信息来源：互联网   发布时间：2023-09-20

为深入学习宣传贯彻习近平总书记关于网络强国的重要思想，宣传贯彻习近平总书记对网络安全工作“四个坚持”的重要指示，进一步加强我校学生网络安全教育工作，增强广大学生

 

为深入学习宣传贯彻习近平总书记关于网络强国的重要思想，宣传贯彻习近平总书记对网络安全工作“四个坚持”的重要指示，进一步加强我校学生网络安全教育工作，增强广大学生的网络安全意识和防护技能经研究，决定开展网络安全知识竞赛活动。

网络安全知识竞赛题库如下，希望可以帮助各位更好的学习提高网络安全意识和防护技能，预祝各位在大赛中取得佳绩。

网络安全知识竞赛题库附答案一、判断题1、VPN的主要特点是通过加密使信息能安全的通过Internet传递(对)2、密码保管不善属于操作失误的安全隐患(错)3、漏洞是指任何可以造成破坏系统或信息的弱点(对)。

4、安全审计就是日志的记录(错)5、计算机病毒是计算机系统中自动产生的(错)6、对于一个计算机网络来说,依靠防火墙即可以达到对网络内部和外部的安全防护(错)7、网络安全应具有以下四个方面的特征：保密性、完整性、可用性、可查性。

(错)8、最小特权、纵深防御是网络安全原则之一(对)9、安全管理从范畴上讲，涉及物理安全策略、访问控制策略、信息加密策略和网络安全管理策略(对)10、用户的密码一般应设置为16位以上(对)11、开放性是UNIX系统的一大特点。

(对)12、防止主机丢失属于系统管理员的安全管理范畴(错)13、我们通常使用SMTP协议用来接收E-MAIL(错)14、在堡垒主机上建立内部DNS服务器以供外界访问，可以增强DNS服务器的安全性(错)15、为了防御网络监听，最常用的方法是采用物理传输。

(错)16、使用最新版本的网页浏览器软件可以防御黑客攻击(对)17、通过使用SOCKS5代理服务器可以隐藏QQ的真实IP(对)18、一但中了IE窗口炸弹马上按下主机面板上的Reset键，重起计算机(错)。

19、禁止使用活动脚本可以防范IE执行本地任意程序(对)20、只要是类型为TXT的文件都没有危险(错)21、不要打开附件为SHS格式的文件(对)22、发现木马，首先要在计算机的后台关掉其程序的运行(对)。

23、限制网络用户访问和调用cmd的权限可以防范Unicode漏洞(对)24、解决共享文件夹的安全隐患应该卸载Microsoft网络的文件和打印机共享(对)25、不要将密码写到纸上(对)26、屏幕保护的密码是需要分大小写的。

(对)27、计算机病毒的传播媒介来分类，可分为单机病毒和网络病毒(对)28、木马不是病毒(对)29.复合型防火墙防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用，同时也常结合过滤器的功能。

(对)30、非法访问一旦突破数据包过滤型防火墙，即可对主机上的软件和配置漏洞进行攻击(错)二、选择题1.使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于什么攻击类型?。

A、拒绝服务B、文件共享C、BIND漏洞D、远程过程调用正确答案：A2.为了防御网络监听，最常用的方法是A、采用物理传输(非网络)B、信息加密C、无线网D、使用专线传输正确答案：B3.向有限的空间输入超长的字符串是哪一种攻击手段?

A、缓冲区溢出;B、网络监听C、拒绝服务D、IP欺骗正确答案：A4.主要用于加密机制的协议是A、HTTPB、FTPC、TELNETD、SSL正确答案：D5.用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段?

A、缓存溢出攻击;B、钓鱼攻击C、暗门攻击;D、DDOS攻击正确答案：B6.Windows NT 和Windows 2000系统能设置为在几次无效登录后锁定帐号,这可以防止A、木马;B、暴力攻击;C、IP欺骗;

D、缓存溢出攻击正确答案：B7.在以下认证方式中，最常用的认证方式是：A、基于账户名/口令认证B、基于摘要算法认证 ;C、基于PKI认证 ;D、基于数据库认证正确答案：A8.以下哪项不属于防止口令猜测的措施?

A、严格限定从一个给定的终端进行非法认证的次数;B、确保口令不在终端上再现;C、防止用户使用太短的口令;D、使用机器产生的口令正确答案：B9.下列不属于系统安全的技术是A、防火墙B、加密狗C、认证D、防病毒

正确答案：B10.抵御电子邮箱入侵措施中，不正确的是A、不用生日做密码B、不要使用少于5位的密码C、不要使用纯数字D、自己做服务器正确答案：D11.不属于常见的危险密码是A、跟用户名相同的密码B、使用生日作为密码

C、只有4位数的密码D、10位的综合型密码正确答案：D12.不属于计算机病毒防治的策略的是A. 确认您手头常备一张真正“干净”的引导盘B. 及时、可靠升级反病毒产品C. 新购置的计算机软件也要进行病毒检测

D. 整理磁盘正确答案：D13.针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，这是()防火墙的特点A、包过滤型B、应用级网关型C、复合型防火墙D、代理服务型正确答案：D14.在每天下午5点使用计算机结束时断开终端的连接属于。

A、外部终端的物理安全B、通信线的物理安全C、听数据D、网络地址欺骗正确答案：A15.2003年上半年发生的较有影响的计算机及网络病毒是什么A、SARSB、SQL杀手蠕虫C、手机病毒D、小球病毒正确答案：

B16.SQL 杀手蠕虫病毒发作的特征是什么A、大量消耗网络带宽B、攻击个人PC终端C、破坏PC游戏程序D、攻击手机网络正确答案：A17.当今IT 的发展与安全投入，安全意识和安全手段之间形成A、安全风险屏障

B、安全风险缺口C、管理方式的变革D、管理方式的缺口正确答案：B18.我国的计算机年犯罪率的增长是A、10%B、160%C、60%D、300%正确答案：C19.信息安全风险缺口是指A、IT 的发展与安全投入，安全意识和安全手段的不平衡

B、信息化中，信息不足产生的漏洞C、计算机网络运行，维护的漏洞D、计算中心的火灾隐患正确答案：A20.信息网络安全的第一个时代A、九十年代中叶B、九十年代中叶前C、世纪之交D、专网时代正确答案：B21.信息网络安全的第三个时代

A、主机时代, 专网时代, 多网合一时代B、主机时代, PC机时代, 网络时代C、PC机时代,网络时代,信息时代D、2001年,2002年,2003年正确答案：A22.信息网络安全的第二个时代A、专网时代

B、九十年代中叶前C、世纪之交正确答案：A23.网络安全在多网合一时代的脆弱性体现在A、网络的脆弱性B、软件的脆弱性C、管理的脆弱性D、应用的脆弱性正确答案：C24.人对网络的依赖性最高的时代A、专网时代

B、PC时代C、多网合一时代D、主机时代正确答案：C25.网络攻击与防御处于不对称状态是因为A、管理的脆弱性B、应用的脆弱性C、网络软，硬件的复杂性D、软件的脆弱性正确答案：C26.网络攻击的种类A、物理攻击，语法攻击，语义攻击

B、黑客攻击，病毒攻击C、硬件攻击，软件攻击D、物理攻击，黑客攻击，病毒攻击正确答案：A27.语义攻击利用的是A、信息内容的含义B、病毒对软件攻击C、黑客对系统攻击D、黑客和病毒的攻击正确答案：A28.1995年之后信息网络安全问题就是

A、风险管理B、访问控制C、消除风险D、回避风险正确答案：A29.风险评估的三个要素A、政策，结构和技术B、组织，技术和信息C、硬件，软件和人D、资产，威胁和脆弱性正确答案：D30.信息网络安全(风险)评估的方法

A、定性评估与定量评估相结合B、定性评估C、定量评估D、定点评估正确答案：A31.PDR模型与访问控制的主要区别A、PDR把安全对象看作一个整体B、PDR作为系统保护的第一道防线C、PDR采用定性评估与定量评估相结合

D、PDR的关键因素是人正确答案：A32.信息安全中PDR模型的关键因素是A、人B、技术C、模型D、客体正确答案：A33.计算机网络最早出现在哪个年代A、20世纪50年代B、20世纪60年代C、20世纪80年代

D、20世纪90年代正确答案：B34.最早研究计算机网络的目的是什么?A、直接的个人通信;B、共享硬盘空间、打印机等设备;C、共享计算资源;D、大量的数据交换正确答案：C35.最早的计算机网络与传统的通信网络最大的区别是什么?。

A、计算机网络带宽和速度大大提高B、计算机网络采用了分组交换技术C、计算机网络采用了电路交换技术D、计算机网络的可靠性大大提高正确答案：B36.关于80年代Mirros 蠕虫危害的描述，哪句话是错误的?。

A、该蠕虫利用Unix系统上的漏洞传播B、窃取用户的机密信息，破坏计算机数据文件C、占用了大量的计算机处理器的时间，导致拒绝服务D、大量的流量堵塞了网络，导致网络瘫痪正确答案：B37.以下关于DOS攻击的描述，哪句话是正确的?

A、不需要侵入受攻击的系统B、以窃取目标系统上的机密信息为目的C、导致目标系统无法处理正常用户的请求D、如果目标系统没有漏洞，远程攻击就不可能成功正确答案：C38.许多黑客攻击都是利用软件实现中的缓冲区溢出的漏洞，对于这一威胁，最可靠的解决方案是什么?

A、安装防火墙B、安装入侵检测系统C、给系统安装最新的补丁D、安装防病毒软件正确答案：C39.下面哪个功能属于操作系统中的安全功能A、控制用户的作业排序和运行B、实现主机和外设的并行处理以及异常情况的处理

C、保护系统程序和作业，禁止不合要求的对程序和数据的访问D、对计算机用户访问系统和资源的情况进行记录正确答案：C40.下面哪个功能属于操作系统中的日志记录功能A、控制用户的作业排序和运行B、以合理的方式处理错误事件，而不至于影响其他程序的正常运行

C、保护系统程序和作业，禁止不合要求的对程序和数据的访问D、对计算机用户访问系统和资源的情况进行记录正确答案：D41.Windows NT提供的分布式安全环境又被称为A、域(Domain)B、工作组C、对等网

D、安全网正确答案：A51. ( 容易 ) 越来越多的人习惯于用手机里的支付宝、微信等付账，因为很方便，但这也对个人财产的安全产生了威胁以下哪些选项可以有效保护我们的个人财产 ?()A 、 使用手机里的支付宝、微信付款输入密码时避免别人看到。

B 、 支付宝、微信支付密码不设置常用密码C 、 支付宝、微信不设置自动登录D 、 不在陌生网络中使用答案：ABCD52. ( 容易 ) 下列哪些选项可以有效保护我们上传到云平台的数据安全 ?( )A 、 上传到云平台中的数据设置密码

B 、 定期整理清除上传到云平台的数据C 、 在网吧等不确定网络连接安全性的地点使用云平台D 、 使用免费或者公共场合 WIFI 上传数据到云平台答案：AB53. ( 容易 )014 年 7 月，国内安全团队研究了特斯拉 Model S 型汽车，发现利用汽车软件里的某个漏洞，可以远程控制车辆，实现开锁、鸣笛、闪灯，可以在汽车行进的过程中远程开启天窗。

这个事例告诉我们接入到网络中的设备都存在被黑客攻击的可能性，以下哪些措施可以有效避免接入网络的硬件设备免受网络攻击 ?()A 、 硬件设备不接入到陌生的网络B 、 对自身网络设置密码验证C 、 硬件设备中安装安全防护软件

D 、 及时清洁网络设备答案：ABC54. ( 困难 ) 公开密钥基础设施 (PKl) 由以下哪几部分组成：( ) A 、 认证中心注册中心B 、 质检中心C 、 咨询服务D 、 证书持有者用户证书库答案：

AD55. ( 容易 ) 现在网络购物越来越多，以下哪些措施可以防范网络购物的风险A 、 核实网站资质及网站联系方式的真伪B 、 尽量到知名、权威的网上商城购物C 、 注意保护个人隐私D 、 不要轻信网上低价推销广告

答案：ABCD56. ( 容易 ) 在日常生活中，以下哪些选项容易造成我们的敏感信息被非法窃取 ?A 、 随意丢弃快递单或包裹B 、 在网上注册网站会员后详细填写真实姓名、电话、身份证号、住址等信息C 、 电脑不设置锁屏密码

D 、 定期更新各类平台的密码，密码中涵盖数字、大小写字母和特殊符号答案：ABC57. ( 中等 ) 以下哪些选项是关于浏览网页时存在的安全风险：()A 、 网络钓鱼B 、 隐私跟踪C 、 数据劫持D 、 网页挂马

答案：ABCD58. ( 容易 ) 网购已经在我们的生活中无处不在，下列哪些行为有诈骗嫌疑 ?()A 、 拍下商品，付款成功后，告诉其在 0 天后才能到货B 、 买家拍货之后不付款要求卖家发货，卖家不发货就以投诉差评威胁新手卖家

C 、 有自称为“淘宝客服”的人索要账户密码D 、 卖家推荐买家使用支付宝担保交易，保证交易中的安全性答案：ABC59. ( 容易 ) 我们在日常生活中网上支付时，应该采取哪些安全防范措施 ?()A 、 保护好自身信息、财产安全，不要相信任何套取账号、 USBkey 和密码的行为。

B 、 网购时到正规、知名的网上商店进行网上支付，交易时确认地址栏内网址是否正确C 、 从银行官方网站下载安装网上银行、手机银行、安全控件和客户端软件开通短信口令时，务必确认接收短信手机号为本人手机号 锹籁饗迳琐筆襖鸥娅薔。

D 、 避免在公共场所或者他人计算机上登录和使用网上银行，退出网上银行时一定要将 USBkey 拔出答案：ABCD60. ( 容易 ) 某网站的用户数据库泄露，影响数据总共数亿条，泄露信息包括用户名、 MD5 密码、密码提示问题 / 答案 (hash) 、注册 IP 、生日等。

该网站邮箱绑定的其他账户也受到波及，如 iPhone 用户的 Apple ID 等发生此类问题我们应该进行下列哪种措施，避免受到更大损失 ()?A 、 立即登录该网站更改密码B 、 投诉该网站C 、 更改与该网站相关的一系列账号密码

