网络安全与数据合规综合知识测试卷

网络安全与数据合规综合知识测试卷一、判断题1.《中华人民共和国数据安全法》于2021年9月1日正式实施。A.正确B.错误答案：A2.HTTPS协议的主要作用是通过SSL/TLS对传输数据进行加密，防止数据被窃听或篡改。A.正确B.错误答案：A3.在Linux系统中，使用系统的删除命令（rm）即可彻底清除磁介质中的敏感数据，无需其他操作。A.正确B.错误答案：B4.SQL注入攻击的主要原因是用户输入验证不足，导致恶意SQL代码被数据库执行。A.正确B.错误答案：A5.国密算法SM4采用的是ECC（椭圆曲线密码学）的一种。A.正确B.错误答案：B6.双因素认证（2FA）在安全架构中主要用于强化用户身份验证，增加安全性。A.正确B.错误答案：A7.Windows操作系统中的“防火墙”主要用于加速互联网连接速度。A.正确B.错误答案：B8.在Web开发中，输入验证和输出编码是有效防止XSS（跨站脚本攻击）的主要方法。A.正确B.错误答案：A9.定期更新软件和操作系统最主要的原因是为了增加新功能，而非修复漏洞。A.正确B.错误答案：B10.网络安全等级保护2.0中，新增加的重要内容是数据安全。A.正确B.错误答案：A11.ARP欺骗攻击可以通过启用动态ARP检查或进行静态ARP绑定来有效防止。A.正确B.错误答案：A12.在数据库防护策略中，定期对数据库服务器进行重启是保证数据安全的最佳策略。A.正确B.错误答案：B13.使用WAF（Web应用防火墙）是防止缓冲区溢出攻击的最有效方法。A.正确B.错误答案：B14.在Windows系统中，certutil.exe工具无法从HTTP服务器下载文件到本地磁盘。A.正确B.错误答案：B15.邮件的DKIM技术建立在SPF（发件人策略框架）的基础上，用于防止伪造发件地址。A.正确B.错误答案：A16.人工智能技术可能输出不符合人类道德、价值观的内容，这属于网络安全风险中的算法安全风险。A.正确B.错误答案：B17.为了保证数据的安全性，完全备份和增量备份不可混合使用。A.正确B.错误答案：B18.在构建可信任下一代互联网时，IPv6真实源地址验证技术可以解决攻击者假冒源地址进行攻击的问题。A.正确B.错误答案：A19.在Linux操作系统中，passwd文件里存在“www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin”属于异常情况。A.正确B.错误答案：B20.网络安全管理体系中，负责审批安全策略和监督安全实施的角色通常是高级管理层。A.正确B.错误答案：A21.Web应用中，为了防止敏感信息泄露，最佳实践是在日志中记录所有信息，包括密码。A.正确B.错误答案：B22.模糊测试通常需要对被测软件的源代码进行修改才能够进行测试。A.正确B.错误答案：B23.在部署SSL/TLS证书时，使用自签名证书是一种安全的做法。A.正确B.错误答案：B24.BitLocker是Windows中的一种磁盘加密安全功能。A.正确B.错误答案：A25.Session固定攻击的防御措施是定期更换SessionID。A.正确B.错误答案：A26.IPv6节点通过ARP协议将IPv6地址解析成链路层地址。A.正确B.错误答案：B27.人工智能网络空间安全风险中，人工智能技术可提升网络攻击能力，这属于算法安全风险。A.正确B.错误答案：B28.在软件开发中，安全开发生命周期（SDL）的目的是仅在测试阶段考虑安全问题。A.正确B.错误答案：B29.数据投毒是指通过精心构造提示词使模型输出非预期的内容。A.正确B.错误答案：B30.网络安全等级保护制度中，共有5个安全保护等级。A.正确B.错误答案：A31.在移动安全开发原则中，信任第三方库是保证安全的最佳实践。A.正确B.错误答案：B32.对于移动介质丢失造成敏感信息泄漏，最佳方法是对移动介质全盘加密。A.正确B.错误答案：A33.在Linux系统中，SELinux是一种安全模块，用于增强访问控制。A.正确B.错误答案：A34.“零日攻击”是指针对尚未公开的漏洞的攻击。A.正确B.错误答案：A35.Web应用中，使用GET方法传输敏感数据是安全的。A.正确B.错误答案：B二、单选题36.《中华人民共和国网络安全法》正式实施的时间是？A.2020年9月1日B.2016年1月1日C.2017年6月1日D.2018年12月1日答案：C37.HTTPS与HTTP相比，主要提供了什么安全特性？A.更快的传输速度B.自动数据压缩C.内容审查D.