第一篇:电信竞赛培训整理(400道 带答案)3
电信竞赛培训整理题(400道)
1、下面对电信网和互联网安全防护体系描述不正确的是(ABC)。
A、指对电信网和互联网及相关系统分等级实施安全保护
B、人为或自然的威胁可能利用电信网和互联网及相关系统存在的脆弱性导致安全事件的发生及其对组织造成的影响
C、利用有线和,或无线的电磁、光电系统,进行文字、声音、数据、图像或其他任何媒体的信息传递的网络,包括固定通信网、移动通信网等
D、电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合.共同构成了电信网和互联网安全防护体系。
2、关于信息产业部电信管理局《关于电信网络等级保护工作有关问题的通知》(信电函[2006]35号)的目的,以下说法最准确的是(B)。
A、指导电信业加快推进信息安全等级保护,规范信息安全等级保护管理,保障和促进信息化建设
B、指导电信业更好地实施信息安全等级保护工作,保证电信网络(含互联网)等级保护工作规范、科学、有序地开展
C、指导电信业信息系统主管部门依照相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营的信息安全等级保护工作。
D、指导电信业各单位组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息系统安全等级保护定级指南》的要求,确定定级对象
3、根据《关于电信系统信息安全等级保护工作有关问题的意见》(信安通[2007]14号),开展针对各地全程全网性质的电信网络的信息安全等级保护检查时,应当(D)
A、由公安机关单独进行 B、由测评单位单独进行
C、会同公安机关共同进行D、会同电信主管部门共同进行
4、《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中要求,对于经集团公司审核后,安全保护等级拟定为第3级及以上级别的定级对象,应由集团公司将定级报告(电子版)报送(B)评审,由专家组和电信运营企业共同商议确定定级对象的安全保护等级。
A、公安机关网络安全防护专家组 B、信息产业部电信网络安全防护专家组 C、测评单位网络安全防护专家组 D、第三方网络安全防护专家组
5、在电信网和互联网及相关系统中进行安全等级划分的总体原则是:(A)
A、定级对象受到破坏后对国家安全、社会秩序、经济运行公共利益以及网络和业务运营商的合法权益的损害程度
B、业务系统对定级对象的依赖程度,以及定级对象的经济价值
C、定级对象受到破坏后对国家安全、社会秩序、经济运行公共利益以及业务系统的影响程度
D、定级对象的经济价值和对公共利益的重要程度
6、从电信网和互联网管理安全等级保护第(B)级开始要求,关键岗位人员离岗须承诺调离后的保密义务后方可离开。
A、2 B、3.1 C、3.2 D、4
7、工信部考察通信行业信息安全管理体系认证相关工作要求的工信厅保[2010]200号发文是以下哪个?(C)
A、《关于加强通信行业信息安全管理体系认可管理工作的通知》 B、《关于加强通信行业信息安全体系认证管理工作的通知》 C、《关于加强通信行业信息安全管理体系认证管理工作的通知》 D、《关于加强信息安全管理体系认证管理工作的通知》
8、下面哪一项是ISO/IEC TR 13335对风险分析的目的描述?(D)
A、识别用于保护资产的责任义务和规章制度
B、识别资产以及保护资产所使用的技术控制措施
C、识别同责任义务有直接关系的威胁
D、识别资产、脆弱性并计算潜在的风险
9、以下属于网络信息系统的安全管理原则的是:(ABD)
A、多人负责原则 B、职责分离原则 C、权力集中原则
D、任期有限原则
10、以下哪些是安全风险评估实施流程中所涉及的关键部分(ABC)
A、风险评估准备、B、资产识别、脆弱性识别、威胁识别 C、已有安全措施确认,风险分析 D、网络安全整改
11、Windows系统允许用户使用交互方式进行登录,当使用域账号登录域时,验证方式是SAM验证(×)
12、在Unix/Linux系统中,一个文件的权限为4755,则文件不能被root组以外的其他用户执行。(×)
13、下面属于木马特征的是(BCD)
A、造成缓冲区的溢出,破坏程序的堆栈 B、程序执行时不占太多系统资源
C、不需要服务端用户的允许就能获得系统的使用权 D、自动更换文件名,难于被发现
14、安全的Wifi应当采用哪种加密方式(A)
A、WPA2
B、MD5 C、Base64 D、WEP
15、下列对跨站脚本攻击(XSS)的解释最准确的一项是:(B)
A、引诱用户点击虚假网络链接的一种攻击方法
B、将恶意代码嵌入到用户浏览的web网页中,从而达到恶意的目的 C、构造精妙的关系数据库的结构化查询语言对数据库进行非法的访问 D、一种很强大的木马攻击手段
16、某黑客利用IE浏览器最新的0day漏洞,将恶意代码嵌入正常的Web页面当中,用户访问后会自动下载并运行木马程序,这种攻击方式属于钓鱼攻击(×)
17、关于MD5的说法正确的是(ABC)
A、MD5是单向hash函数
B、增加web安全账户的一个常用手段就是将管理员的用户密码信息,经过md5运算后,在数据库中存储密码的hash值
C、web数据库中存储的密码经过hash之后,攻击者即使看到hash的密码也无法用该信息直接登录,还需要进一步破解
D、目前攻击者在得到经过hash的用户名密码之后,最常用的破解手段是暴力破解
18、已知某个链接存在SQL注入漏洞,网址是http://代码(以后称脚本),而SQL注入注入的是SQL命令
C、XSS和SQL注入攻击都利用了Web服务器没有对用户输入数据进行严格的检查和有效过滤的缺陷。
D、XSS攻击盗取Web终端用户的敏感数据,甚至控制用户终端操作,SQL注入攻击盗取Web后台数据库中的敏感数据,甚至控制整个数据库服务器。
53、统一威胁管理系统(UTM)描述正确的是(ABD)
A.部署UTM可以有效降低成本 B.部署UTM可以降低信息安全工作强度 C.部署UTM可以降低安全设备集成带来的风险 D.部署UTM可能降低网络性能和稳定性
54、防范缓冲区溢出攻击的对策一般有(AC)。
A、更新操作系统和应用软件的版本以及补丁
B、安装防病毒软件
C、关闭多余的系统服务和端口 D、优化系统内存
55、以下关于SYN Flood和SYN Cookie技术的哪些说法是不正确的?(AD)A、SYN Flood攻击主要是通过发送超大流量的数据包来堵塞网络带宽
B、SYN Cookie技术的原理是通过SYN Cookie网关设备拆分TCP三次握手过程,计算每个TCP连接的Cookie值,对该连接进行验证
C、SYN Cookie技术在超大流量攻击的情况下可能会导致网关设备由于进行大量的计算而失效 D、以上都正确
56、下面不属于木马伪装手段的是(C)。
A、捆绑文件 B、隐蔽运行 C、自我复制
D、修改图标
57、关于网络入侵防御系统,以下描述不正确的是(A)
A.能够实时过滤阻断攻击源 B.阻断的是攻击包 C.部署在网络关键点上 D.以透明模式串联于网络中
58、对安全管理平台(SOC)描述正确的是(ABD)
A.SOC是技术、流程和人的有机结合
B.SOC能够对各类安全事件进行收集、过滤、合并和查询 C.SOC只能够收集各类防火墙、IDS、IPS等网络设备的信息
D.SOC能够协助管理员进行事件分析、风险分析、预警管理和应急响应处理等
59、《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中要求,基础电信运营企业各定级对象的定级结果,(A)应由集团公司进行审核。
A、含1至5级 B、2级以上 C、3级以上
D、4级以上 60、定级对象受到破坏后,会对网络和业务运营商的合法权益产生严重损害,或者对社会秩序、经济运行和公共利益造成轻微损害,但不损害国家安全,这是属于安全等级保护的第()级。
C、3.1(×)注:2
61、电信网和互联网安全等级保护中,针对第1级的对象需要做的是(B)
A、由网络和业务运营商依据业务的特殊安全要求进行保护 B、由网络和业务运营商依据国家和通信行业有关标准进行保护 C、由主管部门对其安全等级保护工作进行指导 D、由主管部门对其安全等级保护工作进行监督、检查
62、《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中要求,对于经集团公司审核后,安全保护等级拟定为(B)的定级对象,无需报信息产业部电信网络安全防护专家组评审,可直接向电信监管部门进行备案。
B、第2级及以下级别
(√)
63、定级对象受到破坏后,会对其网络和业务运营商的合法权益造成轻微损害,但不损害国家安全、社会秩序、经济运行和公共利益,这是属于安全等级保护的第()级。B、2(×)注:1
64、定级对象受到破坏后,会对社会秩序、经济运行和公共利益造成特别严重的损害,或者对国家安全造成严重的损害,这是属于安全等级保护的第(A)级。
A、4 B、3.2 C、3.1 D、2 65、网络和业务运营商在网络实际运行之前对其安全等级保护工作的实施情况进行安全检测,确保其达到安全防护要求,这是(D)阶段的工作内容。
A、安全总体规划阶段 B、安全资产终止阶段 C、安全运维阶段
D、安全设计与实施阶段 66、国家公安机关负责等级保护中的什么类别工作?(D)
A、负责信息安全等级保护工作中部门间的协调。
B、负责等级保护工作中有关保密工作的监督、检查、指导。C、负责等级保护工作中有关密码工作的监督、检查、指导。
D、负责信息安全等级保护工作的监督、检查、指导。67、《信息系统安全等级保护定级指南》描述的第三级是下面哪个(C)
A、指导保护级 B、强制保护级 C、监督保护级
D、自主保护级 68、电信网和互联网管理安全等级保护要求中,第2级在安全管理制度的评审和修订上应满足(D)。
A、应定期或不定期对安全管理制度进行检查和审定
B、应定期或不定期地对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订
C、安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定
D、应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订 69、Solaris 10的运行模式0是指(B)。
A、退出操作系统并关机
B、操作系统关闭,计算机仅运行其固件 C、重新启动机器
D、中断运行并立即关机 70、为了防御XSS跨站脚本攻击,我们可以采用多种安全措施,但(C)是不可取的
A、编写安全的代码:对用户数据进行严格检查过滤 B、可能情况下避免提交HTML代码 C、阻止用户向Web页面提交数据
D、即使必须允许提交特定HTML标签时,也必须对该标签的各属性进行仔细检查,避免引入javascript 71、防范网页挂马攻击,作为第三方的普通浏览者,以下哪种办法可以有效?(AD)
A、及时给系统和软件打最新补丁 B、不浏览任何网页 C、安装防火墙
D、安装查杀病毒和木马的软件 72、Windows NT 4.0于1999年11月通过了美国国防部TCSEC(D)级安全认证。
A、B1 B、B2 C、C1 D、C2 73、缓冲区溢出(D)。
A、只是系统层漏洞
B、只是应用层漏洞 C、只是TCP/IP漏洞
D、既是系统层漏洞也是应用层漏洞
74、Windows NT的安全引用监视器(Security Reference Monitor,SRM)的主要作用是(A)。
A、实现基于对象的访问控制和审核策略 B、负责记录审核消息 C、管理对象的安全描述符 D、负责生成对象的访问控制列表
75、在Unix/Linux系统中,文件类型为“b”,说明这是一个(C)。
A、二进制可执行文件 B、硬链接文件 C、块设备文件
D、进程文件 76、为了防御网络监听,最有效也最常用的方法是(D)
A、采用物理传输(非网络)B、使用专线传输 C、用光纤传输数据
D、对传输数据进行加密 77、以下关于宏病毒说法不正确的是(ACD)。
A.宏病毒主要感染可执行文件
B.宏病毒仅向办公自动化程序编制的文档进行传染 C.宏病毒主要感染软盘、硬盘的引导扇区或主引导扇区
D.CIH病毒属于宏病毒 78、本地域名劫持(DNS欺骗)修改的是哪个系统文件(C)
A、C:WindowsSystem32driversetclmhosts B、C:WindowsSystem32 etclmhosts C、C:WindowsSystem32driversetchosts
D、C:WindowsSystem32etchosts 79、电信网和互联网安全防护工作中的指导性原则有(BCD)
A、最小权限原则 B、可控性原则 C、适度安全原则
D、保密性原则 80、根据《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号),基础电信运营企业的定级范围为(CD)
A、基础网络 B、重要信息系统 C、核心生产单元
D、非核心生产单元 81、《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中要求,定级结果备案时需要提交的文档不包括(D)
A、备案单位基本情况表 B、备案信息表 C、定级报告 D、专家评审意见表
82、按照《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)的要求,关于定级对象的审核,以下说法中正确的是(BD)
A、由电信运营企业集团公司或省级公司负责管理的定级对象,由同级公安机关负责审核
B、由电信运营企业集团公司负责管理的定级对象,由信息产业部负责审核
C、由电信运营企业集团公司或省级公司负责管理的定级对象,由信息产业部负责审核 D、由电信运营企业省级公司负责管理的定级对象,由当地通信管理局负责审核 83、定级对象的安全等级应根据以下3个互相独立的定级要素来确定,它们是(ABD)。
A、规模和服务范围 B、社会影响力 C、经济价值
D、所提供服务的重要性 84、电信网和互联网安全等级保护的定级过程中,需要独立考虑3个定级要素,以下哪些事项属于损害社会秩序的事项?(ABDE)
A、影响国家机关社会管理和公共服务的工作秩序 B、影响各行业的科研、生产秩序 C、影响国家重要的安全保卫工作 D、影响各种类型的经济活动秩序
E、影响公众在法律约束和道德规范下的正常生活秩序 85、电信网和互联网安全等级保护工作中,实施安全等级保护的一次完整过程包括()。
A、安全等级确定 B、安全架构设计 C、安全运维 D、安全开发与实施
E、安全资产终止 86、电信网和互联网管理安全等级保护要求中,第2级在安全管理制度上应满足(ABC)。
A、应制定安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等
B、应对安全管理人员或操作人员执行的重要管理操作建立操作规程 C、应对安全管理活动中重要的管理内容建立安全管理制度
D、应形成由安全策略、管理制度、操作规程等构成的全面的安全管理制度体系 E、应对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动 87、电信网和互联网管理安全等级保护要求中,人员安全管理中第3.1级要求外部人员访问时在满足第2级要求的基础还应该(AD)。
A、应确保在外部人员访问受控区域前先提出书面申请 B、应确保在外部人员访问受控区域前得到授权或审批 C、外部人员访问批准后应由专人全程陪同或监督,并登记备案
D、对外部人员允许访问的区域、网络、设备、信息等内容应进行书面的规定,并按照规定执行
88、等级保护对象受到破坏时所侵害的客体包括(ABD)
A、公民、法人和其他组织的合法权益。B、社会秩序、公共利益。C、国家领导人。
D、国家安全。89、《信息系统安全等级保护实施指南》中描述第三级安全通信网络从以下方面进行设计:ABCD A、通信网络安全审计
B、通信网络数据传输完整性保护 C、通信网络可信接入保护 D、通信网络数据传输保密性保护
90、电信网和互联网安全防护体系,由以下哪几项工作共同组成?(BCD)
A、安全风险评估 B、安全等级保护 C、安全法律法规
D、灾难备份及恢复 91、电信网和互联网,风险评估过程中,其中一项是资产识别,在资产识别过程中,资产赋值体现出资产的安全状况对于组织的重要性,资产赋值中,应主要考虑资产的哪些属性?(ACD)
A、资产的社会影响力 B、资产的存在形式 C、资产的可用性
D、资产所提供的业务价值
92、关于脆弱性的描述,哪些说法是正确的(abcd)
A、脆弱性是对一个或多个资产弱点的总称
B、单纯的脆弱性本身不会对资产造成损害,而且如果系统足够强健,再严重的威胁也不会导致安全事件的发生并造成损失
C、脆弱性识别也称为弱点识别,脆弱性是资产本身存在的,威胁总是要利用资产的脆弱性才可能造成危害
D、资产的脆弱性具有隐蔽性,有些脆弱性只有在一定条件和环境下才能显现,这是脆弱性识别中最为困难的部分
93、对通信网络安全防护工作说法正确的是(ABCD)
A.受保护的通信网络包括公用通信网和互联网
B.防护对象是由我国境内的电信业务经营者和互联网域名服务提供者管理和运行的通信网络
C.防护工作包括为防止通信网络阻塞、中断、瘫痪或者被非法控制而开展的工作
D.防护工作包括为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作 94、关于通信网络安全防护符合性评测描述不正确的是:(C)
A.二级通信网络单元应当每两年进行一次符合性评测; B.三级及三级以上通信网络单元应当每年进行一次符合性评测; C.五级通信网络单元应当每半年进行一次符合性评测;
D.通信网络单元的划分和级别调整的,应当自调整完成之日起九十日内重新进行符合性评测; 95、电信网络安全防护工作的可控性原则包括(ACD)
A.人员可控性 B.风险可控性 C.工具可控性
D.项目过程可控性 96、以下是电信网络安全防护工作中应该遵循的原则的是(ABCD)
A.规范性原则 B.适度性原则 C.整体性原则
D.同步性原则 97、Windows NT的安全子系统主要由(ABD)等组成。
A、安全账户管理(SAM)B、本地安全认证(LSA)C、对象管理器(OM)D、安全参考监视器(SRM)E、安全标识符(SID)
98、关于Windows NT中的安全账号管理器(Security Account Manager,SRM),以下说法中正确的是(ACDE)。
A、安全帐号管理器对帐号的管理是通过安全标识进行的
B、以system用户的权限可以使用编辑器对SAM文件的内容进行查看
C、sam文件是windows NT的用户帐户数据库,所有NT用户的登录名及口令等相关信息都会保存在这个文件中
D、安全账号管理器的具体表现就是%SystemRoot%system32configsam文件 E、注册表中也保存有SAM文件的内容,正常设置下仅对system用户可读写
99、NTFS文件系统能够为文件存储提供更高的安全性和可靠性,文件和文件夹的NTFS权限有(CE)类型。
A、操作权限 B、隐含权限 C、继承权限 D、访问权限
E、显式权限
100、Unix系统中某个文件的模式位为drwxr-xr-x,说明(ABE)。A、任何人都可以执行这个文件 B、文件的权限为755 C、这是一个普通文件
D、该文件只有超级用户root可写
E、其他人可以读这个文件
101、使用sudo工具可以对Unix/Linux系统中用户可运行的命令进行控制以增加安全性,它的特性包括(ABCDE)。
A、需要授权许可
B、可以为系统管理员提供配置文件
C、能够限制指定用户在指定主机上运行某些命令 D、可以提供日志记录
E、可以进行时间戳检验
102、在Unix/Linux系统的/etc/syslog.conf配置文件中有如下两行内容,从中我们可以看出(BE)。
user.err
/dev/console user.err
/var/log/messages A、用户登录过程中出错,要发送日志消息到控制台
B、应用程序出现一般性错误,要发送日志消息到控制台,并且同时记录到messages文件
C、用户登录过程中出错,要记录日志消息到messages文件
D、应用程序出现一般性错误,要发送日志消息到控制台,或者记录到messages文件 E、应用程序出现err及以上级别错误,要发送日志消息到控制台,并且同时记录到messages文件
103、常见的拒绝服务攻击有:(ABCD)A、UDP Flood B、ICMP Flood C、SYN Flood
D、IGMP Flood 104、拒绝服务攻击的对象可能为:(ABCD)A、网桥
B、防火墙 C、服务器
D、路由器
105、下列木马程序可能采用的激活方式有(AC)。
A、修改注册表中的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下以“run”开头的键值 B、将木马程序复制在用户的桌面上 C、注册为系统服务
D、感染系统中所有的exe和html文件
106、某黑客组织通过拷贝中国银行官方网站的登陆页面,然后发送欺骗性电子邮件,诱使用户访问此页面以窃取用户的账户信息,这种攻击方式属于(B)
A、SQL注入 B、钓鱼攻击 C、网页挂马 D、域名劫持
107、Serv-U软件因自身缺陷曾多次被黑客用来进行提权攻击,针对提权的防御办法有(ABCD)
A、禁用anonymous帐户
B、修改Serv-U默认管理员信息和端口号
C、修改默认安装路径,并限制安全目录的访问权限 D、限制用户权限,删除所有用户的执行权限 108、关于HTTP协议说法正确的有哪些(ACD)
A、http协议是明文传输的 B、http协议是可靠的有状态的协议 C、http协议主要有请求和响应两种类型
D、http协议,在web应用中,可以有get、post、delete等多种请求方法,但是最常用是get和post
109、有很多办法可以帮助我们抵御针对网站的SQL注入,包括(BCD)
A、删除网页中的SQL调用代码,用纯静态页面 B、关闭DB中不必要的扩展存储过程
C、编写安全的代码:尽量不用动态SQL;对用户数据进行严格检查过滤 D、关闭Web服务器中的详细错误提示
110、防火墙部署中的透明模式的优点包括:(ACD)
A、性能较高
B、易于在防火墙上实现NAT C、不需要改变原有网络的拓扑结构
D、防火墙自身不容易受到攻击
111、关于网络入侵检测系统,以下描述正确的是(BCD)
A.能够适用于加密环境 B.不会增加系统开销 C.对带宽的要求较高 D.其部署不影响现有网络架构
112、以下哪些是应用层防火墙的特点?(ABC)
A、更有效的防止应用层的攻击 B、工作在OSI模型的第七层 C、比较容易进行审计
