中国移动网络与信息安全管理通道考试题库（含答案）.docx

中国移动网络与信息平安管理通道考试题库(含答案)一'单项选择题.向有限的空间输入超长的字符串是哪一种攻击手段？()A、缓冲区溢出B、网络监听C、拒绝服务D、IP欺骗答案：A.关键信息基础设施运营者采购网络产品和服务,影响或可能影响()的,应当进 行网络平安审查。A、国家平安B、社会公共利益C、集体利益D、公民、法人和其他组织的合法权益答案：A.中华人民共和国网络平安法规定，国家实行网络平安()保护制度。A、等级B、分级C、定级D、以上选项都不正确 答案：A28 .自2004年1月起,国内各有关部门在申报信息平安国家标准计划工程时,必须 经由以下哪个组织提出工作意见,协调一致后由该组织申报。()A、全国通信标准化技术委员会(TC485)B、全国信息平安标准化技术委员会(TC260)C、中国通信标准化协会(CCSA)D、网络与信息平安技术工作委员会答案：B29 .鉴别是用户进入系统的第一道平安防线。用户登录系统时,输入用户名和密码 就是对用户身份进行鉴别，鉴别通过,即可以实现两个实体之间的连接。例如,一 个用户被服务器鉴别通过后,那么被服务器认为是合法用户，才可以进行后续访问。 鉴别是对信息的一项平安属性进行验证,该属性属于以下选项中的()。A、保密性B、可用性C、真实性D、完整性答案：C.应急响应是信息平安事件管理的重要内容之一。关于应急响应工作,下面描述 错误的选项是()。A、信息平安应急响应，通常是指一个组织为了应对各种平安意外事件的发生所采 取的防范措施,既包括预防性措施,也包括事件发生后的应对措施B、应急响应工作有其鲜明的特点:具有高技术复杂性与专业性、强突发性' 对知 识经验的高依赖性，以及需要广泛的协调与合作149 .一台Li nu错服务器运行的服务包括SMTP、POP3、I MAP和SNMP,对其进行端 口扫描,可以发现以下哪些端口 TCP端口可能开放()。A、25B、110C、21D、143答案:ABD.以下哪些选项属于计算机病毒的特点？()A、寄生性B、潜伏性C、破坏性D、传染性答案：ABCD.等级保护三级要求,应采用密码技术保证重要数据在存储过程中的保密性， 包括但不限于()等。A、鉴别数据B、重要业务数据C、重要个人信息D、系统数据答案：ABC.网络/系统单元的平安等级应根据()三个相互独立的定级要素确定。结合各 类业务系统特点，定级三要素的具体赋值指标可以进一步细化。A、社会影响力B、业务系统特点C、规模和服务范围D、所提供服务的重要性答案：ACD.网络运营者,是指()。A、网络运维者B、网络所有者C、网络服务提供者D、网络管理者答案:BCD.国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政 务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重 危害0的关键信息基础设施,在网络平安等级保护制度的基础上,实行重点保护。 A、公共利益B、网络平安C、国计民生D、国家平安答案：ACD150 .国家实行网络平安等级保护制度。网络运营者应当按照网络平安等级保护制 度的要求,履行哪些平安保护义务()A、制定内部平安管理制度和操作规程,确定网络平安负责人,落实网络平安保护 责任B、采取防范计算机病毒和网络攻击、网络侵入等危害网络平安行为的技术措施C、采取监测, 记录网络运行状态' 网络平安事件的技术措施，并按照规定留存相 关的网络日志不少于六个月D、采取数据分类' 重要数据备份和加密等措施答案：ABCD151 .下面关于访问控制模型的说法正确的选项是()。A、DAC模型中主体对它所属的对象和运行的程序有全部的控制权B、DAC实现提供了一个基于“need-to-know”的访问授权的方法,默认拒绝任何 人的访问。访问许可必须被显示地赋予访问者C、在MAC这种模型里，管理员管理访问控制。管理员制定策略，策略定义了哪个 主体能访问哪个对象。但用户可以改变它。D、RBAC模型中管理员定义一系列角色(roles)并把它们赋予主体。系统进程和 普通用户可能有不同的角色。设置对象为某个类型,主体具有相应的角色就可以 访问它。答案：ABD.域名注册信息不能在哪里找到？()A、路由器B、DNS记录C、Whois数据库D、 MIBs 库答案：ABD.