1、- 25 - 中电运行技术研究院认证模拟试题考过的题:188192193194195203215216223230238、2411信息安全保障要素不包括以下哪一项?A技术B工程C组织D管理2以下对信息安全问题产生的根源描述最准确的是: A信息安全问题是由于信息技术的不断发展造成的 B信息安全问题是由于黑客组织和犯罪集团追求名和利造成的C信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的 D信息安全问题产生的内因是信息系统的复杂性,外因是对手的威胁与破坏3完整性机制可以防范以下哪种攻击? A假冒源地址或用户的地址的欺骗攻击 B抵赖做过信息的递交行为C数据传输中被窃听获取D数据传输中被篡改或
2、破坏4PPDR 模型不包括:A策略B检测C响应D加密5关于信息安全策略的说法中,下面说法正确的是:A信息安全策略的制定是以信息系统的规模为基础B信息安全策略的制定是以信息系统的网络拓扑结构为基础 C信息安全策略是以信息系统风险管理为基础 D在信息系统尚未建设完成之前,无法确定信息安全策略6“进不来”“拿不走”“看不懂”“改不了”“走不脱”是网络信息安全建设的目的。其中,“看不懂”是 指下面哪种安全服务:A数据加密B身份认证C数据完整性D访问控制7下面对 ISO27001 的说法最准确的是:A该标准的题目是信息安全管理体系实施指南 B该标准为度量信息安全管理体系的开发和实施过程提供的一套标准C该
3、标准提供了一组信息安全管理相关的控制措施和最佳实践D该标准为建立、实施、运行、监控、审核、维护和改进信息安全管理体系提供了一个模型8拒绝服务攻击损害了信息系统的哪一项性能?A完整性B可用性C保密性D可靠性9根据信息系统安全等级保护定级指南,信息系统的安全保护等级由哪两个定级要素决定?A威胁、脆弱性 B系统价值、风险 C信息安全、系统服务安全 D受侵害的客体、对客体造成侵害的程度业务10IAFE 深度防御战略的三个层面不包括:A人员B法律C技术D运行11“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:A“普密”、“商密”两个级别 B“低级”和“高级”两个级别
4、 C“绝密”、“机密”、“秘密”三个级别 D“一密”、“二密”、“三密”、“四密”四个级别12触犯新刑法 285 条规定的非法侵入计算机系统罪可判处 A三年以下有期徒刑或拘役 B1000 元罚款C三年以上五年以下有期徒刑 D10000 元罚款13以下关于我国信息安全政策和法律法规的说法错误的是:A中办发【2003】27 号文提出“加快信息安全人员培养,增强全民信息安全意识” B2008 年 4 月国务院办公厅发布了关于加强政府信息系统安全和保密管理工作的通知C2007 年我国四部委联合发布了信息安全等级保护管理办法D2006 年 5 月全国人大常委会审议通过了中国人民共和国信息安全法14目前,
5、我国信息安全管理格局是一个多方“齐抓共管”的体制,多头管理现状决定法出多门,计算 机信息系统国际联网保密管理规定是由下列哪个部门所制定的规章制度?A公安部B国家保密局 C信息产业部D国家密码管理委员会办公室15VPN 系统主要用来 A进行用户身份的鉴别B进行用户行为的审计 C建立安全的网络通信 D对网络边界进行访问控制16VPN 技术无法实现以下哪个服务?A身份验证B传输加密C完整性校验D可用性校验17组成 IPSec 的主要安全协议不包括以下哪一项?AESPBDSSCIKEDAH18SSL 协议比 IPSEC 协议的优势在于:A实现简单、易于配置 B能有效的工作在网络层 C能支撑更多的应用层