D 、 不再使用该网站的邮箱答案：AC61. ( 容易 ) 以下防范智能手机信息泄露的措施有哪几个 ( )A 、 禁用 Wi-Fi 自动连接到网络功能，使用公共 Wi-Fi 有可能被盗用资料B 、 下载软件或游戏时，仔细审核该软件，防止将木马带到手机中

C 、 经常为手机做数据同步备份D 、 勿见二维码就扫答案：ABD62. ( 容易 ) 以下哪些属于数据线连接到电脑上的安全风险 ?( )A 、 不法分子可能在电脑上看到手机当中的短信内容B 、 木马或病毒可在手机与电脑中相互感染。

C 、 不法分子可通过远控电脑来操作、读取手机敏感信息D 、 损坏手机使用寿命答案：(ABC)63. ( 困难 ) 请分析哪些是病毒、木马，在电子邮件的传播方式 ?( )A 、 邮件主题及内容伪造成各式各样 ( 好友的回复邮件、管理员的提醒、热点事件等 )。

B 、 病毒副本存在邮件附件中，伪装成各种格式的文件引诱用户点击执行，如 jpg 、 doc 、 zip 、 rar 等，但有些时候实际上是 e_e 文件C 、 将木马代码通过邮件的正文发送过去D 、 将病毒源文件直接发送给用户。

答案：(AB)64. ( 中等 ) 为了防治垃圾邮件，常用的方法有：( ) A 、 避免随意泄露邮件地址B 、 定期对邮件进行备份C 、 借助反垃圾邮件的专门软件D 、 使用邮件管理、过滤功能答案 : ACD

65. ( 容易 ) 不要打开来历不明的网页、电子邮件链接或附件是因为 ______ A 、 互联网上充斥着各种钓鱼网站、病毒、木马程序B 、 不明来历的网页、电子邮件链接、附件中，很可能隐藏着大量的病毒、木马。

C 、 可能含有的病毒、木马会自动进入电脑并隐藏在电脑中，会造成文件丢失损坏D 、 可能含有的病毒、木马会自动进入电脑并隐藏在电脑中，会导致系统瘫痪答案：(ABCD)66. ( 困难 ) 网页挂马指的是，不法分子把一个木马程序上传到一个网站里面，然后用木马生成器生成一个网页木马，再加代码使得木马在打开网页时运行 ! 完整过程如下：上传木马 -- 生成网页木马 -- 修改代码使用能自动运行 -- 加载到网站程序中。

请分析一下受害者被网页挂马攻击的几个要素 ?( )A 、 用户访问了存在挂马链接的网页 ( 主动或被动 ) B 、 用户系统上存在漏洞、并且被攻击程序攻击成功C 、 用户系统上的安全软件没有起作用D 、 用户清理了电脑中的缓存网页文件

答案：(ABC)67. ( 困难 ) 请分析，以下哪些是高级持续性威胁 (APT) 的特点 ?( )A 、 此类威胁，攻击者通常长期潜伏B 、 有目的、有针对性全程人为参与的攻击C 、 一般都有特殊目的 ( 盗号、骗钱财、窃取保密文档等 )

D 、 不易被发现答案：(ABCD)68. ( 中等 ) 以下哪项属于防范假冒网站的措施 ()A 、 直接输入所要登录网站的网址，不通过其他链接进入B 、 登录网站后留意核对所登录的网址与官方公布的网址是否相符

C 、 登录官方发布的相关网站辨识真伪D 、 安装防范 ARP 攻击的软件答案：ABC69. ( 容易 ) 关于网络安全技术学习相关方式，以下说法正确的是 ?( )A 、 出于学习的角度，可以未经许可对某网站进行渗透测试

B 、 可搭建虚拟仿真环境来学习一些入侵与防御的技术C 、 可以参加一些技术学习类比赛来锻炼自己的能力D 、 可以学习基础知识的同时，关注一些安全事件，分析问题原因答案：BCD70. ( 容易 ) 以下哪些关于网络安全的认识是错误的 ?( )

A 、 电脑病毒防治主要靠软件查杀B 、 文件删除后信息就不会恢复C 、 网络共享文件是安全的D 、 防病毒软件要定期升级答案：ABC71. ( 容易 ) 如何防范钓鱼网站 ?A 、 通过查询网站备案信息等方式核实网站资质的真伪

B 、 安装安全防护软件C 、 警惕中奖、修改网银密码的通知邮件、短信，不轻意点击未经核实的陌生链接D 、 不在多人共用的电脑上进行金融业务操作，如网吧等答案：(ABCD)72. ( 容易 ) 青少年安全使用网络的一些说法，哪些是正确的 ( )?。

A 、 不要随意下载“_版”、“绿色版”等软件，下载软件从正规的官方网站下载B 、 养成不打开陌生链接的习惯C 、 尽量不使用聊天工具D 、 玩游戏不使用外挂答案：ABD73. ( 中等 )U 盘病毒通过 ( ) ， ( ) ， ( ) 三个途径来实现对计算机及其系统和网络的攻击的。

A 、 隐藏B 、 复制C 、 传播D 、 _答案：ABC74. ( 中等 )web 安全是一个系统问题 , 包括服务器安全、 web 应用服务器安全、 web 应用程序安全、数据传输安全和应用客户端安全。

然而 , 网络的规模和复杂性使 web 安全问题比通常意义上的 Internet 安全问题更为复杂目前的 web 安全主要分为以下几个方面 ?( )A 、 保护服务器及其数据的安全B 、 保护服务器和用户之间传递的信息的安全。

C 、 保护 web 应用客户端及其环境安全D 、 保证有足够的空间和内存，来确保用户的正常使用答案：ABC75. ( 中等 ) 拥有安全软件和安全的配置是安全网站必要的条件web 服务器负责提供内容 , 调用产生内容的应用程序应用服务器为应用程序提供多种服务 , 包括数据存储、目录服务、邮件、消息等。

而网站的服务器配置中往往存在很多安全问题 , 攻击者可以使用扫描工具检测到这些问题并加以利用 , 导致后端系统的攻陷 , 包括数据库和企业内部网络常见的安全问题有 ?( )A 、 服务器软件未做安全补丁，有缺省密码的缺省的账号。

B 、 服务器软件漏洞和错误配置允许列出目录和目录遍历攻击C 、 不必要的缺省、备份或例子文件，包括 脚本、应用程序、配置文件和网页D 、 不正确的文件和目录权限，不必要的服务被运行，包括内容管理和远程系统管理。

答案：ABCD76. ( 容易 ) 下列算法属于 Hash 算法的有 ( )A 、 RSAB 、 DESC 、 SHA1D 、 MD5答案：CD77. ( 中等 ) 由于 TCP/IP 协议的缺陷，可能导致的风险有 ( )

A 、 拒绝服务攻击B 、 顺序号预测攻击C 、 物理层攻击D 、 TCP 协议劫持入侵答案：ABD78. ( 困难 )CA 能提供以下哪种证书 ? ( )A 、 个人数字证书B 、 SET 服务器证书

C 、 SSL 服务器证书D 、 安全电子邮件证书答案：ACD79. ( 容易 ) 如何防范操作系统安全风险 ?( )A 、 给所有用户设置严格的口令B 、 使用默认账户设置C 、 及时安装最新的安全补丁

D 、 删除多余的系统组件答案：ACD80. ( 容易 ) 网络安全攻击的主要表现方式有 ( ) A 、 中断B 、 截获C 、 篡改D 、 伪造答案：ABCD81. ( 困难 )CSRF 攻击防范的方法有 ?。

A 、 使用随机 TokenB 、 校验 refererC 、 过滤文件类型D 、 限制请求频率答案：AB82. ( 中等 ) 黑盒测试法注重于测试软件的功能需求，主要试图发现下列几类错误A 、 功能不正确或遗漏

B 、 输入和输出错误C 、 初始化和终止错误D 、 性能错误答案：ABCD83. ( 容易 ) 当短暂离开电脑时，为了确保个人信息安全，良好的使用习惯是对计算机进行锁屏，以下哪些是正确的计算机锁屏方法 ( )

A 、 同时按住 windows logo 键和 s 键B 、 同时按住 windows logo 键和 L 键C 、 单击 windows 左下的【开始】按钮，单击【注销】按钮，单击【切换用户】或【锁定】按钮。

D 、 同时按住 Ctrl 键、 Alt 键和 Del 键，再点击【锁定计算机】按钮答案：BCD84. ( 中等 ) 以下哪些关于网络安全的认识是错误的 ?( )A 、 电脑病毒的防治只能靠软件查杀B 、 文件删除后信息就不会恢复。

C 、 网络D 、 防病毒软件要定期升级答案：ABC( 选项 A 是迷惑选项，病毒防治不仅靠被动查杀，主要靠良好习惯预防 )85. ( 容易 ) 以下行为中，哪些存在网络安全风险 ?( )A 、 家用的无线路由器使用默认的用户名和密码。

B 、 在多个网站注册的帐号和密码都一样C 、 在网吧电脑上进行网银转账D 、 使用可以自动连接其它 WIFI 的手机 APP 软件答案：ABCD86. ( 容易 )Virtual Private Network 在公共网上构建虚拟专用网，进行数据通信，可以保证通信过程中的身份认证、数据保密性和数据完整性。

Virtual Private Network 采用的安全技术有：( ) A 、 安全隧道技术B 、 密钥管理技术C 、 数据包过滤技术D 、 用户身份认证技术答案 : ABD87. ( 中等 ) 以下选项中，哪些是数字签名机制能够实现的目标：( ) 。

A 、 接受者能够核实发送者对信息的签名B 、 发送者不能抵赖对信息的签名C 、 接受者不能伪造对信息的签名D 、 发送者能够确定接受者收到信息答案 : ABC88. ( 容易 ) 黑客常用的获取关键账户口令的方法有：( ) 。

A 、 通过网络监听非法得到用户口令B 、 暴力_C 、 社工撞库D 、 SSL 协议数据包分析答案 : ABC89. ( 中等 ) 下面是关于常用服务的默认端口的叙述，正确的是：( ) A 、 FTP ：文件传输协议，默认使用 1 端口。

B 、 Telnet: 远程登录使用 5 端口C 、 HTTP ：超文本传送协议，默认打开 80 端口以提供服务D 、 SMTP ：邮件传送协议，目标计算机开放的是 3 端口答案 : AC90. ( 中等 ) 在网络安全领域，社会工程学常被黑客用于。

A 、 踩点阶段的信息收集B 、 获得目标 webshellC 、 组合密码的爆破D 、 定位目标真实信息答案：ACD91. ( 中等 ) 以下哪些行为可能导致操作系统产生安全漏洞 ( )A 、 使用_版的编程工具

B 、 不安全的编程习惯C 、 考虑不周的架构设计D 、 编程计算机未安装杀毒软件答案：ABC92. ( 中等 ) 针对暴力_攻击，网站后台常用的安全防护措施有哪些 ?A 、 拒绝多次错误登录请求B 、 修改默认的后台用户名

C 、 检测 cookie referer 的值D 、 过滤特殊字符串答案：AB93. ( 容易 ) 以下关于 DDOS 攻击的描述，下列哪些是正确的 ?( )A 、 无需侵入受攻击的系统，即可导致系统瘫痪

B 、 以窃取目标系统上的机密信息为目的C 、 导致目标系统无法处理正常用户的请求D 、 如果目标系统没有漏洞，远程攻击就不可能成功答案：AC94. ( 中等 ) 以下哪些测试属于白盒测试 ?()A 、 代码检查法

B 、 静态结构分析法C 、 符号测试D 、 逻辑覆盖法答案：ABCD95. ( 中等 ) 网络钓鱼是指攻击者利用伪造的网站或欺骗性的电子邮件进行的网络诈骗活动以下属于网络钓鱼常见攻击手段的是：A 、 伪造相似域名的网站。

B 、 显示虚假 IP 地址而非域名C 、 超链接欺骗D 、 弹出窗口欺骗答案：ABCD96. ( 中等 ) 虚拟专用网络 (Virtual Private Network ， Virtual Private Network) 是在公用网络上建立专用网络的技术，整个 Virtual Private Network 网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台。

Virtual Private Network 的特点有：A 、 安全性高B 、 服务质量保证C 、 成本高D 、 可扩展性答案：ABD97. ( 中等 ) 现行重要的信息安全法律法规包括以下：A 、 《计算机信息系统安全保护等级划分准则》

B 、 《中华人民共和国电子签名法》C 、 《商用密码管理条例》D 、 《中华人民共和国保守国家秘密法》答案：BCD98. ( 中等 ) 拒绝服务攻击是黑客常用的攻击手段之一，以下属于拒绝服务攻击防范措施的是：

A 、 安装防火墙，禁止访问不该访问的服务端口，过滤不正常的畸形数据包B 、 安装先进杀毒软件，抵御攻击行为C 、 安装入侵检测系统，检测拒绝服务攻击行为D 、 安装安全评估系统，先于入侵者进行模拟攻击，以便及早发现问题并解决

答案：ACD99. ( 中等 ) 计算机病毒 (Computer Virus ， CV) 是编制者在计算机程序中插入的，破坏计算机系统功能或者数据的代码，能影响计算机系统的使用，并且能够自我复制的一组指令或程序代码，计算机病毒对操作系统的危害主要表现在：

A 、 破坏操作系统的处理器管理功能B 、 破坏操作系统的文件管理功能C 、 破坏操作系统的存储管理功能D 、 直接破坏计算机系统的硬件资源答案：ABCD100. ( 中等 ) 访问控制矩阵 (Access Control Matri_) 是最初实现访问控制机制的概念模型，以二维矩阵规定主体和客体的访问权限。

那么明确访问权限是相当重要的工作，在 Windows 系统对文件的访问权限一般包括：A 、 修改B 、 执行C 、 读取D 、 写入答案：ABCD1.下面哪些行为可能会导致电脑被安装木马程序( )A.上安全网站浏览资讯。

B.发现邮箱中有一封陌生邮件，杀毒后下载邮件中的附件C.下载资源时，优先考虑安全性较高的绿色网站D.搜索下载可免费看全部集数《长安十二时辰》的播放器参考答案：D答题解析：务必在正规应用商店下载播放器，不要安装不明来源的播放器，防止电脑被安装木马程序。

