電信競賽培訓(xùn)整理題（400道）下面對電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系描述不正確的是（ABC）。A、指對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)分等級實施安全保護(hù)B、人為或自然的威脅可能利用電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響C、利用有線和，或無線的電磁、光電系統(tǒng)，進(jìn)行文字、聲音、數(shù)據(jù)、圖像或其他任何媒體的信息傳遞的網(wǎng)絡(luò)，包括固定通信網(wǎng)、移動通信網(wǎng)等D、電信網(wǎng)和互聯(lián)網(wǎng)的安全等級保護(hù)、安全風(fēng)險評估、災(zāi)難備份及恢復(fù)三項工作互為依托、互為補充、相互配合．共同構(gòu)成了電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系。關(guān)于信息產(chǎn)業(yè)部電信管理局《關(guān)于電信網(wǎng)絡(luò)等級保護(hù)工作有關(guān)問題的通知》（信電函[2006]35號）的目的，以下說法最準(zhǔn)確的是（B）。A、指導(dǎo)電信業(yè)加快推進(jìn)信息安全等級保護(hù)，規(guī)范信息安全等級保護(hù)管理，保障和促進(jìn)信息化建設(shè)B、指導(dǎo)電信業(yè)更好地實施信息安全等級保護(hù)工作，保證電信網(wǎng)絡(luò)（含互聯(lián)網(wǎng)）等級保護(hù)工作規(guī)范、科學(xué)、有序地開展C、指導(dǎo)電信業(yè)信息系統(tǒng)主管部門依照相關(guān)標(biāo)準(zhǔn)規(guī)范，督促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營的信息安全等級保護(hù)工作。D、指導(dǎo)電信業(yè)各單位組織開展對所屬信息系統(tǒng)的摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，按照《信息系統(tǒng)安全等級保護(hù)定級指南》的要求，確定定級對象根據(jù)《關(guān)于電信系統(tǒng)信息安全等級保護(hù)工作有關(guān)問題的意見》（信安通[2007]14號），開展針對各地全程全網(wǎng)性質(zhì)的電信網(wǎng)絡(luò)的信息安全等級保護(hù)檢查時，應(yīng)當(dāng)（D）A、由公安機關(guān)單獨進(jìn)行B、由測評單位單獨進(jìn)行C、會同公安機關(guān)共同進(jìn)行D、會同電信主管部門共同進(jìn)行《關(guān)于貫徹落實電信網(wǎng)絡(luò)等級保護(hù)定級工作的通知》（信電函[2007]101號）中要求，對于經(jīng)集團(tuán)公司審核后，安全保護(hù)等級擬定為第3級及以上級別的定級對象，應(yīng)由集團(tuán)公司將定級報告（電子版）報送（B）評審，由專家組和電信運營企業(yè)共同商議確定定級對象的安全保護(hù)等級。A、公安機關(guān)網(wǎng)絡(luò)安全防護(hù)專家組B、信息產(chǎn)業(yè)部電信網(wǎng)絡(luò)安全防護(hù)專家組C、測評單位網(wǎng)絡(luò)安全防護(hù)專家組D、第三方網(wǎng)絡(luò)安全防護(hù)專家組在電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中進(jìn)行安全等級劃分的總體原則是：（A）A、定級對象受到破壞后對國家安全、社會秩序、經(jīng)濟運行公共利益以及網(wǎng)絡(luò)和業(yè)務(wù)運營商的合法權(quán)益的損害程度B、業(yè)務(wù)系統(tǒng)對定級對象的依賴程度，以及定級對象的經(jīng)濟價值C、定級對象受到破壞后對國家安全、社會秩序、經(jīng)濟運行公共利益以及業(yè)務(wù)系統(tǒng)的影響程度D、定級對象的經(jīng)濟價值和對公共利益的重要程度從電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護(hù)第（B）級開始要求，關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開。A、2B、3.1C、3.2D、4工信部考察通信行業(yè)信息安全管理體系認(rèn)證相關(guān)工作要求的工信廳保[2010]200號發(fā)文是以下哪個？（C）A、《關(guān)于加強通信行業(yè)信息安全管理體系認(rèn)可管理工作的通知》B、《關(guān)于加強通信行業(yè)信息安全體系認(rèn)證管理工作的通知》C、《關(guān)于加強通信行業(yè)信息安全管理體系認(rèn)證管理工作的通知》D、《關(guān)于加強信息安全管理體系認(rèn)證管理工作的通知》下面哪一項是ISO/IECTR13335對風(fēng)險分析的目的描述？（D）A、識別用于保護(hù)資產(chǎn)的責(zé)任義務(wù)和規(guī)章制度B、識別資產(chǎn)以及保護(hù)資產(chǎn)所使用的技術(shù)控制措施C、識別同責(zé)任義務(wù)有直接關(guān)系的威脅D、識別資產(chǎn)、脆弱性并計算潛在的風(fēng)險以下屬于網(wǎng)絡(luò)信息系統(tǒng)的安全管理原則的是：（ABD）A、多人負(fù)責(zé)原則B、職責(zé)分離原則C、權(quán)力集中原則D、任期有限原則以下哪些是安全風(fēng)險評估實施流程中所涉及的關(guān)鍵部分（ABC）A、風(fēng)險評估準(zhǔn)備、B、資產(chǎn)識別、脆弱性識別、威脅識別C、已有安全措施確認(rèn)，風(fēng)險分析D、網(wǎng)絡(luò)安全整改Windows系統(tǒng)允許用戶使用交互方式進(jìn)行登錄，當(dāng)使用域賬號登錄域時，驗證方式是SAM驗證（×）在Unix/Linux系統(tǒng)中，一個文件的權(quán)限為4755，則文件不能被root組以外的其他用戶執(zhí)行。（×）下面屬于木馬特征的是（BCD）A、造成緩沖區(qū)的溢出，破壞程序的堆棧B、程序執(zhí)行時不占太多系統(tǒng)資源C、不需要服務(wù)端用戶的允許就能獲得系統(tǒng)的使用權(quán)D、自動更換文件名，難于被發(fā)現(xiàn)攻擊者截獲并記錄了從A到B的數(shù)據(jù)，然后又從早些時候所截獲的數(shù)據(jù)中提取出信息重新發(fā)往B稱為中間人攻擊（×）安全的Wifi應(yīng)當(dāng)采用哪種加密方式（A）A、WPA2B、MD5C、Base64D、WEP下列對跨站腳本攻擊（XSS）的解釋最準(zhǔn)確的一項是：（B）A、引誘用戶點擊虛假網(wǎng)絡(luò)鏈接的一種攻擊方法B、將惡意代碼嵌入到用戶瀏覽的web網(wǎng)頁中，從而達(dá)到惡意的目的C、構(gòu)造精妙的關(guān)系數(shù)據(jù)庫的結(jié)構(gòu)化查詢語言對數(shù)據(jù)庫進(jìn)行非法的訪問D、一種很強大的木馬攻擊手段某黑客利用IE瀏覽器最新的0day漏洞，將惡意代碼嵌入正常的Web頁面當(dāng)中，用戶訪問后會自動下載并運行木馬程序，這種攻擊方式屬于釣魚攻擊（×）關(guān)于MD5的說法正確的是（ABC）A、MD5是單向hash函數(shù)B、增加web安全賬戶的一個常用手段就是將管理員的用戶密碼信息，經(jīng)過md5運算后，在數(shù)據(jù)庫中存儲密碼的hash值C、web數(shù)據(jù)庫中存儲的密碼經(jīng)過hash之后，攻擊者即使看到hash的密碼也無法用該信息直接登錄，還需要進(jìn)一步破解D、目前攻擊者在得到經(jīng)過hash的用戶名密碼之后，最常用的破解手段是暴力破解已知某個鏈接存在SQL注入漏洞，網(wǎng)址是/product.asp?id=20，以下哪個URL訪問之后，頁面不會報錯（C）。A、/product_more.asp?id=20’B、/product_more.asp?id=20and1=2C、/product_more.asp?id=20and1=1D、 /product_more.asp?id=20and99*9<100SYNFLOOD攻擊是通過以下哪個協(xié)議完成的？（A）A、TCPB、UDPC、IPX/SPXD、AppleTalk電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)工作的目標(biāo)包括（ABCD）。A、確保網(wǎng)絡(luò)的安全性和可靠性B、加強電信網(wǎng)和互聯(lián)網(wǎng)的安全防護(hù)能力C、盡可能實現(xiàn)對電信網(wǎng)和互聯(lián)網(wǎng)安全狀況的實時掌控D、保證電信網(wǎng)和互聯(lián)網(wǎng)能夠完成其使命信息安全等級保護(hù)制度的主要內(nèi)容:（ABCD）A、對系統(tǒng)中使用的信息安全產(chǎn)品實行按分級許可管理。B、對等級系統(tǒng)的安全服務(wù)資質(zhì)分級許可管理。C、對信息系統(tǒng)按業(yè)務(wù)安全應(yīng)用域和區(qū)實行等級保護(hù)。D、對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。不是在《關(guān)于電信網(wǎng)絡(luò)等級保護(hù)工作有關(guān)問題的通知》（信電函[2006]35號）中，指出的電信網(wǎng)絡(luò)的兩個特點的是（AB）。A、電信網(wǎng)絡(luò)的基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)是邏輯分離的，可以分開實施技術(shù)保護(hù)B、電信網(wǎng)絡(luò)在實施技術(shù)保護(hù)方式時，其中的重要信息系統(tǒng)是實現(xiàn)電信網(wǎng)絡(luò)安全可靠運行的重中之重C、電信網(wǎng)絡(luò)由各種設(shè)備、線路和相應(yīng)的支撐、管理子系統(tǒng)組成，是一個不可分割的整體D、電信網(wǎng)絡(luò)具有全程全網(wǎng)的特點，落實保護(hù)措施必須要對整個網(wǎng)絡(luò)統(tǒng)籌監(jiān)顧根據(jù)《關(guān)于電信系統(tǒng)信息安全等級保護(hù)工作有關(guān)問題的意見》（信安通[2007]14號），電信系統(tǒng)的等級保護(hù)備案要求為（ABD）A、電信系統(tǒng)的等級保護(hù)備案在國家、省兩級進(jìn)行B、地市及以下電信企事業(yè)單位的信息系統(tǒng)由省電信管理部門統(tǒng)一向同級公安機關(guān)備案，各地不再另行備案C、地市及以下電信事業(yè)單位的信息系統(tǒng)由各地市向省級電信管理部門進(jìn)行備案，不進(jìn)行單獨備案D、各地部具有全程全網(wǎng)性質(zhì)的信息系統(tǒng)，如本地網(wǎng)站、管理和辦公系統(tǒng)等，仍按《信息安全等級保護(hù)管理辦法》執(zhí)行《關(guān)于貫徹落實電信網(wǎng)絡(luò)等級保護(hù)定級工作的通知》（信電函[2007]101號）中要求基礎(chǔ)電信運營企業(yè)根據(jù)《電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)實施指南》，按照（ABD），將定級范圍內(nèi)的網(wǎng)絡(luò)和系統(tǒng)劃分成不同的定級對象，并分別確定各自的安全保護(hù)等級。