D、速度快而且对用户透明
113、发现感染计算机病毒后,应采取哪些措施(ACD)A.断开网络
B.格式化系统
C.使用杀毒软件检测、清除
D.如果不能清除,将样本上报国家计算机病毒应急处理中心
114、无法用于对Windows系统口令进行暴力破解的工具有(A、NMAP B、Nessus C、X-Scan D、AppScan 115、选出曾经出现提权漏洞的第三方软件(ABCD)
A、VNC B、FlashFXP C、Serv-U D、PcAnywhere
116、下面支持WPA加密方式的无线局域网标准有(BD)。A、802.11b B、802.11i
C、802.11a
D、802.11n 117、选出可以被暴力破解的协议(ABC)
A、POP3 B、SNMP C、FTP
D、TFTP
118、以下关于DOS攻击的描述,说法正确的有(BC)
A、以窃取目标系统上的机密信息为目的 B、不需要侵入对方系统内部
C、导致目标系统无法处理正常用户的请求
D、如果目标系统没有漏洞,远程攻击就不可能成功)AD
119、《关于电信网络等级保护工作有关问题的通知》(信电函[2006]35号)中指出,电信网络由各种设备、线路和相应的支撑、管理子系统组成,因此电信网络实施等级保护时应当(C)。
A、对电信网络采取基础网络和重要信息系统分开实施技术保护 B、对电信网络采取按照地域划分成不同安全域分开实施技术保护
C、对整个网络统筹兼顾,按照国家制定的有关标准和要求,由电信网络的主管部门统一部署实施
D、按照“谁主管、谁负责”原则,各个电信网络各自部署实施,并进行监督、检查和指导
120、《关于电信系统信息安全等级保护工作有关问题的意见》(信安通[2007]14号)中指出,电信系统的等级保护备案(D)。A、在国家级进行
B、由各个电信网络自行决定如何进行 C、在国家、省、地市三级进行 D、在国家、省两级进行
121、《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中指出的定级范围包括核心生产单元和非核心生产单元,其中核心生产单元是指(D)。A、企业内部办公系统、客服呼叫中心等
B、重要信息系统,即电信业务的业务单元和控制单元
C、基础网络,即承载各类电信业务的公共电信网(含公共互联网)及其组成部分 D、正式投入运营的传输、承载各类电信业务的公共电信网(含公共互联网)及其组成部分,以及支撑和管理公共电信网及电信业务的业务单元和控制单元
122、电信网和互联网及相关系统的安全等级划分中,第2级的保护方法是:(C)
A、由网络和业务运营商依据国家和通信行业有关标准进行保护
B、由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行监督、检查
C、由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行指导
D、由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行重点监督、检查
123、电信网和互联网管理安全等级保护要求中,第3.1级相比第2级在人员安全管理的人员离岗上还要求(C)。
A、应规范人员离岗过程,及时终止离岗员工的所有访问权限 B、对于离岗人员,应禁止其从计算机终端上拷贝数据 C、关键岗位人员离岗须承诺调离后的保密义务后方可离开 D、对于离岗人员,应办理严格的调离手续
124、谁对信息资产的分类负有首要的责任?(D)
A、用户
B、高级管理层 C、职能部门经理 D、数据所有者
125、风险控制的方式主要有规避、转移、降低三种,其中的风险规避是指(B)
A、通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险 B、通过不使用面临风险的资产来避免风险
C、通过对面临风险的资产采取保护措施来降低风险 D、以上都不对
126、访问控制以其不同的实现方法可以分为若干种类,Windows系统的访问控制是(D)。
A、基于进程的访问控制 B、基于文件的访问控制 C、基于任务的访问控制 D、基于对象的访问控制
127、Microsoft 基准安全分析器(MBSA)是一个易于使用的工具,可帮助中小型企业根据Microsoft安全建议评估其安全性,当使用多台计算机模式进行扫描时,禁用以下哪个安全选项会对MBSA的工作造成影响?(C)A、网络访问:可匿名访问的命名管道
B、网络访问:允许为网络身份验证储存凭据或.NET Passports C、网络访问:可远程访问的注册表路径和子路径 D、网络访问:可匿名访问的共享
128、在Apache的配置文件httpd.conf有如下的配置,说明(C)。
C、所有主机都将被允许,除了那些来自 aaa.com 域的主机 D、所有主机都将被禁止,除了那些来自 aaa.com 域的主机
129、Unix系统中使用下面的find命令,可以实现的功能是查找(B)。
find /-type f(-perm-4000-o-perm –2000)-exec ls-lg {};A、所有SUID文件
B、所有SUID或者SGID文件 C、所有SGID文件
D、所有SUID以及SGID文件
130、Linux2.6版的内核中集成了(A),使Linux的安全性大幅度提高。
A、SELinux B、Netfilter C、Iptables D、TCPWrappers
131、下面不属于木马特征的是(C)
A.自动更换文件名,难于被发现 B.程序执行时不占太多系统资源
C.造成缓冲区的溢出,破坏程序的堆栈
D.不需要服务端用户的允许就能获得系统的使用权 132、攻击者截获并记录了从A到B的数据,然后又从早些时候所截获的数据中提取出信息重新发往B称为(B)。A.中间人攻击
B.回放攻击
C.强力攻击
D.口令猜测器和字典攻击
133、下列哪个平台经常被用来进行无线网络的破解(B)A.Windows7 B.BT5 C.android D.iOS 134、暴力破解Unix系统账户的工具是(C)A.LC5 B.X-Scan C.John D.AppScan
135、Windows NT 系统能设置为在几次无效登录后锁定帐号,这可以防止(C)
A、木马;
B、IP欺骗;
C、暴力攻击;
D、缓存溢出攻击
136、以下哪种攻击方式,可以称为CC攻击(B)
A、synflood B、http flood C、smurf D、TearDrop
137.以下哪些内容是工信部保[2009]224号《关于开展通信网络安全检查工作的通知》所关注检查的重点内容包括(ABCD)A、远程维护管控措施 B、用户个人信息保护措施 C、第三方安全服务管控措施
D、涉及国庆重大活动网络单元的安全防护情况
138.工信部保函[2012]102号《关于开展2012年度通信网络安全防护检查工作的通知》检查的主要内容包括:(ABCD)
A、网络安全防护责任制和相关制度、机制、预案的建立与落实情况 B、2011年检查发现的重大安全隐患和风险的整改情况 C、网络单元仍然存在的薄弱环节、重大安全隐患和风险
D、网络单元防攻击、防入侵、防病毒以及备份、监测、应急、用户信息保护等措施的落实情况;
139.以下关于风险评估中,风险要素及属性之间存在关系表述正确的是(ABCD)A、业务战略依赖资产去实现
B、风险的存在及对风险的认识导出安全需求 C、资产价值越大则其面临的风险越大
D、资产是有价值的,组织的业务战略对资产的依赖度越高,资产价值就越大 140.在风险评估过程中,为保证风险评估的顺利完成,应该遵循以下哪些原则(ABCDE)A、标准性原则 B、可控性原则 C、完备性原则 D、保密原则 E、最小影响原则
141.以下哪些是脆弱性识别所采用的主要方法(ABCDE)A、问卷调查 B、文档查阅 C、人工核查 D、工具检测 E、渗透性测试等
142.以下哪些是灾难备份及恢复实施资源要素(ABCD)A、备份数据 B、灾难恢复预案
C、人员和技术支持能力
D、冗余系统、冗余设备及冗余链路
143.《关于电信网络等级保护工作有关问题的通知》(信电函[2006]35号)中指出,电信网络具有全程全网的特点,因此(BCD)。A、基础网络和重要信息系统分开实施技术保护 B、按照国家制定的有关标准和要求进行 C、由电信网络的主管部门统一部署实施 D、落实保护措施必须要对整个网络统筹监顾 144.根据《关于电信系统信息安全等级保护工作有关问题的意见》(信安通[2007]14号),以下说法中不正确的是(AB)
A、电信系统的信息安全等级保护定级的备案工作由国家、省级、地市级电信企事业单位自行向同级公安机关进行备案
B、地市以下电信企事业单位的信息系统由地市电信管理部门统一向同级公安机关备案 C、各地部具有全程全网性质的信息系统,如本地网站、管理和办公系统等,仍按《信息安全等级保护管理办法》执行
D、开展针对各地全程全网性质的电信网络的信息安全等级保护检查时,应当会同电信主管部门共同进行
145.《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中,关于定级结果评审的有关要求,以下不正确的是(BD)。
A、对于经集团公司审核后,安全保护等级拟定为第3级及以上级别的定级对象,应由集团公司将定级报告(电子版)报送信息产业部电信网络安全防护专家组评审,B、安全保护等级拟定为第3级及以上级别的定级对象,应由信息产业部电信网络安全防护专家组确定定级对象的安全保护等级
C、当专家组评审意见与电信运营企业的意见达不成一致时,应选择双方建议级别中较高的级别作为最终确定的级别
D、当专家组评审意见与电信运营企业的意见达不成一致时,应选择电信网络安全防护专家组确定的安全保护等级
146.《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中要求,定级对象的管理主体为(AD): A、省级公司 B、地市级公司 C、电信监管部门 D、集团公司
147.《YD/T 1729-2008 电信网和互联网安全等级保护实施指南》中指出,电信网和互联网安全防护工作的范围包括(BCD)。
A、非经营性的互联网信息服务单位、移动信息服务单位等 B、支撑和管理公众电信网和电信业务的业务单元和控制单元
C、企业办公系统、客服呼叫中心、企业门户网站等非核心生产单元
D、网络和业务运营商运营的传输、承载各类电信业务的公众电信网及其组成部分 148.电信网和互联网安全等级保护的定级过程中,对社会影响力进行赋值时,以下说法正确的是(ABD)。A、先确定对国家安全的损害程度
B、再确定对社会秩序、经济运行和公共利益的损害程度
C、是对国家安全、社会秩序、经济运行和公共利益的损害程度的平均值 D、是对国家安全、社会秩序、经济运行和公共利益的损害程度最严重者
149.电信网和互联网安全等级保护的实施过程中要遵循多种原则,以下说法中不正确的是(BD)。
A、依据国家和通信行业相关标准对电信网和互联网及相关系统自主实施安全保护 B、对电信网和互联网及相关系统进行新建时,应当同步规划和设计安全方案,改建和扩建系统受到条件限制,可以暂时不考虑安全保护要求,待条件成熟时统一实施
C、对电信网和互联网及相关系统划分不同的安全等级,根据基本保护要求实现不同程度的安全保护
D、根据对电信网和互联网及相关系统的变化情况调整其安全等级,并在系统升级时按照调整后的安全等级进行安全保护措施
150.电信网和互联网管理安全等级保护要求中,第2级的安全运维管理在若干方面进行了要求,其中不包括(A)。A、监控管理 B、密码管理 C、变更管理 D、应急预案管理
151.电信网和互联网安全等级保护工作中,实施安全等级保护的安全运维阶段需要进行的控制活动很多,主要包括(AC)。A、运行管理和控制 B、周期性的安全审计 C、变更管理和控制 D、入侵检测和响应
152.以下哪种控制措施不属于预防性的管理控制措施?(D)A.胸卡
B.生物技术
C.岗位轮换
D.入侵检测日志
153.在进行信息安全管理的过程中,、和 是三个关键层次(ACD)。A、安全管理体系 B、资产管理 C、风险管理
D、安全管理控制措施
154.我国信息安全等级保护的内容包括______。(BCD)A.对信息安全从业人员实行按等级管理
B.对信息系统中使用的信息安全产品实行按等级管理
C.对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护
D.对信息系统中发生的信息安全事件按照等级进行响应和处置
E.对信息安全违反行为实行按等级惩处
155.Windows系统的访问控制包括(BD)。
A、对数据对象的访问,通过对象的访问控制列表来控制 B、对文件或文件夹的访问,通过用户和组策略来控制 C、对硬件资源的访问,通过给进程颁发访问令牌来控制 D、对计算机的访问,通过账号密码的组合及物理限制来控制
156.Windows NT可以达到C2级别的安全性,说明它可以做到(ABCDE)。A、自主访问控制(DAC)B、安全指令集
C、强制的用户标识和认证
D、对象的重用(Object Reuse)E、可记账性和审核
157.Unix文件系统安全就是基于i-node节点中的(ACD)关键信息。A、模式 B、权限 C、GID D、UID 158.在Linux的/etc/shadow文件中有下面一行内容,从中无法看出(AC)。smith:!:14475:3:90:5::: A、用户smith被禁止登录系统
B、用户smith每隔90天必须更换口令
C、口令到期时,系统会提前3天对用户smith进行提醒
D、更换了新口令之后,用户smith不能在3天内再次更换口令
159.关于Unix系统中的守护进程,以下说法中不正确的是(D)。A、是在后台运行而无终端或者登录shell和它结合在一起的进程
B、独立于控制终端并且周期性的执行某种任务或等待处理某些发生的事件 C、大多数服务器都是用守护进程实现的
D、在用户请求服务时启动,在服务结束时终止 160.指出下列关于计算机病毒的正确论述(ABDEF)。
A、计算机病毒是人为地编制出来、可在计算机上运行的程序 B、计算机病毒具有寄生于其他程序或文档的特点 C、只有计算机病毒发作时才能检查出来并加以消除
D、计算机病毒在执行过程中,可自我复制或制造自身的变种 E、计算机病毒只要人们不去执行它,就无法发挥其破坏作用 F、计算机病毒具有潜伏性,仅在一些特定的条件下才发作 161.关于WEP和WPA加密方式的说法中正确的有(BD)A.802.11b协议中首次提出WPA加密方式 B.802.11i协议中首次提出WPA加密方式
C.采用WEP加密方式,只要设置足够复杂的口令就可以避免被破解 D.WEP口令无论多么复杂,都很容易遭到破解 162.无线网络的拒绝服务攻击模式有(BCD)A.伪信号攻击 B.Land攻击
C.身份验证洪水攻击 D.取消验证洪水攻击
163.下面不属于嗅探类工具的有(D)A.SnifferPro B.WireShark C.Cain D.X-Way 164.下面关于sql注入语句的解释,正确的是(ABCD)
A、“And 1=1” 配合“and 1=2”常用来判断url中是否存在注入漏洞 B、and exists(select * from 表名)常用来猜解表名
C、and exists(select 字段名 from 表明)常用来猜解数据库表的字段名称
D、猜解表名和字段名,需要运气,但只要猜解出了数据库的表名和字段名,里面的内容就100%能够猜解到
165.关于XSS跨站脚本攻击,下列说法正确的有(ABCD)A、跨站脚本攻击,分为反射型和存储型两种类型
B、XSS攻击,一共涉及到三方,即攻击者、客户端与网站。C、XSS攻击,最常用的攻击方式就是通过脚本盗取用户端cookie,从而进一步进行攻击 D、XSS(cross site scripting)跨站脚本,是一种迫使Web站点回显可执行代码的攻击技术,而这些可执行代码由攻击者提供、最终为用户浏览器加载。166.下面关于跨站请求伪造,说法正确的是(ABD)
A、攻击者必须伪造一个已经预测好请求参数的操作数据包
B、对于Get方法请求,URL即包含了请求的参数,因此伪造get请求,直接用url即可
C、因为POST请求伪造难度大,因此,采用post方法,可以一定程度预防CSRF D、对于post方法的请求,因为请求的参数是在数据体中,目前可以用ajax技术支持伪造post请求
167.以下哪些方法可以预防路径遍历漏洞(ABCD)A、在unix中使用chrooted文件系统防止路径向上回朔 B、程序使用一个硬编码,被允许访问的文件类型列表 C、对用户提交的文件名进行相关解码与规范化
D、使用相应的函数如(java)getCanonicalPath方法检查访问的文件是否位于应用程序指定的起始位置
168.查杀木马,应该从哪些方面下手(ABCD)A、寻找并结束木马进程 B、打漏洞补丁
C、寻找木马病毒文件
D、寻找木马写入的注册表项 169.下面关于cookie和session说法正确的是(ABCD)
A、只要将cookie设置为httponly属性,脚本语言,就无法再盗取cookie内容了 B、cookie可以通过脚本语言,轻松从客户端读取
C、针对cookie的攻击,攻击者往往结合XSS,盗取cookie,获得敏感信息或进行重放攻击
D、cookie往往用来设计存储用户的认证凭证信息,因此cookie的安全,关系到认证的安全问题。
170.对于SQL注入攻击的防御,可以采取哪些措施(ABCD)A、不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。B、不要把机密信息直接存放,加密或者hash掉密码和敏感的信息
C、不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取
D、对表单里的数据进行验证与过滤,在实际开发过程中可以单独列一个验证函数,该函数把每个要过滤的关键词如select,1=1等都列出来,然后每个表单提交时都调用这个函数
171.下列关于预防重放攻击的方法,正确的是(ABD)
A、预防重放攻击,可以采用时间戳、序列号、提问-应答等思想实现
B、序列号的基本思想:通信双方通过消息中的序列号来判断消息的新鲜性,要求通信双方必须事先协商一个初始序列号,并协商递增方法
C、时间戳基本思想──A接收一个消息当且仅当其包含一个对A而言足够接近当前时刻的时戳,只需设定消息接收的时间范围,需关注通信双方时间的同步
D、提问应答思想是:期望从B获得消息的A 事先发给B一个现时N,并要求B应答的消息中包含N或f(N),f是A、B预先约定的简单函数,A通过B回复的N或f(N)与自己发出是否一致来判定本次消息是不是重放的
172.以下对防火墙的描述不正确的是(C)
A.防火墙能够对网络访问进行记录和统计 B.防火墙能够隐藏内部网络结构细节 C.能够防止来源于内部的威胁和攻击
D.能根据据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流
173.《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中指出,对于确定为第2级及以上级别的定级对象,电信运营企业应向电信监管部门办理备案,以下说法中不正确的是(ABD)。
A、备案工作由集团公司、省级公司和地市级公司进行
B、每个第3级及以上级别的定级对象均需填写一份备案信息表 C、备案信息表中要明确定级对象的所属公司名称(管理主体)D、每个第3级及以上级别的定级对象在备案时均需提交定级报告
174.电信网和互联网及相关系统的安全等级划分中,第3.2级的保护方法是:(B)A、由网络和业务运营商依据国家和通信行业有关标准进行保护
B、由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行重点监督、检查
C、由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行监督、检查 D、由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行指导
175.确定定级对象安全等级的定级要素包括(BCD)。A、经济价值 B、社会影响力 C、规模和服务范围 D、所提供服务的重要性
176.电信网和互联网管理安全等级保护要求中,下面哪一项是安全运维管理的应急预案管理在第2级就要求的?(D)
A、应规定应急预案需要定期审查和根据实际情况更新的内容,并按照执行
B、应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障 C、应定期对应急预案进行演练,根据不同的应急恢复内容,确定演练的周期 D、应对相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次 177.《通信网络安全防护范围管理办法》的防护范围是(A)
A.电信业务经营者和互联网域名服务提供者管理和运行的公用通信网和互联网 B.三级及三级以上的通信网络
C.在我国境内运行的通信骨干网、汇聚网和接入网 D.电信运营商的骨干通信网络
178.违反工信部11号令相关规定的,由电信管理机构依据职权责令改正,拒不改正的(C)
A.给予警告,并处五千元以上十万元以下的罚款 B.给予警告,并处五千元以上五万元以下的罚款 C.给予警告,并处五千元以上三万元以下的罚款 D.给予警告,并处五千元以上五十万元以下的罚款
179.下列不符合电信运营企业选择安全服务机构进行电信网络的安全评测和风险评估条件的是:(B)
A.在中华人民共和国境内注册成立(港澳台地区除外)B.刚开始开展电信网络安全保障服务业务 C.相关工作人员是中国公民
D.由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外)180.以下哪些不是安全风险评估实施流程中所涉及的关键部分(A)A、网络安全整改、B、资产识别、脆弱性识别、威胁识别 C、已有安全措施确认,风险分析 D、风险评估准备
181.针对一个网络进行网络安全的边界保护可以使用下面的哪些产品组合(B)A、防火墙、入侵检测、密码 B、防火墙、入侵检测、防病毒 C、身份鉴别、入侵检测、内容过滤 D、防火墙、入侵检测、PKI 182.传统的观点,根据入侵行为的属性,将入侵检测系统按检测方法分为(A)A.异常检测、误用检测
B.误用检测、遗传
C.人工免疫、遗传
D.异常检测、人工免疫
183.Windows系统管理员如果想允许一个普通用户能够使用远程桌面连接登录到计算机,则应当(C)。
A、将他加入Administrators组
B、启用安全选项“网络访问:可匿名访问的终端服务” C、将他加入Remote Desktop Users组
