生网络安全知识竞赛题库及答案(共50题)
2021年全国大学生网络安全知识竞赛题库及答案(共50题)1.“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:()A. “普密”、“商密”两个级别B. “低级”和“高级”两个级别C. “绝密”、“机密”、“秘密”三个级别D. “一密”、“二密”、“三密”、“四密”四个级别2.应用软件测试的正确顺序是:A. 集成测试、单元测试、系统测试、验收测试B. 单元测试、系统测试、集成测试、验收测试C. 验收测试、单元测试、集成测试、系统测试D. 单元测试、集成测试、系统测试、验收测试3.多层的楼房中,最适合做数据中心的位置是:A. 一楼B. 地下室C. 顶楼D. 除以上外的任何楼层4.随着全球信息化的发展,信息安全成了网络时代的热点,为了保证我国信息产业的发展与安全,必须加强对信息安全产品、系统、服务的测评认证,中国信息安全产品测评认证中心正是由国家授权从事测评认证的国家级测评认证实体机构,以下对其测评认证工作的错误认识是:A. 测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估,认证一系列环节。
B. 认证公告将在一些媒体上定期发布,只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。
C. 对信息安全产品的测评认证制度是我国按照WTO规则建立的技术壁垒的管理体制。
D. 通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。
5.计算机安全事故发生时,下列哪些人不被通知或者最后才被通知:A. 系统管理员B. 律师C. 恢复协调员D. 硬件和软件厂商6.下面的哪种组合都属于多边安全模型?A. TCSEC和Bell-LaPadulaB. ChineseWall和BMAC. TCSEC和Clark-WilsonD. ChineseWall和Biba7.下面哪种方法可以替代电子银行中的个人标识号(PINs)的作用?A. 虹膜检测技术B. 语音标识技术C. 笔迹标识技术D. 指纹标识技术8.拒绝服务攻击损害了信息系统的哪一项性能?A. 完整性B. 可用性C. 保密性D. 可靠性9.ORACLE的数据库监听器(LISTENER)的默认通讯端口是?•TCP1521•TCP1025•TCP1251•TCP143310.UNIX系统的目录结构是一种()结构•树状•环状•星状•线状11.以下关于混合加密方式说法正确的是•采用公开密钥体制进行通信过程中的加解密处理•采用公开密钥体制对对称密钥体制的密钥进行加密后的通信•采用对称密钥体制对对称密钥体制的密钥进行加密后的通信•采用混合加密方式,利用了对称密钥体制的密钥容易管理和非对称密钥体制的加解密处理速度快的双重优点12.信息安全风险缺口是指•IT的发展与安全投入,安全意识和安全手段的不平衡•信息化中,信息不足产生的漏洞•计算机网络运行,维护的漏洞•计算中心的火灾隐患13.下面哪部分不属于入侵的过程?•数据采集•数据存储•数据检测•数据分析14.如何配置,使得用户从服务器A访问服务器B而无需输入密码()•利用NIS同步用户的用户名和密码•在两台服务器上创建并配置/.rhosts文件•在两台服务器上创建并配置$HOME/.netrc文件•在两台服务器上创建并配置/etc/hosts.equiv文件15.Kerberos算法是一个•面向访问的保护系统•面向票据的保护系统•面向列表的保护系统•面向门与锁的保护系统16.蠕虫的目标选择算法有()•随机性扫描•基于目标列表的扫描•顺序扫描•以上均是17.以下哪个工具通常是系统自带任务管理器的替代()•Regmon•Filemon•Autoruns•Processexplorer中的评估保证级(EAL)分为多少级?A. 6级B. 7级C. 5级D. 4级19.覆盖和消磁不用在对以下哪一种计算机存储器或存储媒介进行清空的过程?A. 随机访问存储器(RAM)B. 只读存储器(ROM)C. 磁性核心存储器D. 磁性硬盘20.信息系统安全主要从几个方面进行评估?A. 1个(技术)B. 2个(技术、管理)C. 3个(技术、管理、工程)D. 4个(技术、管理、工程、应用)21.下面哪一种攻击方式最常用于破解口令哄骗(spoofing)字典攻击(dictionaryattack)拒绝服务(DoS)WinNuke22.WindowsNT和Windows2000系统能设置为在几次无效登录后锁定帐号,这可以防止:木马暴力攻击IP欺骗缓存溢出攻击23.防病毒软件代码要定期更新,要求每_____周进行一次病毒代码库的更新工作,_____个月进行一次主控代码的更新工作。