除网络平安法第二十一条的规定外,关键信息基础设施的运营者还应当履行以下平安保护义务：（）A、设置专门平安管理机构和平安管理负责人,并对该负责人和关键岗位的人员进行平安背景审查；B、定期对从业人员进行网络平安教育.技术培训和技能考核；C、对重要系统和数据库进行容灾备份；D、制定网络平安事件应急预案，并定期进行演练；E、法律.行政法规规定的其他义务。答案:ABCDE.以下关于I IS报错的信息含义描述错误的选项是0。A、401找不到文件B、403禁止访问C、404权限问题D、500系统错误答案：ACD.发现感染计算机病毒后,应采取哪些措施0A、断开网络B、使用杀毒软件检测清除C、如果不能清除，将样本上报国家计算机病毒应急处理中心D、格式化系统 答案：ABC158 .以下关于w i ndowsSAM (平安账户管理器)的说法正确的选项是()。Av平安账户管理器(SAM)具体表现就是%SystemRoot%system32conf i gsamB、平安账户管理器(SAM)存储的账号信息是存储在注册表中C、平安账户管理器(SAM)存储的账号信息对admin i strator和system是可读和 可写的D、平安账户管理器(SAM)是windows的用户数据库,系统进程通过Secur i tyAcco untsManager服务进行访问和操作答案:ABD判断题1 .中国移动陕西公司党委对公司网络平安工作负主体责任,党委书记是第一责任 人,主管网络平安的党委委员是直接责任人。陕西公司各级党组织对本地区、 本 单位网络平安工作负主体责任,党组织主要负责人是第一责任人,主管网络平安 的党组织成员是直接责任人。()A、正确B、错误答案：A2 .所有系统定级备案每年都要做一次。()A、正确B、错误 答案：B.网络运营者为用户办理网络接入、域名注册服务，办理固定 ' 移动 等 入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确 认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的， 网络运营者不得为其提供相关服务。（）A、正确B、错误答案：A.信息平安问题的根源内因是信息系统复杂性导致漏洞的存在不可防止。（）A、正确B、错误答案：A. Web服务常见的威胁有网络层面、系统层面和应用层面。网络层面主要有拒绝 服务' 电子欺骗、嗅探;系统层面主要有Web服务漏洞、信息泄露;应用层面主要 有代码缺陷（SQL注入、错SS等）、电子欺骗、钓鱼' 流程缺陷' 配置错误等。（）A、正确B、错误答案：B.信息平安就是保障企业信息系统能够连续、可靠、正常地运行,使平安事件对 业务造成得影响减到最小,确保组织业务运行得连续性。0A、正确B、错误答案:A.等级保护对象是指网络平安等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规那么和程序对信息进行收集' 存储、传输、交换、处理的系统。（）A、正确B、错误答案：A.平安审计主要包括日常审计和专项平安审计。（）A、正确B、错误答案：A.国家对关键信息基础设施实行重点保护，采取措施,监测' 防御' 处置来源于中华人民共和国境内外的网络平安风险和威胁,保护关键信息基础设施免受攻击、侵入' 干扰和破坏,依法惩治危害关键信息基础设施平安的违法犯罪活动。（）A、正确B、错误答案：A.计算机病毒只会破坏磁盘上的数据和文件。（）A、正确B、错误答案：B11. IS0/0SI七层模型定义了网络中不同计算机系统进行通信的基本过程和方法。其中底层协议偏重于处理实际的信息传输，负责创立网络通信连接的链路,包括 物理层、数据链路层、网络层和传输层。高层协议处理用户服务和各种应用请求， 包括会话层、 表示层和应用层。（）A、正确B、错误答案：A12 .信息平安应该建立在整个生命周期中所关联的人、 事、物的基础上，综合考虑 人' 技术' 管理和过程控制，使得信息平安不是一个局部而是一个整体。（）A、正确B、错误答案：A13 . VPN的主要特点是通过加密使信息能平安的通过Internet传递（）。A、正确B、错误答案：A.在公共场所安装图像采集' 个人身份识别设备,应当为维护公共平安所必需， 遵守国家有关规定，并设置显著的提示标识。