數據安全管理知識競賽考試題及答案單選題1.最小特權管理的原則是:A、每個用戶都擁有系統中的最大權限B、每個用戶只擁有完成任務所必要的權限集C、特權分配應按需使用D、特權擁有者可以隨意使用權限參考答案：B2.組織建立業(yè)務連續(xù)性計劃（BCP）的作用包括：A、在遭遇災難事件時，能夠最大限度地保護組織數據的實時性，完整性和一致性；B、提供各種恢復策略選擇，盡量減小數據損失和恢復時間，快速恢復操作系統、應用和數據；C、保證發(fā)生各種不可預料的故障、破壞性事故或災難情況時，能夠持續(xù)服務，確保業(yè)務系統的不間斷運行，降低損失；D、以上都是。參考答案：D3.組織建立業(yè)務連續(xù)性計劃（BCP）的是為了在遭遇災難事件時，能夠最大限度地保護組織數據的實時性，完整性和一致性；A、正確B、錯誤參考答案：A4.組織建立業(yè)務連續(xù)性計劃（BCP）的是為了保證發(fā)生各種不可預料的故障、破壞性事故或災難情況時，能夠持續(xù)服務，確保業(yè)務系統的不間斷運行，降低損失；A、正確B、錯誤參考答案：A5.組織建立信息安全管理體系并持續(xù)運行，其中錯誤的是（）A、建立文檔化的信息安全管理規(guī)范，實現有章可循B、強化員工的信息安全意識，培育組織的信息安全企業(yè)文化C、對服務供應商要求提供證明其信息安全合規(guī)的證明D、使組織通過國際標準化組織的ISO9001認證參考答案：D6.組織第一次建立業(yè)務連續(xù)性計劃時，最為重要的活動是：A、制定業(yè)務連續(xù)性策略B、進行業(yè)務影響分析C、進行災難恢復演練D、構建災備系統參考答案：A7.字典攻擊是指攻擊者使用常見的用戶名和密碼組合進行嘗試,以猜測用戶的憑據。以下哪種是字典攻擊的示例?A、密碼猜測/暴力破解攻擊B、社會工程學攻擊C、中間人攻擊D、撞庫攻擊參考答案：A8.準備登陸電腦系統時，發(fā)現有人在您的旁邊看著，正確做法是（）A、不理會對方B、提示對方避讓C、報警D、關機后離開參考答案：B9.撞庫攻擊是指攻擊者通過獲取已經泄露的用戶名和密碼組合,嘗試在其他網站或服務中使用這些憑據進行身份驗證。這種攻擊利用了用戶傾向于:A、使用弱密碼B、使用相同的用戶名和密碼組合C、喜歡使用公共計算機進行認證D、在社交媒體上公開個人信息參考答案：B10.重要涉密部門的人員選配，應當堅持（）的原則，并定期進行考核，不適合的應及時調整。A、誰選配誰負責B、先審后用C、先選后訓D、邊審邊用參考答案：B11.重放攻擊是指攻擊者截獲合法用戶的身份驗證流量,并在稍后的時間重新發(fā)送該流量,以冒充合法用戶進行身份驗證。以下哪種是重放攻擊的示例?A、跨站點腳本（XSS）攻擊B、令牌劫持攻擊C、生物特征欺騙攻擊D、社會工程學攻擊參考答案：B12.中間人攻擊是指攻擊者在用戶和身份驗證服務器之間插入自己的設備或軟件,以截獲和篡改身份驗證信息。以下哪種是中間人攻擊的示例?A、密碼猜測/暴力破解攻擊B、跨站點腳本（XSS）攻擊C、側信道攻擊D、令牌劫持攻擊參考答案：D13.中間人代理攻擊是指什么?A、攻擊者通過感染惡意軟件接管用戶通道B、攻擊者通過網絡釣魚誘騙用戶輸入憑據C、攻擊者利用漏洞繞過MFAD、攻擊者冒充合法軟件與用戶進行通信參考答案：D14.中國物聯網安全法規(guī)定了哪些網絡安全事件的報告義務？A、重大網絡安全事件B、跨境數據傳輸的網絡安全事件C、物聯網設備的網絡安全事件D、所有以上選項參考答案：D15.智能卡身份驗證需要什么?A、需要智能卡讀卡器和智能卡B、需要指紋識別設備和智能卡C、需要面部識別設備和智能卡D、需要虹膜掃描設備和智能卡參考答案：A16.智能合約是一種：A、基于物理合同的數字化版本B、編程代碼，用于在區(qū)塊鏈上執(zhí)行合同條款C、虛擬貨幣交易所D、區(qū)塊鏈節(jié)點的身份驗證機制參考答案：B17.制定《網絡安全審查辦法》的目的不包括。A、確保關鍵信息基礎設施供應鏈安全B、保障網絡安全和數據安全C、維護國家安全D、構建綠色網絡環(huán)境參考答案：D18.直接可識別性的例子如姓名、身份ID等基本身份信息,下列哪一項不屬于直接可識別性的例子?（）A、指紋B、聲紋C、虹膜D、牙模參考答案：D19.證書的有效期是多久?（）A、10/20B、20/30C、30/40D、40/50參考答案：A20.證書頒發(fā)機構的名稱是什么?（）A、PKI公鑰基礎設施B、Kerberos認證協議C、A數字證書認證中心D、公安局參考答案：D21.掌握超過100萬用戶個人信息的網絡平臺運營者于（）上市,必須向網絡安全審查辦公室申報網絡安全審查。A、國內B、國外C、香港D、上海參考答案：B22.在中華人民共和國開展數據處理活動及其安全監(jiān)管適用《中華人民共和國數據安全法》A、境內部分地區(qū)B、境內以及境外C、境外D、境內參考答案：D23.在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動,下列哪個情形也適用本法:A、以向境外自然人提供產品或者服務為目的B、分析、評估境外自然人的行為C、法律、行政法規(guī)規(guī)定的其他情形D、法律、行政法規(guī)規(guī)定之外的其他情形參考答案：C24.在中國境外處理中國境內自然人個人信息的活動的場景，哪個不適用《中華人民共和國個人信息保護法》。A、以向境內自然人提供產品或者服務為目的B、以向境外自然人提供產品或者服務為目的C、大規(guī)模分析、評估境內自然人的行為D、法律與行政法規(guī)規(guī)定的其他情形參考答案：B25.在網絡中傳輸數據，如果由于網絡質量不佳或擁塞而導致丟包，此時TCP協議不會采用哪種動作保障數據完整性。A、網絡擁塞時，TCP協議有擁塞控制機制，調整發(fā)送數據包的速率與流量避免擁塞B、超時重傳機制，保障傳輸數據的完整性C、滑動窗口機制，動態(tài)適應網絡變化與數據傳輸要求D、切換到UDP協議，盡力傳輸參考答案：D26.在網絡社會工程學攻擊中,以下哪項是常見的形式?A、電話詐騙B、媒體欺騙C、社交工程攻擊D、以上都是參考答案：D27.在網絡社會工程學攻擊中,攻擊者通常試圖通過哪些方式來欺騙目標?A、發(fā)送虛假的電子郵件、短信或其他通信形式B、利用人際交往或其他社交技巧來獲取目標的信任和信息C、偽裝成授權人員或合法用戶以獲取目標系統或機構的訪問權限D、以上都是參考答案：D28.在網絡環(huán)境下,身份是用來區(qū)別于其他個體的一種標識,必須具有什么特點?A、唯一性B、可復制性C、可變性D、隨機性參考答案：A29.在網絡訪問控制中,下面哪個技術可以實現對網絡通信連接的細粒度控制?A、防火墻B、VPN（VirtualPrivateNetwork）C、IDS（IntrusionDetectionSystem）D、ACL（AccessControlList）參考答案：D30.在網絡產品提供者提供網絡產品安全漏洞修補措施之前發(fā)布漏洞信息,應當與相關網絡產品提供者共同評估協商,并向工業(yè)和信息化部、公安部報告,由組織評估后進行發(fā)布。A、工業(yè)和信息化部、公安部B、公安部、國家安全委員會C、公安部、國家互聯網信息辦公室D、國家互聯網信息辦公室、國防部參考答案：A31.在數據包轉發(fā)過程中，當TTL值減少到0時，這個數據包必須（）。A、重發(fā)B、無動作C、丟棄D、接收參考答案：C32.在實施風險評估時，形成了《待評估信息系統相關設備及資產清單》。在風險評估實施的各個階段中，該《清單》應是（）A、風險評估準備B、風險要素識別C、風險分析D、風險結果判定參考答案：B33.在科舉考試中，考官必須采用鎖廳制進行封閉出卷，封閉在考場中出題，并且周圍有兵丁把守，禁止內外交流，這種措施體現了數據安全的什么手段（）單選題A、脫敏B、物理隔離C、身份識別與多因素認證D、加密參考答案：B34.在個人權利的保護方面,《個人信息保護法》規(guī)定了哪兩項不同于《通用數據保護條例》權利?（）A、更正補充權、限制處理權B、個人的決定權、請求解釋權C、個人的決定權、限制處理權D、更正補充權、請求解釋權參考答案：B35.