A、網(wǎng)絡(luò)或業(yè)務(wù)類型B、服務(wù)地域C、保密等級D、企業(yè)內(nèi)部管理歸屬《關(guān)于貫徹落實電信網(wǎng)絡(luò)等級保護(hù)定級工作的通知》（信電函[2007]101號）中對定級范圍的劃分中，不屬于核心生產(chǎn)單元的是（BE）A、正式投入運營的傳輸網(wǎng)B、企業(yè)內(nèi)部辦公系統(tǒng)C、支撐和管理公共電信網(wǎng)及電信業(yè)務(wù)的業(yè)務(wù)單元和控制單元D、承載各類電信業(yè)務(wù)的公共電信網(wǎng)（含公共互聯(lián)網(wǎng)）及其組成部分E、客服呼叫中心電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)的定級過程中，需要獨立考慮3個定級要素，以下哪些事項不屬于損害國家安全的事項？（E）A、影響國家政權(quán)穩(wěn)固和國防實力B、影響國家統(tǒng)一、民族團(tuán)結(jié)和社會安定C、影響國家對外活動中的政治、經(jīng)濟利益D、影響國家經(jīng)濟競爭力和科技實力E、影響各種類型的經(jīng)濟活動秩序下面那些不是電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)工作在實施過程中需要重點遵循的原則？（BE）A、同步建設(shè)原則B、適度安全原則C、適當(dāng)調(diào)整原則D、最小影響原則E、自主保護(hù)原則電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)工作中，實施安全等級保護(hù)的安全總體規(guī)劃階段包括（）等幾個主要活動。A、安全需求分析B、風(fēng)險分析C、安全總體設(shè)計D、安全詳細(xì)設(shè)計E、安全建設(shè)規(guī)劃電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護(hù)要求中，第3.1級在安全管理制度的評審和修訂上應(yīng)滿足（ABD）。A、應(yīng)定期對安全管理制度進(jìn)行評審，對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂B、安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進(jìn)行審定C、應(yīng)定期或不定期地對安全管理制度進(jìn)行評審，對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂D、應(yīng)定期或不定期對安全管理制度進(jìn)行檢查和審定電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護(hù)要求中，安全運維管理在第3.1級要求變更管理在滿足第2級要求的基礎(chǔ)上還應(yīng)該（CDE）。A、網(wǎng)絡(luò)發(fā)生重要變更前，應(yīng)向主管領(lǐng)導(dǎo)申請，審批后方可實施變更，并在實施后向相關(guān)人員通告B、應(yīng)確認(rèn)網(wǎng)絡(luò)中要發(fā)生的重要變更，并制定相應(yīng)的變更方案C、應(yīng)建立變更管理制度，變更和變更方案需有評審過程D、應(yīng)建立變更控制的申報和審批文件化程序，對變更影響進(jìn)行分析并文檔化，記錄變更實施過程，并妥善保存所有文檔和記錄E、應(yīng)建立終止變更并從失敗變更中恢復(fù)的文件化程序，明確過程控制方法和人員職責(zé)，必要時對恢復(fù)過程進(jìn)行演練風(fēng)險評估的好處是：_____。(ABCD)A、有助于提高安全意識B、有助于合理使用經(jīng)費C、有助于加強安全管理的科學(xué)決策和防范手段D、有利于安全工程規(guī)劃以下哪些內(nèi)容是工信部保[2009]224號《關(guān)于開展通信網(wǎng)絡(luò)安全檢查工作的通知》所關(guān)注檢查的重點內(nèi)容（ABCDE）A、通信網(wǎng)絡(luò)安全管理制度B、遠(yuǎn)程維護(hù)管控措施C、防病毒、防攻擊、防入侵措施D、災(zāi)難備份措施E、第三方安全服務(wù)管控措施電信網(wǎng)和互聯(lián)網(wǎng)風(fēng)險評估中，關(guān)于風(fēng)險要素及屬性之間存在的關(guān)系，下列哪些說法是正確的（ABC）A、風(fēng)險是由威脅引發(fā)的．資產(chǎn)面臨的威脅越多則風(fēng)險越大，并可能演變成安全事件風(fēng)險不可能也沒有必要降為零．B、資產(chǎn)是有價值的，組織的業(yè)務(wù)戰(zhàn)略對資產(chǎn)的依賴度越高，資產(chǎn)價值就越大C、殘余風(fēng)險則是在綜合考慮了安全成本與效益后未控制的風(fēng)險，是可以被接受的，因此，考慮到成本因素，對于殘余風(fēng)險，沒必要給予高度密切監(jiān)視關(guān)于電信網(wǎng)和互聯(lián)網(wǎng)風(fēng)險評估，下列說法不正確的有（B）A、風(fēng)險評估應(yīng)貫穿于電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期的各階段中B、電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期各階段中，由于各階段實施的內(nèi)容、對象、安全需求不同，涉及的風(fēng)險評估的原則和方法也是不一樣的C、電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期包含啟動、設(shè)計、實施、運維和廢棄等5個階段D、廢棄階段風(fēng)險評估的目的是確保硬件和軟件等資產(chǎn)及殘留信息得到了適當(dāng)?shù)膹U棄處置，并確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的更新過程在一個安全的狀態(tài)下完成在制定災(zāi)難恢復(fù)備份預(yù)案時，預(yù)案的保障條件有哪些（ABCD）A、通信保障B、后勤保障C、電力保障D、專業(yè)技術(shù)保障關(guān)于通信網(wǎng)絡(luò)安全分級備案描述不正確的是：（B）A.通信網(wǎng)絡(luò)運行單位應(yīng)當(dāng)在通信網(wǎng)絡(luò)定級評審?fù)ㄟ^后三十日內(nèi)，將通信網(wǎng)絡(luò)單元的劃分和定級情況按照以下規(guī)定向電信管理機構(gòu)備案B.基礎(chǔ)電信業(yè)務(wù)經(jīng)營者各?。ㄗ灾螀^(qū)、直轄市）子公司、分公司向工業(yè)和信息化部申請辦理其直接管理的通信網(wǎng)絡(luò)單元的備案C.增值電信業(yè)務(wù)經(jīng)營者向作出電信業(yè)務(wù)經(jīng)營許可決定的電信管理機構(gòu)備案；D.互聯(lián)網(wǎng)域名服務(wù)提供者向工業(yè)和信息化部備案；對電信網(wǎng)絡(luò)安全防護(hù)工作的描述正確的是（ABCD）A.電信網(wǎng)絡(luò)安全防護(hù)工作實行“誰主管、誰負(fù)責(zé)，誰運營、誰負(fù)責(zé)”的原則B.總體目標(biāo)是提高電信網(wǎng)絡(luò)的安全保護(hù)能力和水平，有效減少嚴(yán)重網(wǎng)絡(luò)安全事件的發(fā)生C.主要內(nèi)容是將等級保護(hù)、風(fēng)險評估、災(zāi)難備份等有機結(jié)合D.電信網(wǎng)絡(luò)安全防護(hù)工作實行電信運營企業(yè)自主防護(hù)與電信行業(yè)主管部門監(jiān)督檢查相結(jié)合的工作機制定級報告中安全等級的確定部分主要內(nèi)容不包括（A）A.定級對象的業(yè)務(wù)/應(yīng)用范圍和服務(wù)范圍B.確定三個定級要素賦值的理由C.采用的定級方法及選擇權(quán)重的理由D.根據(jù)三個定級要素賦值及權(quán)重確定的安全保護(hù)等級工信部11號令中通信網(wǎng)絡(luò)安全防護(hù)工作堅持的原則的是：（ABD）A.積極防御B.綜合防范C.深度防護(hù)D.分級保護(hù)電信網(wǎng)絡(luò)安全防護(hù)工作的主要任務(wù)包括（ABCD）A.電信網(wǎng)絡(luò)的安全評測B.電信網(wǎng)絡(luò)的風(fēng)險評估C.電信網(wǎng)絡(luò)的定級D.電信網(wǎng)絡(luò)安全防護(hù)工作的監(jiān)督檢查windows的運行模式不包括（AC）。A、安全模式B、用戶模式C、網(wǎng)絡(luò)模式D、內(nèi)核模式WindowsNT本地安全認(rèn)證子系統(tǒng)(LocalSecurityAuthority，LSA)是WindowsNT安全子系統(tǒng)的核心，它的主要作用是（ABC）。A、使所有本地和遠(yuǎn)程的用戶登錄生效B、維護(hù)本地安全策略C、生成安全訪問令牌D、生成對象的訪問控制列表E、維護(hù)所有對對象的訪問控制策略在Unix/Linux系統(tǒng)中，應(yīng)當(dāng)給GRUB設(shè)置口令以保護(hù)系統(tǒng)的啟動安全，而GRUB本身也提供了較為全面的安全設(shè)置，主要包括（ABDE）。A、可針對啟動菜單設(shè)置全局口令B、可對某啟動菜單項使用全局口令C、可設(shè)置需要口令驗證才能正常進(jìn)行引導(dǎo)D、可對某啟動菜單項設(shè)置獨立口令E、對所有口令都可以使用MD5進(jìn)行加密Unix文件系統(tǒng)中的文件的訪問對象分為（ADE）三類。A、文件所有者B、文件管理者C、文件管理組D、文件所有組E、其他人下面是Unix系統(tǒng)內(nèi)文件welcome.txt的屬性，如果想要用戶user對該文件具有寫權(quán)限，可以采取的方法有（ABD）。-rw-r--r--1welcomewelcome30Sep2718:50welcome.txtA、chmodo+wwelcome.txtB、chmod646welcome.txtC、chmodu+swelcome.txtD、chownuserwelcome.txtE、chgrpuserwelcome.txt某企業(yè)網(wǎng)站主機被DoS攻擊，以下哪種方法對DoS攻擊有防御效果：（ABCD）A、增加主機服務(wù)器資源、性能B、部署使用專用抗DoS攻擊設(shè)備C、提高出口網(wǎng)絡(luò)帶寬D、更改邊界設(shè)備過濾部分異常IP地址以下關(guān)于DOS攻擊的描述，哪些說法是不正確的？(B)A、不需要侵入受攻擊的系統(tǒng)

B、以竊取目標(biāo)系統(tǒng)上的機密信息為目的

