网络安全考试模拟题一

1、1.备份系统的选择的原则是以很低的系统资源占用率和很少的网络带 宽来进行自动而高速的数据备份。（判断题）对 错2针对数据库的攻击主要是SQL注入。（判断题）对 错3.拒绝服务攻击的目的是利用各种攻击技术使服务器或者主机等拒绝 为合法用户提供服务。（判断题）对/错4. UNIX以树型结构组织文件系统，这个系统包括文件和目录（判断题）对/错5. 防火墙是设置在内部网络与外部网络（如互联网）之间，实施访问控制策略的一个或一组系统，是访问控制机制在网络安全环境中的应用。防火墙应该阻止包含源路由的所有入站和出站数据包。（判断题）对 错6. Kerberos能够在非安全的网络环境中提供双向认证（判断题）对

2、 错7. 基于主机的入侵防御系统通过在主机和服务器上安装软件程序，防止网络攻击入侵操作系统以及应用程序。（判断题）对 错8. 公钥密码体制的密钥管理方便，密钥分发没有安全信道的限制，可以实现数字签名和认证（判断题）9.网络漏洞的存在实际上就是潜在的安全威胁，一旦被利用就会带来相应的安全问题。攻击者常采用网络漏洞扫描技术来探测漏洞，一旦发现，便可利用其进行攻击。通常所说的网络漏洞扫描，实际上是对网络安全扫描技术的一个俗称。（判断题）对 错10. 壳（shell）是操作系统最核心、最基础的构件，负责提供基础性、结构性的功能。（判断题）对 错11. 数字版权保护（Digital Right Mana

3、gement，简称 DRM）是指对数字知识产权的控制和管理。（判断题）对 错12. 脆弱水印的特点是改变嵌入水印的数据内容会破坏其中嵌入的水印信息。（判断题）对 错13. 拒绝服务攻击的原理很简单，即充分利用合理的 TCP来完成攻击的目的，目前，主要有五种攻击模式。分布式拒绝服务（DDoS）攻击是洪泛式拒绝服务攻击中一种更具威胁性的演化版本，它利用互联网集中式连接的特点（判断题）对 错14. 在访问控制的基本要素中，主体是指能够访问对象的实体。（判断题）对 错15. 服务器安全要保证的首先是系统及软件的安全，其次是服务器的物理安全。（判断题）对 错16. 特征码扫描方式能检测到未知的新病毒或者

4、病毒变种（判断题）对 错17. SAML应用的实现有服务提供者。（判断题）对 错18. 访问控制机制介于用户 （或者用户的某个进程 ）与系统资源（包括应用程序、操作系统、防火墙、路由器、文件以及数据库等）之间。 （判断题）对 错19. 公钥密码体制有两种基本的模型：一种是加密模型；另一种是认证 模型（判断题）对 错20. 与普通的压缩方式相同的是，加壳后的程序不能独立运行。（判断题）对 错21. PKI提供的核心服务包括完整性（判断题）对 错22. 网络安全技术为网络提供了安全，同时实现了对网络中操作的监管。（判断题）I I I对 错23. 所有恶意代码都可以通过提升自身权限（如Root），进

5、而随意修改、删除用户的数据、安装或删除设备上的任意应用。（判断题）对 错24. 在SAML协议通信中，通信实体之间只要存在信任关系，符合SAML接口和消息交互定义以及应用场景，就可相互通信。（判断题）对 错25. 使用NAS/SAN等技术建立同信息处理网络分离的专用信息存储网络，并在存储网络上实现专门的备份管理。（判断题）对 错26. 在网络安全预警分级中，用户量亿级或日活跃用户千万级的互联网重要应用属于特别重要的保护对象（判断题）对 错27. 认证的通用程序依次包括：申请认证，质量体系评定，产品形式试验，颁发证书，证后监督（现场抽样检验和质量体系现场检查，每年至少一次），复评（三年一次）。（

6、判断题）对 错28. 在人员录用中应指定或授权专门的部门或人员负责人员录用（判断题）对 错29. 业务连续性管理框架中，确定BCM战略是指职责的分配，在组织中实施和持续管理。（判断题）I II对 错30. 利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序 的虚假信息不属于网络违法犯罪。（判断题）对 错31.绝大多数的拨号访问设备都支持第三方的RADIUS认证服务器，将RADIUS协议与动态口令认证机制相结合，能够提供更加安全的用户接入认证。（判断题）对 错32. 任何单位或个人都可以发布网络安全预警（判断题）对 错33. 建立和训练一个高效率的专业应急响应团队是应急处理中检测阶段的目