2021全国大学生网络安全知识竞赛题库及答案
2021全国大学生网络安全知识竞赛题库及答案(仅供参考)选择题:1、国际电信联盟将每年的5月17日确立为世界电信日,第38届世界电信日的主题为。
A、“让全球网络更安全”2、信息产业部将以世界电信日主题纪念活动为契机,广泛进行宣传和引导,进一步增强电信行业和全社会的意识。
B、网络与信息安全3、为了进一步净化网络环境,倡导网络文明,信息产业部于2006年2月21日启动了持续到年底的系列活动。
A、阳光绿色网络工程4、“阳光绿色网络工程”的“阳光”寓意着光明和普惠万事万物,并要涤荡网络上的污浊;“绿色”代表要面向未来构建充满生机的和谐网络环境;“网络”代表活动的主要内容以网络信息服务为主;“工程”代表活动的系统性和长期性。
系列活动的副主题为:倡导网络文明,。
A、构建和谐环境5、为了规范互联网电子邮件服务,依法治理垃圾电子邮件问题,保障互联网电子邮件用户的合法权益,信息产业部于2006年2月20日颁布了,自2006年3月30日开始施行。
B、《互联网电子邮件服务管理办法》6、为了防范垃圾电子邮件,互联网电子邮件服务提供者应当按照信息产业部制定的技术标准建设互联网电子邮件服务系统,电子邮件服务器匿名转发功能。
C、关闭7、互联网电子邮件服务提供者对用户的和互联网电子邮件地址负有保密的义务。
A、个人注册信息8、向他人发送包含商业广告内容的互联网电子邮件时,应当在电子邮件标题的前部注明字样。
C、“广告”或“AD”9、任何组织或个人不得利用互联网电子邮件从事传播淫秽色情信息、窃取他人信息或者等违法犯罪活动,否则构成犯罪的,依法追究刑事责任,尚不构成犯罪的,由公安机关等依照有关法律、行政法规的规定予以处罚;电信业务提供者从事上述活动的,并由电信管理机构依据有关行政法规处罚。
A、故意传播计算机病毒10、为了鼓励用户对违规电子邮件发送行为进行举报,发动全社会的监督作用,信息产业部委托中国互联网协会设立了互联网电子邮件举报受理中心,其举报电话是010-12321,举报电子邮箱地址为。
2021年大学生网络安全知识竞赛题库及答案(共50题)
2021年大学生网络安全知识竞赛题库及答案(共50题)1.反向连接后门和普通后门的区别是?A、主动连接控制端、防火墙配置不严格时可以穿透防火墙B、只能由控制端主动连接,所以防止外部连入即可C、这种后门无法清除D、根本没有区别A2.使用TCP79端口的服务是?A、telnetB、SSHC、WEBD、FingerD3.客户使用哪种协议收取自己的电子邮件?A、SMTPB、POP3C、FTPD、HTTPB4.针对DNS服务器发起的查询DoS攻击,属于下列哪种攻击类型?A、synfloodB、ackfloodC、udpfloodD、ConnectionfloodC5.BOTNET是?A、普通病B、木马程序C、僵尸网络D、蠕虫病毒C6.SYNFlooding攻击的原理是什么?A、有些操作系统协议栈在处理TCP连接时,其缓存区有限的空间不能装载过多的连接请求,导致系统拒绝服务B、有些操作系统在实现TCP/IP协议栈时,不能很好地处理TCP报文的序列号紊乱问题,导致系统崩溃C、有些操作系统在实现TCP/IP协议栈时,不能很好地处理IP分片包的重叠情况,导致系统崩溃D、有些操作系统协议栈在处理IP分片时,对于重组后超大的IP数据包不能很好得处理,导致缓存溢出而系统崩溃A7.在solaris8下,对于/etc/shadow文件中的一行内容如下root:3vd4NTwk5UnLC:9038::::::以下说法正确的是:A.这里的3vd4NTwk5UnLC是可逆的加密后的密码.B.这里的9038是指从1970年1月1日到现在的天数C.这里的9038是指从1980年1月1日到现在的天数D.