全国高校网络安全知识竞赛考试复习题库（附答案）

全国高校网络安全知识竞赛考试复习题库汇总(附答案)

一、单选题

1.采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相

关的网络口志不少丁()

A、三个月

B、六个月

C、九个月

D、十二个月

答案：B

解析：六个月

2.虚拟专用网络(VPN)是在公用网络上建立虚拟的专用网络的技术。VPN的优势

有()。

A、较低的成本

B、具有较高的安全性

C、服务保证

D、以上都是

答案：D

解析：VPN技术的主要优势是:较低的成本、具有较高的安全性、服务保证。

3.关于网络互联设备交换机的描述正确的是()

A、交换机是一种电(光)信号转发的网络设备。

B、交换机作为多端口的网桥，工作在物理层。

C、交换机把一个端口上收到的数据广播发送到其他所有端口上。

D、交换机用于连接网络层之上执行不同协议的子网，组成异构型的因特网。

答案：A

解析：交换机是一种电（光）信号转发的网络设备，交换机作为多端口的网桥，工

作在数据链路层。

4.在信息收集与分析中，攻击者最轻易获取的信息的方式是）

A、搜索引擎、媒体广告等

B、向同行了解

C、亲自到攻击点附近

D、收买信息系统相关人员

答案：A

解析：公开渠道是攻击者最轻易获取的信息的方式，由于缺乏足够的安全意识,

很多信息系统对公开信息没有审核或审核宽松，使得攻击者可以通过公开渠道获

得目标系统大量有价值的信息。公开信息收集方式包括搜索引擎、媒体广告等方

式。

5.通过病毒可以对核电站、水电站进行攻击导致其无法正常运转，对这一说法，

你认为以下哪个是正确的（）

A、核电站、水电站一般都是内网建设，不会连接互联网，所以病毒无法侵入

B、理论上也许可行，实际上无法做到

C、现在做不到，也许在不久的未来可以做到

D、现在已经可以做到，并有实际案例

答案：D

解析：政策常识

6.信息系统安全策略应该全面地考虑保护信息系统整体的安全，在设计策略的范

围时，主要考虑()

A、物理安全策略

B、网络安全策略

C、数据加密策略

D、以上都是

答案:D

解析：物理安全、网络安全、数据安全都需要考虑

7.标准化的基本特点理解正确的是()

A、标准化是一项活动

B、标准化的对象是人,事、物

C、标准化的效益只有应用后才能体现

D、以上都正确

答案：D

解析：标准化的基本特点:标准化是一项活动;标准化的对象:物、事、人;标准化

是一个动态的概念;标准化是一个相对的概念；标准化的效益只有应用后才能体

现

8.在windowslO中下列哪个版本不支持远程桌面。

A、家庭版

B、专业版

C、企业版

D、教育版

答案：A

解析：家庭版支持的功能是最少的

9.以下关于“网络安全为人民、网络安全靠人民”这句话的理解最准确的是()

A、网络安全是人民内部矛盾问题，靠人民内部解决

B、网络安全的最终目的是为了人民更好的生活，解决上也要人民群众共同参与

C、网络安全是为了保井人民群众使用的网络安全，因此要深入人民群众中去

D、网络安全为了实现人民群众的自主性，因此网络安全全靠人民自己解决

答案:B

解析：B选项

10.密码学中运用0算法，加密和解密使用不同秘钥。

A、对称加密

B、哈希

C、公钥加密

D、随机加密

答案:C

解析：公钥加密算法加密解密使用不同的密钥。

11.数字签名不能实现的安全特性为()。

A、保密通信

B、防抵赖

C、防伪造

D、防冒充

答案：A

解析：数字签名的作用不在于保密通信。

12.Win+R打开运行后输入下列哪个选项可以打开组策略编辑器0

Axservices.msc

B、regedit

C、gpedit.msc

D、magnify

答案:C

解析：services,msc为打开本地服务设置regedit为打开注册表编辑器magnif

y为打开放大镜

13.为防范网络欺诈确保交易安全，网银系统首先要求用户安全登录，然后使用

“智能卡+短信认证”模式进行网上转账等交易，在此场景中用到下列哪些鉴别

方法（.

A、实体所知和实体所有的鉴别方法

B、实体所有和实体特征的鉴别方法

C、实体所知和实体特征的鉴别方法

D、实体所知和实体行为的鉴别方法

答案：A

解析：本题目中安全登录会涉及到账号密码为实体所知，智能卡和短信是实体所

有。

14.信息安全管理体系文档层次化的文件结构是构成管理体系的重要内容之一，

通常文件分为四个层级，下面属于三级文件的是。

A、方针、政策

B、制度、流程、规范

C、法律、政策导向、制度

D、使用手册、操作指南、作业指导书

答案：D

解析：三级文件:使用手册、操作指南、作业指导书

15.下列哪个不是关于实体所知的鉴别威胁中的暴力破解的防护（）。

A、使用安全的密码（自己容易记，别人不好猜，高强度，高复杂度）

B、在会话中引入随机数

C、设置系统、应用的安全策略

D、随机验证码（变形、干扰、滑块、图像识别等）

答案：B

解析：在会话中引入随机数是针对重放攻击的防御。

16.信息安全管理体系文档层次化的文件结构是构成管理体系的重要内容之一,

通常文件分为四个层级，下面属于一级文件的是：）

A、方针、政策

B、方针、制度、流程

C、法律、政策导向、制度

D、使用手册、操作指南、作业指导书

答案：A

解析：一级文件:方针、政策

17.《中华人民共和国刑法》第二百八十六条之一【拒不履行信息网络安全管理

义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,

经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期

徒刑、拘役或者管制，并处或者单处罚金。以下属于上述行为的是()