7、标（判断题）对 错34. 运营者应按照信息安全等级保护管理办法基本要求，参照GB/T 20269 2006信息安全技术 信息系统安全管理要求、GB/T20282 2006信息安全技术 信息系统安全工程管理要求等标准规范要求，建立健全并落实符合相应等级要求的安全管理制度（判断题）对 错35. 关于安全等级保护测评，投入越多，测评力度就越强，测评就越有保证（判断题）4 II 1* I对 错36. 利用互联网侮辱他人或者捏造事实诽谤他人属于网络违法犯罪。对 错37. 信息系统安全等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护能力，不同安全保护等级的信息系统要求具有相同的安

8、全保护能力（判断题）对 错38. 按照等级保护的管理规范和技术标准，确定其信息系统的安全等级，并报其主管部门审批同意是信息系统主管部门的主要职责之一（判断题）对 错39. 任何单位和个人可以自行建立或者使用其他信道进行国际联网。（判断题）对 错40. 互联网服务提供者和联网使用单位应当落实记录并留存用户登录和 退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术 措施。（判断题）对 错41. 非对称密码算法中，密钥从通信的一方通过某种方式安全发送到另一方，只有通信双方知道该密钥。（判断题）对 错42.信息系统安全等级保护系列标准中的GB/T 25058 - 2010信息安全组织和人员

9、划分为核心角色和外围角色（判断题）技术信息系统安全等级保护实施指南，将参与等级保护过程的各类对错43. 在密码产品管控中，商用密码产品的研发、生产和销售采用许可制 度，只有经过国家密码管理机构指定或许可的单位才能对商用密码产品进行研发、生产、销售，且有关单位必须具备相应的资质。（判断题）对 错44. 安全主管机构是负责信息安全工作的权威机构，通常形式是信息安全管理委员会，由高级管理层、各部门管理层的代表组成，负责制定信 息安全目标、原则、方针和策略；（判断题）对 错45. 按照经过确认的技术方案，灾难恢复规划实施组可以根据实际情况选择性制定各阶段的系统安装及测试计划。（判断题）对错46.在重要

10、信息系统中发生的最大级别事件为特别重大事件（判断题）对错47.在关键系统中应使用自动更新，以获取最新的安全更新（判断题）广 1 广对错48. 计算机信息系统安全保护等级划分准则是推荐性国家标准，是等级保护的基础性标准。（判断题）对 错49. 主要角色将参与等级保护实施过程的所有活动，次要角色将参与等50. 信息假冒事件，是指未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件（判断题）对 错51. 由ISIRT （信息安全事件响应组）进行评审以确定该信息安全事件是否处于控制下，如果不在控制下，则启动任何所需要的进一步的后续 响应，以确保所有相关信息准备完毕，以供事件后评审所用

11、（判断题）对 错52. 电子认证服务，是指为加密密钥相关各方提供真实性、可靠性验证的活动。（判断题）对 错53. 在一般信息系统中发生的最大级别事件为较大事件（判断题）对 错54. 密钥管理主要研究如何在安全的环境中，为用户分发密钥信息，使得密钥能够安全正确并有效地发挥作用（判断题）对 错55. 在网络安全预警分级中，用户量亿级或日活跃用户千万级的互联网重要应用属于重要的保护对象（判断题）对 错56. 安全审查和决策机构担负保护系统安全的责任，但工作重点偏向于 监视系统的运行情况，并且对安全管理制度的贯彻执行情况进行监督和 检查（判断题）对 错57. 计算机信息系统的安全保护工作，重点维护国家

12、事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。（判断题）对 错58. 已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后60日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备 案手续。（判断题）对 错59. 当今世界，信息技术和传播媒介越发达，个人信息被披露的可能性 就越小（判断题）对 错60. 个人信息泄露不会被不法分子利用去实施电信诈骗、网络诈骗等犯 罪（判断题）对 错61. 个人可以利用网络传播木马程序（判断题）对 错62. 网约车平台公司及网约车驾驶员违法使用或者泄露约车人、乘客个人信息的，由公安、网信等部门依照各自职责处以2000元以上1

