第頁網(wǎng)絡安全復習試題含答案1.oracle數(shù)據(jù)庫中下列選項中哪項能夠啟用密碼復雜度A、VERIFY_FUNCTIONB、FAILED_LOGIN_ATTEMPTSC、PASSWORD_LIFE_TIMED、PASSWORD_REUSE_TIME【正確答案】：A2.下列哪個平臺經(jīng)常被用來進行無線網(wǎng)絡的破解()A、Windows7BT5C、androidD、iOS【正確答案】：B3.下面哪種方法在數(shù)據(jù)中心滅火最有效并且是環(huán)保的？A、哈龍氣體B、濕管C、干管D、二氧化碳氣【正確答案】：A4.系統(tǒng)管理員屬于？A、決策層B、管理層C、執(zhí)行層D、既可以劃為管理層，又可以劃為執(zhí)行層【正確答案】：C5.sql注入時，根據(jù)數(shù)據(jù)庫報錯信息”MicrosoftJETDatabase….”，通常可以判斷出數(shù)據(jù)庫的類型：A、MicrosoftSQLserverB、MySQLC、OracleD、Access【正確答案】：D6.下面口令最危險的是A、長期沒有修改的口令B、過短的口令C、兩個人公用的可令D、設備默認口令【正確答案】：D7.評估業(yè)務連續(xù)計劃效果最好的方法是：A、使用適當?shù)臉藴蔬M行規(guī)劃和比較B、之前的測試結(jié)果C、緊急預案和員工培訓D、環(huán)境控制和存儲站點【正確答案】：B8.以下不屬于社會工程學技術的是（）A、個人冒充B、直接索取C、釣魚技術D、木馬攻擊【正確答案】：D9.對于現(xiàn)代密碼破解，（）是最常的方法。A、攻破算法B、監(jiān)聽截獲C、信息猜測D、暴力破解【正確答案】：D10.遠程控制軟件vnc工作的端口為A、1433B、4899C、43859D、5900【正確答案】：D11.矩陣分析法通常是哪種風險評估采用的方法A、定性風險評估B、定量分析評估C、安全漏洞評估D、安全管理評估【正確答案】：A12.下面哪一個不是系統(tǒng)廢棄階段風險管理的工作內(nèi)容A、安全測試B、對廢棄對象的風險評估C、防止敏感信息泄漏D、人員培訓【正確答案】：A13.對于信息安全管理，風險評估的方法比起基線的方法，主要的優(yōu)勢在于它確保A、信息資產(chǎn)被過度保護B、不考慮資產(chǎn)的價值，基本水平的保護都會被實施C、對信息資產(chǎn)實施適當水平的保護D、對所有信息資產(chǎn)保護都投入相同的資源【正確答案】：C14.下面技術中不能防止網(wǎng)絡釣魚攻擊的是一一A、在主頁的底部設有一個明顯鏈接，以提醒用戶注意有關電子郵件詐騙的問題。B、利用數(shù)字證書（如USBKEY）進行登錄。C、根據(jù)互聯(lián)網(wǎng)內(nèi)容分級聯(lián)盟（ICRA）提供的內(nèi)容分級標準對網(wǎng)站內(nèi)容進行分級。D、安裝殺毒軟件和防火墻、及時升級、打補丁、加強員工安全意識?！菊_答案】：C15.在一些存在解析漏洞的web應用中，攻擊者可以通過構(gòu)造文件后綴等方法，使包含惡意代碼的文件被解析成腳本語言執(zhí)行，達到上傳webshell目的，從而入侵服務器。下列哪種說法是不正確的？（）A、在存在IIS解析漏洞的web應用中，可以解析asp.jpg;.asp為asp文件B、在存在apache解析漏洞的web應用中，可以解析php.php.abc為php文件C、在存在nginx解析漏洞的web應用中，可以解析pbhp.jpg/A.php為php文件D、在存在IIS解析漏洞的web應用中，/upload/asp.asp/asp.jpg被解析成asp文件執(zhí)行【正確答案】：A16.