2.以下哪种不属于个人信息范畴内( )A.个人身份证件 B.电话号码 C.个人书籍 D.家庭住址 参考答案：C答题解析：个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，个人书籍属于私有财产，不属于个人信息范畴。

3.国家( )负责统筹协调网络安全工作和相关监督管理工作A.公安部门 B.网信部门C.工业和信息化部门 D.通讯管理部门 参考答案：B答题解析：《网络安全法》第五十条规定国家网信部门和有关部门依法履行网络信息安全监督管理职责。

 4.关于注销App的机制，不正确的是( )A.注销渠道开放且可以使用，有较为明显的注销入口 B.账号注销机制应当有简洁易懂的说明 C.核验把关环节要适度、合理，操作应便捷 D.找不到注销入口，联系客服注销不给予回复 参考答案：D。

答题解析：App运用者应当设置合理的注销条件，符合用户习惯5.以下关于个人信息保护的做法不正确的是( )A.在社交网站类软件上发布火车票、飞机票、护照、照片、日程、行踪等B.在图书馆、打印店等公共场合，或是使用他人手机登录账号，不要选择自动保存密码，离开时记得退出账号。

C.从常用应用商店下载App，不从陌生、不知名应用商店、网站页面下载AppD.填写调查问卷、扫二维码注册尽可能不使用真实个人信息参考答案：A答题解析：在社交软件上发布火车票、飞机票、护照、照片、日程、行踪可能会造成个人信息泄露，是不可取的做法。

 6.为了避免个人信息泄露，以下做法正确的是( )：A.撕毁快递箱上的面单 B.把快递箱子放进可回收垃圾里C.把快递面单撕下来再放进干垃圾分类中 D.以上做法都可以 参考答案：A答题解析：因为个人信息都在快递单上，不管是快递盒直接放入垃圾桶还是把快递单撕下来在放进干垃圾分类中都有可能泄露个人信息。

7.App在申请可收集个人信息的权限时，以下说法正确的( )A.应同步告知收集使用的目的 B.直接使用就好 C.默认用户同意D.在隐秘或不易发现位置提示用户 参考答案：A答题解析：“直接使用就好”、“默认用户同意”和“在隐秘或不易发现位置提示用户”以上三种做法都存在隐瞒真实目的，不尊重用户知情权的问题。

8.身份证件号码、个人生物识别信息、通信记录和内容、健康生理信息等属于哪类信息( )A.属于个人敏感信息 B.属于公共信息 C.属于个人信息 D.以上都对 参考答案：A答题解析：身份证件号码、个人生物识别信息、通信记录和内容、健康生理信息等属于个人敏感信息。

 9.在网上进行用户注册，设置用户密码时应当( )A.涉及财产、支付类账户的密码应采用高强度密码 B.设置123456等简单好记的数字、字母为密码 C.所有账号都是一种密码，方便使用 D.使用自己或父母生日作为密码 参考答案：A。

答题解析：连续数字或字母、自己或父母生日都是容易被猜到或获取的信息，因此如果使用生日作为密码风险很大而如果所有账号都使用一种密码，一旦密码丢失，则容易造成更大损失10.关于个人生物特征识别信息，以下哪种是合理的处理方式( )。

A.在隐私政策文本中告知收集目的 B.向合作伙伴共享个人生物识别信息 C.公开披露个人生物识别信息D.仅保留个人生物识别信息的摘要信息 参考答案：D答题解析：个人生物特征识别信息应当仅保留个人生物识别信息的摘要信息。

11.下列不属于收集个人信息的合法性要求的有( )A.不得欺诈、诱骗、强迫个人信息主体提供其个人信息 B.隐瞒产品或服务所具有的收集个人信息的功能 C.不得从非法渠道获取个人信息D.不得收集法律法规明令禁止收集的个人信息 参考答案：B。

答题解析：GB/T35273-2017《信息安全技术个人信息安全规范》规定，收集个人信息的合法性要求为1.不得欺诈、诱骗、强迫个人信息主体提供其个人信息，2.不得隐瞒产品或服务所具有的收集个人信息的功能，3.不得从非法渠道获取个人信息，4.不得收集法律法规明令禁止收集的个人信息。

12.以下说法不正确的是( )A.不需要共享热点时及时关闭共享热点功能B.在安装和使用手机App时，不用阅读隐私政策或用户协议，直接掠过即可C.定期清除后台运行的App进程 D.及时将App更新到最新版 参考答案：B

答题解析：在安装和使用手机App时，应阅读隐私政策或用户协议13.App申请的“电话/设备信息”权限不用于( )A.用户常用设备的标识 B.显示步数、心率等数据 C.监测应用账户异常登录 D.关联用户行为 参考答案：B。

答题解析：App申请的“传感器”权限通常用于显示步数、心率等数据14.防止浏览行为被追踪，以下做法正确的是( )：A.不使用浏览器B.可以通过清除浏览器Cookie或者拒绝Cookie等方式 C.在不连接网络情况下使用浏览器 D.以上做法都可以 参考答案：B。

答题解析：可以通过清除浏览器Cookie或者拒绝Cookie等方式防止浏览行为被追踪15.预防个人信息泄露不正确的方法有( )A.增强个人信息安全意识，不要轻易将个人信息提供给无关人员B.妥善处置快递单、车票、购物小票等包含个人信息的单据 C.个人电子邮箱、网络支付及银行卡等密码要有差异 D.经常参加来源不明的网上、网下调查活动 参考答案：D。

答题解析：参加不明来路的网上、网下调查活动可能会造成个人信息泄露16.以下说法正确的是( )A.App申请的“短信”权限可用于验证码自动填写 B.App申请的“通讯录”权限通常用于添加、邀请通讯录好友等。

C.App申请的“日历”权限通常用于制定计划日程，设定基于系统日历的重要事项提醒等 D.以上说法都正确 参考答案：D答题解析：App为实现业务功能所需，申请和使用系统权限收集个人信息已经成为一种常态，以上说法均为正确说法。

17.在安装新的APP时，弹窗提示隐私政策后，最简易的做法是( )A.跳过阅读尽快完成安装 B.粗略浏览，看过就行C.仔细逐条阅读后，再进行判断是否继续安装该APPD.以上说法都对 参考答案：C答题解析：隐私政策是

APP所有者与用户的协议，里面详细列出了一系列的条款，有一些APP可能会在隐私政策中注明一些对用户不利条款，比如发生黑客攻击时信息泄露公司不负责或者写明只要安装就是同意所有条款18.现在游戏都设置了未成年人防沉迷机制，通常需要用户进行实名认证，填写实名信息过程，以下说明正确的是( )。

A.随意填写信息B.根据游戏要求填写所有信息，进行实名认证 C.仔细阅读实名认证所需信息，仅填写必要实名信息 D.以上说法都对 参考答案：C答题解析：有一些游戏会过度收集个人信息，如：家庭地址、身份证照片、手机号等，不能为了游戏体验而至个人信息安危于不顾。

19.以下关于使用APP的习惯不正确的是( )A.不使用强制收集无关个人信息的APPB.为了获取更多积分，填写真实姓名、出生日期、手机号码等所有的信息C.谨慎使用各种需要填写个人信息的问卷调查的AppD.加强对不良APP的辨识能力，不轻易被赚钱等噱头迷惑 参考答案：B。

答题解析：填写与APP功能无关的真实姓名、出生日期、手机号码等信息可能会造成个人信息泄露20.以下关于“隐私政策”的说法，不正确的是( )A.App实际的个人信息处理行为可以超出隐私政策所述范围B.App实际的个人信息处理行为应与“隐私政策”等公开的收集使用规则一致。

C.点击同意“隐私政策”，并不意味着个人信息都会被收集，很多都需用户在具体的业务场景下进行再次授权D.完善的隐私政策通常包含收集使用个人信息的目的、方式、范围，与第三方共享个人信息情况参考答案：A答题解析：

App实际的个人信息处理行为应与“隐私政策”等公开的收集使用规则一致21.关于App涉及的赚钱福利活动，以下说法正确的是( )A.转发“集赞”、“活动”的链接不会导致个人信息泄露 B.登记身份证实名信息可以杜绝冒领礼品的行为。

C.“看新闻赚钱”之所以提现难，是因为个人能贡献的流量和阅读量极其有限D.邀请好友参与活动，不会对好友产生影响 参考答案：C答案解析：许多“赚钱类”APP时常以刷新闻、看视频、玩游戏、多步数为赚钱噱头吸引用户下载注册，其背后原因是流量成本越来越贵，难以形成集中的阅读量和爆发性增长的

产品22.以下用户操作场景不会被用户画像的是( )A.用真实个人信息完成社区论坛问卷调查并获得现金奖励 B.关闭安卓手机应用权限管理中所有的“读取应用列表”权限C.将网购App中的商品加入到购物车 D.使用网络约车软件添加常用的目的地 参考答案：B。

答案解析：如果使用安卓手机，可在应用权限管理中关闭所有“读取应用列表”权限，来降低被用户画像的概率 23.以下生活习惯属于容易造成个人信息泄露的是( )A.废旧名片当垃圾丢弃B.淘汰手机卡直接卖给二手货市场 C.使用即时通讯软件传输身份证复印件 D.以上都有可能 参考答案：D。

答案解析：答案中的三种行为均可能造成个人信息被他人提取并用于其他目的，对个人权益造成伤害24.以下哪个生活习惯属有助于保护用户个人信息( )A.银行卡充值后的回单随手扔掉 B.在网站上随意下载免费和破解软件 C.在手机和电脑上安装防偷窥的保护膜 D.看见二维码，先扫了再说 参考答案：C。

答案解析：防偷窥保护膜可以防止他人通过侧面角度从屏幕看到通讯内容、用户登录账号等个人信息25.《网络安全法》规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则参考答案：对答题解析：《网络安全法》第四十一条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则。

 26.凡是涉及收集个人信息的企业都应该制定隐私政策参考答案：对答题解析：隐私政策，是企业关于如何处理个人信息，以及保护个人信息主体权利的声明27.制定App隐私政策时处理个人信息的规则不需要公开参考答案：错。

答题解析：制定App隐私政策应站在用户立场，将处理个人信息的规则公开，接受用户和社会的监督28.任何App或个人需要获取他人个人信息，应当依法取得同意并确保信息安全参考答案：对答题解析：获取他人的个人信息的前提是取得对方同意，确保安全是必要的安全义务。

29.涉及财产和重要个人账号，为了防止忘记密码，可以使用“记住密码”的登录模式参考答案：错答题解析：“记住密码”的登录模式有可能被他人登录使用，要谨慎使用30.安装安全软件，定期进行病毒木马查杀，清除系统缓存，并及时更新安全软件。

参考答案：对答题解析：安装安全软件可以降低个人信息被收集利用的风险，定期病毒木马查杀等操作是对应用软件的保护，也是对个人信息的保护31.换手机号时，有必要注销旧手机号注册的各种账号(重点是微信、支付宝、网银等账号)并及时绑定新手机号。

参考答案：对答题解析：因为手机号被注销后将进入号码冻结期，冻结期结束后运营商会再次将改手机号放出，此时就不能确保原本用该手机号注册过的账号的安全32.在使用手机时，没必要打开手机的“密码保护”、“指纹解锁”等功能。

参考答案：错答题解析：打开手机的“密码保护”、“指纹解锁”等功能有助于保护个人信息安全33.如果有朋友、家人通过短信、QQ、微信找你借钱或充值等，可以直接转账给朋友、家人参考答案：错答题解析：因为个人信息泄露可能会导致。

QQ、微信账号丢失，骗子常常利用这一点进行网络诈骗，所以朋友、家人通过社交软件借钱需要电话语音二次确认34.在图书馆、打印店等公共场合，或是使用他人手机登录账号，不要选择自动保存密码，离开时记得退出账号。

参考答案：对答题解析：在公共场合登录账号并使用自动保存密码，离开后会被其他人获得该账号使用权，有可能造成个人信息及财产损失35.注册时使用个人信息(名字、出生年月等)作为电子邮箱地址或用户名参考答案：错。

答题解析：在注册时，尽可能不使用个人信息(名字、出生年月等)作为电子邮箱地址或是用户名，容易被撞库破解36.购物时，可以留下姓名和联系方式以便商家及时联系参考答案：错答题解析：留下姓名和联系方式会造成个人信息泄露。

 37.点击同意“隐私政策”，就意味着个人信息都会被收集参考答案：错答题解析：点击同意“隐私政策”，并不意味着个人信息都会被收集，部分个人信息需在具体的业务场景下经过用户再次授权后才会被收集38.应用商店中查询社保、公积金、违章和生活缴费、购票等App可以随便使用。

参考答案：错答题解析：使用查询社保、公积金、违章和生活缴费、购票等类App时，要认准官方App，以防“山寨”App截留个人信息39.使用公共的充电宝、充电口充电时，可以任意点击弹窗提示参考答案：错答题解析：使用公共的充电宝、充电口充电时，谨慎点击弹窗提示，防止个人信息被收集。

40.长时间不使用的App，直接卸载就可以参考答案：错答题解析：对于长时间不使用的App，最保险的办法是进行解绑、注销后，再卸载App二、问答题：1、今年我国首届国家网络安全宣传周的主题是什么?答案：共建网络安全，共享网络文明 2、陕州中学的官方网址是什么?答案：www.smxszzx.com3、陕州中学公益机构域名是什么?答案：陕州中学.公益。

4、首次使用CRP数字校园、校园一卡通等信息系统时，为了保存自已的信息和财产安全应当怎么做?答案：进入信息系统修改密码，并将其设置为一个复杂的密码5、计算机网络最突出的优点是什么?答案：共享资源6、信息安全有哪些常见的威胁?。

答案：常见威胁有非授权访问、信息泄露、破坏数据完整性，拒绝服务攻击，恶意代码7、解决互联网安全问题的根本条件是什么?答案：提高整个社会网民的互联网道德本质8、什么是钓鱼网站?答案：“钓鱼网站”是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料。

9、什么是网络安全?答案：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统可以连续可靠正常地运行，网络服务不被中断10、什么是木马?答案：木马是一种带有恶意性质的远程控制软件。

木马一般分为客户端(client)和服务器端(server)客户端就是本地使用的各种命令的控制台，服务器端则是要给别人运行，只有运行过服务器端的计算机才能够完全受控木马不会像病毒那样去感染文件11、什么是后门?。

答案：后门是指一种绕过安全性控制而获取对程序或系统访问权的方法12、防范网络黑客防措施有哪些?答案：①选用安全的口令②口令不得以明文方式存放在系统中③建立帐号锁定机制④实施存取控制⑤确保数据的安全13、网络病毒的来源有哪些?。

答案：邮件附件、E-mail、Web服务器、文件共享14、局域网内部若出现ARP攻击，会出现哪两种两句现象?答案：1.不断弹出“本机的(错)(错)(错)段地址与网络中的(错)(错)(错)段地址冲突”的对话框。

2.计算机不能正常上网，出现网络中断的症状15、控制USB接口使用的目的?答案：1、网络的安全2、信息的保密 16、什么是IP欺骗?答案：攻击者可通过伪装成被信任源IP地址等方式来骗取目标主机的信任17、电子邮件存在哪些安全性问题?