13、万元以下罚款；给信息主体造成损失的，依法承担民事责任；涉嫌犯罪的， 依法追究刑事责任。（判断题）C C 对 错63. 权责一致原则是指以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等，并接受外部监督（判断题）对 错64. 网络运营者为用户办理网络接入、域名注册服务，对不提供真实身份信息的用户提供相关服务的，由有关主管部门责令改正；拒不改正或者情节严重的，可以由有关主管部门责令暂停相关业务。（判断题）对 错65. 微博客服务提供者应当遵守国家相关法律法规规定，配合有关部门开展监督管理执法工作，并提供必要的技术支持和协助。（判断题）对 错66. 任何个人和组织对危害网络安全的行为向网信

14、、电信、公安等部门举报的，相关部门发现不属于本部门职责的，应当告知举报人转交有权处理部门受理（判断题）对 错67. 网络产品、服务必须符合国家标准的各项要求。（判断题）对 错68. 网络运营者办理网络接入、域名注册服务，未要求用户提供真实身份信息的，由有关主管部门责令改正；拒不改正或者情节严重的，可以 由有关主管部门责令吊销营业执照。（判断题）4 II Il对 错69. 存储、处理涉及国家秘密信息的网络的运行安全保护，除应当遵守网络安全法外，还应当遵守保密法律、行政法规的规定（判断题）对 错70. 依据信息系统安全等级保护测评要求等技术标准，第三级信息系统应当每半年至少进行一次等级测评。（判断

15、题）对 错71. 网络运营者不履行网络安全法规定的网络安全保护义务的，由有关主管部门责令改正， 给予警告；拒不改正或者导致危害网络安全等 后果的，处二万元以上十万元以下罚款， 对直接负责的主管人员处五千 元以上五万元以下罚款。（判断题）对 错72. 原受理案件的公安机关自收到上级公安机关书面通知之日起不再行使管辖权，并立即将案卷材料移送被指定管辖的公安机关或者办理的上级公安机关，及时书面通知当事人。（判断题）对 错73. 严禁刑讯逼供和以威胁、欺骗等非法方法收集证据。采用刑讯逼供等非法方法收集的违法嫌疑人的陈述和申辩以及采用暴力、威胁等非法方法收集的被侵害人陈述、 其他证人证言，不能作为定案的

16、根据。 （判 断题）对 错74. 依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。（判断题）对 错75. 存储个人生物识别信息时，不需要采用技术措施处理后再进行储存。（判断题）对 错76. 网络运营者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，由有关主管部门责令改正，给予警告；拒不改正 或者情节严重的，对直接负责的主管人员和其他直接责任人员处五千元 以上五万元以下罚款。（判断题）对 错77. 国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展

17、。国家支持创新网络安全管理方式，运用网络新技术，提升网络安全保护水平。（判断题）对 错78. 中国公用计算机互联网、中国金桥信息网、中国科学技术网为经营性互联网络。（判断题）对 错79. 受到刑事处罚的人员，十五年内不得从事网络安全管理和网络运营关键岗位的工作。（判断题）对 错80. 个人信息包括个人身份的各种信息，也包括声音、指纹、脸部特征、眼睛虹膜等信息（判断题）Inn对 错81. PKI提供的核心服务不包括?（单选题）认证完整性密钥管理访问控制82. UNIX系统中，运行内核程序的进程处于（）（单选题）来宾态核心态 访问态用户态83. UNIX系统中，用户程序可以通过系统调用进入核心态，

18、运行系统调用后，又返回（）（单选题）来宾态 核心态 访问态 用户态84. Windows系统中的（）不仅可以使用本域的资源，还可以使用其他域的资源（单选题）全局组 本地组 特殊组 来宾组85.数据库中插入语句所使用的数据操纵语言是（）（单选题）in sertaltertrun cateupdate86. 操作系统的（）指的是每个用户的程序必须在安全的存储器区域内运行，这种保护还需要控制用户对程序空间受限制部分的访问（单选题）用户认证文件和I/O设备的访问控制共享的实现存储器保护87. Linux中的（）命令和ps命令的基本作用相同，即显示系统当前的进程及其状态。但是该命令是一个动态显示过程（单

19、选题）： C C I Cwho ps top cd88. 以下行为不符合对电子信息系统的雷电防护的是（）。（单选题）机房建在距离大楼外侧机房内应设等电位连接网络设置安全防护地与屏蔽地在机房内布置设备的安放位置时，应该放在比较接近中心的位置，以与外墙特别是外墙立柱保持一定的距离。89. 当前无线传感器网络面临多种攻击技术，其中（）是指攻击节点伪 装成具有多个身份标识的节点，当通过该节点的一条路由遭到破坏时，网络会选择另一条路由，但由于其具有多重身份标识，实际上还是通过了该攻击节点。（单选题）女巫攻击Hello洪泛攻击 槽洞攻击虫洞攻击90. SSL协议提供用户和商户之间交换电子支付信息的安全通道