6、协议 D能实现更高强度的加密19下面对于“电子邮件炸弹”的解释最准确的是:A邮件正文中包含的恶意网站链接B邮件附件中具有破坏性的病毒C社会工程的一种方式,具有恐吓内容的邮件D在短时间内发送大量邮件的软件,可以造成目标邮箱爆满20电子邮件客户端通常需要用 协议来发送邮件。A仅 SMTPB仅 POPCSMTP 和 POPD以上都不正确21在应用层协议中, 可使用传输层的 TCP 协议,又可用 UDP 协议。ASNMP BDNS CHTTPDFTP22以下哪一项是伪装成有用程序的恶意软件?A计算机病毒B特洛伊木马C逻辑炸弹D蠕虫程序23下列哪个是蠕虫的特征?A不感染、依附性 B不感染、独立性C可感染
7、、依附性 D可感染、独立性24杀毒软件报告发现病毒 MacorMelissa,由该病毒名称可以推断出病毒类型是 。A文件型 B引导型 C目录型 D宏病毒25所谓网络内的机器遵循同一“协议”就是指: A采用某一套通信规则或标准 B采用同一种操作系统C用同一种电缆互连D用同一种程序设计语言26ICMP 协议有多重控制报文,当网络出现拥塞时,路由器发出 报文。A路由重定向 B目标不可达 C源抑制 D子网掩码请求27 设备可以隔离ARP 广播帧A路由器 B网桥 C以太网交换机 D集线器28下面哪类设备常用于识系统中存在的脆弱性?A防火墙 BIDS C漏洞扫描器 DUTM29下列关于防火墙功能的说法最准
8、确的是:A访问控制 B内容控制 C数据加密 D查杀病毒30某种防火墙的缺点是没有办法从非常细微之处来分析数据包,但它的优点是非常快,这种防火墙是以下的哪一种? A电路级网关 B应用级网关 C会话层防火墙 D包过滤防火墙31在包过滤型防火墙中,定义数据包过滤规则的是:A路由表 BARP CNAT DACL32包过滤型防火墙对数据包的检查内容一般不包括 。A源地址 B目的地址 C协议 D有效载荷33NAT 技术不能实现以下哪个功能? A对应用层协议进行代理 B隐藏内部地址 C增加私有组织的地址空间D解决 IP 地址不足问题34某单位想用防火墙对 telnet 协议的命令进行限制,应选在什么类型的防
9、火墙?A包过滤技术 B应用代理技术 C状态检测技术 DNAT 技术35以下哪一项不是 IDS 可以解决的问题? A弥补网络协议的弱点 B识别和报告对数据文件的改动 C统计分析系统中异常活动的模式 D提升系统监控能力36从分析式上入侵检测技术可以分为: A基于标志检测技术、基于状态检测技术 B基于异常检测技术、基于流量检测技术 C基于误用检测技术、基于异常检测技术 D基于标志检测技术、基于误用检测技术37一台需要与互联网通信的 WEB 服务器放在以下哪个位置最安全?A在DMZ 区 B在内网中C和防火墙在同一台计算机上 D在互联网防火墙外38以下哪个入侵检测技术能检测到未知的攻击行为?A基于误用的
10、检测技术 B基于异常的检测技术 C基于日志分析的技术 D基于漏洞机理研究的技术39做渗透测试的第一步是: A信息收集 B漏洞分析与目标选定 C拒绝服务攻击 D尝试漏洞利用40监听网络流量获取密码,之后使用这个密码试图完成未经授权访问的攻击方式被称为:A穷举攻击B字典攻击C社会工程攻击D重放攻击41下面哪一项是社会工程?A缓冲器溢出 BSQL 注入攻击 C电话联系组织机构的接线员询问用户名和口令 D利用 PK/CA 构建可信网络42“TCPSYNFlooding”建立大量处于半连接状态的 TCP 连接,其攻击目标是网络的 。A保密性 B完整性 C真实性 D可用性43通过反复尝试向系统提交用户名和
