第二届通信网络安全知识技能竞赛初赛试题

一、单选（共30题，总分15分）

1、两高司法解释规定，利用信息网络诽谤他人，同一诽谤信息实际被

点击、浏览次数达到一次以上，或者被转发次数达到一次以上的，应当认定

为刑法第246条第1款规定的“情节严重”，可构成诽谤罪（）。

A、100001000

B、50005000

C、5000500

D、10000500

2、关于风险处置的方式，下列哪项是不正确的：（）o

A、风险降低

B、风险接受

C、风险消除

D、风险转移

3、此前的2013年8月25日，国家域名解析节点受到拒绝服务攻击，

影响了以.CN为根域名的部分网站的正常访问。这是国家域名遭遇的近年最大网

络攻击事件。如果犯罪主体都是年满16周岁具有刑事责任能力的自然人，可构

成破坏计算机信息系统罪。应判处（）年以上。

A、3

B、5

C、8

D、10

4、根据系统重要性以及安全事件对系统可用性、完整性、保密性的账

响程度，安全事件可分为：（）。

A、特别重大、重大、较大和一般四个级别

B、重大、较大和一般三个级别

C、重大、较大、紧急和一般四个级别

D、重大、紧急和一般三个级别

5、《关于贯彻落实电信网络等级保护定级工作的通知》（信电函

[2007]101号）中内容，以下说法正确的是（）o

A.基础电信运营企业应当围绕以下范围进行定级：核心生产单元、非核心

生产单元

B.企业各定级对象的定级结果应由集团公司进行审核，并报信息产业部电

信网络安全防护专家组评审

C.当专家组评审意见与电信运营企业的意见不能一致时，应尊重专家组意

见进行定级报告的相应修订，之后方可进行备案

D.定级备案材料应采用纸质文档将有关材料报送相应电信监管部门，并加

盖单位公章

6、电信管理机构应当对通信网络运行单位开展通信网络安全防护工作

的情况进行检查，以下检查措施不正确的是（）o

A.查阅通信网络运行单位的符合性评测报告和风险评估报告

B.对通信网络进行技术性分析和测试

C.查验通信网络运行单位的安全产品招标文件参数及有关设施的使用情况

D.查阅通信网络世行单位有关网络安全防护的文档和工作记录

7、按照《电信网和互联网管理安全等级保护要求》，对于3.1级保护要

求规定，针对人员配置方面描述错误的是：（）。

A.应配备一定数量的系统管理人员、网络管理人员、安全管理员等

B.应配备专职安全管理员，不可兼任

C.应配备专职安全审计人员

D.关键事务卤位应配备多人共同管理

8、电信网和互联网安全等级保护要求中存储介质的清除或销毁的活动

描述不包含以下哪项内容：（）。

A.信息资产转移、暂存和清除

B.识别要清除或箱毁的介质

C.存储介质处理

D.存储介质处理过程记录

9、为新办公区域建设服务器机房时，应该采用哪种访问控制安全策略

来控制机房的主要入口和第二入口（假设只有2个入口）？（）

A.主要入口和第二入口均应采取刷卡或密码锁进行控制

B.主要入口应由保安守卫；第二入口应上锁，且不许任何人进出

C.主要入口应采取刷卡或密码锁进行控制；第二入口应由保安守卫

D.主要入口应采取刷卡或密码锁进行控制；第二入口应上锁，且不许任何

人进入

10、网络和业务运营商在网络实际运行之前对其安全等级保护工作的实

施情况进行安全检测，确保其达到安全防护要求，这是（）阶段的工作内

容。

A.安全总体规划阶段

B.安全设计与实施阶段

C.安全运维阶段

D.安全资产终止阶段

11、从电信网和互联网管理安全等级保护第（）级开始要求，关键

岗位人员离岗须承诺调离后的保密义务后方可离开。

A.1

B.2

C.3.1

D.3.2

12、按照电信网和互联网安全防护体系定级对象的划分，网上营业厅所

属网络/系统类型为（）o

A.互联网

B.信息服务系统

C.非核心生产单元

D.增值业务网

13、根据《关于贯彻落实电信网络等级保护定级工作的通知》的有关要

求，电信运营企业省级公司负责管理的定级对象，由（）负责定级备案审

核。

A.电信运营企业集团公司

B.电信运营企业各省级公司

C.工业和信息化部

D.各省通信管理局

14、网络单元安全建设管理不包括（）。

A.产品采购和使用

B.软件开发

C.安全事件处置

D.安全方案设计

15、下列描述中（）不属于定级对象相关应急预案管理的要求。

A.应在统一的安全框架下制定不同事件的应急预案。

B.应急预案应至少包括启动应急预案的条件、应急处理流程、系统恢复流

程、事后教育和培训等内容。

C.应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源

保障。

D.应至少每年组织一次对应急预案相关内容的审查和修订。

16、以下日志条目是取自Linux的一条su错误日志信息：Mar22

11:11:34abcPAM_pwdb[999]:authenticationfailure;cross（uid=500）->root

forsuservice,这条命令应该是被存储在哪个日志文件中？（）

A.lastlog

B.wtmp

C.dmesg

D.messages

c.4.3及以下的版本

D.3.0及以下的版本

23、管理员发现本机上存在多个webshell,之后查看日志信息，发现服

务器本身的日志被删除了，所以登录WEB后台，查看后台日志，此时发现后台

有被管理员登录的情况，且有很多管理员登录失败的信息，之后有成功登录后

并执行了一些操作的情况，下面最有可能是攻击者的攻击手段的是()。

A.利用SQL注入，获取管理员的密码，直接登录后台，上传wcbshell

B.直接利用SQL注入写入一句话后，上传webshell,获取管理员密码，登

录后台

C.利用暴力破解登录后台，上传webshell