1、垃圾邮件包括广告邮件、骚扰邮件、连锁邮件、反动邮件等垃圾邮件会增加网络负荷，影响网络传输速度，占用邮件服务器的空间2、诈骗邮件通常指那些带有恶意的欺诈性邮件利用电子邮件的快速、便宜，发信人能迅速让大量受害者上当。

3、邮件炸弹指在短时间内向同一信箱发送大量电子邮件的行为，信箱不能承受时就会崩溃4、通过电子邮件传播的病毒，大多数采用附件的形式夹带在电子邮件中当收信人打开附件后，病毒会查询他的通讯簿，给其上所有或部分人发信，并将自身放入附件中，以此方式继续传播扩散。

18、什么是网络蠕虫?答案：网络蠕虫是一种智能化、自动化，综合网络攻击、密码学和计算机病毒技术，无须计算机使用者干预即可运行的攻击程序或代码19、网络蠕虫有什么特征?答案：具有病毒的特征，传染性，隐蔽性，破坏性;不利用文件寄生，可以主动传播，并且通过网络可快速传播，容易造成网络拥塞;具有智能化、自动化和高技术化;20、防火墙的基本功能有哪些?。

答案：1过滤进出网络的数据;2管理进出网络的访问行为;3封堵某些禁止的业务;4记录进出网络的信息和活动;5对网络的攻击进行将侧和报警21、因特网电子商务系统必须保证网络安全的四大要素是什么?答案：1传输数据的保密性;2数据的完整性;3交易各方身份的真实性;4交易的不可抵赖性;。

21、对蠕虫病毒和一般病毒进行比较有什么区别?答案：存在形式：普通病毒寄存在文件上，蠕虫病毒寄存在独立程序上;传染机制：普通病毒在宿主程序上运行，蠕虫病毒会主动攻击;传染目标：普通病毒传染本地文件，蠕虫病毒传染整个网络的计算机。

22、黑客攻击的动机都有哪些?答案：1.好奇心理2.挑战性3.报复心理4，经济利益5，政治目的，6.情报获取23、什么是密码破解，有哪些方法?答案：通过猜解或者直接破坏原密码的密码验证机制来达到和密码分析一样的最终效果，或者是密码对应的权限。

一般的密码破解大致分为以下几类1)使用软件无限次尝试密码2)绕过密码验证机制3)如果密码加密，使用替代密码代替原密码 24、后门程序与计算机病毒的差别是什么?答案：后门程序又称特洛伊木马，其用途是潜伏在用户的计算机中，进行信息搜集或便于黑客进入。

后门程序和计算机病毒最大的差别，在于后门程序不一定有自我复制的动作，即后门程序不一定会“感染”其他计算机25、黑客技术发展趋势是什么?答案：(1)网络攻击的自动化程度和攻击速度不断提高(2)攻击工具越来越复杂(3)黑客利用安全漏洞的速度越来越快(4)防火墙被攻击者渗透的情况越来越多(5)安全威胁的不对称性在增加(6)攻击网络基础设施产生的破坏效果越来越大26、什么是漏洞?

答案：漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统27、网络面临的安全威胁主要有哪些方面?网络面临的安全威胁可分为两种：一是对网络数据的威胁;二是对网络设备的威胁。

概括起来主要威胁包括以下几个方面：1)由自然力造成的非人为的数据丢失、设备失效、线路阻断2)人为但属于操作人员无意的失误造成的数据丢失3)来自外部和内部人员的恶意攻击和入侵28、IPv6先对IPv4有哪些优势?。

IPv6优势：首先，IPv6解决了IP地址数量短缺的问题;其次，IPv6对IPv4协议中诸多不完善之处进行了较大的改进，在网络保密性、完整性方面作了更好的改进，在可控性和抗否认性方面有了新的保证29、计算机病毒传染的一般过程是什么??。

答案：1)判断传染目标(文件)是否符合感染条件(是否已经被感染)2)若目标符合感染条件，则将病毒链接到传染目标的特点位置，并存入磁盘3)继续监视系统的运行，寻找新的传染目标 30、网络安全服务包括哪些?。

答案：1、对等实体认证服务2、数据源点认证服务3数据保密服务4数据完整性服务5访问控制服务6可用性四、多选题1.在日常生活中，以下哪些选项容易造成我们的敏感信息被非法窃取？A.随意丢弃快递单或包裹(正确答案)

B.定期更新各类平台的密码，密码中涵盖数字、大小写字母和特殊符号C.电脑不设置锁屏密码(正确答案)D.在网上注册网站会员后详细填写真实姓名、电话、身份证号、住址等信息(正确答案)2.数据安全能力成熟度模型的安全能力维度包括 A.组织建设(正确答案)B.制度流程(正确答案)C.技术工具(正确答案)D.人员能力(正确答案)

3.数据权限申请、审批、使用、展示数据需（）原则A.看看就行B.敏感信息脱敏(正确答案)C.随便发生D.遵循最小化够用(正确答案)4.数据安全中的数据指什么 A.数字(正确答案)B.设计文档(正确答案)C.客户信息(正确答案)D.企业组织机构(正确答案)

5.GB/T31168《信息安全技术云计算服务安全能力要求》提出的安全要求是通常情况下云服务商应具备的基本安全能力在具体的应用场景下，云服务商有可能需要对这些安全要求进行调整调整的方式有（）A.删减(正确答案)B.补充(正确答案)C.忽视。

D.替代(正确答案)6.GB/T31168《信息安全技术云计算服务安全能力要求》规定的安全计划所包含的内容包括但不限于（）A.云平台的基本描述(正确答案)B.所采取的安全措施的具体情况(正确答案)C.对云服务商新增的安全目标及对应的安全措施的说明(正确答案)。

D.对客户安全责任的说明，以及对客户应实施的安全措施的建议(正确答案)7.在不同情况下，实施云计算安全措施的主体可能包括（）A.云服务商(正确答案)B.客户(正确答案)C.云服务商和客户共同承担(正确答案)D.其他组织承担(正确答案)。

8.即使对同等安全能力水平的云服务商，其实现安全要求的方式也可能会有差异为此，GB/T31168《信息安全技术云计算服务安全能力要求》在描述安全要求时引入了（）A.赋值(正确答案)B.重复 C.细化D.选择(正确答案)

9.下列场景，外单位人员可能接触到数据的有：A.内部使用B.领地公开共享(正确答案)C.受控公开共享(正确答案)D.完全公开共享(正确答案)10.去标识化的目标包括：A.删除所有标识符B.数据重标识风险尽可能低(正确答案)C.将数据尽可能泛化处理 D.数据尽可能有用(正确答案)11.重标识的主要方法有：

A.分离(正确答案)B.泛化C.关联(正确答案)D.推断(正确答案)12.重标识的主要工作包括：A.选取属性特征，确保区分度足够小B.选取属性特征，确保区分度足够大(正确答案)C.基于选取的属性特征，与身份信息关联(正确答案)D.基于选取的属性特征，去掉与身份信息的关联 13.数据时效性一般要求包括

A.制定数据存储时效性管理策略和规程(正确答案)B.明确存储数据分享、禁止使用和数据清除有效期，具备数据存储时效性授权与控制能力(正确答案)C.具备数据时效性自动检测能力D.建立过期存储数据的安全保护机制(正确答案)14.数据服务中的逻辑存储安全能力包括

A.建立了数据逻辑存储管理安全规范和机制(正确答案)B.建立数据分片和分布式存储安全规范和规则(正确答案)C.明确了多租户数据逻辑存储隔离授权与操作规范(正确答案)D.提供了细粒度安全审计和数据操作溯源技术与机制

15.在国际标准化组织（ISO）出版物类型中，技术规范（TS）指（1），公开可用规范（PAS）指（2），技术报告（TR）指（3）A.当所讨论的技术主题仍在开发中，或者由于任何其他原因，将来有可能但不是立即能达成可发布的国际标准时发布的出版物(正确答案)。

B.技术委员会或分委员会收集的数据不同于能作为国际标准正式发布的数据时发布的出版物(正确答案)C.制定完整的国际标准之前作为中间规范发布的出版物(正确答案)D.技术委员会或分委员会下工作组层面提交的出版物

16.ISO/IECJTC1/SC27/WG4是安全服务与控制工作组，涵盖的主题域包括（）等A.供应链安全(正确答案)B.鉴别机制C.事件管理(正确答案)D.应用安全(正确答案)E.网络安全(正确答案)。

17.采用国际标准的国家标准与相应国际标准的一致性程度分为（）A.等同(正确答案)B.修改(正确答案)C.非等效(正确答案)D.非等同18.国际标准是（）以及ISO确认并公布的其他国际组织制定的标准A.ISO(正确答案)B.IEC(正确答案)C.IEEE

D.ITU(正确答案)19.信息安全的CIA三性是指（）A.保密性(正确答案)B.完整性(正确答案)C.可靠性D.可用性(正确答案)20.信息安全治理过程包括（）A.评价(正确答案)B.指导(正确答案)C.监督(正确答案)D.沟通(正确答案)。

21.ISO/IEC29100:2011《信息技术 安全技术 隐私框架》中定义的处理个人可识别信息（PII）的参与者包括：（）A.PII主体(正确答案)B.PII控制者(正确答案)C.PII处理者(正确答案)D.第三方(正确答案)。

22.哪些是最终发布的国际标准出版物类型？（） A.TR(正确答案)B.FDISC.Amd(正确答案)D.Cor(正确答案)23.信息安全管体系（ISMS）标准族包括（）A.术语标准(正确答案)B.要求标准(正确答案)C.指南标准(正确答案)D.行业特定指南标准(正确答案)E.特定控制指南标准。

24.ISO/IEC27001:2013应用ISO/IEC合并导则附录SL（规范性）《管理体系标准（MSS）建议》中定义的（），因此维护了与其他采用附录SL的管理体系的标准具有兼容性A.高层结构(正确答案)B.相同条款标题(正确答案)。

C.相同文本(正确答案)D.通用术语(正确答案)E.核心定义(正确答案)25.哪些是信息安全管体系（ISMS）标准族中的要求标准？（） A.ISO/IEC27001(正确答案)B.ISO/IEC27005

C.ISO/IEC27006(正确答案)D.ISO/IEC27009(正确答案)26.ISO/IEC21827:2008《信息技术 安全技术 系统安全工程-能力成熟度模型®（SSE-CMM®）》给出的信息安全工程的基本领域包括（）。

A.风险(正确答案)B.需求C.工程(正确答案)D.确保(正确答案)E.通用术语27.根据《网络安全法》，国务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的（）。

A.国家标准(正确答案)B.行业标准(正确答案)C.团体标准 D.地方标准28.《网络安全法》规定，国家支持（）参与网络安全国家标准、行业标准的制定A.企业(正确答案)B.研究机构(正确答案)C.高等学校(正确答案)D.网络相关行业组织(正确答案)。

29.《网络安全法》对网络安全标准提出的有关要求中，涉及（）A.国家标准(正确答案)B.行业标准(正确答案)C.团体标准 D.企业标准30.根据《网络安全法》，国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全（）的制定。

A.国家标准(正确答案)B.行业标准(正确答案)C.团体标准 D.企业标准31.根据《网络安全法》，国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作，推动构建（）的网络空间，建立多边、民主、透明的网络治理体系。

A.和平(正确答案)B.安全(正确答案)C.开放(正确答案)D.合作(正确答案)32.根据《网络安全法》，国务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络（）安全的国家标准、行业标准。

A.产品(正确答案)B.服务(正确答案)C.系统D.运行(正确答案)33.根据《网络安全法》，（）应当符合相关国家标准的强制性要求A.网络产品(正确答案)B.网络系统 C.网络设备D.网络服务(正确答案)。

34.根据《网络安全法》，（）应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供A.网络安全设备B.网络关键设备(正确答案)C.网络安全产品D.网络安全专用产品(正确答案)。

35.《网络安全法》要求，网络产品、服务应当符合相关国家标准的强制性要求在此基础上，法律提出了以下具体要求（）A.网络产品、服务的提供者不得设置恶意程序(正确答案)B.网络产品、服务的提供者应当为其产品、服务持续提供安全维护(正确答案)。

C.网络产品、服务的提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即向社会公布D.网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意(正确答案)36.根据《网络安全法》，以下产品中，（）不必在安全认证或者检测合格后方可销售或者提供

A.通用网络设备(正确答案)B.未有国家标准的强制性要求的产品(正确答案)C.不在目录中的产品(正确答案)D.网络安全专用产品37.根据《网络安全法》的规定，国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，（）。

A.支持企业、研究机构和高等学校等参与国家网络安全技术创新项目(正确答案)B.支持网络安全技术的研究开发和应用(正确答案)C.推广安全可信的网络产品和服务(正确答案)D.保护网络技术知识产权(正确答案)

38.国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害（）的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

A.公共利益(正确答案)B.网速C.国计民生(正确答案)D.国家安全(正确答案)39.根据《网络安全法》的规定，任何个人和组织（）A.不得从事非法侵入他人网络、干扰他人网络正常功能等危害网络安全的活动(正确答案)。