20、，但不保证支付（）。（单选题）信息的机密性信息的完整性持卡人的合法性非否认性91. 下列不属于网络防御技术的是（）（单选题）防火墙技术访问控制技术加密技术拒绝服务技术92. （）不属于内容过滤的三个具体方面。（单选题）过滤互联网请求过滤流入的内容过滤流出的内容过滤不良信息93. 下列不属于入侵防御系统种类的是（）（单选题） 基于主机的入侵防御系统厂基于应用的入侵防御系统 厂 基于网络的入侵防御系统厂 基于协议的入侵防御系统94. 信息安全管理是信息安全技术体系结构之一，哪一个不是现有的信息安全管理的内容？（单选题）安全风险评估信息安全等级保护访问控制检测信息系统安全工程95. 对于环境的电磁防

21、护可以从以下哪个方面入手（）（单选题）采用距离防护的方法采用接地的方法采用屏蔽方法全正确96. （）在 CMVP（Cryptographic Module Validation Program）评估中发挥核心作用（单选题）通用准则评估和认证计划 （CCEVS）密码算法正确性检测 （CAVP） FIPS PUB标准NIST/CSE97.下面不属于跨站请求伪造攻击防御的是（）（单选题）验证码请求检查反CSRF令牌 输出检查98. TEMPEST 技术（Tran sie nt Electro Mag netic Pulse Ema nation Sta ndard瞬态电磁辐射标准），是指在设计和生产

22、计算机设备时，就对可能产生电磁辐射的元器件、集成电路、连接线、显示器等采取防辐射措施，从而达到减少计算机信息泄漏的最终目的。以红黑分离式 TEMPEST计算机为代表的是（）TEMPEST技术。（单选题）第一代 第二代 第三代 第四代99. 数据备份策略不包括？（单选题）完全备份增量备份累计备份部分备份100. 传统的PKI技术不提供什么服务？（单选题）厂认证广完整性保护密钥管理厂访问控制101. 风险评估能够对信息安全事故防患于未然，为信息系统的安全保障提供最可靠的科学依据。风险评估中资产价值与风险是什么关系（单选题）依赖 暴露 拥有 增加102. 硬件安全技术不包括以下哪种？（单选题）漏洞扫

23、描硬件固件安全技术侧信道技术无线传感器网络安全技术103. 风险评估能够对信息安全事故防患于未然，为信息系统的安全保障提供最可靠的科学依据。风险评估中脆弱性与资产是什么关系（单选题）依赖暴露拥有增加104. 基于对客体安全级别与主体安全级别的比较来进行访问控制的是（）。（单选题）被动访问控制自主访问控制强制访问控制完全访问控制105. （）是指了解组织的产品和服务，识别关键活动，搞清楚其供应链上的依赖关系。（单选题）理解组织BCM管理程序确定BCM战略开发并实施 BCM响应106. （）负责研究提出商用密码技术标准体系；研究制定商用密码算法、商用密码模块和商用密钥管理等相关标准。（单选题）信息

24、安全标准体系与协调工作组（WG1）涉密信息系统安全保密标准工作组（WG2） 密码技术标准工作组（WG3）鉴别与授权工作组 （WG4）107. （）是采用适当的方法与工具确定威胁利用脆弱性导致信息系统灾难发生的可能性，主要包括计算灾难发生的可能性、计算灾难发生后的损失、计算风险值。（单选题）风险量化 风险评估风险规避风险计算108. 网络管理员的主要职责不包括（）（单选题）负责网络的运行管理，实施网络安全策略和安全运行细则对操作网络管理功能的其他人员进行安全监督监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向信息安全人员报告安全事件不得对系统设置后门109. 从系统服务安全角度反映

25、的信息系统安全保护等级称为（）（单选题）系统服务安全保护等级业务信息安全保护等级服务安全保护等级系统安全保护等级110. 备份策略，是指综合备份类型和备份频率，使用相关的（），完成所需的备份管理。（单选题）备份场景备份软硬件备份场地备份主体111. 以下法律中没有对网络违法犯罪进行规定的包括（）。（单选题）关于维护互联网安全的决定r 刑法 民法治安管理处罚法112. 根据宿主类型进行分类，计算机病毒可以分为有宿主的计算机病毒 和（）两类（单选题）良性计算机病毒工业控制系统病毒无宿主的计算机病毒厂I手机病毒113. （）是指通过收集、加工、存储教育信息等方式建立信息库或者同时建立网上教育用平台与