0.利用跨站语句，窃取cookie后，利用cookie登录，上传webshell,窃

取管理员后台密码登录

24、在很多时候，攻击者攻击了一台服务器后，会留下木马、后门等程

序，来达到其能够长久控制服务器的目的，对于达到这个目的的手段，有很多

种不同的方法，其中就有在Windows下进行账户的隐藏，而对于管理人员，应

该如何准确的判断出系统是否有隐藏账户的存在()o

A.账户隐藏只能在命令行下隐藏账户，所以只需要检查账户管理器上的账

户就行

B.账户隐臧可以实现注册表级隐臧，只要新建用户后，将注册表里账户的

键值删除，这样在命令行下和注册表下都发现不了账户了，只能在账户管理器下

发现

C.账户隐藏可以分为命令行下的隐藏和注册表级的隐藏，对于命令行下的

隐藏，可以通过查看账户管理器上的用户来查看

D.以上的判断方法都错

25、一句话木马是攻击者常用的shell语句，攻击者也经常用其在WEB

站点中作为隐藏后门，下面的php语句不可以作为后门被隐藏在攻击者站点的

是()o

A、<?phpprint_r($_P0ST[cmd]')；?>

B、<?php

eval(gzinflate(base64decode(rSy1LzNFQiQ/wDw6JVk/OTVGP1bQGAA==')))；?>

C、<?php$_GET[a](S_REQUEST[cmd])；?>

D、<?phpecho($_P0ST[,cmd,])；?>

26、以下关于的返回状态哪种说法是不正确的？()0

[23/Aug/2013:10:45:12*0800]"GETZmanager/htmlHTTP/1.1"4012573

[23/Aug/2013:10:45:12*0800]"GET/nanager/htnlHTTP/1.1"4012573

[23/Aug/2013:1O:45:12*0800]"GET/nanager/htnlHTTP/1.1"4012573

[23/Aug/2O13:10:45:12*0800]"GET/nanager/htmlHTTP/1.1"4012573

[23/Aug/2O13:10:45:12*0800]"GET/manager/htmlHTTP/1.1**4012573

min[23/Aug/2013:1O:45:12*0800]"GET/nanager/htmlHTTP/1.1"20617544

[23/Aug/2013:10:45:12*0800]"GET/nanager/htmlHTTP/1.1"4012573

[23/Aug/2O13:10:45:12*0800]"GET/nanager/htmlHTTP/1.1"4012573

[23/Aug/2O13:10:45:12*0800]"GET/manager/htmlHTTP/1.1"4012573

[23/Aug/2013:10:45:25*0800]"GET/nanager/htmlHTTP/1.104012573

[23/Aug/2013:10:45:25*0800]"GET/nanager/htmlHTTP/1.1"4012573

min[23/Aug/2013;10;45;32*0800]"GET/manager/htmlHTTP/1.1"20616048

nin[23/Aug/2013:10:46:01*0800]"POST/nanager/html/upload?

a.Filters.CSRF_NONCE=BF9166613D4A715C950234DCB43824O8HTTP/1.1"20017501

[23/Aug/2013:10:46:O5*0800]"GET/gHTTP/1.1"392-

[23/Aug/2013：10:46:05*0800]"GET/g/HTIP/1.1"404961

A.401状态代表访问失败

B.404状态代表文件不存在

C.200状态代表成功访问网页

D.302状态代表继续使用原有地址来响应请求

27、下图所示，神器mimikatz是直接读取哪个进程来解密hashLM加密

的windows登陆密码是（）。

minikatzMsekurlsa：：LogonPasswordsfull

Authentification1d：0；141632

Packaged*authentification：NTLH

Utilisateurprincipal：Adninistrator

Bonainedfauthentification：MDXY

nsul_0：脚本之凉

*Utilisateui*Adninistrator

mDonaine：MDXY

«HashLM:798523FF10b99bl873251aa2b4314b90

*HashNTLM：c68a2bS9al833129d542eal724blf26f

kerberos：

*Utilisateui*：Adninistrator

*Donaine:MDXY

xMotdepasse

“digest：

“Utilisateur:Adninistrator

A.winlogin,exe

B.Kernel,exe

C.Lsass.exe

D.Svchost.exe

28、请依据下图sniffer的抓包，分析最有可能是什么攻击行为？（）

TintSourceDeslinationProtocollife

0.000000TCPec-rfice-4^2>ssh|R15eq=0施=5玳Ler=OHS54460TSV=178360

1.0002171.1,1.21.1,1.4TCPssh>甲nACK]seq=oAck=lrfin=57WLen=ONSS4460

0.0005611.1,1.41.1,1.2TCPeq-ffice-4^2>sshAC<]S部:元k=l而由4DLen=oTW=17836D6'