在風險管理中，殘余風險是指實施了新的或增強的安全措施后還剩下的風險，關于殘余風險，下面描述錯誤的是（）A、風險處理措施確定以后，應編制詳細的殘余風險清單，并獲得管理層對殘余風險的書面批準，這也是風險管理中的一個重要過程B、管理層確認接收殘余風險，是對風險評估工作的一種肯定，表示管理層已經全面了解了組織所面臨的風險，并理解在風險一旦變?yōu)楝F實后，組織能夠且承擔引發(fā)的后果C、接收殘余風險，則表明沒有必要防范和加固所有的安全漏洞，也沒有必要無限制的提高安全保護措施的強度，對安全保護措施的選擇要考慮到成本和技術等因素的限制D、如果殘余風險沒有降低到可接受的級別，則只能被動的選擇接受風險，即對風險不進行下一步的處理措施，接受風險可能帶來的結果。參考答案：D36.在訪問控制中,以下哪個概念描述了對特定資源進行訪問操作時所需的身份驗證信息?A、認證B、授權C、驗證D、鑒別參考答案：A37.在訪問控制中,下面哪個措施可以增強系統的身份認證安全性?A、多因素認證B、開放注冊C、共享賬號和口令D、強制口令重用參考答案：A38.在訪問控制中,RBAC模型中的用戶角色關系是:A、一對一關系B、一對多關系C、多對多關系D、多對一關系參考答案：C39.在訪問控制中,RBAC模型中的權限繼承是指:A、用戶繼承角色的權限B、角色繼承用戶的權限C、角色繼承其他角色的權限D、用戶繼承其他用戶的權限參考答案：C40.在訪問控制中,RBAC（Role-BasedAccessControl）是指:A、基于用戶的訪問控制B、基于角色的訪問控制C、基于資源的訪問控制D、基于策略的訪問控制參考答案：B41.在訪問控制中,ABAC（Attribute-BasedAccessControl）的特點是:A、基于角色的訪問控制B、基于資源的訪問控制C、基于屬性的訪問控制D、基于策略的訪問控制參考答案：C42.在訪問控制產品的選擇過程中,以下哪個因素應該是最重要的考慮因素?A、產品的售價B、產品的品牌知名度C、產品的功能和特性是否滿足需求D、產品的外觀設計和用戶界面參考答案：C43.在對某面向互聯網提供服務的某應用服務器的安全檢測中發(fā)現，服務器上開放了以下幾個應用，除了一個應用外其他應用都存在明文傳輸信息的安全問題，作為一名檢測人員，你需要告訴用戶對應用進行安全整改以解決明文傳輸數據的問題，以下哪個應用已經解決了明文傳輸數據問題：A、SSHB、HTTPC、FTPD、SMTP參考答案：A44.在單點登錄（SSO）中,為什么采用SSL進行用戶、應用系統和認證服務器之間的通信?A、提高用戶體驗B、加快應用系統的響應速度C、減小敵手截獲和竊取信息的可能性D、增加數據的傳輸效率參考答案：C45.在單點登錄（SSO）認證過程中,為什么需要使用SSL通道來傳遞Cookie?A、提高用戶體驗B、加快應用系統的響應速度C、增加Cookie的安全性D、減小Cookie被截獲的可能性參考答案：D46.在單點登錄（SSO）認證過程中,Cookie的作用是什么?A、存儲用戶的登錄憑據B、保存用戶的個人信息C、傳遞訪問票據和用戶信息D、加密用戶的通信數據參考答案：C47.在車載系統中，CAN總線是什么A、一種汽車品牌的總線標準B、一種車載音響系統C、一種用于車輛通信的總線標準D、一種駕駛員的控制界面參考答案：C48.在ZigBeeMAC安全中，MAC安全幀不包括A、報頭B、報尾C、負載D、幀內容參考答案：C49.在Windows2000以后的操作系統版本中，訪問控制是一種雙重機制，它對用戶的授權基于用戶權限和對象許可，通常使用ACL、訪問令牌和授權管理器來實現訪問控制功能。以下選項中，對windows操作系統訪問控制實現方法的理解錯誤的是（）A、CL只能由管理員進行管理B、ACL是對象安全描述的基本組成部分，它包括有權訪問對象的用戶和級的SIDC、訪問令牌存儲著用戶的SID，組信息和分配給用戶的權限D、通過授權管理器，可以實現基于角色的訪問控制參考答案：A50.在（）的領導下建立了國家網絡安全審查工作機制。A、中央網絡安全和信息化委員會B、中華人民共和國國家安全部C、中華人民共和國工業(yè)和信息化部D、中華人民共和國公安部參考答案：A51.運營者應當自行或者委托網絡安全服務機構對關鍵信息基礎設施每年至少進行一次網絡安全檢測和風險評估，對發(fā)現的安全問題及時整改，并按照保護工作部門要求報送情況。A、對B、錯參考答案：A52.運營者應當自行或者委托網絡安全服務機構對關鍵信息基礎設施每年至少進行（）網絡安全檢測和風險評估，對發(fā)現的安全問題及時整改，并按照保護工作部門要求報送情況。A、一次B、二次C、三次D、四次參考答案：A53.運營者應當自行或者委托網絡安全服務機構對關鍵信息基礎設施每年至少進行（）次網絡安全檢測和風險評估,對發(fā)現的安全問題及時整改,并按照保護工作部門要求報送情況。（）A、一B、二C、三D、四參考答案：A54.運營者應當建立健全網絡安全保護制度和責任制,保障人力、財力、物力投入。（）對關鍵信息基礎設施安全保護負總責,領導關鍵信息基礎設施安全保護和重大網絡安全事件處置工作,組織研究解決重大網絡安全問題。（）A、國家網信部門B、國務院公安部門C、省級人民政府有關部門D、運營者的主要負責人參考答案：D55.運營者對保護工作部門開展的關鍵信息基礎設施網絡安全檢查檢測工作，應當對以下哪個部門依法開展的關鍵信息基礎設施網絡安全檢查工作應當予以配合？A、應急管理部B、工信部C、大數據局D、公安、國安、保密行政管理、密碼管理參考答案：D56.運營者的主要負責人對關鍵信息基礎設施安全保護負總責。A、對B、錯參考答案：A57.運營者的（）對關鍵信息基礎設施安全保護負總責。A、安全運維團隊B、信息中心負責人C、生產責任人D、主要負責人參考答案：D58.運輸、攜帶、郵寄計算機信息媒體進出境的,應當如實向（）申報。（）A、省級以上人民政府公安機關B、國家安全部C、國家保密局D、海關參考答案：D59.語句SELECT‘ACCP’FROMDUAL的執(zhí)行結果是（）A、CCPB、XC、編譯錯D、提示未選中行參考答案：A60.有權對違反本法規(guī)定的行為向有關主管部門投訴、舉報?A、只有從事數據安全工作的人員有權B、只有從事數據安全工作的組織有權C、只有從事數據安全工作的人員和組織有權D、任何個人、組織都有權參考答案：D61.隱私保護和合規(guī)性的目的是什么?A、防止物理安全威脅B、保護個人信息和敏感數據的安全和隱私C、提高網絡防火墻的性能D、加速數據傳輸速度參考答案：B62.銀行保險監(jiān)督管理機構應當按照縣級以上人民政府及法定授權部門對突發(fā)事件的應對要求,審慎評估突發(fā)事件對銀行保險機構造成的影響,依法履行的職責不包括下列哪一項內容?（）A、加強對突發(fā)事件引發(fā)的區(qū)域性、系統性風險的監(jiān)測、分析和預警B、督促銀行保險機構按照突發(fā)事件應對預案,保障基本金融服務功能持續(xù)安全運轉C、配合銀行保險機構提供突發(fā)事件應急處置金融服務D、引導銀行保險機構積極承擔社會責任參考答案：C63.以下做法錯誤的是:（）A、嚴禁涉密系統一機兩網B、涉密硬盤報廢后可以格式化后廢品回收C、用于連接互聯網的PC不得處理涉密信息D、密級高的數據不得向非密系統導入參考答案：B64.以下做法，正確的是（）。A、離職后將個人負責的項目的敏感文檔一并帶走B、將敏感信息在云盤備份C、會議室使用完畢后及時擦除白板D、在公共場所談論敏感信息參考答案：C65.以下選項在WiFi技術安全中不屬于網絡層安全的是A、服務配置標識符B、有線等價保密協議C、身份認證D、虛擬專用網參考答案：B66.以下選項不屬于數據庫隱私度量標準和位置隱私度量標準的是A、隱私保護度B、數據的可用性C、服務質量D、位置信息的可用性參考答案：D67.以下數據中不屬于國家核心數據的是（）。A、關系國家安全的數據B、關系國民經濟命脈的數據C、關系重要民生的數據D、關系公共利益的數據參考答案：D68.以下適用《中華人民共和國網絡安全法》說法正確的是:A、關鍵信息基礎設施的運營者在中華人民共和國境外運營中收集和產生的重要數據的出境安全管理B、關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理C、關鍵信息基礎設施的運營者在中華人民共和國境外運營中收集和產生的一般數據的出境安全管理D、關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的一般數據的出境安全管理參考答案：B69.以下哪種情形不適用《網絡安全法》?（）A、在中國境內建設網站B、在中國境內運營網站C、在中國境內使用網站D、在中國境外使用網站參考答案：D70.以下哪種行為不適用《數據安全法》?