这里的9038是指从1980年1月1日到最后一次修改密码的天数E.以上都不正确E8.将日志从路由器导向服务器的命令是:A.LoggingonB.Loggingbuffer<size>C.Loggingbuffer1D.Logging1.1.1.2D9.在cisco设备中,通过什么服务可以用来发现网络中的相邻设备:A.SNMPB.CDPC.HTTPD.FINGER10.下列哪些属于web脚本程序编写不当造成的A、IIS5.0Webdavntdll.dll远程缓冲区溢出漏洞B、apache可以通过../../../../../../../etc/passwd访问系统文件C、可以用password=’a’or‘a’=’a’绕过验证C11.关闭cisco网络设备的echo服务,应该使用哪个命令:A.noservicetcp-small-serversB.noiptcp-small-serversC.noservicetcp-small-servicesD.notcp-small-serversA12.在cisco网络设备中,以下对于访问控制列表应用的顺序,说法错误的是:A.从控制列表的第一条顺序查找,直到遇到匹配的规则B.默认有deny的规则C.细致的规则匹配优先于概括的规则匹配,比如192.168.10.0/24的匹配优先于192.168.0.0/16的匹配C13.在Solaris操作系统中,不必要的服务应该关闭。
2021年度全国大学生网络安全知识竞赛题库及答案(共70题)
2021年度全国⼤学⽣⽹络安全知识竞赛题库及答案(共70题)2021年全国⼤学⽣⽹络安全知识竞赛题库及答案(共70题)1.“中华⼈民共和国保守国家秘密法”第⼆章规定了国家秘密的范围和密级,国家秘密的密级分为:()A. “普密”、“商密”两个级别B. “低级”和“⾼级”两个级别C. “绝密”、“机密”、“秘密”三个级别D. “⼀密”、“⼆密”、“三密”、“四密”四个级别2.应⽤软件测试的正确顺序是:A. 集成测试、单元测试、系统测试、验收测试B. 单元测试、系统测试、集成测试、验收测试C. 验收测试、单元测试、集成测试、系统测试D. 单元测试、集成测试、系统测试、验收测试3.多层的楼房中,最适合做数据中⼼的位置是:A. ⼀楼B. 地下室C. 顶楼D. 除以上外的任何楼层4.随着全球信息化的发展,信息安全成了⽹络时代的热点,为了保证我国信息产业的发展与安全,必须加强对信息安全产品、系统、服务的测评认证,中国信息安全产品测评认证中⼼正是由国家授权从事测评认证的国家级测评认证实体机构,以下对其测评认证⼯作的错误认识是:A. 测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估,认证⼀系列环节。
B. 认证公告将在⼀些媒体上定期发布,只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。
C. 对信息安全产品的测评认证制度是我国按照WTO规则建⽴的技术壁垒的管理体制。
D. 通过测试认证达到中⼼认证标准的安全产品或系统完全消除了安全风险。
5.计算机安全事故发⽣时,下列哪些⼈不被通知或者最后才被通知:A. 系统管理员B. 律师C. 恢复协调员D. 硬件和软件⼚商6.下⾯的哪种组合都属于多边安全模型?A. TCSEC和Bell-LaPadulaB. ChineseWall和BMAC. TCSEC和Clark-WilsonD. ChineseWall和Biba7.下⾯哪种⽅法可以替代电⼦银⾏中的个⼈标识号(PINs)的作⽤?A. 虹膜检测技术B. 语⾳标识技术C. 笔迹标识技术D. 指纹标识技术8.拒绝服务攻击损害了信息系统的哪⼀项性能?A. 完整性B. 可⽤性C. 保密性D. 可靠性9.ORACLE的数据库监听器(LISTENER)的默认通讯端⼝是?TCP1521TCP1025TCP1251TCP143310.UNIX系统的⽬录结构是⼀种()结构树状环状星状线状11.在IIS中,造成任意⽤户可使⽤HTTPPUT⽅法上传恶意程序到WEB ⽬录的原因是()WEB程序⽬录对users组⽤户具有可写权限,且安装了FrontPage扩展WEB程序⽬录对users组⽤户具有可写权限,且在IIS上设置了写⼊WEB程序⽬录对users组⽤户具有可写权限,且在IIS上设置了⽬录洒在浏览WEB程序⽬录对users组⽤户具有可写权限,且在IIS上设置了脚本资源访问12.