A、致使违法信息大量传播的

B、致使用户信息泄露，造成严重后果的

C、致使刑事案件证据灭失，情节严重的

D、以上都是

答案：D

解析：刑法

18.以下属于网络安全设备的是()。

A、防火墙

B、交换机

C、中继器

D、路由器

答案：A

解析：防火墙属于网络安全设备。

19.以下网络互联设备不是工作在网络层的是0

A、路由器

B、三层交换机

C、网卡

D、网关

答案：C

解析：网卡工作在数据链路层。

20.要安全浏览网站的话下列哪个操作是错误的。

A、定期清理浏览器cookie数据

B、定期清理浏览器缓存

C、尽量使用记住密码功能，防止遗忘密码

D、访问之前没浏览过的网站时，禁用浏览器JavaScript

答案:C

解析：记住密码功能应在确保系统可控的情况下再进行确定。特别是在多人公用

的计算机系统中，更应禁止使用密码保存和自动登录，避免由此造成的个人隐私

信息泄露，

21.以下不属于大数据面临的安全威胁的是()。

A、虚拟化VMWare漏洞攻击

B、信息泄露或丢失

C、大数据滥用、误用风险

D、非授权访问、拒绝服务攻击

答案：A

解析：虚拟化VMWare漏洞攻击属于云计算所面临的安全威胁。

22.威胁｝情报的出现将网络空间安全防御从传统被动式防御转换到主动式防御。

以下选项中不属于安全威胁情报基本特征的是。

A、时效性

B、相关性

C、准确性

D、不可操作性

答案：D

解析：信息安全威胁情报的基本特征是时效性、用关性、准确性

23.下列选项中最有可能存在木马的是。

A、政务网站

B、知名网站官网

C、盗版软件下载网站

D、朋友的微信二维码名片

答案：C

解析：盗版软件下载网站可能会存在一些木马程序

24.下列关于下载安全的建议中正确的是。

A、哪个网站的资源丰富就在哪个网站下载

B、下载时关闭杀毒软件，提高下载速度

C、尽量下载破解版的软件

D、只通过可信的渠道下载软件，如软件开发商官网

答案：D

解析：开发商官网下载的软件都是正版软件，有安全风险的可能性较低

25.下列说法错误的是。

A、应养成定期清除浏览器记录的习惯

B、为了解决Cookie的安全问题，应在浏览器的Cookie管理相关设置处开启允

许所有Cookie

C、重要的网站的账号和口令不要设置自动填充

D、代理服务器访问模式下浏览器不直接向网站服务器请求数据

答案：B

解析：如果没有特别的必要，不建议选择允许所有Cookie开启，所有Cookie

开启会导致相应的安全风险

26.为了确保计算机终端的物理安全，我们养成远离计算机就锁屏的好习惯，这

个好习惯主要解决以下哪个问题？0

A、避免离开时电脑被其他人操作

B、避免其他人搬走电脑

C、避免其他人对电脑主机打砸损毁

D、以上都是

答案：A

解析：给电脑锁屏并不能防止其他人对电脑硬件设备的操作和损毁

27.身份鉴别的相关实体包括0。

A、验证者被验证者

B、被验证者验证者可信赖者

C、被验证者可信赖者

D、验证者可信赖者

答案：B

解析：身份鉴别的相关实体包括被验证者、验证者、可信赖者。

28.网络安全法第三十五条规定关键信息基础设施的运营者采购网络产品和服务,

可能影帅国家安全的，应当通过国家()会同国务院有关部门组织的国家安全审

查，

A、公安部

B、国家安全部

C、网信部门

D、国家保密局

答案:C

解析：网络安全法

29.某公司出于安全考虑对员工电脑密码设置策略做了下列要求，这些要求中不

合理的是。

A、密码必须包含字母,数字、特殊字符这三项

B、密码长度不能低于六个字符

C、密码当中必须包含姓名简拼

D、每三个月必须更换一次密码

答案:C

解析：一个安全的密码中不应该包含姓名简拼、手机号等信息

30.以下对数字证书的描述正确的是0。

A、一段电子数据

B、经证书权威机构CA签名的数据体

C、包含拥有者身份信息和公开密钥的数据体

D、以上都是

答案：D

解析：数字证书是一段电子数据，是经证书权威机构CA签名的，包含拥有者身

份信息和公开密钥的数据体。

31.以下行为不属于违反国家涉密规定的是()

A、以不正当手段获取商业秘密

B、在私人交往中涉及国家秘密

C、通过普通邮政等无保密及措施的渠道传递国家秘密载体

D、将涉密计算机、涉密存储设备接入互联网及其他公共信息网络

答案：A

解析：国家秘密禁止通过普通邮政渠道传输、接入互联网和私人交往中涉及，所

以，BCD违反国家涉密规定，A项是商业秘密，不属于国家秘密

32.以下应对恶意APP安全问题正确的是()

A、只安装通过安全认证的APP

B、安装通过官网下载的APP

C、通过正规第三方应用商店下载APP

D、以上都对

答案：D

解析：为了防范恶意APP,建议正规渠道下载APP,如官方网站、正规应用商店，

33.以下那个不是古典密码的主要分类()

A、代替密码

B、置换密码

C、代替密码和置换密码的组合

D、分组密码

答案：D

解析：古典密码的主要分类:代替密码、置换密码、代替密码和置换密码的组合

34.常见的邮件欺骗方式有。

A、相似域名仿冒

B、仿冒企业邮件

C、仿冒发件人别名

D、以上都是

答案：D

解析：常见的邮件欺诈方式有:仿冒发件人别名、相似域名仿冒、商业邮件诈骗、

仿冒企业邮件等等

35.关于XSS分类说法错误的是。

A、反射型XSS

B、存储型XSS

C、字符型XSS

D、DOM型XSS

答案：C

解析：XSS分类可分为反射型、存储型、DOM型三类

36.企业按照IS027001标准建立信息安全管理体系过程中，对关键成功因素描述

错误的是()

A、来自所有管理层级、特别是最高管理者的可见支持和承诺

B、有效的信息安全意识、培训和教育计划

C、只需要高层管理员和IT部门的人员参与建设信息安全管理体系，不需要全体

员工参与

D、所有管理者、员工及其他相关方理解企业信息安全策略、指南与标准等当中

他们的信息安全义务，并遵照执行

答案:C

解析：信息安全管理体系成功因素

37.保证信息不被篡改，使信息能正确生成、存储以及传输，体现了信息安全的

哪个性质()

A、完整性

B、即时性

C、可控性

D、保密性

答案：A

解析：完整性是保证信息系统中的数据处于完整的状态，确保信息没有遭受篡改

和破坏。

38.恶意代码给计算机安全带来巨大威胁，以下属于恶意代码的特征的是()

A、具有恶意的目的

B、本身不属于计算机程序

C、不执行也能发生作用

D、以上都不正确

答案:A

解析：恶意代码的特征:具有恶意的目的、本身是程序、通过执行发挥作用

39.某公司已有漏洞扫描和入侵检测系统(IntrusionDetectionSystem,IDS)产品,

需要购买防火墙，以下做法应当优先考虑的是0.

A、任选一款防火墙

B、选购一款当前最先进的防火墙

C、选购一款便宜的防火墙

D、选购一款同已有的安全产品设备联动的防火墙

答案：D

解析：在技术条件允许情况下，可以实现IDS和FW的联动。

40.在注册和浏览社交网站时下列哪个做法是错误的。

A、尽可能少输入个人信息

B、充分利用网站的安全机制

C、好友发送的链接等信息随意访问

D、在社交网站发照片时要谨慎,不要暴露照片拍摄地址和时间

答案：C

解析：不要随意访问网站，访问前应判断该链接是否安全

41.下列哪种安全措施适用于移动设备丢失、被盗。

A、设置SIM卡锁

B、启用过滤未知发件人功能

C、数据粉碎

D、取消APP不需要的权限

答案：A

解析：除了设置手机屏幕密码之外，手机卡同样需要设置PIN密码，被设置PIN

密码的SIM卡，换了手机需要输入PIN码，否则无法正常使用。

42.某windows系统用户名为Admin,该系统开启了账户策略中的口令符合复杂

性的策略，并限制密码长度最小值为6个字符，以下哪个口令是符合策略要求会

被系统接受的（）

A、Admin246!

B、a135!

GAdlLN153!

D、2w3e4dfg

答案：C

解析：如果密码必须符合复杂性要求，密码必须符合下列最低要求不能包含用户

的帐户名，不能包含用户姓名中超过两个连续字符的部分;至少有六个字符长；

包含以下四类字符中的三类字符:英文大写字母（A到Z）;英文小写字母（a到z）;

10个基本数字（0到9）;非字母字符（例如！、$、＜、％）;

43.对于一个组织机构来说，信息资产包括（）

A、该组织机构自研的信息系统

B、该组织机构购买的王版授权的信息系统

C、该组织机构在使用信息系统过程中所产生的数据信息

D、以上全部

答案：D

44.攻击者进行系统入侵的最后一步是清除攻击痕迹，攻击痕迹包括攻击过程中

产生的各类（）

A、系统日志

B、应用日志

C、攻击过程中生成的临时文件和临时账户等

D、以上都对

答案：D

解析：攻击者进行系统入侵的最后一步是清除攻击痕迹，攻击痕迹包括攻击过程

中产生的各类系统日志、应用日志，攻击过程中生成的临时文件和临时账户等。

45.重放攻击又称重播攻击、回放攻击，是指攻击者发送一个目的主机（需要登灵

的服务器）已接次过的数据包，特别是在认证的过程中用于认证用户身份时所接

收的数包以达到联骗系统的目的。以下不属于重放攻击的防御措施的是（

A、在会话中引入时间戳

B、错误次数超过5次锁定账户

C、使用一次性口令

D、在会话中引入随机数

答案：B

解析：B选项是用来防御暴力破解、枚举。

46.中继器是连接网络线路的一种装置,是工作在0的设备。

A、物理层

B、数据链路层

C、网络层

D、传输层

答案：A

解析：中继器是工作在物理层的设备。

47.访问控制为用户对系统资源提供最大限度共享的基础上，对用户的访问权限

进行管理，防止对信息的非授权篡改和滥用，以下不属于访问控制的作用的是()