D、启用安全选项“网络访问:可远程访问的终端服务”
184.Linux系统中使用更安全的xinetd服务代替inetd服务,例如可以在/etc/xinetd.conf文件的”default {}”块中加入(B)行以限制只有C类网段192.168.1.0 可以访问本机的xinetd服务。A、allow=192.168.1.0/24 B、only_from=192.168.1.0/24 C、permit=192.168.1.0/24 D、hosts=192.168.1.0/24 185.以下关于数据库安全的说法错误的是?(D)
A.数据库系统的安全性很大程度上依赖于DBMS的安全机制
B.许多数据库系统在操作系统下以文件形式进行管理,因此利用操作系统漏洞可以窃取数据库文件
C.数据库的安全需要在网络系统、操作系统和数据库管理系统三个方面进行保护 D.为了防止数据库中的信息被盗取,在操作系统层次对文件进行加密是唯一从根本上解决问题的手段
186.下列哪种病毒能对计算机硬件产生破坏?(C)A.维金
B.CODE RED C. CIH D.熊猫烧香
187.下列对于蠕虫病毒的描述错误的是:(B)A.蠕虫的传播无需用户操作
B.蠕虫的传播需要通过“宿主”程序或文件 C.蠕虫会消耗内存或网络带宽,导致DOS D.蠕虫程序一般由“传播模块”、“隐藏模块”和“目的功能模块”构成 188.下列哪一项是DOS攻击的一个实例?(B)A.SQL注入 B.Smurf攻击 C.IP Spoof D.字典破解
189.以下哪一项是防范SQL注入攻击最有效的手段?(C)A.删除存在注入点的网页
B.对数据库系统的管理权限进行严格的控制 C.对web用户输入的数据进行严格的过滤
D.通过网络防火墙严格限制Internet用户对web服务器的访问 190.下列对跨站脚本攻击(XSS)的解释最准确的一项是:(B)A.引诱用户点击虚假网络链接的一种攻击方法
B.将恶意代码嵌入到用户浏览的web网页中,从而达到恶意的目的 C.一种很强大的木马攻击手段
D.构造精妙的关系数据库的结构化查询语言对数据库进行非法的访问 191.《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中规定的定级结果备案方式为(CD)。
A、采用纸质文档方式将有关材料报送相应电信监管部门 B、电子文档应具有电信运营企业的电子签名 C、纸质材料应加盖单位公章
D、采用电子文档和纸质文档两种方式将有关材料报送相应电信监管部门 192.《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中对于定级对象的审核,规定如下(ABC):
A、由电信运营企业集团公司负责管理的定级对象,由信息产业部负责审核
B、由电信运营企业省级公司负责管理的定级对象,由当地通信管理局负责审核 C、主要审核相关材料是否齐备以及有关流程是否符合规定等
D、电信运营企业集团公司和省级公司负责管理的定级对象,都由信息产业部负责审核 193.电信网和互联网安全等级保护的定级过程中,需要独立考虑3个定级要素,以下哪些事项不属于损害经济运行的事项?(CD)A、直接导致国家经济活动主体的经济损失 B、间接导致国家经济活动主体的经济损失 C、直接导致社会公众的经济损失 D、间接导致社会公众的经济损失
194.电信网和互联网安全等级保护的定级要素中,定级对象所提供服务的重要性可以从服务本身的重要性来衡量,例如(ABD)。A、业务的重要性 B、业务的经济价值
C、使用该服务的用户数量 D、对企业自身形象的影响
195.电信网和互联网安全等级保护工作中,实施安全等级保护的安全等级确定阶段包括(ACD)等几个主要活动。A、对电信网和互联网的识别和描述 B、专家测评 C、评审和备案
D、定级对象的划分以及安全等级确定 196.《YD/T 1756-2008 电信网和互联网安全等级保护要求》中,在安全管理制度方面,从(BCD)方面做出了要求。A、培训和学习B、制定和发布 C、评审和修订 D、管理制度
197.电信网和互联网管理安全等级保护要求中,第2级在安全管理机构的岗位设置上要求设立(ABC)岗位。A、系统管理员 B、网络管理员 C、安全管理员 D、安全审计员 198.电信网和互联网管理安全等级保护要求中,第2级在人员安全管理的人员离岗上要求(BCD)。
A、对于离岗人员,应禁止其从计算机终端上拷贝数据
B、应规范人员离岗过程,及时终止离岗员工的所有访问权限 C、对于离岗人员,应办理严格的调离手续
D、对于离岗人员,应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备 199.电信网和互联网管理安全等级保护要求中,备份与恢复管理中要求要制定数据的备份策略,其中应指明(ABCD)。A、将数据离站运输的方法 B、备份数据的放置场所 C、文件命名规则 D、介质替换频率
E、需要备份的重要业务信息、系统数据及软件系统等
200.电信网和互联网管理安全等级保护要求中,第3.1级相比第2级在安全管理机构的岗位设置上还要求设立(BD)。A、安全审计人员
B、安全管理工作的职能部门 C、安全监控人员
D、指导和管理安全工作的委员会或领导小组
201.工信部11号令中,网络安全防护工作是指为为防止(ABCD)而开展的工作 A.通信网络被非法控制
B.通信网络阻塞、中断、瘫痪
C.通信网络中传输、存储、处理的数据信息丢失
D.通信网络中传输、存储、处理的数据泄露或者被篡改 202.电信网络定级的步骤包括(BCD)A.定级结果的调整
B.安全等级的划分
C.安全等级的确定
D.电信网络的划分
203.电信网络安全评测的监督检查内容主要包括:(ABCD)
A.安全评测实施方法是否符合国家和信息产业部制定的相关标准或实施指南 B.定级对象的备案信息是否与实际情况相符
C.第三方安全评测服务机构的选择是否符合有关规定
D.对定级对象实施的技术、管理、灾难备份等安全保护措施是否符合国家和信息产业部制定的相关标准
204.原则上在以下情况时应当组织开展风险评估:(BCD)A.定级对象发生合并或拆分后 B.发现新的严重安全隐患 C.出现新的重大威胁
D.国家召开重要会议或举办重大活动之前
205.在信息安全管理的沟通协作方面,要建立和维护内部与外部组织机构的有效沟通与协作机制,其中,与外部机构的协作包括:(ABD)
A、在信息安全法律法规方面服从信息安全有关执法机构的管理和指导 B、保持与相关服务方(如电信运营商等)的有效沟通与协作 C、审核信息安全事故,并采取适当的行动
D、应建立有效的信息获取和更新渠道,以跟上信息安全的最新发展
206.目前,我国在对信息系统进行安全等级保护时,划分的级别包括______。(ABCDE)A.监督保护级
B.强制保护级
C.专控保护级
D.指导保护级
E.自主保护级
207.安全脆弱性,是指安全性漏洞,广泛存在于______。(ACE)A.协议设计过程
B.审计检查过程 C.运行维护过程
D.安全评估过程
E.系统实现过程
208.下列______因素与资产价值评估有关。(ADE)A.购买资产发生的费用
B.人工费用
C.软硬件费用
D.运行维护资产所需成本
E.资产被破坏所造成的损失
209.当我们识别威胁时,需要从、、等方面来了解和认识威胁。(ACD)A、威胁的主体 B、威胁作用的对象 C、威胁主体的动机
D、威胁所需的资源和能力
210.防火墙发展主要经历有哪几代(ABD)A、包过滤防火墙 B、应用代理防火墙 C、攻击检测防火墙 D、状态检测防火墙
211.状态检测防火墙与包过滤防火墙相比其优点是(AD)A、配置简单 B、更安全
C、对应用层检测较细致 D、检测效率大大提高
212.在直接连接到Internet的Windows系统中,应当强化TCP/IP堆栈的安全性以防范DoS攻击,设置以下注册表值有助于防范针对TCP/IP堆栈的DoS攻击:(ABCD)。A、EnableDeadGWDetect B、SynAttackProtect C、EnablePMTUDiscovery D、PerformRouterDiscovery
213.Unix系统中使用/etc/group文件来记录组信息,关于该文件的描述不正确的是(CD)。
A、文件中每个用户组一条记录,包括组名称、GID、组密码和用户列表4个字段 B、组密码也采用影子口令方式存储
C、设定用户组密码需要使用命令gpasswd,该命令只有root用户有执行权限 D、用户列表中最少会显示一个用户,就是该组的同名用户
214.Linux系统中使用更安全的xinetd服务代替inetd服务,在/etc/xinetd.conf文件的”default {}”块对参数(ACD)进行限制,以防范DoS攻击。A、instances B、mdns C、cps
D、per_source
215.Linux的Netfilter防火墙功能强大,下面的命令实现的防火墙功能是(BCD)。iptables-P FORWARD DROP iptables-A FORWARD-i eth0-p ANY-j ACCEPT iptables-A FORWARD-d 10.1.1.2-p tcp--dport 22-j ACCEPT A、允许从IP地址10.1.1.2来的SSH连接通过防火墙 B、允许来自eth0接口的所有连接通过防火墙 C、允许去往10.1.1.2主机的SSH连接通过防火墙 D、除此之外的所有连接都将被拒绝
216.关于文件和文件夹的NTFS继承权限的说法中不正确的是(BD)。A、文件和子文件夹自动从其父文件夹继承权限
B、如果不需要文件和子文件夹从其父文件夹继承权限,只能由管理员分别手工调整文件和子文件夹的权限
C、继承权限使用户难于直观判断对象最终的NTFS权限值 D、继承权限增加了Windows系统的管理复杂度
217.关于cookie和session说法不正确的是(BD)A、session机制是在服务器端存储
B、Cookie虽然在客户端存储,但是一般都是采用加密存储,即使cookie泄露,只要保证攻击者无法解密cookie,就不用担心由此带来的安全威胁 C、SessionID是服务器用来识别不同会话的标识
D、我们访问一些站点,可以选择自己喜好的色调,之后每次登录网站,都是我们选择的色调,这个是靠session技术实现的。
218.关于注入攻击,下列说法不正确的是(D)
A、注入攻击发生在当不可信的数据作为命令或者查询语句的一部分,被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或者访问未被授权的数据
B、常见的注入攻击有SQL注入,OS命令注入、LDAP注入以及xpath等
C、SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,从而得到黑客所需的信息 D、SQL注入主要针对数据库类型为MS SQL server和mysql,采用oracle数据库,可以有效减少SQL注入威胁
219.Web身份认证漏洞,严重影响web的安全,其漏洞主要体现在以下哪些方面(ABCD)A、存储认证凭证直接采用hash方式
B、认证凭证是否可猜测,认证凭证生成规律性强。
C、内部或外部攻击者进入系统的密码数据库存储在数据库中的用户密码没有被加密, 所有用户的密码都被攻击者获得 D、能够通过薄弱的的帐户管理功能(例如账户创建、密码修改、密码恢复, 弱口令)重写
220.下列对于路径遍历漏洞说法正确的是(BCD)
A、路径遍历漏洞的威胁在于web根目录所在的分区,无法跨越分区读取文件。B、通过任意更改文件名,而服务器支持“~/”,“/..”等特殊符号的目录回溯,从而使攻击者越权访问或者覆盖敏感数据,就是路径遍历漏洞
C、路径遍历漏洞主要是存在于Web应用程序的文件读取交互的功能块
D、URL,http://127.0.0.1/getfile=image.jgp,当服务器处理传送过来的image.jpg文件名后,Web应用程序即会自动添加完整路径,形如“d://site/images/image.jpg”,将读取的内容返回给访问者
221.下列关于木马说法不正确的是(B)A、木马是典型的后门程序
B、木马分为客户端和服务器端,感染用户的是木马客户端 C、木马在主机运行,一般不会占用主机的资源,因此难于发现 D、大多数木马采用反向连接技术,可以绕过防火墙。
222.关于HTTP协议,以下哪些字段内容是包含在http响应头(response headers)中(BC)A、accept: B、Server: C、Set-Cookie: D、Refere : 223.下列对于Rootkit技术的解释准确的是:(BCD)A.Rootkit是一种危害大、传播范围广的蠕虫
B.Rootkit是攻击者用来隐藏自己和保留对系统的访问权限的一组工具 C.Rootkit和系统底层技术结合十分紧密
D.Rootkit的工作机制是定位和修改系统的特定数据,改变系统的正常操作流程 224.以下哪些方法,可以有效防御CSRF带来的威胁(ABCD)A、使用图片验证码。
B、要求所有POST请求都包含一个伪随机值
C、只允许GET请求检索数据,但是不允许它修改服务器上的任何数据 D、使用多重验证,例如手机验证码
225.以下哪些方法对防范SQL注入攻击无效?(C)A.采用参数化查询方式,进行开发
B.对数据库系统的管理权限进行严格的控制
C.通过网络防火墙严格限制Internet用户对web服务器的访问 D.对web用户输入的数据进行严格的过滤
226.以下哪些技术,可以增加木马的存活性(ABCD)A. 三线程技术 B、进程注入技术 C、端口复用技术 D、拒绝服务攻击技术
227.下面关于HTTP请求说法正确的是(ABCD)
A、HTTp是一个请求回应协议,每一个会话都包含一个请求和回应。
B、HTTP的请求方法包含GET, POST, HEAD, OPTIONS, PUT, DELETE, 和 TRACE等 C、HTTP是无连接的协议,每个请求都是单独的会话,因此无法在一个会话中完成多个http连续动作
D、TRACE方法可以在某些情况下成功窃取合法用户的凭证,它可以绕过HTTPOnly标记 228.以下哪些设别,可以传递arp广播帧(ACD)A.网桥
B.路由器
C.以太网交换机
D.集线器
229.关于IDS和IPS两种设备,下列说法正确的有(ABC)A、IDS是内网防护设备,而IPS是网关防护设备
B、IPS可以旁路部署,如果不考虑阻断功能,可以取代IDS设备 C、IDS和IPS的检测攻击的原理是一样的
D、IPS是IDS的发展趋势,将来会取代IDS设备
230.在以下哪类场景中,移动用户不需要安装额外功能(L2TP)的VPDN软件?()A.基于NAS发起的L2TP VPN B.基于LNS发起的L2TP VPN C.基于用户发起的L2TP VPN D.以上都是 正确答案:A ;
231.在Oracle中,用ALTER将scott的口令改为hello,下列哪个是正确的?()A.ALTER USER scott IDENTIFIED AS hello B.ALTER scott USER IDENTIFIED BY hello C.ALTER USER scott IDENTIFIED BY hello D.ALTER USER hello IDENTIFIED BY scott; 正确答案:C;
232.在安全策略的重要组成部分中,与IDS相比,IPS的主要优势在哪里?()A.产生日志的数量 B.较低的价格 C.攻击减少的速度 D.假阳性的减少量 正确答案:C ;
233.在大多数情况下,病毒侵入计算机系统以后,()A.病毒程序将立即破坏整个计算机软件系统 B.计算机系统将立即不能执行我们的各项任务
C.一般并不立即发作,等到满足某种条件的时候,才会出来活动捣乱、破坏 D.病毒程序将迅速损坏计算机的键盘、鼠标等操作部件 正确答案:C;
234.下面哪一项最好地描述了风险分析的目的?()A.识别用于保护资产的责任义务和规章制度 B.识别资产、脆弱性并计算潜在的风险
C.识别资产以及保护资产所使用的技术控制措施 D.识别同责任义务有直接关系的威胁 正确答案:B;
235.在NT中,怎样使用注册表编辑器来严格限制对注册表的访问?()A.HKEY_USERS,浏览用户的轮廓目录,选择NTUser.dat B.HKEY_LOCAL_MACHINE,浏览用户的轮廓目录,选择NTUser.dat C.HKEY_CURRENT_CONFIG,连接网络注册、登陆密码、插入用户ID D.HKEY_USERS,连接网络注册、登陆密码、插入用户ID 正确答案:A;
236.下列哪种方法不能有效的防范SQL注入攻击?()A.对来自客户端的输入进行完备的输入检查 B.使用SiteKey技术
C.把SQL语句替换为存储过程、预编译语句或者使用ADO命令对象 D.关掉数据库服务器或者不使用数据库 正确答案:B;
237.Code Red爆发于2001年7月,利用微软的IIS漏洞在Web服务器之间传播。针对这一漏洞,微软早在2001年三月就发布了相关的补丁。如果今天服务器仍然感染Code Red,那么属于哪个阶段的问题?()A.微软公司软件的实现阶段的失误 B.微软公司软件的设计阶段的失误 C.最终用户使用阶段的失误 D.系统管理员维护阶段的失误 正确答案:D; 238.一般来说,通过Web运行httpd服务的子进程时,我们会选择()的用户权限方式,这样可以保证系统的安全。A.root B.httpd C.nobody D.guest 正确答案:C;
239.下列哪种攻击不是针对统计数据库的?()A.资源解析攻击 B.中值攻击 C.跟踪器攻击
D.小查询集和大查询集攻击 正确答案:A;
240.以下哪项是SYN变种攻击经常用到的工具?()A.sessionIE B.TFN C.synkill D.Webscan 正确答案:C;
241.为了检测 Windows系统是否有木马入侵,可以先通过()命令来查看当前的活动连接端口 A.ipconfig B.netstat-an C.tracert-d D.netstat-rn 正确答案:B;
242.关于PPP协议下列说法正确的是:()A.PPP协议是物理层协议
B.PPP协议支持的物理层可以是同步电路或异步电路 C.PPP协议是在HDLC协议的基础上发展起来的
D.PPP主要由两类协议组成:链路控制协议族(LCP)和网络安全方面的验证协议族(PAP和CHAP)正确答案:B;
243.无论是哪一种Web 服务器,都会受到HTTP 协议本身安全问题的困扰,这样的信息系统安全漏洞属于:()A.运行型漏洞 B.开发型漏洞 C.设计型漏洞 D.以上都不是 正确答案:A;
244.用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段?()A.缓存溢出攻击 B.DDoS攻击 C.暗门攻击 D.钓鱼攻击;正确答案:D;
245.Oracle当连接远程数据库或其它服务时,可以指定网络服务名,Oracle 9i 支持5 种命名方法,请选择错误的选项。()A.本地命名和目录命名 B.DNS和内部命名 C.主机命名和外部命名
D.Oracle 名称(Oracle Names)正确答案:B;
246.与另一台机器建立IPC$会话连接的命令是()A.net user 192.168.0.1IPC$ B.net use 192.168.0.1IPC$ C.net user 192.168.0.1IPC$ D.net use 192.168.0.1IPC$ user:Administrator / passwd: aaa 正确答案:B;
247.网上营业厅中间件如果启用了SSL,应采用不低于()版本的SSL,采用经国家密码管理局认可的密码算法)A.3.0 B.2.5 C.2.0 D.3.1 正确答案:A;
248.以下哪一项不属于恶意代码?()A.病毒 B.蠕虫
C.特洛伊木马 D.宏
正确答案:D;
249.Solaris系统使用什么命令查看已有补丁的列表?()A.uname-an B.oslevel-r C.showrev-p D.swlist-l product ‘PH??_*’ 正确答案:B;
250.用来追踪DDoS流量的命令是:()A.ip cef B.ip finger C.ip source-track D.ip source-route 正确答案:C;
251.下面关于IIS 报错信息含义的描述正确的是?()A.401-找不到文件 B.500-系统错误 C.404-权限问题 D.403-禁止访问 正确答案:D; 252.在对SQL Server 2000 的相关文件、目录进行安全配置时,下面可以采用的措施是:()
A.删除缺省安装时的例子样本库
B.将数据库数据相关的文件,保存在非系统盘的NTFS独立分区 C.对SQL Server安装目录,去除everyone的所有控制权限 D.将存放数据库的库文件,配置权限为administrators组、system和启动SQL Server服务的用户账号及DBA组具有完全控制权限 正确答案:ABCD;
253.下列哪些操作可以看到自启动项目?()A.任务管理器 B.开始菜单 C.注册表 D.msconfig 正确答案:BCD;
254.以下哪些是防火墙规范管理需要的?()A.需要配备两个防火墙管理员
B.通过厂商知道发布的硬件和软件的bug和防火墙软件升级版 C.系统软件、配置数据文件在更改后必须进行备份 D.物理访问防火墙必须严密地控制 正确答案:ABCD;
255.Oracle实例主要由那两部分组成:()A.Share pool buffer B.内存 C.后台进程 D.pmon和smon 正确答案:BC;
256.下面哪些漏洞属于网络服务类安全漏洞:()A.Windows 2000中文版输入法漏洞 B.Web服务器asp脚本漏洞 C.RPC DCOM服务漏洞
D.IIS Web服务存在的IDQ远程溢出漏洞 正确答案: CD;
257.sybase数据库文件系统需要哪些裸设备?()A.log B.proce C.data D.master 正确答案:ABCD;
258.以下不是数据库的加密技术的是()A.库外加密 B.库内加密 C.固件加密 D.硬件加密 正确答案:C;
259.以下哪项不属于针对数据库的攻击?()A.特权提升
B.利用XSS漏洞攻击 C.SQL注入
D.强力破解弱口令或默认的用户名及口令 正确答案:B;
260.终端安全管理目标:规范支撑系统中终端用户的行为,降低来自支撑系统终端的安全威胁,重点解决以下哪些问题?()
A.终端接入和配置管理; 终端账号、秘密、漏洞补丁等系统安全管理;桌面及主机设置管理
B.终端账号、秘密、漏洞补丁等系统安全管理;桌面及主机设置管理;终端防病毒管理