評估BCP時，下列哪一項應當最被關注：A、災難等級基于受損功能的范圍，而不是持續(xù)時間B、低級別災難和軟件事件之間的區(qū)別不清晰C、總體BCP被文檔化，但詳細恢復步驟沒有規(guī)定D、宣布災難的職責沒有被識別【正確答案】：D17.擁有電子資金轉(zhuǎn)帳銷售點設備的大型連鎖商場，有中央通信處理器連接銀行網(wǎng)絡，對于通信處理機，下面哪一項是最好的災難恢復計劃A、每日備份離線存儲B、選擇在線備份程序C、安裝雙通訊設備D、在另外的網(wǎng)絡節(jié)點選擇備份程序【正確答案】：D18.關于網(wǎng)絡入侵防御系統(tǒng)，以下描述不正確的是A、能夠?qū)崟r過濾阻斷攻擊源B、阻斷的是攻擊包C、部署在網(wǎng)絡關鍵點上D、以透明模式串聯(lián)于網(wǎng)絡中【正確答案】：A19.下列關于日志的描述，錯誤的是A、boot.log記錄Linux系統(tǒng)開機自檢過程顯示的信息B、lastlog記錄最近幾次成功登錄的事件和最后一次不成功的登錄C、utmp記錄已經(jīng)登錄的每個用戶信息D、wtmp一個用戶每次登錄進入和退出時間的永久記錄【正確答案】：C20.很多情況下，我們的系統(tǒng)在裝了殺毒防護軟件的時候，黑客也會利用木馬無提示的植入我們的電腦，那么為什么在我們有防護軟件的情況下還可以植入？A、利用了社會工程學欺騙手段。B、對木馬進行了反編譯免殺技術。C、某些防護軟件太垃圾，防不住。D、系統(tǒng)配置不當疏忽導致。【正確答案】：B21.WEB站點過濾了腳本文件的上傳功能，下面哪種文件命名方式可以利用Apache的文件解析漏洞？（）A、php;.gifB、php.php2C、php2;.gifD、php.kzp.rar【正確答案】：D22.組織回顧信息系統(tǒng)災難恢復計劃時應：A、每半年演練一次B、周期性回顧并更新C、經(jīng)首席執(zhí)行官(CEO)認可D、與組織的所有部門負責人溝通【正確答案】：B23.以下有關通信與日常操作描述不正確的是？A、信息系統(tǒng)的變更應該是受控的B、企業(yè)在崗位設計和人員工作分配時應該遵循職責分離的原則C、移動介質(zhì)使用是一個管理難題，應該采取有效措施，防止信息泄漏D、所有日常操作按照最佳實踐來進行操作，無需形成操作手冊【正確答案】：C24.當客戶需要訪問組織信息資產(chǎn)時，下面正確的做法是？A、應向其傳達信息安全要求及應注意的信息安全問題。B、盡量配合客戶訪問信息資產(chǎn)。C、不允許客戶訪問組織信息資產(chǎn)。D、不加干涉，由客戶自己訪問信息資產(chǎn)。【正確答案】：A25.系統(tǒng)地識別和管理組織所應用的過程，特別是這些過程之間的相互作用，稱為什么？A、戴明循環(huán)B、過程方法C、管理體系D、服務管理【正確答案】：B26.下面不屬于嗅探類工具的有（）A、SnifferProB、WireSharkCainD、X-Way【正確答案】：D27.以下哪些不屬于敏感性標識A、不干貼方式B、印章方式C、電子標簽D、個人簽名【正確答案】：D28.IP分片重裝時，根據(jù)（）來判斷是否屬于同一個IP數(shù)據(jù)報。A、源IPB、目的IPC、標識符（ID）D、標志（Flags）【正確答案】：C29.關于控制措施選擇描述不正確的是A、總成本中應考慮控制措施維護成本B、只要控制措施有效，不管成本都應該首先選擇C、首先要考慮控制措施的成本效益D、應該考慮控制措施實施的成熟度【正確答案】：B30.HTTP、FTP、SMTP建立在OSI模型的哪一層？A、數(shù)據(jù)鏈路層B、網(wǎng)絡層C、應用層D、傳輸層【正確答案】：C31.