C、導(dǎo)致目標(biāo)系統(tǒng)無法處理正常用戶的請求

D、如果目標(biāo)系統(tǒng)沒有漏洞，遠(yuǎn)程攻擊仍可能成功有利于提高無線AP安全性的措施有（ABD）。A、關(guān)閉SSID廣播B、關(guān)閉DHCP服務(wù)C、關(guān)閉AP的無線功能D、開啟WPA加密并設(shè)置復(fù)雜密碼造成緩沖區(qū)溢出漏洞的原因有（ABD）。A、某些開發(fā)人員沒有安全意識B、某些高級語言沒有緩沖區(qū)邊界檢查C、用戶輸入數(shù)據(jù)太長，超出系統(tǒng)負(fù)荷D、軟件測試不夠嚴(yán)格無線網(wǎng)絡(luò)中常見的三種攻擊方式包括（ACD）。A、中間人攻擊

B、漏洞掃描攻擊

C、會話劫持攻擊

D、拒絕服務(wù)攻擊下列關(guān)于web應(yīng)用說法不正確的是（D）A、http請求中，cookie可以用來保持http會話狀態(tài)B、web的認(rèn)證信息可以考慮通過cookie來攜帶C、通過SSL安全套階層協(xié)議，可以實現(xiàn)http的安全傳輸D、web的認(rèn)證，通過cookie和session都可以實現(xiàn)，但是cookie安全性更好關(guān)于SQL注入說法正確的是（D）A、SQL注入攻擊是攻擊者直接對web數(shù)據(jù)庫的攻擊B、SQL注入攻擊除了可以讓攻擊者繞過認(rèn)證之外，不會再有其他危害C、SQL注入漏洞，可以通過加固服務(wù)器來實現(xiàn)Ｄ、SQL注入攻擊，可以造成整個數(shù)據(jù)庫全部泄露針對SQL注入和XSS跨站的說法中，哪些說法是不正確的（A）A、SQL注入的SQL命令在用戶瀏覽器中執(zhí)行，而XSS跨站的腳本在Web后臺數(shù)據(jù)庫中執(zhí)行。B、XSS和SQL注入攻擊中的攻擊指令都是由黑客通過用戶輸入域注入，只不過XSS注入的是HTML代碼(以后稱腳本)，而SQL注入注入的是SQL命令C、XSS和SQL注入攻擊都利用了Web服務(wù)器沒有對用戶輸入數(shù)據(jù)進(jìn)行嚴(yán)格的檢查和有效過濾的缺陷。D、XSS攻擊盜取Web終端用戶的敏感數(shù)據(jù)，甚至控制用戶終端操作，SQL注入攻擊盜取Web后臺數(shù)據(jù)庫中的敏感數(shù)據(jù)，甚至控制整個數(shù)據(jù)庫服務(wù)器。統(tǒng)一威脅管理系統(tǒng)（UTM）描述正確的是（ABD）A.部署UTM可以有效降低成本B.部署UTM可以降低信息安全工作強度C.部署UTM可以降低安全設(shè)備集成帶來的風(fēng)險D.部署UTM可能降低網(wǎng)絡(luò)性能和穩(wěn)定性防范緩沖區(qū)溢出攻擊的對策一般有（AC）。A、更新操作系統(tǒng)和應(yīng)用軟件的版本以及補丁B、安裝防病毒軟件C、關(guān)閉多余的系統(tǒng)服務(wù)和端口D、優(yōu)化系統(tǒng)內(nèi)存以下關(guān)于SYNFlood和SYNCookie技術(shù)的哪些說法是不正確的？(AD)A、SYNFlood攻擊主要是通過發(fā)送超大流量的數(shù)據(jù)包來堵塞網(wǎng)絡(luò)帶寬B、SYNCookie技術(shù)的原理是通過SYNCookie網(wǎng)關(guān)設(shè)備拆分TCP三次握手過程，計算每個TCP連接的Cookie值，對該連接進(jìn)行驗證C、SYNCookie技術(shù)在超大流量攻擊的情況下可能會導(dǎo)致網(wǎng)關(guān)設(shè)備由于進(jìn)行大量的計算而失效D、以上都正確下面不屬于木馬偽裝手段的是（C）。A、捆綁文件B、隱蔽運行C、自我復(fù)制D、修改圖標(biāo)關(guān)于網(wǎng)絡(luò)入侵防御系統(tǒng)，以下描述不正確的是（A）A.能夠?qū)崟r過濾阻斷攻擊源B.阻斷的是攻擊包C.部署在網(wǎng)絡(luò)關(guān)鍵點上D.以透明模式串聯(lián)于網(wǎng)絡(luò)中對安全管理平臺（SOC）描述正確的是（ABD）A.SOC是技術(shù)、流程和人的有機結(jié)合B.SOC能夠?qū)Ω黝惏踩录M(jìn)行收集、過濾、合并和查詢C.SOC只能夠收集各類防火墻、IDS、IPS等網(wǎng)絡(luò)設(shè)備的信息D.SOC能夠協(xié)助管理員進(jìn)行事件分析、風(fēng)險分析、預(yù)警管理和應(yīng)急響應(yīng)處理等《關(guān)于貫徹落實電信網(wǎng)絡(luò)等級保護(hù)定級工作的通知》（信電函[2007]101號）中要求，基礎(chǔ)電信運營企業(yè)各定級對象的定級結(jié)果，（A）應(yīng)由集團(tuán)公司進(jìn)行審核。A、含1至5級B、2級以上C、3級以上D、4級以上定級對象受到破壞后，會對網(wǎng)絡(luò)和業(yè)務(wù)運營商的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序、經(jīng)濟運行和公共利益造成輕微損害，但不損害國家安全，這是屬于安全等級保護(hù)的第（）級。C、3.1（×）注：2電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)中，針對第1級的對象需要做的是（B）A、由網(wǎng)絡(luò)和業(yè)務(wù)運營商依據(jù)業(yè)務(wù)的特殊安全要求進(jìn)行保護(hù)B、由網(wǎng)絡(luò)和業(yè)務(wù)運營商依據(jù)國家和通信行業(yè)有關(guān)標(biāo)準(zhǔn)進(jìn)行保護(hù)C、由主管部門對其安全等級保護(hù)工作進(jìn)行指導(dǎo)D、由主管部門對其安全等級保護(hù)工作進(jìn)行監(jiān)督、檢查《關(guān)于貫徹落實電信網(wǎng)絡(luò)等級保護(hù)定級工作的通知》（信電函[2007]101號）中要求，對于經(jīng)集團(tuán)公司審核后，安全保護(hù)等級擬定為（B）的定級對象，無需報信息產(chǎn)業(yè)部電信網(wǎng)絡(luò)安全防護(hù)專家組評審，可直接向電信監(jiān)管部門進(jìn)行備案。B、第2級及以下級別（√）定級對象受到破壞后，會對其網(wǎng)絡(luò)和業(yè)務(wù)運營商的合法權(quán)益造成輕微損害，但不損害國家安全、社會秩序、經(jīng)濟運行和公共利益，這是屬于安全等級保護(hù)的第（）級。B、2（×）注：1定級對象受到破壞后，會對社會秩序、經(jīng)濟運行和公共利益造成特別嚴(yán)重的損害，或者對國家安全造成嚴(yán)重的損害，這是屬于安全等級保護(hù)的第（A）級。A、4B、3.2C、3.1D、2網(wǎng)絡(luò)和業(yè)務(wù)運營商在網(wǎng)絡(luò)實際運行之前對其安全等級保護(hù)工作的實施情況進(jìn)行安全檢測，確保其達(dá)到安全防護(hù)要求，這是（D）階段的工作內(nèi)容。A、安全總體規(guī)劃階段B、安全資產(chǎn)終止階段C、安全運維階段D、安全設(shè)計與實施階段國家公安機關(guān)負(fù)責(zé)等級保護(hù)中的什么類別工作？（D）A、負(fù)責(zé)信息安全等級保護(hù)工作中部門間的協(xié)調(diào)。B、負(fù)責(zé)等級保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。C、負(fù)責(zé)等級保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。D、負(fù)責(zé)信息安全等級保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。《信息系統(tǒng)安全等級保護(hù)定級指南》描述的第三級是下面哪個（C）A、指導(dǎo)保護(hù)級B、強制保護(hù)級C、監(jiān)督保護(hù)級D、自主保護(hù)級電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護(hù)要求中，第2級在安全管理制度的評審和修訂上應(yīng)滿足（D）。A、應(yīng)定期或不定期對安全管理制度進(jìn)行檢查和審定B、應(yīng)定期或不定期地對安全管理制度進(jìn)行評審，對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂C、安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進(jìn)行審定D、應(yīng)定期對安全管理制度進(jìn)行評審，對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂Solaris10的運行模式0是指（B）。A、退出操作系統(tǒng)并關(guān)機B、操作系統(tǒng)關(guān)閉，計算機僅運行其固件C、重新啟動機器D、中斷運行并立即關(guān)機為了防御XSS跨站腳本攻擊，我們可以采用多種安全措施，但（C）是不可取的A、編寫安全的代碼：對用戶數(shù)據(jù)進(jìn)行嚴(yán)格檢查過濾B、可能情況下避免提交HTML代碼C、阻止用戶向Web頁面提交數(shù)據(jù)D、即使必須允許提交特定HTML標(biāo)簽時，也必須對該標(biāo)簽的各屬性進(jìn)行仔細(xì)檢查，避免引入javascript防范網(wǎng)頁掛馬攻擊，作為第三方的普通瀏覽者，以下哪種辦法可以有效？（ＡD）A、及時給系統(tǒng)和軟件打最新補丁B、不瀏覽任何網(wǎng)頁C、安裝防火墻D、安裝查殺病毒和木馬的軟件WindowsNT4.0于1999年11月通過了美國國防部TCSEC（D）級安全認(rèn)證。A、B1B、B2C、C1D、C2緩沖區(qū)溢出（D）。A、只是系統(tǒng)層漏洞B、只是應(yīng)用層漏洞C、只是TCP/IP漏洞D、既是系統(tǒng)層漏洞也是應(yīng)用層漏洞WindowsNT的安全引用監(jiān)視器（SecurityReferenceMonitor，SRM）的主要作用是（A）。A、實現(xiàn)基于對象的訪問控制和審核策略B、負(fù)責(zé)記錄審核消息C、管理對象的安全描述符D、負(fù)責(zé)生成對象的訪問控制列表在Unix/Linux系統(tǒng)中，文件類型為“b”，說明這是一個（C）。A、二進(jìn)制可執(zhí)行文件B、硬鏈接文件C、塊設(shè)備文件D、進(jìn)程文件為了防御網(wǎng)絡(luò)監(jiān)聽，最有效也最常用的方法是（D）A、采用物理傳輸（非網(wǎng)絡(luò)）B、使用專線傳輸C、用光纖傳輸數(shù)據(jù)D、對傳輸數(shù)據(jù)進(jìn)行加密以下關(guān)于宏病毒說法不正確的是（ACD）。A．宏病毒主要感染可執(zhí)行文件B．宏病毒僅向辦公自動化程序編制的文檔進(jìn)行傳染C．宏病毒主要感染軟盤、硬盤的引導(dǎo)扇區(qū)或主引導(dǎo)扇區(qū)D．