2025年大学生网络安全知识竞赛题库及答案（共380题）

380题)1.针对漏洞处置发布环节，下列相关内容中描述正确的是：A、漏洞相关联的提供者、网络运营者，对于综合分级为超危、高危的漏洞，若不能立即给出修复措施，应给出有效的临时防护建议由被利用性、环境因素和影响程度三个指标类决定(正确答案)为4位十进制数D、在漏洞未修复或尚未制定漏洞修复或防范措施前，漏洞信息应严格审核后发布2.安全保护等级初步确定为()及以上的等级保护对象，其网络运营者应依据本标准组织进行专家评审、主管部门核准和备案审核，最终确定其安全保护等级。B、第二级(正确答案)3.安全保护等级初步确定为()及以上的，定级对象的网络运营者应组织信息安全专家和业务专家等，对初步定级结果的合理性进行评审，并出具专家评审意见。B、第二级(正确答案)4.()安全保护能力：应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够及时发现、监测攻击行为和处置安全事件，在自身遭到损害后，能够较快恢复绝大部分功能。C、第三级(正确答案)5.在网络安全等级保护基本要求通用部分中，针对安全通信网络从()起提出网络架构要求。B、第二级(正确答案)6.路由器应能够按照业务重要性对设备本身需进行解析处理的协议流量进行()。C、流量控制7.路由器使用的路由协议应支持()功能，保证路由是由合法的路由器发出的，并且在转发过程中没有被改变。B、流量控制8.路由器应具备()功能，在网络边界阻断源IP地址欺骗D、单播逆向路径转发(正确答案)9.操作系统采用()的方法为操作系统的指定主体和客体(例如：系统进程、文件、目录等)标明其安全属性。B、标记(正确答案)D、访问控制10.信息系统安全审计产品应能够对高频发生的相同告警事件进行(),避免出现告警风暴。D、归一化处理11.网络隔离产品对所有主客体之间发送和接收的信息流均执行网络层(),还原成应用层数据。B、协议转换动时进行(),确保操作系统内核的静态完整性。A、完整性度量(正确答案)D、自检13.根CA密钥更新时，应产生()个新的证书。户及口令，这是属于何种攻击手段?B、钓鱼攻击(正确答案)15.安全设计与实施时，管理措施的实现不涵盖以下哪方面?B、服务商管理和监控(正确答案)16.依据《网络安全等级保护测评过程指南》,了解被测等级保护对象情况时，主要调查的内容不包括哪方面内容?A、服务器的安全配置情况(正确答案)“集中管控”是()方面的控制点要求。B、安全管理中心(正确答案)18.Linux操作系统通过pam限制用户登录失败次数，使用以下哪个模块进行限制。D、pam_tally2.so(正确答案)19.以下哪种情况不属于第二级?()A、等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成严重损害B、等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成特别严重损害C、等级保护对象受到破坏后，对社会秩序和公共利益造成危害D、等级保护对象受到破坏后，对国家安全造成危害(正确20.GB/T26855-2011《信息安全技术公钥基础设施证书策略与认证业务声明框架》:以下描述证书策略(CP)与认证业务规则(CPS)之间关系不正确的内容。C、CA机构的CPS可以支持多个CP(应用于不同的目的或不同的依赖方团体)。C、供应商或客户提供给你的项目合作相关资料D、公司项目组提供给合作供应商或客户的资料22.GB/T31168《信息安全技术云计算服务安全能力要求》将云计算服务安全能力分为()级。A、二级(正确答案)B、三级23.GB/T31168《信息安全技术云计算服务安全能力要求》对()提出了安全要求。B、客户D、以上都包括对云服务商采购过程的要求见于()。对云计算平台的选址要求包括()。C、确保云计算服务器及运行关键业务和数据的物理设备位于中国境内D、以上都是(正确答案)26.在GB/T31168《信息安全技术云计算服务安全能力要求》中，使用可信或可控的分发、交付和仓储手段、限制从特定供应商或国家采购产品或服务，这是为了实现()。C、供应链安全(正确答案)27.为了建立向客户提供安全的云计算服务的能力，云服务商应制定(),详细说明对GB/T31168《信息安全技术云计算服务安全能力要求》提出的安全要求的实现情况。B、安全计划(正确答案)28.在云计算服务安全责任分配中，客户仅需要承担自身数据可能是()模式。29.在同一个云计算平台上，可能有多个应用系统或服务，某些安全措施可能作用于整个云计算平台，这类安全措施称为()。A、普通安全措施B、常规安全措施C、通用安全措施(正确答案)30.GB/T31168《信息安全技术云计算服务安全能力要求》中，不属于对服务关闭和数据迁移的要求的是()。A、在客户与其服务合约到期时，能够安全地返还云计算平台上的客户信息并确保不能以商业市场的技术手段恢复C、云服务商与客户另行约定，商定数据迁移费用(正确答案)D、为客户将信息迁移到其他云计算平台提供技术手段，并协助完成数据迁移31.根据GB/T31168《信息安全技术云计算服务安全能力要求》中，云服务商应当优先选择符合下列条件的供应商()。A、企业运转过程和安全措施相对透明B、对下级供应商、关键组件和服务的安全提供了进一步的核查C、在合同中声明不使用有恶意代码产品或假冒产品D、以上都是(正确答案)32.不属于标识符识别的方法是：A、语义分析(正确答案)B、查表法C、规则判定33.处理标识的步骤不包括B、实施去标识化D、结果验证(正确答案)34.实施去标识化时不包括：A、选择工具或程序B、分析数据特征(正确答案)C、确定去标识化的顺序35.去标识化结果验证工作不包括：B、是否需要保持统计特征C、是否是最新技术(正确答案)D、是否需要保序38.去标识化在人员管理方面不需要：A、签署相关协议B、相关角色分离为管理、执行、监督C、定期轮岗(正确答案)D、相关意识技能培训39.