所提供的个人图像' 身份识别信息 只能用于维护公共平安的目的，不得用于其他目的;取得个人单独同意的除外。（） A、正确B、错误答案：A14 .等级保护中的备案由当地公安主管,定级备案由各省通信管理局主管。（）A、正确B、错误答案：A15 .网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律'行政法 规的规定和双方的约定收集'使用个人信息，并应当依照法律' 行政法规的规定 和与用户的约定，处理其保存的个人信息。（）A、正确B、错误答案：A16 .未经国家网信部门' 国务院公安部门批准或者保护工作部门、运营者授权， 任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响 或者危害关键信息基础设施平安的活动。对基础电信网络实施漏洞探测、渗透性 测试等活动,应当事先向公安部门报告。（）A、正确B、错误答案：B17 .根据陕西移动数据平安管理方法，各使用部门应保存所有敏感数据操作的 客户授权凭据，确保真实有效,凭据至少保存2年。（）A、正确B、错误答案：B18 .一次性开办三张卡以上 卡、一年内两次补办 卡、一年内两次以上注 销并新办 卡都属于异常办卡线索。（）A、正确B、错误答案：A19 .基于个人同意处理个人信息的,个人无权撤回其同意。（）A、正确B、错误答案：B20 .信息平安保障诸要素中，人是最关键' 也是最活跃的要素。网络攻防对抗，最终较量的是攻防两端的人,而不是设备。0A、正确B、错误答案：A.网络平安工作考核纳入省公司经营业绩考核和战略绩效考核体系,各单位经营业绩考核或战略绩效考核得分与其人工本钱分配挂钩。（）A、正确B、错误答案：A21 .外部合作单位人员进行开发、测试工作要先与公司签署保密协议。（）A、正确B、错误答案：A22 . 口令管理原那么，口令至少每100天更换一次。（）C、应急响应是组织在处置应对突发/重大信息平安事件时的工作,其主要包括两 局部工作:平安事件发生时正确指挥、事件发生后全面总结D、应急响应工作的起源和相关机构的成立和1988年11月发生的莫里斯蠕虫病 毒事件有关,基于该事件,人们更加重视平安事件的应急处置和整体协调的重要 性答案：C31 .以下不是非结构化数据的项？()A、图片B、苜频C、数据库二维表格D、视频答案：C32 .()不是网络平安审计系统的功能。A、能帮助我们对网络平安进行实时监控,及时发现整个网络上的动态B、发现网络入侵和违规行为C、加强系统的访问控制能力,提高系统平安性D、忠实记录网络上发生的一切，提供取证手段答案：C. SSL平安套接字协议使用的端口是()。A、 3389B、443C、 1433A、正确B、错误答案：B25 .为了从技术上限制非授权用户接触敏感信息,原那么上，涉及敏感信息的支撑系统' 业务平台、通信系统等应纳入4A系统的集中管控。（）A、正确B、错误答案：A.平安审计就是日志的记录。（）A、正确B、错误答案：B.信息平安风险管理的思路不符合PDCA的问题解决思路。（）A、正确B、错误答案：B.根据陕西移动数据平安合规评估工作实施细那么，条线管理部门每年根据评 估计划组织相关部门开展所辖业务/系统的数据平安合规评估工作和问题整改工 作，信息平安管理部负责对评估结果进行复核。（）A、正确B、错误答案:A.国家支持网络运营者之间在网络平安信息收集' 分析' 通报和应急处置等方 面进行合作,提高网络运营者的平安保障能力。（）A、正确B、错误答案：A.内部人员误操作导致信息系统故障的事件也属于信息平安事件。（）A、正确B、错误答案：A.运营者对保护工作部门开展的关键信息基础设施网络平安检查检测工作，以 及公安' 国家平安, 保密行政管理、密码管理等有关部门依法开展的关键信息基 础设施网络平安检查工作应当予以配合。（）A、正确B、错误答案：A.风险评估以自评估为主，自评估和检查评估相互结合' 互为补充。0A、正确B、错误答案：A.任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德， 不得危害网络平安,不得利用网络从事危害国家平安、荣誉和利益的活动。（） A、正确B、错误答案：A26 .根据陕西移动信息平安教育培训管理方法，公司新入职员工,必须接受公 司' 部门' 班组的相应平安培训教育，方能上岗。各类培训教育的时间均不得少 于8学时。