CIH病毒屬于宏病毒本地域名劫持（DNS欺騙）修改的是哪個系統(tǒng)文件（C）A、C:\Windows\System32\drivers\etc\lmhostsＢ、C:\Windows\System32\etc\lmhostsC、C:\Windows\System32\drivers\etc\hostsD、C:\Windows\System32\etc\hosts電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)工作中的指導(dǎo)性原則有（BCD）A、最小權(quán)限原則B、可控性原則C、適度安全原則D、保密性原則根據(jù)《關(guān)于貫徹落實電信網(wǎng)絡(luò)等級保護(hù)定級工作的通知》（信電函[2007]101號），基礎(chǔ)電信運營企業(yè)的定級范圍為（CD）A、基礎(chǔ)網(wǎng)絡(luò)B、重要信息系統(tǒng)C、核心生產(chǎn)單元D、非核心生產(chǎn)單元《關(guān)于貫徹落實電信網(wǎng)絡(luò)等級保護(hù)定級工作的通知》（信電函[2007]101號）中要求，定級結(jié)果備案時需要提交的文檔不包括（D）A、備案單位基本情況表B、備案信息表C、定級報告D、專家評審意見表按照《關(guān)于貫徹落實電信網(wǎng)絡(luò)等級保護(hù)定級工作的通知》（信電函[2007]101號）的要求，關(guān)于定級對象的審核，以下說法中正確的是（BD）A、由電信運營企業(yè)集團(tuán)公司或省級公司負(fù)責(zé)管理的定級對象，由同級公安機關(guān)負(fù)責(zé)審核B、由電信運營企業(yè)集團(tuán)公司負(fù)責(zé)管理的定級對象，由信息產(chǎn)業(yè)部負(fù)責(zé)審核C、由電信運營企業(yè)集團(tuán)公司或省級公司負(fù)責(zé)管理的定級對象，由信息產(chǎn)業(yè)部負(fù)責(zé)審核D、由電信運營企業(yè)省級公司負(fù)責(zé)管理的定級對象，由當(dāng)?shù)赝ㄐ殴芾砭重?fù)責(zé)審核定級對象的安全等級應(yīng)根據(jù)以下3個互相獨立的定級要素來確定，它們是（ABD）。A、規(guī)模和服務(wù)范圍B、社會影響力C、經(jīng)濟價值D、所提供服務(wù)的重要性電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)的定級過程中，需要獨立考慮3個定級要素，以下哪些事項屬于損害社會秩序的事項？（ABDE）A、影響國家機關(guān)社會管理和公共服務(wù)的工作秩序B、影響各行業(yè)的科研、生產(chǎn)秩序C、影響國家重要的安全保衛(wèi)工作D、影響各種類型的經(jīng)濟活動秩序E、影響公眾在法律約束和道德規(guī)范下的正常生活秩序電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)工作中，實施安全等級保護(hù)的一次完整過程包括（）。A、安全等級確定B、安全架構(gòu)設(shè)計C、安全運維D、安全開發(fā)與實施E、安全資產(chǎn)終止電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護(hù)要求中，第2級在安全管理制度上應(yīng)滿足（ABC）。A、應(yīng)制定安全工作的總體方針和安全策略，說明機構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等B、應(yīng)對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程C、應(yīng)對安全管理活動中重要的管理內(nèi)容建立安全管理制度D、應(yīng)形成由安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的安全管理制度體系E、應(yīng)對安全管理活動中的各類管理內(nèi)容建立安全管理制度，以規(guī)范安全管理活動電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護(hù)要求中，人員安全管理中第3.1級要求外部人員訪問時在滿足第2級要求的基礎(chǔ)還應(yīng)該（AD）。A、應(yīng)確保在外部人員訪問受控區(qū)域前先提出書面申請B、應(yīng)確保在外部人員訪問受控區(qū)域前得到授權(quán)或?qū)徟鶦、外部人員訪問批準(zhǔn)后應(yīng)由專人全程陪同或監(jiān)督，并登記備案D、對外部人員允許訪問的區(qū)域、網(wǎng)絡(luò)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行書面的規(guī)定，并按照規(guī)定執(zhí)行等級保護(hù)對象受到破壞時所侵害的客體包括（ABD）A、公民、法人和其他組織的合法權(quán)益。B、社會秩序、公共利益。C、國家領(lǐng)導(dǎo)人。D、國家安全。《信息系統(tǒng)安全等級保護(hù)實施指南》中描述第三級安全通信網(wǎng)絡(luò)從以下方面進(jìn)行設(shè)計：ABCDA、通信網(wǎng)絡(luò)安全審計B、通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)C、通信網(wǎng)絡(luò)可信接入保護(hù)D、通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系，由以下哪幾項工作共同組成？（BCD）A、安全風(fēng)險評估B、安全等級保護(hù)C、安全法律法規(guī)D、災(zāi)難備份及恢復(fù)電信網(wǎng)和互聯(lián)網(wǎng)，風(fēng)險評估過程中，其中一項是資產(chǎn)識別，在資產(chǎn)識別過程中，資產(chǎn)賦值體現(xiàn)出資產(chǎn)的安全狀況對于組織的重要性，資產(chǎn)賦值中，應(yīng)主要考慮資產(chǎn)的哪些屬性？（ACD）A、資產(chǎn)的社會影響力B、資產(chǎn)的存在形式C、資產(chǎn)的可用性D、資產(chǎn)所提供的業(yè)務(wù)價值關(guān)于脆弱性的描述，哪些說法是正確的（abcd ）A、脆弱性是對一個或多個資產(chǎn)弱點的總稱B、單純的脆弱性本身不會對資產(chǎn)造成損害，而且如果系統(tǒng)足夠強健，再嚴(yán)重的威脅也不會導(dǎo)致安全事件的發(fā)生并造成損失C、脆弱性識別也稱為弱點識別，脆弱性是資產(chǎn)本身存在的，威脅總是要利用資產(chǎn)的脆弱性才可能造成危害D、資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱性識別中最為困難的部分對通信網(wǎng)絡(luò)安全防護(hù)工作說法正確的是（ABCD）A.受保護(hù)的通信網(wǎng)絡(luò)包括公用通信網(wǎng)和互聯(lián)網(wǎng)B.防護(hù)對象是由我國境內(nèi)的電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)域名服務(wù)提供者管理和運行的通信網(wǎng)絡(luò)C.防護(hù)工作包括為防止通信網(wǎng)絡(luò)阻塞、中斷、癱瘓或者被非法控制而開展的工作D.防護(hù)工作包括為防止通信網(wǎng)絡(luò)中傳輸、存儲、處理的數(shù)據(jù)信息丟失、泄露或者被篡改而開展的工作關(guān)于通信網(wǎng)絡(luò)安全防護(hù)符合性評測描述不正確的是：（C）A.二級通信網(wǎng)絡(luò)單元應(yīng)當(dāng)每兩年進(jìn)行一次符合性評測；B.三級及三級以上通信網(wǎng)絡(luò)單元應(yīng)當(dāng)每年進(jìn)行一次符合性評測；C.五級通信網(wǎng)絡(luò)單元應(yīng)當(dāng)每半年進(jìn)行一次符合性評測；D.通信網(wǎng)絡(luò)單元的劃分和級別調(diào)整的，應(yīng)當(dāng)自調(diào)整完成之日起九十日內(nèi)重新進(jìn)行符合性評測；電信網(wǎng)絡(luò)安全防護(hù)工作的可控性原則包括（ACD）A.人員可控性B.風(fēng)險可控性C.工具可控性D.項目過程可控性以下是電信網(wǎng)絡(luò)安全防護(hù)工作中應(yīng)該遵循的原則的是（ABCD）A.規(guī)范性原則B.適度性原則C.整體性原則D.同步性原則WindowsNT的安全子系統(tǒng)主要由（ABD）等組成。A、安全賬戶管理（SAM）B、本地安全認(rèn)證（LSA）C、對象管理器（OM）D、安全參考監(jiān)視器（SRM）E、安全標(biāo)識符（SID）關(guān)于WindowsNT中的安全賬號管理器（SecurityAccountManager，SRM），以下說法中正確的是（ACDE）。A、安全帳號管理器對帳號的管理是通過安全標(biāo)識進(jìn)行的B、以system用戶的權(quán)限可以使用編輯器對SAM文件的內(nèi)容進(jìn)行查看C、sam文件是windowsNT的用戶帳戶數(shù)據(jù)庫,所有NT用戶的登錄名及口令等相關(guān)信息都會保存在這個文件中D、安全賬號管理器的具體表現(xiàn)就是%SystemRoot%\system32\config\sam文件E、注冊表中也保存有SAM文件的內(nèi)容，正常設(shè)置下僅對system用戶可讀寫NTFS文件系統(tǒng)能夠為文件存儲提供更高的安全性和可靠性，文件和文件夾的NTFS權(quán)限有（CE）類型。A、操作權(quán)限B、隱含權(quán)限C、繼承權(quán)限D(zhuǎn)、訪問權(quán)限E、顯式權(quán)限Unix系統(tǒng)中某個文件的模式位為drwxr-xr-x，說明（ABE）。A、任何人都可以執(zhí)行這個文件B、文件的權(quán)限為755C、這是一個普通文件D、該文件只有超級用戶root可寫E、其他人可以讀這個文件使用sudo工具可以對Unix/Linux系統(tǒng)中用戶可運行的命令進(jìn)行控制以增加安全性，它的特性包括（ABCDE）。A、需要授權(quán)許可B、可以為系統(tǒng)管理員提供配置文件C、能夠限制指定用戶在指定主機上運行某些命令D、可以提供日志記錄E、可以進(jìn)行時間戳檢驗在Unix/Linux系統(tǒng)的/etc/syslog.conf配置文件中有如下兩行內(nèi)容，從中我們可以看出（BE）。user.err/dev/consoleuser.err/var/log/messagesA、用戶登錄過程中出錯，要發(fā)送日志消息到控制臺B、應(yīng)用程序出現(xiàn)一般性錯誤，要發(fā)送日志消息到控制臺，并且同時記錄到messages文件C、用戶登錄過程中出錯，要記錄日志消息到messages文件D、應(yīng)用程序出現(xiàn)一般性錯誤，要發(fā)送日志消息到控制臺，或者記錄到messages文件E、應(yīng)用程序出現(xiàn)err及以上級別錯誤，要發(fā)送日志消息到控制臺，并且同時記錄到messages文件常見的拒絕服務(wù)攻擊有:(ABCD)A、UDPFloodB、ICMPFloodC、SYNFlood D、IGMPFlood拒絕服務(wù)攻擊的對象可能為:(ABCD)A、網(wǎng)橋 B、防火墻 C、服務(wù)器D、路由器下列木馬程序可能采用的激活方式有（AC）。