（）A、中國境內開展數據處理活動的行為B、中國境外開展數據處理活動的行為C、中國境外開展數據處理活動損害中國國家利益的行為D、中國境外開展數據處理活動損害公民合法權益的行為參考答案：B71.以下哪種行為不適用《個人信息保護法》?（）A、在中國境內因商業(yè)服務處理自然人個人信息;B、在中國境外以向境內自然人提供產品或者服務為目的處理境內自然人個人信息;C、在中國境外分析、評估境內自然人的行為;D、在中國境內因個人事務處理自然人個人信息。參考答案：D72.以下哪種訪問控制模型是基于用戶角色分配來確定用戶的訪問權限?A、自主訪問控制模型（DAC）B、強制訪問控制模型（MAC）C、角色基礎訪問控制模型（RBAC）D、屬性基礎訪問控制模型（ABAC）參考答案：C73.以下哪種訪問控制模型是基于用戶的個人身份來授權資源訪問權限?A、自主訪問控制模型（DAC）B、強制訪問控制模型（MAC）C、角色基礎訪問控制模型（RBAC）D、屬性基礎訪問控制模型（ABAC）參考答案：A74.以下哪種訪問控制模型是基于一組屬性規(guī)則來確定用戶對資源的訪問權限?A、自主訪問控制模型（DAC）B、強制訪問控制模型（MAC）C、角色基礎訪問控制模型（RBAC）D、屬性基礎訪問控制模型（ABAC）參考答案：D75.以下哪種訪問控制模型是基于一組定義良好的屬性規(guī)則來確定用戶對資源的訪問權限?A、自主訪問控制模型（DAC）B、強制訪問控制模型（MAC）C、事實授權訪問控制模型（FBA）D、基于屬性的訪問控制模型（ABAC）參考答案：D76.以下哪種訪問控制模型是基于定義的訪問控制策略來控制對資源的訪問權限?A、自主訪問控制模型（DAC）B、強制訪問控制模型（MAC）C、角色基礎訪問控制模型（RBAC）D、基于策略的訪問控制模型（PBAC）參考答案：D77.以下哪一項不屬于常見的風險評估與管理工具：A、基于信息安全標準的風險評估與管理工具B、基于知識的風險評估與管理工具C、基于模型的風險評估與管理工具D、基于經驗的風險評估與管理工具參考答案：D78.以下哪一項不是常見威脅對應的消減措施：A、假冒攻擊可以采用身份認證機制來防范B、為了防止傳輸的信息被篡改，收發(fā)雙方可以使用單向Hash函數來驗證數據的完整性C、為了防止發(fā)送方否認曾經發(fā)送過的消息，收發(fā)雙方可以使用消息驗證碼來防止抵賴D、為了防止用戶提升權限，可以采用訪問控制表的方式來管理權限參考答案：C79.以下哪一行為,符合國家關于信息處理的要求?（）A、甲利用作為銀行職員的便利為境外刺探、非法提供銀行金融數據B、甲銀行APP軟件未經客戶明確同意,擅自收集客戶的人臉信息C、甲銀行柜員乙為客戶辦理業(yè)務需要,經過客戶同意,按照銀行流程掃描客戶身份證原件D、甲公司要求銀行提供該公司員工乙的支付勞務工資記錄,銀行未經審查直接向甲公司提供參考答案：C80.以下哪一個是中國移動的網站:A、B、www.1OO86.cnC、D、參考答案：C81.以下哪些信息不屬于個人信息?（）A、個人醫(yī)療記錄B、個人支付憑證C、個人位置信息D、匿名化的犯罪記錄參考答案：D82.以下哪項政務數據可以開放？（）A、涉及國家秘密B、商業(yè)秘密C、個人隱私D、領導任命前的公示參考答案：D83.以下哪項是降低社會工程學攻擊風險的有效措施?A、增加網絡防火墻的配置B、提供員工教育和培訓C、定期進行漏洞掃描和滲透測試D、使用強密碼保護賬戶參考答案：B84.以下哪個是惡意代碼采用的隱藏技術：A、文件隱藏B、進程隱藏C、網絡連接隱藏D、以上都是參考答案：D85.以下哪個拒絕服務攻擊方式不是流量型拒絕服務攻擊A、LandB、UDPFloodC、SmurfD、Teardrop參考答案：D86.以下哪個方面不是數據合規(guī)審查中需要關注的要點?（）A、數據來源的合規(guī)性B、數據使用的合規(guī)性C、數據跨境的合規(guī)性D、數據價值的評估參考答案：D87.以下哪個場景不會導致瀏覽網頁泄露個人信息（）A、釣魚網站B、Cookie技術C、頁面掛馬D、開啟DNT參考答案：D88.以下哪部法律適用于適用于在中華人民共和國境外開展數據處理活動及其安全監(jiān)管.A、《中華人民共和國國家安全法》B、《中華人民共和國網絡安全法》C、《中華人民共和國數據安全法》D、《中華人民共和國個人信息保護法》參考答案：C89.以下行為違反《網絡安全審查辦法》的是（）。A、不利用提供產品和服務的便利條件非法獲取用戶數據B、不非法控制和操縱用戶設備C、不中斷產品供應或者必要的技術支持服務D、關鍵信息基礎設施運營者采購網絡產品和服務不主動申報網絡安全審查參考答案：D90.以下行為存在信息泄露隱患的是（）?A、打印文件后刪除打印機緩存內容B、使用碎紙機粉碎看過的重要資料C、為方便辦公拍攝屏幕D、數據在U盤加密處理參考答案：C91.以下行為不屬于違反國家涉密規(guī)定的行為：A、將涉密計算機、涉密存儲設備接入互聯網及其他公共信息網絡B、通過普通郵政等無保密及措施的渠道傳遞國家秘密載體C、在私人交往中涉及國家秘密D、以不正當手段獲取商業(yè)秘密參考答案：D92.以下關于信息系統安全建設整改工作工作方法說法中不正確的是：（A）A、突出重要系統，涉及所有等級,試點示范，行業(yè)推廣，國家強制執(zhí)行。B、利用信息安全等級保護綜合工作平臺使等級保護工作常態(tài)化。C、管理制度建設和技術措施建設同步或分步實施。D、加固改造缺什么補什么,也可以進行總體安全建設整改規(guī)劃。參考答案：A93.以下關于威脅建模流程步驟說法不正確的是A、威脅建模主要流程包括四步：確定建模對象、識別威脅、評估威脅和消減威脅B、評估威脅是對威脅進行分析，評估被利用和攻擊發(fā)生的概率，了解被攻擊后資產的受損后果，并計算風險C、消減威脅是根據威脅的評估結果，確定是否要消除該威脅以及消減的技術措施，可以通過重新設計直接消除威脅，或設計采用技術手段來消減威脅。D、識別威脅是發(fā)現組件或進程存在的威脅，威脅就是漏洞。參考答案：D94.以下關于UDP協議的說法，哪個是錯誤的?A、具有簡單高效的特點，常被攻擊者用來實施流量型拒絕服務攻擊B、UDP包頭中包含了源端口號和目的端口號，因此可通過端口號將數據包送達正確的程序C、相比TCP，UDP開銷更小，因此常用來傳送如視頻這一類大流量需求的數據D、UDP協議不僅具有流量控制，超時重發(fā)等機制，還能提供加密等服務，因此常用來傳輸如視頻通話這類需要保護隱私的數據參考答案：D95.以下關于TCP協議的說法，哪個是正確的?A、相比UDP，TCP傳輸更可靠，并具有更高的效率B、TCP協議包頭中包含了源IP和目的IP，因此TCP協議負責將數據傳送到正確的主機C、TCP協議具有流量控制、數據校驗、超時重發(fā)、接收確認等機制，因此能完全可以替代IP協議D、TCP協議雖然高可靠，但是比UDP協議過于復雜，傳輸效率要比UDP低參考答案：D96.以下登錄口令設置，安全強度最高的是？A、1314520B、Admin123C、root123456D、cptbtptp77！參考答案：D97.以下不是關鍵信息基礎設施重要行業(yè)和領域的是？A、公共通信B、能源、交通、水利C、公共服務D、各類電商網購平臺參考答案：D98.以下不是《電子合同取證流程規(guī)范》（標準號:GB/T39321-2020）中規(guī)定的電子取證的原則的（）A、合法有效B、主觀真實C、完整D、防篡改參考答案：B99.以下Windows系統的賬號存儲管理機制SAM（SecurityAccoumtsManager）的說法哪個是正確的：A、存儲在注冊表中的賬號數據是管理員組用戶都可以訪問，具有較高的安全性B、存儲在注冊表中的賬號數據administrator賬戶才有權訪問，具有較高的安全性C、存儲在注冊表中的賬號數據任何用戶都可以直接訪問，靈活方便D、存儲在注冊表中的賬號數據只有System賬號才能訪問，具有較高的安全性參考答案：D100.以下4種對BLP模型的描述中，正確的是（）：A、BLP模型用于保證系統信息的機密性，規(guī)則是“向上讀，向下寫”B、LP模型用于保證系統信息的機密性，規(guī)則是“向下讀，向上寫”C、BLP模型用于保證系統信息的完整性，規(guī)則是“向上讀，向下寫”D、BLP模型用于保證系統信息的完整性，規(guī)則是“向下讀，向上寫”參考答案：B101.以太坊屬于（）A、私有鏈B、公有鏈C、聯盟鏈D、以上都不是參考答案：B102.