某公司的Windows⽹络准备采⽤严格的验证⽅式,基本的要求是⽀持双向⾝份认证,应该建议该公司采⽤哪⼀种认证⽅式NTLMNTLMv2KerberosLanManager13.如果不设置必要的⽇志审核,就⽆法追踪回溯安全事件。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2021年全国大学生网络安全知识竞赛经典题库及答案(共80题)1•系统审计日志不包括以下哪一项? 时间戳用户标识对象标识处理结果2.TCP 三次握手协议的第一步是发送一个: A 、 SYN 包B 、 SCK 包C 、 UDP 包D 、 NULL 包3. 以下指标可用来决定在应用系统中采取何种控制措施,除了 A 、 系统中数据的重要性B 、 采用网络监控软件的可行性C 、 如果某具体行动或过程没有被有效控制,由此产生的风险等级D 、 每个控制技术的效率,复杂性和花费4、用户如果有熟练的技术技能且对程序有详尽的了解,就能巧妙的避 过安全性程序,对生产程序做出更改。
为防止这种可能,要增强: A 、 工作处理报告的复查B 、 生产程序于被单独控制的副本之间的比较C 、 周期性测试数据的运行D 、 恰当的责任分割5、程序安全对应用安全有很大的影响,因此安全编程的一个重要环节。
用软件工程的方法编制程序是保证安全的根木。
在程序设计阶段,推 荐使用的方法有:a 建立完整的与安全相关的程序文件A 、B 、Cb严格控制程序库—个公司经常修正其生产过程。
从而造成对处理程序可能会伴随一 些改动。
下列哪项功能可以确保这些改动的影响处理过程,保证它 们对系统的影响风险最小?安全管理变更控制问题追踪问题升级程序12. 应用软件测试的正确顺序是:A 、集成测试,单元测试,系统测试,交付测试B. 单元测试,系统测试,集成测试,交付测试C. 交付测试,单元测试,集成测试,系统测试D. 单元测试,集成测试,系统测试,交付测试13. 哪个TCP/IP 指令会得出下面结果?lnterface:199.102.30.152Inter netAddress PhysicalAddressTy pe199.10230.152 Ao-ee-oo-5b-oe-acdynamic A 、ARP B 、 Netstat C 、Tracer t D 、 Nbtsta14. 哪个TCP/IP 协议能够表明域里哪台是邮件服务器?A 、 FTPB 、 nslookupC 、 tracertD 、 Telnet 15、数据库管理系统DBMS 主要由哪两大部分组成? A 、 文件管理器和查询处理器B 、 事务处理器和存储管理器C 、 存储管理器和查询处理器D 、 文件管理器和存储管理器16.SQL 语言可以在宿主语言中使用,也可以独立地交互式使用。
A. B. C. D.A. 寄宿B. 嵌入C. 混合D. 并行17.下列为对称加密算法的例子为A. B. C. D. 18. 下而哪种不是WINDOWS2000安装后默认有的共享?A. C$B. Ipc$C. Admin $D. Systemroot $19. 在WIXDOWS2000系统中,用什么命令或工具可以看到系统上开放的 端口和进程的对应关系?A. B. C. D. 20. A. 不使用IE 浏览器,而使用OpB. 关闭IE 浏览器的自动下载功能。
C. 禁用IE 浏览器的活动脚本功能。
D. 先把网页保存到本地再浏览。