数据加密答案：D38.FE80:0000:0000:0000:AAAA:0000:0000:0002是一个合法的IPv6地址，用零压缩法压缩以后可以写成A.FE80:0:0:0:AAAA:0:0:2B.FE80::AAAA::0002C.FE80::AAAA::2D.FE80::AAAA:0:0:2答案：D39.IPv6基本报头的长度是______字节。A.10B.20C.30D.40答案：D40.IPv6节点通过_____协议将IPv6地址解析成链路层地址。A.ARPB.NeighborSolicitationC.NeighborAdvertisementD.NeighborDiscovery答案：D41.IPv6中避免局域网内地址假冒可以采用哪个方法？A.IPsec协议B.真实源地址方案SAVIC.使用加密方式D.及时升级补丁答案：C42.Linux系统中的“chroot”环境主要用于什么目的？A.限制程序的根目录，增强安全性B.网络优化C.用户界面个性化D.硬盘分区答案：A43.Linux系统中的iptables用于什么？A.配置防火墙规则B.管理用户账户C.监控系统性能D.自动安装软件答案：A44.SQL注入攻击的主要原因是什么？A.用户输入验证不足B.使用了过时的加密算法C.服务器软件未更新D.弱密码策略答案：A45.VPN是用于创建什么类型的连接？A.一个更快的互联网连接B.一个公共的网络连接C.一个无线的网络连接D.一个安全的私人网络连接答案：D46.Web应用中，哪项技术可以提供内容安全策略（CSP）？A.HTTP头B.SSL/TLSC.Cookie属性D.Web防火墙答案：A47.Windows操作系统中的“服务”应如何管理以提高安全性？A.禁用不必要的服务B.运行尽可能多的服务C.不监控服务状态D.自动启动所有服务答案：A48.XSS攻击是什么？A.跨站脚本攻击B.服务端代码注入C.拒绝服务攻击D.SQL注入答案：A49.不属于常见的移动安全漏洞的是:A.WebView漏洞B.应用克隆漏洞C.Activity组件暴露D.DDoS攻击答案：D50.定期更新软件和操作系统最主要的原因是什么？A.防止已知漏洞的利用B.仅为了增加新功能C.避免软件兼容性问题D.减少存储空间需求答案：A51.对于Set-Cookie:sess=s_123456;Domain=;Path=/doc;Secure;HttpOnly，用户访问哪个URL时，服务器能够收到该Cookie。A./B./doc/listC./docviewerD./doc答案：B52.关于模糊测试，陈述错误的是：A.需要生成大量的畸形数据作为测试用例B.测试过程中需要监测和记录由输入导致的任何崩溃或异常现象C.通常需要对被测软件的源代码进行修改才能够进行测试D.是一种发现软件问题的测试方法答案：C53.关于邮件的DKIM，说法错误的是A.可用于防止伪造发件地址B.使用数字签名技术C.包含了对邮件正文的哈希和签名D.建立在SPF的基础上答案：C54.默认配置下的nginx日志格式（combined）不包含：A.访问请求头的X-Forwarded-ForIP地址B.访问请求头的HTTPBasicAuth用户名C.访问请求头的Referer值D.访问请求头的User-Agent答案：B55.**某证书的X509v3SubjectAlternativeName字段为：DNSName=*.;DNSName=;，该证书无法认证的域名为：**A.B.图片.C.D.答案：C56.哪个选项是防止敏感信息泄露的最佳实践？A.使用GET方法传输数据B.在客户端进行数据加密C.仅通过URL传输敏感信息D.使用HTTPS协议答案：D57.哪项不是安全的密码存储策略？A.MD4存储B.使用盐值的哈希存储C.复杂密码加密存储D.使用密钥加密的哈希存储答案：A58.哪种方法不适用于防御DDoS攻击？A.增加带宽B.配置Web应用防火墙（WAF）C.启用CDN服务D.使用单点登录答案：A59.哪种类型的恶意软件是专门设计来阻止用户访问他们的系统或个人文件，直到支付赎金？A.木马B.间谍软件C.蠕虫D.勒索软件答案：D60.清除磁介质中敏感数据的有效方法是A.使用系统的格式化命令B.将敏感数据放入回收站C.使用消磁机D.使用系统的删除命令答案：C61.如果域名没有MX记录，向其发送邮件时会通过哪种记录查找其邮件服务器A.的SRV记录B.的A记录C.的SRV记录D.的A记录答案：D62.如何防止缓冲区溢出攻击？A.使用WAF（WEB应用防火墙）B.开启系统的ASLR功能C.在虚拟机里运行D.使用边界检查和内存安全语言答案：D63.软件安全漏洞持续增长的内因不包括A.软件开发者缺乏安全知识B.软件趋向大型化C.