A、保证用户在系统的安全策略下正常工作

B、拒绝非法用户的非授权访问

C、拒绝合法用户的越权访问

D、拒绝合法用户的正常访问

答案:D

解析：访问控制的作用:保证用户在系统的安全策略下正常工作;拒绝非法用户的

非授权访问;拒绝合法用户的越权访问

48.甲公司打算制作网络连续时所需要的插件的规格尺寸、引脚数量和线字情况,

甲公司将这个任务委托了乙公司，那么Z公司的设计员应该了解OSI参考模型中

的哪一层()。

A、数据链路层

B、物理层

C、网络层

D、传输层

答案：B

解析：物理层规定通信设备的机械的、电气的、功能的和过程的特性，用以建立、

维护和拆括除物理链路连接，这些特性包括网络连接时所需接插件的规格尺寸、

引脚数量等。

49.邮箱中收到了一封广告邮件，新款iphone12开启售，只要在链接中的页面中

留下手机号码和身份证信息，在iphone12发布时就能比发行价格便宜100元购

买phone12,关于这样的广告邮件，以下哪个做法是最合适的0

A、不予理会，直接删除

B、把手机号和身份证号提交了，能便宜1000呢

C、点开链接查看一下，又不会损失什么

D、以上做法都可以

答案：A

解析：很有可能是钓鱼邮件，直接删除最安全

50.网络钓鱼欺骗是社会工程学的一种方式，下列关于社会工程学的说法中错误

的是0

A、社会工程学利用了人性的弱点

B、社会工程学需要结合常识

C、社会工程学的目的是获取秘密信息

D、社会工程学的欺骗总是能重复成功

答案:D

51.如果一个企业注重于数据的完整性，则建议其使用哪种访问控制模型()

A、DAC模型

B、BLP模型

C、Biba模型

D、RBAC模型

答案：C

解析：Biba模型解决了系统内数据的完整性问题。

52.下列哪个算法不属于哈希算法()

A、RC5

B、MD5

C、SHA-1

D、SHA-256

答案：A

解析：RC5是对称加密算法。

53.

下列有关代理服务器说法错误的是()A代理服务器访问模式是浏览器不直接向

网站服务器请求数据，而是将请求先发送给代理服务器

A、代理服务器访问模式是浏览器不直接向网站服务器请求数据，而是将请求先

发送给代理服务器

B、ExchangeServer是代理服务器软件

C、如果对代理服务器的安全性无法保证，应尽量避免使用

D、在代理模式下，用户的访问信息都需要通过代理服务器进行处理

答案：B

解析：

ExchangeServer是微软公司的一套电子邮件服务组件，是个消息与协作系统

54.向接收者的邮件地址发送大量的电子邮件，消耗接收者的邮箱空间，最终因

空间不足而无法接收新的邮件，导致其他用户发送的电子邮件被丢失或退回，这

种攻击方式是()

A、邮件地址欺骗

B、口令爆破

C、邮件病毒

D、邮件炸弹

答案:D

解析：邮件炸弹是垃圾邮件的一种，通过向接收者的邮件地址发送大量的电子邮

件，消耗接收者的邮箱空间，最终因空间不足而无法接收新的邮件，导致其他甲

户发送的电子邮件被丢失或退回。

55.随着网络环境的日益复杂，防火墙也在不断发展，以下对防火墙发展趋势的

描述不正确的是()。

A、安全需求降低

B、模式转变

C、功能扩展

D、性能提高

答案：A

解析：防火墙发展趋势对安全需求越高。

56.关于用户密码，以下做法正确的是0

A、自己的电脑自己用，每次输入开机密码太麻烦，就不设置密码了

B、由于公司规定将密码设置为123456、admin、B1111等容易记忆的密码

C、长期使用同一个密码

D、应用系统、邮箱登陆等登录密码设置为非自动保存

答案:D

解析：ABC选项安全意识差，D选项正确，系统登录密码设为自动保存密码，容

易被他人登录，带来信息安全隐患

57.以下关于可信计算说法错误的是0。

A、可信的主要目的是要建立起主动防御的信息安全保障体系

B、可信计算机安全评价标准(TCSEC)中第一次提出了可信计算机和可信计算基的

概念

C、可信的整体框架包含终端可信、终端应用可信、操作系统可信、网络互联可

信、互联网交易等应用系统可信

D、可信计算平台出现后会取代传统的安全防护体系和方法

答案：D

解析：

可信计算平台出现后不会取代传统的安全防护体系和方法。

58.()用于确保数据的保密性，阻止对手的被动攻击，如截取，窃听等；。用

以确保报文发送者和接收者的真实牛以及报文的院整牛，阻止对手的主动攻击,

如冒充、篡改、重播等。

A、认证加密

B、认证认证

C、加密认证

D、加密加密

答案：C

解析：加密用于确保数据的保密性，阻止对手的被动攻击，如截取，窃听等;认

证用以确保报文发送者和接收者的真实性以及报文的完整性，阻止对手的主动攻

击，如冒充、篡改重播等

59.邮件火炸单攻击是。

A、破坏受害者的邮箱服务器

B、消耗受害者的邮箱空间

C、破坏受害者的邮件客户端

D、破坏受害者的电脑

答案：B

解析：邮件炸弹是通过向接收者的邮件地址发送大量的电子邮件，消耗接收者的

邮箱空间，最终因空间不足而无法接收新的邮件，导致其他用户发送的电子邮件

被丢失或退回.

60.什么是系统补丁？()

A、操作系统安全性修复程序

B、操作系统备份数据

C、操作系统功能升级

D、操作系统配置文件

答案:A

解析：系统补丁就是用来修复操作系统漏洞的程序

61.网络嗅探技术是一种()技术

A、物理层

B、数据链路层

C、网络层

D、应用层

答案：B

解析:网络嗅探技术是一种数据链路层技术，利用了共享式网络传输介质的特性，

即网络中的一台机器可以嗅探到传递给本网络中其他机器的报文。因此本题选

B.

62.防火墙的部署位置可能在()。

A、可信网络与不可信网络之间

B、不同安全级别的网络之间

C、两个需要隔离的区域之间

D、以上都有可能

答案：D

解析：防火墙的部署位置:可信网络与不可信网络之间；不同安全级别的网络之间；

两个需要隔离的区域之间。

63.漏洞产生的应用环境原因理解错误的是()

A、互联网的发展使软件运行环境从传统的封闭、静态和可控变为开放、动态和

难控

B、软件安全开发人员水平不够

C、攻防信息不对称性进一步增强，攻易守难的矛盾进一步凸显

D、强大经济利益推动漏洞挖掘产业化方向发展

答案：B

解析：软件安全开人员水平不够属于个人原因，不能归纳于漏洞产生的应用环境

中

64.下列选项中存在安全风险的是。

A、下载软件时从开发商官网下载

B、在不同的网站使用相同的账号密码

C、设置密码时密码中不包含个人名字简拼等信息

D、不随意点击浏览网页时弹出的广告

答案：B

解析：使用相同的密码的话一个网站的密码泄露会导致所有网站账号都不安全

65.对于数据较敏感的组织机构，不应该使用下列哪种方式进行数据备份。

A、使用移动硬盘将数据完整复制一份进行保存

B、使用专用备份软件自动比对移动硬盘上已经备份的数据与计算机终端上的数

据差异，并将有变动部分备份到移动硬盘上

C、在公有云进行数据备份

D、在自有的存储系统进行数据备份

答案：C

解析：对于数据较敏感的组织机构，尽量不在公有云上进行备份，避免由此导致

的数据泄露。

66.以下哪个属于工业控制系统()

A、数据采集与监控系统(SCADA)

B、分布式控制系统(DCS)

C、可编辑逻辑控制器(PLC)

D、以上都是

答案:D

解析：

数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编辑逻辑控制器(PLC)

都属于工业控制系统。

67.