11、密码以发现正确的用户密码的攻击方式称为:A账户信息收集 B密码分析 C密码嗅探 D密码暴力破解44下列保护系统账户安全的措施中,哪个措施对解决口令暴力破解无帮助?A设置系统的账户锁定策略,在用户登录输入错误次数达到一定数量时对账户进行锁定B更改系统内宣管理员的用户名 C给管理员账户一个安全的口令 D使用屏幕保护并设置返回时需要提供口令45关闭系统中不需要的服务主要目的是: A避免由于服务自身的不稳定影响系统的安全 B避免攻击者利用服务实现非法操作从而危害系统安全 C避免服务由于自动运行消耗大量系统资源从而影响效率D以上都是46某系统被攻击者入侵,初步怀疑为管理员存在弱口令,攻击者从远程终端以管
12、理员身 份登录进系统进行了相应的破坏,验证此事应查看:A系统日志 B应用程序日志 C安全日志 DIIS 日志47U 盘病毒的传播是借助 Windows 系统的什么功能实现的?A自动播放 B自动补丁更新 C服务自启动 D系统开发漏洞48保护数据安全包括保密性、完整性和可用性,对于数据的可用性解决方法最有效的是:A加密 B备份 C安全删除 D以上都是49在 Windows 系统中,管理权限最高的组是: AeveryoneBadministrators Cpowerusers Dusers50Windows 系统下,可通过运行 命令打开 Windows 管理控制台。Aregedit Bcmd Cmm
13、c Dmfc51在 Windows 文件系统中, 支持文件加密。AFAT16BNTFS CFAT32DEXT352在 window 系统中用于显示本机各网络端口详细情况的命令是:AnetshowBnetstat Cipconfig Dnetview53视窗操作系统(Windows)从哪个版本开始引入安全中心的概念?AWinNTSP6BWin2000SP4CWinXPSP2DWin2003SP154在 WindowsXP 中用事件查看器查看日志文件,可看到的日志包括? A用户访问日志、安全性日志、系统日志和 IE 日志 B应用程序日志、安全性日志、系统日志和 IE 日志 C网络攻击日志、安全性日
14、志、记账日志和 IE 日志 D网络链接日志、安全性日志、服务日志和 IE 日志55关于数据库注入攻击的说法错误的是: A它的主要原因是程序对用户的输入缺乏过滤 B一般情况下防火培对它无法防范 C对它进行防范时要关注操作系统的版本和安全补丁 D注入成功后可以获取部分权限56专门负责数据库管理和维护的计算机软件系统称为: ASQL-MSBINFERENCECONTROL CDBMSDTRIGGER-MS57下列哪一项与数据库的安全直接相关?A访问控制的粒度B数据库的大小C关系表中属性的数量D关系表中元组的数量58信息安全风险的三要素是指:A资产/威胁/脆弱性B资产/使命/威胁C使命/威胁/脆弱性D
15、威胁/脆弱性/使命59以下哪一项是已经被确认了的具有一定合理性的风险? A总风险B最小化风险 C可接受风险 D残余风险60统计数据指出,对大多数计算机系统来说,最大的威胁是: A本单位的雇员B黑客和商业间谍C未受培训的系统用户D技术产品和服务供应商61某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负有最终责任?A部门经理 B高级管理层 C信息资产所有者 D最终用户62风险评估方法的选定在 PDCA 循环中的哪个阶段完成?A实施和运行 B保持和改进 C建立 D监视和评审63下列安全协议中, 可用于安全电子邮件加密。APGP BSET CSSL DTLS64HTTPS 采用 协议