B.不得提供专门用于从事侵入网络、干扰网络正常功能等危害网络安全活动的程序(正确答案)C.明知他人从事危害网络安全的活动的，不得为其提供技术支持(正确答案)D.明知他人从事危害网络安全的活动的，为其进行广告推广 40.国家支持（）等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流。

A.中小学校B.职业学校(正确答案)C.高等学校(正确答案)D.企业(正确答案)41.网络运营者收集、使用个人信息，应当遵循（）的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

A.公平B.正当(正确答案)C.合法(正确答案)D.必要(正确答案)42.《网络安全法》所称网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行（）的系统A.存储(正确答案)B.传输、交换(正确答案)C.处理(正确答案)D.收集(正确答案)。

43.网络安全事件发生的风险增大时，省级以上人民政府有关部门应当按照规定的权限和程序，并根据网络安全风险的特点和可能造成的危害，采取下列（）措施A.要求有关部门、机构和人员及时收集、报告有关信息，加强对网络安全风险的监测(正确答案)。

B.向社会发布网络安全风险预警，发布避免、减轻危害的措施(正确答案)C.组织有关部门、机构和专业人员，对网络安全风险信息进行分析评估，预测事件发生的可能性、影响范围和危害程度(正确答案)D.要求单位和个人协助抓跑嫌犯

44.任何个人和组织应当对其使用网络的行为负责，不得设立用于（）违法犯罪活动的网站、通讯群组，不得利用网络发布涉及实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息A.实施诈骗(正确答案)。

B.制作或者销售违禁物品(正确答案)C.制作或者销售管制物品(正确答案)D.传授犯罪方法(正确答案)45.网络运营者不得（）其收集的个人信息，未经被收集者同意，不得向他人提供个人信息但是，经过处理无法识别特定个人且不能复原的除外。

A.泄露(正确答案)B.使用C.毁损(正确答案)D.篡改(正确答案)46.《网络安全法》所称网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的（）的能力。

A.可用性(正确答案)B.完整性(正确答案)C.保密性(正确答案)D.真实性47.境外的机构、组织、个人从事（）等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追究法律责任，国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。

A.攻击(正确答案)B.干扰(正确答案)C.侵入(正确答案)D.破坏(正确答案)48.国家采取措施，（）来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏A.监测(正确答案)B.防御(正确答案)C.处置(正确答案)D.隔离

49.《中华人民共和国网络安全法》规定，网络安全事件应急预案应当按照事件发生后的（）等因素对网络安全事件进行分级A.危害程度(正确答案)B.影响范围(正确答案)C.事件大小 D.关注人数50.建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施（）。

A.同步修改B.同步使用(正确答案)C.同步建设(正确答案)D.同步规划(正确答案)51.中国的标准分为（）标准、（）标准、（）标准、（）标准A.国家；(正确答案)B.行业；(正确答案)C.地方；(正确答案)D.企业；(正确答案)。

52.标准化工作从性质上分为：（）标准、（）标准、（）标准A.技术；(正确答案)B.管理；(正确答案)C.工作；(正确答案)D.协调；53.产品标准包括（）标准、（）标准、（）标准和（）标准A.规格(正确答案)B.性能(正确答案)C.测试(正确答案)D.交货(正确答案)。

54.国家标准分为（）标准、（）标准 A.强制性(正确答案)B.推荐性(正确答案)C.行业 D.地方55.制定标准应保证标准的（）性、（）性、（）性，提高标准质量A.科学(正确答案)B.规范(正确答案)C.时效(正确答案)D.有效。

56.国务院有关行政主管部门依据职责负责强制性国家标准的（）（）（）和（）A.项目提出(正确答案)B.组织起草(正确答案)C.征求意见(正确答案)D.技术审查(正确答案)57.行业标准由（）制定，报（）备案。

A.国务院B.国务院有关行政主管部门(正确答案)C.国务院标准化行政主管部门(正确答案)D.行业组织58.地方标准应由国务院（）通报国务院（）部门A.办公厅B.标准化行政主管部门(正确答案)C.有关行政主管(正确答案)D.行业主管部门。

59.制定团体标准应当组织对标准相关事项进行（）、（）、（）、（）A.调查(正确答案)B.分析(正确答案)C.实验(正确答案)D.论证(正确答案)60.制定团体标准，应当遵循（）、（）、（）的原则，保证各参与主体获取相关信息，反映各参与主体的共同需求。

A.开放(正确答案)B.透明(正确答案)C.公平(正确答案)D.公正61.不符合强制性标准的产品、服务，不得（）或者A.生产(正确答案)B.销售(正确答案)C.进口(正确答案)D.提供(正确答案)62.标准化法所称标准（含标准样品），是指（）以及等领域需要统一的技术要求。

A.农业(正确答案)B.工业(正确答案)C.服务业(正确答案)D.社会事业(正确答案)63.国务院有关行政主管部门分工管理（）的标准化工作A.本部门(正确答案)B.本领域C.本行业(正确答案)D.本机构。

64.对在标准化工作中做出显著成绩的（）和（），按照国家有关规定给予表彰和奖励A.单位(正确答案)B.团体C.个人(正确答案)D.企业65.推荐性国家标准、（）的技术要求不得低于强制性国家标准的相关技术要求。

 A.行业标准(正确答案)B.地方标准(正确答案)C.团体标准(正确答案)D.企业标准(正确答案)66.制定标准应当有利于科学合理利用资源，推广科学技术成果，增强产品的安全性、通用性、可替换性，提高（），做到技术上先进、经济上合理。

A.经济效益(正确答案)B.社会效益(正确答案)C.人文效益D.生态效益(正确答案)67.对保障人身健康和（）以及满足经济社会管理基本需要的技术要求，应当制定强制性国家标准A.生命财产安全(正确答案)B.国家安全(正确答案)C.网络安全。

D.生态环境安全(正确答案)68.制定标准应当在科学技术研究成果和社会实践经验的基础上，深入调查论证，广泛征求意见，保证标准的（），提高标准质量A.科学性(正确答案)B.规范性(正确答案)C.时效性(正确答案)D.引领性。

69.县级以上地方人民政府有关行政主管部门分工管理本行政区域内的标准化工作A.本部门(正确答案)B.本行业(正确答案)C.本领域 D.本机构70.国务院有关行政主管部门依据职责负责强制性国家标准的和A.项目提出(正确答案)B.组织起草(正确答案)C.征求意见(正确答案)。

D.技术审查(正确答案)71.我国标准采用国际标准的程度代号有（） A.等同采用(正确答案)B.修改采用(正确答案)C.非等效采用 D.参考采用72.对于国际标准中通用的（）应当优先采用 A.实用案例B.基础性标准(正确答案)C.试验方法标准(正确答案)D.产品和服务标准

73.国际标准是指（）制定的标准，以及国际标准化组织确认并公布的其他国际组织制定的标准A.国际标准化组织（ISO）(正确答案)B.国际电工委员会（IEC）(正确答案)C.国际电信联盟（ITU）(正确答案)。

D.电气与电子工程师协会（IEEE）74.ISO、IEC的参加成员（P成员）有哪些权利和义务 A.积极参加工作(正确答案)B.承担投票义务(正确答案)C.尽可能参加会议全权表决权(正确答案)D.拒绝参加会议

75.ISO、IEC的观察成员（O成员）有哪些权利和义务 A.以观察员身份参加工作(正确答案)B.可收到委员会文件(正确答案)C.有权提出意见和参加会议(正确答案)D.无投票权(正确答案)76.除国际标准外，ISO还制定哪些可交付使用文件（deliverables）？

A.技术规范（TS）(正确答案)B.公开可用规范（PAS）(正确答案)C.技术报告（TR）(正确答案)D.新工作项目提案（NP）77.ISO国际标准制定过程中，下列那些投票阶段需要通过国际成员体进行投票？ 

A.WDB.CD(正确答案)C.DIS(正确答案)D.FDIS(正确答案)78.ISO/IECJTC1SC27信息安全、网络安全和隐私保护分技术委员会是（）和（）第一联合技术委员会（JTC1）下属专门负责网络安全领域标准化研究与制定工作的分技术委员会。

A.国际标准化组织（ISO）(正确答案)B.国际电工委员会（IEC）(正确答案)C.电气与电子工程师协会（IEEE） D.国际计量局（BIPM）79.PWI转入新工作项目提案（NP）阶段需满足以下要求 A.项目研究达到一定成熟度，且标准文本符合WD（工作草案）文稿要求(正确答案)

B.标准文本编写满足《ISO/IEC导则第2部分：国际标准的结构和编写规则》要求，使用ISOStandard模板进行编写此外，文本应包含完整的目录初稿；(正确答案)C.标准编制工作可在规定的时间内完成(正确答案)D.工作组同意项目转入NP阶段(正确答案)。

80.采用国际标准，应当符合中国有关法律、法规，遵循国际惯例，做到（）A.技术先进(正确答案)B.经济合理(正确答案)C.安全可靠(正确答案)D.保护人身财产安全81.下列哪些标准是信息技术产品和信息安全产品测评标准：A.数据库管理系统安全技术要求(正确答案)B.网络安全管理支撑系统技术要求 C.操作系统安全技术要求(正确答案)D.路由器安全技术要求(正确答案)

82.常用于防火墙安全策略的参数有 A.源IP地址(正确答案)B.目的IP地址(正确答案)C.进程名称(正确答案)D.目的端口号(正确答案)83.应对信息安全风险的手段，可以分为哪几类？A.接受风险(正确答案)B.降低风险；(正确答案)C.转嫁风险；(正确答案)D.购买外包服务

84.你在单位里突然接到一个电话，自称是单位的IT系统管理员，发现你的某个账户有异常，需要你提供你账户的口令，以便进行检查你的正确处理方式是：A.要求对方留下姓名和电话，以便后面追查；(正确答案)B.切断电话，不告诉任何信息(正确答案)。

C.切断电话，不告诉任何信息，并向单位信息安全人员举报(正确答案)D.告诉对方你的口令85.2020年12月获批发布的网络安全国家标准包括：A.信息技术安全技术消息鉴别码第1部分：采用分组密码的机制(正确答案)

B.信息技术安全技术信息安全管理体系审核指南(正确答案)C.信息安全技术健康医疗数据安全指南(正确答案)D.信息安全技术移动智能终端安全技术要求及测试评价方法(正确答案)86.《网络安全态势感知技术标准化白皮书（2020版）》的编制单位包括：

A.公安部第一研究所B.公安部第三研究所(正确答案)C.新华三技术有限公司(正确答案)D.中国电子技术标准化研究院(正确答案)87.国际标准ISO/IEC20547-4:2020《信息技术大数据参考架构第4部分：安全与隐私保护》从哪些视角对大数据安全与隐私保护的

参考框架进行了描述A.用户(正确答案)B.数据C.功能(正确答案)D.隐私88.全国信安标委2020年两次“会议周”的举办时间分别为：A.5月(正确答案)B.6月C.10月(正确答案)D.11月89.“App个人信息保护”主题发布活动中发布的工作成果有 A.App个人信息保护展会和宣传视频(正确答案)B.App安全认证(正确答案)C.标准和技术文件(正确答案)D.免费评估工具(正确答案)

90.《移动互联网应用程序（App）个人信息保护常见问题及处置指南》涵盖范围包括A.App存在的超范围收集(正确答案)B.强制索权(正确答案)C.频繁索权(正确答案)D.必要的身份信息核验91.《移动互联网应用程序（App）系统权限申请使用指南》主要内容包括

A.App申请使用系统权限存在的强制、频繁、过度索权(正确答案)B.App申请使用系统权限存在的捆绑授权(正确答案)C.App申请使用系统权限存在的私自调用权限上传个人信息(正确答案)D.、App申请使用系统权限存在的敏感权限滥用(正确答案)92.《移动互联网应用程序（App）中的第三方软件开发工具包（SDK）安全指引（征求意见稿）》面向（）给出了实践指引

A.App使用者B.应用下载平台 C.App提供者(正确答案)D.第三方SDK提供者(正确答案)93.ISO/IEC18033-4：2011规范的内容有 A.MUGI(正确答案)B.SNOW2、0(正确答案)C.Rabbit(正确答案)D.DECIMv2(正确答案)

94.我国在ZUC序列密码算法发布前已纳入国际标准发布的密码算法有A.SM2数字签名算法(正确答案)B.SM3密码杂凑算法(正确答案)C.SM9数字签名算法(正确答案)D.Rijndael分组密码算法95.以下对于国际标准化组织（ISO）的说法正确的是 A.是国家间官方组织

B.其官方语言是英语、法语和俄语(正确答案)C.与IEC.ITU-T及ITU-R有共同的知识产权政策(正确答案)D.其总部（中央秘书处）在瑞士日内瓦(正确答案)96.以下哪些ISO技术标准组织可以负责标准制定活动 A.TC（TechnicalCommittee）(正确答案)B.PC（ProjectCommittee）(正确答案)C.AG（AdvisoryGroup） D.WG（WorkGroup）(正确答案)97.下列标准中安全标准有 A.ITU-TX、805(正确答案)

B.IETFRFC8446（tls1、3）(正确答案)C.IEEE802、11D.IEC62443(正确答案)98.以下属于管理体系（ManagementSystem）标准的是A.ISO/IEC27001(正确答案)B.ISO/IEC29100C.ISO9001(正确答案)D.ISO14000(正确答案)99.以下属于论坛标准组织的是 A.DIN

B.IETF(正确答案)C.GP（GlobalPlatform）(正确答案)D.IEC100.以下哪些组织是联合国的机构 A.ISOB.IECC.ITU(正确答案)D.WHO（世界卫生组织）(正确答案)

101.以下哪些是SC27已发布的隐私保护标准号A.27018(正确答案)B.27552C.27701(正确答案)D.29100(正确答案)102.下面哪些组织与网络空间治理有关 A.ICANN(正确答案)B.IETF(正确答案)C.ISOC(正确答案)D.UNGGE(正确答案)

103.WTOTBT规定国际标准优先的例外情形有：A.国家安全(正确答案)B.保护人类健康或安全、保护动物或植物生命或健康、保护环境(正确答案)C.基本气候或其他地理因素(正确答案)D.基本技术或基础结构问题(正确答案)