C.终端接入和配置管理; 桌面及主机设置管理;终端防病毒管理
D.终端接入和配置管理; 终端账号、秘密、漏洞补丁等系统安全管理;桌面及主机设置管理;终端防病毒管理 正确答案:D;
261.以下哪个是数据库管理员(DBA)可以行使的职责?()A.应用程序开发 B.计算机的操作 C.系统容量规划 D.应用程序维护 正确答案:C; 262.蠕虫的目标选择算法有()A.随机性扫描 B.顺序扫描
C.基于目标列表的扫描 D.以上均是 正确答案:D;
263.防止系统对ping请求做出回应,正确的命令是:()A.echo 0>/proc/sys/net/ipv4/icmp_echo_ignore_all B.echo 1>/proc/sys/net/ipv4/icmp_echo_ignore_all C.echo 0>/proc/sys/net/ipv4/tcp_syncookies D.echo 1>/proc/sys/net/ipv4/tcp_syncookies 正确答案:B;
264.接入控制方面,路由器对于接口的要求包括:()A.VPN接入
B.局域网方式接入 C.Internet方式接入 D.串口接入 正确答案:A;
265.在Web页面中增加验证码功能后,下面说法正确的是()A.可以防止缓冲溢出 B.可以防止文件包含漏洞
C.可以增加账号破解等自动化软件的攻击难度 D.可以防止目录浏览 正确答案:C;
266.()是通过使用公开密钥技术和数字证书等来提供网络信息安全服务的基础平台 A.公开密钥体制
B.PKI(公开密钥基础设施)C.对称加密体制 D.数字签名 正确答案:B;
267.网络病毒预防范阶段的主要措施是什么?()A.强制补丁、入侵检测系统监控 B.强制补丁、网络异常流量的发现
C.网络异常流量的发现、入侵检测系统的监控 正确答案:B;
268.有三种基本的鉴别的方式: 你知道什么,你有什么,以及()A.你是什么 B.你看到什么 C.你需要什么 D.你做什么 正确答案:A;
269.单个用户使用的数据视图的描述称为()A.存储模式 B.概念模式 C.内模式 D.外模式 正确答案:D;
270.以下哪种方法是防止便携式计算机机密信息泄露的最有效的方法?()A.利用生物识别设备
B.激活引导口令(硬件设置口令)
C.用所有者的公钥对硬盘进行加密处理
D.利用双因子识别技术将登陆信息写入记事本 正确答案:C;
271.要求关机后不重新启动,shutdown后面参数应该跟()A.–h B.–r C.–k D.–c 正确答案:A;
272.源IP为100.1.1.1,目的IP为100.1.1.255,这个报文属于什么攻击?()(假设该网段掩码为255.255.255.0)A.LAND攻击 B.WINNUKE攻击 C.FRAGGLE攻击 D.SMURF攻击 正确答案:D;
273.以下哪条命令能利用“SQL注入”漏洞动用XP_cmdshell存储过程,获得某个子目的清单?()
A.http://localhost/script?0’;EXEC+master..XP_cmdshell+’dir’;-B.http://localhost/script?1’;EXEC+master..XP_cmdshell+’dir’;--C.http://localhost/script?0’;EXEC+master..XP_cmdshell+’dir’;--D.http://localhost/script?0’;EXEC+master..XP_cmdshell+’dir’— 正确答案:C;
274.在给定的密钥体制中,密钥与密码算法可以看成是()A.前者是固定的,后者是可变的 B.前者是可变的,后者是固定的 C.两者都是可变的 D.两者都是固定的 正确答案:B;
275.为了应对日益严重的垃圾邮件问题,人们设计和应用了各种垃圾邮件过滤机制,以下哪一项是耗费计算资源最多的一种垃圾邮件过滤机制?()A.SMTP 身份认证 B.内容过滤 C.黑名单过滤 D.逆向名字解析 正确答案:B;
276.以下关于数字签名说法正确的是()
A.数字签名是在所传输的数据后附上一段和传输数据毫无关系的数字信息 B.数字签名能够解决数据的加密传输,即安全传输问题 C.数字签名能够解决篡改、伪造等安全性问题 D.数字签名一般采用对称加密机制 正确答案:C;
277.由于攻击者可以借助某种手段,避开DBMS以及应用程序而直接进入系统访问数据,我们通常采取以下哪种方式来防范?()A.修改数据库用户的密码,将之改得更为复杂 B.数据库加密
C.使用修改查询法,使用户在查询数据库时需要满足更多的条件 D.使用集合法 正确答案:B;
278.拒绝服务攻击不包括以下哪一项?()A.DDoS B.ARP攻击 C.Land攻击
D.畸形报文攻击 正确答案:B;
279.下列关于IIS的安全配置,哪些是不正确的?()A.禁用所有Web 服务扩展 B.重命名 IUSR 账户
C.将网站内容移动到非系统驱动器 D.创建应用程序池 正确答案:A;
280.下列哪项不是安全编码中输入验证的控制项?()A.数字型的输入必须是合法的数字 B.字符型的输入中对’进行特殊处理
C.正确使用静态查询语句,如PreparedStatement D.验证所有的输入点,包括Get,Post,Cookie以及其他HTTP头 正确答案:C;
281.在使用影子口令文件(shadowed passwords)的Linux系统中,/etc/passwd文件和/etc/shadow文件的正确权限分别是()
A.r-,--r-,-r-C.r--,--r,-r--正确答案:A;
282.以下哪条命令能利用“SQL注入”漏洞动用XP_cmdshell存储过程,启动或停止某项服务?()
A.http://localhost/script?0’;EXEC+master..XP_servicecontrol+’start’,+’ Server’;-B.http://localhost/script?1’;EXEC+master..XP_servicecontrol+’start’,+’ Server’;--C.http://localhost/script?0’;EXEC+master..XP_servicecontrol+’start’,+’ Server’;--D.http://localhost/script?0’;EXEC+master..XP_servicecontrol+’start’,+’ Server’— 正确答案:C;
283.密码分析的目的是什么?()A.确定所使用的换位
B.增加加密算法的代替功能 C.减少加密算法的换位功能 D.确定加密算法的强度 正确答案:D;
284.以下哪几项关于安全审计和安全审计系统的描述是正确的?()A.对入侵和攻击行为只能起到威慑作用
B.安全审计系统可提供侦破辅助和取证功能
C.安全审计是对系统记录和活动的独立审查和检验 D.安全审计不能有助于提高系统的抗抵赖性 正确答案:BC;
285.关于SQL Server 2000中的SQL账号、角色,下面说法正确的是:()A.PUBLIC,guest为缺省的账号 B.guest不能从master数据库清除
C.SQL Server角色的权限是不可以修改的
D.可以通过删除guest账号的角色,从而消弱guest可能带来的安全隐患 正确答案:ABD;
286.在加密过程中,必须用到的三个主要元素是()A.所传输的信息(明文)B.传输信道 C.加密函数
D.加密 钥匙(Encryption Key)正确答案:ACD;
287.审核是网络安全工作的核心,下列应用属于主动审核的是:()A.Windows事件日志记录 B.防火墙对访问站点的过滤 C.数据库的事务日志记录 D.系统对非法连接的拒绝 正确答案:BD;
288.下列关于Unix下日志说法正确的是()A.acct记录当前登录的每个用户 B.acct 记录每个用户使用过的命令 C.sulog 记录su命令的使用情况
D.wtmp 记录每一次用户登录和注销的历史信息 正确答案:CD;
289.防火墙的主要功能有哪些?()A.过滤进、出网络的数据 B.管理进、出网络的访问行为
C.记录通过防火墙的信息内容和活动
D.封堵某些禁止的业务,对网络攻击进行检测和报警 正确答案:ABCD;
290.SQL Server的取消权限的操作有以下哪些?()
A.在“详细信息” 窗格中右击要授予/拒绝/ 取消其权限的用户定义的角色 B.单击“属性”命令在“名称”下单击“权限”单击列出全部对象
C.回到“数据库用户属性”对话框中,再点击“确定”按钮,所有的设置就完成了 D.选择在每个对象上授予拒绝或废除的权限,选中标志表示授予权限,X表示拒绝权限,空框表示废除权限,只列出适用于该对象的权限 正确答案:ABD;
291.病毒自启动方式一般有()A.修改注册表
B.将自身添加为服务 C.修改系统配置文件
D.将自身添加到启动文件夹 正确答案:ABCD;
292.安全系统加固手册中关于造成系统异常中断的各方面因素,主要包括哪三方面?()A.人为原因 B.环境原因 C.设备原因 D.生产原因 正确答案:ABC;
293.防火墙不能防止以下哪些攻击行为?()A.内部网络用户的攻击
B.外部网络用户的IP地址欺骗 C.传送已感染病毒的软件和文件 D.数据驱动型的攻击 正确答案:ACD;
294.Oracle支持哪些加密方式?()A.RC4_256 B.DES C.RC4_40 D.DES40 正确答案:ABCD;
295.以下是对单用户数据库系统的描述,请选择错误描述的选项。()A.单用户数据库系统是一种早期的最简单的数据库系统
B.在单用户系统中,由多个用户共用,不同计算机之间能共享数据
C.在单用户系统中,整个数据库系统,包括应用程序、DBMS、数据,都装在一台计算机上,由一个用户独用,不同计算机之间不能共享数据
D.单用户数据库系统已经不适用于现在的使用,被逐步淘汰了。正确答案:B;
296.在Windows 2003下netstat的哪个参数可以看到打开该端口的PID?()A.-o B.-n C.-a D.-p 正确答案:A;
297.包过滤防火墙工作的好坏关键在于?()A.防火墙的质量 B.防火墙的功能 C.防火墙的日志
D.防火墙的过滤规则设计 正确答案:D;
298.攻击者可能利用不必要的extproc外部程序调用功能获取对系统的控制权,危胁系统安全。关闭Extproc功能需要修改TNSNAMES.ORA和LISTENER.ORA文件删除以下条目,其中有一个错误的请选择出来。()A.PLSExtproc B.icache_extproc C.sys_extproc D.extproc 正确答案:C;
299.以下哪一项是常见Web 站点脆弱性扫描工具?()A.LC B.Nmap C.Sniffer D.Appscan 正确答案:D;
300.下列措施中不能增强DNS安全的是()A.更改DNS的端口号 B.双反向查找
C.使用最新的BIND工具
D.不要让HINFO记录被外界看到 正确答案:A;
301.影响Web系统安全的因素,不包括?()
A.复杂应用系统代码量大、开发人员多、难免出现疏忽 B.系统屡次升级、人员频繁变更,导致代码不一致 C.开发人员未经过安全编码培训
D.历史遗留系统、试运行系统等多个Web系统运行于不同的服务器上 正确答案:D;
302.关系型数据库技术的特征由以下哪些元素确定的?()A.Blocks和Arrows B.节点和分支 C.行和列 D.父类和子类 正确答案:C;
303.以下哪种攻击可能导致某些系统在重组IP分片的过程中宕机或者重新启动?(A.Ping of Death B.分布式拒绝服务攻击 C.NFS攻击
D.DNS缓存毒化攻击)正确答案:A;
304.Windows NT/2000中的.pwl文件是?()A.路径文件 B.列表文件 C.打印文件 D.口令文件 正确答案:D;
305.在C/S环境中,以下哪个是建立一个完整TCP连接的正确顺序?()A.SYN,SYN/ACK,ACK B.Passive Open,Active Open,ACK,ACK C.Active Open /Passive Open,ACK,ACK D.SYN,ACK/SYN,ACK 正确答案:C;
306.在Web应用软件的基本结构中,客户端的基础是()A.客户端程序 B.HTML文档 C.HTML协议 D.浏览器 正确答案:B;
307.在IPSec中,IKE提供()方法供两台计算机建立 A.安全关联 B.解释域 C.安全关系 D.选择关系 正确答案:A;
308.由于攻击者可以借助某种手段,避开DBMS以及应用程序而直接进入系统访问数据,我们通常采取以下哪种方式来防范?()A.使用集合法
B.修改数据库用户的密码,将之改得更为复杂
C.使用修改查询法,使用户在查询数据库时需要满足更多的条件 D.数据库加密 正确答案:D;
309.以下哪项技术不属于预防病毒技术的范畴?()A.引导区保护 B.加密可执行程序 C.系统监控与读写控制 D.校验文件 正确答案B;
310.应用网关防火墙在物理形式上表现为?()A.网关 B.路由 C.堡垒主机 D.交换机 正确答案:C; 311.在典型的Web 应用站点的层次结构中,“中间件”是在哪里运行的?()A.应用服务器 B.Web 服务器 C.浏览器客户端 D.数据库服务器 正确答案:A; 312.Unix中,可以使用下面哪一个代替Telnet,因为它能完成同样的事情并且更安全?()
A.S-TELNET B.FTP C.SSH D.RLOGON 正确答案:C;
313.下列哪一项是arp协议的基本功能?()A.将信息传递给网络层
B.对局域网内的其他机器广播路由地址 C.过滤信息,将信息传递个数据链路层
D.通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行 正确答案:D;
314.端对端加密只需要保证消息都在哪里进行加密?()A.经过的每一个节点 B.源点和目的地节点
C.源点和中间经过的每一个节点 D.所有节点 正确答案:B;
315.下列关于NAT地址转换的说法中哪些是正确的:()
A.地址转换可以按照用户的需要,在局域网内向外提供FTP、www.xiexiebang.comf下添加 remoteConnect=disable D.在mysqld服务器中参数中添加--skip-networking 启动参数来使mysql 正确答案:AD;
320.以下关于蠕虫的描述正确的有:()
A.蠕虫需要传播受感染的宿主文件来进行复制
B.隐藏是蠕虫的基本特征,通过在主机上隐藏,使得用户不容易发现它的存在 C.蠕虫具有自动利用网络传播的特点,在传播的同时,造成了带宽的极大浪费,严重的情况可能会造成网络的瘫痪
D.蠕虫的传染能力主要是针对计算机内的文件系统。正确答案:BC;
321.互联网连接防火墙设备的安全策略配置要求包括那几点()A.远程登陆是否禁止telnet方式 B.是否存在允许any to any的策略 C.最后一条策略是否是拒绝一切流量
D.是否设置了管理IP,设备只能从管理IP登陆维护 正确答案:ABCD;
322.防火墙技术,涉及到:()A.安全操作系统 B.密码技术 C.软件技术
D.计算机网络技术 正确答案:ABCD;
323.下列哪一种攻击方式不属于拒绝服务攻击:()A.Synflood B.L0phtCrack C.Smurf D.Ping of Death 正确答案:B;
324.对于IIS日志记录,推荐使用什么文件格式?()A.W3C扩展日志文件格式 B.NCSA公用日志文件格式 C.ODBC日志记录格式
D.Microsoft IIS日志文件格式 正确答案:A;
325.病毒的反静态反汇编技术有()A.数据压缩 B.数据加密 C.感染代码 D.进程注入 正确答案:ABC; 326.在Unix系统中,当用ls命令列出文件属性时,如果显示-rwx rwx rwx,意思是()A.前三位rwx表示文件属主的访问权限;第二个rwx表示文件同组用户的访问权限;后三位rwx表示同域用户的访问权限
B.前三位rwx表示文件同组用户的访问权限;中间三位rwx表示文件属主的访问权限;后三位rwx表示其他用户的访问权限
C.前三位rwx:表示文件同域用户的访问权限;中间三位rwx表示文件属主的访问权限;后三位rwx:表示其他用户的访问权限 D.前三位rwx表示文件属主的访问权限;中间三位rwx表示文件同组用户的访问权限;后三位rwx表示其他用户的访问权限 正确答案:D;
327.下面哪一种攻击方式最常用于破解口令?()A.哄骗(spoofing)B.WinNuk C.拒绝服务(DoS)
D.字典攻击(dictionary attack)正确答案:D;
328.下面选项中不属于数据库安全模型的是()A.自主型安全模型 B.强制型安全模型 C.访问控制矩阵 D.基于角色的模型 正确答案:C;
329.以下关于垃圾邮件泛滥原因的描述中,哪些是错误的?()A.早期的SMTP协议没有发件人认证的功能
B.SMTP没有对邮件加密的功能是导致垃圾邮件泛滥的主要原因
C.网络上存在大量开放式的邮件中转服务器,导致垃圾邮件的来源难于追查 D.Internet分布式管理的性质,导致很难控制和管理 正确答案:B;
330.基于主机评估报告对主机进行加固时,第一步是()A.补丁安装
B.账号、口令策略修改 C.文件系统加固 D.日志审核增强 正确答案:A;
331.Linux文件权限一共10位长度,分成四段,第三段表示的内容是(D)A.文件类型
B.文件所有者的权限
第二篇:电信竞赛培训整理题(400道 带答案)
电信竞赛培训整理题(400道)
1、下面对电信网和互联网安全防护体系描述不正确的是(ABC)。
A、指对电信网和互联网及相关系统分等级实施安全保护
B、人为或自然的威胁可能利用电信网和互联网及相关系统存在的脆弱性导致安全事件的发生及其对组织造成的影响
C、利用有线和,或无线的电磁、光电系统,进行文字、声音、数据、图像或其他任何媒体的信息传递的网络,包括固定通信网、移动通信网等
D、电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合.共同构成了电信网和互联网安全防护体系。
2、关于信息产业部电信管理局《关于电信网络等级保护工作有关问题的通知》(信电函[2006]35号)的目的,以下说法最准确的是(B)。
A、指导电信业加快推进信息安全等级保护,规范信息安全等级保护管理,保障和促进信息化建设
B、指导电信业更好地实施信息安全等级保护工作,保证电信网络(含互联网)等级保护工作规范、科学、有序地开展
C、指导电信业信息系统主管部门依照相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营的信息安全等级保护工作。
D、指导电信业各单位组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息系统安全等级保护定级指南》的要求,确定定级对象
3、根据《关于电信系统信息安全等级保护工作有关问题的意见》(信安通[2007]14号),开展针对各地全程全网性质的电信网络的信息安全等级保护检查时,应当(D)
A、由公安机关单独进行 B、由测评单位单独进行
C、会同公安机关共同进行D、会同电信主管部门共同进行
4、《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中要求,对于经集团公司审核后,安全保护等级拟定为第3级及以上级别的定级对象,应由集团公司将定级报告(电子版)报送(B)评审,由专家组和电信运营企业共同商议确定定级对象的安全保护等级。
A、公安机关网络安全防护专家组 B、信息产业部电信网络安全防护专家组 C、测评单位网络安全防护专家组 D、第三方网络安全防护专家组
5、在电信网和互联网及相关系统中进行安全等级划分的总体原则是:(A)
A、定级对象受到破坏后对国家安全、社会秩序、经济运行公共利益以及网络和业务运营商的合法权益的损害程度
B、业务系统对定级对象的依赖程度,以及定级对象的经济价值
C、定级对象受到破坏后对国家安全、社会秩序、经济运行公共利益以及业务系统的影响程度
D、定级对象的经济价值和对公共利益的重要程度
6、从电信网和互联网管理安全等级保护第(B)级开始要求,关键岗位人员离岗须承诺调离后的保密义务后方可离开。
A、2 B、3.1 C、3.2 D、4
7、工信部考察通信行业信息安全管理体系认证相关工作要求的工信厅保[2010]200号发文是以下哪个?(C)
A、《关于加强通信行业信息安全管理体系认可管理工作的通知》 B、《关于加强通信行业信息安全体系认证管理工作的通知》 C、《关于加强通信行业信息安全管理体系认证管理工作的通知》 D、《关于加强信息安全管理体系认证管理工作的通知》
8、下面哪一项是ISO/IEC TR 13335对风险分析的目的描述?(D)
A、识别用于保护资产的责任义务和规章制度
B、识别资产以及保护资产所使用的技术控制措施
C、识别同责任义务有直接关系的威胁
D、识别资产、脆弱性并计算潜在的风险
9、以下属于网络信息系统的安全管理原则的是:(ABD)
A、多人负责原则 B、职责分离原则 C、权力集中原则
D、任期有限原则
10、以下哪些是安全风险评估实施流程中所涉及的关键部分(ABC)
A、风险评估准备、B、资产识别、脆弱性识别、威胁识别 C、已有安全措施确认,风险分析 D、网络安全整改
11、Windows系统允许用户使用交互方式进行登录,当使用域账号登录域时,验证方式是SAM验证(×)
12、在Unix/Linux系统中,一个文件的权限为4755,则文件不能被root组以外的其他用户执行。(×)
13、下面属于木马特征的是(BCD)
A、造成缓冲区的溢出,破坏程序的堆栈 B、程序执行时不占太多系统资源
C、不需要服务端用户的允许就能获得系统的使用权 D、自动更换文件名,难于被发现
14、攻击者截获并记录了从A到B的数据,然后又从早些时候所截获的数据中提取出信息重新发往B称为中间人攻击(×)
15、安全的Wifi应当采用哪种加密方式(A)
A、WPA2
B、MD5 C、Base64 D、WEP
16、下列对跨站脚本攻击(XSS)的解释最准确的一项是:(B)
A、引诱用户点击虚假网络链接的一种攻击方法
B、将恶意代码嵌入到用户浏览的web网页中,从而达到恶意的目的 C、构造精妙的关系数据库的结构化查询语言对数据库进行非法的访问 D、一种很强大的木马攻击手段
17、某黑客利用IE浏览器最新的0day漏洞,将恶意代码嵌入正常的Web页面当中,用户访问后会自动下载并运行木马程序,这种攻击方式属于钓鱼攻击(×)
18、关于MD5的说法正确的是(ABC)
A、MD5是单向hash函数