软件的运行环境日益复杂D.软件开发安全风险的管理意识淡薄答案：B64.什么是“零日攻击”？A.针对尚未公开的漏洞的攻击B.基于已修复的漏洞的攻击C.发生在特定日期的攻击D.针对硬件的攻击答案：A65.网络安全等级保护制度中，共有几个安全保护等级？A.3级B.4级C.5级D.6级答案：C66.为了防止敏感信息泄露，哪项是关于日志管理的最佳实践？A.在日志中记录敏感信息，如密码B.存储尽可能多的日志信息C.公开日志文件以便快速访问D.定期审查和分析日志文件答案：D67.在Linux操作系统中，passwd项目里，存在异常的是：A.adm:x:0:0::/home/adm:/bin/bashB.root:x:0:0:root:/root:/bin/bashC.www-data:x:33:33:www-data:/var/www:/usr/sbin/nologinD.sshd:x:103:65534::/run/sshd:/usr/sbin/nologin答案：C68.在Windows操作系统中，系统自带的工具中，哪一项无法从HTTP服务器下载文件到本地磁盘：A.wget.exeB.powershell.exeC.bitsadmin.exeD.certutil.exe答案：D69.在构建可信任下一代互联网时面临的一个严重的问题是：攻击者假冒源地址进行攻击。为了解决这一问题，需要研发实现A.IPv6真实源地址验证技术B.IPv6主机防火墙技术C.漏洞扫描技术D.攻击检测技术答案：A70.针对移动设备本身的攻击者可以使用各种入口点，不属于常见的基于操作系统的攻击点的是:A.iOS越狱B.AndroidrootingC.运营商预安装软件D.跨站点脚本（XSS）答案：D71.**使用Let'sEncrypt进行自动证书签发时，如需签发*.证书，则需验证哪条DNS记录：**A._B._C.D.答案：A72.国家鼓励开发网络数据安全保护和利用技术，促进（）开放，推动技术创新和经济社会发展。A.国家数据资源B.公共学校资源C.公共数据资源D.公共图书馆资源答案：C73.没有网络安全就没有__,就没有__,广大人民群众利益也难以得到保障。A.国家发展、社会进步B.社会稳定运行、经济繁荣C.社会安全、国家稳定运行D.国家安全、经济社会稳定运行答案：D74.我们要把提升____置于更突出位置，处理好公平和效率、资本和劳动、技术和就业的关系。A.共享性B.创新性C.普惠性D.包容性答案：C75.在网络安全等级保护中，信息系统安全保护等级的评定主要依据是什么？A.系统的地理位置B.系统的技术复杂度C.系统面临的安全威胁D.系统的业务影响答案：D76.以下哪项属于应用层安全协议？A.TCPB.IPC.SSL/TLSD.ARP答案：C77.在Windows系统中，用于管理用户账户和安全策略的工具是？A.本地安全策略B.设备管理器C.控制面板D.系统配置工具答案：A78.哪种类型的攻击主要针对数据库服务器？A.SQL注入B.CSRFC.XSSD.DDoS答案：A79.哪项措施不是防止SQL注入的有效方法？A.关闭数据库服务B.使用ORM框架C.使用存储过程D.数据库账户使用最低权限答案：A80.为了保护Web应用免受文件上传漏洞的攻击，你不应该采取哪项措施？A.允许任何类型的文件上传B.限制上传文件目录的执行权限C.对上传的文件进行类型检查D.存储上传文件时使用随机生成的文件名答案：A81.哪种文件最容易成为Webshell攻击的目标？A..phpB..htmlC..jsD..css答案：A82.防火墙主要用于什么目的？A.提高网络传输速度B.扩大网络覆盖范围C.监控和控制网络流量D.提高系统处理能力答案：C83.入侵预防系统（IPS）的主要功能是什么？A.加密网络数据B.提高网络传输速度C.检测并预防网络入侵尝试D.扩大网络覆盖范围答案：C84.网络接入控制（NAC）的主要作用是什么？A.加快数据传输B.监控网络流量C.提供无线连接D.控制哪些设备可以访问网络答案：D85.在配置无线网络时，哪种措施安全性最好？A.使用WEP加密保持兼容性B.允许任何设备自动连接到网络C.启用WPA3安全协议D.使用开放的无线网络，无需密码答案：C86.关于Email的Sender头，说法正确的是A.比From更难伪造，可用于核实真实发件人B.记录了发送该邮件的IP地址C.相当于HTTP的User-Agent作用D.与From不同时可能使用了“代表他人发送”功能答案：D87.关于Web跨源资源共享（CORS）陈述中，正确的是：A.服务器可以设置Access-Control-Allow-Origin:https://*.来允许来自