0.0065361.1,1.25$Hv2ServerProtocol:SSH-J［圮隼恸JJoi

0.008258LW1.1,1.2TCPeq-offIce-4942>ssh跳:£年Mk=24^n=5840Len=OTSV478360?1

0.0088001.1.1,^1.1,1.255Hv2clientProtocol:SSH-2.0-

0.0089111.1,1.21.1,1.4TCPssh>q-officewgn[AC<]S牛24；ck=22win=5792Len=OTS?=6602401

0.0109491.1,1.255Hv2Server:KeyExchangelnat

0.0118331.1,1.4l.i.1,2S5Hv2client:KeyExchangeini

Q,D2Q别l.l.M4943>ssh51小]Seq=iJl"n=5^iJLen=O时"1460TSV=1783618TSER=UU1

O.O21D21.1,1.21.1,1.4ssh>4迫STh,MK]叼=QAd=l4nH92Le何M15S=1460T9/=6602<

0.021336LIL1.1,1.24943>ssh期脚1A：i<^1n=584OLer=OV5V=1783618区麻麻

0.0232511.1,1.21.1,1.4S$Hv2serverProtocol:SSH-l.59<ipensSHJ.5pl

0.0237221.1,1.2购>ssh[O]Seq4而Len«OT泡源619-麻=66吆

O.D241221.1,1.2S5HV2ClientProtocol:SSH-2.0-lit5sh-0.11\r

0.0242261.1,1.21.1,1.4ssh〉4见[KK]Seq=24Ack=22而=5泡Len=CTW=56Q2，RE7联

0.0260661.1,1.21.1,1.45SHv2Server:KeyExchangeln,t

0.0269171.1.1,^SSHv2client:KeyExchangeln,t

0.035896LLL44944>SSh[5VN]Seq=OViOsJ^OLen=ONSS4460TSV4783K0TSER=UU1

0.D36C421.1,1.21.1,1.4ssh>网[5YN,KK]sq=dMk=l而=5漫Len=OM5S=1460T5M6Q2：

Q.丽l.l.l.Z4944>ssh[o]seqdA：i<'«1n=584OLer=O”处U胸”砸66。闻

0.0380591.1,1.255Hv2ServerProtocol:SSH-l,^-0penSSHJ.5pl

0.0385941.1,1.41.1,1.2榭4>ssh[CK]Seq=lACU24而刚。Len»OTSV-1783631'SER«i

AZCC”44444,4，-尸/*1，,AnalaeaLA44，・

A.ARP欺骗

B.暴力破解

C.DDOS攻击

D.DNS域名中毒

29、下图最有可能使用了googlehack的哪种方式搜索？()

site:

网页图片地图更多▼挫索工具

找到约24条结果《用时0/3秒)

［DOC］订阅回执但标准定价(事新)「诵信网络安全专心委员会

/gzdV201104/P020120229564699369191.doc▼

订阅明细.书名《通信网络安全管理文件与标准汇编》(法律与文件部分).订购数里.

标准号.(1).订购数里.(1).(2).(2).(3).(3).(4).(4)(5).(5).备注基本信息

moa(安全设计与集成).dOC-诵信网络安全专业委员会

/wjzl/201203/P020120315612316900777.doc▼

申请编号：.中国通信企业协会.通信网络安全脓务能力评定申请书安全设计与集

成)V1.申请单位(盖章)：.申请日期：.中国通信企业协会通信网络安全专业委员

=...