16、实现安全网站访问。ASSL BIPSec CPGP DSET65信息安全等级保护制度是国家保障和促进信息化建设健康发展的一项基本制度,信息系统安全保护等级分为: A3 级B4 级C5 级D6 级66以下关于最小特权安全管理原则理解正确的是: A组机构内的敏感岗位不能由一个人长期负责 B对重要的工作进行分解,分配给不同人员完成 C一个人有且仅有其执行岗位所足够的许可和权限 D防止员工由一个岗位变动到另一个岗位,累积越来越多的权限67 是目前国际通行的信息技术产品安全性评估标准?ATCSEC BITSEC CCC DIATF68下面哪个不是 ISO27000 系列包含的标准? A信息安全管理体系要
17、求 B信息安全风险管理C信息安全度量D信息安全评估规范69信息安全管理的根本方法是:A风险处置B应急响应C风险管理D风险评估70以下对信息安全管理体系说法不正确的是:A基于国际标准 ISO/IEC27000B它是综合信息安全管理和技术手段,保障组织信息安全的一种方法C它是管理体系家族的一个成员D基于国际标准 ISO/IEC2700171以下对 PDCA 循环解释不正确的是:AP(Process):处理BD(Do):实施CC(Check):检查DA(Action):行动72以下对 PDCA 循环特点描述不正确的是A按顺序进行,周而复始,不断循环B组织中的每个部分,甚至个人,均可以 PDCA 循环
18、,大环套小环,一层一层地解决问题C每通过一次 PDCA 循环,都要进行总结,提出新目标,再进行第二次 PDCA 循环D可以由任何一个阶段开始,周而复始,不断循环73风险是需要保护的()发生损失的可能性,它是()和()综合结果。A资产,攻击目标,威胁事件B设备,威胁,漏洞C资产,威胁,漏洞D以上都不对74风险管理中使用的控制措施,不包括以下哪种类型?A防性控制措施B管理性控制措施C检查性控制措施D纠正性控制措施75风险管理中的控制措施不包括以下哪一方面?A行政B道德C技术D管理76风险评估不包括以下哪个活动? A中断引入风险的活动B识别资产C识别威胁D分析风险77,在信息安全风险管理工作中,识别
19、风险时主要重点考虑的要素应包括: A资产及其价值、威胁、脆弱性、现有的和计划的控制措施B资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施C完整性、可用性、机密性、不可抵赖性D减低风险、转嫁风险、规避风险、接受风险78以下哪一项不是信息安全风险分析过程中所要完成的工作:A识别用户B识别脆弱性C评估资产价值D计算安全事件发生的可能性79机构应该把信息系统安全看作:A业务中心B风险中心C业务促进因素D业务抑制因素80应对信息安全风险的主要目标是什么? A消除可能会影响公司的每一种威胁B管理风险,以使由风险产生的问题降至最低限度C尽量多实施安全措施以消除资产暴露在其下的每一种风险D尽量忽略风险
20、,不使成本过高81以下关于 ISO/lEC27001 所应用的过程方法主要特点说法错误的是:A理解组织的信息安全要求和建立信息安全方针与目标的需要B从组织整体业务风险的角度管理组织的信息安全风险C监视和评审 ISMS 的执行情况和有效性D基于主观测量的持续改进82在检查岗位职责时什么是最重要的评估标准?A工作职能中所有要傲的工作和需要的培训都有详细的定义B职责清晰,每个人都清楚自己在组织中的角色C强制休假和岗位轮换被执行D绩效得到监控和提升是基于清晰定义的目标83在信息安全管理中进行 ,可以有效解决人员安全意识薄弱问题。A内容监控B安全教育和培训(贯穿)C责任追查和惩处D访问控制84以下哪一项