A、修改注冊表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下以“run”開頭的鍵值B、將木馬程序復(fù)制在用戶的桌面上C、注冊為系統(tǒng)服務(wù)D、感染系統(tǒng)中所有的exe和html文件某黑客組織通過拷貝中國銀行官方網(wǎng)站的登陸頁面，然后發(fā)送欺騙性電子郵件，誘使用戶訪問此頁面以竊取用戶的賬戶信息，這種攻擊方式屬于（B）A、SQL注入B、釣魚攻擊C、網(wǎng)頁掛馬D、域名劫持Serv-U軟件因自身缺陷曾多次被黑客用來進(jìn)行提權(quán)攻擊，針對提權(quán)的防御辦法有（ABCD）A、禁用anonymous帳戶B、修改Serv-U默認(rèn)管理員信息和端口號C、修改默認(rèn)安裝路徑，并限制安全目錄的訪問權(quán)限D(zhuǎn)、限制用戶權(quán)限，刪除所有用戶的執(zhí)行權(quán)限關(guān)于HTTP協(xié)議說法正確的有哪些（ACD）A、http協(xié)議是明文傳輸?shù)腂、http協(xié)議是可靠的有狀態(tài)的協(xié)議C、http協(xié)議主要有請求和響應(yīng)兩種類型D、http協(xié)議，在web應(yīng)用中，可以有g(shù)et、post、delete等多種請求方法，但是最常用是get和post有很多辦法可以幫助我們抵御針對網(wǎng)站的SQL注入，包括（BCD）A、刪除網(wǎng)頁中的SQL調(diào)用代碼，用純靜態(tài)頁面B、關(guān)閉DB中不必要的擴展存儲過程C、編寫安全的代碼：盡量不用動態(tài)SQL；對用戶數(shù)據(jù)進(jìn)行嚴(yán)格檢查過濾D、關(guān)閉Web服務(wù)器中的詳細(xì)錯誤提示防火墻部署中的透明模式的優(yōu)點包括：（ACD）A、性能較高B、易于在防火墻上實現(xiàn)NATC、不需要改變原有網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)D、防火墻自身不容易受到攻擊關(guān)于網(wǎng)絡(luò)入侵檢測系統(tǒng)，以下描述正確的是（BCD）A.能夠適用于加密環(huán)境B.不會增加系統(tǒng)開銷C.對帶寬的要求較高D.其部署不影響現(xiàn)有網(wǎng)絡(luò)架構(gòu)以下哪些是應(yīng)用層防火墻的特點？（ABC）A、更有效的防止應(yīng)用層的攻擊B、工作在OSI模型的第七層C、比較容易進(jìn)行審計D、速度快而且對用戶透明發(fā)現(xiàn)感染計算機病毒后，應(yīng)采取哪些措施(ACD)斷開網(wǎng)絡(luò)格式化系統(tǒng)使用殺毒軟件檢測、清除如果不能清除，將樣本上報國家計算機病毒應(yīng)急處理中心無法用于對Windows系統(tǒng)口令進(jìn)行暴力破解的工具有（AD）A、NMAPB、NessusC、X-ScanD、AppScan選出曾經(jīng)出現(xiàn)提權(quán)漏洞的第三方軟件（ABCD）VNCFlashFXPServ-UPcAnywhere下面支持WPA加密方式的無線局域網(wǎng)標(biāo)準(zhǔn)有（BD）。A、802.11bB、802.11iC、802.11aD、802.11n選出可以被暴力破解的協(xié)議（ABC）A、POP3B、SNMPC、FTPD、TFTP以下關(guān)于DOS攻擊的描述，說法正確的有（BC）A、以竊取目標(biāo)系統(tǒng)上的機密信息為目的B、不需要侵入對方系統(tǒng)內(nèi)部C、導(dǎo)致目標(biāo)系統(tǒng)無法處理正常用戶的請求D、如果目標(biāo)系統(tǒng)沒有漏洞，遠(yuǎn)程攻擊就不可能成功《關(guān)于電信網(wǎng)絡(luò)等級保護(hù)工作有關(guān)問題的通知》（信電函[2006]35號）中指出，電信網(wǎng)絡(luò)由各種設(shè)備、線路和相應(yīng)的支撐、管理子系統(tǒng)組成，因此電信網(wǎng)絡(luò)實施等級保護(hù)時應(yīng)當(dāng)（C）。A、對電信網(wǎng)絡(luò)采取基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)分開實施技術(shù)保護(hù)B、對電信網(wǎng)絡(luò)采取按照地域劃分成不同安全域分開實施技術(shù)保護(hù)C、對整個網(wǎng)絡(luò)統(tǒng)籌兼顧，按照國家制定的有關(guān)標(biāo)準(zhǔn)和要求，由電信網(wǎng)絡(luò)的主管部門統(tǒng)一部署實施D、按照“誰主管、誰負(fù)責(zé)”原則，各個電信網(wǎng)絡(luò)各自部署實施，并進(jìn)行監(jiān)督、檢查和指導(dǎo)《關(guān)于電信系統(tǒng)信息安全等級保護(hù)工作有關(guān)問題的意見》（信安通[2007]14號）中指出，電信系統(tǒng)的等級保護(hù)備案（D）。A、在國家級進(jìn)行B、由各個電信網(wǎng)絡(luò)自行決定如何進(jìn)行C、在國家、省、地市三級進(jìn)行D、在國家、省兩級進(jìn)行《關(guān)于貫徹落實電信網(wǎng)絡(luò)等級保護(hù)定級工作的通知》（信電函[2007]101號）中指出的定級范圍包括核心生產(chǎn)單元和非核心生產(chǎn)單元，其中核心生產(chǎn)單元是指（D）。A、企業(yè)內(nèi)部辦公系統(tǒng)、客服呼叫中心等B、重要信息系統(tǒng)，即電信業(yè)務(wù)的業(yè)務(wù)單元和控制單元C、基礎(chǔ)網(wǎng)絡(luò)，即承載各類電信業(yè)務(wù)的公共電信網(wǎng)（含公共互聯(lián)網(wǎng)）及其組成部分D、正式投入運營的傳輸、承載各類電信業(yè)務(wù)的公共電信網(wǎng)（含公共互聯(lián)網(wǎng)）及其組成部分，以及支撐和管理公共電信網(wǎng)及電信業(yè)務(wù)的業(yè)務(wù)單元和控制單元電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級劃分中，第2級的保護(hù)方法是：（C）A、由網(wǎng)絡(luò)和業(yè)務(wù)運營商依據(jù)國家和通信行業(yè)有關(guān)標(biāo)準(zhǔn)進(jìn)行保護(hù)B、由網(wǎng)絡(luò)和業(yè)務(wù)運營商依據(jù)國家和通信行業(yè)有關(guān)標(biāo)準(zhǔn)進(jìn)行保護(hù)，主管部門對其安全等級保護(hù)工作進(jìn)行監(jiān)督、檢查C、由網(wǎng)絡(luò)和業(yè)務(wù)運營商依據(jù)國家和通信行業(yè)有關(guān)標(biāo)準(zhǔn)進(jìn)行保護(hù)，主管部門對其安全等級保護(hù)工作進(jìn)行指導(dǎo)D、由網(wǎng)絡(luò)和業(yè)務(wù)運營商依據(jù)國家和通信行業(yè)有關(guān)標(biāo)準(zhǔn)進(jìn)行保護(hù)，主管部門對其安全等級保護(hù)工作進(jìn)行重點監(jiān)督、檢查電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護(hù)要求中，第3.1級相比第2級在人員安全管理的人員離崗上還要求（C）。A、應(yīng)規(guī)范人員離崗過程，及時終止離崗員工的所有訪問權(quán)限B、對于離崗人員，應(yīng)禁止其從計算機終端上拷貝數(shù)據(jù)C、關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)后方可離開D、對于離崗人員，應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)誰對信息資產(chǎn)的分類負(fù)有首要的責(zé)任？（D）A、用戶B、高級管理層C、職能部門經(jīng)理D、數(shù)據(jù)所有者下面關(guān)于什么是安全策略描述正確的是（B）A、建立了整個組織機構(gòu)內(nèi)所需的最低級別的安全。B、是信息安全的高層文件，它包含了管理層對信息安全在組織機構(gòu)中所扮演的角色的整體描述和要求。C、是一系列規(guī)則，這些規(guī)則制定了員工在其業(yè)務(wù)位置上應(yīng)該和不應(yīng)該做什么、使用哪些設(shè)備以及各種產(chǎn)品的可接受軟件配置等D、是為實現(xiàn)一個特定任務(wù)要采取的詳細(xì)的、文檔化的、步驟化的活動。信息安全管理同其他管理問題一樣，首先要解決、和這三方面的問題。（A）組織、制度、人員人員、技術(shù)、操作威脅、風(fēng)險、資產(chǎn)工程、風(fēng)險、人員考試大綱里沒有管理類內(nèi)容，管理類題目還是去掉吧風(fēng)險控制的方式主要有規(guī)避、轉(zhuǎn)移、降低三種，其中的風(fēng)險規(guī)避是指（B）考試大綱里沒有管理類內(nèi)容，管理類題目還是去掉吧A、通過將面臨風(fēng)險的資產(chǎn)或其價值轉(zhuǎn)移到更安全的地方來避免或降低風(fēng)險B、通過不使用面臨風(fēng)險的資產(chǎn)來避免風(fēng)險C、通過對面臨風(fēng)險的資產(chǎn)采取保護(hù)措施來降低風(fēng)險D、以上都不對訪問控制以其不同的實現(xiàn)方法可以分為若干種類，Windows系統(tǒng)的訪問控制是（D）。A、基于進(jìn)程的訪問控制B、基于文件的訪問控制C、基于任務(wù)的訪問控制D、基于對象的訪問控制Microsoft基準(zhǔn)安全分析器(MBSA)是一個易于使用的工具，可幫助中小型企業(yè)根據(jù)Microsoft安全建議評估其安全性，當(dāng)使用多臺計算機模式進(jìn)行掃描時，禁用以下哪個安全選項會對MBSA的工作造成影響？（C）A、網(wǎng)絡(luò)訪問：可匿名訪問的命名管道B、網(wǎng)絡(luò)訪問：允許為網(wǎng)絡(luò)身份驗證儲存憑據(jù)或.NETPassportsC、網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑和子路徑D、網(wǎng)絡(luò)訪問：可匿名訪問的共享在Apache的配置文件httpd.conf有如下的配置，說明（C）。<Directory"/home/aaa">orderallow,denyallowfromalldeny</Directory>A、所有主機都將被允許B、所有主機都將被禁止C、所有主機都將被允許，除了那些來自域的主機D、所有主機都將被禁止，除了那些來自域的主機Unix系統(tǒng)中使用下面的find命令，可以實現(xiàn)的功能是查找（B）。find/-typef\(-perm-4000-o-perm–2000\)-execls-lg{}\;A、所有SUID文件B、所有SUID或者SGID文件C、所有SGID文件D、所有SUID以及SGID文件Linux2.6版的內(nèi)核中集成了（A），使Linux的安全性大幅度提高。A、SELinuxB、NetfilterC、IptablesD、TCPWrappers下面不屬于木馬特征的是（C）A.自動更換文件名，難于被發(fā)現(xiàn)B.