26、信息获取及搜索等工具。（单选题）教育网站教育网校 教育网址教育部门114. 信息安全管理体系ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动，其表现形式不包括 （）。（单选题）组织结构策略方针计划活动人员成本115. 风险评估要素关系模型中，（）依赖于资产去完成（单选题）业务战略残余风险脆弱性风险116. 在重要信息系统灾难恢复指南中，第2级的灾难恢复能力是 （）（单选题）备用场地支持电子传输及完整设备支持数据零丢失和远程集群支持实时数据传输及完整设备支持117. （）是等级测评工作的基本活动，每个单元测评包括测评指标、测评实施和结果判定二部分（单选题）单元测评整

27、体测评黑盒测评白盒测评118. 信息安全等级保护系列标准中的信息安全风险评估规范 中规定了安全风险的计算方法， 风险值=R（A, T, V） = R（L（T, V）, F（la, Va）。其 中（）表示安全风险计算函数（单选题）A R T V119. 按照等级保护的管理规范和技术标准的要求，开发符合等级保护要求的信息安全产品是（）的主要职责之一一（单选题）安全测评机构厂安全产品供应商厂信息系统安全服务商厂信息安全监管机构120. 等级保护对象受到破坏后对客体造成侵害的程度归结为三种。其中不包括（）（单选题）造成一般损害造成严重损害造成特别严重损害未造成损害121. 关于外部合作组织和专家顾问，

28、组织应该保持与外部合作组织和（）的联系，或者成为一些安全组织的成员单位（单选题）专家顾问国外安全机构公安机关黑客122. 关于信息安全事件分级，波及一个地市的部分地区，对国家安全、社会秩序、经济建设和公众利益基本没有影响，但对个别公民、法人或其他组织的利益会造成损害的事件属于（）（单选题）特别重大事件重大事件较大事件一般事件123. （）是指通过假冒他人信息系统收发信息而导致的信息安全事件, 如网页假冒等导致的信息安全事件（单选题）信息篡改事件信息泄漏事件信息假冒事件 信息窃取事件获得同主系统相当的安全保护客户端可与备用数据处理系统的物理环境具有可扩展性考虑其对主系统可用性和性能的影响125.

29、 （）标准阐述了等级保护实施的基本原则、参与角色和信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止等几个主要工作阶段中如何按照信息安全等级保护政策、标准要求实施等级保护工作。（单选题）GB/T 25058 2010信息安全技术 信息系统安全等级保护实施指南GB/T 22239 2008信息安全技术信息系统安全等级保护基本要求GB/T 22240 2008信息安全技术信息系统安全等级保护定级指南GB/T 25070 2010信息安全技术 信息系统等级保护安全设计技术要求126. 关于网络边界防护结束，下面说法不正确的是（）（单选题）多重安全网关的安全性比防火墙要好些数据交

30、换网技术是基于缓冲区隔离的思想， 在“城门”处修建了一个 “数据交易市场”，形成两个缓冲区的隔离多重安全网关技术不能对应用层识别， 面对隐藏在应用中的病毒毫无办法。数据交换网技术比其他边界安全技术有显著的优势127. 在信息安全等级保护实施中，根据信息系统运营、使用单位的委托或根据信息安全监管机构的委托，协助信息系统运营、使用单位或信息安全监管机构按照等级保护的管理规范和技术标准，对已经完成等级保护建设的信息系统进行检查评估，对安全产品供应商提供的信息安全产品进行检查评估是（）的主要职责之一（单选题）' 安全测评机构' 信息系统主管部门' 信息系统安全服务商'信

31、息安全监管机构128. 以下属于计算机安全的范围的是（）（单选题）构建以关键信息基础设施为重点的安全保障体系打击网络违法犯罪行为确保信息系统资产的保密性、完整性和可用性的措施和控制国际范围的网络空间主权与和平安全（单选题）129. 关于应急处置的抑制阶段，下面说法错误的是（）在没有向专家咨询之前不要关闭系统或者从网络上断开按照组织的报告程序 （应急响应策略）向安全负责人报告任何可疑的现象继续监控并记录可疑的现象， 直到处理该类安全事件的人员到达不用得到管理同意，迅速向媒体公开信息，获取广泛的帮助130. （）阶段完成后，应对组织的信息安全状况和信息安全事件管理水平有所改善和提高（单选题）执行