21、最能体现 27002 管理控制措施中预防控制措施的目的?A减少威胁的可能性B保护企业的弱点区域C减少灾难发生的可能性D防御风险的发生并降低其影响85关于外包的论述不正确的是:A企业经营管理中的诸多操作或服务都可以外包B通过业务外包,企业也把相应的风险承担者转移给了外包商,企业从此不必对外包业务负任何直接或 间接的责任C虽然业务可以外包,但是对于外包业务的可能的不良后果,企业仍然承担责任D过多的外包业务可能产生额外的操作风险或其他隐患86信息化建设和信息安全建设的关系应当是:A信息化建设的结束就是信息安全建设的开始B信息化建设和信息安全建设应同步规划、同步实施C信息化建设和信息安全建设是交替进行
22、的,无法区分谁先谁后D以上说法都正确87关于 SSE-CMM 的描述错误的是:A1993 年 4 月美国国家安全局资助,有安全工业界、美国国防部办公室和加拿大通信安全机构共同组成SSE-CMM 项目组BSSE-CMM 的能力级别分为 6 个级别CSSE-CMM 将安全工程过程划分为三类:风险、工程和保证DSSE 的最高能力级别是量化控制88以下对 SSE-CMM 描述正确的是:A它是指信息安全工程能力成熟模型B它是指系统安全工程能力成熟模型C它是指系统安全技术能力成熟模型D它是指信息安全技术能力成熟模型89根据 SSE-CMM 信息安全工程过程可以划分为三个阶段,其中 确立安全解决方案的置信度
23、并且 把这样的置信度传递给顾客。A保证过程B风险过程C工程和保证过程D安全工程过程90下面对于 SSE-CMM 保证过程的说法错误的是:A保证是指安全需求得到满足的可信任程度B信任程度来自于对安全工程过程结果质量的判断C自验证与证实安全的主要手段包括观察、论证、分析和测试DPA“建立保证论据”为 PA“验证与证实安全”提供了证据支持91下面哪一项为系统安全工程能力成熟度模型提供评估方法:AISSEBSSAMCSSRDCEM92在 SSE-CMM 中对工程过程能力的评价分为三个层次,由宏观到微观依次是:A能力级别-公共特征(CF)-通用实践(GP)B能力级别-通用实践-(GP)-公共特征(CF)
24、C通用实践-(GP)-能力级别-公共特征(CF)D公共特征(CF)-能力级别-通用实践-(CP)93一个组织的系统安全能力成熟度达到哪个级别以后,就可以对组织层面的过程进行规范的定义?A2 级计划和跟踪B3 级充分定义C4 级量化控制D5 级持续改进94根据 SSE-CMM,安全工程过程能力由低到高划分为:A未实施、基本实施、计划跟踪、充分定义、量化控制和持续改进等 6 个级别B基本实施、计划跟踪、充分定义、量化控制和持续改进等 5 个级别C基本实施、计划跟踪、量化控制、充分定义和持续改进等 5 个级别D未实施、基本实施、计划跟踪、充分定义 4 个级别95下列哪项不是 SSE-CMM 模型中工
25、程过程的过程区域?A明确安全需求B评估影响C提供安全输入D协调安全96SSE-CMM 工程过程区域中的风险过程包含哪些过程区域:A评估威胁、评估脆弱性、评估影响B评估威胁、评估脆弱性、评估安全风险C评估威胁、评估脆弱性、评估影响、评估安全风险D评估威胁、评估脆弱性、评估影响、验证和证实安全97系统安全工程不包含以下哪个过程类:A工程过程类B组织过程类C管理过程类D项目过程类98ISSE(信息系统安全工程)是美国发布的 IATF30 版本中提出的设计和实施信息系统 。A安全工程方法B安全工程框架C安全工程体系结构D安全工程标准99IT 工程建设与 IT 安全工程建设脱节是众多安全风险涌现的根源,
26、同时安全风险也越来越多地体现在应 用层,因此迫切需要加强对开发阶段的安全考虑,特别是要加强对数据安全性的考虑,以下哪项工作是在 IT 项目的开发阶段不需要重点考虑的安全因素:A操作系统的安全加固B输入数据的校验C数据处理过程控制D输出数据的验证100触犯新刑法 285 条规定的非法入侵计算机系统罪可判处 。A假冒源地址或用户的地址的欺骗攻击B抵赖做过信息的递交行为C数据传输中被窃听获取D数据传输中被篡改或破坏101以下关于信息安全保障说法中哪一项不正确?A信息安全保障是为了支撑业务高效稳定的运行B以安全促发展,在发展中求安全C信息安全保障不是持续性开展的活动D信息安全保障的实现,需要将信息安全