程序執(zhí)行時不占太多系統(tǒng)資源C.造成緩沖區(qū)的溢出，破壞程序的堆棧D.不需要服務(wù)端用戶的允許就能獲得系統(tǒng)的使用權(quán)攻擊者截獲并記錄了從A到B的數(shù)據(jù)，然后又從早些時候所截獲的數(shù)據(jù)中提取出信息重新發(fā)往B稱為（B）。和14題有點重復(fù)？？？和14題有點重復(fù)？？？A.中間人攻擊B.回放攻擊C.強力攻擊D.口令猜測器和字典攻擊下列哪個平臺經(jīng)常被用來進(jìn)行無線網(wǎng)絡(luò)的破解(B)A.Windows7B.BT5C.androidD.iOS暴力破解Unix系統(tǒng)賬戶的工具是(C)A.LC5B.X-ScanC.JohnD.AppScanWindowsNT系統(tǒng)能設(shè)置為在幾次無效登錄后鎖定帳號,這可以防止(C)A、木馬;B、IP欺騙;C、暴力攻擊;D、緩存溢出攻擊以下哪種攻擊方式，可以稱為CC攻擊（B）synfloodhttpfloodsmurfTearDrop以下哪些內(nèi)容是工信部保[2009]224號《關(guān)于開展通信網(wǎng)絡(luò)安全檢查工作的通知》所關(guān)注檢查的重點內(nèi)容包括（ABCD）A、遠(yuǎn)程維護(hù)管控措施B、用戶個人信息保護(hù)措施C、第三方安全服務(wù)管控措施D、涉及國慶重大活動網(wǎng)絡(luò)單元的安全防護(hù)情況工信部保函[2012]102號《關(guān)于開展2012年度通信網(wǎng)絡(luò)安全防護(hù)檢查工作的通知》檢查的主要內(nèi)容包括：（ABCD）A、網(wǎng)絡(luò)安全防護(hù)責(zé)任制和相關(guān)制度、機制、預(yù)案的建立與落實情況B、2011年檢查發(fā)現(xiàn)的重大安全隱患和風(fēng)險的整改情況C、網(wǎng)絡(luò)單元仍然存在的薄弱環(huán)節(jié)、重大安全隱患和風(fēng)險D、網(wǎng)絡(luò)單元防攻擊、防入侵、防病毒以及備份、監(jiān)測、應(yīng)急、用戶信息保護(hù)等措施的落實情況；以下關(guān)于風(fēng)險評估中，風(fēng)險要素及屬性之間存在關(guān)系表述正確的是（ABCD）A、業(yè)務(wù)戰(zhàn)略依賴資產(chǎn)去實現(xiàn)B、風(fēng)險的存在及對風(fēng)險的認(rèn)識導(dǎo)出安全需求C、資產(chǎn)價值越大則其面臨的風(fēng)險越大D、資產(chǎn)是有價值的，組織的業(yè)務(wù)戰(zhàn)略對資產(chǎn)的依賴度越高，資產(chǎn)價值就越大在風(fēng)險評估過程中，為保證風(fēng)險評估的順利完成，應(yīng)該遵循以下哪些原則（ABCDE）A、標(biāo)準(zhǔn)性原則B、可控性原則C、完備性原則D、保密原則E、最小影響原則以下哪些是脆弱性識別所采用的主要方法（ABCDE）A、問卷調(diào)查B、文檔查閱C、人工核查D、工具檢測E、滲透性測試等以下哪些是災(zāi)難備份及恢復(fù)實施資源要素（ABCD）A、備份數(shù)據(jù)B、災(zāi)難恢復(fù)預(yù)案C、人員和技術(shù)支持能力D、冗余系統(tǒng)、冗余設(shè)備及冗余鏈路《關(guān)于電信網(wǎng)絡(luò)等級保護(hù)工作有關(guān)問題的通知》（信電函[2006]35號）中指出，電信網(wǎng)絡(luò)具有全程全網(wǎng)的特點，因此（BCD）。A、基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)分開實施技術(shù)保護(hù)B、按照國家制定的有關(guān)標(biāo)準(zhǔn)和要求進(jìn)行C、由電信網(wǎng)絡(luò)的主管部門統(tǒng)一部署實施D、落實保護(hù)措施必須要對整個網(wǎng)絡(luò)統(tǒng)籌監(jiān)顧根據(jù)《關(guān)于電信系統(tǒng)信息安全等級保護(hù)工作有關(guān)問題的意見》（信安通[2007]14號），以下說法中不正確的是（AB）A、電信系統(tǒng)的信息安全等級保護(hù)定級的備案工作由國家、省級、地市級電信企事業(yè)單位自行向同級公安機關(guān)進(jìn)行備案B、地市以下電信企事業(yè)單位的信息系統(tǒng)由地市電信管理部門統(tǒng)一向同級公安機關(guān)備案C、各地部具有全程全網(wǎng)性質(zhì)的信息系統(tǒng)，如本地網(wǎng)站、管理和辦公系統(tǒng)等，仍按《信息安全等級保護(hù)管理辦法》執(zhí)行D、開展針對各地全程全網(wǎng)性質(zhì)的電信網(wǎng)絡(luò)的信息安全等級保護(hù)檢查時，應(yīng)當(dāng)會同電信主管部門共同進(jìn)行《關(guān)于貫徹落實電信網(wǎng)絡(luò)等級保護(hù)定級工作的通知》（信電函[2007]101號）中，關(guān)于定級結(jié)果評審的有關(guān)要求，以下不正確的是（BD）。A、對于經(jīng)集團(tuán)公司審核后，安全保護(hù)等級擬定為第3級及以上級別的定級對象，應(yīng)由集團(tuán)公司將定級報告（電子版）報送信息產(chǎn)業(yè)部電信網(wǎng)絡(luò)安全防護(hù)專家組評審，B、安全保護(hù)等級擬定為第3級及以上級別的定級對象，應(yīng)由信息產(chǎn)業(yè)部電信網(wǎng)絡(luò)安全防護(hù)專家組確定定級對象的安全保護(hù)等級C、當(dāng)專家組評審意見與電信運營企業(yè)的意見達(dá)不成一致時，應(yīng)選擇雙方建議級別中較高的級別作為最終確定的級別D、當(dāng)專家組評審意見與電信運營企業(yè)的意見達(dá)不成一致時，應(yīng)選擇電信網(wǎng)絡(luò)安全防護(hù)專家組確定的安全保護(hù)等級《關(guān)于貫徹落實電信網(wǎng)絡(luò)等級保護(hù)定級工作的通知》（信電函[2007]101號）中要求，定級對象的管理主體為（AD）：A、省級公司B、地市級公司C、電信監(jiān)管部門D、集團(tuán)公司《YD/T1729-2008電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)實施指南》中指出，電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)工作的范圍包括（BCD）。A、非經(jīng)營性的互聯(lián)網(wǎng)信息服務(wù)單位、移動信息服務(wù)單位等B、支撐和管理公眾電信網(wǎng)和電信業(yè)務(wù)的業(yè)務(wù)單元和控制單元C、企業(yè)辦公系統(tǒng)、客服呼叫中心、企業(yè)門戶網(wǎng)站等非核心生產(chǎn)單元D、網(wǎng)絡(luò)和業(yè)務(wù)運營商運營的傳輸、承載各類電信業(yè)務(wù)的公眾電信網(wǎng)及其組成部分電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)的定級過程中，對社會影響力進(jìn)行賦值時，以下說法正確的是（ABD）。A、先確定對國家安全的損害程度B、再確定對社會秩序、經(jīng)濟運行和公共利益的損害程度C、是對國家安全、社會秩序、經(jīng)濟運行和公共利益的損害程度的平均值D、是對國家安全、社會秩序、經(jīng)濟運行和公共利益的損害程度最嚴(yán)重者電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)的實施過程中要遵循多種原則，以下說法中不正確的是（BD）。A、依據(jù)國家和通信行業(yè)相關(guān)標(biāo)準(zhǔn)對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)自主實施安全保護(hù)B、對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行新建時，應(yīng)當(dāng)同步規(guī)劃和設(shè)計安全方案，改建和擴建系統(tǒng)受到條件限制，可以暫時不考慮安全保護(hù)要求，待條件成熟時統(tǒng)一實施C、對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)劃分不同的安全等級，根據(jù)基本保護(hù)要求實現(xiàn)不同程度的安全保護(hù)D、根據(jù)對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的變化情況調(diào)整其安全等級，并在系統(tǒng)升級時按照調(diào)整后的安全等級進(jìn)行安全保護(hù)措施電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護(hù)要求中，第2級的安全運維管理在若干方面進(jìn)行了要求，其中不包括（A）。A、監(jiān)控管理B、密碼管理C、變更管理D、應(yīng)急預(yù)案管理電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)工作中，實施安全等級保護(hù)的安全運維階段需要進(jìn)行的控制活動很多，主要包括（AC）。A、運行管理和控制B、周期性的安全審計C、變更管理和控制D、入侵檢測和響應(yīng)在建設(shè)和完善信息安全管理體系的過程中，我們關(guān)注信息安全管理的要求，下面哪幾個是信息安全管理要求的來源(ABD)A.在綜合考慮了組織結(jié)構(gòu)整體戰(zhàn)略和目標(biāo)情況下，評估組織機構(gòu)風(fēng)險所獲得的B.信息安全的外部環(huán)境要求，這包括國家/信息安全主管機構(gòu)/上級主管機構(gòu)等制定的信息安全相關(guān)的政策、法律法規(guī)和行政要求，以及組織機構(gòu)所處的社會文化環(huán)境C.信息安全風(fēng)險評估D.組織機構(gòu)內(nèi)部的要求，這包括組織機構(gòu)市民使命？？？和業(yè)務(wù)運行相關(guān)的原則、目標(biāo)和標(biāo)準(zhǔn)規(guī)范等使命？？？以下哪種控制措施不屬于預(yù)防性的管理控制措施？(D)A.胸卡B.生物技術(shù)C.崗位輪換D.入侵檢測日志在進(jìn)行信息安全管理的過程中，、和是三個關(guān)鍵層次(ACD)。安全管理體系資產(chǎn)管理風(fēng)險管理安全管理控制措施目前，國際上主流的信息系統(tǒng)管理體系的標(biāo)準(zhǔn)有哪些：(BCD)美國的NISTSP800系列美國的薩班斯法案ISO/IEC的國際標(biāo)準(zhǔn)27000系列我國的信息安全等級保護(hù)制度這道題答案有問題。薩班斯法案關(guān)注的是公司財務(wù)報表的真實性，和信息安全管理體系無直接關(guān)系。等級保護(hù)是安全符合性檢查標(biāo)準(zhǔn)，和安全管理體系也無直接關(guān)系。我國信息安全等級保護(hù)的內(nèi)容包括______。(BCD這道題答案有問題。薩班斯法案關(guān)注的是公司財務(wù)報表的真實性，和信息安全管理體系無直接關(guān)系。