32、评审规划和准备改进131. 关于应急处置的抑制阶段，下面说法正确的是（）（单选题）迅速关闭系统或者从网络上断开按照组织的报告程序 （应急响应策略）向安全负责人报告任何可疑的现象自己动手解决安全问题不用得到管理同意，迅速向媒体公开信息，获取广泛的帮助132. 信息安全等级保护管理办法将信息系统的安全保护等级分为五级。其中（）是指信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益（单选题）厂 第一级' 第二级' 第三级厂 第四级133. 系统安全工程能力成熟度模型结构的目标就是将安全工程的（）与管理制度特性区分清楚（单选题）技术特性

33、基础特性系统特性安全特性134. 计算机信息系统安全保护等级划分准则将计算机信息系统的安全级别明确划分为五级并且提出了具体要求，这五级由低至高的第二级是（） （单选题）用户自主保护级.系统审计保护级.安全标记保护级 结构化保护级143.中学、小学校园周围（）米范围内和居民住宅楼（院）内不得设立靠性验证的活动。（单选题）证书管理服务密码管理服务电子认证服务电子签名服务136. 参与等级保护过程的各类组织和人员的主要角色包括（）（单选题）C信息安全监管机构厂信息系统安全服务商 信息系统主管部门和信息系统运营、使用单位安全测评机构137. 对于人肉搜索，应持有什么样的态度?（单选题）不转发，不参与

34、积极转发 主动参加 关注进程138. （）信息系统应当依据特殊安全需求进行等级测评（单选题）厂第五级第二级厂第一级厂第四级139. 关于网络安全，我国实行什么制度（）。（单选题）网络安全分级保护制度网络安全等级保护制度网络安全模块保护制度网络安全等级监督制度140. 传输和存储个人敏感信息时，下列做法不正确的是（）：（单选题） 明文传输 ' 加密传输 对个人信息进行去标识化' 对个人信息进行匿名化141. 关于收集个人信息的合法性要求，下列说法正确的是（）：（单选题）不得欺诈、诱骗、强迫个人信息主体提供其个人信息隐瞒产品或服务所具有的收集个人信息的功能从非法渠道获取个人信息收集

35、法律法规明令禁止收集的个人信息142. 下列哪项不是个人信息安全基本原则（）：（单选题）权责一致原则目的明确原则选择同意原则信息完整原则互联网上网服务营业场所（单选题）*100200500!144. 电信和互联网用户个人信息保护规定中，电信业务经营者、互联网信息服务提供者， 应当建立用户投诉处理机制，公布有效联系方式，接受与用户个人信息保护有关的投诉，并自接到投诉之日起（）日内答复投诉人。（单选题）5日 10日 15日 30日145. 网络游戏运营企业应当按照国家规定采取技术和管理措施保证网 络信息安全。包括防范计算机病毒入侵和共计破坏，备份重要数据库，保存用户注册信息、运营信息、维护日志等信

36、息，依法保护（）。（单选题）厂 国家秘密商业秘密厂 用户个人信息厂 以上均是146. 网约车平台公司应当遵守国家网络和信息安全有关规定，所采集的个人信息和生成的业务数据，保存期限不少于（单选题）厂 1年厂 2年厂 3年厂 4年147. 根据网络安全法的规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在（）。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估，法律、行政法规另有规定的，依照其规定（单选题）II（境外存储. 第三方存储. 境内存储. 外部存储器储存148. 根据计算机信息网络国际联网安全保护管理办法，

37、互联单位、 接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行 下列安全保护职责不正确（）（单选题）负责本网络的安全保护管理工作，建立健全安全保护管理制度； 对委托发布信息的单位和个人进行登记，并对所提供的信息内容按照本办法第五条进行审核r 不对委托发布信息的单位和个人进行登记 负责对本网络用户的安全教育和培训149. 网络运营者为用户办理网络接入、 域名注册服务，对不提供真实身份信息的用户提供相关服务的，由有关主管部门责令改正；拒不改正或者情节严重的，对直接负责的主管人员和其他直接责任人员（）。（单选题）处五千元以上五万元以下罚款处一万元以上五万元以下罚款处一万元以上十万元以下罚款