27、技术与管理相结合102信息安全保障是一种立体保障,在运行时的安全工作不包括:A安全评估B产品选购C备份与灾难恢复D监控103以下对信息安全风险管理理解最准确的说法是:A了解风险B转移风险C了解风险并控制风险D了解风险并转移风险104以下关于 ISO/IEC27001 标准说法不正确的是:A本标准可被内部和外部相关方用于一致性评估,审核的重点就是组织信息安全的现状,对部署的信息 安全控制是好的还是坏的做出评判。B本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的 ISMS。C目前国际标准化组织推出的四个管理体系标准:质量管理体系、职业健康安全管理体系、环境管理体 系、信息
28、安全管理体系、都采用了相同的方法,即 PDCA 模型。D本标准注重监视和评审,因为监视和评审时持续改进的基础。如果缺乏对执行情况和有效性的测量, 改进就成了“无的放矢”。105下列哪些描述同 SSL 相关?A公钥使用户可以交换会话密钥、解密会话密钥并验证数字签名的真实性B公钥使用户可以交换会话密钥、验证数字签名的真实性以及加密数据C私钥使用户可以创建数字签名、验证数字签名的真实性并交换会话密钥D私钥使用户可以创建数字签名、加密数据和解密会话密钥106Windows 操作系统的注册表运行命令是:ARegsvr32BRegeditCRegeditmscDRegeditmmc107在 linux 系
29、统中拥有最高级别权限的用户是:ArootBadministratorCmailDnobody108下列哪个是蠕虫的特性?A不感染、依附性B不感染、独立性C可感染、依附性D可感染、独立性109下列哪种恶意代码不具备“不感染、依附性”的特点?A后门B陷门C木马D蠕虫110路由器在两个网段之间转发数据包时,读取其中的()地址来确定下一跳的转发路径。AIPBMACC源DARP111某单位通过防火墙进行互联网接入,外网口地址为 20210111,内网口地址为 19216811, 这种情况下防火墙工作模式为:A透明模式B路由模式C代理模式D以上都不对112以下哪个是防火墙可以实现的效果?A有效解决对合法服
30、务的攻击B有效解决来自内部的攻击行为C有效解决来自互联网对内网的攻击行为D有效解决针对应用层的攻击113某单位采购主机入侵检测,用户提出了相关的要求,其中哪条是主机入侵检测无法实现的?A精确地判断攻击行为是否成功B监控主机上特定用户活动、系统运行情况C监测到针对其他服务器的攻击行为D监测主机上的日志信息114某单位采购主机入侵检测,用户提出了相关的要求,其中哪条要求是错误的?A实时分析网络数据,检测网络系统的非法行为B不占用其他计算机系统的任何资源C不会增加网络中主机的负担D可以检测加密通道中传输的数据115某单位将对外提供服务的服务器部署在防火墙DMZ 区,为了检测到该区域中的服务器受到的攻
31、击行为,应将防火墙探头接口镜像那个位置的流量?A内网核心交换机B防火墙互联网接口C防火墙DMZ 区接口D以上都可以116按照 SSE-CMM,能力级别第三级是指:A定量控制B计划和跟踪C持续改进D充分定义117下列哪项不是 SSE-CMM 中规定的系统安全工程过程类:A工程B组织C项目D资产118信息系统安全工程(ISSE)的一个重要目标就是在 IT 项目的各个阶段充分考虑安全因素,在 IT 项目 的立项阶段,以下哪一项不是必须进行的工作:A明确业务对信息安全的要求B识别来自法律法规的安全要求C论证安全要求是否正确完整D通过测试证明系统的功能和性能可以满足安全要求119以下哪项是对系统工程过程