等級保護(hù)是安全符合性檢查標(biāo)準(zhǔn)，和安全管理體系也無直接關(guān)系。A.對信息安全從業(yè)人員實行按等級管理B.對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理C.對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸和處理這些信息的信息系統(tǒng)分等級實行安全保護(hù)D.對信息系統(tǒng)中發(fā)生的信息安全事件按照等級進(jìn)行響應(yīng)和處置E.對信息安全違反行為實行按等級懲處Windows系統(tǒng)的訪問控制包括（BD）。A、對數(shù)據(jù)對象的訪問，通過對象的訪問控制列表來控制B、對文件或文件夾的訪問，通過用戶和組策略來控制C、對硬件資源的訪問，通過給進(jìn)程頒發(fā)訪問令牌來控制D、對計算機的訪問，通過賬號密碼的組合及物理限制來控制WindowsNT可以達(dá)到C2級別的安全性，說明它可以做到（ABCDE）。A、自主訪問控制（DAC）B、安全指令集C、強制的用戶標(biāo)識和認(rèn)證D、對象的重用（ObjectReuse）E、可記賬性和審核Unix文件系統(tǒng)安全就是基于i-node節(jié)點中的（ACD）關(guān)鍵信息。A、模式B、權(quán)限C、GIDD、UID在Linux的/etc/shadow文件中有下面一行內(nèi)容，從中無法看出（AC）。smith:!!:14475:3:90:5:::A、用戶smith被禁止登錄系統(tǒng)B、用戶smith每隔90天必須更換口令C、口令到期時，系統(tǒng)會提前3天對用戶smith進(jìn)行提醒D、更換了新口令之后，用戶smith不能在3天內(nèi)再次更換口令關(guān)于Unix系統(tǒng)中的守護(hù)進(jìn)程，以下說法中不正確的是（D）。A、是在后臺運行而無終端或者登錄shell和它結(jié)合在一起的進(jìn)程B、獨立于控制終端并且周期性的執(zhí)行某種任務(wù)或等待處理某些發(fā)生的事件C、大多數(shù)服務(wù)器都是用守護(hù)進(jìn)程實現(xiàn)的D、在用戶請求服務(wù)時啟動，在服務(wù)結(jié)束時終止指出下列關(guān)于計算機病毒的正確論述（ABDEF）。A、計算機病毒是人為地編制出來、可在計算機上運行的程序B、計算機病毒具有寄生于其他程序或文檔的特點C、只有計算機病毒發(fā)作時才能檢查出來并加以消除D、計算機病毒在執(zhí)行過程中，可自我復(fù)制或制造自身的變種E、計算機病毒只要人們不去執(zhí)行它，就無法發(fā)揮其破壞作用F、計算機病毒具有潛伏性，僅在一些特定的條件下才發(fā)作關(guān)于WEP和WPA加密方式的說法中正確的有(BD)A.802.11b協(xié)議中首次提出WPA加密方式B.802.11i協(xié)議中首次提出WPA加密方式C.采用WEP加密方式，只要設(shè)置足夠復(fù)雜的口令就可以避免被破解D.WEP口令無論多么復(fù)雜，都很容易遭到破解無線網(wǎng)絡(luò)的拒絕服務(wù)攻擊模式有(BCD)A.偽信號攻擊B.Land攻擊C.身份驗證洪水攻擊D.取消驗證洪水攻擊下面不屬于嗅探類工具的有(D)A.SnifferProB.WireSharkC.CainD.X-Way字典生成器可以生成的密碼種類有(ABCD)A.生日B.手機號碼C.身份證號D.中文姓名拼音下面關(guān)于sql注入語句的解釋，正確的是（ABCD）A、 “And1=1”配合“and1=2”常用來判斷url中是否存在注入漏洞B、andexists(select*from表名)常用來猜解表名C、andexists(select字段名from表明)常用來猜解數(shù)據(jù)庫表的字段名稱D、猜解表名和字段名，需要運氣，但只要猜解出了數(shù)據(jù)庫的表名和字段名，里面的內(nèi)容就100%能夠猜解到關(guān)于XSS跨站腳本攻擊，下列說法正確的有（ABCD）跨站腳本攻擊，分為反射型和存儲型兩種類型XSS攻擊，一共涉及到三方，即攻擊者、客戶端與網(wǎng)站。XSS攻擊，最常用的攻擊方式就是通過腳本盜取用戶端cookie，從而進(jìn)一步進(jìn)行攻擊XSS（crosssitescripting）跨站腳本，是一種迫使Web站點回顯可執(zhí)行代碼的攻擊技術(shù)，而這些可執(zhí)行代碼由攻擊者提供、最終為用戶瀏覽器加載。下面關(guān)于跨站請求偽造，說法正確的是（ABD）攻擊者必須偽造一個已經(jīng)預(yù)測好請求參數(shù)的操作數(shù)據(jù)包對于Get方法請求，URL即包含了請求的參數(shù)，因此偽造get請求，直接用url即可C、因為POST請求偽造難度大，因此，采用post方法，可以一定程度預(yù)防CSRFD、對于post方法的請求，因為請求的參數(shù)是在數(shù)據(jù)體中，目前可以用ajax技術(shù)支持偽造post請求以下哪些方法可以預(yù)防路徑遍歷漏洞（ABCD）A、在unix中使用chrooted文件系統(tǒng)防止路徑向上回朔B、程序使用一個硬編碼，被允許訪問的文件類型列表C、對用戶提交的文件名進(jìn)行相關(guān)解碼與規(guī)范化D、使用相應(yīng)的函數(shù)如（java）getCanonicalPath方法檢查訪問的文件是否位于應(yīng)用程序指定的起始位置查殺木馬，應(yīng)該從哪些方面下手（ABCD）Ａ、尋找并結(jié)束木馬進(jìn)程B、打漏洞補丁C、尋找木馬病毒文件D、尋找木馬寫入的注冊表項下面關(guān)于cookie和session說法正確的是（ABCD）只要將cookie設(shè)置為httponly屬性，腳本語言，就無法再盜取cookie內(nèi)容了cookie可以通過腳本語言，輕松從客戶端讀取針對cookie的攻擊，攻擊者往往結(jié)合XSS，盜取cookie，獲得敏感信息或進(jìn)行重放攻擊cookie往往用來設(shè)計存儲用戶的認(rèn)證憑證信息，因此cookie的安全，關(guān)系到認(rèn)證的安全問題。對于SQL注入攻擊的防御，可以采取哪些措施（ABCD）不要使用管理員權(quán)限的數(shù)據(jù)庫連接，為每個應(yīng)用使用單獨的權(quán)限有限的數(shù)據(jù)庫連接。不要把機密信息直接存放，加密或者h(yuǎn)ash掉密碼和敏感的信息不要使用動態(tài)拼裝sql，可以使用參數(shù)化的sql或者直接使用存儲過程進(jìn)行數(shù)據(jù)查詢存取對表單里的數(shù)據(jù)進(jìn)行驗證與過濾，在實際開發(fā)過程中可以單獨列一個驗證函數(shù)，該函數(shù)把每個要過濾的關(guān)鍵詞如select,1=1等都列出來，然后每個表單提交時都調(diào)用這個函數(shù)下列關(guān)于預(yù)防重放攻擊的方法，正確的是（ABD）A、預(yù)防重放攻擊，可以采用時間戳、序列號、提問-應(yīng)答等思想實現(xiàn)B、序列號的基本思想：通信雙方通過消息中的序列號來判斷消息的新鮮性，要求通信雙方必須事先協(xié)商一個初始序列號，并協(xié)商遞增方法C、時間戳基本思想──A接收一個消息當(dāng)且僅當(dāng)其包含一個對A而言足夠接近當(dāng)前時刻的時戳，只需設(shè)定消息接收的時間范圍，需關(guān)注通信雙方時間的同步D、提問應(yīng)答思想是：期望從B獲得消息的A事先發(fā)給B一個現(xiàn)時N，并要求B應(yīng)答的消息中包含N或f(N)，f是A、B預(yù)先約定的簡單函數(shù)，A通過B回復(fù)的N或f(N)與自己發(fā)出是否一致來判定本次消息是不是重放的是包過濾防火墻主要工作于哪一層次（C）A.應(yīng)用層B.會話層C.網(wǎng)絡(luò)層/傳輸層D.鏈路層/網(wǎng)絡(luò)層以下對防火墻的描述不正確的是（C）A.防火墻能夠?qū)W(wǎng)絡(luò)訪問進(jìn)行記錄和統(tǒng)計B.防火墻能夠隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)細(xì)節(jié)C.能夠防止來源于內(nèi)部的威脅和攻擊D.能根據(jù)據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流《關(guān)于貫徹落實電信網(wǎng)絡(luò)等級保護(hù)定級工作的通知》（信電函[2007]101號）中指出，對于確定為第2級及以上級別的定級對象，電信運營企業(yè)應(yīng)向電信監(jiān)管部門辦理備案，以下說法中不正確的是（ABD）。備案工作由集團(tuán)公司、省級公司和地市級公司進(jìn)行每個第3級及以上級別的定級對象均需填寫一份備案信息表備案信息表中要明確定級對象的所屬公司名稱（管理主體）每個第3級及以上級別的定級對象在備案時均需提交定級報告電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級劃分中，第3.2級的保護(hù)方法是：（B）A、由網(wǎng)絡(luò)和業(yè)務(wù)運營商依據(jù)國家和通信行業(yè)有關(guān)標(biāo)準(zhǔn)進(jìn)行保護(hù)B、由網(wǎng)絡(luò)和業(yè)務(wù)運營商依據(jù)國家和通信行業(yè)有關(guān)標(biāo)準(zhǔn)進(jìn)行保護(hù)，主管部門對其安全等級保護(hù)工作進(jìn)行重點監(jiān)督、檢查C、由網(wǎng)絡(luò)和業(yè)務(wù)運營商依據(jù)國家和通信行業(yè)有關(guān)標(biāo)準(zhǔn)進(jìn)行保護(hù)，主管部門對其安全等級保護(hù)工作進(jìn)行監(jiān)督、檢查D、由網(wǎng)絡(luò)和業(yè)務(wù)運營商依據(jù)國家和通信行業(yè)有關(guān)標(biāo)準(zhǔn)進(jìn)行保護(hù)，主管部門對其安全等級保護(hù)工作進(jìn)行指導(dǎo)確定定級對象安全等級的定級要素包括（BCD）。A、經(jīng)濟價值B、社會影響力C、規(guī)模和服務(wù)范圍D、所提供服務(wù)的重要性電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護(hù)要求中，下面哪一項是安全運維管理的應(yīng)急預(yù)案管理在第2級就要求的？（D）A、應(yīng)規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實際情況更新的內(nèi)容，并按照執(zhí)行B、應(yīng)從人力、設(shè)備、技術(shù)和財務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障C、應(yīng)定期對應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期D、應(yīng)對相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次《通信網(wǎng)絡(luò)安全防護(hù)范圍管理辦法》的防護(hù)范圍是（A）A.