38、处五万元以上五十万元以下罚款150. 网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即（）（单选题）停止传输该信息封停所有用户断网处理关闭网站151. 人民警察在下列哪一情形下不能当场做出处罚决定？（单选题）卖淫 道路交通违法带有违禁品违反出入境管理规定152. 下列哪些不是国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采应当取的措施（）。（单选题）对关键信息基础设施的安全风险进行抽查检测，提出改进措施， 必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网

39、络安全事件的水平和协同配合能力促进有关部门、 关键信息基础设施的运营者以及有关研究机构、 网络安全服务机构等之间的网络安全信息共享组织统筹有关部门对新型网络病毒进行汇总、研究。153. 利用网络传授犯罪方法、制作或者销售违禁物品的，以（）罪论处。（单选题）帮助信息网络犯罪活动罪非法利用信息网络罪扰乱无线电管理秩序罪非法侵入计算机系统罪154. 根据网络安全法第 34条的规定，关键信息基础设施的运营者还应当履行的安全保护义务，不包括（）（单选题）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查对重要系统和数据库进行容灾备份定期发布网络风险预警制定网络安全事件应急

40、预案，并定期进行演练155. 美国儿童在线隐私保护法适用于美国管辖之下的自然人或单位对（）岁以下儿童在线个人信息的收集（单选题）10111213156. （）负责全国互联网信息搜索服务的监督管理执法工作。（单选题）国家网信部国家电信部门国务院互联网信息办公室国家互联网信息办公室157. 危险物品从业单位应当在本单位网站主页显著位置标明可供查询的（）等材料（单选题）厂互联网信息服务经营许可证编号或者备案编号厂 中华人民共和国互联网危险物品信息发布管理规定从事危险物品活动的合法资质营业执照158. 关键信息基础设施的运营者采购网络产品和服务，应当按照规定与（）签订安全保密协议，明确安全和保密义务与

41、责任。（单选题）接受服务者政府提供者 以上均不是第一15 9.根据关于办理诈骗刑事案件具体应用法律若干问题的解释条，诈骗公私财物价值（ ）为“数额特别巨大。”（单选题）C' 三千元至一万元以上三万元至十万元以上五十万元以上 q ' 一百万元以上160. 互联网信息搜索服务管理工作具体由（）负责实施。（单选题）公安机关 国家测绘部门交通管理部门国家网信部门161. Linux系统提供了一些查看进程信息的系统调用，下面具有上述功能的命令是（）（多选题）厂 who厂 ps厂 top厂 cd厂 root162. 关于rw rr说法错误的是（）（多选题）属主有读、写权属组和其他人有读权属

42、主有读、写、执行权属组和其他人有读、写权属主有读、写、执行权163. UNIX系统提供了几条功能强大的命令，用于文件系统的备份和恢复，下面具有这些功能的命令是（）（多选题）r r r n backup cpio tar chmod root164. 下列属于公钥密码体制基本模型的是（）（多选题）口厂厂厂认证模型非否认模型机密性模型加密模型公开模型165. 数据库管理系统保护轮廓（ DBMS.PP ）明确了三种数据库资产，分别是（）（多选题）厂LI厂厂厂安全数据数据库客体控制数据审计数据用户数据166. 网络攻击类型多种多样，且出现频繁、 规模较大，攻击者可以采取多种网络攻击方式。下列属于网络攻

43、击类型的是（）（多选题）FV厂I厂厂信息泄漏攻击完整性破坏攻击拒绝服务攻击非法使用攻击钓鱼网站167. 在产品和系统中使用密码模块（包含密码算法）不能提供哪些安全服务（多选题）机密性匚I完整性 鉴别 访问控制不可否认性168. 数据备份策略主要分成以下几种形式？（多选题）完全备份增量备份累计备份口 混合应用部分备份SS 540NFPA 1600GB/T 30146NIST SP800PAS 56169. 一个典型的计算机病毒的生命周期包括以下（）阶段。（多选题）休眠阶段传播阶段触发阶段执行阶段预备阶段仃0.风险评估能够对信息安全事故防患于未然，为信息系统的安全保障提供最可靠的科学依据。风险评估

44、的流程有?（多选题）评估准备阶段要素识别阶段风险分析阶段分析报告提交阶段风险控制建议提交阶段（多选仃1.业务信息安全被破坏时所侵害的客体的侵害程度不包含?题）轻微损害口般损害严重损害特别严重损害完全损害仃2.跨站请求伪造攻击防御主要有（）。（多选题）验证码请求检查反CSRF令牌输出检查端口开放仃3. BSI颁布的业务连续性相关标准包括（）（多选题）n厂ISO 22301社会安全 业务连续性管理体系要求BS 25999 1业务连续性管理实施规匚程 ISO 22313社会安全业务连续性管理体系BS 25999 2业务连续性管理 一规范174.业务连续性管理相关的标准包括（）r ri匚匸厂匸指南 P