32、中“概念与需求定义”阶段的信息安全工作的正确描述?A应基于法律法规和用户需求,进行需求分析和风险评估,从信息系统建设的开始就综合信息系统安全保障的考虑B应充分调研信息安全技术发展情况和信息安全产品市场,选择最先进的安全解决方案和技术产品C应在将信息安全作为实施和开发人员的一项重要工作内容,提出安全开发的规范并切实落实D应详细规定系统验收测试中有关系统安全性测试的内容120在 IT 项目管理中为了保证系统的安全性,应当充分考虑对数据的正确处理,以下哪一项不是对数据 输入进行校验可以实现的安全目标:A防止出现数据范围以外的值B防止出现错误的数据处理顺序C防止缓冲区溢出攻击D防止代码注入攻击121现
33、阶段,信息安全发展处于哪一个阶段?A通信安全B计算机发展阶段C信息安全D信息安全保障122下面哪一项组成了CIA 三元组?A保密性,完整性,保障B保密性,完整性,可用性C保密性,综合性,保障D保密性,综合性,可用性123涉及国家秘密的计算机系统,不得直接或间接地与国际互联网或其它公共信息网络相连接,必须进 行:A 物理隔离B 逻辑隔离C 人员隔离D 设备隔离124以下关于国家秘密和商业秘密的说法不正确的是:A两者法律性质不同。国家秘密体现公权利,其权利主体是国家,而商业秘密体现私权利,其权利主体 是技术、经营信息的发明人或其他合法所有人、使用人:B两者确定程序不同。国家秘密必须依照法定程序确定
34、,而商业秘密的确定视权利人的意志而定。C国家秘密不能自由转让,而商业秘密则可以进入市场自由转让。D国家秘密与商业秘密在任何条件下不可以相互转化。125加密与解密便用相同的密钥,这种加密算法是A对称加密算法B非对称加密算法C散列算法DRSA126对 VPN 技术的主要作用描述最准确的是:A利用 VPN 设备建设自有传输网络,与其他网络物理隔离,实现安全的通信。B通讨对传输数据进行完整性校验,确保所有传输的数据不会受到破坏。C在共享的互联网上模拟“专用”广域网,最终以极低的费用为远程用户停工能和专用网络相媲美的保 密通信服务。D利用 VPN 实现对所有接入用户的身份进行验证,有效的避免了非法接入。
35、127在 IPSEC 协议族中,以下哪个协议必须提供验证服务?AANBESPCGRED以上都是128下列哪些协议的数据可以受到 IPSEC 的保护?ATCP,UDP,IPBARPC_RARPD以上都可以129下列隧道协议中工作在网络层的是:ASSIBL2TP CIPSecDPPTP130下列关于防火墙的主要功能包括:A访问控制B内容控制C数据加密D查杀病毒131依据数据包的基本标记来控制数据包的防火墙技术是A包过滤技术B应用代理技术C状态检侧技术D有效载荷132分组过滤型防火墙通常基于以下哪个层次进行工作?A物理层B数据链路层C网络层D应用层133操作系统安全的基础是建立在:A安全安装B安全配
36、置C安全管理D以上都对134下面哪一项通常用于加密电子邮件消息?AS/MIMEBBINDCDESDSSL135下列哪一项可以用于查看网络流量并确定网络上所运行的服务?ASnifferBIDSC防火墙D路由器136在 windows 操作系统中,欲限制用户无效登录的次数,应当在怎么做?A在“本地安全设置”中对“密码策略”进行设置B在“本地安全设置”中对“账户锁定策略”进行设置C在“本地安全设置”中对“审核策略”进行设置D在“本地安全设置”中对“用户权利指派,进行设置137在电子邮件地址Backepitarcnasagov 中,域名部分是:Abacke,Bpitarcnasagov,Cbackep