去标识化面临的主要挑战不包括：A、高维数据的挑战B、关联数据的挑战C、增量去标识的挑战D、组织架构变化的挑战(正确答案)40.建立去标识化目标时不需要考虑：B、组织规模(正确答案)C、数据来源D、公开共享类别41.确定去标识化对象时不需要依据：A、业务背景B、数据用途C、数据内容(正确答案)D、关联情况42.大数据具有数量巨大、种类多样、流动速度快、特征多变等特性，所以我们一般使用生命周期概念描述大数据服务相关的活动。标准中的数据服务不包括下列哪个活动A、数据产生(正确答案)B、数据采集C、数据存储43.大数据服务提供者包括多种角色，下列哪种说法不正确A、大数据服务提供者是通过大数据平台和应用，提供大数据服务的机构或个人；(正确答案)B、大数据服务提供者应整合多种数据资源及其应用组件，并以软件服务方式部署到大数据平台上，并通过应用终端安全接入、数据分类分级、输入数据验证等安全策略配置和安全控制措施实施，给大数据使用者提供安全的数据组织、存储、分析和可视化服务；C、大数据服务提供者包括数据提供者、大数据平台提供者、大数据应用提供者和大数据服务协调者等角色。D、大数据服务提供者应提供必要的网络、计算、存储等大数据服务所需的IT运行环境资源，和必要的基础设施应用程序开发接口或服务组件，以支持大数据组织、存储、分析和基础设施部署和运维管理，响应大数据使用者的大数据服务请求。44.数据资产管理能力一般要求不包括A、建立数据资产安全管理规范B、建立数据资产分类分级方法和操作指南C、建立数据资产组织和管理模式D、建立机构级数据资产管理平台(正确答案)45.元数据安全一般要求不包括C、依据元数据安全属性建立标记策略及标C、采取必要的技术手段和管理措施，确保在数范C、定义数据源质量评价要素，制定数据采集质量管控措施的D、定期对数据质量进行分析、预判和盘点，明确数据质量问C、建立机制对数据传输安全策略的变更进行审核和监控D、建立数据传输链路冗余机制，保证数据传输可靠性和网络传输服务可用性(正确答案)49.大数据服务提供者的基础服务能力要求不包括：A、定义大数据服务安全策略和规程B、建立系统和数据资产、组织和人员岗位等数据服务元数据C、法律法规和相关标准实施的合规性管理能力D、企业文化、社会责任、经营诚信、核心技术、风险管控等安全可信能力(正确答案)50.访问控制增强要求是A、建立存储系统安全管理员的身份标识与鉴别策略、权限分配策略及相关操作规程B、具备数据分布式存储访问安全审计能力B、建立分布式处理过程中不同数据副本节点C、建立数据分布式处理节点的服务组件自动维护策略和管控52.标准是指通过标准化活动，()经协商一致制定，为各种B、在充分交流和讨论下C、在所有成员国参与下D、在所有成员国参与并充分交流和讨论下53.世界标准日是()。A、2月23日B、5月17日D、10月14日(正确答案)54.ISO/IECJTC1是ISO和IEC第1联合技术委员会，其名称为“()”。A、信息技术(正确答案)B、信息通信技术其名称为“信息安全、()和隐私保护”。D、隐私保护56.ITU-TSG17(安全研究组)制定的标准编入ITU-T建议书()C、X(正确答案)57.ISO注册专家只能对()以个人名义提交贡献和意见。58.国家标准采用国际标准时，技术内容和文本结构相同，但际标准的一致性程度为()A、等同(正确答案)C、非等效D、非等同59.ISO/IEC10118-3:2018《信息技术安全技术散列函数第3部分：专用散列函数》采纳了我国密码算法()。B、SM3(正确答案)60.ISO/IEC18033-5:2015《信息技术安全技术加密算法第5部分：基于身份的密码》采纳了我国密码算法()。61.系统通过你的身份凭证来判断你是否可以进入系统的过程A、访问控制62.根据《网络安全法》,建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和(),保障网络安全、稳定B、国家标准C、国家标准的强制性要求(正确答案)D、强制性国家标准63.根据《网络安全法》,国家积极开展网络空间治理、网络技术研发和标准()、打击网络违法犯罪等方面的国际交流与合作。B、采用C、制定(正确答案)D、认证64.《网络安全法》对网络安全标准化工作提出了哪些要求()?A、国家积极开展网络安全标准制定方面的国际交流与合作B、国家建立和完善网络安全标准体系。C、国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。D、以上都是(正确答案)65.《网络安全法》中，与网络安全标准化工作无关的是()?A、国际交流与合作B、网络安全人才培养(正确答案)C、网络安全检测D、网络安全认证66.根据《网络安全法》,网络关键设备和网络安全专用产品应当按照相关(),由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。67.根据《网络安全法》,()和网络安全专用产品应当按照68.根据《网络安全法》,网络关键设备和()应当按照相关69.《网络安全法》指出，国家积极开展网络安全标准制定方面的国际交流与合作，以下()与此没有直接关系。70.以下不符合《网络安全法》精神的是()。71.根据《网络安全法》,未遵循国家标准的强制性要求的可能后果是()。72.关键信息基础设施的运营者采购网络产品和服务，可能影响()的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。73.国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事()的活动，为未成年人提供安全、健A、侵害未成年人上网权B、灌输未成年人网络思想74.网络运营者应当制定(),及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。