()作为互联网新兴技术，以其高可伸缩性、成本低廉、运维便利等优点被越来越

多的企业采纳使用；。是指大小超出常规数据库软件工具收集、存情、管理和分

析能力的数据集；()是指通过网络访问可扩展的、灵活的物理或虚拟共享资源池,

并按需自助获取和管理资源的模式；。是指传统数据架构无法有效处理的新数据

集。

A、云计算大数据云计算大数据

B、大数据云计算大数据云计算

C、云计算云计算大数据大数据

D、大数据大数据云计算云计算

答案：A

解析：

云计算作为互联网新兴技术，以其高可伸缩性、成本低廉、运维便利等优点被越

来越多的企业采纳使用；大数据是指大小超出常规数据库软件工具收集、存储、

管重和分析能力的数据集；云计算是指通过网络访可可扩展的、灵活的物理或虚

拟共享资源池，并按需自助获取和管理资源的模式;大数据是指传统数据架的无

法有效处理的新数据集。

68.下列关于组织机构敏感信息保护描述错误的是。

A、组织机构的敏感信息泄露防护是一个体系化的工作

B、组织机构加强信息安全泄露防护通过技术措施即可实现，无需制定和落实各

类管理措施

C、敏感信息泄露防护措施包括数据加密、信息拦截、访问控制等具体实现

D、在实际应用中需要综合利用各类防护技术的优点才能更好地保护隐私信息的

安全性

答案：B

解析：加强信息安全泄露防护不仅仅通过技术实现，还应结合各类管理措施并进

行落实

69.下列哪个选项不属于移动智能终端面临的主要威胁。

A、伪基站

B、设备丢失、被盗

C、系统漏洞

D、DLL注入

答案：D

解析：目前，移动智能终端面临的安全威胁主要有:伪基站、设备丢失和损坏、

系统漏洞、恶意APP等。

70.网络攻击者经常在被侵入的计算机内留下后门，后门可以作什么()

A、方便下次直接进入

B、监视用户所有行为、隐私

C、控制用户主机

D、以上都对

答案:D

解析：网络攻击者留下后门，可以方便下次直接进入、监视用户所有行为和隐私、

控制用户主机等

71.信息不泄漏给非授权的个人、实体或过程，体现了信息安全哪一个性质0

A、完整性

B、可用性

C、保密性

D、不可否认性

答案：C

解析：保密性也称机密性，是指对信息资源开放范围的控制，确保信息不被非授

权的个人、组织和计算机程序访问

72.小李访问一个网站时，页面还没显示，杀毒软件就提示检测到木马病毒，小

李访问的这种网站的专业名称是。

A、门户网站

B、个人网站

C、挂马网站

D、购物网站

答案：C

解析：打开一个网站，结果页面还没显示，杀毒软件就开始报警，提示检测到木

马病毒。这是网页恶意代码，这就是典型的网页挂马现象。

73.关于木马，下列关于计算机木马的说法错误的是0

A、杀毒软件对防止木马病毒泛滥具有重要作用

B、Word文档也会感染木马

C、只要不访问互联网，就能避免受到木马侵害

D、尽量访问知名网站能减少感染木马的概率

答案:C

解析：木马可以通过软盘、光盘、移动存储设备等进行传播。因此本题选C。

74.Windows共享目录的中的“更改”和“完全控制”有什么区别()

A、删除文件

B、修改文件

C、新建文件

D、修改权限

答案：D

解析：“更改”权限没有修改权限的能力，“完全控制”有修改权限能力

75.在安全评估过程中，采取()手段，可以模拟黑客入侵过程，检测系统安全脆

弱性。

A、问卷调查

B、人员访谈

C、渗透测试

D、手工检查

答案：C

解析：渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的

一种评估方法。

76.关于大数据生命周期中的“数据处理阶段”存在哪些安全问题()

A、存储架构安全、逻辑存储安全、存储访问安全、数据副本安全、数据归档安

全等

B、数据分布式处理安全、数据分析安全、数据加密处理、数据脱敏处理以及数

据溯源等

C、数据传输安全、数据访问控制、数据脱敏处理等

D、数据源鉴别及记录、数据合法收集、数据标准化管理、数据管理职责定义、

数据分类分级以及数据留存合规性识别等问题

答案：B

解析：数据处理阶段:数据分布式处理安全、数据分析安全、数据加密处理,数

据脱敏处理以及数据溯源等

77.注入类漏洞是一种常见的安全漏洞，其中SQL注入漏洞是一种危害性较大的

注入类漏洞。以下不属于SQL注入攻击流程的是0

A、发送大量的数据报文导致系统死机

B、探测SQL注入点

C、判断数据库类型

D、提升权限进一步攻击

答案：A

解析：解杯:SQL注入攻击的总体思路:发现SQL注入位置、判断数据库类型、确

定XP-CMDSHEIL可执行情况、发现WEB虚拟目录、上传ASP木马、得到管理员权

限

78.在cmd中哪个命令可以查看共享文件()

A、netshare

B、netIocaIgroup

C、netsend

D、netsession

答案：A

解析：

解听:netsend作用是向网络的其他甲户、计算机或通信名发送消息，netlocala

roup作用是添加、显示或更改本地组，netsession作用是列出或断开本地计算

机和与之连接的客户端的会话

79.自主访问模型(DAC)通常使用()来实现访问控制功能

A、访问控制矩阵

B、访问控制能力表

C、访问控制主体

D、访问控制客体

答案：B

解析：DAC通常使用访问控制表(ACL)或能力表(CL)来实现访问控制功能

80.信息安全管理体系:SMS）在哪个阶段需要确立总体战路和业务目标，规模和地

域分布范围，通过对信息资产及其价值的确定、信息处理，存储和通信的业务需

求以及法律，监管和合同要求等方面理解来识别信息安全要求。（）

A、规划与建立阶段

B、实施和运行阶段

C、监视和评审阶段

D、维护和改进阶段

答案：A

解析：组织在规划与建立阶段确立总体战路和业务目标，规摸和地域分布范围，

通过对信息资产及其价值的确定、信息处理，存储和通信的业务需求以及法律，

监管和合同要求等方面理解来识别信息安全要求。

81.电子邮件的安全威胁不包括。

A、邮件地址欺骗

B、使用公共WIFI收发电子邮件

C、垃圾邮件

D、FTP协议的相关漏洞

答案：D

解析：常用的电子邮件协议有SMTP、POP3.IMAP4,FTP协议是文件传榆协议和

电子邮件关系不大

82.信息安全管理体系在实施与运行过程中，选择和实施控制措施以降低风险，

对控制风险理解正确的是（）

A、确保把风险降低到可接受的水平

B、实施控制措施后，确保风险完全消除，是风险管理的目标

C、在风险不可能解决的情况了，组织应放弃该资产，以达到解决风险的目的

D、风险是不可能消除的，所以要不计成本的去降低风险，杜绝风险事件的发生

答案：A

解析：选择和实施控制措施以降低风险。控制措施需要确保风险降至可接受的水

平，同时考虑到国家和国际立法和条例的要求和限制、组织的安全目标、组织对

操作的要求和限制。

83.发送电子邮件时通常需要使用的协议是。

A、SMTP

B、POP3

C、SMTP和POP3都需要

D、以上都不对

答案：A

解析：SMTP协议是发送电子邮件时用的协议，POP3是接收邮件时用的协议

84.在TCP/IP协议中，由于TCP协议提供可靠的连接服务，采用（）来创建一个T

CP连接;采用（）来断开TCP连接。

A、三次握手三次挥手

B、三次握手四次挥手

C、四次握手三次挥手

D、四次握手四次挥手

答案：B

解析：TCP协议提供可靠的连接服务，采用三次握手来创建一个TCP连接;采用

四次挥手来断开TCP连接。

85.以下哪个不是产生ARP欺骗的原因()。

A、ARP协议是一个无状态的协议

B、ARP协议是将IP地址转化为MAC地址的重要协议

C、ARP信息在系统中会缓存

D、ARP缓存是动态的，可以被改写

答案:B

86.以下不属于评估密码系统安全性的方法是0

A、实际安全性。对于实际应用中的密码系统而言，不存在破译方法。

B、无条件安全性:这种评价方法考虑的是假定攻击者拥有无限的计算资源，但仍

然无法破译该密码系统。

C、计算安全性:这种方法是指如果使用目前最好的方法攻破它所需要的计算资源

远远超出攻击者拥有的计算资源，则可以以为这个密码系统是安全的.