21•自主访问控制与强制访问控制相比具有以下哪一个优点? RijndaelRSADiffie-HellmanNETSTATNETUSEFPORTURLSCAX为尽量防止通过浏览网页感染恶意代码,下列做法中错误的是:A. 具有较高的安全性B. 控制粒度较大C. 配置效率不高D・具有较强的灵活性22•以下关于ChineseWall模型说法正确的是A.Bob可以读银行a的中的数据,则他不能读取银行C中的数据B.模型中的有害客体是指会产生利益冲突,不需要限制的数据CBob可以读银行a的中的数据,则他不能读取石油公司U中的数据DBob可以读银行a的中的数据,Alice可以读取银行b中的数据,他们都能读取在油公司U中的数据,由则Bob可以往石油公司U中写数23•以下关于BLP模型规则说法不正确的是:A.BLP模型主要包括简单安全规则和厂规则B.札规则可以简单表述为下写C.主体可以读客体,当且仅当主体的安全级可以支配客体的安全级, 且主体对该客体具有自主型读权限D.主体可以读客体,当且仅当客体的安全级可以支配主体的安全级, 且主体对该客体具有自主型读权限24•以下关于RBAC模型说法正确的是:A.该模型根据用户所担任的角色和安全级来决定用户在系统中的访问权限B.—个用户必须扮演并激活某种角色,才能对一个象进行访问或执行某种操作C.在该模型中,每个用户只能有一个角色D.在该模型中,权限与用户关联,用户与角色关联25•下列对常见强制访问控制模型说法不正确的是:A.BLP影响了许多其他访问控制模型的发展B.Clark-Wilson模型是一种以事物处理为基本操作的完整性模型C, ChineseWall模型是一个只考虑完整性的安全策略模型D. Biba模型是一种在数学上与BLP模型对偶的完整性保护模型26•访问控制的主要作用是:A•防止对系统资源的非授权访问B•在安全事件后追查非法访问活动C防止用户否认在信息系统中的操作D•以上都是27•作为一名信息安全专业人员,你正在为某公司设计信息资源的访问控制策略。
由于该公司的人员流动较大,你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限,最应该釆用下列哪一种访问控制模型?A.自主访问控制(DAC)B.强制访问控制(MAC)C.基于角色访问控制(RBAC)D.最小特权(LEASTPhvilege)28•下列对kerberos协议特点描述不正确的是:A•协议釆用单点登录技术,无法实现分布式网络环境下的认证一B•协议与授权机制相结合,支持双向的身份认证C•只要用户拿到了TGT并且TGT没有过期,就可以使用该TGT通过TGS完成到任一个服务器的认证而不必重新输入密码D.AS和TGS是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS和TGS的性能和安全29•以下对单点登录技术描述不正确的是:A.单点登录技术实质是安全凭证在多个用户之间的传递或共享B.使用单点登录技术用户只需在登录时进行一次注册,就可以访问多个应用C.单点登录不仅方便用户使用,而且也便于管理D.使用单点登录技术能简化应用系统的开发30•下列对标识和鉴别的作用说法不正确的是:A•它们是数据源认证的两个因素B.在审计追踪记录时,它们提供与某一活动关联的确知身份34•以下哪种无线加密标准中哪一项的安全性最弱?A.WepB. wpaC. wpa2D. wapi35•路由器的标准访问控制列表以什么作为判别条件? A.数据包的大小B•数据包的源地址C•数据包的端口号D•数据包的目的地址36•通常在设计VLAN时,以下哪一项不是VIAN规划方法?A. 基于交换机端口B. 基于网络层协议C. 基丁MAC地址D.基于数字证书37•防火墙中网络地址转换(MAT)的主要作用是:A.提供代理服务B.隐藏内部网络地址c.进行入侵检测D.防止病毒入侵3&哪一类防火墙具有根据传输信息的内容(如关键字、文件类型)来控制访问连接的能力?A.包过滤防火墙B.状态检测防火墙C.应用网关防火墙D.以上都不能39•以下哪一项不属于入侵检测系统的功能?A. 监视网络上的通信数据流B. 捕捉可疑的网络活动C. 提供安全审计报告D.过滤非法的数据包40•下面哪一项不是通用IDS模型的组成部分:A.传感器B.过滤器C.分析器D.管理器41.windows操作系统中,令人欲限制用户无效後录的次数,应当怎么做?A•在”本地安全设置”中对”密码策略”进行设置B•在”本地安全设置”中对”用户锁定策略”进行设置C•在”本地安全设置”中对”审核策略”进行设置D•在”本地安全设置”中对”用户权利措施”进行设置42•下列哪一项与数据库的安全的直接关系?A•访问控制的程度B.数据库的大小C.关系表中属性的数量D.关系表中元组的数量43.ApacheWeb服务器的配置文件一般位于//locel/speche/conf目录. 