定義ISMS范圍時，下列哪項不是考慮的重點A、組織現(xiàn)有的部門B、信息資產(chǎn)的數(shù)量與分布C、信息技術的應用區(qū)域D、IT人員數(shù)量【正確答案】：D32.社會工程學中域名劫持最容易成功的是A、DDOS攻擊DNS服務B、直接入侵DNS服務器更改域名解析記錄C、攻擊DNS解析商網(wǎng)站，在后臺直接修改IP指向的服務器D、欺騙域名服務商客服將目標域名解析到黑客服務器上【正確答案】：D33.對一些資源以及狀態(tài)的操作保存，最好是保存在Activity生命周期的哪個函數(shù)中進行？A、onStart()B、onPause()C、onCreate()D、onResume()【正確答案】：A34.計算機安全事故發(fā)生時，下列哪些人不被通知或者最后才被通知：A、系統(tǒng)管理員B、律師C、恢復協(xié)調(diào)員D、硬件和軟件廠商【正確答案】：B35.兩個不同的消息摘要具有相同的值時，稱為A、攻擊B、碰撞C、散列D、都不是【正確答案】：B36.下列關于ListView使用的描述中，不正確的是？A、要使用ListView，必須為該ListView使用Adpater方式傳遞數(shù)據(jù)B、要使用ListView，該布局文件對應的Activity必須繼承ListActivityC、ListView中每一項的視圖布局既可以使用內(nèi)置的布局，也可以使用自定義的布局方式D、ListView中每一項被選中時，將會觸發(fā)ListView對象的ItemClick事件【正確答案】：B37.下列算法屬于信息摘要算法的是A、凱撒密碼B、DESC、SHAD、RSA【正確答案】：C38.sql注入時，根據(jù)數(shù)據(jù)庫報錯信息”MicrosoftJETDatabase….”，通?？梢耘袛喑鰯?shù)據(jù)庫的類型A、MicrosoftSQLserverB、MySQLC、OracleD、Access【正確答案】：D39.修改特征碼的常見技巧是（）A、等價替換法B、跳轉(zhuǎn)法C、填充法D、以上都正確【正確答案】：D40.下面關于IIS的安全配置，那些是不正確的？A、將網(wǎng)站內(nèi)容移動到非系統(tǒng)驅(qū)動器B、重命名IUSR賬戶C、禁用所有Web服務擴展D、創(chuàng)建應用程序池【正確答案】：C41.假如你向一臺遠程主機發(fā)送特定的數(shù)據(jù)包，卻不想遠程主機響應你的數(shù)據(jù)包。這時你使用哪一種類型的進攻手段？A、緩沖區(qū)溢出B、地址欺騙C、拒絕服務D、暴力攻擊【正確答案】：B42.發(fā)現(xiàn)系統(tǒng)有異常，經(jīng)常簡單排查在不確定是否有可疑病毒木馬的情況下，可以用什么工具進行輔助生成日志，然后在逐漸排查？A、SystemRepairEngineerB、IcesWrodC、AutorunsD、Autoruns【正確答案】：A43.對業(yè)務應用系統(tǒng)授權訪問的責任屬于：A、數(shù)據(jù)所有者B、安全管理員C、IT安全經(jīng)理D、申請人的直線主管【正確答案】：A44.如果程序容易出現(xiàn)文件包含漏洞，那么攻擊者就可能上傳帶惡意內(nèi)容的文件，并利用另一種漏洞促使程序讀取或執(zhí)行該文件，形成（），選出最佳答案。A、命令執(zhí)行B、二次攻擊C、目錄遍歷D、訪問受限【正確答案】：B45.使用熱站作為備份的優(yōu)點是：A、熱站的費用低B、熱站能夠延長使用時間C、熱站在短時間內(nèi)可運作D、熱站不需要和主站點兼容的設備和系統(tǒng)軟件【正確答案】：C46.2015年2月，天河一號超級計算機集群可被登陸控制，這造成所有節(jié)點可下發(fā)任務執(zhí)行命令，上百賬號或泄露。