D、可证明安全性:这种方法是将密码系的安全性归结为某个经过深入研究的困难

问题如大整数素因子分解、计算离散对数等)。这种评估方法存在的问题是它只

说明了这个密码方法的安全性与某个困难问题相关，没有完全证明问题本身的安

全性，并给出它们的等价性证明。

答案：A

解析：评估密码系统安全性主要有三种方法:无条件安全性、计算安全性、可证

明安全性。

87.小李收到一条短信说同城的某某公司在做市场调研，点开下方的链接填写调

查问卷即可获得一个礼品，小李此刻最应该做的是

A、点开链接查看需要填写什么信息，在考虑是否填写

B、无法确定链接是否安全，不予理会

C、打电话询问朋友是否收到信息，如果收到即可放心填写

D、有免费礼品拿，立即填写资料

答案：B

解析：在收到一些广告、推销等消息时，其中的链接不要随意打开，可能会跳转

到各种钓鱼网站，挂马网页等

88.目前广泛应用于浏览器与服务器之间身份认证和加密数据传输的协议是1)。

A、SSH协议

B、SMTP协议

C、SSL协议

D、HTTP协议

答案：C

解析：目前广泛应用于浏览器与服务器之间身份认证和加密数据传输的协议是S

SL协议。

89.恶意app对个人隐私信息及资金安全等方面所造成的威胁逐年增加，下列哪

个选项可能是恶意APP()

A、政务类APP

B、各大行的手机银行APP

C、网上下载的盗版APP

D、从手机自带的应用商店下载的微信、支付宝等知名APP

答案：C

解析：网上下载的盗版APP可能被恶意篡改过，可能有安全威胁

90.下列哪个适合安装统一威胁管理系统()。

A、不计预算,需要较强防护能力的大型组织机构

B、预算有限，且需要较全面防护能力的中小型组织机构

C、不计预算，需要较强的防护能力的中小型组织机构

D、预算有限，需要简单防护的个人设备

答案:B

解析：统一威胁管理系统(UTM)适合预算有限，但需要较全面防护能力的中小型

组织机构。

91.养成良好的APP使用习惯可以降低个人信息泄露的风险，下列APP使用习惯

中不正确的是()

A、不使用强制收集个人信息的APP

B、不使用破解版APP

C、为了多获取积分，填写真实姓名、出生日期、所从事的行业等各种详细的个

人信息

D、不被赚钱等噱头迷惑，安装不可信的APP

答案：C

解析：填写太过细致的个人信息可能会导致个人信息泄露

92.信息系统在什么阶段要评估风险()o

A、只在运行维护阶段进行风险评估，以识别系统面临的不断变化的风险和脆弱

性，从而确定安全措施的有效性，确保安全目标得以实现

B、只在规划设计阶段进行风险评估，以确定信息系统的安全目标

C、只在建设验收阶段进行风险评估，以确定系统的安全目标达到与否

D、信息系统在其生命周期的各个阶段都要进行风险评估

答案：D

解析：信息系统在其生命周期的各阶段都要进行风险评估。包括规划设计阶段、

运行维护阶段、建设验收阶段都要进行风险评估。因此本题选D。

93.()是多个访问节点通过通信链路连接到一个中央节点进行相互通信组成的结

构，中央节点根据集中的通信控制策略对不同的访问节点的访问进行管理和控制

A、星型拓扑

B、网状拓扑

C、环型拓扑

D、树型拓扑

答案：A

解析：星型拓扑是多个访问节点通过通信链路连接到一个中央节点进行相互通信

组成的结构，中央节点根据集中的通信控制策略对不同的访问节点的访问进行管

理和控制。

94.世界第一台计算机诞生于0。

A、1945

B、1946

C、1947

D、1948

答案：B

解析：世界上第一台计算机，电子数字积分计算机(ENIAC)于1946年2月14日

在宾夕法尼亚大学诞生。

95.对于一个组织机构来说,资产包括()

A、该组织机构所拥有的座椅板凳以及办公场所

B、该组织机构所拥有的信息系统

C、该组织机构所拥有的著作权

D、以上全部

答案：D

96.某大型企业声称自己的ISMS符合IS0/IBC27001或GB/T22080标准要求，其

信息安全控制措施通常在以下方面实施常规控制，不包括哪一项()

A、信息安全方针、信息安全组织、资产管理

B、人力资源安全、物理和环境安全、通信和操作管理

C、访问控制、信息系统获取、开发和维护、符合性

D、规划与建立ISMS

答案:D

解析：规划与建立ISMS是属于在建设信息安全管理体系前期的工作，不属于常

规控制项

97.为了保证系统日志可靠有效，以下哪一项不是日志必需具备的特征0

A、统一而精确地的时间

B、全面覆盖系统资产

C、包括访问源、访问目标和访问活动等重要信息

D、可以让系统的所有用户方便的读取

答案:D

解析：日志只有授权用户可以读取。

98.邮件病毒是电子邮件的安全威胁之一，为防止邮件中恶意代码的攻击，应该

使用下列哪种方式阅读电子邮件。

A、纯文本

B、网页

C、程序

D、会话

答案：A

解析：以纯文本文件形式阅读一般可避免邮件中恶意代码的攻击

99.一份文件通过哈希函数得到消息摘要，不能通过消息摘要得到原文件，这体

现了哈希函数的0。

A、机密性

B、单向性

C、弱抗碰撞性

D、强抗碰撞性

答案：B

解析：本题干体现了哈希函数的单向性。

100.由于密码技术都依赖于密钥，因此密钥的安全管理是密码技术应用中非常重

要的环节，下列关于密钥管理说法错误的是()

A、在保密通信过程中，通信双方也可利用Diffie-HeiIman协议协商出会话密钥

进行保密通信。

B、密钥管理需要在安全策略的指导下处理密钥生命周期的整个过程,包括产生、

存储、备份、分配、更新、撤销等。

C、在保密通信过程中，通信双方可以一直使用之前用过的会话密钥，不影响安

全性。

D、科克霍夫在《军事密码学》中指出系统的保密性不依赖于对加密体制或算法

的保密，而依赖于密钥。

答案：C

解析：通信双方一直使用之前用过的会话密钥，会影响安全性。

101.下列哪个选项不属于EFS加密的优点。

A、内置在Windows系统中

B、对用户透明

C、对于NTFS卷上的文件和数据，都可以直接作加密保存

D、解密无需依赖密钥

答案:D

解析：用EFS对数据加密保护，虽然对用户透明，但用户需要明白的一点，EFS

解密时依赖密钥。

102.强制性国家标准代号为（

A、GB/T

B、GB/Z

C、GA/T

D、GB

答案：D

解析：我国的国家标准分别有:GB强制性国家标准、GB/T推荐性国家标准和GB/

Z国家标准化指导性技术文件。

103.下列哪个选项可以设置禁止某些用户和组作为远程桌面服务客户端登录。

A、管理共享

B、系统服务

C、本地组策略

D、系统组件服务

答案：C

解析：用户权限分配对一些敏感或者风险操作的用户权限进行了限制,用户权限

设置位于本组策略设置

104.Windows系统账户的安全是计算机终端安全的核心，下列哪种账户密码的安

全性最高。

A、连续的数字（如123456）

B、重复的数字（如111222）

C、出生年月日（如970823）

D、随机的六位数字（如153829）

答案：D

解析：使用连续或重复的数字以及出生年月日设置的密码都是典型的弱口令，非

常容易被暴力破解

105.公钥密码的应用不包括0

A、数字签名

B、身份认证

C、消息认证码

D、非安全信道的密钥交换

答案:C

解析：消息认证码不属于公钥密码应用的范畴。

106.随着电子邮件的广泛应用，电子邮件面临的安全威胁越来越多，攻击者可能

通过恶意邮件来控制主机，下列设置中不安全的是()