A、网络安全事件应急预案(正确答案)B、网络安全事件补救措施C、网络安全事件应急演练方案D、网站安全规章制度75.国家实施网络()战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。A、可信身份(正确答案)B、信誉身份C、安全身份76.根据《网络安全法》的规定，国家实行网络安全()保护77.国家鼓励开发网络数据安全保护和利用技术，促进()开78.违反《网络安全法》第二十七条规定，从事危害网络安全算等帮助，尚不构成犯罪的，由公安机关没收违法所得，处()日以下拘留，可以并处()以上()以下罚款。情节较重的，处五日以上79.关键信息基础设施的运营者应当自行或者委托网络安全服务机构()对其网络的安全性和可能存在的风险检测评估。80.国家建立和完善网络安全标准体系。()和国务院其他有C、大专院校81.国家推进网络安全()建设，鼓励有关企业、机构开展网82.网络产品、服务具有()的，其提供者应当向用户明示并83.网络产品、服务应当符合相关国家标准的()要求。C、建议性D、强制性(正确答案)84.网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构()或者安全检测符合要求后，方可销售或者提供。B、安全认证合格(正确答案)C、认证网速合格85.关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险()至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。86.网络产品、服务的提供者不得设置(),发现其网络产品、87.强制性国家标准由()批准发布或者授权批准发布。88.推荐性国家标准由()制定。D、行业组织89.地方标准由省、自治区、直辖市人民政府()制定。B、行业主管部门D、行业组织90.地方标准由省、自治区、直辖市人民政府标准化行政主管部门报国务院()备案。C、行业主管部门D、行业组织91.对保障人身健康和生命财产安全、国家安全、生态环境安全以及满足经济社会管理基本需要的技术要求，应当制定()标准。C、行业92.推荐性国家标准的符号是()。93.企业未依照《中华人民共和国标准化法》规定公开其执行的标准的，由()责令限期改正。C、标准化行政主管部门(正确答案)D、行业主管部门94.生产、销售、进口产品或者提供服务不符合()标准，或者企业生产的产品、提供的服务不符合其公开标准的技术要求的，依法承担民事责任。A、强制性(正确答案)B、推荐性95.对已有国家标准、行业标准或者地方标准的，鼓励企业制定严于国家标准、行业标准或者地方标准要求的企业标准，在()适B、各地、市C、企业内部(正确答案)96.国家建立()标准实施情况统计分析报告制度。A、强制性(正确答案)B、推荐性C、行业97.经过(),对不适应经济社会发展需要和技术进步的应当及时修订或者废止。B、复审(正确答案)98.标准的复审周期一般不超过()年。99.企业应当按照标准组织生产经营活动，其生产的产品、提供的服务应当符合企业公开标准的()要求。B、功能C、性能的()指标和产品的性能指标。C、技术101.出口产品、服务的技术要求，按照()执行。C、国际标准D、合同的约定(正确答案)102.不符合()标准的产品、服务，不得生产、销售、进口或A、强制性(正确答案)B、推荐性C、团体103.国家鼓励社会团体、企业制定高于推荐性标准相关技术要求的()标准、企业标准。A、团体(正确答案)C、推荐性104.推荐性国家标准的技术要求不得低于()的相关技术要求。A、行业标准B、强制性国家标准(正确答案)C、地方标准D、团体标准105.国家支持在重要行业、战略性新兴产业、关键共性技术等领域利用自主创新技术制定()标准、企业标准。A、团体(正确答案)D、强制性106.企业可以根据需要自行制定()标准，或者与其他企业联合制定企业标准。A、企业(正确答案)107.现行的《中华人民共和国标准化法》的发布日期为()。B、2017年11月4日(正确答案)108.现行的《中华人民共和国标准化法》的实施日期为()。C、2018年1月1日(正确答案)109.()统一管理全国标准化工作。110.对保障人身健康和生命财产安全、()、生态环境安全以111.强制性国家标准由()批准发布或者授权批准发布。112.对满足基础通用、与()配套、对各有关行业起引领作用113.推荐性国家标准由()制定。114.对没有推荐性国家标准、需要在全国某个行业范围内统一的技术要求，可以制定()。B、企业标准C、团体标准D、行业标准(正确答案)115.行业标准由()制定，报()备案。A、国务院标准化行政主管部门国务院有关行政主管部门B、国务院有关行政主管部门国务院标准化行政主管部门(正确答案)C、国务院有关行政主管部门国务院D、国务院标准化行政主管部门国务院116.为满足地方自然条件、风俗习惯等特殊技术要求，可以制A、地方标准(正确答案)B、企业标准C、团体标准117.制定推荐性标准，应当组织由相关方组成的(),承担标准的起草、技术审查工作。A、标准编制组B、标准专家组C、标准化技术委员会(正确答案)D、行业协会118.标准的编号规则由()制定并公布。119.国家实行()自我声明公开和监督制度。120.国家鼓励()通过标准信息公共服务平台向社会公开。A、团体标准、企业标准(正确答案)B、行业标准、团体标准C、企业标准、团体标准D、行业标准、企业标准121.标准的复审周期一般不超过()年。C、五(正确答案)122.国家鼓励企业、社会团体和教育、科研机构等开展或者参A、强制性标准制定B、推荐性标准制定C、国家标准制定D、标准化工作(正确答案)123.制定强制性标准，可以委托相关()承担标准的起草、技术审查工作。C、标准化技术委员会(正确答案)D、行业协会124.国家推动免费向社会公开()文本。B、推荐性标准(正确答案)125.国务院标准化行政主管部门会同国务院有关行政主管部门对()的制定进行规范、引导和监督。