moc】"诵信网络安全防护工作实施研修班”报名回执及培训课程表

WWW/gzdt/201205/P020120531349124855681.doc▼

A.site:.cnfiletype:doc

B.site:cace-ns.org.cntype:doc

C.site:cace-ns.org.cnfile:doc

D.site:cace-ns.org.cninurl:doc

30、如下图所示，终端服务器超出了最大允许连接数，可以通过什么命

令来强行登陆？（）

登录消息

△将质服务器超出了最大允许连d

确定

A.mstsc/f:IP/console

B.mstsc/v:IP/console

C.mstsc/w:IP/console

D.mstsc/h:IP/console

三、不定项选择（共50题，总分50分）

1、风险评估的三个要素（）o

A.政策，结构和技术

B.组织，技术和信息

C.硬件，软件和人

D.资产，威胁和脆弱性

2、电信网和互联网中的网络和业务运营商根据所制定的灾难备份及恢

复策略应做到以下哪些方面？（）

A.获取硬件、软/牛、网络、工作时间等方面的相应技术支持能力

B.建立各种完善的操作和制度

C.建立相应的技术支持组织

D.定期对技术人员进行操作技能培训

3、安全风险评估中，应评估的风险要素包括：（）。

A.网络单元资产

B.威胁

C.脆弱性

D.防护措施

E.风险

F.残余风险

4、下面对风险要素及其属性之间的关系描述正确的是：（）。

A.资产价值越大则其面临的风险越大

B.风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成

安全事件

C.脆弱性是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从

而形成风险

D.安全措施可抵御威胁，降低安全事件的发生的可能性，并减少影响

E.通过风险规避处理方法，风险可以被消除

F.残余风险应受到密切监视，它可能会在将来诱发新的安全事件

5、容灾等级越高，贝U（）。

A.业务恢复时间越短

B.所需成本越高

C.所需人员越多

D.保护的数据越重要

6、中华人民共和国工业和信息化部令第11号《通信网络安全防护管理

办法》中的以下说法错误的是（）o

A.通信网络运行单位按照各通信网络单元遭到破坏后可能对国家安全、经

济运行、社会秩序、公众利益的危害程度，由低到高分别划分为一至五级，由各

通信网络运行单位根据自身情况进行通信网络单元的划分和分级，在自行评审三

十日内，将通信网络单元的划分和定级情况向电信管理机构备案

B.通信网络运行单位新建、改建、扩建通信网络工程项目，应当在验收和

投入使用后根据通信网络工程的实际应用需求设计、建设通信网络安全保障设施,

并严格按照设计需求进行验收和投入使用

C.通信网络运行单位办理通信网络单元备案，应当提交的信息包括以下内

容：a、通信网络单元的名称、级别和主要功能；b、通信网络单元责任单位为名

称和联系方式；c、通信网络单元主要责任人的姓名和联系方式；d、通信网络单

元的拓扑架构、网络边界、主要软硬件型号、配宜数据和关键设施位置；e、电

信管理机构要求提交的涉及通信网络安全的其他信息

D.三级及三级以上通信网络单元应当每年进行一次符合性测评，二级通信

网络单元应当每两年进行一次符合性测评，通信网络单元的划分和基本调整的，

应当自调整完成之日起三十日内重新进行符合性评测

E.三级及三级以上通信网络单元应当每年进行一次安全风险评估，二级通

信网络单元应当每两年进行一次安全风险评估，通信网络运行单位应当在安全风

险评估结束后三十日内，将安全风险评估结果、除患处理情况或者处理计划报送

通信网络单元的备案机构

7、《关于进一步开展电信网络安全防护工作的实施意见》（信部电

[2007]555号）中关于安全服务机构的选择，以下说法正确的是（）0

A.在中华人民共和国境内注册成立（港澳台地区除外）

B.由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地

区除外）

C.从事电信网络安全保障服务工作二年以上、无违法记录

D.相关工作仅限于中国公民，法人及主要业务、技术人员无犯罪记录

E.具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安

全管理制度

F.具有良好的金融信用记录，三年内无企业不良信用记录

8、关于开展通信网络安全检查工作的相关内容，以下说法正确的是

（）o

A.检查对象原则上是个基础运营企业已定级备案的2.2级及以上通信网络

单元

B.检查工作按照如下步骤进行：部署阶段、自查阶段、抽查阶段、整改阶

段、总结阶段

C.工作要求如下：提高认识加强领导、明确分工加强指导、完善制度夯实

基础

D.抽查阶段采取听取汇报和委托专业安全机构进行现网检测（含渗透性测

试）两种方式进行

9、《关于开展通信网络单元安全防护定级备案调整工作的通知》（工信

部保[2010]14号）中关于已备案网络单元的变更，以下说法正确的是（）0

A.只进行信息更新的变更，应根据本单位实际情况对备案单位基本信息进

行更新，同时根据本单位网络建设情况或企业内部管理归属等，梳理只需进行备

案信息更新的网络单元

B.只进行信息更新的变更，应根据本单位实际情况对备案单位基本信息进

行更新，同时根据本单位网络建设情况或企业内部管理归属等，重新梳理该系统

的所有网络单元

C.对涉及网络安全保护等级调整、网络单元拆分或合并等的其他变更，首