B、增加web安全账户的一个常用手段就是将管理员的用户密码信息,经过md5运算后,在数据库中存储密码的hash值
C、web数据库中存储的密码经过hash之后,攻击者即使看到hash的密码也无法用该信息直接登录,还需要进一步破解
D、目前攻击者在得到经过hash的用户名密码之后,最常用的破解手段是暴力破解
19、已知某个链接存在SQL注入漏洞,网址是http://代码(以后称脚本),而SQL注入注入的是SQL命令
C、XSS和SQL注入攻击都利用了Web服务器没有对用户输入数据进行严格的检查和有效过滤的缺陷。
D、XSS攻击盗取Web终端用户的敏感数据,甚至控制用户终端操作,SQL注入攻击盗取Web后台数据库中的敏感数据,甚至控制整个数据库服务器。
55、统一威胁管理系统(UTM)描述正确的是(ABD)
A.部署UTM可以有效降低成本 B.部署UTM可以降低信息安全工作强度 C.部署UTM可以降低安全设备集成带来的风险 D.部署UTM可能降低网络性能和稳定性
56、防范缓冲区溢出攻击的对策一般有(AC)。
A、更新操作系统和应用软件的版本以及补丁
B、安装防病毒软件
C、关闭多余的系统服务和端口 D、优化系统内存
57、以下关于SYN Flood和SYN Cookie技术的哪些说法是不正确的?(AD)A、SYN Flood攻击主要是通过发送超大流量的数据包来堵塞网络带宽
B、SYN Cookie技术的原理是通过SYN Cookie网关设备拆分TCP三次握手过程,计算每个TCP连接的Cookie值,对该连接进行验证 C、SYN Cookie技术在超大流量攻击的情况下可能会导致网关设备由于进行大量的计算而失效 D、以上都正确
58、下面不属于木马伪装手段的是(C)。
A、捆绑文件 B、隐蔽运行 C、自我复制
D、修改图标
59、关于网络入侵防御系统,以下描述不正确的是(A)
A.能够实时过滤阻断攻击源 B.阻断的是攻击包 C.部署在网络关键点上 D.以透明模式串联于网络中 60、对安全管理平台(SOC)描述正确的是(ABD)
A.SOC是技术、流程和人的有机结合
B.SOC能够对各类安全事件进行收集、过滤、合并和查询 C.SOC只能够收集各类防火墙、IDS、IPS等网络设备的信息
D.SOC能够协助管理员进行事件分析、风险分析、预警管理和应急响应处理等
61、《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中要求,基础电信运营企业各定级对象的定级结果,(A)应由集团公司进行审核。
A、含1至5级 B、2级以上 C、3级以上
D、4级以上 62、定级对象受到破坏后,会对网络和业务运营商的合法权益产生严重损害,或者对社会秩序、经济运行和公共利益造成轻微损害,但不损害国家安全,这是属于安全等级保护的第()级。C、3.1(×)注:2 63、电信网和互联网安全等级保护中,针对第1级的对象需要做的是(B)
A、由网络和业务运营商依据业务的特殊安全要求进行保护 B、由网络和业务运营商依据国家和通信行业有关标准进行保护 C、由主管部门对其安全等级保护工作进行指导
D、由主管部门对其安全等级保护工作进行监督、检查 64、《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中要求,对于经集团公司审核后,安全保护等级拟定为(B)的定级对象,无需报信息产业部电信网络安全防护专家组评审,可直接向电信监管部门进行备案。
B、第2级及以下级别
(√)65、定级对象受到破坏后,会对其网络和业务运营商的合法权益造成轻微损害,但不损害国家安全、社会秩序、经济运行和公共利益,这是属于安全等级保护的第()级。
B、2(×)注:1
66、定级对象受到破坏后,会对社会秩序、经济运行和公共利益造成特别严重的损害,或者对国家安全造成严重的损害,这是属于安全等级保护的第(A)级。
A、4 B、3.2 C、3.1 D、2 67、网络和业务运营商在网络实际运行之前对其安全等级保护工作的实施情况进行安全检测,确保其达到安全防护要求,这是(D)阶段的工作内容。
A、安全总体规划阶段 B、安全资产终止阶段 C、安全运维阶段
D、安全设计与实施阶段 68、国家公安机关负责等级保护中的什么类别工作?(D)
A、负责信息安全等级保护工作中部门间的协调。
B、负责等级保护工作中有关保密工作的监督、检查、指导。C、负责等级保护工作中有关密码工作的监督、检查、指导。
D、负责信息安全等级保护工作的监督、检查、指导。69、《信息系统安全等级保护定级指南》描述的第三级是下面哪个(C)
A、指导保护级 B、强制保护级 C、监督保护级
D、自主保护级 70、电信网和互联网管理安全等级保护要求中,第2级在安全管理制度的评审和修订上应满足(D)。
A、应定期或不定期对安全管理制度进行检查和审定
B、应定期或不定期地对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订
C、安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定
D、应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订 71、Solaris 10的运行模式0是指(B)。A、退出操作系统并关机
B、操作系统关闭,计算机仅运行其固件 C、重新启动机器
D、中断运行并立即关机 72、为了防御XSS跨站脚本攻击,我们可以采用多种安全措施,但(C)是不可取的
A、编写安全的代码:对用户数据进行严格检查过滤 B、可能情况下避免提交HTML代码 C、阻止用户向Web页面提交数据
D、即使必须允许提交特定HTML标签时,也必须对该标签的各属性进行仔细检查,避免引入javascript 73、防范网页挂马攻击,作为第三方的普通浏览者,以下哪种办法可以有效?(AD)
A、及时给系统和软件打最新补丁 B、不浏览任何网页 C、安装防火墙
D、安装查杀病毒和木马的软件 74、Windows NT 4.0于1999年11月通过了美国国防部TCSEC(D)级安全认证。
A、B1 B、B2 C、C1 D、C2 75、缓冲区溢出(D)。
A、只是系统层漏洞
B、只是应用层漏洞 C、只是TCP/IP漏洞
D、既是系统层漏洞也是应用层漏洞
76、Windows NT的安全引用监视器(Security Reference Monitor,SRM)的主要作用是(A)。
A、实现基于对象的访问控制和审核策略 B、负责记录审核消息 C、管理对象的安全描述符
D、负责生成对象的访问控制列表 77、在Unix/Linux系统中,文件类型为“b”,说明这是一个(C)。
A、二进制可执行文件 B、硬链接文件 C、块设备文件
D、进程文件 78、为了防御网络监听,最有效也最常用的方法是(D)
A、采用物理传输(非网络)B、使用专线传输 C、用光纤传输数据
D、对传输数据进行加密 79、以下关于宏病毒说法不正确的是(ACD)。
A.宏病毒主要感染可执行文件
B.宏病毒仅向办公自动化程序编制的文档进行传染 C.宏病毒主要感染软盘、硬盘的引导扇区或主引导扇区
D.CIH病毒属于宏病毒 80、本地域名劫持(DNS欺骗)修改的是哪个系统文件(C)
A、C:WindowsSystem32driversetclmhosts B、C:WindowsSystem32 etclmhosts C、C:WindowsSystem32driversetchosts
D、C:WindowsSystem32etchosts 81、电信网和互联网安全防护工作中的指导性原则有(BCD)
A、最小权限原则 B、可控性原则 C、适度安全原则
D、保密性原则 82、根据《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号),基础电信运营企业的定级范围为(CD)
A、基础网络 B、重要信息系统 C、核心生产单元
D、非核心生产单元 83、《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中要求,定级结果备案时需要提交的文档不包括(D)
A、备案单位基本情况表 B、备案信息表 C、定级报告
D、专家评审意见表 84、按照《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)的要求,关于定级对象的审核,以下说法中正确的是(BD)
A、由电信运营企业集团公司或省级公司负责管理的定级对象,由同级公安机关负责审核
B、由电信运营企业集团公司负责管理的定级对象,由信息产业部负责审核
C、由电信运营企业集团公司或省级公司负责管理的定级对象,由信息产业部负责审核 D、由电信运营企业省级公司负责管理的定级对象,由当地通信管理局负责审核 85、定级对象的安全等级应根据以下3个互相独立的定级要素来确定,它们是(ABD)。
A、规模和服务范围 B、社会影响力 C、经济价值
D、所提供服务的重要性 86、电信网和互联网安全等级保护的定级过程中,需要独立考虑3个定级要素,以下哪些事项属于损害社会秩序的事项?(ABDE)
A、影响国家机关社会管理和公共服务的工作秩序 B、影响各行业的科研、生产秩序 C、影响国家重要的安全保卫工作 D、影响各种类型的经济活动秩序
E、影响公众在法律约束和道德规范下的正常生活秩序 87、电信网和互联网安全等级保护工作中,实施安全等级保护的一次完整过程包括()。
A、安全等级确定 B、安全架构设计 C、安全运维 D、安全开发与实施 E、安全资产终止
88、电信网和互联网管理安全等级保护要求中,第2级在安全管理制度上应满足(ABC)。
A、应制定安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等
B、应对安全管理人员或操作人员执行的重要管理操作建立操作规程 C、应对安全管理活动中重要的管理内容建立安全管理制度
D、应形成由安全策略、管理制度、操作规程等构成的全面的安全管理制度体系 E、应对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动 89、电信网和互联网管理安全等级保护要求中,人员安全管理中第3.1级要求外部人员访问时在满足第2级要求的基础还应该(AD)。
A、应确保在外部人员访问受控区域前先提出书面申请 B、应确保在外部人员访问受控区域前得到授权或审批 C、外部人员访问批准后应由专人全程陪同或监督,并登记备案 D、对外部人员允许访问的区域、网络、设备、信息等内容应进行书面的规定,并按照规定执行 90、等级保护对象受到破坏时所侵害的客体包括(ABD)
A、公民、法人和其他组织的合法权益。B、社会秩序、公共利益。C、国家领导人。D、国家安全。
91、《信息系统安全等级保护实施指南》中描述第三级安全通信网络从以下方面进行设计:ABCD A、通信网络安全审计
B、通信网络数据传输完整性保护 C、通信网络可信接入保护
D、通信网络数据传输保密性保护 92、电信网和互联网安全防护体系,由以下哪几项工作共同组成?(BCD)
A、安全风险评估 B、安全等级保护 C、安全法律法规
D、灾难备份及恢复 93、电信网和互联网,风险评估过程中,其中一项是资产识别,在资产识别过程中,资产赋值体现出资产的安全状况对于组织的重要性,资产赋值中,应主要考虑资产的哪些属性?(ACD)
A、资产的社会影响力 B、资产的存在形式 C、资产的可用性
D、资产所提供的业务价值 94、关于脆弱性的描述,哪些说法是正确的(abcd)
A、脆弱性是对一个或多个资产弱点的总称
B、单纯的脆弱性本身不会对资产造成损害,而且如果系统足够强健,再严重的威胁也不会导致安全事件的发生并造成损失
C、脆弱性识别也称为弱点识别,脆弱性是资产本身存在的,威胁总是要利用资产的脆弱性才可能造成危害
D、资产的脆弱性具有隐蔽性,有些脆弱性只有在一定条件和环境下才能显现,这是脆弱性识别中最为困难的部分 95、对通信网络安全防护工作说法正确的是(ABCD)
A.受保护的通信网络包括公用通信网和互联网
B.防护对象是由我国境内的电信业务经营者和互联网域名服务提供者管理和运行的通信网络
C.防护工作包括为防止通信网络阻塞、中断、瘫痪或者被非法控制而开展的工作
D.防护工作包括为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作 96、关于通信网络安全防护符合性评测描述不正确的是:(C)
A.二级通信网络单元应当每两年进行一次符合性评测;
B.三级及三级以上通信网络单元应当每年进行一次符合性评测; C.五级通信网络单元应当每半年进行一次符合性评测;
D.通信网络单元的划分和级别调整的,应当自调整完成之日起九十日内重新进行符合性评测; 97、电信网络安全防护工作的可控性原则包括(ACD)
A.人员可控性 B.风险可控性 C.工具可控性
D.项目过程可控性 98、以下是电信网络安全防护工作中应该遵循的原则的是(ABCD)
A.规范性原则 B.适度性原则 C.整体性原则
D.同步性原则 99、Windows NT的安全子系统主要由(ABD)等组成。
A、安全账户管理(SAM)B、本地安全认证(LSA)C、对象管理器(OM)D、安全参考监视器(SRM)E、安全标识符(SID)
100、关于Windows NT中的安全账号管理器(Security Account Manager,SRM),以下说法中正确的是(ACDE)。
A、安全帐号管理器对帐号的管理是通过安全标识进行的
B、以system用户的权限可以使用编辑器对SAM文件的内容进行查看
C、sam文件是windows NT的用户帐户数据库,所有NT用户的登录名及口令等相关信息都会保存在这个文件中
D、安全账号管理器的具体表现就是%SystemRoot%system32configsam文件 E、注册表中也保存有SAM文件的内容,正常设置下仅对system用户可读写
101、NTFS文件系统能够为文件存储提供更高的安全性和可靠性,文件和文件夹的NTFS权限有(CE)类型。
A、操作权限 B、隐含权限 C、继承权限 D、访问权限
E、显式权限
102、Unix系统中某个文件的模式位为drwxr-xr-x,说明(ABE)。
A、任何人都可以执行这个文件 B、文件的权限为755 C、这是一个普通文件
D、该文件只有超级用户root可写 E、其他人可以读这个文件
103、使用sudo工具可以对Unix/Linux系统中用户可运行的命令进行控制以增加安全性,它的特性包括(ABCDE)。
A、需要授权许可
B、可以为系统管理员提供配置文件
C、能够限制指定用户在指定主机上运行某些命令 D、可以提供日志记录
E、可以进行时间戳检验
104、在Unix/Linux系统的/etc/syslog.conf配置文件中有如下两行内容,从中我们可以看出(BE)。
user.err
/dev/console user.err
/var/log/messages A、用户登录过程中出错,要发送日志消息到控制台
B、应用程序出现一般性错误,要发送日志消息到控制台,并且同时记录到messages文件
C、用户登录过程中出错,要记录日志消息到messages文件
D、应用程序出现一般性错误,要发送日志消息到控制台,或者记录到messages文件 E、应用程序出现err及以上级别错误,要发送日志消息到控制台,并且同时记录到messages文件
105、常见的拒绝服务攻击有:(ABCD)A、UDP Flood B、ICMP Flood C、SYN Flood
D、IGMP Flood 106、拒绝服务攻击的对象可能为:(ABCD)A、网桥
B、防火墙 C、服务器
D、路由器
107、下列木马程序可能采用的激活方式有(AC)。
A、修改注册表中的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下以“run”开头的键值
B、将木马程序复制在用户的桌面上 C、注册为系统服务
D、感染系统中所有的exe和html文件
108、某黑客组织通过拷贝中国银行官方网站的登陆页面,然后发送欺骗性电子邮件,诱使用户访问此页面以窃取用户的账户信息,这种攻击方式属于(B)
A、SQL注入 B、钓鱼攻击 C、网页挂马
D、域名劫持
109、Serv-U软件因自身缺陷曾多次被黑客用来进行提权攻击,针对提权的防御办法有(ABCD)
A、禁用anonymous帐户
B、修改Serv-U默认管理员信息和端口号
C、修改默认安装路径,并限制安全目录的访问权限 D、限制用户权限,删除所有用户的执行权限
110、关于HTTP协议说法正确的有哪些(ACD)
A、http协议是明文传输的 B、http协议是可靠的有状态的协议 C、http协议主要有请求和响应两种类型
D、http协议,在web应用中,可以有get、post、delete等多种请求方法,但是最常用是get和post
111、有很多办法可以帮助我们抵御针对网站的SQL注入,包括(BCD)
A、删除网页中的SQL调用代码,用纯静态页面 B、关闭DB中不必要的扩展存储过程
C、编写安全的代码:尽量不用动态SQL;对用户数据进行严格检查过滤 D、关闭Web服务器中的详细错误提示
112、防火墙部署中的透明模式的优点包括:(ACD)
A、性能较高
B、易于在防火墙上实现NAT C、不需要改变原有网络的拓扑结构 D、防火墙自身不容易受到攻击
113、关于网络入侵检测系统,以下描述正确的是(BCD)
A.能够适用于加密环境 B.不会增加系统开销 C.对带宽的要求较高
D.其部署不影响现有网络架构
114、以下哪些是应用层防火墙的特点?(ABC)
A、更有效的防止应用层的攻击 B、工作在OSI模型的第七层 C、比较容易进行审计
D、速度快而且对用户透明
115、发现感染计算机病毒后,应采取哪些措施(ACD)A.断开网络
B.格式化系统
C.使用杀毒软件检测、清除
D.如果不能清除,将样本上报国家计算机病毒应急处理中心
116、无法用于对Windows系统口令进行暴力破解的工具有(A、NMAP B、Nessus C、X-Scan D、AppScan 117、选出曾经出现提权漏洞的第三方软件(ABCD)
A、VNC B、FlashFXP C、Serv-U D、PcAnywhere
118、下面支持WPA加密方式的无线局域网标准有(BD)。A、802.11b B、802.11i
C、802.11a
D、802.11n 119、选出可以被暴力破解的协议(ABC)
A、POP3 B、SNMP C、FTP D、TFTP)AD
120、以下关于DOS攻击的描述,说法正确的有(BC)
A、以窃取目标系统上的机密信息为目的 B、不需要侵入对方系统内部
C、导致目标系统无法处理正常用户的请求
D、如果目标系统没有漏洞,远程攻击就不可能成功
121.《关于电信网络等级保护工作有关问题的通知》(信电函[2006]35号)中指出,电信网络由各种设备、线路和相应的支撑、管理子系统组成,因此电信网络实施等级保护时应当(C)。
A、对电信网络采取基础网络和重要信息系统分开实施技术保护 B、对电信网络采取按照地域划分成不同安全域分开实施技术保护
C、对整个网络统筹兼顾,按照国家制定的有关标准和要求,由电信网络的主管部门统一部署实施
D、按照“谁主管、谁负责”原则,各个电信网络各自部署实施,并进行监督、检查和指导
122.《关于电信系统信息安全等级保护工作有关问题的意见》(信安通[2007]14号)中指出,电信系统的等级保护备案(D)。A、在国家级进行
B、由各个电信网络自行决定如何进行 C、在国家、省、地市三级进行 D、在国家、省两级进行
123.《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中指出的定级范围包括核心生产单元和非核心生产单元,其中核心生产单元是指(D)。A、企业内部办公系统、客服呼叫中心等
B、重要信息系统,即电信业务的业务单元和控制单元
C、基础网络,即承载各类电信业务的公共电信网(含公共互联网)及其组成部分 D、正式投入运营的传输、承载各类电信业务的公共电信网(含公共互联网)及其组成部分,以及支撑和管理公共电信网及电信业务的业务单元和控制单元 124.电信网和互联网及相关系统的安全等级划分中,第2级的保护方法是:(C)
A、由网络和业务运营商依据国家和通信行业有关标准进行保护
B、由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行监督、检查
C、由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行指导
D、由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行重点监督、检查
125.电信网和互联网管理安全等级保护要求中,第3.1级相比第2级在人员安全管理的人员离岗上还要求(C)。
A、应规范人员离岗过程,及时终止离岗员工的所有访问权限 B、对于离岗人员,应禁止其从计算机终端上拷贝数据 C、关键岗位人员离岗须承诺调离后的保密义务后方可离开 D、对于离岗人员,应办理严格的调离手续
126.谁对信息资产的分类负有首要的责任?(D)A、用户
B、高级管理层 C、职能部门经理 D、数据所有者
127.下面关于什么是安全策略描述正确的是(B)
A、建立了整个组织机构内所需的最低级别的安全。
B、是信息安全的高层文件,它包含了管理层对信息安全在组织机构中所扮演的角色的整体描述和要求。
C、是一系列规则,这些规则制定了员工在其业务位置上应该和不应该做什么、使用哪些设备以及各种产品的可接受软件配置等
D、是为实现一个特定任务要采取的详细的、文档化的、步骤化的活动。
128.信息安全管理同其他管理问题一样,首先要解决、和 这三方面的问题。(A)A、组织、制度、人员 B、人员、技术、操作 C、威胁、风险、资产 D、工程、风险、人员
129.风险控制的方式主要有规避、转移、降低三种,其中的风险规避是指(B)
A、通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险 B、通过不使用面临风险的资产来避免风险
C、通过对面临风险的资产采取保护措施来降低风险 D、以上都不对
130.访问控制以其不同的实现方法可以分为若干种类,Windows系统的访问控制是(D)。
A、基于进程的访问控制 B、基于文件的访问控制 C、基于任务的访问控制 D、基于对象的访问控制
131.Microsoft 基准安全分析器(MBSA)是一个易于使用的工具,可帮助中小型企业根据Microsoft安全建议评估其安全性,当使用多台计算机模式进行扫描时,禁用以下哪个安全选项会对MBSA的工作造成影响?(C)A、网络访问:可匿名访问的命名管道