電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)域名服務(wù)提供者管理和運行的公用通信網(wǎng)和互聯(lián)網(wǎng)B.三級及三級以上的通信網(wǎng)絡(luò)C.在我國境內(nèi)運行的通信骨干網(wǎng)、匯聚網(wǎng)和接入網(wǎng)D.電信運營商的骨干通信網(wǎng)絡(luò)違反工信部11號令相關(guān)規(guī)定的，由電信管理機構(gòu)依據(jù)職權(quán)責(zé)令改正，拒不改正的（C）A.給予警告，并處五千元以上十萬元以下的罰款B.給予警告，并處五千元以上五萬元以下的罰款C.給予警告，并處五千元以上三萬元以下的罰款D.給予警告，并處五千元以上五十萬元以下的罰款下列不符合電信運營企業(yè)選擇安全服務(wù)機構(gòu)進(jìn)行電信網(wǎng)絡(luò)的安全評測和風(fēng)險評估條件的是：（B）A.在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）B.剛開始開展電信網(wǎng)絡(luò)安全保障服務(wù)業(yè)務(wù)C.相關(guān)工作人員是中國公民D.由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）什么是安全策略？（B）A、是一系列規(guī)則，這些規(guī)則制定了員工在其業(yè)務(wù)位置上應(yīng)該和不應(yīng)該做什么、使用哪些設(shè)備以及各種產(chǎn)品的可接受軟件配置等。B、是信息安全的高層文件，它包含了管理層對信息安全在組織機構(gòu)中所扮演的角色的整體描述和要求。C、建立了整個組織機構(gòu)內(nèi)所需的最低級別的安全D、是為實現(xiàn)一個特定任務(wù)要采取的詳細(xì)的、文檔化的、步驟化的活動。信息安全管理同其他管理問題一樣，首先要解決、和這三方面的問題。（D）A、人員、技術(shù)、操作B、威脅、風(fēng)險、資產(chǎn)C、工程、風(fēng)險、人員D、組織、制度、人員管理類題目以下哪些不是安全風(fēng)險評估實施流程中所涉及的關(guān)鍵部分（A）管理類題目A、網(wǎng)絡(luò)安全整改、B、資產(chǎn)識別、脆弱性識別、威脅識別C、已有安全措施確認(rèn)，風(fēng)險分析D、風(fēng)險評估準(zhǔn)備針對一個網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)安全的邊界保護(hù)可以使用下面的哪些產(chǎn)品組合（B）A、防火墻、入侵檢測、密碼B、防火墻、入侵檢測、防病毒C、身份鑒別、入侵檢測、內(nèi)容過濾D、防火墻、入侵檢測、PKI傳統(tǒng)的觀點，根據(jù)入侵行為的屬性，將入侵檢測系統(tǒng)按檢測方法分為（A）A.異常檢測、誤用檢測B.誤用檢測、遺傳C.人工免疫、遺傳D.異常檢測、人工免疫Windows系統(tǒng)管理員如果想允許一個普通用戶能夠使用遠(yuǎn)程桌面連接登錄到計算機，則應(yīng)當(dāng)（C）。A、將他加入Administrators組B、啟用安全選項“網(wǎng)絡(luò)訪問：可匿名訪問的終端服務(wù)”C、將他加入RemoteDesktopUsers組D、啟用安全選項“網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的終端服務(wù)”Linux系統(tǒng)中使用更安全的xinetd服務(wù)代替inetd服務(wù)，例如可以在/etc/xinetd.conf文件的”default{}”塊中加入（B）行以限制只有C類網(wǎng)段可以訪問本機的xinetd服務(wù)。A、allow=/24B、only_from=/24C、permit=/24D、hosts=/24以下關(guān)于數(shù)據(jù)庫安全的說法錯誤的是？（D）A.數(shù)據(jù)庫系統(tǒng)的安全性很大程度上依賴于DBMS的安全機制B.許多數(shù)據(jù)庫系統(tǒng)在操作系統(tǒng)下以文件形式進(jìn)行管理，因此利用操作系統(tǒng)漏洞可以竊取數(shù)據(jù)庫文件C.數(shù)據(jù)庫的安全需要在網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)三個方面進(jìn)行保護(hù)D.為了防止數(shù)據(jù)庫中的信息被盜取，在操作系統(tǒng)層次對文件進(jìn)行加密是唯一從根本上解決問題的手段下列哪種病毒能對計算機硬件產(chǎn)生破壞？（C）A．維金B(yǎng)．CODEREDC．CIHD．熊貓燒香下列對于蠕蟲病毒的描述錯誤的是：（B）A.蠕蟲的傳播無需用戶操作B.蠕蟲的傳播需要通過“宿主”程序或文件C.蠕蟲會消耗內(nèi)存或網(wǎng)絡(luò)帶寬，導(dǎo)致DOSD.蠕蟲程序一般由“傳播模塊”、“隱藏模塊”和“目的功能模塊”構(gòu)成下列哪一項是DOS攻擊的一個實例？（B）A.SQL注入B.Smurf攻擊C.IPSpoofD.字典破解以下哪一項是防范SQL注入攻擊最有效的手段？（C）A.刪除存在注入點的網(wǎng)頁B.對數(shù)據(jù)庫系統(tǒng)的管理權(quán)限進(jìn)行嚴(yán)格的控制C.對web用戶輸入的數(shù)據(jù)進(jìn)行嚴(yán)格的過濾D.通過網(wǎng)絡(luò)防火墻嚴(yán)格限制Internet用戶對web服務(wù)器的訪問下列對跨站腳本攻擊（XSS）的解釋最準(zhǔn)確的一項是：（B）A.引誘用戶點擊虛假網(wǎng)絡(luò)鏈接的一種攻擊方法 B.將惡意代碼嵌入到用戶瀏覽的web網(wǎng)頁中，從而達(dá)到惡意的目的C.一種很強大的木馬攻擊手段D.構(gòu)造精妙的關(guān)系數(shù)據(jù)庫的結(jié)構(gòu)化查詢語言對數(shù)據(jù)庫進(jìn)行非法的訪問《關(guān)于貫徹落實電信網(wǎng)絡(luò)等級保護(hù)定級工作的通知》（信電函[2007]101號）中規(guī)定的定級結(jié)果備案方式為（CD）。A、采用紙質(zhì)文檔方式將有關(guān)材料報送相應(yīng)電信監(jiān)管部門B、電子文檔應(yīng)具有電信運營企業(yè)的電子簽名C、紙質(zhì)材料應(yīng)加蓋單位公章D、采用電子文檔和紙質(zhì)文檔兩種方式將有關(guān)材料報送相應(yīng)電信監(jiān)管部門《關(guān)于貫徹落實電信網(wǎng)絡(luò)等級保護(hù)定級工作的通知》（信電函[2007]101號）中對于定級對象的審核，規(guī)定如下（ABC）：A、由電信運營企業(yè)集團(tuán)公司負(fù)責(zé)管理的定級對象，由信息產(chǎn)業(yè)部負(fù)責(zé)審核B、由電信運營企業(yè)省級公司負(fù)責(zé)管理的定級對象，由當(dāng)?shù)赝ㄐ殴芾砭重?fù)責(zé)審核C、主要審核相關(guān)材料是否齊備以及有關(guān)流程是否符合規(guī)定等D、電信運營企業(yè)集團(tuán)公司和省級公司負(fù)責(zé)管理的定級對象，都由信息產(chǎn)業(yè)部負(fù)責(zé)審核電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)的定級過程中，需要獨立考慮3個定級要素，以下哪些事項不屬于損害經(jīng)濟運行的事項？（CD）A、直接導(dǎo)致國家經(jīng)濟活動主體的經(jīng)濟損失B、間接導(dǎo)致國家經(jīng)濟活動主體的經(jīng)濟損失C、直接導(dǎo)致社會公眾的經(jīng)濟損失D、間接導(dǎo)致社會公眾的經(jīng)濟損失電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)的定級要素中，定級對象所提供服務(wù)的重要性可以從服務(wù)本身的重要性來衡量，例如（ABD）。A、業(yè)務(wù)的重要性B、業(yè)務(wù)的經(jīng)濟價值C、使用該服務(wù)的用戶數(shù)量D、對企業(yè)自身形象的影響電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)工作中，實施安全等級保護(hù)的安全等級確定階段包括（ACD）等幾個主要活動。A、對電信網(wǎng)和互聯(lián)網(wǎng)的識別和描述B、專家測評C、評審和備案D、定級對象的劃分以及安全等級確定《YD/T1756-2008電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)要求》中，在安全管理制度方面，從（BCD）方面做出了要求。A、培訓(xùn)和學(xué)習(xí)B、制定和發(fā)布C、評審和修訂D、管理制度電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護(hù)要求中，第2級在安全管理機構(gòu)的崗位設(shè)置上要求設(shè)立（ABC）崗位。A、系統(tǒng)管理員B、網(wǎng)絡(luò)管理員C、安全管理員D、安全審計員電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護(hù)要求中，第2級在人員安全管理的人員離崗上要求（BCD）。A、對于離崗人員，應(yīng)禁止其從計算機終端上拷貝數(shù)據(jù)B、應(yīng)規(guī)范人員離崗過程，及時終止離崗員工的所有訪問權(quán)限C、對于離崗人員，應(yīng)辦理嚴(yán)格的調(diào)離手續(xù)D、對于離崗人員，應(yīng)取回各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護(hù)要求中，備份與恢復(fù)管理中要求要制定數(shù)據(jù)的備份策略，其中應(yīng)指明（ABCD）。A、將數(shù)據(jù)離站運輸?shù)姆椒˙、備份數(shù)據(jù)的放置場所C、文件命名規(guī)則D、介質(zhì)替換頻率E、需要備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護(hù)要求中，第3.1級相比第2級在安全管理機構(gòu)的崗位設(shè)置上還要求設(shè)立（BD）。A、安全審計人員B、安全管理工作的職能部門C、安全監(jiān)控人員D、指導(dǎo)和管理安全工作的委員會或領(lǐng)導(dǎo)小組工信部11號令中，網(wǎng)絡(luò)安全防護(hù)工作是指為為防止（ABCD）而開展的工作A.通信網(wǎng)絡(luò)被非法控制B.通信網(wǎng)絡(luò)阻塞、中斷、癱瘓C.通信網(wǎng)絡(luò)中傳輸、存儲、處理的數(shù)據(jù)信息丟失D.通信網(wǎng)絡(luò)中傳輸、存儲、處理的數(shù)據(jù)泄露或者被篡改電信網(wǎng)絡(luò)定級的步驟包括（BCD）A.定級結(jié)果的調(diào)整 B.安全等級的劃分 C.安全等級的確定 D.電信網(wǎng)絡(luò)的劃分電信網(wǎng)絡(luò)安全評測的監(jiān)督檢查內(nèi)容主要包括：（ABCD）A.安全評測實施方法是否符合國家和信息產(chǎn)業(yè)部制定的