45、AS 56业务连续性管理指南（多选题）r仃5.信息安全产品测评认证管理办法根据信息产品安全测评认证对象和要素的不同，将信息安全产品认证分为（）。（多选题）产品功能认证|口 产品认证口 信息系统安全认证口I信息安全服务认证产品型式认证仃6.教育网站和网校应遵循国家有关法律、法规，不得在网络上制作、发布、传播下列信息内容（）（多选题）口 泄露国家秘密危害国家安全的厂违反国家民族、宗教与教育政策的 宣扬圭寸建迷信、邪教、184.所谓全程管理信息安全事件，就是（）（多选题）散布谣言、扰乱社会秩序、（多选题）即在其部署到运行环境之前黄色淫秽制品、 违反社会公德、 以及赌博和教唆犯罪等煽动暴力鼓动聚众滋事

46、仃7.关于安全等级保护测评，下列说法错误的是（）在信息系统中， 有些安全控制可以不依赖于其所在的地点便可测评，便可以接受安全测评在信息系统所有安全控制中，有一些安全控制与它所处于的运行环境紧密相关（如与人员或物理有关的某些安全控制），对其测评必须在分发到相应运行环境中才能进行如果一个信息系统部署和安装在多个地点，则必须对每个地点的信息系统进行单独测评如果一个信息系统部署和安装在多个地点，且系统具有一组共同的软件、硬件、固件等组成部分，对这些安全控制的测评可以在其中一个预定的运行地点实施，在其他运行地点的安全测评便可重用此测评结果所有的测评必须在其部署到运行环境之后才可以接受安全测评178.下面

47、关于业务连续性的说法正确的是（）（多选题）rr业务连续性管理是一个整体的管理过程。业务连续性管理能鉴别威胁组织潜在的影响。o业务连续性管理确保有效反应的能力。业务连续性管理保护它的关键利益相关方的利益、声誉、口品牌以及创造价值的活动。业务连续性管理能够提供构建非弹性机制的管理架构。仃9.根据刑法规定和立法精神， 对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定，明确指出（）（多选题）“公民个人信息”的范围非法“提供公民个人信息”的认定标准“非法获取公民个人信息”的认定标准匸j侵犯公民个人信息罪的定罪量刑标准y 设立网站、通讯群组侵犯公民个人信息行为的定性180. 下面

48、不属于拒不履行信息网络安全管理义务罪的内容是（）（多选题）Q 致使违法信息大量传播的 口 明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持致使用户信息泄露，造成严重后果的为实施诈骗等违法犯罪活动发布信息的 旦 致使刑事案件证据灭失，情节严重的181. 下面属于拒不履行信息网络安全管理义务罪的内容是（）（多选题）设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的致使违法信息大量传播的发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的为实施诈骗等违法犯罪活动发布信息的致使刑事案

49、件证据灭失，情节严重的182. 根据灾难恢复策略制定相应的灾难备份系统技术方案，灾难恢复策略的技术实现包括（）。（多选题）广厂厂厂口数据备份系统数据容灾系统备用软件系统备用数据处理系统备用网络系统183. 关于资产赋值，下列说法正确的是（）（多选题）rn资产赋值是以资产的账面价格来衡量的在对资产进行估价时，不仅要考虑资产的成本价格，更重要的是要考虑资产对于组织业务的安全重要性为确保资产估价时的一致性和准确性，应按照厂上述原则，建立一个资产价值尺度 （资产评估标准），以明确如何对资产进行赋值资产估价的过程，n也就是对资产保密性、完整性和可用性影响分析的过程资产赋值是对资产安全价值的估价厂全员参与发现报告信息安全事件 厂事中要及时发现、 报告、评估和判断并有效抑制和取证事后要消除根源、恢复系统、总结经验和寻求改进不论事件是否发生都要定期 /应需评审和持续改进口I事前要做好规划和准备185. 信息安全管理制度文件一般需要按类别进行管理，如分为（）等（多选题）秘密文件受控文件一般文件口 公开文件口 私密文件186. 安全管理评价系统中，风险主要由（）等因素来确定（多选题）关键信息资产威胁所利用的脆弱点资产所面临的威胁资产分类 资产购入价格187. 下列选项属于应用开发管理员的主要职责的是