104.标准制定过程中协商一致（Consensus）原则可以由标准组织的规则和流程具体规定，由主持人根据情况宣布其达成就“协商一致”，以下哪些说法是正确的？A.必须所有人意见一致B.对关键问题没有重要相关方的持续的反对(正确答案)C.考虑了所有相关方的意见(正确答案)D.就对立的意见试图达成妥协(正确答案)。

105.移动互联网应用服务器的数据防护安全要求包括A.应支持数据访问鉴别，只有鉴别成功的用户或者系统可以访间相应数据(正确答案)B.应支持通过包括但不限于数据备份、异地容灾等手段保证数据的安全(正确答案)。

C.应定期地或按某种条件实施数据备份(正确答案)D.应依据不同备份方式支持相应恢复能力(正确答案)106.移动互联网应用服务器的推送业务安全要求包括：在提供推送业务时，应对推送内容的安全性进行审核，避免推送可将用户定向到。

A.恶意应用安装包下载地址(正确答案)B.含有攻击代码的网站(正确答案)C.钓鱼网站的内容(正确答案)D.与业务无关的网站107.对于提供互联网管理端口的服务器，建议使用安全的网络协议进行远程管理，包括

A.SSH(正确答案)B.HTTPC.HTTPS(正确答案)D.SNMP(正确答案)108.移动互联网应用服务器的用户风险包括 A.用户依赖(正确答案)B.隐私窃取(正确答案)C.资费消耗(正确答案)D.远程控制(正确答案)

109.移动应用服务器的安全框架应包括以下哪些内容？A.数据安全(正确答案)B.业务安全(正确答案)C.系统安全(正确答案)D.设备安全(正确答案)110.移动互联网应用服务器的安全监控要求包括但不限于以下哪些项？

A.主机安全监控(正确答案)B.数据库安全监控 C.网络安全监控(正确答案)D.人员安全监控111.以下哪些是移动智能终端应用软件安装及卸载安全部分安装要求的具体技术要求？A.包含可有效表征供应者或开发者身份的签名信息、软件属性信息(正确答案)

B.正确安装到相关移动智能终端上,并生成相应的图标(正确答案)C.安装时应提示终端操作系统用户对其使用的终端资源和终端数据进行确认(正确答案)D.不应对终端操作系统和其他应用软件的正常运行造成影响(正确答案)

112.以下哪几项属于运行安全中对于稳定性的要求？A.终端应用软件应保证其稳定运行,避免出现功能失效等类似现象(正确答案)B.不应造成终端崩溃或异常的情况(正确答案)C.避免出现失去响应、闪退等现象(正确答案)D.允许随时停止、退出(正确答案)

113.以下哪几项是安装及卸载安全部分安装要求的具体技术要求？A.包含可有效表征供应者或开发者身份的签名信息、软件属性信息(正确答案)B.正确安装到相关移动智能终端上,并生成相应的图标(正确答案)C.安装时应提示终端操作系统用户对其使用的终端资源和终端数据进行确认(正确答案)

D.不应对终端操作系统和其他应用软件的正常运行造成影响(正确答案)114.以下哪几项满足对终端应用软件安全功能的安全架构要求？A.与产品设计文档中对安全功能实施抽象描述的级别一致(正确答案)B.描述与安全功能要求一致的终端应用软件安全功能的安全域(正确答案)

C.描述终端应用软件安全功能初始化过程为何是安全的(正确答案)D.证实终端应用软件安全功能能够防止被破坏(正确答案)115.网络安全设计准备时，需对以下哪些需求进行收集（）：A.法律需求(正确答案)B.业务需求(正确答案)C.监管需求(正确答案)D.性能需求(正确答案)

116.网络安全设计原理包括（）：A.纵深防御(正确答案)B.网络分区(正确答案)C.弹性设计(正确答案)D.绝对安全117.下列可用于实现VPN隧道中传输数据的完整性检查的技术有（）A.消息验证码(正确答案)B.对称加密。

C.消息鉴别码(正确答案)D.防止重放机制(正确答案)118.VPN隧道的创建技术包括以下哪些（）？A.虚电路(正确答案)B.标签交换(正确答案)C.铺设专线D.协议封装(正确答案)119.整个域名服务系统从职能上看，包括（）等系统。

A.主域名服务系统B.权威域名服务系统(正确答案)C.辅域名服务系统D.递归域名解析服务(正确答案)120.DNS主机平台面临的威胁主要包含（）等A.操作系统、系统软件或DNS主机上的其他应用软件可能遭受攻击(正确答案)。

B.DNS主机的TCP/IP协议栈可能会受到洪水包攻击，造成通信中断对应用层的攻击为发送大量伪造的DNS查询，以压倒权威或解析域名服务器(正确答案)C.在DNS服务器的网络中，访问局域网的恶意组织可进行地址解析协议（ARP）欺骗攻击，破坏DNS信息流(正确答案)。

D.因病毒、蠕虫或由缺乏文件级保护引起的未经授权的更改，用于通信的平台级配置文件被破坏，导致DNS主机之间通信中断(正确答案)121.在移动智能终端中需要保护的资产包括（）A.硬件(正确答案)B.系统软件(正确答案)C.应用软件(正确答案)。

D.用户数据(正确答案)122.移动智能终端安装应用或执行敏感操作需由用户确认这里指的敏感操作包括以下行为（）：A.拨打电话(正确答案)B.发送短信(正确答案)C.开启定位功能(正确答案)D.开启照相机(正确答案)。

123.移动互联网第三方应用服务器的用户数据资产主要包括以下哪些（）？A.账户信息(正确答案)B.位置信息(正确答案)C.支付信息(正确答案)D.设备信息(正确答案)124.近距离无线通信技术包括（）A.基站数据传输 B.蓝牙(正确答案)。

C.无线1394(正确答案)D.红外数据传输(正确答案)125.安全模块/通用集成电路卡的集成电路是由处理单元、存储、安全组件以及I/O接口等组成的硬件设备，实现安全功能能够确保（）：A.设备处理或流动的信息的完整性和保密性(正确答案)B.抵御各种危害存储或流动的敏感资产的外部攻击(正确答案)C.仅设备处理或流动的信息的完整性

D.抵御设定的危害存储或流动的敏感资产的外部攻击126.移动智能终端个人信息的处理过程中可分为（）几个主要环节A.收集(正确答案)B.加工(正确答案)C.转移(正确答案)D.删除(正确答案)127.移动智能终端应用软件卸载后，应能删除安装和使用过程中产生的（）。

A.日志文件B.用户数据(正确答案)C.配置文件(正确答案)D.资源文件(正确答案)128.物联网感知层接入通信网结构中，物联网感知终端到通信网的通信链路，主要的实体对象包括（）：A.感知终端(正确答案)B.物联网感知层网关(正确答案)C.感知信息传输网络(正确答案)D.通信网接入系统(正确答案)

129.商用密码标准体系包括商用密码（）、（）、（）、（）A.国家标准(正确答案)B.行业标准(正确答案)C.团体标准(正确答案)D.企业标准(正确答案)130.我国（）、（）、（）密码算法正式成为ISO/IEC国际标准。

A.SM2算法(正确答案)B.SM3算法(正确答案)C.SM9算法(正确答案)D.SM6算法131.密码管理部门和有关部门、单位的工作人员在密码工作中（）、（）、（），或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私的，依法给予处分。

A.滥用职权(正确答案)B.玩忽职守(正确答案)C.徇私舞弊(正确答案)D.不思进取 132.违反《密码法》第二十九条规定，未经认定从事电子政务电子认证服务的，由密码管理部门责令改正或者停止违法行为，给予（），没收违法产品和违法所得；违法所得三十万元以上的，可以并处违法所得（）罚款；没有违法所得或者违法所得不足三十万元的，可以并处（）罚款。

A.警告(正确答案)B.行政处分C.一倍以上三倍以下(正确答案)D.十万元以上三十万元以下(正确答案)133.《密码法》的颁布实施将大大提升密码工作的（）、（）、（）、（）水平A.科学化(正确答案)B.规范化(正确答案)C.法治化(正确答案)D.现代化(正确答案)。

134.《密码法》以法律形式明确总体国家安全观在密码工作中的指导思想地位的重要意义是：（）;（）;（）;（）（出题单位：国家密码管理局）A.贯彻落实中央决策部署的重要举措(正确答案)B.适应新的形势任务发展的必然要求(正确答案)C.做好密码工作的迫切需要(正确答案)。

D.切实维护各方安全和利益的迫切需要(正确答案)135.密码管理部门对核心密码、普通密码实行严格统一管理的依据包括：（）、（）、（）、（）A.《中华人民共和国密码法》(正确答案)B.密码管理有关法律(正确答案)C.密码管理有关行政法规(正确答案)D.密码管理国家有关规定(正确答案)。

136.密码管理部门针对核心密码、普通密码的（）、（）、（）、（）环节，制定严格的安全管理制度和保密措施A.科研、生产(正确答案)B.服务、检测(正确答案)C.装备、使用(正确答案)D.销毁(正确答案)。

137.国家推动参与商用密码国际标准化活动，参与制定商用密码国际标准，推进商用密码（）与（）之间的转化运用（出题单位：国家密码管理局）A.中国标准(正确答案)B.国外标准(正确答案)C.国际标准 D.国家标准。

138.违反《密码法》第十二条规定，窃取他人加密保护的信息，非法侵入他人的密码保障系统，或者利用密码从事危害（）、（）、（）等违法活动的，由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。

A.国家安全(正确答案)B.社会公共利益(正确答案)C.他人合法权益(正确答案)D.国计民生139.安全认证主要目的是确认（）、（）、（）、（）A.信息是否完整(正确答案)B.信息是否被篡改(正确答案)C.信息是否可靠(正确答案)D.行为是否真实(正确答案)。

140.常见的密码算法有（）、（）和（）A.对称密码算法(正确答案)B.公钥密码算法(正确答案)C.密码杂凑算法(正确答案)D.标识密码算法141.商用密码行业标准分为（）、（）、（）、（）A.基础类标准(正确答案)B.应用类标准(正确答案)C.检测类标准(正确答案)D.管理类标准(正确答案)。

142.以下属于密码产品的是（）、（）、（）A.链路密码机(正确答案)B.电话密码机(正确答案)C.智能电卡中使用的密码芯片(正确答案)D.密码保障系统集成143.商用密码从业单位开展商用密码活动，应当符合有关（）、（）、商用密码（）以及该从业单位（）的技术要求。

国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准，提升商用密码的防护能力，维护用户的合法权益A.法律(正确答案)B.行政法规(正确答案)C.强制性国家标准(正确答案)D.公开标准(正确答案)。

144.国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施（），对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施（）A.进口许可(正确答案)B.出口管制(正确答案)C.进口管制 D.出口许可。

145.商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定，为商用密码从业单位提供（）、（）、（）等服务，引导和督促商用密码从业单位依法开展商用密码活动，加强行业自律，推动行业诚信建设，促进行业健康发展。

A.信息(正确答案)B.技术(正确答案)C.培训(正确答案)D.检测146.密码管理部门和有关部门建立（）和（）相结合的商用密码事中事后监管制度，建立统一的商用密码监督管理信息平台，推进事中事后监管与社会信用体系相衔接，强化商用密码从业单位自律和社会监督。

A.日常监管(正确答案)B.随机抽查(正确答案)C.预先审查 D.定期抽查147.违反《密码法》规定，发生（）、（）泄密案件的，由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

（出题单位：国家密码管理局）A.商用密码B.核心密码(正确答案)C.普通密码(正确答案)D.高级密码148.商用密码检测、认证机构违反《密码法》第二十五条第二款、第三款规定开展商用密码检测认证的，由市场监督管理部门会同密码管理部门责令改正或者停止违法行为，给予警告，没收违法所得；违法所得三十万元以上的，可以并处违法所得（）罚款；没有违法所得或者违法所得不足三十万元的，可以并处（）罚款；情节严重的，依法吊销相关资质。

（出题单位：国家密码管理局）A.一倍以上三倍以下(正确答案)B.十万元以下C.十万元以上三十万元以下(正确答案)D.三十万元以上149.信息安全事态（informationsecurityevent）定义为：“表明一次可能的信息安全违规或某些控制失效的发生”。

信息安全事件（informationsecurityincident）定义为：“与可能危害组织资产或损害其运行相关的、单个或多个被识别的信息安全事态”当发生了未经授权者通过破解密码等手段试图登录信息系统的攻击，攻击未。

成功时属于（），攻击成功时属于（）A.信息安全风险 B.信息安全漏洞C.信息安全事态(正确答案)D.信息安全事件(正确答案)150.可信计算的体系由（）和（）构成，为期所在的网络环境提供相应等级的安全保障。

A.可信计算节点(正确答案)B.可信连接(正确答案)C.可信根 D.可信部件151.为了识别改进已实施的ISMS的需要，信息安全测量方案和已制定的测量构造宜确保组织有效地达到目标和可重复测量，并为利益相关者提供测量结果。

一个信息安全测量方案宜包括以下过程：A.测度和测量的制定(正确答案)B.测量运行(正确答案)C.数据分析和测量结果报告(正确答案)D.信息安全测量方案的评价和改进(正确答案)152.安全可控保障是什么？（） A.数据支配权(正确答案)B.产品控制权(正确答案)C.产品选择权(正确答案)D.知识所有权

153.信息安全治理的目标是？（）A.使信息安全目标和战略向业务目标和战略看齐（战略一致）(正确答案)B.为治理者和利益相关者带来价值（价值传递）(正确答案)C.确保信息风险问题得到充分解决（责任承担）(正确答案)D.建立组织范围的信息安全 E.采用基于风险的方法

154.哪些是恶意软件类信息安全事件？（） A.网络扫描B.计算机病毒(正确答案)C.网络蠕虫(正确答案)D.版权违反 E.权限滥用155.网络安全威胁信息模型包括8个组件，以下属于这些组件的是（）A.可观测数据(正确答案)B.攻击活动(正确答案)C.攻击目标(正确答案)D.攻击方法(正确答案)

156.为保障供应链完整性，宜采取以下措施：A.采取硬件完整性保护措施，如硬件拆箱保护；(正确答案)B.验证集成商、供应商和外部服务提供商提供的篡改保护机制(正确答案)C.直接从经过验证的源获取二进制或机器可执行代码(正确答案)