以上地方人民政府有關部門的網絡安全保護和監(jiān)督管理職責,按照國家有關規(guī)定確定A、省級B、市級C、縣級D、區(qū)級參考答案：C103.依據ISO27701,個人信息系統用來存儲個人信息的方式為?（）A、一個文件存放一個人的信息B、數據庫統一管理C、電子表格管理D、存放在內存參考答案：A104.依據ISO27001,信息系統審計是（）。（）A、應在系統運行期間進行,以便于準確地發(fā)現弱電B、審計工具在組織內應公開可獲取,以便于提升員工的能力C、發(fā)現信息系統脆弱性的手段之一D、只要定期進行,就可以替代內部ISMS審核參考答案：C105.依據《中華人民共和國數據安全法》，開展數據處理活動應當依照法律、法規(guī)的規(guī)定，建立健全（）管理制度。A、數據風險評估B、數據泄露應急處置C、數據交易D、全流程數據安全參考答案：D106.依據《電信和互聯網用戶個人信息保護規(guī)定》,下列那項說法是錯誤的?（）A、電信業(yè)務經營者、互聯網信息服務提供者收集、使用用戶個人信息的,應當明確告知用戶收集、使用信息的目的、方式和范圍,查詢、更正信息的渠道以及拒絕提供信息的后果等事項B、電信業(yè)務經營者、互聯網信息服務提供者不得收集其提供服務所必需以外的用戶個人信息或者將信息用于提供服務之外的目的,不得以欺騙、誤導或者強迫等方式或者違反法律、行政法規(guī)以及雙方的約定收集、使用信息C、電信業(yè)務經營者、互聯網信息服務提供者及其工作人員對在提供服務過程中收集、使用的用戶個人信息可以未經用戶同意向其關聯公司提供D、電信業(yè)務經營者、互聯網信息服務提供者在用戶終止使用電信服務或者互聯網信息服務后,應當停止對用戶個人信息的收集和使用,并為用戶提供注銷號碼或者賬號的服務參考答案：C107.依ISO27001標準制定信息安全管理體系方針應以考慮的輸入是?（）A、業(yè)務戰(zhàn)略B、法律法規(guī)要求C、合同要求D、以上全部參考答案：D108.一種被廣為接受的應急響應方法是將應急響應管理過程分為6個階段，準備→檢測→遏制→根除→恢復→跟蹤總結。請問下列說法有關于信息安全應急響應管理過程錯誤的是（）:A、確定重要資產和風險，實施針對風險的防護措施是信息安全應急響應規(guī)劃過程中最關鍵的步驟B、在檢測階段，首先要進行監(jiān)測、報告及信息收集C、遏制措施可能會因為事件的類別和級別不同而完全不同。常見的遏制措施有完全關閉所有系統、斷網等D、應按照應急響應計劃中事先制定的業(yè)務恢復優(yōu)先順序和恢復步驟，順次恢復相關的系統參考答案：A109.要防止網絡社會工程學攻擊,以下哪項是必要的?A、使用復雜的密碼,避免使用生日、電話號碼等容易被猜到的信息作為密碼。B、安裝并更新反病毒軟件、防火墻等安全軟件可以有效防止網絡攻擊和惡意軟件入侵。C、教育員工,提高員工對網絡社會工程學攻擊的認識和防范意識。D、以上都是參考答案：D110.亞太經濟合作組織（以下簡稱“APEC”）在下列哪一年通過了《跨境隱私規(guī)則體系》（《CrossBorderPrivacyRulesSystem》,以下簡稱“CBPR”）?（）數據A、2010年B、2003年C、2008年D、2013年參考答案：D111.信息安全概念經常與計算機安全、網絡安全、數據安全等互相交叉籠統的使用。就目前而言，信息安全的內容不包括A、硬件安全B、軟件安全C、運行服務安全D、隱私安全參考答案：D112.小王自駕車到一座陌生的城市出差，則對他來說可能最為有用的是A、路況不良B、惡意軟件攻擊C、車輛碰撞D、音響失效參考答案：D113.小王自駕車到一座陌生的城市出差，則對他來說可能最為有用的是A、保護車輛的外觀B、保護車輛的發(fā)動機C、保護車輛的乘客和駕駛員D、保護車輛的音響系統參考答案：C114.下述那項不是區(qū)塊鏈中應用的技術（）。A、密碼學B、大數據C、共識算法D、P2P網絡參考答案：B115.下面哪種情況可以被視為社會工程學攻擊的目標?A、數據中心的物理安全B、強密碼設置C、員工培訓計劃D、服務器硬件升級參考答案：C116.下面哪項為錯誤的說法A、馮·諾依曼結構共用數據存儲空間和程序存儲空間，不共享存儲器總線B、哈佛結構有分離的數據和程序空間及分離的訪問總線C、哈佛結構在指令執(zhí)行時，取址和取數可以進行并行操作D、哈佛結構指令執(zhí)行時效率更高參考答案：A117.下面哪項是加強安全意識推廣的有效方式?A、提供員工獎勵計劃B、發(fā)送周期性的安全通知C、禁止員工使用公司電子郵件D、隨機抽查員工隱私信息參考答案：B118.下面哪個是社會工程學的常見形式?A、加密技術B、數據分析C、釣魚攻擊D、防火墻配置參考答案：C119.下面哪個不是生成樹的優(yōu)點（）A、生成樹可以管理冗余鏈路，在鏈路發(fā)生故障時可以恢復網絡連接B、生成樹可以防止環(huán)路的產生C、生成樹可以防止廣播風暴D、生成樹能夠節(jié)省網絡帶寬參考答案：D120.下列針對數據安全的運維要求中，正確的操作是（）。A、確認需要備份的是哪些數據/數據庫，設定備份與歸檔的策略B、從數據備份的完整性與成本方面的均衡角度考慮，增量備份結合全量備份是一個推薦的措施C、需要對備份后的數據進行恢復校驗，以確?；謴秃蟮臄祿捎肈、定期對數據相關風險進行評估E、以上都對參考答案：E121.下列物件中不體現物聯網智能處理特征的是A、數據庫B、虛擬機C、云儲存D、智能卡參考答案：D122.下列說法中不正確的是（B）A、定級/備案是信息安全等級保護的首要環(huán)節(jié)。B、等級測評是評價安全保護現狀的關鍵。C、建設整改是等級保護工作落實的關鍵。D、監(jiān)督檢查是使信息系統保護能力不斷提高的保障。參考答案：B123.下列說法正確的是A、鼓勵相關組織和個人向網絡產品提供者通報其產品存在的安全漏洞。B、不建議相關組織和個人向網絡產品提供者通報其產品存在的安全漏洞。C、相關組織和個人沒有權利向網絡產品提供者通報其產品存在的安全漏洞。D、不鼓勵網絡產品提供者建立所提供網絡產品安全漏洞獎勵機制,對發(fā)現并通報所提供網絡產品安全漏洞的組織或者個人給予獎勵。參考答案：A124.下列說法不正確的是:A、自然人的個人信息受法律保護,任何組織、個人不得侵害自然人的個人信息權益B、個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息C、個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等D、處理個人信息應當遵循合法、正當、必要和誠信原則,可以通過誤導、欺詐、脅迫等方式處理個人信息參考答案：D125.下列屬于韓國關于全球數據跨境管控要求清單的是?（）A、《電子通信法》B、《互聯網服務和在線信息管理、提供和使用條例》C、《電子金融交易監(jiān)管條例》D、《國家數據分享和準入政策》參考答案：C126.下列哪種通信技術不屬于低功率短距離的無線通信技術？A、廣播B、超寬帶技術C、藍牙D、Wi-Fi參考答案：A127.下列哪一項不屬于數據跨境的場景類型?（）A、數據跨境B、跨境傳輸C、跨境采集D、跨境訪問參考答案：B128.下列哪一規(guī)定的頒布被譽為數據領域“哥白尼革命”式的立法,特別注重“數據權利保護”與“數據自由流通”之間的平衡?（）A、《加州隱私權利法》B、《通用數據保護條例》（GDPR）C、《弗吉尼亞州消費者數據保護法》D、《科羅拉多州隱私法案》參考答案：B129.下列哪項是特殊個人信息處理者的義務?（）A、定期發(fā)布個人信息保護社會責任報告B、制定內部管理制度和操作規(guī)程C、采取適當的安全技術措施D、制定并組織實施個人信息安全事件響應預案參考答案：A130.下列哪項內容描述的是緩沖區(qū)溢出漏洞?A、通過把SQL命令插入到web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執(zhí)行惡意的SQL命令B、攻擊者在遠程WEB頁面的HTML代碼中插入具有惡意目的的數據，用戶認為該頁面是可信賴的，但是當瀏覽器下載該頁面，嵌入其中的腳本將被解釋執(zhí)行。C、當計算機向緩沖區(qū)內填充數據位數時超過了緩沖區(qū)本身的容量溢出的數據覆蓋在合法數據上D、信息技術、信息產品、信息系統在設計、實現、配置、運行等過程中，有意或無意產生的缺陷參考答案：C131.