先删除相关网络单元的备案信息，然后按照未备案网络单元进行定级备案

D.对涉及网络安全保护等级调整、网络单元拆分或合并等的其他变更，首

先按照未备案网络单元进行新系统的定级备案，然后删除之前相关网络单元的备

案信息

10、电信网和互联网安全等级保护工作应首先满足电信网和互联网安全

防护工作提出的适度安全原则、标准性原则、可控性原则、完备性原则、最小

影响原则以及保密性原则。在此基础上，电信网和互联网安全等级保护工作在

实施过程中还应重点遵循以下原则（）。

A.自主保护原则

B.同步建设原则

C.重点保护原则

D.适当调整原则

11>通信行业开展信息安全管理体系认证有利于各单位规范信息安全管

理，有利于企业开拓市场，那么在通信行业信息安全管理体系认证工作的管理

上，以下说法正确的是（）。

A.各基础运营商确需要申请信息安全管理体系认证的，应事前报公安机关

同意后方可进行

B.信息安全管理体系认证不应涉及统一网络安全防护二级（含）以上网元

C.申请认证单位应选择国家认证认可监督管理部门批准从事信息安全管理

体系认证的认证机构进行认证

D.各单位要建立健全规章制度，加强对下属机构申请信息安全管理体系认

证的安全管理，掌握下属机构认证情况

12、在电信网和互联网安全防护管理指南中，安全等级保护、安全风险

评估、灾难备份及恢复三者之间的关系是（）。

A.电信网和互联网安全防护体系中的安全笔级保护、安全风险评估、灾难

备份及恢莫兰者之间密切相关、互相渗透、互为补充

B.电信网和互联网安全防护应将安全等级保护、安全风险评估、灾难备份

及恢复工作有机结合，加强相关工作之间的整合和衔接，保证电信网络安全防护

工作的整体性、统一性和协调性

C.电信网络安全防护工作应按照根据被保护对象的重要性进行分等级保护

的思想，通过安全风险评估的方法正确认识被保护对象存在的脆弱性和面临的威

胁，进而制定、落实和改进与安全保护等级和风险大小相适应的一系列管理、技

术、灾难备份等安全等级保护措施，最终达到提高电信网络安全保护能力和水平

的目的

D.电信网和互联网安全等级保护、安全风险评估和灾难备份及恢复工作应

随着电信网和互联网的发展变化而动态调整，适应国家对电信网和互联网的安全

要求

13、下列对威胁描述正确的是：（）。

A.威胁是一种对资产构成潜在破坏的可能性因素，是客观存在的。

B.造成威胁的因素包括技术因素、环境因素和人为因素等。

C.威胁作用形式可以是对电信网和互联网及相关系统直接或间接的攻击，

在社会影响力、业务价值和可用性等方面造成损害，也可能是偶发的或蓄意的事

件。

D.威胁只有利用资产的脆弱性，才能构成风险。

E.通常，威胁的等级的高低代表威胁出现的频率的高低。

14、下列对风险评定和处置描述正确的是：（

A.在制定风险处置计划时，应优（首）先将资产的风险值与风险阀值相比

较

B.如果现有安全措施已经将资产风险值降低到可接受的程度，就可以继续

保持现有措施

C.选择风险处置计划时，可以同时选择降低、接受、回避、转移一种或儿

种

D.选择风险处置计划时，应考虑风险降低和投入的平衡

E.残余风险应控制在风险阀值以下

15、运维阶段的风险评估应定期执行，当组织的业务流程、系统状况发

生重大变化时，也应进行风险评估。重大变更包括以下变更（但不限于）：（

A.增加新的业务/应用或业务/应用发生较大变更

B.网络结构和连接状况发生较大变更

C.技术平台大规模的更新

D.系统扩容或改造后进行

E.发生重大安全事件后，或基于某些运行记录怀疑将发生重大安全事件

F.组织结构发生重大变动对系统产生影响

16、对于通信网络单元的定级备案工作，下列描述正确的是：（）。

A.企业各定级对象的定级结果（含1至5级）应由集团公司进行审核

B.安全保护等级队定为第2级及以下级别的定级对象，无需报信息产业部

电信网络安全防护专家组评审，可直接向电信监管部门进行备案

C.安全保护等级必定为第2级及以上级别的定级对象，应由集团公司将定

级报告（电子版）报送信息产业部电信网络安全防护专家组评审

D.当专家组评审意见与电信运营企业的意见达不成一致时，应选择双方建

议级别中较高的级别作为最终确定的级别，并由电信运营企业对定级报告进行相

应修订，之后方可进行备案

17、有关定级结果备案的描述正确的是：（）o

A.备案工作由集团公司和省级公司进行，各需填写一份备案单位基本情况

表

B.地市及以下公司由省级公司统一向当地通信管理局备案，不再作为单独

的管理主体另行备案

C.每级定级对象均需填写一份备案信息表、定级报告

D.集团公司、各省级公司负责管理的定级对象，均由工业和信息化部负责

定级备案审核

18、针对风险评估，下列描述正确的是：（）。

A.资产是具有价，直的资源，是安全防护体系保护的对象，评估者可根据企

业自身情况灵活地把握资产划分粒度，如可将某个定级对象整体作为一

个资产进行评,古。

B.脆弱性是资产本身存在的，是资产中存在的弱点、缺陷与不足。

C.威胁是一种对资产构成潜在破坏的可能性因素，是客观存在的。

D.评估者应针对每一个资产，对已经采取的安全措施及其有效性进行确认,

并将已经采取的安全措施记录下来。

E.评估者判断威胁利用资产的脆弱性导致安全事件发生的可能性以及安全

事件一旦发生造成的资产损失，分析资产存在的安全风险，结合已有的安全措施

判断目前的安全风险是否在可接受的范围内。

19、根据2013年的《网络单元安全防护检测评分方法》，下列描述正确

的是：（）。

A.网络单元的安全防护得分等于安全评测得分加风险评估得分。