37、itarcnasagov,D(A)和(B)138 下列哪个是病毒的特性?A 不感染、依附性B不感染、独立性C可感染、依附性D可感染、独立性139病毒通过网页进行传播的原因在于:A浏览器缺乏足够的安全设置或存在安全漏洞B网页病毒在远端服务器上,本地杀毒软件无法查杀C病毒隐藏在网页正常的内容中,可以躲过防病毒网关的拦截D以上都是140切断病毒传播途径是抑制病毒传播的主要思路,以下哪个技术能有效的解决基于系统漏洞进行传播 的病毒:A安装系统补丁B使用安全的浏览器C使用安全的口令D以上都是141.黑客进行攻击的最后一个步骤是:A 侦查与信息收集B漏洞分析与目标选定C 获取系统权限D打扫战场、清除证据1
38、42通常在网站数据库中,用户信息中的密码一项,是以哪种形式存在?A明文形式存在B 服务器加密后的密文形式存在Chash 运算后的消息摘要值存在D用户自己加密后的密文形式存在143通过网页上的钓鱼攻击来获取密码的方式,实质上是一种:A社会工程学攻击B密码分析学C旁路攻击D暴力破解攻击143以下对于拒绝服务攻击描述错误的是:A通过盗取管理员账号使得管理员无法正常登录服务器B通过发送大量数据包导致目标网络带宽拥塞,正常请求无法通过C通过发送大量连接请求导致操作系统或应用的资源耗尽,无法响应用户的正常请求D通过发送错误的协议数据包引发系统处理错误导致系统崩溃144以下哪个不是导致ARP 欺骗的根源之一
39、?AARP 协议是一个无状态的协议B为提高效率,ARP 信息在系统中会缓存C. ARP 缓存是动态的,可被改写DARP 协议是用于寻址的一个重要协议145网络工具 nessus 是:AIP 探测工具B木马程序C扫描工具D邮件炸弹工具146 默认情况下,IE 浏览器把互联网的网站归属于:AInternetB 本地 IntranetC受信任的站点D受限制的站点147以下哪一项是应对阻止缓冲区溢出的有效方法?A关闭操作系统特殊程序B检查缓冲区是否足够大C拔掉网线D在往缓冲区中填充数据时必须进行边界检查148哪个 TCP/IP 指令会得出下面结果?Interface:199I0230152Intern
40、etAddressPhysicalAddress lype19910230152 AO-ee-00-56-Oe-acdynamicAARPBNetstatCTracertDNbtstat150以下哪一项不是信息安全风险昔理工作的内容?A建立背景B风险评估C风险处理D应急响应151以下哪一项是信息安全风险管理四个阶段均贯穿的过程?A监控审查和沟通咨询B监控审查和风险评估C风险评估和沟通咨询D风险评估和监控审查152ISO27002 的内容结构按照一进行组织。A管理制度B管理原则C管理框架D管理类控制目标控制措施153以下哪一项是信息安全建设必须遵循的基本原则:A 同步规划、同步实施B先建设、后安
41、全C先发展、后安全D先业务,后安全154下列哪项不是信息系统安全工程能力成熟度模型(SSE-CMM)的主要过程:A风险过程B保证过程C工程过程D评估过程155某商业公司的网站发生黑客非法入侵和攻击事件后,应及时向哪一个部门报案?A肥安部公共德患网络安全监察局及其各地相应部门B 国家计算机网络与信息安全管理中心C互联网安全协会156关于信息安全保障,下列说法正确的是:A、信息安全保障是一个客观到主观的过程,即通过采取技术、管理、工程等手段,对信息资源的保密性、 完整性、可用性提供保护,从而给信息系统所有者以信心B、信息安全保障的需求是由信息安全策略所决定的,是自上而下的一个过程,在这个过程中,决策者的 能力和决心非常重要C、信息系统安全并不追求万无一失,而是要根据资金预算,做到量力而行D、以上说法都正确157.人