标准的技术要求不得()强制性国家标准的相关技术要求。A、高于B、低于(正确答案)127.采用国际标准，应当符合中国有关(),遵循国际惯例，做到技术先进、经济合理、安全可靠。B、法律、法规(正确答案)C、部门条款D、国际标准128.国际标准的采用形式有多种，其中，等同采用国际标准的符号是()符号是()130.国际标准的复审周期一般不超过()年B、5年(正确答案)131.国际标准的代号是()B、ISO(正确答案)132.ISO国际标准预研工作项目的代号是()C、PWI(正确答案)133.ISO国际标准新工作项目提案的代号是()134.ISO国际标准工作草案的代号是()135.ISO国际标准委员会草案的代号是()136.ISO国际标准草案的代号是()137.ISO最终国际标准草案的代号是()C、FDIS(正确答案)138.根据ISO相关规定，国际标准新提案最晚于国际会议开始D、30天(正确答案)139.ISO预研工作项目(PWI)研究期最多为()年140.技术规范的代号是()141.公开可用规范的代号是()142.技术报告的代号是()D、TR(正确答案)143.国际标准推进流程A、NP-WD-CD-DIS-FDIS-IS(正确答案)144.在ISO框架下，如果获得国家成员的()多数票赞成，且其中至少有5个P成员提名专家参与，则可视为NP投票通过(弃权票不计入总票数)。B、2/3(正确答案)145.在ISO框架下，如果获得国家成员的2/3多数票赞成，且其中至少有()个P成员提名专家参与，则可视为NP投票通过(弃权票不计入总票数)。146.通常情况下，ISO的国际标准项目，满足()的批准要求，不包括技术更改，修改后的文件将跳过FDIS进入IS发布阶段。147.全国信安标委主要工作范围包括：()、安全机制、安全服务、安全管理、安全评估等领域的标准化技术工作A、安全技术(正确答案)A、2020年11月25日B、2020年11月26日C、2020年11月27日(正确答案)D、2020年11月28日151.《网络安全态势感知技术标准化白皮书(2020版)》的D、2020年11月(正确答案)152.《网络安全态势感知技术标准化白皮书(2020版)》的编制单位共有()家153.对“天津市2020年世界标准日数据安全和个人信息保护A、由天津市委网信办主办案)154.ISO/IEC20547-4:2020《信息技术大数据参考架构第4部C、2020年9月(正确答案)D、2020年10月155.2020新一代信息技术产业标准化论坛”云主题论坛-新基A、天津B、河南C、北京(正确答案)156.国家标准GB/T35273-2020《个人信息安全规范》与何时起正式实施A、2020年9月1日(正确答案)157.《移动互联网应用程序(App)系统权限申请使用指南》可防范B、因系统权限不当利用造成的个人信息安全风险(正确答案)C、App系统运营风险D、系统权限申请和使用风险158.《移动互联网应用程序(App)中的第三方软件开发工具包(SDK)安全指引(征求意见稿)》的编制主旨是A、减少因第三方SDK造成的App安全与个人信息安全问题(正确答案)B、防范第三方SDK自身安全风险C、规范第三方SDK的开发及使用批稿)试点工作选取的场景包括A、金融、餐饮外卖、新闻资讯、车联网、SDK、智能家居等(正确答案)等C、金融、餐饮外卖、新闻资讯、车联网、快递物流、交通票务等D、网络借贷、餐饮外卖、求职招聘、车联网、房屋租售、智能家居等160.2020年4月28日获批发布的26项网络安全国家标准不包括A、信息安全技术防火墙安全技术要求和测试评价方法B、信息安全技术网络安全等级保护定级指南C、信息安全技术网络安全产品类别与代码D、信息安全技术轻量级鉴别与访问控制机制(正确答案)161.2020年4月20日至24日召开的ISO/IECJTC1/SC27(信息安全、网络安全和隐私保护分技术委员会)工作组线上会议主要内块密码补篇2》进展B、推动我国SM9密码算法的ISO/IEC18033-5《加密算法第5部分：基于标识的密码补篇1》进展求、测试和评估方法部分1:要求》进展(正确答案)第3部分使用非对称技术的机制补篇2》进展C、全国信息安全标准化技术委员会(正确答案)D、全国通信安全标准化技术委员会163.全国信息安全标准化技术委员会的编号是164.截止到2020年底全国信安标委发布的标准数为B、ISO/IECJTC1/SC27(正确答案)167.ISO/IECJTC1/SC27是著名的国际安全标准组织，其中SC是下面哪两个词的缩写?168.ISO的标准草案阶段顺序是169.以下哪一个不是专门安全标准化的组织?C、ISO/IECJTC1/SC42(正确答案)170.ISO中负责标准化技术组织与标准制定活动的机构是171.ISO标准中表达要求程度“应、宜、可”的词是172.ISO/IECJTC1的秘书处是D、美国ANSI(正确答案)173.事实标准通常指非标准化组织制定的，由领先企业在市场中形成的标准，下面哪个属于事实标准C、ARM体系架构(正确答案)174.下面哪种联络关系组织的专家可以担任ISO标准项目的A、CategoryA(正确答案)D、都不可以175.ISO标准中以下哪个部分是可选的?A、前言(正确答案)B、引言C、附录176.合格评定(ConformityAssessment)中的第三方指“独立方”,那第一方是：C、标准参与者被要求尽早披露其制知道的专利信息178.下面哪一个通常不认为是可信赖(Trustworthiness)的因素B、功能安全性(safety)C、一致性(consistence)(正确答案)179.下面哪一个ISO的标准开发阶段是不可以省略的?180.ISO技术标准组织中0成员的权利是：A、获得组织文件并有权提出意见(正确答案)B、对新工作项目、标准草案投票C、参加会议并贡献181.ISO中以下文件不能直接转化为国际标准(IS)的是：D、以上都不可以182.