B.网络单元的得分二安全评测得分*60%+风险评估得分40机

C.安全评测得分和风险评估得分的满分为一百分。

D.风险评估得分采用二次扣分方法。

20、关于安全官计目的描述正确的是（）0

A.识别和分析未经授权的动作或攻击

B.记录用户活动和系统管理

C.将动作归结到为其负责的实体

D.实现对安全事件的应急响应

21、电信监管部门会基于电信运营企业的风险评估报告，结合现场调研,

定期或不定期对电信运营企业相关工作的实施开展情况进行监督检查，监督检

查内容主要包括：（）o

A.风险评估实施方法是否符合国家和信息产业部组织制定的相关标准或实

施指南

B.第三方风险评估服务机构的选择是否符合有关规定

C.评估中是否发现了重大漏洞或安全隐患

D.定级对象的备案信息是否与实际情况相符

E.其它应当进行监督检查的事项

22、通信网络运行单位办理通信网络单元备案，应当提交以下哪些信息

()o

A.通信网络单元的名称、级别和主要功能

B.通信网络单元责任单位的名称和联系方式

C.通信网络单元主要负责人的姓名和联系方式

D.通信网络单元的拓扑架构、网络边界、主要软硬件及型号和关键设施位

I

E.电信管理机构要求提交的涉及通信网络安全的其他信息

23、按照电信王和互联网安全防护系列标准，灾难备份及恢复策略的实

现包括以下关键部分：()o

A.灾难备份技术方案的实现

B.人员和技术支持能力的实现

C.运行维护管理能力的实现

D.灾难恢复预案的实现

E.业务连续性方案的实现

24、关于通信行业信息安全管理体系认证管理工作，以下描述中正确的

是：()o

A.信息安全管理体系认证是依据相关信息安全管理标准(GB/T

22080-2008/1S01EC27001：2005等)，对一个单位信息安全管理状况进行评价

的过程

B.开展信息安全管理体系认证有利于各单位规范信息安全管理

C.认证活动涉及被认证单位的内部管理、网络拓扑、关键设备配置、安全

防护情况等信息，如果管理工作不到位，会增加信息安全风险

D.开展信息安全管理体系认证不利于企业开拓市场

25、如果攻击者利用这样的手段运行命令：1;exec

master..xp_cmdshell*dirc:\bk.txt*一，需要具备哪些条件？请选择如下

正确的选项()o

A.必须获取到sa权限；

B.必须具备系统管理员权限；

C.必须能调用扩展存储；

D.如果是从应用层攻击，必须存在可注入的漏洞

26、某管理员发现其服务器处理速度非常缓慢，使用netstat-an进行

查看，发现了如图所示的问题。请帮助管理员判断可能发生了什么样的攻击？

()o

TCP3:1395:12295SVN.RECEIUED

TCPlfl.1G,10.13：1395:013$VN■RECEIVED

TCP3:1395:45626$VN■RECEIVED

TCP18.10.18,13:1395:51567$VN■RECEIVED

TCP10.10.10,13:1396:16653SVN.RECEIUED

TCP10.10.10,13:1396:24637SVN■RECEIVED

TCP3:1396:46674SVN■RECEIUED

TCP3:1396:53784SVN.RECEIUED

TCP10.10.10,13:1396:63246SVN■RECEIUED

TCP10.10.10,13:1397:17252SVN■RECEIUED

TCP10.10.10,13:1397:19265SVN■RECEIUED

A.DDOS攻击

B.CC攻击

C.Sql注入攻击

D.Arp攻击

E.DNS域名欺骗

27、以下属于linux系统rootkit检查工具的是（）。

A.Chkrookit

B.Rkhunter

C.Wsyscheck

D.Iceswork

E.Webshellscan

28、,如果你用ssh登录发现history记录了你的命令，如果你不想让它

记录你接下来输入的命令，以下哪个命令是正确的（）o

A.exportHTSTFZLE=/dev/nul1

B.exportHISTSZZE=O

C.exportHISTF1LESIZE=O

D.historty-c

29、以下那些工具可以进行sql注入攻击（）o

A.pangolin

B.sqlmap

C.Havij

D.PwDump

30、黑客可以通过对网络设备或主机进行欺骗攻击，从而通过改变数据

包的原有传输路径而绕过防火墙或IDS等安全防护设备，下面哪种技术无法改

变数据传输路径（）o

A.ICMP重定向(ICMPredirect)

B.IP源路由(IPsourceroute)

C.单播反向路径转发(URPF)

D.黑洞路由(blackholeroute)

31、在php脚本的mysql数据库构架的sql注入中，经常用到load_file（）

函数，读取文件。默认安装情况下，如果sql注入点是root用户权限，以下说

法正确的是（）。

A.Windows2003系统中可以读取sam文件

B.Linux系统中可以读取/etc/shadow文件

C.Linux系统中可以读取/etc/passwd文件

D.Linux系统中可以读取/etc/issue文件

32、如果网站遭受下图所示的攻击后，应该采取哪些安全措施（）。

攻击URL：|http：//www.cace-ns.org.cn/js/jsp?id=1

浏览器类|Mozilla/4.07compatible;MSIE6.0?Windows5.1)