超算辦公環(huán)境的Wi-Fi無需密碼即可鏈接，同時，服務器上將近一半的用戶均存在弱口令，而這一系列問題可能導致用戶計算機任務敏感信息泄露。對此，天河一號超級計算機的工程師們可以采取哪些措施來解決該漏洞A、將專線與互聯(lián)網(wǎng)隔離B、指導用戶強化密碼C、刪除系統(tǒng)中的臨時賬戶D、以上都是。【正確答案】：D47.維持對于信息資產(chǎn)的適當?shù)陌踩胧┑呢熑卧谟贏、安全管理員B、系統(tǒng)管理員C、數(shù)據(jù)和系統(tǒng)的所有者D、系統(tǒng)作業(yè)人員【正確答案】：A48.在php中，以下那個函數(shù)可能導致php命令執(zhí)行漏洞（）A、includeB、is_numberC、`st`D、mysql_query【正確答案】：C49.以下那個漏洞不是遠程溢出漏洞A、ms08067B、ms11080C、ms06040D、ms12020【正確答案】：B50.很多病毒木馬在系統(tǒng)上釋放一些畸形文件夾，文件夾還包含了畸形文檔等，如果要直接刪除畸形文件夾的命令是？A、del/fB、rd/s/qC、sd/fD、taskkill【正確答案】：B51.未root的Android手機在安裝程序時，系統(tǒng)提示程序具有讀取sd的權限，繼續(xù)安裝不會造成什么威脅A、SD卡數(shù)據(jù)泄露B、應用程序信息泄露C、用戶通訊信息泄露D、代碼注入至其他程序【正確答案】：D52.年度損失值（ALE）的計算方法是什么ALE=ARO*AVB、ALE=AV*SLEC、ALE=ARO*SLED、ALE=AV*EF【正確答案】：C53.設施、網(wǎng)絡、平臺、介質(zhì)、應用類信息資產(chǎn)的保密期限為A、3年B、長期C、4月D、短期【正確答案】：B54.構(gòu)造.asp;.gif這樣的文件名去上傳非法文件利用的是哪個IIS版本的解析漏洞？（）A、IIS4.0B、IIS5.0C、IIS6.0D、IIS7.0【正確答案】：C55.人員入職過程中，以下做法不正確的是？A、入職中簽署勞動合同及保密協(xié)議。B、分配工作需要的最低權限。C、允許訪問企業(yè)所有的信息資產(chǎn)。D、進行安全意思培訓?！菊_答案】：C56.多層的樓房中，最適合做數(shù)據(jù)中心的位置是：A、一樓B、地下室C、頂樓D、除以上外的任何樓層【正確答案】：D57.給計算機系統(tǒng)的資產(chǎn)分配的記號被稱為什么A、安全屬性B、安全特征C、安全標記D、安全級別【正確答案】：C58.WEB站點過濾了腳本文件的上傳功能，下面哪種文件命名方式可以利用Apache的文件解析漏洞？（）A、.php;.gifB、.php.jpgC、.php2;.gifD、.php.kzp.rar2【正確答案】：D59.社會工程學中域名劫持最容易成功的是（）A、DDOS攻擊DNS服務器B、直接入侵DNS服務器更改域名解析記錄C、攻擊DNS解析商網(wǎng)站，在后臺直接修改IP指向的服務器D、欺騙域名服務商客服將目標域名解析到黑客服務器上【正確答案】：D60.Android程序的最優(yōu)先調(diào)試點是：（）Application的靜態(tài)函數(shù)或構(gòu)造函數(shù)B、Activity的靜態(tài)函數(shù)或構(gòu)造函數(shù)C、主Activity的靜態(tài)函數(shù)或構(gòu)造函數(shù)D、Receiver的靜態(tài)函數(shù)或構(gòu)造函數(shù)【正確答案】：A61.