以下关于ISO的技术规范(TechnicalSpecification)说法不正确的是A、是规范性的文件B、允许不同技术路线的TS并存C、可以一直有效D、复审周期为5年(正确答案)183.以下不属于NIST网络安全框架的是：A、应加强对操作系统用户账户的管理；B、运行的操作系统应关闭所有对于业务应用正常运行所非必须的、外部可访问的端口、共享和服务；C、系统重启时，要销毁用户数据；(正确答案)方式及时修复操作系统中存在的安全漏洞；191.移动互联网应用服务器的安全审计要求中，不需留存以下哪些类型的日志信息?A、操作日志B、系统日志C、登录日志(正确答案)D、应用日志192.移动终端应用软件安全技术要求中对于数据安全要求不包含以下哪一项?A、数据存储安全B、数据传输安全C、数据共享安全(正确答案)193.以下哪项不是移动智能终端应用软件运行安全中的检测内容?B、资源占用C、升级D、卸载(正确答案)196.对于数据安全备份和恢复进行测试时，不应采用哪种测试方法?A、检查终端应用软件是否提供数据备份和恢复机制B、检查存储的备份数据是否为明文C、检查终端应用软件是否提供数据删除的功能(正确答案)D、数据恢复后，检查终端应用软件是否进行校验197.终端应用软件卸载后不能影响智能终端的正常使用，具体技术要求不包括A、测试过程中，终端应用软件不应出现失去响应的情况(正确答案)B、应能删除安装和使用过程中产生的文件和数据C、删除用户数据时应有提示D、不应影响终端操作系统和其他应用软件的功能C、应具备口令强度检查机制(如口令长度、复杂度要求等)200.移动智能终端系统和应用程序在对个人信息进行加工处A、加工目的C、加工手段201.加工阶段是指移动智能终端系统和应用程序对收集到的个人信息进行的操作处理，如A、录人C、提取(正确答案)202.通信信息是指移动智能终端用户用于发起或接受通信以及在通信过程中所产生的数据信息，不包括C、浏览记录(正确答案)D、短信203.文件信息是指存储在移动智能终端设备存储介质中的A、照片204.移动智能终端系统和应用程序收集涉及个人敏感信息和身份特征的个人信息时应该采取B、明示同意(正确答案)205.个人信息的数据转移过程无需保证所转移数据的206.移动智能终端系统和应用程序在进行个人信息数据传输转移时，无需告知移动智能终端设备用户当前个人信息A、转移的目的B、转移的时间(正确答案)207.移动智能终端操作系统保护的资产包括C、设备数据(正确答案)D、移动智能终端操作系统安全功能数据208.移动智能终端操作系统应具备鉴别信息保护的能力，具体技术要求不包括：A、进行用户身份鉴别时，仅将最少的反馈提供给被鉴别的用户B、应采取措施来实现鉴别失败的处理(正确答案)C、在用户执行鉴别信息修改操作之前，应经过身份鉴别D、鉴别信息应是不可见的，应采用加密方法对鉴别信息的存储进行安全保护209.为保证数据安全，应对系统数据进行存储保护，保证其不被泄漏或篡改A、重要(正确答案)210.应采取()安全机制，保证升级的时效性，例如自动升级，更新通知等手段A、至少一种(正确答案)D、至少三种211.正常工作状态下，移动智能终端操作系统不应C、内存占用少D、造成移动智能终端死机现象(正确答案)212.包过滤防火墙不能基于以下哪项要素进行访问控制C、日期、时间213.纵深防御所保护的核心资产为()。214.路由器通常工作在OSI模型的哪一层()?215.使用诸如X.25、ATM或帧中继等包或信元交换技建立的网络设备之间的数据通道叫做()。216.采用协议封装技术的VPN隧道可以在OSI模型的()上创建。D、除物理层之外所有层(正确答案)217.VPN端点设备的安全与以下哪个方面有关()?C、设备使用人员的信息安全意识的培养、教育和培训218.TISec技术的安全关联参数(SAP)协商不包括哪类信C、访问控制策略(正确答案)C、操作风险管理/治理220.域名服务系统是以()拓扑结构来定义的，由不同类别的域名服务系统服务机构负责不同级域名的解析服务。A、星型B、树型(正确答案)B、完整性和可用性(正确答案)222.关于移动智能终端用户数据收集功能，下列说法错误A、移动智能终端若出于业务需要收集用户数据，应在收集前明示收集的目的、范围、频次、发生时机及对应业务使用场景。B、移动智能终端应在用户同意后开启通话录音、本地录音、后台截屏等功能C、移动智能终端在征得用户同意读取通讯录后，可以直接对该信息进行转存。(正确答案)D、移动智能终端应在用户同意后才能读取用户本机号码、通讯录、通话记录等信息。223.以下哪些不属于移动智能终端的无线外围接口()?C、API(正确答案)D、红外224.在多用户系统中，移动智能终端系统应确保多用户间采取一定的()措施，防止用户数据非授权访问B、隔离机制(正确答案)225.为了应对网络窃听和网络攻击的威胁，对于在移动终端和远程网络实体之间通过无线方式传输用户数据以及配置数据，需使用可信的通信路径，以下哪种协议无法用于加密传输()?226.移动互联网第三方应用服务器应支持通过技术手段保证数据的存储安全，以下哪种技术手段无法保证数据的存储安全 C、异地容灾D、使用SSL协议(正确答案)227.移动互联网第三方应用服务器在处理移动应用客户端发来的数据时，应对数据的有效性进行验证，主要是用来防范以下哪种攻击()?D、非法上传228.移动互联网第三方应用服务器在提供广告业务时，在未向用户明确提示并获授权的情况下，不应借助移动应用客户端从用户设备中收集个人信息，以下不属于个人信息的是()。B、位置信息229.移动智能终端的安全架构不包括以下哪个选项()?B、环境安全(正确答案)器和()等。B、可信第三方(正确答案)D、以上三者231.在移动电子支付终端上，SIM卡、SAM卡或()是安全B、智能卡C、内置安全模块D、以上三者232.内置安全模块，嵌入移动终端的SAM卡槽中，作用是233.终端应用软件访问终端数据和终端资源，以下错误的A、未得到许可前不应访问终端数据和终端资源B、未得到许可前不应修改和删除终端数据234.