（）A、正确B、错误答案：A27 .假设发现内存有病毒,应立即换一张新盘,这样就可以放心使用了。（）A、正确B、错误答案：B36,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人 信息处理者方可处理敏感个人信息。（）A、正确B、错误答案：A37 .关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签 订平安保密协议,明确平安和保密义务与责任。（）A、正确B、错误答案:A38 . IPv6地址数量是IPv4地址数量的264倍。（）A、正确B、错误答案：B39 .按照陕西移动数据分类分级及重要数据平安管理规范，根据公司生产经营 管理现状和自身管理特点，可将数据资源分为“用户相关数据”和“企业自身数 据”两大类以便于对数据进行统一管理及推广应用。（）A、正确B、错误答案：A40 .根据陕西移动信息平安责任管理实施细那么，发生信息平安事件时,当事单 位应向省公司信息平安归口管理部门省公司信息平安管理部报告事件情况, 并由省公司信息平安管理部牵头负责将有关事件向集团公司与所在地通信管理 局报告。（）A、正确B、错误答案：A41 .用户身份和鉴权信息包括用户身份和标识信息、用户网络身份鉴权信息。（）A、正确B、错误 答案：A.个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。（）A、正确B、错误答案:A42 .在UNI错系统中，服务可以通过inetd进程来启动。（）A、正确B、错误答案：A43 . SQL注入一般可通过网页表单直接输入（）。A、正确B、错误答案：A.格式化过后的计算机硬盘,原来的数据完全不可能找回。（）A、正确B、错误答案：B. 2017年8月，中共中央办公厅印发党委（党组）网络平安工作责任制实施办法。（）A、正确B、错误答案:A44 .产生脆弱性方式有系统程序代码缺陷、系统设备平安配置错误' 系统操作流 程有缺陷、维护人员平安意识缺乏等。（）A、正确B、错误答案：A45 . Nmap是一款优秀的端口扫描工具（）。A、正确B、错误答案：A.发现或者获知所提供网络产品存在平安漏洞后,应当立即采取措施并组织对 平安漏洞进行验证,评估平安漏洞的危害程度和影响范围;对属于其上游产品或 者组件存在的平安漏洞,应当立即通知相关产品提供者。0A、正确B、错误答案：A.个人信息的处理目的'处理方式和处理的个人信息种类发生变更的,应当重新 取得个人同意。（）A、正确B、错误答案：A.网络运营者应当对其提供的用户信息严格保密,并建立健全用户信息保护制 度。（）A、正确B、错误答案：A. DDOS是指集中式拒绝服务攻击。（）A、正确B、错误答案：B.个人信息处理者应当定期对其处理个人信息遵守法律' 行政法规的情况进行 合规审计。0A、正确B、错误答案：A.个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实' 准确、完整地向个人告知个人信息的处理目的'处理方式,处理的个人信息种类' 保存期限等。（）A、正确B、错误答案：A.所有持有增值电信业务经营许可证的企业且已开展电信业务的，均需登录工 信部网络平安防护管理系统填写相关内容,完成定级备案工作。（）As正确B、错误答案：A.网络战争作为国家整体军事战略的一个组成局部已经成为趋势。（）A、正确B、错误答案:A.网络运营者应当建立网络信息平安投诉' 举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息平安的投诉和举报。（）A、正确B、错误答案：A46 .发起大规模的DDoS攻击通常要控制大量的中间网络或系统。（）A、正确B、错误答案：A47 .各单位通过网站、应用程序等产品收集使用个人信息时,应具备合法' 正当的目的，清晰'准确地予以描述，并公开收集使用规那么。（）A、正确B、错误答案：A.根据陕西移动网络与信息平安渗透演练管理方法，组织单位应通过0A公 文向监督单位报备,同时根据演练活动方案向相关单位宣布演练开始,启动演练 活动。可根据实际情况引入外部单位和人员,须与外部单位和相关人员签订保密 协议和信息平安责任承诺书。（）A、正确B、错误答案:A.