設置登錄超時時間為5分鐘，正確的配置方法為A、使用命令“vi/etc/profile”修改配置文件，添加行“TMOUT=300”B、使用命令“vi/etc/profile”修改配置文件，添加行“TMOUT=5”C、使用命令“cat‘TIMEOUT=300’>vi/etc/profile”D、使用命令“vi/etc/profile”修改配置文件，添加行“settimeout=300”【正確答案】：A62.很多情況手工清除病毒木馬后會有些系統(tǒng)功能沒有修復，比如顯示文件夾選項，除了可以更改注冊表選項外，還可以利用什么工具修復系統(tǒng)？A、autorunsB、iceswordC、PowerToolD、SREng【正確答案】：D63.以下關于備份站點的說法哪項是正確的A、應與原業(yè)務系統(tǒng)具有同樣的物理訪問控制措施B、應容易被找到以便于在災難發(fā)生時以備緊急情況的需要C、應部署在離原業(yè)務系統(tǒng)所在地較近的地方D、不需要具有和原業(yè)務系統(tǒng)相同的環(huán)境監(jiān)控等級【正確答案】：A64.組織已經(jīng)完成了年度風險評估，關于業(yè)務持續(xù)計劃組織應執(zhí)行下面哪項工作？A、回顧并評價業(yè)務持續(xù)計劃是否恰當B、對業(yè)務持續(xù)計劃進行完整的演練C、對職員進行商業(yè)持續(xù)計劃的培訓D、將商業(yè)持續(xù)計劃通報關鍵聯(lián)絡人【正確答案】：A65.關于算法的時間復雜度，正確的描述是（）。A、算法的時間復雜度是指執(zhí)行算法程序所需要的時間B、算法的時間復雜度是指算法程序的長度C、算法的時間復雜度是指算法執(zhí)行過程中所需要的基本運算次數(shù)D、算法的時間復雜度是指算法程序中的指令條數(shù)【正確答案】：C66.軟件的可修改性支持軟件的（）A、有效性B、可互操作性C、可追蹤性D、可維護性【正確答案】：D67.以下哪些不是設備資產(chǎn)：A、機房設施B、周邊設施C、管理終端D、操作系統(tǒng)【正確答案】：D68.在對業(yè)務持續(xù)性計劃進行驗證時，以下哪項最為重要A、數(shù)據(jù)備份準時執(zhí)行B、備份站點已簽訂合約，并且在需要時可以使用C、人員安全計劃部署適當D、保險【正確答案】：C69.干管滅火器系統(tǒng)使用A、水，但是只有在發(fā)現(xiàn)火警以后水才進入管道B、水，但是水管中有特殊的防水劑CO2代替水D、哈龍代替水【正確答案】：A70.在招聘過程中，如果在崗位人員的背景調(diào)查中出現(xiàn)問題時，以下做法正確的是？A、繼續(xù)執(zhí)行招聘流程。B、停止招聘流程，取消應聘人員資格。C、與應聘人員溝通出現(xiàn)的問題。D、再進行一次背景調(diào)查?！菊_答案】：B71.信息資產(chǎn)分級的最關鍵要素是A、價值B、時間C、安全性D、所有者【正確答案】：A72.企業(yè)ISMS(信息安全管理體系)建設的原則不包括以下哪個A、管理層足夠重視B、需要全員參與C、不必遵循過程的方法D、需要持續(xù)改進【正確答案】：C73.處理報廢電腦的流程時，以下哪一個選項對于安全專業(yè)人員來說是最重要考慮的內(nèi)容？A、在扇區(qū)這個級別上，硬盤已經(jīng)被多次重復寫入，但是在離開組織前沒有進行重新格式化。B、硬盤上所有的文件和文件夾都分別刪除了，并在離開組織進行重新格式化。C、在離開組織前，通過在硬盤特定位置上洞穿盤片，進行打洞，使得硬盤變得不可讀取。D、由內(nèi)部的安全人員將硬盤送到附近的金屬回收公司，對硬盤進行登記并粉碎。【正確答案】：B74.