以下哪种不属于移动智能终端个人信息的分类()?B、日志信息C、支付信息D、流量信息(正确答案)235.若终端应用软件使用过程中涉及验证码包括图形和手A、验证码应在终端应用软件服务端生成B、图形验证码应具备一定的抗机器识别能力C、应具有短信验证码防重放攻击机制D、验证码应具备时效性(正确答案)236.移动智能终端系统和应用程序在对个人信息进行加工处理时，应告知加工的()A、目的、范围或手段C、目的、方法或手段(正确答案)237.移动智能终端系统和应用程序，在通过调用操作系统或其他安装的第三方软件系统提供的()收集个人信息时，应告知用户，让用户知晓当前操作会收集个人信息的种类，以及收集B、API接口(正确答案)C、数据传输接口D、人机交互接口238.十三届全国人大常委会第十四次会议表决通过密码法的时间是()A、2019年10月10日B、2019年10月26日(正确答案)239.习近平主席签署第()号主席令正式颁布《密码法》。A、三十四B、三十五(正确答案)C、三十六D、三十七240.国家推动参与商用密码国际标准化活动，参与制定商用密码(),推进商用密码中国标准与国外标准之间的转化运用。241.国家鼓励商用密码从业单位采用商用密码()、行业标准，提升商用密码的防护能力，维护用户的合法权益。A、创新标准D、推荐性国家标准(正确答案)242.国家支持社会团体、企业利用自主创新技术制定()国家标准、行业标准相关技术要求的商用密码团体标准、企业标D、相当于243.下列哪个算法不属于商用密码国际标准?244.涉及国家安全、国计民生、社会公共利益的商用密码产品，由具备资格的机构()后，方可销售或者提供。B、进行认证C、批准上市245.我国金融信息系统、第二代居民身份证管理系统、国家电力信息系统、社会保障信息系统、全国中小学学籍管理系统中，都应用()技术构建了密码保障体系。C、商用密码(正确答案)246.关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照()的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全A、《中华人民共和国行政许可法》B、《中华人民共和国刑法》C、《中华人民共和国网络安全法》(正确答案)D、《中华人民共和国安全生产法》247.密码在网络空间中身份识别、安全隔离、信息加密、完整性保护和抗抵赖性等方面具有不可替代的重要作用，可实现信息的()、()、数据的()和行为的()。A、机密性、真实性、完整性、不可否认性(正确答案)B、秘密性、确定性、完整性、不可替代性C、机密性、安全性、统一性、不可抵赖性D、秘密性、有效性、统一性、不可逆转性248.密码是保障网络与信息安全()、()、()的手段。A、最有效、最可靠、最经济(正确答案)249.县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划，所需经费列入()财政预算。250.关键信息基础设施的运营者违反《密码法》第二十七条第二款规定，使用未经安全审查或者安全审查未通过的产品或者服务的，以下法律责任错误的是()。A、没收违法产品和违法所得(正确答案)B、由有关主管部门责令停止使用C、处采购金额一倍以上十倍以下罚款251.国家采取多种形式加强密码安全教育，将密码安全教育纳入(),增强公民、法人和其他组织的密码安全意识。B、国民教育体系和公务员教育培训体系(正确答案)C、公务员教育体系和成人教育体系D、成人教育体系和9年义务教育体系252.密码管理部门因工作需要，按照国家有关规定，可以提请()等部门对核心密码、普通密码有关物品和人员提供免检等便利，有关部门应当予以协助。A、公安、交通运输、海关(正确答案)253.密码管理部门和密码工作机构应当建立健全严格的监督和安全审查制度，对其工作人员遵守法律和纪律等情况进行监督，并依法采取必要措施，定期或者不定期组织开展()。B、安全审查(正确答案)254.国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用，健全()的商用密码市场体系，鼓励和促进商B、和谐、繁荣C、统一、开放D、低风险、高收益255.《中华人民共和国密码法》自()起施行。(出题单位：国家密码管理局)C、2020年1月1日(正确答案)256.国务院标准化行政主管部门和()依据各自职责，组织制定商用密码国家标准、行业标准。A、密码业务部门B、国家密码管理部门(正确答案)257.关于《密码法》,下列说法错误的是：()。的信息。(正确答案)258.各级人民政府及其有关部门应当遵循(),依法平等对待包括外商投资企业在内的商用密码从业单位。B、平等原则C、自愿原则D、非歧视原则(正确答案)259.下列说法不符合《密码法》规定的是()。A、各级人民政府及其有关部门鼓励和促进商用密码产业发B、依法平等对待包括外商投资企业在内的商用密码从业单C、鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。D、行政机关及其工作人员可利用行政手段强制转让商用密码技术。(正确答案)260.国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定，会同有关部门负责政务活动中使用()、数据电文的管理。B、电子签名(正确答案)C、电子文档D、电子证照261.国家推进商用密码()体系建设，制定相关技术规范、B、评估认证C、检测认证(正确答案)D、测评认证262.密码法第三十三条规定，违反本法第十四条规定，未按照要求使用核心密码、普通密码的，由密码管理部门责令改正或者停止违法行为，给予()。B、警告(正确答案)D、起诉263.密码学在信息安全中的应用是多样的，以下()不属A、网络协议生成(正确答案)264.下面哪一种算法不需要密钥?265.