B、网络访问:允许为网络身份验证储存凭据或.NET Passports C、网络访问:可远程访问的注册表路径和子路径 D、网络访问:可匿名访问的共享
132.在Apache的配置文件httpd.conf有如下的配置,说明(C)。
C、所有主机都将被允许,除了那些来自 aaa.com 域的主机 D、所有主机都将被禁止,除了那些来自 aaa.com 域的主机 133.Unix系统中使用下面的find命令,可以实现的功能是查找(B)。
find /-type f(-perm-4000-o-perm –2000)-exec ls-lg {};A、所有SUID文件
B、所有SUID或者SGID文件 C、所有SGID文件
D、所有SUID以及SGID文件
134.Linux2.6版的内核中集成了(A),使Linux的安全性大幅度提高。
A、SELinux B、Netfilter C、Iptables D、TCPWrappers
135.下面不属于木马特征的是(C)
A.自动更换文件名,难于被发现 B.程序执行时不占太多系统资源
C.造成缓冲区的溢出,破坏程序的堆栈
D.不需要服务端用户的允许就能获得系统的使用权 136.攻击者截获并记录了从A到B的数据,然后又从早些时候所截获的数据中提取出信息重新发往B称为(B)。A.中间人攻击
B.回放攻击
C.强力攻击
D.口令猜测器和字典攻击
137.下列哪个平台经常被用来进行无线网络的破解(B)A.Windows7 B.BT5 C.android D.iOS 138.暴力破解Unix系统账户的工具是(C)A.LC5 B.X-Scan C.John D.AppScan
139.Windows NT 系统能设置为在几次无效登录后锁定帐号,这可以防止(C)
A、木马;
B、IP欺骗;
C、暴力攻击;
D、缓存溢出攻击
140.以下哪种攻击方式,可以称为CC攻击(B)
A、synflood B、http flood C、smurf D、TearDrop
141.以下哪些内容是工信部保[2009]224号《关于开展通信网络安全检查工作的通知》所关注检查的重点内容包括(ABCD)A、远程维护管控措施 B、用户个人信息保护措施 C、第三方安全服务管控措施
D、涉及国庆重大活动网络单元的安全防护情况
142.工信部保函[2012]102号《关于开展2012通信网络安全防护检查工作的通知》检查的主要内容包括:(ABCD)
A、网络安全防护责任制和相关制度、机制、预案的建立与落实情况 B、2011年检查发现的重大安全隐患和风险的整改情况 C、网络单元仍然存在的薄弱环节、重大安全隐患和风险
D、网络单元防攻击、防入侵、防病毒以及备份、监测、应急、用户信息保护等措施的落实情况;
143.以下关于风险评估中,风险要素及属性之间存在关系表述正确的是(ABCD)A、业务战略依赖资产去实现
B、风险的存在及对风险的认识导出安全需求 C、资产价值越大则其面临的风险越大
D、资产是有价值的,组织的业务战略对资产的依赖度越高,资产价值就越大 144.在风险评估过程中,为保证风险评估的顺利完成,应该遵循以下哪些原则(ABCDE)A、标准性原则 B、可控性原则 C、完备性原则 D、保密原则 E、最小影响原则
145.以下哪些是脆弱性识别所采用的主要方法(ABCDE)A、问卷调查 B、文档查阅 C、人工核查 D、工具检测 E、渗透性测试等
146.以下哪些是灾难备份及恢复实施资源要素(ABCD)A、备份数据 B、灾难恢复预案
C、人员和技术支持能力
D、冗余系统、冗余设备及冗余链路
147.《关于电信网络等级保护工作有关问题的通知》(信电函[2006]35号)中指出,电信网络具有全程全网的特点,因此(BCD)。A、基础网络和重要信息系统分开实施技术保护 B、按照国家制定的有关标准和要求进行 C、由电信网络的主管部门统一部署实施 D、落实保护措施必须要对整个网络统筹监顾 148.根据《关于电信系统信息安全等级保护工作有关问题的意见》(信安通[2007]14号),以下说法中不正确的是(AB)
A、电信系统的信息安全等级保护定级的备案工作由国家、省级、地市级电信企事业单位自行向同级公安机关进行备案
B、地市以下电信企事业单位的信息系统由地市电信管理部门统一向同级公安机关备案 C、各地部具有全程全网性质的信息系统,如本地网站、管理和办公系统等,仍按《信息安全等级保护管理办法》执行
D、开展针对各地全程全网性质的电信网络的信息安全等级保护检查时,应当会同电信主管部门共同进行
149.《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中,关于定级结果评审的有关要求,以下不正确的是(BD)。
A、对于经集团公司审核后,安全保护等级拟定为第3级及以上级别的定级对象,应由集团公司将定级报告(电子版)报送信息产业部电信网络安全防护专家组评审,B、安全保护等级拟定为第3级及以上级别的定级对象,应由信息产业部电信网络安全防护专家组确定定级对象的安全保护等级
C、当专家组评审意见与电信运营企业的意见达不成一致时,应选择双方建议级别中较高的级别作为最终确定的级别
D、当专家组评审意见与电信运营企业的意见达不成一致时,应选择电信网络安全防护专家组确定的安全保护等级
150.《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中要求,定级对象的管理主体为(AD): A、省级公司 B、地市级公司 C、电信监管部门 D、集团公司
151.《YD/T 1729-2008 电信网和互联网安全等级保护实施指南》中指出,电信网和互联网安全防护工作的范围包括(BCD)。
A、非经营性的互联网信息服务单位、移动信息服务单位等 B、支撑和管理公众电信网和电信业务的业务单元和控制单元
C、企业办公系统、客服呼叫中心、企业门户网站等非核心生产单元
D、网络和业务运营商运营的传输、承载各类电信业务的公众电信网及其组成部分 152.电信网和互联网安全等级保护的定级过程中,对社会影响力进行赋值时,以下说法正确的是(ABD)。A、先确定对国家安全的损害程度
B、再确定对社会秩序、经济运行和公共利益的损害程度
C、是对国家安全、社会秩序、经济运行和公共利益的损害程度的平均值 D、是对国家安全、社会秩序、经济运行和公共利益的损害程度最严重者
153.电信网和互联网安全等级保护的实施过程中要遵循多种原则,以下说法中不正确的是(BD)。
A、依据国家和通信行业相关标准对电信网和互联网及相关系统自主实施安全保护 B、对电信网和互联网及相关系统进行新建时,应当同步规划和设计安全方案,改建和扩建系统受到条件限制,可以暂时不考虑安全保护要求,待条件成熟时统一实施
C、对电信网和互联网及相关系统划分不同的安全等级,根据基本保护要求实现不同程度的安全保护
D、根据对电信网和互联网及相关系统的变化情况调整其安全等级,并在系统升级时按照调整后的安全等级进行安全保护措施
154.电信网和互联网管理安全等级保护要求中,第2级的安全运维管理在若干方面进行了要求,其中不包括(A)。A、监控管理 B、密码管理 C、变更管理 D、应急预案管理
155.电信网和互联网安全等级保护工作中,实施安全等级保护的安全运维阶段需要进行的控制活动很多,主要包括(AC)。A、运行管理和控制 B、周期性的安全审计 C、变更管理和控制 D、入侵检测和响应
156.在建设和完善信息安全管理体系的过程中,我们关注信息安全管理的要求,下面哪几个是信息安全管理要求的来源(ABD)A.在综合考虑了组织结构整体战略和目标情况下,评估组织机构风险所获得的
B.信息安全的外部环境要求,这包括国家/信息安全主管机构/上级主管机构等制定的信息安全相关的政策、法律法规和行政要求,以及组织机构所处的社会文化环境 C.信息安全风险评估
D.组织机构内部的要求,这包括组织机构市民和业务运行相关的原则、目标和标准规范等
157.以下哪种控制措施不属于预防性的管理控制措施?(D)A.胸卡
B.生物技术
C.岗位轮换
D.入侵检测日志
158.在进行信息安全管理的过程中,、和 是三个关键层次(ACD)。A、安全管理体系 B、资产管理 C、风险管理
D、安全管理控制措施
159.目前,国际上主流的信息系统管理体系的标准有哪些:(BCD)A、美国的NIST SP 800系列 B、美国的萨班斯法案
C、ISO/IEC的国际标准27000系列 D、我国的信息安全等级保护制度
160.我国信息安全等级保护的内容包括______。(BCD)A.对信息安全从业人员实行按等级管理
B.对信息系统中使用的信息安全产品实行按等级管理
C.对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护
D.对信息系统中发生的信息安全事件按照等级进行响应和处置
E.对信息安全违反行为实行按等级惩处
161.Windows系统的访问控制包括(BD)。
A、对数据对象的访问,通过对象的访问控制列表来控制 B、对文件或文件夹的访问,通过用户和组策略来控制 C、对硬件资源的访问,通过给进程颁发访问令牌来控制 D、对计算机的访问,通过账号密码的组合及物理限制来控制
162.Windows NT可以达到C2级别的安全性,说明它可以做到(ABCDE)。A、自主访问控制(DAC)B、安全指令集
C、强制的用户标识和认证
D、对象的重用(Object Reuse)E、可记账性和审核
163.Unix文件系统安全就是基于i-node节点中的(ACD)关键信息。A、模式 B、权限 C、GID D、UID 164.在Linux的/etc/shadow文件中有下面一行内容,从中无法看出(AC smith:!:14475:3:90:5::: A、用户smith被禁止登录系统
B、用户smith每隔90天必须更换口令
C、口令到期时,系统会提前3天对用户smith进行提醒
D、更换了新口令之后,用户smith不能在3天内再次更换口令
165.关于Unix系统中的守护进程,以下说法中不正确的是(D)。A、是在后台运行而无终端或者登录shell和它结合在一起的进程
B、独立于控制终端并且周期性的执行某种任务或等待处理某些发生的事件 C、大多数服务器都是用守护进程实现的
D、在用户请求服务时启动,在服务结束时终止 166.指出下列关于计算机病毒的正确论述(ABDEF)。
A、计算机病毒是人为地编制出来、可在计算机上运行的程序 B、计算机病毒具有寄生于其他程序或文档的特点 C、只有计算机病毒发作时才能检查出来并加以消除
D、计算机病毒在执行过程中,可自我复制或制造自身的变种 E、计算机病毒只要人们不去执行它,就无法发挥其破坏作用 F、计算机病毒具有潜伏性,仅在一些特定的条件下才发作 167.关于WEP和WPA加密方式的说法中正确的有(BD)A.802.11b协议中首次提出WPA加密方式 B.802.11i协议中首次提出WPA加密方式
C.采用WEP加密方式,只要设置足够复杂的口令就可以避免被破解 D.WEP口令无论多么复杂,都很容易遭到破解 168.无线网络的拒绝服务攻击模式有(BCD)A.伪信号攻击 B.Land攻击
C.身份验证洪水攻击 D.取消验证洪水攻击
169.下面不属于嗅探类工具的有(D)A.SnifferPro B.WireShark
。)C.Cain D.X-Way 170.字典生成器可以生成的密码种类有(ABCD)A.生日 B.手机号码 C.身份证号 D.中文姓名拼音
171.下面关于sql注入语句的解释,正确的是(ABCD)
A、“And 1=1” 配合“and 1=2”常用来判断url中是否存在注入漏洞 B、and exists(select * from 表名)常用来猜解表名
C、and exists(select 字段名 from 表明)常用来猜解数据库表的字段名称
D、猜解表名和字段名,需要运气,但只要猜解出了数据库的表名和字段名,里面的内容就100%能够猜解到
172.关于XSS跨站脚本攻击,下列说法正确的有(ABCD)A、跨站脚本攻击,分为反射型和存储型两种类型
B、XSS攻击,一共涉及到三方,即攻击者、客户端与网站。C、XSS攻击,最常用的攻击方式就是通过脚本盗取用户端cookie,从而进一步进行攻击 D、XSS(cross site scripting)跨站脚本,是一种迫使Web站点回显可执行代码的攻击技术,而这些可执行代码由攻击者提供、最终为用户浏览器加载。173.下面关于跨站请求伪造,说法正确的是(ABD)
A、攻击者必须伪造一个已经预测好请求参数的操作数据包
B、对于Get方法请求,URL即包含了请求的参数,因此伪造get请求,直接用url即可
C、因为POST请求伪造难度大,因此,采用post方法,可以一定程度预防CSRF D、对于post方法的请求,因为请求的参数是在数据体中,目前可以用ajax技术支持伪造post请求
174.以下哪些方法可以预防路径遍历漏洞(ABCD)A、在unix中使用chrooted文件系统防止路径向上回朔 B、程序使用一个硬编码,被允许访问的文件类型列表 C、对用户提交的文件名进行相关解码与规范化
D、使用相应的函数如(java)getCanonicalPath方法检查访问的文件是否位于应用程序指定的起始位置
175.查杀木马,应该从哪些方面下手(ABCD)A、寻找并结束木马进程 B、打漏洞补丁
C、寻找木马病毒文件
D、寻找木马写入的注册表项
176.下面关于cookie和session说法正确的是(ABCD)
A、只要将cookie设置为httponly属性,脚本语言,就无法再盗取cookie内容了 B、cookie可以通过脚本语言,轻松从客户端读取
C、针对cookie的攻击,攻击者往往结合XSS,盗取cookie,获得敏感信息或进行重放攻击
D、cookie往往用来设计存储用户的认证凭证信息,因此cookie的安全,关系到认证的安全问题。
177.对于SQL注入攻击的防御,可以采取哪些措施(ABCD)A、不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。B、不要把机密信息直接存放,加密或者hash掉密码和敏感的信息
C、不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取
D、对表单里的数据进行验证与过滤,在实际开发过程中可以单独列一个验证函数,该函数把每个要过滤的关键词如select,1=1等都列出来,然后每个表单提交时都调用这个函数
178.下列关于预防重放攻击的方法,正确的是(ABD)
A、预防重放攻击,可以采用时间戳、序列号、提问-应答等思想实现
B、序列号的基本思想:通信双方通过消息中的序列号来判断消息的新鲜性,要求通信双方必须事先协商一个初始序列号,并协商递增方法
C、时间戳基本思想──A接收一个消息当且仅当其包含一个对A而言足够接近当前时刻的时戳,只需设定消息接收的时间范围,需关注通信双方时间的同步
D、提问应答思想是:期望从B获得消息的A 事先发给B一个现时N,并要求B应答的消息中包含N或f(N),f是A、B预先约定的简单函数,A通过B回复的N或f(N)与自己发出是否一致来判定本次消息是不是重放的
179.是包过滤防火墙主要工作于哪一层次(C)
A.应用层 B.会话层 C.网络层/传输层
D.链路层/网络层
180.以下对防火墙的描述不正确的是(C)A.防火墙能够对网络访问进行记录和统计 B.防火墙能够隐藏内部网络结构细节 C.能够防止来源于内部的威胁和攻击
D.能根据据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流
181.《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中指出,对于确定为第2级及以上级别的定级对象,电信运营企业应向电信监管部门办理备案,以下说法中不正确的是(ABD)。
A、备案工作由集团公司、省级公司和地市级公司进行
B、每个第3级及以上级别的定级对象均需填写一份备案信息表 C、备案信息表中要明确定级对象的所属公司名称(管理主体)D、每个第3级及以上级别的定级对象在备案时均需提交定级报告
182.电信网和互联网及相关系统的安全等级划分中,第3.2级的保护方法是:(B)
A、由网络和业务运营商依据国家和通信行业有关标准进行保护
B、由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行重点监督、检查
C、由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行监督、检查
D、由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行指导 183.确定定级对象安全等级的定级要素包括(BCD)。
A、经济价值 B、社会影响力 C、规模和服务范围 D、所提供服务的重要性
184.电信网和互联网管理安全等级保护要求中,下面哪一项是安全运维管理的应急预案管理在第2级就要求的?(D)
A、应规定应急预案需要定期审查和根据实际情况更新的内容,并按照执行
B、应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障 C、应定期对应急预案进行演练,根据不同的应急恢复内容,确定演练的周期 D、应对相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次 185.《通信网络安全防护范围管理办法》的防护范围是(A)
A.电信业务经营者和互联网域名服务提供者管理和运行的公用通信网和互联网 B.三级及三级以上的通信网络
C.在我国境内运行的通信骨干网、汇聚网和接入网 D.电信运营商的骨干通信网络 186.违反工信部11号令相关规定的,由电信管理机构依据职权责令改正,拒不改正的(C)
A.给予警告,并处五千元以上十万元以下的罚款 B.给予警告,并处五千元以上五万元以下的罚款 C.给予警告,并处五千元以上三万元以下的罚款 D.给予警告,并处五千元以上五十万元以下的罚款
187.下列不符合电信运营企业选择安全服务机构进行电信网络的安全评测和风险评估条件的是:(B)
A.在中华人民共和国境内注册成立(港澳台地区除外)B.刚开始开展电信网络安全保障服务业务 C.相关工作人员是中国公民
D.由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外)188.什么是安全策略?(B)
A、是一系列规则,这些规则制定了员工在其业务位置上应该和不应该做什么、使用哪些设备以及各种产品的可接受软件配置等。
B、是信息安全的高层文件,它包含了管理层对信息安全在组织机构中所扮演的角色的整体描述和要求。
C、建立了整个组织机构内所需的最低级别的安全
D、是为实现一个特定任务要采取的详细的、文档化的、步骤化的活动。
189.信息安全管理同其他管理问题一样,首先要解决、和 这三方面的问题。(D)
A、人员、技术、操作 B、威胁、风险、资产 C、工程、风险、人员 D、组织、制度、人员
190.以下哪些不是安全风险评估实施流程中所涉及的关键部分(A)
A、网络安全整改、B、资产识别、脆弱性识别、威胁识别 C、已有安全措施确认,风险分析 D、风险评估准备
191.针对一个网络进行网络安全的边界保护可以使用下面的哪些产品组合(B)
A、防火墙、入侵检测、密码 B、防火墙、入侵检测、防病毒 C、身份鉴别、入侵检测、内容过滤 D、防火墙、入侵检测、PKI 192.传统的观点,根据入侵行为的属性,将入侵检测系统按检测方法分为(A)
A.异常检测、误用检测
B.误用检测、遗传
C.人工免疫、遗传
D.异常检测、人工免疫
193.Windows系统管理员如果想允许一个普通用户能够使用远程桌面连接登录到计算机,则应当(C)。
A、将他加入Administrators组
B、启用安全选项“网络访问:可匿名访问的终端服务” C、将他加入Remote Desktop Users组
D、启用安全选项“网络访问:可远程访问的终端服务” 194.Linux系统中使用更安全的xinetd服务代替inetd服务,例如可以在/etc/xinetd.conf文件的”default {}”块中加入(B)行以限制只有C类网段192.168.1.0 可以访问本机的xinetd服务。A、allow=192.168.1.0/24 B、only_from=192.168.1.0/24 C、permit=192.168.1.0/24 D、hosts=192.168.1.0/24 195.以下关于数据库安全的说法错误的是?(D)
A.数据库系统的安全性很大程度上依赖于DBMS的安全机制
B.许多数据库系统在操作系统下以文件形式进行管理,因此利用操作系统漏洞可以窃取数据库文件
C.数据库的安全需要在网络系统、操作系统和数据库管理系统三个方面进行保护 D.为了防止数据库中的信息被盗取,在操作系统层次对文件进行加密是唯一从根本上解决问题的手段
196.下列哪种病毒能对计算机硬件产生破坏?(C)
A.维金
B.CODE RED C. CIH D.熊猫烧香
197.下列对于蠕虫病毒的描述错误的是:(B)
A.蠕虫的传播无需用户操作
B.蠕虫的传播需要通过“宿主”程序或文件 C.蠕虫会消耗内存或网络带宽,导致DOS D.蠕虫程序一般由“传播模块”、“隐藏模块”和“目的功能模块”构成 198.下列哪一项是DOS攻击的一个实例?(B)
A.SQL注入 B.Smurf攻击 C.IP Spoof D.字典破解
199.以下哪一项是防范SQL注入攻击最有效的手段?(C)
A.删除存在注入点的网页
B.对数据库系统的管理权限进行严格的控制 C.对web用户输入的数据进行严格的过滤
D.通过网络防火墙严格限制Internet用户对web服务器的访问 200.下列对跨站脚本攻击(XSS)的解释最准确的一项是:(B)
A.引诱用户点击虚假网络链接的一种攻击方法
B.将恶意代码嵌入到用户浏览的web网页中,从而达到恶意的目的 C.一种很强大的木马攻击手段
D.构造精妙的关系数据库的结构化查询语言对数据库进行非法的访问 201.《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中规定的定级结果备案方式为(CD)。
A、采用纸质文档方式将有关材料报送相应电信监管部门 B、电子文档应具有电信运营企业的电子签名 C、纸质材料应加盖单位公章
D、采用电子文档和纸质文档两种方式将有关材料报送相应电信监管部门 202.《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中对于定级对象的审核,规定如下(ABC):
A、由电信运营企业集团公司负责管理的定级对象,由信息产业部负责审核
B、由电信运营企业省级公司负责管理的定级对象,由当地通信管理局负责审核 C、主要审核相关材料是否齐备以及有关流程是否符合规定等