Cookie：

暂停|

P随机攻击

攻击选项:攻击速度[1000攻击线程：（300[o增加线程

«随机字符

代理列表

|127.0.0.1|8080添加

51:80

5:80

41:3128□

14:30

00:80

69.10.130,206:8380

7:9090

2:8080

6:8089

07:8380

50:8080

04:80

54:8380

12:308

2111247in-Rn

导入删除保存

A.如果是windows服务器安装安全狗软件进行防御

B.禁止网站代理访问，尽量将网站做成静态页面，限制连接数量等数

C.利用Session加入防刷新模式，在页面里判断刷新，是刷新就不让它访

问

D.采用CDN技术

33、请问下图所示使用了哪些技术成功访问了windows的sam文件

()。

s//99,L76221;8443/PA$/a:>p?5ervice=a55et&sp=%2F“%2F“%2F”%2F“%2F”%2F“%2F“%2F..%2F“%2F”%2F“%2F“%2Fwindcw5/repair/5am9

egf??钱?翅？p\SystemRoot'\System32

ConfigXSAM99999999999999999999999999999999999999999999999099999999999999999999999999999999999999999999999999

Ahbi褥?毓?？nk,T昧斯??？xSAMXskxx?€p€\???nk改豁缘？?px

AH?nkTE搦?xEXACT?????vk??I??p?vk??CP?€x?D0

xDomains?IfxDomaRXAC?vk€?nk?咨府?*?XX?Builtin???@?vk??F

k??V(????€x?D0?z?4???h€?nkTE搦缥？hxUsers??€?vk€?

aires?IfName?我€?p?nkTE楣练？p?xGroups?vk€er?vk€?nkTE梯蛛?？

fName?vk€?nk7.猱㈱?8/xAliases?lf?Alia?Grou?User???nk7.猱缥?？p5

??nk即1滦[??睇xxRMerobers?p?0???vk€?nkN)?柴

EST-004987?vk€?00?nk恫?背?Xx7000003EB????vk€?LS?(??

A.字符截断

B.业务乱序

C.Sql注入

D.任意文件下载

E.旁注

34、在SQLServer2000中一些无用的存储过程，这些存储过程极容易被

攻击者利用，攻击数据库系统。下面的存储过程哪些可以用来执行系统命令或

修改注册表？()

A.xpcmdshellB.xp_rcgwrite

C.xp_regdeletekeyD.Xp_regadd

35、以下代码片段可能导致缓冲区溢出的有哪些()o

A.voidf(char*str|{

charbuffer[4];

strcpy(buffer,str);

)

B.voidf(char*str|{

charbuffer[20];

buffer[0]=>\0';

strcat(buffer,str)

)

C.voidf(char*str|{

charbuffer[20];

strncpy(buffer,str,19);

}

D.voidf(char*str|{

charbuffer[20];

memcpy(buffer,str,strlen(str));