下列哪個是訪問控制中的授權方式?A、訪問請求審查B、雙因素認證C、單一登錄D、加密傳輸參考答案：A132.下列哪個情形,個人信息處理者不可處理個人信息:A、為應對突發(fā)公共衛(wèi)生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需B、并非履行法定職責或者法定義務所必需,且未獲得當事人允許C、為公共利益實施新聞報道、輿論監(jiān)督等行為,在合理的范圍內處理個人信息D、法律、行政法規(guī)規(guī)定的其他情形參考答案：B133.下列哪個不是資源對象?A、文件B、應用服務C、數據D、用戶參考答案：D134.下列行為不符合個人信息處理法律法規(guī)A、最小化采集B、內部制定管理制度，確保個人信息處理合規(guī)C、采取加密、去標識等措施D、APP設計開發(fā)時采用默認采集默認授權的模式參考答案：D135.下列國密算法中,那個是哈希算法（）A、SM9B、SM4C、SM2D、SM3參考答案：D136.下列國密算法中,那個是公鑰密碼算法（）A、SM2B、SM3C、SM4D、SM9參考答案：A137.下列國密算法中,那個是對稱密碼算法（）A、SM3B、SM4C、SM2D、SM9參考答案：B138.下列對爬蟲使用說法錯誤的是（）。（）A、網絡數據爬取應限于對開放數據的獲取。如果網絡爬蟲獲取非開放的數據,便涉嫌違法甚至犯罪B、數據爬蟲技術不應具有侵入性,可以說,爬蟲的侵入性是其違法性的主要體現C、數據爬取應當基于正當目的,對開放數據的獲取可能因不符合正當目的而具有違法性D、爬取公開數據時即使突破網站或App的反爬蟲技術設置進行的爬取行為,行為人不需承擔刑事責任參考答案：D139.下不屬于云計算與物聯網融合模式的是A、單中心-多終端模式B、多中心-大量終端模式C、信息應用分層處理-海量終端模式D、單中心-單中端模式參考答案：D140.物聯網中的隱私保護措施主要包括以下哪些方面？A、數據加密B、訪問控制C、數據備份D、所有以上選項參考答案：D141.物聯網中的物理安全措施主要包括以下哪些方面？A、鎖定物聯網設備的物理位置B、安裝視頻監(jiān)控設備C、控制物聯網設備的物理訪問權限D、所有以上選項參考答案：D142.物聯網中的網絡監(jiān)控是用于什么目的？A、實時監(jiān)測物聯網設備和網絡的運行狀態(tài)B、檢測物聯網設備是否符合安全標準C、監(jiān)控物聯網設備的物理位置D、所有以上選項參考答案：A143.物聯網中的網絡隔離是指什么？A、將物聯網設備與互聯網隔離B、將不同的物聯網設備劃分到獨立的網絡C、阻止物聯網設備之間的通信D、限制物聯網設備的訪問速度參考答案：B144.物聯網中的社交工程是指什么？A、攻擊者利用社交媒體進行攻擊B、攻擊者通過社交網絡竊取數據C、攻擊者利用人們的社交行為進行欺騙和攻擊D、攻擊者利用物聯網設備進行社交活動參考答案：C145.物聯網中的惡意軟件是指什么？A、針對物聯網設備的惡意軟件程序B、針對物聯網網絡的惡意軟件程序C、針對物聯網數據的惡意軟件程序D、針對物聯網用戶的惡意軟件程序參考答案：A146.物聯網中的安全審計是用于什么目的？A、監(jiān)測和記錄物聯網設備的安全事件B、評估物聯網設備的性能指標C、分析物聯網數據的使用情況D、優(yōu)化物聯網設備的能源消耗參考答案：A147.物聯網中的安全策略制定應考慮哪些因素？A、風險評估B、合規(guī)要求C、技術限制D、所有以上選項參考答案：D148.物聯網中的安全測試是用于什么目的？A、發(fā)現物聯網設備和系統的安全漏洞B、測試物聯網設備的性能指標C、測試物聯網設備的可用性D、評估物聯網設備的制造成本參考答案：A149.物聯網分為感知、網絡和（）三個層次，在每個層面上。都將有多種選擇去開拓市場A、應用B、推廣C、傳輸D、運營參考答案：A150.物聯網的安全漏洞可能導致以下哪些風險？A、個人隱私泄露B、設備被遠程控制C、數據泄露D、所有以上選項參考答案：D151.物聯網安全是指什么？A、保護物聯網設備的物理安全B、保護物聯網設備免受未經授權的訪問和攻擊C、保護物聯網設備的電源供應D、保護物聯網設備的網絡連接速度參考答案：B152.我國有關文件指出：風險評估的工作形式可分為自評估和檢查評估兩種，關于自評估，下面選項中描述錯誤的是（）。A、自評估是由信息系統擁有、運營或使用單位發(fā)起的對本單位信息系統進行的風險評估B、自評估應參照相應標準、依據制定的評估方案和準則，結合系統特定的安全要求實施C、自評估應當是由發(fā)起單位自行組織力量完成，而不應委托社會風險評估服務機構來實施D、周期性的自評估可以在評估流程上適當簡化，如重點針對上次評估后系統變化部分進行參考答案：C153.我國相關法律對電子數據的審查判斷作了明確要求,提出“以收集原始存儲介質為原則,以直接提取電子數據為例外”的原則。（）A、正確B、錯誤參考答案：A154.我國目前確定了五大生產要素包括：A、土地、能源、人才、資本、知識B、土地、能源、勞動力、資本、數據C、土地、能源、商業(yè)、人才、信息技術D、土地、勞動力、資本、技術、數據參考答案：D155.文檔體系建設是信息安全管理體系（ISMS）建設的直接體現，下列說法不正確的是：A、組織內的信息安全方針文件、信息安全規(guī)章制度文件、信息安全相關操作規(guī)范文件等文檔是組織的工作標準，也是ISMS審核的依據B、組織內的業(yè)務系統日志文件、風險評估報告等文檔是對上一級文件的執(zhí)行和記錄，對這些記錄不需要保護和控制C、組織在每份文件的首頁，加上文件修訂跟蹤表，以顯示每一版本的版本號、發(fā)布日期、編寫人、審批人、主要修訂等內容D、多層級的文檔體系是ISMS建設的直接體現，文檔體系應當依據風險評估的結果建立參考答案：B156.維護數據安全,應當堅持總體國家安全觀,建立健全,提高數據安全保障能力。A、信息安全治理體系B、數據安全治理體系C、信息安全保障體系D、數據安全保障體系參考答案：B157.違反本法規(guī)定處理個人信息,或者處理個人信息未履行本法規(guī)定的個人信息保護義務的,由履行個人信息保護職責的部門責令改正,給予警告,沒收違法所得,對違法處理個人信息的應用程序,責令暫?；蛘呓K止提供服務;拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處罰款。A、一萬元以上二十萬元以下B、五萬元以上十萬元以下C、一萬元以上十萬元以下D、五萬元以上二十萬元以下參考答案：C158.違反本法規(guī)定處理個人信息,或者處理個人信息未履行本法規(guī)定的個人信息保護義務的,由履行個人信息保護職責的部門責令改正,給予警告,沒收違法所得,對違法處理個人信息的應用程序,責令暫停或者終止提供服務;拒不改正的,并處罰款A、一百萬元以下B、一百萬元以上C、兩百萬元以上D、任意金額參考答案：A159.違反本法規(guī)定處理個人信息,或者處理個人信息未履行本法規(guī)定的個人信息保護義務的,由履行個人信息保護職責的部門責令改正,給予警告,沒收違法所得,對違法處理個人信息的應用程序,責令暫?；蛘呓K止提供服務;拒不改正的,并處罰款A、一百萬元以上B、兩百萬元以上C、五百萬元以上D、一百萬元以下參考答案：D160.違反本法規(guī)定處理個人信息,或者處理個人信息未履行本法規(guī)定的個人信息保護義務的,由履行個人信息保護職責的部門責令改正,給予警告,沒收違法所得,對違法處理個人信息的應用程序,責令暫?；蛘呓K止提供服務;拒不改正的,并處罰款A、五十萬元以下B、一百萬元以下C、兩百萬元以上D、任意金額參考答案：B161.違反本法第四十四條規(guī)定,竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個人信息,尚不構成犯罪的,由公安機關沒收違法所得,并處違法所得以上以下罰款,沒有違法所得的,處以下罰款。A、一倍十倍一百萬元B、十倍一百倍一百萬元C、十倍一百倍十萬元D、十倍一百倍一百萬元參考答案：A162.違反本法第四十四條規(guī)定,竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個人信息,尚不構成犯罪的,由公安機關沒收違法所得,并處違法所得以上以下罰款,沒有違法所得的,處以下罰款。A、十倍一百倍一百萬元B、一倍十倍一百萬元C、一倍一百倍二十萬元D、十倍一百倍二百萬元參考答案：B163.