A、以超文本格式读取所有邮件

B、禁止自动下载附件

C、禁止使用不信任的宏

D、启用垃圾邮件过滤

答案：A

解析：应该设置为以纯文本形式约定邮件

107.机密性保护需要考虑的问题()

A、信息系统中的数据是否都有标识，说明重要程度

B、信息系统中的数据访问是否有权限控制

C、信息系统中的数据访问是否有记录

D、以上都对

答案：D

解析：信息系统中数据的标识、重要程度、权限、记录等都要考虑

108.关于入侵检测系统的局限性下列说法正确的是0o

A、入侵检测虽然能检测到攻击，但由于攻击方式、类型众多，对用户的要求不

B、由于网络传输能力快速增长，对入侵检测系统的性能要求也越来越高，这使

得入侵检测难以满足实际业务需要。

C、入侵检测系统不需要用户具备一定的网络安全知识，系统的配置、管理也较

为复杂。

D、入侵检测系统采取了各类不同的检测技术，入侵检测系统高虚警率问题得以

解决。

答案：B

解析：入侵检测也存在一些问题，这些问题包括入侵检测虽然能检测到攻击，

但由于攻击方式、类型众多，对用户有较高的要求需要用户具备一定的网络安全

知识，系统的配置、管理也较为复杂;由于网络传输能力快速增长，对入侵检测

系统的性能要求也越来越高，这使得入侵检测难以满足实际业务需要;尽管采取

了各类不同的检测技术，但入侵检测系统高虚警率问题仍然难以解决。

109.以下不属于光纤的优点的是()。

A、不易被窃听

B、成本高、安装维护需要专业设备

C、信号衰减小、无电磁干扰

D、抗腐蚀材料、重量轻

答案：B

解析：光纤具有高带宽、信号衰减小、无电磁干扰、抗腐蚀材料、重量轻及不易

被窃听等特点。

110.

()是使信息在客体间滴动的一种实体。()是一种信息实体，或者是从其它主体或

客体按收信息的实体，通常()是指人、进程或设备等。通常数据块、存储页、文

件、目录程序等都属于()。

A、主体客体主体客体

B、主体主体客体客体

C、主体客体客体主体

D、客体主体客体主体

答案：A

解析：

解析：主体是使信息在客体间流动的一种实体。通常主体是指人、进程或设备等。

客体是一种信息实体，或者是从其它主体或客体凄收信息的实体。通常数据块、

存储页、文件、目录、程序等都属于客体。

111.我们可根据信息安全事件的起因、表现、结其等将信息安全事件分类，以下

选项不属于信息安全事件分类的是()

A、恶意程序事件

B、网络攻击事件

C、信息破坏事件

D、社会工程学攻击

答案：D

解析：社会工程学攻击不属于事件分类

112.分组密码算法是十分重要的密码算法，以下描述错误的是0。

A、分组密码算法要求输入明文按组分成固定长度的块

B、分组密码算法也称为序列密码算法

C、分组密码算法每次计算得到固定长度的密文输出块

D、常见的DES、IDEA算法都属于分组密码算法

答案：B

解析：分组密码是在加密过程中将明文进行分组后在进行加密，序列密码又叫流

密码对每一个字节进行加密。

113.网络空间成为国家竞争新的领域，关于这个说法错误的是0

A、网络空间已经得到国家高度重视，纳入国家战略

B、网络空间中的产品已经全面实现国产化

C、网络空间已经成为国家技术研发重点方向

D、网络空间已经纳入我国海陆空三军作战范畴

答案：B

解析：ACD正确，B错误，网络空间中的产品已经全面实现国产化的说法是错误

的

114.入侵检测系统对入侵行为的识别分为）o

A、基于误用检测和基于异常检测

B、基于系统检测和基于异常检测

C、基于误用检测和基于正常检测

D、基于误用检测和基于用户检测

答案：A

解析：入侵检测系统对入侵行为的识别分为基于误用检测和基于异常检测。

115.关于对称密码算法缺点，以下说法错误的是。

A、安全信道难以实现

B、算法复杂、计算量大

C、安全交换密钥问题及密钥管理复杂

D、无法解决对消息的篡改、否认等问题

答案：B

解析：对称密码算法的算法简单、计算量小。

116.如果您住的小区外有人派发小礼品，只要登记一下手机号码就可用免费领取,

以下哪个做法最恰当？0

A、扭送公安机关

B、不予理会，会泄露自己个人信息

C、免费的不要白不要，填写手机号码领一个

D、这是好事，我帮朋友也填了领一个

答案：B

解析：常识

117.下列关于跨站脚本攻击的描述正确的是。

Ax跨站脚本攻击英文为CrossSiteScripting

B、反射型跨站脚本攻击是持久性的

C、跨站脚本攻击是一种利用客户端漏洞实施的攻击

D、跨站脚本攻击无法重定向用户访问

答案：A

解析：

反射型跨站脚本攻击是非持久性的、跨站脚本攻击是一种利用网站漏洞实施的攻

击，可用于重定向用户访问

118.组织识别风险后，可采取的处理方式不合理的是()

A、缓解风险

B\转移风险

C\忽略风险

D、规避风险

答案：C

解析：组织识别风险后，可采取的处理方式有:风险规避、风险缓解、风险转移

119.在VPN方面，目前企业采用的保障业务安全的解决方案不包括0。

A、统一安全接入平台

B、系统支持多种认证方式

C、不使用任何防火墙和杀毒引擎

D、统一派发设备，强管控

答案：C

解析：应当开启防火墙和杀毒引擎

120.“会话侦听和劫持技术”是属于0的技术

A、密码分析技术

B、协议漏洞渗透

C、应用漏洞分析与渗透

D、DDOS攻击

答案：B

121.李某将同学张某的小说擅自发表在网络上，这种行为()

A、扩大了张某的知名度，值得鼓励

B、不影响张某在出版社出版该小说,因此合法

C、侵犯了张某的著作权

D、只要没有给张某造成直接经济损失，就是合法的

答案:C

解析：侵犯了张某的著作权

122.为什么要对数据进行加密。

A、保护数据安全

B、避免存储在计算机终端上的数据被攻击者窃取

C、防止未授权用户读取计算机中的数据

D、以上都对

答案：D

解析：解析：数据加密是保护数据安全的主要措施。通过对数据进行加密，可以

避免存储在计算机终端上的数据被攻击者窃取，防止未授权用户读取计算机中的

数据。

123.关于信息安全，以下说法错误的是()

A、离开办公桌面随手将电脑锁屏

B、重要数据经常备份，并进行加密处理

C、避免将秘密以上文档随意放在办公桌上

D、共享文件夹向所有用户赋予读写执行权限

答案：D

解析：在信息安全来说，共享文件夹只能对有权限的用户赋予读写执行权限

124.你需要打印一份报价材料给合作伙伴，可部门打印机缺墨无法打印，以下哪

个选择从安全角度最合理？0

A、给别的部门人员帮忙打印

B、去外面文印室打印

C、联系相关人员尽快维修后打印

D、微信发给合作伙伴让对方自己打印

答案：C

解析：从安全角度出发，ABD选项都有可能泄露资料

125.以下哪个选项是攻击者的攻击策略？。

A、信息收集

B、分析系统的安全弱点

C、模拟攻击

D、以上都是

答案：D

解析：信息收集、分析系统的弱点和模拟攻击等都属于攻击者的策略

126.网页浏览的好习惯不包括。

A、选择火狐等大牌浏览器

B、打开网站之前仔细核对网站域名是否正确

C、不在所有网站使用相同的用户名和密码

D、重要网站密码使用姓名简拼加出生年月日

答案：D

解析：姓名简拼加出生年月日是典型的的弱口令

127.统一威胁管理系统是集防火墙、防病毒、入侵检测、上网行为管理等多种网

络安全功能于一体的网络安全设备。下列哪个是它的优势()。

A、模块化管理，比较容易使用

B、功能集成带来的风险集中

C、资源整合带来的高成本

D、以上都是

答案：A

解析：统一威胁管理系统(UTM)的优势:资源整合带来的低成本、模块化管理，比

较容易使用、配置工作量小，能够提高安全管理人员的工作效率.