將test及在下的所有目錄及文件的屬主改為test，屬組改為xmb的命令為A、chown-Rtest:xmbtestB、chown-Rxmb:testtestC、chowntest:xmbtestD、chownxmb:testtest【正確答案】：A75.以下是免殺技術分類的是（）A、開源免殺B、自動免殺C、手工免殺D、A和C【正確答案】：D76.Struts2被爆出的高危漏洞是（）A、sql注入B、目錄遍歷C、命令執(zhí)行D、文件包含【正確答案】：C77.BOTNET是A、普通病毒B、木馬程序C、僵尸網(wǎng)絡D、蠕蟲病毒【正確答案】：C78.最近Struts2被爆出的高危漏洞是（）A、sql注入B、目錄遍歷C、命令執(zhí)行D、文件包含【正確答案】：C79.有的時候我們在訪問互聯(lián)網(wǎng)后，會無意的安裝一些惡意插件造成系統(tǒng)損壞，比如桌面上出現(xiàn)2個IE圖標。那么可以用系統(tǒng)的哪些方法清理掉？A、直接右鍵刪除delB、在cmd下找到進程結(jié)束掉C、系統(tǒng)自帶桌面清理向?qū)Чδ蹹、組策略功能【正確答案】：C80.針對Mysql的SQL注入，可以使用什么函數(shù)來訪問系統(tǒng)文件？A、loadfileinfilB、loadfileC、load_fileD、loadfile_infile【正確答案】：C81.Windows的系統(tǒng)日志文件有應用程序日志，安全日志、系統(tǒng)日志等等，分別位于%systemroot%\system32\config文件夾中，其中日志文件的默認大小為A、512KBB、1024KBC、256KBD、2MB【正確答案】：A82.下面哪個事件是谷歌退出中國的真正原因？Aurora攻擊事件B、RSA被黑事件C、超級工廠病毒D、電話竊聽案【正確答案】：A83.將IP地址轉(zhuǎn)換為物理地址的協(xié)議是（）A、IPB、ICMPC、ARPD、RARP【正確答案】：C84.在完成了業(yè)務影響分析（BIA）后，下一步的業(yè)務持續(xù)性計劃應該是什么？A、測試和維護業(yè)務持續(xù)性計劃B、制定一個針對性計劃C、制定恢復策略D、實施業(yè)務持續(xù)性計劃【正確答案】：C85.下面關于定量風險評估方法的說法正確的是A、易于操作，可以對風險進行排序并能夠?qū)δ切┬枰⒓锤纳频沫h(huán)節(jié)進行標識B、能夠通過成本效益分析控制成本C、耗時短、成本低、可控性高D、主觀性強，分析結(jié)果的質(zhì)量取決于風險評估小組成員的經(jīng)驗和素質(zhì)【正確答案】：B86.網(wǎng)絡竊聽可以捕獲網(wǎng)絡中流過的敏感信息，下列說法錯誤的是A、密碼加密后不會被竊聽B、Cookie可以被竊聽C、報文和幀可以竊聽D、竊聽者可以進行ARPSpoof【正確答案】：A87.以下哪一項鑒別機制不屬于強鑒別機制？A、令牌+口令B、PIN碼+口令C、簽名+指紋D、簽名+口令【正確答案】：B88.合適的信息資產(chǎn)存放的安全措施維護是誰的責任A、安全管理員B、系統(tǒng)管理員C、數(shù)據(jù)和系統(tǒng)所有者D、系統(tǒng)運行組【正確答案】：C89.下列哪個windows系統(tǒng)漏洞可導致系統(tǒng)藍屏？A、MS08067B、MS12020C、MS11080D、MS11048【正確答案】：B90.以下哪些不是無形資產(chǎn)A、客戶關系B、電子數(shù)據(jù)C、商業(yè)信譽D、企業(yè)品牌【正確答案】：B91.關于注入攻擊，下列說法不正確的是A、注入攻擊發(fā)生在當不可信的數(shù)據(jù)作為命令或者查詢語句的一部分，被發(fā)送給解釋器的時候。攻擊者