其中用来控制用户访问Apache目录的配置文件是:A.httqdxonfB.srmx onfC.access.c onfDJnetd.c onf44•关于计算机病毒具有的感染能力不止确的是:A.能将自身代码注入到引导区B•能将自身代码注入到限区中的文件镜像C•能将自身代码注入文本文件中并执行D•能将自身代码注入到文档或模板的宏中代码45•蠕虫的特性不包括:A•文件寄生B•拒绝服务C.传播快D•隐蔽性好46•关于网页中的恶意代码,下列说法错误的是:A.网页中的恶意代码只能通过IE浏览器发挥作用B•网页中的恶意代码可以修改系统注册表C•网页中的恶意代码可以修改系统文件D•网页中的恶意代码可以窃取用户的机密文件47•当用户输入的数据被一个解释器当作命令或查询语句的一部分执行时,就会产生哪种类型的漏洞?A•缓冲区溢岀B•设计错误C•信息泄露D•代码注入4&下列哪一项不是信息安全漏洞的载体?A•网络协议B•操作系统C•应用系统D•业务数据49•攻击者使用伪造的SYN包,包的源地址和目标地址都被设置成被攻击方的地址,这样被攻击方会给自己发送SYN-ACK消息并发回ACK消息,创建一个连接,每一个这样的连接都将保持到超时为止,这样过多的空连接会耗尽被攻击方的资源,导致拒绝服务•这种攻击称为之为:AXand攻击B.Smurf 攻击CPingofDeath 攻击D.ICM PFIood50•以下哪个攻击步骤是IP欺骗(IPSPoof)系列攻击中最关键和难度最高的?A•对被冒充的主机进行拒绝服务,使其无法对目标主机进行响应B.与目标主机进行会话,猜测目标主机的序号规则C冒充受信主机想目标主机发送数据包,欺骗目标主机D•向目标主机发送指令,进行会话操作51•以下针对Land攻击的描述,哪个是正确的?Aland是一种针对网络进行攻击的方式,通过IP欺嵋的方式向目标主机发送欺骗性数据报文,导致目标主机无法访问网络BXand是一种针对网络进行攻击的方式,通过向主机发送伪造的源地址为目标主机自身的连接请求,导致目标主机处理错误形成拒绝服务CLand攻击是一种利用协议漏洞进行攻击的方式,通过发送定制的错误的数据包使主机系统处理错误而崩溃□.Land是一种利用系统漏洞进行攻击的方式,通过利用系统漏洞发送数据包导致系统崩溃52•下列对垮站脚本攻击(XSS)描述正确的是:A.XSS攻击指的是恶意攻击者往WEB页面里插入恶意代码,当用户浏览该页之时,嵌入其中WEB里面的代码会被执行,从而达到恶意攻击用户的特殊目的.B.XSS攻击是DDOS攻击的一种变种C.XSS•攻击就是CC攻击D.XSS攻击就是利用被控制的机器不断地向被网站发送访问请求,迫使NS连接数超出限制,当CPU资源或者带宽资源耗尽,那么网站也就被攻击垮了,从而达到攻击目的53•下列哪一项不属于FUZZ测试的特性?A•主要针对软件漏洞或可靠性错误进行测试.B•采用大量测试用例进行激励响应测试C.一种试探性测试方法,没有任何依据&D•利用构造畸形的输入数据引发被测试目标产生异常54•对攻击面(Attacksurface)的正确定义是:A•—个软件系统可被攻击的漏洞的集合,软件存在的攻击面越多,软件的安全性就越低B•对一个软件系统可以采取的攻击方法集合,一个软件的攻击面越大安全风险就越大C•一个软件系统的功能模块的集合,软件的功能模块越多,可被攻击的点也越多,安全风险也越大D•—个软件系统的用户数量的集合,用户的数ft越多,受到攻击的可能性就越大,安全风险也越大55•以下哪个不是软件安全需求分析阶段的主要任务?A.确定团队负责人和安全顾问B•威胁建模C定义安全和隐私需求(质量标准)D•设立最低安全标准/Bug栏56•风险评估方法的选定在PDCA循环中的那个阶段完成?A•实施和运行B•保持和改进C•建立D•监视和评审57•下面关T IS027002的说法错误的是:AJS027002 的前身是ISO17799-1BJS027002给出了通常意义下的信息安全管理最佳实践供组织机构选用,但不是全部CIS027002对于每个措施的表述分”控制措施J “实施指南”、和“其它信息”三个部分来进行描述D.IS027002提出了十一大类的安全管理措施,其中风险评估和处置是处于核心地位的一类安全措施5&下述选项中对于“风险管理”的描述正确的是:A.安全必须是完美无缺、面而俱到的。