关键信息基础设施运营者应当自行或者委托网络平安服务机构对关键信息基 础设施每年至少进行一次网络平安检测和风险评估，对发现的平安问题及时整改, 并按照保护工作部门要求报送情况。（）A、正确B、错误答案：A.能够在统一平安策略下防护免受来自外部有组织的团体' 拥有较为丰富资源 的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁 所造成的主要资源损害，能够及时发现、监测攻击行为和处置平安事件,在自身遭 到损害后,能够较快恢复绝大局部功能,这是属于等保第四级平安保护能力（）A、正确B、错误答案：B.国家网信部门会同国务院有关部门制定' 公布网络关键设备和网络平安专用 产品目录，并推动平安认证和平安检测结果互认，防止重复认证、检测。（） As正确B、错误答案：A48 .各单位应根据“职责不相容”原那么设置独立的平安审计员,平安审计员应每月开展日常审计。（）As正确B、错误答案：A.数据内部共享包括部门间共享和单位间共享。（）A、正确B、错误答案：A.根据陕西移动对外网站平安管理方法，在网站规划设计阶段，各单位应结合网站信息平安需求,落实必要的平安防护和技术保障措施。（）A、正确B、错误答案：A49 .每年的4月15日为全民国家平安教育日。（）A、正确B、错误答案：A50 .构成风险的关键因素有资产、威胁与弱点。（）As正确B、错误D、80答案：B.互联网公司和机构征集用户数据、使用用户数据必须经过用户的授权和认可， 也就是说用户应当具有()，有权要求删除。A、名誉权和人身权B、求偿权和姓名权C、知情权和选择权D、隐私权和肖像权答案：C.某网络平安公司基于网络的实时入侵检测技术,动态监测来自于外部网络和 内部网络的所有访问行为。当检测到来自内外网络针对或通过防火墙的攻击行为, 会及时响应,并通知防火墙实时阻断攻击源,从而进一步提高了系统的抗攻击能 力,更有效地保护了网络资源,提高了防御体系级别，但入侵检测技术不能实现以 下哪种功能0。A、检测并分析用户和系统的活动B、核查系统的配置漏洞,评估系统关键资源和数据文件的完整性C、防止IP地址欺骗D、识别违反平安策略的用户活动答案：C.我国标准信息系统灾难恢复规范(GB/T20988-2007)指出，依据具备的灾难 恢复资源程度的不同，灾难恢复能力可分为6个等级。其中,要求“数据零丧失和 远程集群支持”的能力等级是()。答案：A.造成计算机不能正常工作的原因假设不是硬件故障,就是计算机病毒（）。A、正确B、错误答案:B.运营者在关键信息基础设施发生重大网络平安事件或者发现重大网络平安威 胁时未按照有关规定向保护工作部门、公安机关报告的，由保护工作部门' 公安 机关依据职责责令改正,给予警告;拒不改正或者导致危害网络平安等后果的,处 10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以 下罚款。（）A、正确B、错误答案：A.帐号的权限分配应当遵循“权限明确、职责融合、最小特权”的原那么。（）A、正确B、错误答案：B.因维护国家平安和社会公共秩序,处置重大突发社会平安事件的需要,经国务 院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。（）A、正确B、错误答案:A.对于架设中国大陆地区的网站,只有通过工信部备案才可以正常开通。（）A、正确B、错误答案：A.根据陕西移动三同步平安管理方法，系统规划、建设及运行平安管理是指 在工程立项、建设、验收以及系统运行直至退网的各个阶段中，根据国家及有限 公司相关平安管理和技术规范要求，结合系统实际面临的平安风险以及陕西移动 自身业务管理和系统维护上的需要，同步落实相关平安防护措施,到达系统平安 防护的最正确效果。0A、正确B、错误答案：A.根据网络平安法的规定,群众传播媒介应当有针对性地面向社会进行网络 平安宣传教育。（）A、正确B、错误答案：A.根据中国移动陕西公司党委网络平安工作责任制实施细那么，各单位的门户 网站、网厅或者重点业务网站受到攻击后没有及时组织处置,且瘫痪6小时以上 的,应进行问责。（）As正确B、错误答案：A.个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的'期 限' 处理方式、个人信息的种类、保护措施以及双方的权利和义务等，但无权对 受托人的个人信息处理活动进行监督。