128.Windows新建一个名为abc密码为123的用户命令是。

Axnetuserabcl23/add

B、netuser"abc123"/add

C、netuserl23abc/add

Dxnetuserl23"abcn/add

答案：A

解析：

在cmd里面输入:netuser/?来查看netuser命令参数的用法

129.安全测试用于提高软件系统的安全性，以下关于安全测试的描述中错误的是

0

A、黑盒测试主要针对程序所展现给用户的功能

B、白盒测试是针对被测单元内部是如何工作进行的测试

C、灰盒测试是介于黑盒测试和白盒测试之间的一种测试

D、黑盒测试可以完全取代白盒测试

答案：D

解析：软件的黑盒测试意味着测试要在软件的接口处进行。软件的白盒测试是对

软件的过程性细节做细致的检查。

130.以下关于网络钓鱼的说法中，不正确的是()

A、网络钓鱼属于社会工程学攻击

B、网络钓鱼融合了伪装、欺骗等多种攻击方式

C、网络钓鱼攻击和web服务没有关系

D、将被攻击者引诱到一个钓鱼网站是典型的网络钓鱼

答案：C

解析：网络钓鱼(Phishing)是攻击者利用欺骗性的电子邮件或其他方式将用户引

导到伪造的Web页面来实施网络诈骗的一种攻击方式

131.关于物联网安全风险下列说法不正确的是()

A、物联网导致的隐私泄露问题

B、物联网平台不存在安全漏洞带来的安全问题

C、物联网终端的移动性对信息安全带来的管理困难问题

D、物联网快速增长的设备数量使得对设备的更新和维护都较为困难，终端设备

的漏洞很难得到有效的修复

答案：B

解析：物联网平台存在的安全漏洞带来的安全问题。

132.关于密钥管理,下列说法错误的是()。

A、密钥管理需要考虑密钥生命周期过程的每一个环节。

B、在网络通信中，通信双方可利用Diffie-HeiIman协议协商出会话密钥。

C、保密通信过程，通信使用之前用过的会话密钥建立会话，不影响通信安全。

D、科克霍夫原则指出算法的安全性不应基于算法的保密，而应基于密钥的安全

性。

答案：C

解析：会话密钥不应重复使用，如果使用用过的会影响通信安全。

133.弱口令一直是威胁网络安全的一个重大问题，以下对弱口令的描述正确的是

()

A、容易被破解从而威胁用户计算机安全

B、仅包含简单数字和字母的口令

C、连续的某个字符或重复某些字符的组合

D、以上都对

答案：D

解析:弱口令，通常认为容易被别人猜测到或被破解工具破解的口令均为弱口令。

弱口令指的是仅包含简单数字和字母的口令，例如“123”、“abc”等,因为这样

的口令很容易被别人破解，从而使用户的计算机面临风险

134.下面哪些不属于电子邮件安全使用常识()

A、电子邮件账号使用安全的口令

B、使用易于记忆的口令避免忘记，例123456

C、邮箱密码和其他应用的密码不同

D、不在陌生终端上登录自己的邮箱

答案：B

解析：应该使用自己容易记别人不好猜的口令，123456这种是典型的弱口令不

应该使用

135.以宪法为根本依据，我国的立法分类分为几个层次0

A、3个层次，法律、行政法规、地方性法规

B、4个层次，法律、行政法规、地方性法规、自治条例

C、5个层次，法律、行政法规、地方性法规、自治条例和单行条例、规章

D、6个层次，宪法、法律、行政法规、地方性法规、自治条例和单行条例、规

答案：A

解析：以宪法为根本依据，分为法律、行政法规、地方性法规三个层次

136.下面方法能有效防范口令穷举的措施是()

A、随机验证码

B、滑动填图验证

C、手机验证码

D、以上都对

答案：D

解析：随机验证吗、滑动填图验证、手机验证码、系统账户安全策略、智力挑战

等都属于有效防范口令穷举方法，有力的防范了攻击者进行口令暴力破解

137.哈希函数也称为()，它可以将。信息映射为：)的值。

A、随机函数

B、随机散列函数

C、单项散列函数

D、双向随机函数

答案:C

解析：哈希函数也称为单向散列函数，它可以将任意有限长度信息映射为固定长

度的值。

138.状态检测防火墙对数据包的抽取包括0。

A、源地址、源端口号、目的地址、目的端口号、使用协议

B、当前的会话状态、顺序号、应答标记、防火墙的执行动作

C、最新报文的寿命

D、以上都是

答案:D

解析：解析..・状态检知防火钩对数据包的数据抽取不仅仅包括数据包的源地址、

源端口号、目的地址、目的端口号、使用协议等五元组，还包括会话当前的状态

属性、顺序号、应答标已防火墙的执行动作及最新报文的寿命等信息。

139.把一个文件移动到回收站后发现删除错误，想撤回该文件可使用哪个快捷键

()

A、CtrI+A

B、Ctrl+Y

C、Ctrl+X

D、Ctrl+Z

答案:D

解析：Ctrl+A全选、Ctrl+Y重新执行某项操作、CtrI+X剪切选择的项目

140.为防止病毒感染和传播，日常应用中应做到0

A、不点击或打开来源不明的邮件和链接

B、安装官网规定的防病毒软件

C、使用安全移动存储介质前先杀毒

D、以上都是

答案：D

解析：常识

141.防火墙的种类较多，可以从多个角度对其进行分类，按照防火墙放置的位置

不同可以分为0和()。

A、软件防火墙

B、个人防火墙

C、个人防火墙

D、区域防火墙

答案：C

解析：防火墙的种类较多，可以从多个角度对其进行分类，按照防火墙放置的位

置不同可以分为个人防火墙和企业防火墙。

142.我国的()主要规定了关于数据电文、电子签名与认证及相关的法律责任。

A、《中华人民共和国宪法》

B、《中华人民共和国网络空间安全法》

C、《中华人民共和国电子签名法》

D、《商用密码管理条例》

答案:C

解析：《中华人民共和国电子签名法》由中华人民共和国第十届全国人民代表大

会常务委员会第十一次会议于2004年8月28日通过自2005年4月1日起施行。

共计5章，三十六条。主要内容是对电子签名的法律效力、适用范围和作为证据

的真实性提出要求。

143.缓冲区溢出攻击指利用缓冲区溢出漏洞所进行的攻击行为。以下对缓冲区溢

出攻击描述正确的是()

A、缓冲区溢出攻击不会造成严重后果

B、缓冲区溢出攻击指向有限的空间输入超长的字符串

C、缓冲区溢出攻击不会造成系统宕机

D、以上都不正确

答案:B

解析：缓冲溢出攻击是通过向程序的缓冲区写入超过预定长度的数据，从而破坏

程序的堆栈，导致程序执行流程的改变。

144.《互联网新闻信息服务单位内容管理》第四章从业人员监督管理，国家和地

方互联网信息办公室职能有0

A、依法建立从业人员信用档案和黑名单

B、指导互联网新闻信息服务单位建立健全从业人员准入、奖惩、考评、退出等

制度

C、国家互联网信息办公室建立从业人员统一的管理信息系统，对从业人员基本

信息、从业培训经历和奖惩情况等进行记录，并及时更新、调整。地方互联网信

息办公室负责对属

D、以上都对

答案：D

解析：地从业人员建立管理信息系统，并将更新、调整情况及时上报上一级互联

网信息办公室《互联网新闻信息服务单位内容管理》第四章从业人员监督管理

145.以下行为符合安全原则的有()