D.对信息系统和组件的完整性进行测试和验证(正确答案)157.ICT供应链脆弱性既包括产品或服务在其生命周期内的脆弱性，也包括ICT供应链脆弱性ICT供应链脆弱性可能存在于（）A.产品或服务生命周期中的系统或组件；(正确答案)B.直接影响系统生命周期的开发和运维环境；(正确答案)C.运输ICT产品或组件的物流和交付环境，包括逻辑或物理的；(正确答案)。

D.以上均不存在158.信息技术产品安全检测机构应对其在（）场所中实施的活动负责A.固定场所(正确答案)B.临时场所(正确答案)C.可移动的场所(正确答案)D.客户场所(正确答案)159.由于多数入侵检测和防御系统（IDPS）基于攻击特征，因此IDPS的价值相当于针对事件分析的攻击特征数据库。

由于不断发现新的攻击和脆弱性，因此，需持续更新IDPS攻击特征数据库故选择IDPS时组织至少需考虑如下方面（）：A.更新的及时性(正确答案)B.内部分发的有效性(正确答案)C.更新实施(正确答案)D.攻击特征更新后对系统影响(正确答案)

160.GB/T20988—2007《信息安全技术信息系统灾难恢复规范》灾难恢复的工作范围包括哪几个阶段？A.灾难恢复需求的确定(正确答案)B.灾难恢复策略的制定(正确答案)C.灾难恢复策略的实现(正确答案)

D.灾难恢复预案的制定、落实和管理(正确答案)161.信息技术产品安全可控评价的基本评价原则是什么？A.科学合理(正确答案)B.整体易测C.客观公正(正确答案)D.知识产权保护(正确答案)162.电子认证服务岗位主要有以下那几类？A.安全管理类(正确答案)B.运行维护类(正确答案)C.客户服务类(正确答案)D.专业技术类(正确答案)

163.电子认证服务质量分级有以下那几级？A.基本执行级(正确答案)B.计划跟踪级(正确答案)C.充分定义级D.优化控制级(正确答案)164.可信网络连接是中国可信计算的重大创新之一，其核心技术三元对等鉴别架构（又称“虎符TePA”）已纳入国际标准，编号“ISO/IEC9798-3：Amd1:2010”（2010年6月），中国可信网络连接具有的优势有（）。

A.支持双向用户认证(正确答案)B.支持双向平台认证(正确答案)C.支持隔离/修补，确保接入网络的主机对网络的受限访问，以及在线的修补服务，直到接入网络的主机是可信赖的(正确答案)D.是一个开放性架构，符合一系列标准(正确答案)165.以下属于信息安全风险管理的基本步骤的是？A.背景建立(正确答案)B.风险评估(正确答案)C.风险处理(正确答案)D.批准监督(正确答案)E.监视评审

166.安全事件造成的损失由什么因素直接计算而来？A.威胁出现的频率 B.安全事件的可能性C.脆弱性的严重程度(正确答案)D.安全措施有效性 E.资产价值(正确答案)167.风险管理准备的内容包括？A.确定风险管理对象(正确答案)B.组建风险管理团队(正确答案)C.制定风险管理计划(正确答案)D.获得支持(正确答案)

E.调查信息系统的业务目标、特性168.信息系统安全运维活动包括以下那几类？A.安全运维策略确定(正确答案)B.安全运维组织管理(正确答案)C.安全运维规程制定(正确答案)D.安全运维支撑系统(正确答案)169.政府部门日常信息管理资产管理应：A.应建立并严格执行资产管理制度；(正确答案)B.应指定专人负责资产管理；(正确答案)

C.应建立资产台账（清单），统一编号、统一标识、统一发放；(正确答案)D.应及时记录资产状态和使用情况，保证账物相符；(正确答案)E.应建立并严格执行设备维修维护和报废管理制度(正确答案)170.在信息安全服务交付过程中，属于违规行为的是（）。

A.未经客户书面授权，传播、使用共享账号和密码(正确答案)B.客户授权到期后，删除和销毁持有的客户网络数据C.未经客户书面授权，访问客户系统，收集、篡改、处理客户网络中的数据和信息(正确答案)D.服务快结束时，仔细检查并确认所提供的产品或服务中未预留任何未公开接口和账号

171.从组织信息安全治理角度，信息安全服务过程模型包含哪些要素？A.组织战略(正确答案)B.规划设计(正确答案)C.实施交付(正确答案)D.监视支持(正确答案)E.检查改进(正确答案)172.根据GB/T30276-2020《信息安全技术网络安全漏洞管理规范》，在漏洞发现和报告阶段，对漏洞发现者的要求包括（）。

A.遵循国家相关法律、法规的前提下，可通过人工或者自动化方法对漏洞进行探测、分析，并证实漏洞存在的真实性(正确答案)B.在实施漏洞发现活动时，不应对用户的系统运行和数据安全造成影响和损害，不应有为了发现漏洞而侵犯其他组织的业务运行和数据安全的行为。

(正确答案)C.在识别网络产品或服务的潜在漏洞时，应主动评估可能存在的安全风险(正确答案)D.应采取防止漏洞信息泄露的有效措施(正确答案)173.标准GB/T22186-2016《信息安全技术具有中央处理器的IC卡芯片安全技术要求》对IC卡芯片哪些评估保障级（EAL）的安全要求进行了定义？（）。

A.EAL4B.EAL4+(正确答案)C.EAL5+(正确答案)D.EAL6+(正确答案)174.在依据GB/T18336-2015《信息技术安全技术信息技术安全评估准则》或基于该标准制定的产品标准进行评估时，安全架构需对安全功能属性进行描述，包括的属性有哪些?（）

A.自保护(正确答案)B.访问控制 C.域分离(正确答案)D.不可旁路(正确答案)175.根据GB/T30279—2020《信息安全技术网络安全漏洞分类分级指南》，“访问路径”是指触发漏洞的路径前提，反映漏洞触发时与受影响组件最低接触程度。

访问路径的赋值包括：（）A.网络(正确答案)B.邻接(正确答案)C.物理(正确答案)D.远程E.本地(正确答案)176.依据GB/T37091-2018《信息安全技术安全办公U盘安全技术要求》，以下不属于安全办公U盘评估中需要保护的资产的是（）。

A.用户的加密信息 B.TOE的访问控制列表C.USB控制器(正确答案)D.主机接口(正确答案)177.信息系统（informationsystem）定义为：（）、信息技术资产或其他信息处理组件A.服务(正确答案)B.网络。

C.应用(正确答案)D.计算环境178.等级保护对象受到破坏时所侵害的客体包括：A.信息系统B.社会秩序、公共利益(正确答案)C.公民、法人和其他组织的合法权益(正确答案)D.国家安全(正确答案)179.路由器具备的安全功能包括：（）。

A.自主访问控制(正确答案)B.身份鉴别(正确答案)（）C.漏洞扫描D.网络安全防护(正确答案)180.操作系统安全子系统是操作系统中安全保护装置的总称，包括（）A.硬件(正确答案)B.固件(正确答案)C.软件(正确答案)。

D.负责执行安全策略的组合体(正确答案)181.操作系统的安全功能包括身份鉴别、安全审计、（）、数据完整性、数据保密性、网络安全保护、可信信道等A.自主访问控制(正确答案)B.标记和强制访问控制(正确答案)C.可信路径(正确答案)D.病毒查杀。

182.操作系统的安全审计功能能够对这些事件生成审计记录，具体包括：（）A.创建、删除客体的操作(正确答案)B.所有管理员的操作(正确答案)C.网络会话(正确答案)D.身份鉴别功能的使用(正确答案)183.信息系统安全审计产品应能够定制数据采集策略，包括：（）。

A.主机审计(正确答案)B.网络审计(正确答案)C.数据库审计(正确答案)D.应用系统审计(正确答案)184.网络隔离产品是指位于两个不同安全域之间，采用（）技术在网络上实现安全域安全隔离与信息交换的产品。

A.单向导入B.协议隔离(正确答案)C.信息摆渡(正确答案)D.终端隔离185.网络和终端隔离产品从形态和功能上可以划分为（）三类A.终端隔离产品(正确答案)B.网络隔离产品(正确答案)C.网络单向导入产品(正确答案)D.协议隔离产品。

186.下面哪些属于网络脆弱性扫描产品的功能：A.端口扫描(正确答案)B.浏览器脆弱性扫描(正确答案)C.木马默认端口检测(正确答案)D.Web服务脆弱性扫描(正确答案)187.威胁的属性可以是（）A.威胁主体(正确答案)B.影响对象(正确答案)C.出现频率(正确答案)D.动机(正确答案)。

188.风险分析中要涉及（）三个基本要素（） A.资产(正确答案)B.威胁(正确答案)C.脆弱性(正确答案)D.安全事件189.脆弱性识别所采用的方法主要有：（）、（）、人工核查、（）、渗透性测试等A.问卷调查(正确答案)B.人员访谈

C.文档查阅(正确答案)D.工具检测(正确答案)190.网络入侵监测系统的数据探测功能包括（）A.数据收集(正确答案)B.协议分析(正确答案)C.行为监测(正确答案)D.流量监测(正确答案)191.防火墙根据安全目的、实现原理的不同，通常可分为（）等。

类型A.网络型防火墙(正确答案)B.Web应用防火墙(正确答案)C.数据库防火墙(正确答案)D.主机型防火墙(正确答案)192.防火墙支持的策略路由功能包括基于源目的IP的、（）等策略路由A.基于协议和端口的(正确答案)B.基于接口的(正确答案)C.基于应用类型的(正确答案)D.基于多链路负载情况的(正确答案)193.公钥基础设施的组件主要包括：（）。

A.CA（认证机构）(正确答案)B.RA（注册机构）(正确答案)C.在线证书状态查询子系统(正确答案)D.操作系统194.根据安全目的不同，从保护对象和资产的角度，GB/T20281-2020中定义了哪几类常见的防火墙？

A.网络型防火墙(正确答案)B.下一代防火墙C.WEB应用防火墙(正确答案)D.主机型防火墙(正确答案)E.数据库防火墙(正确答案)195.GB/T20281-2020中对于WEB防火墙的部署模式提出了哪些要求？

A.透明传输模式(正确答案)B.路由转发模式C.反向代理模式(正确答案)196.2015版网络和终端隔离产品国家标准中，包括哪几种大类的产品？A.终端隔离产品(正确答案)B.光盘摆渡机C.网络隔离产品(正确答案)D.网络单向导入产品(正确答案)

197.终端隔离产品要求对哪些部件进行隔离？A.网络(正确答案)B.内存(正确答案)C.磁盘(正确答案)D.隔离卡198.工控防火墙对工业协议的深度内容检测主要包括工业协议的哪些参数？A.操作类型(正确答案)B.操作对象(正确答案)C.MAC地址

D.操作值范围(正确答案)199.工控网络审计产品与IT审计产品功能的主要区别包括：（）A.工业协议的内容识别(正确答案)B.基于白名单的审计分析规则(正确答案)C.支持网络层要素的还原 D.支持事件告警。

200.依据《网络安全等级保护测评过程指南》，以下哪些活动属于等级测评过程包括的基本活动？A.方案编制活动(正确答案)B.测评结果分析活动 C.现场测评活动(正确答案)D.报告编制活动(正确答案)201.定级对象的安全主要考虑（）。

A.业务数据的安全(正确答案)B.服务对象的范围C.系统服务的安全(正确答案)D.业务依赖程度202.在等级保护技术要求中，在关键网络节点处部署防垃圾邮件系统作用是：（）A.防止垃圾邮件(正确答案)B.防止邮件中的恶意代码(正确答案)C.防止鱼叉攻击(正确答案)

D.邮件服务器不直接暴露在互联网上(正确答案)203.行业/领域主管部门在等级保护对象定级与备案过程中负有哪些责任？A.梳理行业业务(正确答案)B.分析业务保护要求(正确答案)C.统一部署定级工作(正确答案)D.出具定级指导意见(正确答案)

204.《网络安全等级保护基本要求》（GB/T22239-2019）提出了安全通用要求和安全扩展要求，其中包括（）方面的安全扩展要求A.云计算(正确答案)B.大数据C.移动互联(正确答案)D.工业控制系统(正确答案)。

205.GB/T21050-2019《信息安全技术网络交换机安全技术要求》中，关于可信路径的安全功能要求描述正确的是?（）A.网络交换机的安全功能应使用【选择：IPsec，SSH，TLS，TLS/HTTPS中至少一种】在它自身和【远程、第三方】用户之间提供一条通信路径，此路径在逻辑上与其他通信路径截然不同，并且能够对其对端节点提供确定的标识，以及保护通信数据免遭修改或泄露。

B.网络交换机的安全功能应使用【选择：MPLS，SSH，TLS/HTTPS，TFTP中至少一种】在它自身和【远程、本地】用户之间提供一条通信路径，此路径在逻辑上与其他通信路径截然不同，并且能够对其对端节点提供确定的标识，以及保护通信数据免遭修改或泄露。

C.网络交换机的安全功能应允许【远程、本地】用户经可信路径发起通信(正确答案)D.对于【启动用户鉴别】和【网络管理信息的传输】，网络交换机的安全功能应要求使用可信路径(正确答案)206.GB/T20009-2019《信息安全技术数据库管理系统安全评估准则》中，关于基本回退（FDP_ROL.1）组件的描述错误的是？（）。

A.基本回退组件是确保评估对象在既定的限制条件下回退或撤销有限个数据库操作，这是保证数据库可靠性的基本机制(正确答案)B.基本回退组件的安全评估要求：应测试评估对象的检查点保存（SAVEPOINT）机制，确认是否允许对复杂事务回退到原始事务保存点（即回滚部分SQL语句操作）。

(正确答案)C.基本回退组件的安全评估要求：应测试评估对象的事务回退（ROLLBACK）机制，确认是否允许未提交数据库事务所有SQL语句的回滚操作D.应测试评估对象的数据库服务器宕机等实例故障恢复功能207.关于PP（保护轮廓）的使用描述，一个PP一般适用于如下哪些情况？（）。

A.特定消费者或消费群体的部分要求规范(正确答案)B.特定管理实体的部分规章制度(正确答案)C.IT开发者对IT产品定义的基线(正确答案)D.某个单一产品的安全规范208.在GB/T18336-2015《信息技术安全技术信息技术安全评估准则》中,关于实现表示（ADV_IMP）族的描述，实现表示应详细说明TSF的内部工作，可以包括如下那些内容?（）。