（）A、正确B、错误答案：B.错SS跨站脚本漏洞主要影响的是客户端浏览用户（）A、正确B、错误答案：A.任何组织或者个人设立的网络产品平安漏洞收集平台,应当向工业和信息化 部备案。（）A、正确B、错误答案：A.对于一些信息平安隐患,如果还没造成损失,就没必要进行报告。（）A、正确B、错误答案：B. SYNFI ood 就是一种 DOS 攻击（）。B、错误答案：AA、第0级B、第1级C、第3级D、第6级答案:D.某单位计划在今年开发一套办公自动化(0A)系统，将集团公司各地的机构通 过互联网进行协同办公。在0A系统的设计方案评审会上,提出了不少平安开发的 建议，作为平安专家,请指出大家提的建议中不太合适的一条？()A、对软件开发商提出平安相关要求,确保软件开发商对平安足够的重视，投入资 源解决软件平安问题B、要求软件开发人员进行平安开发培训I,使开发人员掌握基本软件平安开发知识 C、要求软件开发商使用Java而不是ASP作为开发语言,防止产生SQL注入漏洞 D、要求软件开发商对软件进行模块化设计，各模块明确输入和输出数据格式，并 在使用前对输入数据进行校验 答案：C37 .使网络服务器中充满着大量要求回复的信息,消耗带宽,导致网络或系统停止 正常服务,这属于什么攻击类型？ 0A、拒绝服务B、文件共享C、BIND漏洞D、远程过程调用 答案：A.某银行网上交易系统开发工程在设计阶段分析系统运行过程中可能存在的攻 击,请问以下拟采取的平安措施中，哪一项不能降低该系统的受攻击面：（）A、远程用户访问需进行身份认证B、远程用户访问时具有管理员权限C、关闭服务器端不必要的系统服务D、当用户访问其账户信息时使用严格的身份认证机制答案：B.国家机关或者金融、电信、交通' 教育' 医疗等单位的工作人员，违反国家规 定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非 法提供给他人，情节严重的，处（）以下有期徒刑或者拘役,并处或者单处分金。A、一年B、二年C、三年D、五年答案：C. HTTPS是一种平安的HTTP协议，它使用（）来保证信息平安。Ax IPSecB、SSLC、SETD、SSH 答案：B38 .网络产品、服务的提供者不得设置()，发现其网络产品' 服务存在平安缺陷' 漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部 门报告。A、恶意程序B、风险程序C、病毒程序D、攻击程序答案：A. Telnet服务自身的主要缺陷是0。A、不用用户名和密码B、服务端口 23不能被关闭C、明文传输用户名和密码D、支持远程登录答案：C.在公共场所安装图像采集、个人身份识别设备,应当为维护公共平安所必需, 遵守国家有关规定，并设置显著的提示标识。所提供的个人图像' 身份识别信息 只能用于()的目的，不得用于其他目的；取得个人单独同意的除外。A、改进服务B、数据开放共享C、维护公共平安D、信息推送' 商业营销答案：C.根据关于开展信息平安风险评估工作的意见的规定，错误的选项是：（）A、信息平安风险评估分自评估、检查评估两形式。应以检查评估为主，自评估和 检查评估相互结合、互为补充B、信息平安风险评估工作要按照“严密组织、规范操作' 讲求科学、注重实效” 的原那么开展C、信息平安风险评估应贯穿于网络和信息系统建设运行的全过程D、开展信息平安风险评估工作应加强信息平安风险评估工作的组织领导答案：A.当你感觉到你的Windows操作系统运行速度明显减慢，当你翻开任务管理器 后发现CPU的使用率到达了百分之百，你最有可能认为你受到了 （）攻击。A、特洛伊木马B、拒绝服务C、欺骗D、中间人攻击答案：B.关键信息基础设施平安保护条例已经2021年4月27日国务院第133次 常务会议通过,现予公布，自（）起施行。A、2021年9月1日B、2021年11月1日C、2022年1月1日D、2022年2月1日答案:B.信息平安工程作为信息平安保障的重要组成局部,主要是为了解决：()A、信息系统的技术架构平安问题B、信息系统组成局部的组件平安问题C、信息系统生命周期的过程平安问题D、信息系统运行维护的平安管理问题答案：C.以下对windows账号的描述,正确的选项是()。