密码学包括哪两个独立的分支学科?B、密码编码学与密码分析学(正确答案)266.一个完整的密码体制，不包括以下()要素。267.RSA算法的安全性基于(),1994年，Shor算法的提A、大整数因子分解问题(正确答案)D、背包问题268.以下哪种分组密码工作模式不建议使用?269.将加密模式和消息鉴别码合成一个可鉴别的加密模式，最稳妥的方式是()。A、先生成消息鉴别码后加密B、先加密后生成消息鉴别码(正确答案)C、加密和生成消息鉴别码同时进行270.按照密钥长度分，AES分组密码算法有几个版本?271.SM9公钥密码算法的安全性基于()。A、椭圆曲线双线性映射的性质(正确答案)C、背包问题272.SM2公钥密码算法的安全性基于()。B、椭圆曲线的离散对数问题(正确答案)C、背包问题273.()是数据通信和数据存储中实现保密性保护的一种主要机制。B、加密(正确答案)274.什么时候可以单纯采用杂凑算法保护数据的完整性?A、杂凑值无法被修改(正确答案)275.ECB指的是?D、输出反馈模式276.SM3是()算法。C、标识密码D、密码杂凑(正确答案)277.国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定，会同有关部门负责政务活动中使用()、数据电文的管理。B、电子签名(正确答案)C、电子文档D、电子证照278.电子认证服务密码管理办法第五条规定，电子认证服务系统的建设和运行应当符合()。A、《证书认证系统密码及其相关安全技术规范》(正确答案)B、《电子认证服务密码及其相关安全技术规范》C、《安全证书系统密码及其相关安全技术规范》D《电子认证系统密码及其相关安全技术规范》279.强化市场监管措施的主要形式是加大商用密码产品()抽查力度。A、双随机一公开(正确答案)B、双公开一随机C、质量D、价格280.ZUC序列密码算法的初始向量长度是()。A、128比特(正确答案)C、杂凑函数281.RSA算法中，欧拉函数φ(n)的定义是()。A、不超过n其和n互素的正整数个数(正确答案)B、不超过n其和n互素的整数个数C、和n互素的整数个数D、和n互素的正整数个数282.下面哪一项不是密码杂凑函数的提法?()A、压缩函数(正确答案)B、散列函数283.PKI是()的简称。284.一个完整的密码体制，不包括以下()要素。285.密码学在信息安全中的应用是多样的，以下()不属于密码学的具体应用。A、网络协议生成(正确答案)B、完整性验证C、加密保护286.测评密码产品合规性时，需核验商用密码产品型号证书，证书编号的字冠应该是()。287.国自主设计的，()以及SM9标识密码算法等已成为288.组织应建立、实现、维护和持续改进信息安全管理体系。信息安全管理体系通过应用()来保持信息的保密性、完整性和可用性，并为相关方树立风险得到充分管理的信心。D、风险管理过程(正确答案)289.信息安全可通过实现一组合适的控制来达到，包括策略、过程、规程、组织结构和软硬件功能。必要时，需要建立、C、业务目标践指南》中，每一个主要安全控制类别包括一个控制目标和()控制，可被用于实现该控制目标。C、多个291.审核员事先未掌握评审对象除公开信息以外的任何其他特性的情况下进行的测试，称为()。292.()判定发现的信息安全事态是否属于信息安全事件。293.国家标准GB/Z20986—2007《信息安全技术信息安全事件分类分级指南》将信息安全事件分为()级。294.信息安全事件响应首先()。B、恢复信息系统C、判断信息安全事件是否在可控范围内(正确答案)295.攻击链是一个用来描述包含多个攻击步骤的多步攻击模型，常见的多步攻击模型包括()个步骤。296.网络安全预警级别根据网络安全保护对象的重要程度和网络安全保护对象可能受到损害的程度分为()个级别。297.ICT供应链安全风险管理过程由背景分析、风险风险处置、()、风险沟通和记录五个步骤组成。A、风险监督B、风险监督和检查(正确答案)298.ICT供应链脆弱性是在产品或服务的设计、开发、生产、交付、运维、报废等任意供应链环节能被()利用的缺陷。B、脆弱性C、威胁(正确答案)299.ICT供应链即ICT产品和服务的供应链，是指为满足 ()关系通过资源和过程将需方、供方相互连接的网链结构，可用于将信息通信技术的产品、服务提供给需方。A、购买C、供应(正确答案)300.ICT供应链基础设施是指由组织内的硬件、软件和()维护、报废等系统生命周期的环境。301.信息安全保障是对信息和信息系统的安全属性及功能、()进行保障的一系列适当行为或过程。A、效率(正确答案)B、作用C、后果D、影响302.金融信息服务提供商对金融信息进行采集、加工、处理和提供时应保证信息要素(),没有重大遗漏或信息歪曲失真的情况发生。A、完整(正确答案)303.信息安全保障指标体系共有三个层级，其中一级指标是根据信息安全保障的()个环节设置的。304.信息安全保障评价的目的是为满足评价的信息需求，通过()、测量模型等工具和方法对涉及到的评价对象及其属性C、指标体系(正确答案)估准则》阐述的灾难恢复服务能力分为几个级别?C、四D、五(正确答案)求》阐述的灾难恢复服务生命周期共划分为几个阶段?C、四指标》系列标准共包括几个标准?308.电子认证服务不同岗位从业人员管理共性要求，不包括以下哪一项?309.资产不太重要，其安全属性破坏后可能对组织造成较低的损失，则对应资产等级标识应为?310.信息安全风险评估的基本要素不包括?311.以下不属于信息安全风险处置措施的是?312.信息系统安全运维的安全运维规程不包括以下哪项?B、用户管理(正确答案)C、日志管理313.研究分析信息安全事件的相关情况及发展趋势，为应急响应提供咨询或提出建议，属于()的主要职责。A、应急响应领导小组C、应急响应专家小组(正确答案)314.依据应急响应启动操作规程，应由()发布应急响应启动令。A、应急响应领导小组(正确答案)D、应急响应实施小组315.