A.软件代码、固件代码(正确答案)B.硬件图表/或IC硬件设计代码(正确答案)C.编译数据D.设计数据(正确答案)209.GB/T20261—2020《信息安全技术系统安全工程能力成熟度模型》阐述的SSE-CMM®中过程域由哪几个过程组成？

A.风险过程(正确答案)B.工程过程(正确答案)C.保障过程(正确答案)D.维护过程 210.根据GB/T30279—2020《信息安全技术网络安全漏洞分类分级指南》，网络安全漏洞分类是基于漏洞产生或触发的技术原因对漏洞进行的划分，本标准采用树形导图对漏洞进行分类，首先从根节点开始，根据漏洞成因将漏洞归入某个具体的类别，如果该类型节点有子类型节点，且漏洞成因可以归入该子类型，则将漏洞划分为该子类型，如此递归，直到漏洞归入的类型无子类型节点或漏洞不能归入子类型为止。

请在下列漏洞类型中选出“输入验证错误”的子类型节点A.跨站请求伪造(正确答案)B.缓冲区错误(正确答案)C.命令注入D.注入(正确答案)211.GB/T36324-2018《信息安全技术工业控制系统信息安全分级规范》中，工业控制系统信息安全等级划分由哪几个定级要素决定？（）

A.工业控制系统资产重要程度(正确答案)B.受侵害后潜在影响程度(正确答案)C.工业控制系统业务连续性D.需抵御的信息安全威胁程度(正确答案)212.GB/T36466-2018《信息安全技术工业控制系统风险评估实施指南》中，在对工控系统开展风险评估时，其中脆弱性评估环节主要从哪几个方面开展？（）

A.物理环境(正确答案)B.网络(正确答案)C.平台(正确答案)D.安全管理(正确答案)213.GB/T36323-2018《信息安全技术工业控制系统安全管理要求》提出了16个安全控制族，主要包括哪几个方面的控制措施？（）

A.管理制度(正确答案)B.物理环境管理 C.运维管理(正确答案)D.技术管理(正确答案)214.开展信息技术产品分级测评时，为了获得必要的保障级，可以通过如下哪几个方面进行努力？A.评估范围(正确答案)B.评估深度(正确答案)C.评估规范性 D.严格性(正确答案)

215.依据GB/T18336标准或基于该标准制定的产品标准进行分级测评时，可以采取的评估技术包括？A.分析并检查过程和程序，确认其是否正被使用(正确答案)B.分析TOE各设计表示以及他们之间的一致性(正确答案)C.分析指导性文档及开发者提供的功能测试及结果。

(正确答案)D.独立的功能测试、脆弱性分析以及穿透性测试(正确答案)216.网络安全等级保护工作直接作用的对象，包括信息系统、（）等A.云计算平台/系统 B.通信网络设施(正确答案)C.物联网系统 D.数据资源(正确答案)。

217.等级保护对象的安全保护等级第三级，等级保护对象受到破坏后，会对（）造成严重危害，或者对（）造成危害A.经济建设和社会生活B.社会秩序和公共利益(正确答案)C.国家安全(正确答案)D.公民、法人和其他组织的合法权益

218.作为定级对象的信息系统应具有如下基本特征为（、、）A.单一的系统组件B.承载相对独立的业务应用(正确答案)C.包含相互关联的多个资源(正确答案)D.具有确定的主要安全责任主体(正确答案)219.定级对象的安全主要包括（、）,与之相关的受侵害客体和对客体的侵害程度可能不同，因此，安全保护等级也应由这两方面确定。

A.安全责任主体B.系统服务安全(正确答案)C.独立业务应用D.业务信息安全(正确答案)220.在网络安全等级保护基本要求通用部分中，针对安全区域边界第2级比第1级增加了（、）和恶意代码防范等项要求A.可信验证

B.安全审计(正确答案)C.入侵防范(正确答案)D.访问控制221.在网络安全等级保护基本要求通用部分中，针对安全计算环境第2级比第1级增加了（、）和安全审计等项要求A.数据完整性B.剩余信息保护(正确答案)C.可信验证。

D.个人信息保护(正确答案)222.在网络安全等级保护基本要求通用部分中，针对安全管理制度第2级比第1级增加了（、、）等项要求A.管理制度B.评审和修订(正确答案)C.制定和发布(正确答案)D.安全策略(正确答案)。

223.个人信息控制者开展个人信息处理活动应遵循合法、正当、必要的原则，具体包括：（）、目的明确、选择同意、最小必要、公开透明、确保安全、（）A.去标识化B.权责一致(正确答案)C.业务功能D.主体参与(正确答案)。

224.个人信息主体的权利包括个人信息查询、（）、个人信息删除、个人信息主体撤回授权同意、个人信息主体注销账户、个人信息主体获取个人信息副本、响应个人信息主体的请求、（）A.投诉管理(正确答案)B.安全事件告知。

C.个人信息更正(正确答案)D.数据安全能力225.个人信息的收集应注意：收集个人信息的合法性、（）、多项业务功能的自主选择、收集个人信息时的授权同意、（）、征得授权同意的例外A.去标识化处理 B.个性化展示的使用。

C.收集个人信息的最小必要(正确答案)D.个人信息保护政策(正确答案)226.安全管理中心的系统管理主要通过管理员对系统的资源和运行进行配置、控制和管理，包括（）、（）、系统加载和启动、系统运行的异常处理以及支持管理本地和异地灾难备份与恢复等。

A.用户身份管理(正确答案)B.审计功能配置C.系统资源配置(正确答案)D.网络安全管理227.安全管理中心的安全管理主要通过安全管理员对（），对主体进行授权，（），并确保标记、授权和安全策略的数据完整性。

A.审计功能配置B.系统中的主体、客体进行统一标记(正确答案)C.系统资源配置D.配置一致的安全策略(正确答案)228.等级测评包括（）和（）A.定期测评B.整体测评(正确答案)C.专项测评D.单项测评(正确答案)。

229.病毒防治产品是一种以恶意软件防护作为其全部或部分功能的产品，用于检测发现或阻止恶意软件的传播以及对主机操作系统、（）和（）的篡改、窃取和破坏等A.用户文件(正确答案)B.服务器C.应用软件(正确答案)D.终端。

230.病毒防治产品的运行环境可划分主机型、（）、（）A.外接型B.嵌入型(正确答案)C.移动型D.网络型(正确答案)231.GB/T18336的总体概述中，详细说明了评估对象（）、保护轮廓（）、安全目标（）等关键概念。

A.TOE(正确答案)B.CCC.PP(正确答案)D.ST(正确答案)232.GB/T18336中，安全目标将对策划分为两组：a）（）的安全目的：描述了需要在评估中确定其正确性的对策b）（）安全目的：描述了不需要在评估中确定其正确性的对策。

A.PPB.STC.TOE(正确答案)D.运行环境(正确答案)233.安全目标ST的强制性内容包括：ST引言、符合性声明、（）、安全目的、扩展组件定义、（）A.安全环境B.安全问题定义(正确答案)C.安全要求(正确答案)D.运行环境。

234.保护轮廓PP的强制内容中的安全要求，将TOE安全目的转化成标准语言标准语言以（）的形式描述，同样，该章条也定义了（）A.假设B.安全功能要求(正确答案)C.安全问题定义D.安全保障要求(正确答案)。

235.网络脆弱性扫描产品应提供方便的定制策略的方法，可以指定（）等A.扫描地址范围(正确答案)B.端口范围(正确答案)C.脆弱性类型(正确答案)D.用户范围236.网络脆弱性扫描产品应提供合理的扫描速度，可通过调整（）等方法对扫描速度进行调节。

A.扫描线程数目(正确答案)B.扫描进程数目(正确答案)C.扫描目标树目 D.扫描网络带宽237.防火墙产品通常支持（）这些部署模式A.透明传输模式(正确答案)B.路由转发模式(正确答案)C.反向代理模式(正确答案)D.旁路镜像模式。

238.数据库防火墙的攻击防护能力，应能够对（）等攻击进行拦截A.数据库漏洞攻击(正确答案)B.异常SQL语句阻断(正确答案)C.拖库攻击(正确答案)D.撞库攻击(正确答案)239.从证书用途来分，公钥基础设施颁发的证书类型有：A.个人证书。

B.加密证书(正确答案)C.签名证书(正确答案)D.企业证书240.以下属于应用协议的协议信令的是：A.FTPget(正确答案)B.HTTPpost(正确答案)C.SSLD.SMTP241.网络隔离产品在网专目录中的性能要求是什么？A.新建连接数 B.吞吐量(正确答案)C.系统延时(正确答案)D.抓包速率

242.《网络安全等级保护基本要求》（GB/T22239-2019）中对安全保护等级为三级的等级保护对象提出的安全运维管理的控制点包括（）A.配置管理(正确答案)B.验收管理C.外包运维管理(正确答案)。

D.外部连接管理243.等级保护对象开展安全设计与实施时，主要工作任务包括哪些？A.安全功能设计(正确答案)B.安全性能设计(正确答案)C.管理体系设计(正确答案)D.设计部署方案(正确答案)244.以下等级测评中常用的方法，哪些可能会对信息系统运行产生影响，从而带来风险？

A.文档审查 B.访谈C.配置核查(正确答案)D.基于一定漏洞库的扫描测试(正确答案)245.在等级保护技术要求中，网络层面入侵防范包括以下内容：A.防止从外部对内部的网络攻击(正确答案)B.防止从内部对外部的网络攻击(正确答案)

C.防止从内部对内部的网络攻击(正确答案)D.新型网络攻击行为的检测和分析(正确答案)E.最小化安装系统组件 246.定级要素包括（）A.重要程度B.受侵害客体(正确答案)C.受侵害程度(正确答案)D.等级保护对象。

247.GB/T26855-2011《信息安全技术公钥基础设施证书策略与认证业务声明框架》：以下描述证书策略（CP）正确的内容A.一套制定的规则集(正确答案)B.只适用于单个CA或单个组织C.用以指明证书对具有相同安全需求的一个特定团体和（或者）应用类型的适用性。

(正确答案)D.可以在证书扩展项中列明该证书适用的CP(正确答案)248.GB/T15852.1-2008《信息技术安全技术消息鉴别码第1部分：采用分组密码的机制》：消息鉴别码算法通常采用的底层模块包括哪些？。

A.分组密码(正确答案)B.专用杂凑函数(正确答案)C.泛杂凑函数(正确答案)D.流密码249.GB/T15852.2-2012《信息技术安全技术消息鉴别码第2部分：采用专用杂凑函数的机制》：消息鉴别码算法可以提供哪些功能？

A.数据机密性保护B.数据完整性保护(正确答案)C.数据源认证(正确答案)D.数据隐藏250.根据《中华人民共和国电子签名法》第十三条规定，可靠的电子签名应满足的要求包括：A.电子签名制作数据用于电子签名时，属于电子签名人专有(正确答案)

B.签署时电子签名制作数据仅由电子签名人控制(正确答案)C.签署后对数据电文内容和形式的任何改动能够被发现(正确答案)D.签署后对电子签名的任何改动能够被发现(正确答案)251.GB/T20520-2006《信息安全技术公钥基础设施时间戳规范》：关于时间戳的叙述中，哪些是正确的：

A.时间戳通过数字签名技术保证无法随意修改其中的时间(正确答案)B.时间戳中的时间采用可信的方式获得(正确答案)C.时间戳的正确性可以公开验证(正确答案)D.时间戳可以用来证明某条消息发送的时间(正确答案)252.以下哪些场景中应用到了身份鉴别技术？A.使用HTTPS访问网站(正确答案)B.使用U盾进行网上支付(正确答案)C.使用用户名口令登录视频网站(正确答案)D.人脸识别乘坐火车(正确答案)253.下列哪些场景用到了数字证书？

A.使用HTTPS访问网站(正确答案)B.使用U盾进行网上支付(正确答案)C.使用用户名口令登录视频网站 D.刷脸解锁手机254.公钥基础设施的组件主要包括：A.CA（认证机构）(正确答案)B.RA（注册机构）(正确答案)C.在线证书状态查询子系统(正确答案)D.操作系统

255.GB/T36651-2018《信息安全技术基于可信环境的生物特征识别身份鉴别协议框架》中，在基于可信执行环境的生物特征识别身份鉴别协议中，参与协议的实体有哪几个？A.依赖方(正确答案)B.用户(正确答案)

C.身份服务提供方(正确答案)D.鉴别器(正确答案)256.以下哪些属于鉴别或授权技术？A.基于令牌的身份鉴别(正确答案)B.生物特征C.基于属性的访问控制(正确答案)D.基于角色的访问控制(正确答案)257.以下哪些属于生物特征？A.指纹(正确答案)B.虹膜(正确答案)C.人脸(正确答案)D.声纹(正确答案)

258.GB/T38542-2020《信息安全技术基于生物特征识别的移动智能终端身份鉴别技术框架》中，基于生物特征识别的身份鉴别协议主要包括哪些流程？A.注册(正确答案)B.鉴别(正确答案)C.开户D.注销(正确答案)

259.GB/T36632-2018《信息安全技术公民网络电子身份标识格式规范》公民网络电子身份标识码由（）组成A.版本号(正确答案)B.序列号C.杂凑值(正确答案)D.预留位(正确答案)260.PKI各组件进行互操作时所需的功能和事务的最小集合包括：A.CA(正确答案)B.RA(正确答案)C.证书持有者(正确答案)D.PKI客户的规范(正确答案)。

261.基于弱秘密的匿名实体鉴别能实现以下哪些安全性质：A.匿名性(正确答案)B.不可关联性(正确答案)C.抵御离线字典攻击(正确答案)

END德州学院学生事务与发展中心图文排版 | 李鑫蕾封面 | 李鑫蕾审编 | 郑亚迪 黄鲁亚文稿审核 | 崔丽娜最终审核 | 宋红真

学生事务与发展中心

从学生中来到学生中去

免责声明：本站所有信息均搜集自互联网，并不代表本站观点，本站不对其真实合法性负责。如有信息侵犯了您的权益，请告知，本站将立刻处理。联系QQ：1640731186