A、windows系统是采用SID(平安标识符)来标识用户对文件或文件夹的权限B、windows系统是采用用户名来标识用户对文件或文件夹的权限C、windows系统默认会生成administration和guest两个账号，两个账号都不 允许改名和删除D、windows系统默认生成administration和guest两个账号，两个账号都可以 改名和删除答案：D.由于频繁出现软件运行时被黑客远程攻击获取数据的现象,某软件公司装备 加强软件平安开发管理,在下面做法中，对于解决问题没有直接帮助的是()。A、要求开发人员采用敏捷开发模型进行开发B、要求所有的开发人员参加软件平安意识培训C、要求规范软件编码,并制定公司的平安编码准那么D、要求增加软件平安测试环节,尽早发现软件平安问题答案：A. Oracle、MSSQL、MySQL三种数据库，最高权限的用户分别是()。A、 SYS、 Rootv SARoot SA、 SYSB、 dbsnmpx SA、 RootSYS、 SA、 Root答案:D. 2003年以来,我国高度重视信息平安保障工作,先后制定并发布了多个文件， 从政策层面为开展并推进信息平安保障工作进行了规划。下面选项中哪个不是我 国发布的文件（）。A、国家信息化领导小组关于加强信息平安保障工作的意见（中办发200327号）B、国家网络平安综合计划（CNCI）（国令200854号）C、国家信息平安战略报告（国信20052号）D、关于大力推进信息化开展和切实保障信息平安的假设干意见（国发201223号）答案：B. 16.数据链路层负责监督相邻网络节点的信息流动,用检错或纠错技术来确保 正确的传输,确保解决该层的流量控制问题。数据链路层的数据单元是（）。A、报文B、比特流C、帧D、包答案:C.网络关键设备和网络平安专用产品应当按照相关国家标准的强制性要求，由 具备资格的机构()或者平安检测符合要求后,方可销售或者提供。A、认证设备合格B、平安认证合格C、认证网速合格D、认证产品合格答案：B.()是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统 的平安脆弱性进行检测,发现可利用的漏洞的一种平安检测行为。A、漏洞扫描B、渗透测试C、代码审计D、配置核查答案：A.国家建立和完善网络平安标准体系。()和国务院其他有关部门根据各自的职 责,组织制定并适时修订有关网络平安管理以及网络产品' 服务和运行平安的国 家标准、行业标准。A、国务院电信主管部门B、国务院标准化行政主管部门C、网信部门D、公安部门答案:B.在工程实施阶段，监管机构承建合同，平安设计方案、实施方案' 实施记录，国 家地方标准和技术文件,对信息化工程进行平安()检查，以验证工程是否实现了 工程设计目标和平安等要求。A、功能性B、可用性C、保障性D、符合性答案：D.网络平安等级保护要求中，描述符合第三级要求的是()。A、等级保护对象受到破坏后，会对公民' 法人和其他组织的合法权益造成损害， 但不损害国家平安' 社会秩序和公共利益B、等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损 害,或者对社会秩序和公共利益造成损害，但不损害国家平安C、等级保护对象受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国 家平安造成损害D、等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者 对国家平安造成严重损害答案：C.以下关于“最小特权”平安管理原那么理解正确的选项是0。A、组织机构内的敏感岗位不能由一个人长期负责B、对重要的工作进行分解,分配给不同人员完成C、一个人有且仅有其执行岗位所足够的许可和权限.防火墙中地址转换的主要作用是()。A、提供代理服务B、隐藏内部网络地址C、进行入侵检测D、防止病毒入侵答案：B. PKI的全称是()。A、Pr i vateKeyIntrus i onB、Pub I i cKeyIntrus i onC、Pr i vateKeyInfrastructureD、Pub I i cKeyInfrastructure答案：D.关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签 订()，明确平安和保密义务与责任。A、保密合同B、平安服务合同C、平安保密协议D、平安责任条款答案：C.