}

36、移动应用开发可以使用（）技术增强应用安全。

A.应用TSL/SSL

B.对应用代码进行签名

C.本地加密存储敏感信息

D.进行代码混淆

37>近年来，php的框架越来越多，例如discuz、phpcms等，而乌云等

很多白帽子的网站，也经常公布这些框架的漏洞，其中有一项为本地文件包含

的漏洞，下列说法正确的是（）o

A.本地文件包含只是php语言特有的

B.本地文件包含可以用来隐藏webshell

C.如果include：）的一个参数，是通过客户端传递进来的，很可能存在本

地包含的漏洞

D.本地文件包含的文件，只要是txt的文件，就算里面有恶意代码，也不

会影响站点

38、管理员在WEB后台查看日志，发现自己的WEB管理员账户有异常操

作，但是没有看到有异常登录的情况，并且日志没有被删除的痕迹，该管理员

可能遭受的攻击是（）。

A.SQL注入

B.跨站攻击

C.目录遍历

D.CSRF攻击

E.暴力破解

39、一台Linux服务器，如果被攻击了，管理人员通常会查看相应的日

志来确定一些行为，以下管理员查看一些日志文件，想得到相应的信息，做法

错误的是（）。

A.有/var/log/cron日志，可以查看cron进程开始的每一个工作的记录

B.如果想知道登录失败的记录，可以查看/var/log/wtmp口志，不过要使

用last命令查看，因为该日志是二进制的文件

C.如果想知道SSHD的所有信息的记录，以及其失败登耒的信息，可以查看

/var/log/secure日志文件

D./var/1og/fai11og/var/log/secure/var/log/lastlog这些日志文

件，都会记录一些用户登录的信息

40、在Windows服务器中，有一种提权方法可以利用开机启动进行提权,

也就是在管理员的启动目录下，放入一些程序或其他批处理的工具，从而就可

以导致管理员重启登陆后，直接执行启动项的程序，但是这个提权必须要保证

攻击者对管理员的启动目录有可写的权限，否则是没有办法实现的，而在

Windows中有NTFS和FAT分区，其中NTFS比FAT分区安全，原因就是NTFS可

以对一个文件针对不同的用户设置不同的权限，以下对于NTFS和FAT的说法正

确的是()。

A.NTFS权限只影响网络访问者但不影响本地访问者

B.FAT和NTFS之间必须要经过格式化，才能互相转换

C.即使一个普通用户在NTFS分区中建立了一个文件夹，并设置只对自己账

户可读写，管理员也可以通过夺权的操作，将权限夺取过来

D.NTFS分区的权限可以配置给用户或组，不同用户或组对同一个文件或文

件夹可以有不同的权限

41、ORACLE的提权一直很受重视，但是很多ORACLE的提权脚本都需要

有高权限的条件下才能成功，除了对一些自定义的数据库用户的权限的设置非

常重要之外，管理人员还需要对数据库自身账户的权限有一些认知，下面对于

ORACLE的用户的权限说法正确的是()o

A.如果ORACLE数据库设置了允许操作系统的身份进行登录，可以直接以

SYS用户直接登录使用，所以SYS用户的权限不会很高，至少没有DBA权限

B.攻击者如果获取了SYSTEM的用户密码，提权的脚本基本都执行，所以

SYSTEM用户具有DBA权限

C.SYSTEM是ORACLE数据库中权限最高的账户，因为其具有DBA的权限

D.SYS用户与SYSTEM用户相比，不具有DBA权限，但是有SYSDBA的权限

42、如果一台WEB服务器，开发人员在开发的时候没有考虑到解析漏洞

的存在，对上传的文件的后缀进行了黑名单检测，禁止上传

“，htrnV,1htm，,'php','php2','php3',‘php4','php5','phtm］，,'pwm］，,'inc

,asp,aspx,ascx,jsp,cfm,cfc,pl,bat,exe,com,dll

,'vbs','js','reg','cgi','htaccess','asis*"，假设如果一台服务器存在解

析漏洞，以下可以绕过检测，得到一个webshell的是()o

A.HS6.0的aspx的服务器,上传1.asp;,txt

B.apache的服务器,上传1.php.bmp

C.tomcat服务器，上传1.jsp.aaa

D.HS7.5的php服务器,上传test.php.jpg

43、恶意软件攻击服务器时，有与一些共享进程或自创建一些进程，所

以管理人员需要了解一些基本的进程信息，以下关于这些进程说法正确的是

()。

A.svchost.exe属于共享进程，很多病毒或木马可能会利用其进行启动

B.spoolsv.exe用户Windows打印机任务发送给本地打印机，缓存打印数

据等，会随着系统的启动启动，它也有可能是Backdoor.Ciadoor.B木马

C.Isass.exe是一个系统进程，用户微软Windows系统的安全机制，它用

于本地安全和登录策略，但其也可能是Windang.worm等病毒蠕虫创建的，所以

如果发现系统下有两个Isass.exe,则说明很可能中毒了

D.csrss.exe是W32.Netsky.AB@mm的等病毒创建的，并且不是系统进程，

所以看到其要马上删除

44、Mysql虽然自身不支持执行系统命令，但是却能够自定义函数，攻

击者通过这个特性能够实现利用Mysql提升自己的权限，管理人员做了如下的

一些安全设置，其中有效的是（）o

A.给Mysql降权，不给于管理员权限的用户运行

B.root采用强密码，且其他应用使用Mysql时，不使用root权限进行连

接

C.由于Mysql提权，需要写入或上传udf文件，Windows中的udf为dll

文件,而dll文件如果放在WINNT/SYSTEM32/目录下就会被加载,对于5.5.14

的Mysql数据库，直接限制Mysql对/WINNT/SYSTEM32/目录可写

D.WEB用户使用root权限连接，在Windows的防火墙上做限制，不允许其

他服务器连接Mysql

45、一个WEB站点的管理员，在自己的网站的后台，发现了突然多了一

个管理员的账户，之后查看日期和创建者，发现创建者是自己，且那天自己确

实登录过，但是却没有执行过此操作，之后查看了一下后台登录失败的错误记

录，发现之前有过自己账户登录失败的记录，但错误次数不超过10次，且之后

就没有记录了，并且自己的口令应该是强口令，且WEB站点是站库分离的，下

面的攻击方式基本可以排除的是（）。

A.本地文件包含

B.SQL注入

C.目录遍历

D.CSRF攻击

E.暴力破解

46、一台Linux系统管理员，发现自己维护的Linux系统上不停的向外

发数据包，之后登录上去发现是一个未知程序发送的数据包，之后发现为root

用户启动的，之后查看了最近的登录日志，发现有几个可疑的IP登录过，但是

本Linux服务器之前已经配置过了ssh登录白名单（/etc/hosts.allow）,这

些IP地址应该不在上面，之后查看配置文件，发现这些IP已经添加到了白名

单中，以下管理员的推测合理的是（）。

A.服务器上有FTP服务，可能是攻击者通过FTP服务登录后修改的配置文

件

B.服务器上有telnet服务，可能是攻击者通过telnet登录到服务器上，

修改的配置文件

C.内网一台白名单服务器被攻击了，攻击者通过其作为跳板进行攻击该台

服务器

D.服务器普通用户的WEB应用，攻击者通过上传webshell,直接对配置文

件进行修改

47、攻击者攻击一台服务器，通常会有清除痕迹的操作，对于管理人员

来说，了解一些日志的信息又处于对一些问题的判断，以下对于日志文件的说

法正确