D、电信运营企业集团公司和省级公司负责管理的定级对象,都由信息产业部负责审核 203.电信网和互联网安全等级保护的定级过程中,需要独立考虑3个定级要素,以下哪些事项不属于损害经济运行的事项?(CD)A、直接导致国家经济活动主体的经济损失 B、间接导致国家经济活动主体的经济损失 C、直接导致社会公众的经济损失 D、间接导致社会公众的经济损失
204.电信网和互联网安全等级保护的定级要素中,定级对象所提供服务的重要性可以从服务本身的重要性来衡量,例如(ABD)。A、业务的重要性 B、业务的经济价值
C、使用该服务的用户数量 D、对企业自身形象的影响
205.电信网和互联网安全等级保护工作中,实施安全等级保护的安全等级确定阶段包括(ACD)等几个主要活动。A、对电信网和互联网的识别和描述 B、专家测评 C、评审和备案
D、定级对象的划分以及安全等级确定
206.《YD/T 1756-2008 电信网和互联网安全等级保护要求》中,在安全管理制度方面,从(BCD)方面做出了要求。A、培训和学习B、制定和发布 C、评审和修订 D、管理制度
207.电信网和互联网管理安全等级保护要求中,第2级在安全管理机构的岗位设置上要求设立(ABC)岗位。A、系统管理员 B、网络管理员 C、安全管理员 D、安全审计员
208.电信网和互联网管理安全等级保护要求中,第2级在人员安全管理的人员离岗上要求(BCD)。
A、对于离岗人员,应禁止其从计算机终端上拷贝数据
B、应规范人员离岗过程,及时终止离岗员工的所有访问权限 C、对于离岗人员,应办理严格的调离手续
D、对于离岗人员,应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备 209.电信网和互联网管理安全等级保护要求中,备份与恢复管理中要求要制定数据的备份策略,其中应指明(ABCD)。A、将数据离站运输的方法 B、备份数据的放置场所 C、文件命名规则 D、介质替换频率
E、需要备份的重要业务信息、系统数据及软件系统等 210.电信网和互联网管理安全等级保护要求中,第3.1级相比第2级在安全管理机构的岗位设置上还要求设立(BD)。A、安全审计人员
B、安全管理工作的职能部门 C、安全监控人员
D、指导和管理安全工作的委员会或领导小组
211.工信部11号令中,网络安全防护工作是指为为防止(ABCD)而开展的工作
A.通信网络被非法控制
B.通信网络阻塞、中断、瘫痪
C.通信网络中传输、存储、处理的数据信息丢失
D.通信网络中传输、存储、处理的数据泄露或者被篡改 212.电信网络定级的步骤包括(BCD)
A.定级结果的调整
B.安全等级的划分
C.安全等级的确定
D.电信网络的划分
213.电信网络安全评测的监督检查内容主要包括:(ABCD)
A.安全评测实施方法是否符合国家和信息产业部制定的相关标准或实施指南 B.定级对象的备案信息是否与实际情况相符
C.第三方安全评测服务机构的选择是否符合有关规定
D.对定级对象实施的技术、管理、灾难备份等安全保护措施是否符合国家和信息产业部制定的相关标准
214.原则上在以下情况时应当组织开展风险评估:(BCD)
A.定级对象发生合并或拆分后 B.发现新的严重安全隐患 C.出现新的重大威胁
D.国家召开重要会议或举办重大活动之前 215.在信息安全管理的沟通协作方面,要建立和维护内部与外部组织机构的有效沟通与协作机制,其中,与外部机构的协作包括:(ABD)
A、在信息安全法律法规方面服从信息安全有关执法机构的管理和指导 B、保持与相关服务方(如电信运营商等)的有效沟通与协作 C、审核信息安全事故,并采取适当的行动
D、应建立有效的信息获取和更新渠道,以跟上信息安全的最新发展
216.目前,我国在对信息系统进行安全等级保护时,划分的级别包括______。(ABCDE)A.监督保护级
B.强制保护级
C.专控保护级
D.指导保护级
E.自主保护级
217.安全脆弱性,是指安全性漏洞,广泛存在于______。(ACE)A.协议设计过程
B.审计检查过程 C.运行维护过程
D.安全评估过程
E.系统实现过程
218.下列______因素与资产价值评估有关。(ADE)A.购买资产发生的费用
B.人工费用
C.软硬件费用
D.运行维护资产所需成本
E.资产被破坏所造成的损失
219.当我们识别威胁时,需要从、、等方面来了解和认识威胁。(ACD)
A、威胁的主体 B、威胁作用的对象 C、威胁主体的动机
D、威胁所需的资源和能力
220.防火墙发展主要经历有哪几代(ABD)
A、包过滤防火墙 B、应用代理防火墙 C、攻击检测防火墙 D、状态检测防火墙
221.状态检测防火墙与包过滤防火墙相比其优点是(AD)
A、配置简单 B、更安全
C、对应用层检测较细致 D、检测效率大大提高
222.在直接连接到Internet的Windows系统中,应当强化TCP/IP堆栈的安全性以防范DoS攻击,设置以下注册表值有助于防范针对TCP/IP堆栈的DoS攻击:(ABCD)。A、EnableDeadGWDetect B、SynAttackProtect C、EnablePMTUDiscovery D、PerformRouterDiscovery
223.Unix系统中使用/etc/group文件来记录组信息,关于该文件的描述不正确的是(CD)。
A、文件中每个用户组一条记录,包括组名称、GID、组密码和用户列表4个字段 B、组密码也采用影子口令方式存储
C、设定用户组密码需要使用命令gpasswd,该命令只有root用户有执行权限 D、用户列表中最少会显示一个用户,就是该组的同名用户
224.Linux系统中使用更安全的xinetd服务代替inetd服务,在/etc/xinetd.conf文件的”default {}”块对参数(ACD)进行限制,以防范DoS攻击。A、instances B、mdns C、cps
D、per_source
225.Linux的Netfilter防火墙功能强大,下面的命令实现的防火墙功能是(BCD)。
iptables-P FORWARD DROP iptables-A FORWARD-i eth0-p ANY-j ACCEPT iptables-A FORWARD-d 10.1.1.2-p tcp--dport 22-j ACCEPT A、允许从IP地址10.1.1.2来的SSH连接通过防火墙 B、允许来自eth0接口的所有连接通过防火墙 C、允许去往10.1.1.2主机的SSH连接通过防火墙 D、除此之外的所有连接都将被拒绝
226.关于文件和文件夹的NTFS继承权限的说法中不正确的是(BD)。
A、文件和子文件夹自动从其父文件夹继承权限
B、如果不需要文件和子文件夹从其父文件夹继承权限,只能由管理员分别手工调整文件和子文件夹的权限
C、继承权限使用户难于直观判断对象最终的NTFS权限值 D、继承权限增加了Windows系统的管理复杂度 227.关于cookie和session说法不正确的是(BD)
A、session机制是在服务器端存储
B、Cookie虽然在客户端存储,但是一般都是采用加密存储,即使cookie泄露,只要保证攻击者无法解密cookie,就不用担心由此带来的安全威胁 C、SessionID是服务器用来识别不同会话的标识
D、我们访问一些站点,可以选择自己喜好的色调,之后每次登录网站,都是我们选择的色调,这个是靠session技术实现的。
228.关于注入攻击,下列说法不正确的是(D)
A、注入攻击发生在当不可信的数据作为命令或者查询语句的一部分,被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或者访问未被授权的数据 B、常见的注入攻击有SQL注入,OS命令注入、LDAP注入以及xpath等
C、SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,从而得到黑客所需的信息 D、SQL注入主要针对数据库类型为MS SQL server和mysql,采用oracle数据库,可以有效减少SQL注入威胁
229.Web身份认证漏洞,严重影响web的安全,其漏洞主要体现在以下哪些方面(ABCD)
A、存储认证凭证直接采用hash方式
B、认证凭证是否可猜测,认证凭证生成规律性强。
C、内部或外部攻击者进入系统的密码数据库存储在数据库中的用户密码没有被加密, 所有用户的密码都被攻击者获得
D、能够通过薄弱的的帐户管理功能(例如账户创建、密码修改、密码恢复, 弱口令)重写
230.下列对于路径遍历漏洞说法正确的是(BCD)
A、路径遍历漏洞的威胁在于web根目录所在的分区,无法跨越分区读取文件。B、通过任意更改文件名,而服务器支持“~/”,“/..”等特殊符号的目录回溯,从而使攻击者越权访问或者覆盖敏感数据,就是路径遍历漏洞
C、路径遍历漏洞主要是存在于Web应用程序的文件读取交互的功能块
D、URL,http://127.0.0.1/getfile=image.jgp,当服务器处理传送过来的image.jpg文件名后,Web应用程序即会自动添加完整路径,形如“d://site/images/image.jpg”,将读取的内容返回给访问者
231.下列关于木马说法不正确的是(B)
A、木马是典型的后门程序
B、木马分为客户端和服务器端,感染用户的是木马客户端 C、木马在主机运行,一般不会占用主机的资源,因此难于发现 D、大多数木马采用反向连接技术,可以绕过防火墙。232.关于HTTP协议,以下哪些字段内容是包含在http响应头(response headers)中(BC)
A、accept: B、Server: C、Set-Cookie: D、Refere : 233.下列对于Rootkit技术的解释准确的是:(BCD)
A.Rootkit是一种危害大、传播范围广的蠕虫
B.Rootkit是攻击者用来隐藏自己和保留对系统的访问权限的一组工具 C.Rootkit和系统底层技术结合十分紧密
D.Rootkit的工作机制是定位和修改系统的特定数据,改变系统的正常操作流程 234.以下哪些方法,可以有效防御CSRF带来的威胁(ABCD)
A、使用图片验证码。
B、要求所有POST请求都包含一个伪随机值
C、只允许GET请求检索数据,但是不允许它修改服务器上的任何数据 D、使用多重验证,例如手机验证码
235.以下哪些方法对防范SQL注入攻击无效?(C)
A.采用参数化查询方式,进行开发
B.对数据库系统的管理权限进行严格的控制
C.通过网络防火墙严格限制Internet用户对web服务器的访问 D.对web用户输入的数据进行严格的过滤
236.以下哪些技术,可以增加木马的存活性(ABCD)
A. 三线程技术 B、进程注入技术 C、端口复用技术 D、拒绝服务攻击技术
237.下面关于HTTP请求说法正确的是(ABCD)
A、HTTp是一个请求回应协议,每一个会话都包含一个请求和回应。
B、HTTP的请求方法包含GET, POST, HEAD, OPTIONS, PUT, DELETE, 和 TRACE等 C、HTTP是无连接的协议,每个请求都是单独的会话,因此无法在一个会话中完成多个http连续动作
D、TRACE方法可以在某些情况下成功窃取合法用户的凭证,它可以绕过HTTPOnly标记 238.以下哪些设别,可以传递arp广播帧(ACD)
A.网桥
B.路由器
C.以太网交换机
D.集线器
239.关于IDS和IPS两种设备,下列说法正确的有(ABC)
A、IDS是内网防护设备,而IPS是网关防护设备
B、IPS可以旁路部署,如果不考虑阻断功能,可以取代IDS设备 C、IDS和IPS的检测攻击的原理是一样的
D、IPS是IDS的发展趋势,将来会取代IDS设备 240.以下哪些是web常见中间件(ACD)
A、Tomcat B、Informix C、Weblogic D、Webshpere 241.在以下哪类场景中,移动用户不需要安装额外功能(L2TP)的VPDN软件?()
A.基于NAS发起的L2TP VPN B.基于LNS发起的L2TP VPN C.基于用户发起的L2TP VPN D.以上都是 正确答案:A ;
242.在Oracle中,用ALTER将scott的口令改为hello,下列哪个是正确的?()
A.ALTER USER scott IDENTIFIED AS hello B.ALTER scott USER IDENTIFIED BY hello C.ALTER USER scott IDENTIFIED BY hello D.ALTER USER hello IDENTIFIED BY scott; 正确答案:C;
243.下列除了()以外,都是计算机病毒传播的途径
A.通过电子邮件传播 B.通过U盘接触传播 C.通过网络传播
D.通过操作员接触传播 正确答案:D 244.在安全策略的重要组成部分中,与IDS相比,IPS的主要优势在哪里?()
A.产生日志的数量 B.较低的价格 C.攻击减少的速度 D.假阳性的减少量 正确答案:C ;
245.在大多数情况下,病毒侵入计算机系统以后,()
A.病毒程序将立即破坏整个计算机软件系统 B.计算机系统将立即不能执行我们的各项任务
C.一般并不立即发作,等到满足某种条件的时候,才会出来活动捣乱、破坏 D.病毒程序将迅速损坏计算机的键盘、鼠标等操作部件 正确答案:C;
246.下面哪一项最好地描述了风险分析的目的?()
A.识别用于保护资产的责任义务和规章制度 B.识别资产、脆弱性并计算潜在的风险
C.识别资产以及保护资产所使用的技术控制措施 D.识别同责任义务有直接关系的威胁 正确答案:B;
247.在NT中,怎样使用注册表编辑器来严格限制对注册表的访问?()
A.HKEY_USERS,浏览用户的轮廓目录,选择NTUser.dat B.HKEY_LOCAL_MACHINE,浏览用户的轮廓目录,选择NTUser.dat C.HKEY_CURRENT_CONFIG,连接网络注册、登陆密码、插入用户ID D.HKEY_USERS,连接网络注册、登陆密码、插入用户ID 正确答案:A;
248.下列哪种方法不能有效的防范SQL注入攻击?()
A.对来自客户端的输入进行完备的输入检查 B.使用SiteKey技术
C.把SQL语句替换为存储过程、预编译语句或者使用ADO命令对象 D.关掉数据库服务器或者不使用数据库 正确答案:B;
249.Code Red爆发于2001年7月,利用微软的IIS漏洞在Web服务器之间传播。针对这一漏洞,微软早在2001年三月就发布了相关的补丁。如果今天服务器仍然感染Code Red,那么属于哪个阶段的问题?()
A.微软公司软件的实现阶段的失误 B.微软公司软件的设计阶段的失误 C.最终用户使用阶段的失误 D.系统管理员维护阶段的失误 正确答案:D;
250.一般来说,通过Web运行httpd服务的子进程时,我们会选择()的用户权限方式,这样可以保证系统的安全。A.root B.httpd C.nobody D.guest 正确答案:C;
251.下列哪种攻击不是针对统计数据库的?()
A.资源解析攻击 B.中值攻击 C.跟踪器攻击
D.小查询集和大查询集攻击 正确答案:A;
252.以下哪些软件是用于加密的软件?()
A.DES B.SHA C.EFS D.PGP 正确答案:D;
253.以下哪项是SYN变种攻击经常用到的工具?()
A.sessionIE B.TFN C.synkill D.Webscan 正确答案:C;
254.为了检测 Windows系统是否有木马入侵,可以先通过()命令来查看当前的活动连接端口
A.ipconfig B.netstat-an C.tracert-d D.netstat-rn 正确答案:B;
255.关于PPP协议下列说法正确的是:()
A.PPP协议是物理层协议
B.PPP协议支持的物理层可以是同步电路或异步电路 C.PPP协议是在HDLC协议的基础上发展起来的
D.PPP主要由两类协议组成:链路控制协议族(LCP)和网络安全方面的验证协议族(PAP和CHAP)正确答案:B;
256.无论是哪一种Web 服务器,都会受到HTTP 协议本身安全问题的困扰,这样的信息系统安全漏洞属于:()A.运行型漏洞 B.开发型漏洞 C.设计型漏洞 D.以上都不是 正确答案:A;
257.用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段?()
A.缓存溢出攻击 B.DDoS攻击 C.暗门攻击 D.钓鱼攻击;正确答案:D;
258.对于日常维护工作,连接路由器的协议通常使用:()
A.TELNET,简单,容易配置
B.TELNET配置16位长的密码,加密传输,十分安全 C.SSH & SSHv2,加密算法强劲,安全性好 正确答案:C;
259.Oracle当连接远程数据库或其它服务时,可以指定网络服务名,Oracle 9i 支持5 种命名方法,请选择错误的选项。()A.本地命名和目录命名 B.DNS和内部命名 C.主机命名和外部命名
D.Oracle 名称(Oracle Names)正确答案:B;
260.以下哪些是web常见中间件(ACD)
A、Tomcat B、Informix C、Weblogic D、Webshpere 261.以下哪些是web常见中间件(ACD)
A、Tomcat B、Informix C、Weblogic D、Webshpere 262.以下哪一项不是流氓软件的特征?()
A.通常会显示下流的言论
B.通常添加驱动保护使用户难以卸载
C.通常会启动无用的程序浪费计算机的资源
D.通常通过诱骗或和其他软件捆绑在用户不知情的情况下安装 正确答案:A ;
263.与另一台机器建立IPC$会话连接的命令是()
A.net user 192.168.0.1IPC$ B.net use 192.168.0.1IPC$ C.net user 192.168.0.1IPC$ D.net use 192.168.0.1IPC$ user:Administrator / passwd: aaa 正确答案:B;
264.网上营业厅中间件如果启用了SSL,应采用不低于()版本的SSL,采用经国家密码管理局认可的密码算法)A.3.0 B.2.5 C.2.0 D.3.1 正确答案:A;
265.以下哪一项不属于恶意代码?()
A.病毒 B.蠕虫
C.特洛伊木马 D.宏
正确答案:D;
266.Solaris系统使用什么命令查看已有补丁的列表?()
A.uname-an B.oslevel-r C.showrev-p D.swlist-l product ‘PH??_*’ 正确答案:B;
267.用来追踪DDoS流量的命令是:()
A.ip cef B.ip finger C.ip source-track D.ip source-route 正确答案:C;
268.下面关于IIS 报错信息含义的描述正确的是?()
A.401-找不到文件 B.500-系统错误 C.404-权限问题 D.403-禁止访问 正确答案:D;
269.在以下隧道协议中,属于三层隧道协议的是()
A.L2F B.PPTP C.IPSec D.L2TP 正确答案:C; 270.在对SQL Server 2000 的相关文件、目录进行安全配置时,下面可以采用的措施是:()
A.删除缺省安装时的例子样本库
B.将数据库数据相关的文件,保存在非系统盘的NTFS独立分区 C.对SQL Server安装目录,去除everyone的所有控制权限 D.将存放数据库的库文件,配置权限为administrators组、system和启动SQL Server服务的用户账号及DBA组具有完全控制权限 正确答案:ABCD;
271.为保证密码安全,我们应采取的正确措施有()
A.不使用生日做密码 B.不使用少于5位的密码
C.将密码设的非常复杂并保证20位以上 D.不使用纯数字密码 正确答案:ABD; 272.黑客所使用的入侵技术主要包括()
A.协议漏洞渗透 B.密码分析还原 C.病毒或后门攻击 D.拒绝服务攻击
E.应用漏洞分析与渗透 正确答案:ABCDE;
273.下列哪些操作可以看到自启动项目?()
A.任务管理器 B.开始菜单 C.注册表 D.msconfig 正确答案:BCD;
274.以下哪些是防火墙规范管理需要的?()
A.需要配备两个防火墙管理员
B.通过厂商知道发布的硬件和软件的bug和防火墙软件升级版 C.系统软件、配置数据文件在更改后必须进行备份 D.物理访问防火墙必须严密地控制 正确答案:ABCD;
275.Oracle实例主要由那两部分组成:()
A.Share pool buffer B.内存 C.后台进程 D.pmon和smon 正确答案:BC;
276.下面哪些漏洞属于网络服务类安全漏洞:()
A.Windows 2000中文版输入法漏洞 B.Web服务器asp脚本漏洞 C.RPC DCOM服务漏洞
D.IIS Web服务存在的IDQ远程溢出漏洞 正确答案: CD;
277.sybase数据库文件系统需要哪些裸设备?()
A.log B.proce C.data D.master 正确答案:ABCD;
278.以下不是数据库的加密技术的是()
A.库外加密 B.库内加密 C.固件加密 D.硬件加密 正确答案:C;
279.以下哪项不属于针对数据库的攻击?()A.特权提升
B.利用XSS漏洞攻击 C.SQL注入
D.强力破解弱口令或默认的用户名及口令 正确答案:B; 280.终端安全管理目标:规范支撑系统中终端用户的行为,降低来自支撑系统终端的安全威胁,重点解决以下哪些问题?()
A.终端接入和配置管理; 终端账号、秘密、漏洞补丁等系统安全管理;桌面及主机设置管理
B.终端账号、秘密、漏洞补丁等系统安全管理;桌面及主机设置管理;终端防病毒管理
C.终端接入和配置管理; 桌面及主机设置管理;终端防病毒管理
D.终端接入和配置管理; 终端账号、秘密、漏洞补丁等系统安全管理;桌面及主机设置管理;终端防病毒管理 正确答案:D;
281.以下哪个是数据库管理员(DBA)可以行使的职责?()
A.应用程序开发 B.计算机的操作 C.系统容量规划 D.应用程序维护 正确答案:C;
282.()协议主要用于加密机制
A.SSL B.FTP C.TELNET D.HTTP 正确答案:A;
283.蠕虫的目标选择算法有()
A.随机性扫描 B.顺序扫描
C.基于目标列表的扫描 D.以上均是 正确答案:D;
284.防止系统对ping请求做出回应,正确的命令是:()
A.echo 0>/proc/sys/net/ipv4/icmp_echo_ignore_all B.echo 1>/proc/sys/net/ipv4/icmp_echo_ignore_all C.echo 0>/proc/sys/net/ipv4/tcp_syncookies D.echo 1>/proc/sys/net/ipv4/tcp_syncookies 正确答案:B;