違反本法第二十二條第三款、第四十一條至第四十三條規(guī)定,侵害個人信息依法得到保護的權利的,由有關主管部門責令改正,可以根據情節(jié)單處或者并處警告、沒收違法所得、處違法所得以上以下罰款,沒有違法所得的,處以下罰款,對直接負責的主管人員和其他直接責任人員處以上以下罰款;情節(jié)嚴重的,并可以責令暫停相關業(yè)務、停業(yè)整頓、關閉網站、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照。A、十倍一百倍一百萬元十萬元一百萬元B、二倍一百倍十萬元一百萬元十萬元C、一倍十倍十萬元一萬元十萬元D、一倍十倍一百萬元一萬元十萬元參考答案：D164.違反《中華人民共和國數據安全法》規(guī)定,給他人造成損害的,并構成犯罪的，（）A、依法承擔民事責任,并追究刑事責任B、不用承擔民事責任,但追究刑事責任C、既不用承擔民事責任,也不追究刑事責任D、只用承擔民事責任,不用追究刑事責任參考答案：A165.違反《中華人民共和國數據安全法》第三十五條規(guī)定,拒不配合數據調取的,由有關主管部門責令改正,給予警告,并處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員處罰款。A、五千元以上一萬元以下B、一萬元以上十萬元以下C、五萬元以上五十萬元以下D、二十萬元以上一百萬元以下參考答案：B166.違反《中華人民共和國數據安全法》第三十五條規(guī)定,拒不配合數據調取的,由有關主管部門責令改正,給予警告,并處罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。A、五千元以上一萬元以下B、一萬元以上十萬元以下C、五萬元以上五十萬元以下D、二十萬元以上一百萬元以下參考答案：C167.違反《中華人民共和國數據安全法》第三十六條規(guī)定,未經主管機關批準向外國司法或者執(zhí)法機構提供數據的,由有關主管部門給予警告,可以并處十萬元以上一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處罰款。A、一萬元以上十萬元以下B、五萬元以上一百萬元以下C、十萬元以上一百萬元以下D、二十萬元以上二百萬元以下參考答案：A168.違反《中華人民共和國數據安全法》第三十六條規(guī)定,未經主管機關批準向外國司法或者執(zhí)法機構提供數據并造成嚴重后果的,處罰款,并可以責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照,對直接負責的主管人員和其他直接責任人員處五萬元以上五十萬元以下罰款。A、十萬元以上一百萬元以下B、五十萬元以上一百萬元以下C、一百萬元以上五百萬元以下D、一百萬元以上一千萬元以下參考答案：C169.違反《中華人民共和國密碼法》規(guī)定,構成犯罪的,依法追究。A、刑事責任B、民事責任C、刑事訴訟D、民事訴訟參考答案：A170.違反《中華人民共和國密碼法》第十四條規(guī)定,情節(jié)嚴重的,由（）建議有關國家機關、單位對直接負責的主管人員和其他直接責任人員依法給予處分或者處理。A、國家網信部門B、密碼管理部門C、保密行政管理部門D、國務院商務主管部門參考答案：B171.違反《中華人民共和國密碼法》第二十六條規(guī)定,違法所得元以上的,可以并處違法所得一倍以上三倍以下罰款。A、十萬元B、二十萬元C、三十萬元D、五十萬元參考答案：A172.違反《中華人民共和國密碼法》第二十九條規(guī)定,未經認定從事電子政務電子認證服務的,由責令改正或者停止違法行為,給予警告,沒收違法產品和違法所得。A、國家網信部門B、密碼管理部門C、保密行政管理部門D、國務院商務主管部門參考答案：B173.違反《中華人民共和國密碼法》第二十九條規(guī)定,未經認定從事電子政務電子認證服務的,違法所得的,可以并處違法所得一倍以上三倍以下罰款A、十萬元以上B、二十萬元以上C、三十萬元以上D、五十萬元以上參考答案：C174.違反《中華人民共和國密碼法》第二十九條規(guī)定,未經認定從事電子政務電子認證服務的,沒有違法所得或者違法所得不足三十萬元的,可以并處罰款。A、三萬元以下B、三萬元以上十萬元以下C、十萬元以上二十萬元以下D、十萬元以上三十萬元以下參考答案：D175.違反《個人信息保護法》規(guī)定處理個人信息，或者處理個人信息未履行本法規(guī)定的個人信息保護義務且拒不改正的，并處（）罰款；對直接負責的主管人員和其他直接責任人員處（）罰款。A、50萬元以下，1萬元以上10萬元以下B、50萬元以下，5萬元以上10萬元以下C、100元以下，1萬元以上10萬元以下D、100萬元以下，5萬元以上10萬元以下參考答案：C176.為什么說在網絡環(huán)境下,信任不是對一個人的可靠性認可?A、因為網絡環(huán)境下,人們很容易偽造身份信息。B、因為網絡環(huán)境下,人們很難判斷對方的可靠性。C、因為網絡環(huán)境下,信任主要是基于秘密信息。D、因為在網絡環(huán)境下,信息主要是基于權限控制。參考答案：C177.為確保信息資產的安全,設備、信息或軟件在（）之前不應帶出公司、組織場所。（）A、使用B、檢查合格C、授權D、識別出薄弱環(huán)節(jié)參考答案：C178.為了規(guī)范網絡產品安全漏洞發(fā)現、報告、修補和發(fā)布等行為,防范網絡安全風險,根據,制定本規(guī)定。A、《中華人民共和國科學技術進步法》B、《中華人民共和國刑法》C、《中華人民共和國網絡安全法》D、《中華人民共和國憲法》參考答案：C179.為了規(guī)范網絡產品安全漏洞發(fā)現、報告、修補和發(fā)布等行為,防范網絡安全風險,根據（）制定本規(guī)定。A、《中華人民共和國科學技術進步法》B、《中華人民共和國刑法》C、《中華人民共和國憲法》D、《中華人民共和國網絡安全法》參考答案：D180.為了防范風險,當事人應當在審查期間按照網絡安全審查要求采取的（）措施A、預防和消減風險B、提高服務質量C、降低服務成本D、擴展業(yè)務參考答案：A181.為了防范風險,當事人應當在（）按照網絡安全審查要求采取預防和消減風險的措施A、審查期間B、審查申報前C、申報審查期間D、申報完成后參考答案：A182.為了保障網絡安全,維護網絡空間主權和國家安全、,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發(fā)展,制定本法。A、民族利益B、社會公共利益C、私人企業(yè)利益D、國有企事業(yè)單位利益參考答案：B183.為降低本國數據傳輸至境外造成的安全風險,我國針對性的推出了哪項政策法規(guī)?（）A、《關鍵信息基礎設施安全保護條例》B、《網絡安全產品漏洞管理規(guī)定》C、《數據出境安全評估辦法》D、《信息安全等級保護管理辦法》參考答案：C184.為保障數據可用性，系統設計時應關注（）。A、網絡拓撲結構是否存在單點故障B、主要網絡設備以及關鍵業(yè)務的服務器是否冗余C、通信線路是否有多條鏈路D、是否有數據備份與恢復驗證措施E、以上都對參考答案：E185.微軟提出了STRIDE模型，其中Repudation（抵賴）的縮寫，關于此項安全要求，下面描述錯誤的是（）A、某用戶在登陸系統并下載數據后，卻聲稱“我沒有下載過數據”，這種威脅就屬于RepudationB、解決Repudation威脅，可以選擇使用抗抵賴性服務技術來解決，如強認證、數字簽名、安全審計等技術措施C、Repudation威脅是STRIDE六種威脅中第三嚴重的威脅，比D威脅和E威脅的嚴重程度更高D、解決Repudation威脅，也應按照確定建模對象、識別威脅、評估威脅以及消減威脅等四個步驟進行參考答案：C186.網站加固時，將Apache的運行權限從root降為nobody，其目的是：A、提高Apache軟件運行效率B、提高Apache軟件的可靠性C、避免攻擊者通過Apache獲得root權限D、減少Apache存在的漏洞參考答案：C187.網信部門和有關部門在履行網絡安全保護職責中獲取的信息,只能用于維護的需要,不得用于其他用途。A、信息安全B、數據安全C、隱私安全D、網絡安全參考答案：D188.網信部門和有關部門在履行網絡安全保護職責中獲取的信息,只能用于維護的需要,不得用于其他用途。A、網絡安全B、信息安全C、認證安全D、服務安全參考答案：A189.