A、在百度文库共享公司内部资料换取下载券

B、重要资料需要经过互联网传输时，对重要资料进行加密传输

C、将企业内部资料带回家中在互联网上操作

D、在内网计算机上安装使用盗版软件

答案：B

解析：公司内部资料禁止泄露和带出公司，A项涉及泄露公司资料，C项是带出

公司及有可能泄露，D项，内网计算机禁止使用不明来历的软件，且使用盗版软

件不合规、违法

146.以下关于大数据的特征说法不正确的是()

A、大量(Volume):非结构化数据的超大规模和增长，总数据量的80旷90%。

B、多样(Variety):大数据的异构和多样性，很多不同形式(文本、图像、视频、

机器数据等)o

C、价值(Value):大量的不想关信息，对未来趋势与模式的可预测分析，深度复

杂分析(机器学习、人工智能)。

D、高速(Velocity):批量式分析，数据输入、处理与丢弃，事后见效。

答案:D

解析：高速(Velocity):实时分析而非批量式分析，数据输入、处理与丢弃，立

竿见影而非事后见效。

147.攻击者攻击的过程()

A、信息收集及分析，实施攻击，设置后门，清除入侵记录

B、信息收集及分析，实施攻击，找到需要的或破坏，清除入侵记录

C、实施攻击，信息收集及分析，设置后门，清除入侵记录

D、实施攻击，信息收集及分析，找到需要的或破坏，清除入侵记录

答案：A

解析:攻击者对系统或网络进行攻击的过程通常包括信息收集与分析、实施攻击、

设置后门及清除痕迹四个步骤。

148.以下对跨站脚本攻击的解释最准确的一项是。

A、通过将精心构造的代码注入到网页中，并由浏览器解释运行这段代码，以达

到恶意攻击的效果

B、构造精巧的数据库查询语句对数据库进行非法访问

C、以用户身份在当前已经登录的Web应用程序上执行非用户本意操作的攻击方

法

D、—种DD0S攻击

答案：A

解析：xss攻击就是将一段精心构造的代码注入到网页中，并由浏览器解释运行

这段代码，以达到恶意攻击的效果

149.以下属于2017年OWASP十大安全漏洞的是。

A、SQL注入

B、不安全的反序列化

C、敏感信息泄露

D、以上都是

答案:D

解析：查看OWASPTopIO

150.渗透测试与恶意入侵区别是()

A、采用不同思维方式

B、渗透测试过程可控

C、都是合法的

D、都会对系统造成破坏

答案：B

解析：解析：渗透测试必须是合法的，也就是说在渗透测试之前，需要客户签署

书面授权委托，而且整个渗透弑过程必须在可控的状态下进行，这也是渗透测和

恶意攻击的本质区别。因此本题选B。

151.为windows系统内置的管理员账户更名可以防御什么攻击。

A、针对administrator的口令暴力破解

B、针对guest的口令暴力破解

C、DLL注入

D、拒绝服务攻击

答案：A

解析：对内置管理员账户administrator设置安全的口令并进行更名是针对该账

户进行口令暴力破解防御的有效手段

152.我国的国家网络空间安全战略主要强调了。

A、维护网络空间主权

B、和平利用网络空间、依法治理网络空间

C、统筹网络安全与发展

D、以上都对

答案：D

解析：国家网络空间安全战略内容

153.隶属于中国信息安全测评中心的中国国家信息安全漏洞库的英文缩写是()

A、NVD

B、CNVD

C、CNCVE

D、CNNVD

答案：D

解析：解析•中国国家信息安全漏洞库(ChinaNationaIVunerabIityDatabaseof

nfomationSecuity,CNNVD)是中国信息安全测评中心为切实履行漏洞分析和冈险

评估的职能,负责建设运维的国家信息安全漏洞库。因此本题选Do

154.以下属于防病毒网关设备的优势()。

A、病毒库只需要更新一套

B、很难被恶意代码停止

C、通过和终端保护使用不同厂商的产品，能够形成异构保护

D、以上都是

答案:D

解析：防病毒网关设备的优势有:病毒库只需要更新一套；很难被恶意代码停止；

通过和终端保护使用不同厂商的产品，能够形成异构保护。

155.下列哪个选项属于XSS攻击类型。

A、延时型XSS

B、DOM型XSS

C、字符型XSS

D、布尔型XSS

答案：B

解析：XSS分类可分为反射型、存储型、DOM型三类

156.选择题信息网络安全的第三个时代()。

A、2001年,2002年,2003年

BvPC机时代,网络时代，信息时代

C、主机时代,专网时代,多网合一时代

D、主机时代,PC机时代，网络时代

答案：C

157.以下关于“隐私政策”的说法，不正确的是

A、App实际的个人信息处理行为可以超出隐私政策所述范围

B、App实际的个人信息处理行为应与“隐私政策”等公开的收集使用规则一致

C、点击同意“隐私政策”，并不意味着个人信息都会被收集，很多都需用户在

具体的业务场景下进行再次授权。

D、完善的隐私政策通常包含收集使用个人信息的目的、方式、范围，与第三方

共享个人信息情况。

答案：A

解析：App实际的个人信息处理行为应与“隐私政策”等公开的收集使用规则一

致。

158.在享受云服务带来的便捷时,数据安全的主动权掌握在手里()

A、云服务商

B、任意有安全资质的第三方

C、使用云的用户

D、云服务商和用户一致认定的第三方

答案：A

159.计算机病毒防治产品根据标准进行检验0

A、计算机病毒防治产品评级准则

B、计算机病毒防治管理办法

80

传播网络正能量争做中国好网民

C、基于DOS系统的安全评级准则

D、计算机病毒防治产品检验标准

答案:A

160.防火墙的分类有()

A、砖防火墙

B、木制防火墙

C、硬件防火墙

D、土制防火墙

94

传播网络正能量争做中国好网民

答案：C

161..路由设置是边界防范的0

A、)基本手段之一

B、)根本手段

C、)无效手段

答案：A

162.计算机病毒通常是()。

Av一条命令

B、一个文件

C、一个标记

D、一段程序代码

答案：D

163.选择题()是查找、分析网络系统安全事件的客观依据

Ax审计日志

B、记事本

C、安全审计

D、注册表

答案：B

164.提倡文明上网，健康生活,我们不应该有下列哪种行为？()

A、在网上对其他网友进行人身攻击

B、自觉抵制网上的虚假、低俗内容,让有害信息无处藏身

C、浏览合法网站，玩健康网络游戏,并用自己的行动影响周围的朋友

D、不信谣，不传谣,不造谣

答案：A

165.信息安全风险评估报告应当包括()

A、评估范围

B、评估依据

C、评估结论和整改建议

D、以上全部

答案：D

166.曾经危害比较广泛的病毒是()

A、梅花

B、美杜莎

C、狐狸烧香

D、熊猫烧香

答案：D

167.从安全属性对各种网络攻击进行分类,截获攻击是针对的攻击()

A、机密性

B、可用性

C、完整性

D、真实性

90

传播网络正能量争做中国好网民

答案：A

168.我们应当及时修复计算机操作系统和软件的漏洞,是因为()

A、操作系漏洞补丁及时升级,软件漏洞补丁就没有必要及时修复

B、以前经常感染病毒的机器，现在就不存在什么漏洞了

C、漏洞就是计算机系统或者软件系统的缺陷,病毒和恶意软件