信息安全事件发生后，()对信息安全事件进行评估，确定信息安全事件的类别与级别。A、应急响应领导小组C、应急响应专家小组D、急响应日常运行小组(正确答案)316.根据GB/T30283-2013《信息安全技术信息安全服务分类》,信息安全咨询服务一般以人员服务的方式提供相关咨询，其交付物通常以文档的形式体现，以下哪项服务属于信息安全咨询服务()。C、信息安全规划(正确答案)317.运行维护是信息系统全生命周期中的重要阶段，在这一阶段所提供的信息安全服务被称为“信息安全运维服务”,以下不属于“信息安全运维服务”的是()。318.信息安全服务(informationsecurityservice)定义为：“面向组织或个人的各类信息安全需求，由服务提供方按照服务协议所执行的一个信息安全过程或任务”。现有某企业发现其官方网站被植入了木马病毒，网页被篡改为某境外非法网站。根据以上情况，该企业最需要的信息安全服务为()。C、恶意代码防范与处理(正确答案)319.审核员在信息安全控制措施评审过程中，不可作为一320.信息安全管理体系中，不属于安全控制的来源为()。A、来自GB/T22081-2016《信息技术安全技术信息安全控B、其他控制集C、适当时针对特定的需求设计新的控制321.不属于基于威胁的信息安全事件分类是()。A、技术故障类C、数据库系统类(正确答案)322.GB/T20988—2007《信息安全技术信息系统灾难恢范》灾难恢复需求不包括()。B、系统性能分析(正确答案)D、确定灾难恢复目标323.政府部门应在实施服务外包信息安全管理时需遵循基本原则，以下不属于基本原则的是?()D、合同定义原则(正确答案)324.信息技术产品安全可控评价体系中，根据信息技术产品的生命周期将指标项划分为几类，以下不属于这些类的是?()B、供应链评价类C、服务保障评价类(正确答案)325.不属于电子认证服务分类的是()。A、基础业务类(正确答案)C、核心业务类326.《GB/T36639信息安全可信计算服务器可信支撑平台》是我国首部服务器领域可信计算应用标准，该标准规定了服务器中可信支撑平台的组成结构，其中不包括()。B、虚拟可信组件327.风险评估过程中发现linux服务器未配置登录IP限制，以下哪些措施不可以降低该风险?D、系统安装了杀毒软件(正确答案)328.应急响应流程不包括以下哪个阶段?()C、应急启动与处置329.国家标准GB/T24363-2009《信息安全应急响应计划规范》将信息安全应急响应计划的制定分为几个阶段，以下不是这些阶段的是?()A、应急响应计划的编制准备B、编制应急响应计划文档D、应急响应计划的测试、培训、演练和维护330.在虚拟化环境下，不属于服务器可信支撑平台中虚拟可信组件的是()。331.中国可信网络连接的核心是“三元对等实体鉴别”,在可信连接架构中的具体体现是引入安全第三方、实现实体之间三个层次和若干接口组件，不属于三个实体的是()。332.基于互联网电子政务信息安全参考模型用于规范基于互联网电子政务系统的建设流程。组织遵循由“安全策略(Policy)成的基于互联网电子政务信息安全参考模型(PIDDE),建立受控的基于互联网电子政务信息安全系统。A、识别(正确答案)B、规划D、防护333.分域控制是将基于互联网电子政务系统划分为内部数据处理区域、公开数据处理区域、安全服务区域和安全()区域，制定安全策略，实施基于安全域的接入控制，提供有效的域间信息安全交换功能A、管理(正确答案)B、产品D、技术334.基于互联网电子政务的终端围绕统一安全(),需实现核心安全配置、状态实时监测、系统补丁升级、恶意代码查杀B、技术335.GB/T18336-2015的主要目标读者为()。C、消费者和评估者D、消费者、开发者和评估者(正确答案)336.GB/T18336-2015标准中以下哪项不是保护轮廓(PP)的组成部分?()B、符合性声明337.GB/T18336-2015标准中组件的层次结构正确描述为?熟度模型》阐述的SSE-CMM⑧是几维结构?B、二(正确答案)D、四C、四D、五(正确答案)340.标准中必备的要素没有：A、封面B、引言(正确答案)C、范围341.根据GB/T30279—2020《信息安全技术网络安全漏洞分类分级指南》,将网络安全漏洞分为()个类别。342.根据GB/T28458-2020《信息安全技术网络安全漏洞标识与描述规范》,对于网络安全漏洞标识号格式为：为6位十进制数字序列号，表示YYYY年内漏洞的序号，必要时可扩展位数为固定的6位十进制数字序列号，表示YYYY年内漏洞的序号(正确答案)343.工业控制系统产品类标准与信息安全通用类产品标准相比，多考虑了下列哪项要求?()B、环境适应性要求(正确答案)C、自身安全要求344.GB/T37962-2019《信息安全技术工业控制系统产品信息安全通用评估准则》不适用哪类产品?()345.GB/T18336-2015《信息技术安全技术信息技术安全评估准则》等同采用那个国际标准?B、ISO/IEC15408:2008(正确答案)346.关于GB/T18336标准的发展历史，如下描述错误的是?A、本标准首次制定等同采用ISO/IEC15408:1999(该标准是基于CC版本V2.1的标准)B、2002年，首次制定发布了本标准GB/T18336-2002(正确C、2008年，修订发布了本标准GB/T18336-2008D、2015年，修订发布了本标准GB/T18336-2015347.GB/T18336-2015中定义的TOE可以是以下哪种情况?A、一个IT产品或一个IT产品的一部分C、一种不可能形成产品的独特技术D、以上这些情况的组合(正确答案)348.针对漏洞验证环节，下列相关内容中描述错误的是：A、漏洞相关联的网络运营者进行应及时对漏洞的存在性、等级、类别等进行技术验证B、漏洞类别和等级是漏洞描述项的必须项别类决定(正确答案)349.路由器是主要的网络节点设备，承载数据流量，通过()算法决定