網信部門和有關部門在履行網絡安全保護職責中獲取的信息，用于維護網絡安全的需要，也可以用于其他用途。A、正確B、錯誤參考答案：B190.網絡運營者應當為、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。A、網信部門B、公安機關C、工信部門D、法院參考答案：B191.網絡運營者應當為、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。A、公安機關B、網信部門C、紀委部門D、檢察院參考答案：A192.網絡運營者應當加強對其用戶發(fā)布的信息的管理，發(fā)現法律、行政法規(guī)禁止發(fā)布或者傳輸的信息的，應當立即停止傳輸該信息，采取更改措施，防止信息擴散，保存有關記錄，并向有關主管部門報告。A、正確B、錯誤參考答案：B193.網絡運營者應當加強對其用戶發(fā)布的信息的管理，發(fā)現法律、行政法規(guī)禁止發(fā)布或者傳輸的信息的，應當立即停止傳輸該信息，采?。ǎ┑忍幹么胧乐剐畔U散，保存有關記錄，并向有關主管部門報告。A、更改B、撤回C、刪除D、消除參考答案：D194.網絡運營者兼并、重組、破產的,數據承接方應承接數據安全責任和義務。沒有數據承接方的,應當對數據（）處理。（）A、封存B、刪除C、匿名化D、存儲參考答案：C195.網絡社會工程學攻擊利用了哪些原理?A、心理學和社交技巧B、網絡傳播和信息交換C、病毒和惡意軟件的編寫和傳播D、以上都不是參考答案：A196.網絡社會工程學攻擊的防范措施之一是避免哪些行為?A、在公共場合或網絡上泄露個人敏感信息,如銀行卡號、密碼、身份證號等B、在電子郵件中發(fā)送敏感信息,使用安全加密的方式進行傳輸C、點擊可疑的鏈接、下載可疑的附件等D、以上都是參考答案：D197.網絡社會工程學攻擊的防范措施應該包括哪些方面?A、提高警覺性、保護個人信息、使用安全軟件、定期更新密碼等B、提高人際交往能力、增強自信心、增強抵抗力、加強運動等C、提高學歷水平、增強溝通能力、增加社交圈子、擴大人脈等D、以上都不是參考答案：A198.網絡平臺運營者赴國外上市申報網絡安全審查,可能的結果不包括。A、無需審查B、啟動審查后,經研判不影響國家安全的,可繼續(xù)赴國外上市程序C、啟動審查后,經研判影響國家安全的,不允許赴國外上市D、啟動審查后,經研判影響國家安全的,可繼續(xù)赴國外上市程序參考答案：D199.網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求，由具備資格的機構（）或者安全檢測符合要求后，方可銷售或者提供。A、鑒定產品功能B、安全認證合格C、測試產品性能D、認證產品質量合格參考答案：B200.網絡產品提供者、網絡運營者和網絡產品安全漏洞收集平臺應當建立健全網絡產品安全漏洞信息接收渠道并保持暢通,留存網絡產品安全漏洞信息接收日志不少于個月。A、8B、7C、6D、5參考答案：C201.網絡產品提供者、網絡運營者和網絡產品安全漏洞收集平臺應當建立健全網絡產品安全漏洞信息接收渠道并保持暢通,留存網絡產品安全漏洞信息接收日志不少于（）個月。A、5B、6C、7D、8參考答案：B202.網絡安全審查重點評估相關對象或者情形的國家安全風險因素不包括（）。A、產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或者破壞的風險B、產品和服務供應報價對關鍵信息基礎設施業(yè)務運維成本的影響C、產品和服務提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況D、核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險參考答案：B203.網絡安全審查工作機制成員單位認為影響或者可能影響國家安全的網絡產品和服務以及數據處理活動,由網絡安全審查辦公室按程序報中央網絡安全和信息化委員會批準后,依照的規(guī)定進行審查。A、《網絡安全審查辦法》B、《中華人民共和國數據安全法》C、《中華人民共和國網絡安全法》D、《關鍵信息基礎設施安全保護條例》參考答案：A204.網絡安全審查工作機制成員單位認為影響或者可能影響國家安全的網絡產品和服務以及數據處理活動,由網絡安全審查辦公室按程序報批準后,依照《網絡安全審查辦法》的規(guī)定進行審查。A、中央網絡安全和信息化委員會B、中華人民共和國國家安全部C、中華人民共和國工業(yè)和信息化部D、中華人民共和國公安部參考答案：A205.網絡安全審查工作機制成員單位、相關部門意見一致的,網絡安全審查辦公室以（）形式將審查結論通知當事人A、書面B、口頭C、電話D、電子郵件參考答案：A206.網絡安全審查工作機制成員單位、相關部門意見（）的,網絡安全審查辦公室以書面形式將審查結論通知當事人A、一致B、不一致C、部分一致D、部分不一致參考答案：A207.網絡安全審查工作機制成員單位,意見（）的,按照特別審查程序處理,特別審查程序一般應當在90個工作日內完成。A、一致B、不一致C、部分一致D、部分不一致參考答案：B208.網絡安全審查辦公室認為需要開展網絡安全審查的,應當自向當事人發(fā)出書面通知之日起個工作日內完成初步審查。A、30B、60C、90D、10參考答案：A209.網絡安全審查辦公室認為需要開展網絡安全審查的,如果應情況復雜,可以延長（）個工作日。A、5B、7C、14D、15參考答案：D210.網絡安全等級保護建設的流程是什么？A、定級、備案、監(jiān)督檢查、建設整改、等級測評B、定級、備案、建設整改、等級測評、監(jiān)督檢查C、建設整改、等級測評、監(jiān)督檢查、定級、備案D、等級測評、定級、備案、建設整改、監(jiān)督檢查參考答案：B211.網絡安全等級保護第三級信息系統測評過程中，關于數據安全及備份恢復的測評，應檢查（）中是否為專用通信協議或安全通信協議服務，避免來自基于通信協議的攻擊破壞數據完整性。A、操作系統B、網絡設備C、數據庫管理系統D、應用系統E、以上均對參考答案：E212.網絡安全等級保護2.0正式實施日期是（）。A、2017年6月1日B、2019年12月1日C、2019年12月10日D、2019年5月10日參考答案：B213.通過偽基站接收附近手機發(fā)送的數據，是數據竊密者使用的一種隱蔽的竊密手段A、正確B、錯誤參考答案：A214.通道劫持是指攻擊者通過什么方式獲取受害者的通信信息?A、中間人代理攻擊B、惡意軟件感染C、網絡釣魚詐騙D、盜取用戶的登錄憑據參考答案：A215.提高Apache服務器系統安全性時，下面哪項措施不屬于安全配置（）?A、不在Windows下安裝Apache，只在Linux和Unix下安裝B、安裝Apache時，只安裝需要的組件模塊C、不使用操作系統管理員用戶身份運行Apache，而是采用權限受限的專用用戶賬號來運行D、積極了解Apache的安全通告，并及時下載和更新參考答案：A216.雙因素認證是指結合幾種認證方式進行身份認證?（）A、一種B、兩種C、三種D、四種參考答案：B217.數字中國，最重要的生產要素是〔〕A、資本B、互聯網C、高智商勞動力D、數據參考答案：D218.數據在進行傳輸前，需要由協議自上而下對數據進行封裝。TCP/IP協議中數據封裝順序是：互聯網絡層、網絡接口層、傳輸層。A、正確B、錯誤參考答案：B219.數據在進行傳輸前，需要由協議自上而下對數據進行封裝。TCP/IP協議中數據封裝順序是：A、傳輸層、網絡接口層、互聯網絡層B、傳輸層、互聯網絡層、網絡接口層C、互聯網絡層、傳輸層、網絡接口層D、互聯網絡層、網絡接口層、傳輸層參考答案：B220.數據提供部門應當按照（）的原則，負責本部門數據采集、歸集、存儲、提供、共享、應用和開放等環(huán)節(jié)的安全管理。A、誰主管、誰負責，誰提供、誰負責B、誰經手、誰負責，誰提供、誰負責C、誰使用、誰負責，誰管理、誰負責D、誰經手、誰負責，誰使用、誰負責參考答案：A221.數據交易應當遵循（）原則。A、自愿原則B、公平原則C、誠信原則D、以上都正確參考答案：D222.數據分類和保護的目的是什么?A、限制員工的數據訪問權限B、降低數據存儲成本C、簡化數據管理過程D、保護敏感信息的安全和隱私參考答案：D223.數據的單位，從小到大依次排序正確的是？A、TB<GB<MB<KBB、MB<GB<TB<PBC、PB<TB<MB<GBD、MB<TB<EB<GB參考答案：B224.