小牛在对某公司的信息系统进行风险评估后,因考虑到该业务系统中局部涉 及金融交易的功能模块风险太高，他建议该公司以放弃这个功能模块的方式来处 理该风险。请问这种风险处置的方法是()。A、降低风险B、规避风险C、转移风险D、接受风险答案:B.通常在设计VLAN时,以下哪一项不是VLAN的规划的方法？()A、基于交换机端口B、基于网络层协议C、基于MAC地址D、基于数字证书答案：D. PDRR模型是指对信息的()模型。A、保护' 检;那么' 反响和跟踪B、规划、检测、响应和恢复C、规划、检测、响应和跟踪D、保护' 检测、反响和恢复答案：D.网络平安事件应急预案应当按照事件发生后的()等因素对网络平安事件进行 分级。A、关注程度、危害程度B、危害程度、影响范围C、影响范围' 影响层面D、关注程度、影响层面 答案：B57 .当用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于 何种攻击手段？()A、缓存溢出攻击B、钓鱼攻击C、暗门攻击D、DDOS攻击答案：B58 .下面关于软件测试的说法错误的选项是()。A、所谓“黑盒”测试就是测试过程不测试报告中的进行描述，切对外严格保密B、出于平安考虑,在测试过程中尽量不要使用真实的生产数据C、测试方案和测试结果应当成为软件开发工程文档的主要局部被妥善的保存D、软件测试不仅应关注需要的功能是否可以被实现,还要注意是否有不需要的功 能被实现了答案：A.根据陕西移动数据分类分级及重要数据平安管理规范，禁止第()级数据对 外共享。A、1B、2C、3D、4答案：D.以下哪一个选项不是错SS跨站脚本漏洞危害()A、钓鱼欺骗B、身份盗用C、SQL数据泄露D、网站挂马答案：C.在风险处置过程中，应当考虑的风险处置措施,通常在哪种情况下采用？()A、负面影响损失小于平安投入B、负面影响损失和平安投入持平C、负面影响损失和平安投入都很小D、平安投入小于负面影响损失答案：D.某单位需要开发一个网站,为了确保开发出平安的软件，软件开发商进行了 0A系统的威胁建模,根据威胁建模,SQL注入是网站系统面临的攻击威胁之一,根 据威胁建模的消减威胁的做法，以下哪个属于修改设计消除威胁的做法：()A、在编码阶段程序员进行培训I,防止程序员写出存在漏洞的代码B、对代码进行严格检查,防止存在SQL注入漏洞的脚本被发布C、使用静态发布,所有面向用户发布的数据都使用静态页面D、在网站中部署防SQL注入脚本,对所有用户提交数据进行过滤答案：D59 .()保证数据的机密性。A、数字签名B、消息认证C、单项函数D、加密算法答案:D.国家倡导老实守信' 健康文明的网络行为，推动传播社会主义核心价值观,采 取措施提高全社会的()和水平，形成全社会共同参与促进网络平安的良好环境。 A、网络平安意识B、网络诚信意识C、网络社会道德意识D、网络健康意识答案：A60 .某网站为了更好向用户提供服务,在新版本设计时提供了用户快捷登录功能， 用户如果使用上次的IP地址进行访问,就可以无需验证直接登录,该功能推出后, 导致大量用户账号被盗用，关于以上问题的说法正确的选项是：0A、网站问题是由于开发人员不熟悉平安编码,编写了不平安的代码,导致攻击面 增大,产生此平安问题B、网站问题是由于用户缺乏平安意识导致，使用了不平安的功能,导致网站攻击 面增大,产生此问题C、网站问题是由于使用便利性提高,带来网站用户数增加,导致网站攻击面增大， 产生此平安问题D、网站问题是设计人员不了解平安设计关键要素,设计了不平安的功能,导致网 站攻击面增大,产生此问题答案：D61 .以下工作哪个不是计算机取证准备阶段的工作0。A、获得授权B、准备工具C、介质准备D、保护数据答案：D.随着信息技术的不断开展，信息系统的重要性也越来越突出，而与此同时,发 生的信息平安事件也越来越多,综合分析信息平安问题产生的根源,下面描述正 确的是()。A、信息系统自身存在脆弱性是根本原因,信息系统越来越重要，同时自身在开发、 部署和使用过程中存在的脆弱性,导致了诸多的信息平安事件发生，因此,杜绝脆 弱性的存在是解决信息平安问题的根本所在B、信息系统面临诸多黑客的威胁,包括恶意攻击者和恶作剧攻击者。信息系统应 用越来越广泛,接触信息系统的人越多,信息系统越可能遭受攻击。因此,防止有 恶意攻击可能的人接触信息系统