數據本地化要求數據服務器位于本法域境內,在境內存儲或處理數據。目前,全球多個國家/地區(qū)提出了本地化要求,寬嚴程度有所不同,幾種模式交織并行。下列哪一國家不是采用境內存儲、處理模式的?（）A、美國B、土耳其C、澳大利亞D、俄羅斯參考答案：D225.數據本地化是數據跨境管理的一種措施,通常理解為某一主權國家/地區(qū),通過制定法律或規(guī)則來限制本國/地區(qū)數據向境外流動,是對數據出境進行限制的做法之一。下列哪一國家采取的是境內存儲副本,對轉移或出境無限制的模式?（）A、中國B、印度C、荷蘭D、美國參考答案：B226.數據安全責任，按照（）的原則確定。A、誰所有誰負責、誰持有誰負責、誰管理誰負責、誰使用誰負責、誰采集誰負責B、誰所有誰負責、誰持有誰負責、誰管理誰負責、誰使用誰負責C、誰所有誰負責、誰持有誰負責、誰管理誰負責D、誰所有誰負責、誰持有誰負責參考答案：A227.數據安全防護要求不包括以下哪項?（）A、建立數據安全管理責任和評價考核制度B、嚴格控制重要數據的使用、加工、傳輸、提供和公開等關鍵環(huán)節(jié),并采取加密、脫敏、去標識化等技術手段保護敏感數據安全C、采購網絡關鍵設備和網絡安全專用產品目錄中的設備產品時,應采購通過國家檢測認證的設備和產品。D、因業(yè)務需要,確需向境外提供數據的,應當按照國家相關規(guī)定和標準進行安全評估參考答案：C228.屬性基礎訪問控制模型（Attribute-BasedAccessControl,ABAC）是基于什么來決定用戶對資源的訪問權限?A、用戶屬性B、資源屬性C、環(huán)境屬性D、所有以上參考答案：D229.收到銀行升級通知修改密碼并給有相關連接地址時（）A、點開鏈接看看怎么回事B、核對電話號碼后發(fā)現沒有詐騙電話的標記，所以可以點開連接C、詐騙短信直接刪除D、轉發(fā)親友，一起修改銀行口令為數字結合字母（包含大小寫）和特殊字符的復雜口令參考答案：C230.事實授權訪問控制模型（Fact-BasedAuthorization,FBA）是基于什么來動態(tài)決定用戶對資源的訪問權限?A、用戶屬性B、用戶歷史行為和環(huán)境信息C、系統管理員D、用戶角色參考答案：B231.實施災難恢復計劃之后，組織的災難前和災難后運營成本將：A、降低B、不變C、提高D、提高或降低（取決于業(yè)務的性質）參考答案：C232.實施《網絡安全審查辦法》的理念不包括。A、堅持防范網絡安全風險與促進先進技術應用相結合B、堅持過程公正透明與知識產權保護相結合C、堅持事前審查與持續(xù)監(jiān)管相結合D、堅持政企合作與人們監(jiān)督相結合參考答案：D233.實踐中常使用軟件缺陷密度（Defects/KLPC）來衡量軟件的安全性，假設某個軟件共有30萬行源代碼，總共檢出150個缺陷，則可以計算出其軟件缺陷密度值是（）A、0.0005B、0.05C、0.5D、5參考答案：C234.識別風險要素是風險評估中的一個重要步驟，有關安全要素，請選擇一個最合適的選項（）。A、識別面臨的風險并賦值B、識別存在的脆弱性并賦值C、制定安全措施實施計劃D、檢查安全措施有效性參考答案：B235.省級以上人民政府應當將發(fā)展納入本級國民經濟和社會發(fā)展規(guī)劃.A、信息經濟B、智慧經濟C、數字經濟D、數據經濟參考答案：C236.省級人民政府根據實際需要，應當制定公共數據采集、歸集、存儲、共享、開放、應用等活動的具體管理辦法。A、對B、錯參考答案：A237.聲紋是生物特征之一，但是不建議利用聲紋進行驗證，原因是什么？A、可能會有波形拼接方式的攻擊攻陷聲紋識別系統B、可以利用激光模擬方式攻陷聲紋識別系統C、環(huán)境噪音會對識別率造成影響D、同一個人的聲音易受身體狀況、年齡、情緒等的影響，具有易變性E、以上都對參考答案：E238.生物特征認證一般需要經過哪三個過程?（）A、圖像采集、特征提取和特征匹配B、用戶名和密碼、共享密鑰和口令、算法C、IC卡和PIN、共享密鑰和口令、算法D、隨機數值、共享密鑰和口令、算法參考答案：A239.生物識別身份驗證方法包括以下哪些?A、指紋識別、面部識別、虹膜掃描、聲紋識別、手掌識別等B、智能卡、USB密鑰等C、用戶名和密碼或PIND、雙因素/多因素身份驗證參考答案：A240.什么是系統變更控制中最重要的內容？A、所有的變更都必須文檔化，并經過審批B、變更應通過自動化工具來實施C、應維護系統的備份D、通過測試和批準來確保質量參考答案：A241.什么是身份攻擊面映射?A、分析組織的身份信息以發(fā)現弱點B、監(jiān)測并響應可疑身份活動C、清除賬戶接管攻擊的弱點D、定位惡意軟件感染的賬戶參考答案：A242.身份信息在傳輸過程中是否可以被惡意篡改?A、可以B、不可以C、取決于網絡環(huán)境D、取決于身份客體權限參考答案：A243.身份認證中,如何防止身份信息在傳輸過程中被惡意篡改?A、完全杜絕惡意篡改是不可能的,只能在身份信息被惡意篡改后,接收端可以檢測出來。B、可以加密身份信息,在傳輸過程中解密驗證身份信息。C、可以加密身份信息,傳輸后由發(fā)送端解密驗證身份信息。D、只要身份信息正確,就可以防止惡意篡改。參考答案：A244.身份認證是為了確認通信過程中的另一端個體是誰,這個個體可以是哪些類型?A、人B、物體C、虛擬過程D、以上都可以參考答案：D245.身份認證的目的是什么?A、對事物的資質審查B、對事物真實性的確認C、對事物的合法性的確認D、對事物的權限進行確認參考答案：B246.涉密人員離崗、離職前，應當將所保管和使用的國家秘密載體全部清退，并（）。A、登記銷毀B、訂卷歸檔C、辦理移交手續(xù)D、不一定辦理移交手續(xù)參考答案：C247.社交工程學攻擊者主要利用以下哪個因素來欺騙目標?A、技術手段B、社交技巧和人際交往C、網絡協議D、數字證書參考答案：B248.社會工程學是一種攻擊技術,利用以下哪方面的原理?A、數學B、心理學和社交工程學C、物理學D、經濟學參考答案：B249.社會工程學攻擊利用人們在社交情境中的固有弱點,例如:A、缺乏技術知識B、不信任任何人C、強密碼設置D、物理安全措施參考答案：A250.商用密碼清單由國務院商務主管部門會同國家密碼管理部門和海關總署制定并公布。A、進口許可和出口管制B、進口許可和出口許可C、進口管制和出口管制D、進口管制和出口許可參考答案：A251.商用密碼檢測、認證機構違反《中華人民共和國密碼法》第二十五條第二款、第三款規(guī)定開展商用密碼檢測認證的,沒有違法所得或者違法所得不足三十萬元的,可以并處罰款。A、十萬元以下B、十萬元以上二十萬元以下C、二十萬元以上三十萬元以下D、十萬元以上三十萬元以下參考答案：D252.若一個組織聲稱自己的信息安全管理體系符合ISO/TEC27001或GB22080標準要求，其信息安全控制措施不包括哪一項（）A、信息安全方針、信息安全組織、資產管理B、人力資源安全、物理和環(huán)境安全、通信和操作管理C、訪問控制、信息系統獲取、開發(fā)和維護、符合性D、規(guī)劃與創(chuàng)建信息安全管理體系參考答案：D253.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求。其信息安全控制措施通常需要在物理和環(huán)境安全方面實施常規(guī)控制。物理和環(huán)境安全領域包括安全區(qū)域和設備安全兩個控制目標。安全區(qū)域的控制目標是防止對組織場所和信息的未授權物理訪問、損壞和干擾。關鍵或敏感的信息及信息處理設施應放在安全區(qū)域內并受到相應保護。該目標可以通過以下控制措施來實現，不包括哪一項A、物理安全邊界、物理入口控制B、辦公室、房間和設施的安全保護。外部和環(huán)境威脅的安全防護C、在安全區(qū)域工作。公共訪問、交接區(qū)安全D、人力資源安全參考答案：D254.若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求，其信息安全控制措施通常需要在人力資源安全方面實施常規(guī)控制，人力資源安全劃分為3個控制階段，不包括哪一項（）A、任用之前B、任用中C、任用終止或變化D、任用后參考答案：D255.若要系統中每次缺省添加用戶時，都自動設置用戶的宿主目錄為/users,需修改哪一個配置文件？（）A、/etc/default/useraddB、/etc/login.defsC、/etc/shad