285.接入控制方面,路由器对于接口的要求包括:()
A.VPN接入
B.局域网方式接入 C.Internet方式接入 D.串口接入 正确答案:A;
286.在Web页面中增加验证码功能后,下面说法正确的是()
A.可以防止缓冲溢出 B.可以防止文件包含漏洞
C.可以增加账号破解等自动化软件的攻击难度 D.可以防止目录浏览 正确答案:C;
287.()是通过使用公开密钥技术和数字证书等来提供网络信息安全服务的基础平台
A.公开密钥体制
B.PKI(公开密钥基础设施)C.对称加密体制 D.数字签名 正确答案:B;
288.网络病毒预防范阶段的主要措施是什么?()
A.强制补丁、入侵检测系统监控 B.强制补丁、网络异常流量的发现
C.网络异常流量的发现、入侵检测系统的监控 正确答案:B;
289.有三种基本的鉴别的方式: 你知道什么,你有什么,以及()
A.你是什么 B.你看到什么 C.你需要什么 D.你做什么 正确答案:A;
290.HTTP, FTP, SMTP 建立在OSI模型的那一层?()
A.2 层– 数据链路层 B.3层 – 网络层 C.7 层– 应用层 D.4层– 传输层 正确答案:C;
291.单个用户使用的数据视图的描述称为()
A.存储模式 B.概念模式 C.内模式 D.外模式 正确答案:D;
292.以下哪种方法是防止便携式计算机机密信息泄露的最有效的方法?(A.利用生物识别设备
B.激活引导口令(硬件设置口令)
C.用所有者的公钥对硬盘进行加密处理
D.利用双因子识别技术将登陆信息写入记事本 正确答案:C;
293.要求关机后不重新启动,shutdown后面参数应该跟()
A.–h)B.–r C.–k D.–c 正确答案:A;
294.源IP为100.1.1.1,目的IP为100.1.1.255,这个报文属于什么攻击?()(假设该网段掩码为255.255.255.0)A.LAND攻击 B.WINNUKE攻击 C.FRAGGLE攻击 D.SMURF攻击 正确答案:D;
295.以下哪条命令能利用“SQL注入”漏洞动用XP_cmdshell存储过程,获得某个子目的清单?()
A.http://localhost/script?0’;EXEC+master..XP_cmdshell+’dir’;-B.http://localhost/script?1’;EXEC+master..XP_cmdshell+’dir’;--C.http://localhost/script?0’;EXEC+master..XP_cmdshell+’dir’;--D.http://localhost/script?0’;EXEC+master..XP_cmdshell+’dir’— 正确答案:C;
296.在给定的密钥体制中,密钥与密码算法可以看成是()
A.前者是固定的,后者是可变的 B.前者是可变的,后者是固定的 C.两者都是可变的 D.两者都是固定的 正确答案:B;
297.在国家标准中,属于强制性标准的是:()
A.GB/T XXXX-X-200X B.YD/T XXX-XXX-200X C.DBXX/T XXX-200X D.GB XXXX-200X 正确答案:D;
298.用于实现交换机端口镜象的交换机功能是:()
A.SPAN B.PVLAN C.VTP D.PERMIT LIST 正确答案:A;
299.为了应对日益严重的垃圾邮件问题,人们设计和应用了各种垃圾邮件过滤机制,以下哪一项是耗费计算资源最多的一种垃圾邮件过滤机制?()A.SMTP 身份认证 B.内容过滤 C.黑名单过滤 D.逆向名字解析 正确答案:B;
300.以下关于数字签名说法正确的是()A.数字签名是在所传输的数据后附上一段和传输数据毫无关系的数字信息 B.数字签名能够解决数据的加密传输,即安全传输问题 C.数字签名能够解决篡改、伪造等安全性问题 D.数字签名一般采用对称加密机制 正确答案:C;
301.由于攻击者可以借助某种手段,避开DBMS以及应用程序而直接进入系统访问数据,我们通常采取以下哪种方式来防范?()
A.修改数据库用户的密码,将之改得更为复杂 B.数据库加密
C.使用修改查询法,使用户在查询数据库时需要满足更多的条件 D.使用集合法 正确答案:B;
302.按TCSEC标准,WinNT的安全级别是()
A.B1 B.B2 C.C3 D.C2 正确答案:D;
303.拒绝服务攻击不包括以下哪一项?()
A.DDoS B.ARP攻击 C.Land攻击
D.畸形报文攻击 正确答案:B;
304.下列关于IIS的安全配置,哪些是不正确的?()
A.禁用所有Web 服务扩展 B.重命名 IUSR 账户
C.将网站内容移动到非系统驱动器 D.创建应用程序池 正确答案:A; 305.PKI无法实现()
A.权限分配 B.数据的完整性 C.数据的机密性 D.身份认证 正确答案:A;
306.下列哪项不是安全编码中输入验证的控制项?()
A.数字型的输入必须是合法的数字 B.字符型的输入中对’进行特殊处理
C.正确使用静态查询语句,如PreparedStatement D.验证所有的输入点,包括Get,Post,Cookie以及其他HTTP头 正确答案:C;
307.在使用影子口令文件(shadowed passwords)的Linux系统中,/etc/passwd文件和/etc/shadow文件的正确权限分别是()A.r-,--r-,-r-C.r--,--r,-r--正确答案:A;
308.账户口令管理中4A的认证管理的英文单词为:()
A.Account B.Audit C.Authorization D.Authentication 正确答案:D;
309.以下哪条命令能利用“SQL注入”漏洞动用XP_cmdshell存储过程,启动或停止某项服务?()
A.http://localhost/script?0’;EXEC+master..XP_servicecontrol+’start’,+’ Server’;-B.http://localhost/script?1’;EXEC+master..XP_servicecontrol+’start’,+’ Server’;--C.http://localhost/script?0’;EXEC+master..XP_servicecontrol+’start’,+’ Server’;--D.http://localhost/script?0’;EXEC+master..XP_servicecontrol+’start’,+’ Server’— 正确答案:C;
310.密码分析的目的是什么?()
A.确定所使用的换位
B.增加加密算法的代替功能 C.减少加密算法的换位功能 D.确定加密算法的强度 正确答案:D;
311.以下哪几项关于安全审计和安全审计系统的描述是正确的?()
A.对入侵和攻击行为只能起到威慑作用
B.安全审计系统可提供侦破辅助和取证功能
C.安全审计是对系统记录和活动的独立审查和检验 D.安全审计不能有助于提高系统的抗抵赖性 正确答案:BC;
312.关于SQL Server 2000中的SQL账号、角色,下面说法正确的是:()
A.PUBLIC,guest为缺省的账号 B.guest不能从master数据库清除
C.SQL Server角色的权限是不可以修改的
D.可以通过删除guest账号的角色,从而消弱guest可能带来的安全隐患 正确答案:ABD;
313.在加密过程中,必须用到的三个主要元素是()
A.所传输的信息(明文)B.传输信道 C.加密函数 D.加密 钥匙(Encryption Key)正确答案:ACD;
314.木马传播包括以下哪些途径:()
A.通过网页传播 B.通过下载文件传播
C.通过电子邮件的附件传播 D.通过聊天工具传播 正确答案:ABCD;
315.审核是网络安全工作的核心,下列应用属于主动审核的是:()
A.Windows事件日志记录 B.防火墙对访问站点的过滤 C.数据库的事务日志记录 D.系统对非法连接的拒绝 正确答案:BD;
316.下列关于Unix下日志说法正确的是()
A.acct记录当前登录的每个用户 B.acct 记录每个用户使用过的命令 C.sulog 记录su命令的使用情况
D.wtmp 记录每一次用户登录和注销的历史信息 正确答案:CD;
317.防火墙的主要功能有哪些?()
A.过滤进、出网络的数据 B.管理进、出网络的访问行为
C.记录通过防火墙的信息内容和活动
D.封堵某些禁止的业务,对网络攻击进行检测和报警 正确答案:ABCD;
318.SQL Server的取消权限的操作有以下哪些?()
A.在“详细信息” 窗格中右击要授予/拒绝/ 取消其权限的用户定义的角色 B.单击“属性”命令在“名称”下单击“权限”单击列出全部对象
C.回到“数据库用户属性”对话框中,再点击“确定”按钮,所有的设置就完成了 D.选择在每个对象上授予拒绝或废除的权限,选中标志表示授予权限,X表示拒绝权限,空框表示废除权限,只列出适用于该对象的权限 正确答案:ABD;
319.病毒自启动方式一般有()
A.修改注册表
B.将自身添加为服务 C.修改系统配置文件
D.将自身添加到启动文件夹 正确答案:ABCD;
320.安全系统加固手册中关于造成系统异常中断的各方面因素,主要包括哪三方面?()
A.人为原因 B.环境原因 C.设备原因 D.生产原因 正确答案:ABC;
321.文件系统是构成Linux的基础,Linux中常用的文件系统有()
A.hfs B.ext2 C.ext3 D.reiserfs 正确答案:BCD;
322.防火墙不能防止以下哪些攻击行为?()
A.内部网络用户的攻击
B.外部网络用户的IP地址欺骗 C.传送已感染病毒的软件和文件 D.数据驱动型的攻击 正确答案:ACD;
323.Oracle支持哪些加密方式?()
A.RC4_256 B.DES C.RC4_40 D.DES40 正确答案:ABCD;
324.以下是对单用户数据库系统的描述,请选择错误描述的选项。()
A.单用户数据库系统是一种早期的最简单的数据库系统
B.在单用户系统中,由多个用户共用,不同计算机之间能共享数据
C.在单用户系统中,整个数据库系统,包括应用程序、DBMS、数据,都装在一台计算机上,由一个用户独用,不同计算机之间不能共享数据
D.单用户数据库系统已经不适用于现在的使用,被逐步淘汰了。正确答案:B;
325.在Windows 2003下netstat的哪个参数可以看到打开该端口的PID?()
A.-o B.-n C.-a D.-p 正确答案:A;
326.包过滤防火墙工作的好坏关键在于?()
A.防火墙的质量 B.防火墙的功能 C.防火墙的日志
D.防火墙的过滤规则设计 正确答案:D;
327.攻击者可能利用不必要的extproc外部程序调用功能获取对系统的控制权,危胁系统安全。关闭Extproc功能需要修改TNSNAMES.ORA和LISTENER.ORA文件删除以下条目,其中有一个错误的请选择出来。()A.PLSExtproc B.icache_extproc C.sys_extproc D.extproc 正确答案:C;
328.以下哪一项是常见Web 站点脆弱性扫描工具?()
A.LC B.Nmap C.Sniffer D.Appscan 正确答案:D;
329.下列措施中不能增强DNS安全的是()
A.更改DNS的端口号 B.双反向查找
C.使用最新的BIND工具
D.不要让HINFO记录被外界看到 正确答案:A;
330.影响Web系统安全的因素,不包括?()
A.复杂应用系统代码量大、开发人员多、难免出现疏忽 B.系统屡次升级、人员频繁变更,导致代码不一致 C.开发人员未经过安全编码培训
D.历史遗留系统、试运行系统等多个Web系统运行于不同的服务器上 正确答案:D;
331.以下哪一项不是流氓软件的特征?()
A.通常通过诱骗或和其他软件捆绑在用户不知情的情况下安装 B.通常添加驱动保护使用户难以卸载 C.通常会显示下流的言论
D.通常会启动无用的程序浪费计算机的资源 正确答案:C;
332.域名服务系统(DNS)的功能是()
A.完成域名和网卡地址之间的转换 B.完成域名和IP地址之间的转换 C.完成主机名和IP地址之间的转换 D.完成域名和电子邮件地址之间的转换 正确答案:B;
333.关系型数据库技术的特征由以下哪些元素确定的?()
A.Blocks和Arrows B.节点和分支 C.行和列 D.父类和子类 正确答案:C;
334.以下哪种攻击可能导致某些系统在重组IP分片的过程中宕机或者重新启动?(A.Ping of Death B.分布式拒绝服务攻击 C.NFS攻击
D.DNS缓存毒化攻击 正确答案:A;)
第三篇:百科知识竞赛试题 (100道及答案)
百科知识竞赛试题(100道及答案)
分
试题说明:本试卷共有100题,均为单选题,每题1分,答错不扣分,未作答不计
1、奥林匹克运动会的发源地是:(B)A古罗马 B古希腊 C古代中国 D古巴比伦
2、“发展体育运动,增强人民体质”是我国哪位领导人的题词?(A)A毛泽东 B周恩来 C邓小平D贺龙
3、我国最早在奥运会上夺金牌的是哪位运动员?(B)A李宁 B许海峰 C高凤莲 D吴佳怩
4、咖啡的故乡是哪里?(D)A亚洲 B美洲 C大洋洲 D非洲
5、我国少数民族分布最多的省份是:(C)A广西 B、西藏 C云南 D、四川
6、世界上最长的运河是哪一条?(A)A中国京杭大运河 B、苏伊士运河 C巴拿马运河
7、被称为“画圣”的古代画家是:(A)A吴道子 B、顾恺之 C韩干 D、张择端
8、我国发现最早的纸币是在哪个时期?(B)A唐朝 B、宋朝 C元朝 D、明朝
9、神话《白蛇传》中“白娘娘盗仙草”盗的是:(C)A人参 B、冬虫夏草 C灵芝 D、田七
10、我国最大的瀑布“黄果树瀑布”位于哪个省?(B)
A湖南 B、贵州 C四川 D、江西
11、山东山西的“山”是指:(B)
A泰山 B、太行山 C沂蒙山 D、恒山
12、下列河流哪一条是世界流程最长:(A)
A尼罗河 B、长江 C亚马孙河 D、密西西比河
13、史书《资治通鉴》是属于哪一类体例的历史?(C)
A纪传体 B、纪事本末体 C编年体 D国别体
14、著有“农村三部曲”的著名作家是:(B)
A巴金 B、茅盾 C郭沫若 D、欧阳山
15、铅笔有硬软之分,用英文字母来表示,下列符号相比哪个表示较硬:(A)
A“H” B“HB” C“B” D、“2B”
16、“天下兴亡,匹夫有责”是哪位思想家的名言?(B)
A黄宗羲 B顾炎武 C王夫之 D、王充
17、、“信天游”是民歌的一种属山歌性质,曲调纯朴、高亢、悠长、节奏自由、你知道它流行于哪一带地方吗?(C)
A、华北 B、西南 C、陕北 D、北京一带
18、唐代诗人有称“诗圣”的杜甫“诗仙”的李白等,你可知道被人颂称“诗魔”的是谁?(A)
A、白居易 B、王维 C、刘禹锡 D、李商隐
19、“红娘”是哪部作品中的人物?(A)
A《西厢记》 B《红楼梦》 C《红色娘子军》 D《红灯记》
20、我国煤炭资源主要集中在哪些省市?(B)
A陕西、四川、新疆 B陕西、山西、内蒙 C山东、甘肃、新疆
21、阿姆斯特朗是乘哪个飞船成功登月的?(A)
A 阿波罗11号 B阿波罗12号 C和平号 D爱国者6号
22、地球上出现的四季更替是由于:(B)
A地球自转.B 地球公转
23、古代六艺,“礼、乐、射、御、书、数”中的“御”是指:(D)
A骑马 B杂技 C射箭 D驾车.24、“战国四公子”中齐国的孟尝君名为(C)
A、魏无忌 B、赵胜 C、田文 D、黄歇
25、我们平时常说“如果冬天来了,春天还会远吗?”请问这句名言出自于英国的哪位作家?(C)
A、雨果 B、拜论 C、雪莱 D、普斯金
26、泰戈尔是印度著名作家、诗人,于1913年获得诺贝尔文学奖,为其赢得该奖的作品是(D)
A、《飞鸟集》 B、《新月集》 C、《园丁集》 D《吉檀迦利》
27、四大名茶之一的龙井茶产地是(D)
A福建安溪 B云南普洱 C河南信阳 D浙江杭州
28、白菜属于_________科(C)
A.豆科 B.菊科 C.十字花科 D.蔷薇科
29、占人体细胞干重50%以上的有机化合(B)
A.糖元 B.蛋白质 C.脂肪 D.核酸
30、成年人身上有多少块骨骼(B)
A.205 B.206 C.207 D.208
31、康有为的维新思想吸收了西方资本主义政治学说的内容其中最主要的是(C)A民主共和思想 B三权分立学说 C君主立宪思想 D人文主义思想
32、“我爱吾师,我更爱智慧。”是下列哪位哲学家说的:(A)A.苏格拉底 B.亚历士多德 C.尼采 D.阿纳克萨格拉
33、琵琶曲《十面埋伏》描述的是(D)的情景。
A.淝水之战 B.赤壁之战 C.巨鹿之战 D.垓下之战
34、中国人民政治协商会议是(C)。
A.权力机关 B.政权组织形式 C.爱国统一战线组织 D.民间社团组织
35、中国最大的省级单位是?(A)A.新疆 B.西藏 C.青海 D.内蒙古
36、黄河注入___ ___海。(A)A.渤海 B.黄海 C.东海 D.南海
37、中国古代“不惑”是指男子多少岁?(B)A 30 B 40 C 50
38、“百日咳”的百日是指:(C)A 咳一百天 B 治疗一百天 C 病程长度
39、古时,为什么不叫“指北针”?(B)A面北为尊,面南为卑 B 面南为尊,面北为卑
40、吉林省抚松县被人们称为是哪种药材之乡?(C)A当归 B枸杞 C人参 D 田七
41、“山城”是我国哪座城市的雅号?(C)A洛阳 B西安 C重庆 D福州
42、世界石油储量最多是哪一个国家?(D)A伊拉克 B伊朗 C科威特 D沙特阿拉伯
43、下列著名宫殿哪个位于英国?(C)A故宫 B凡尔赛宫 C 白金汉宫 D 克里姆林宫
44、下列我国哪个古迹被誉为“世界八大奇迹”:(C)A万里长城 B乐山大佛 C秦始皇兵马俑 D敦煌莫高窟
45、我国古代项羽“破釜沉舟”战胜秦军是在哪次战役?(B)A牧野之战 B巨鹿之战 C 官渡之战 D淝水之战
46、史书《汉书》是哪位史学家所著?(D)司马迁 司马光 左丘明 班固
47、下列我国军事家中哪位不是“十大元帅”之一?(D)A叶剑英 B林彪 C罗荣桓 D邓小平
48、比喻变被动为主动是“三十六计”中的哪一计?(D)A声东击西 B李代桃僵 C欲擒故纵 D反客为主
49、洲际导弹的射程一般在多少公里以上?(C)A一百 B 一千 C一万 D十万
50、“隐形飞机”是指什么样的飞机?(D)A肉眼看不见 B飞行太高看不见 C体积太小 D雷达测不到
51、我国卫星火箭发射基地“西昌”位于:(C)A西藏 B新疆 C四川 D 青海
52、古代军事家曹操是哪个时期的人物?(B)A西汉 B东汉 C 三国 D南北朝
53、成语“闻鸡起舞”“中流击楫”是出自哪个古代将领的故事?(C)
A岳飞 B 戚继光 C 祖逖 D郑成功
54、目前世界纪元(公元前后的划分)的方法是以什么为标准:(D)
A伊斯兰教 B佛教 C犹太教 D耶稣基督教
55、下列哪个尊称是对古代太子的尊称:(C)
A陛下 B阁下 C殿下 D私下
56、美国第一任总统是谁?(B)
A林肯 B华盛顿 C罗斯福 D杜鲁门
57、我国是在哪个时期进入奴隶社会的?(A)
A夏 B 商 C战国 D秦
58、下列农民起义哪次是洪秀全领导的:(D)
A大泽乡起义 B黄巾起义 C赤眉起义 D
59、下列历史上的事变是李世民发动的:(A)
A玄武门之变 B 陈桥兵变 C 靖康之变 D
60、被称为酿酒行业的祖师是谁?(D)
A孔子 B鲁班 C柳永 D杜康 金田起义 土木之变
61、“文房四宝”中的毛笔是谁发明的?(C)
A乐毅 B闻仲 C蒙恬 D刘伯温
62、到了明朝已形成完备的封建科举考试制度,共分四级。下边排列的四级考试哪项正确?(D)
A.院试──会试──乡试──殿试
B.乡试──会试──院试──殿试
C.乡试──院试──会试──殿试
D.院试──乡试──会试──殿试
63、红军长征中,哪次战役最突出反映毛泽东军事思想和指挥才能?(A)
A.四渡赤水 B.抢渡大渡河 C.飞夺沪定桥 D.直罗镇战役
64、我国第一颗氢弹研制成功是在哪一年?(D)
A.1960 B.1962 C.1964 D.1967
65、以下哪一个是联合国安理会常任理事国之一?(B)
A.意大利 B.法国 C.德国 D.日本
66、杜甫《望岳》:“岱宗夫如何,齐鲁青未了”中的“岱宗”指的是(C)
A.华山 B.恒山 C.泰山 D.嵩山
67、被称为我国最大的古典艺术宝库的石窟是哪一个?(A)
A.甘肃敦煌莫高窟 B.新疆千佛洞 C、云岗石窟 D.龙门石窟
68、冬天倒开水时,容易爆破的杯子是:(B)
A.很薄的玻璃杯 B.很厚的玻璃杯 C.越高的 D.没区别
69、“三原色”是指(A)
A.红、黄、蓝 B.红、黄、青 C.红、绿、蓝 D、黄、蓝、青
70、《孙子算经》中的“物不知数”: “今有一些物不知其数量。如果三个三个地去数它,则最后还剩二个;如果五个五个地去数它,则最后还剩三个;如果七个七个地去数它,则最后也剩二个。问:这些物至少有多少?”(C)
A.15 B.21 C.23 D.25
71、流行性感冒的病原是:(B)
A.细菌 B.病毒 C.衣原体 D.支原体
72、艾滋病的医学全名是什么?(D)
A.世纪杀手 B.全身免疫系统紊乱症 C.体液癌症 D.获得性免疫缺陷综合症
73、“江山社稷”中的“稷”在古代是指(C)A.土地之神 B.黎民百姓 C.五谷之神 D.祈求丰收
74、以下哪个成语是关于匡衡的(A)A.凿壁偷光 B.卧薪尝胆 C.映雪囊萤 D.引锥自刺
75、由唐代诗人贾岛和韩愈斟酌的诗句引申而来的词语(B)A.切磋 B.推敲 C.琢磨 D.品味
76、一般认为,北宋风俗画《清明上河图》描绘的是什么季节的景象(A)A.春天 B.夏天 C.秋天 D.冬天
77、《黄河大合唱》的作曲是:(A)A.冼星海 B.聂耳 C.光未然 D.郑律成
78、京剧中的脸谱使人的性格一目了然,一般红色脸谱代表:(C)A.耿直 B.奸邪 C.忠勇 D.圆滑
79、“相敬如宾”最初是指什么人之间相互尊敬的样子?(D)A.君臣 B.朋友 C.兄弟 D.夫妻
80、能够有效地阻挡太阳的紫外线辐射的气层是(B)A.大气上层 B.臭氧层 C.大气下层 D.外大气层
81、“打蛇打七寸”的七寸是指(B)A.咽喉 B.心脏 C.头部 D.尾巴
82、蜻蜓“点水”的目的是什么?(A)A.产卵 B.喝水 C.觅食 D.吐食
83、被国际上誉为“杂交水稻之父”的中国科学家是:(B)A.竺可桢 B.袁隆平C.钱学森 D.邓稼先
84、下列关于操作系统的叙述中,正确的是(C)A.操作系统是软件和硬件之间的接口
B.操作系统是源程序和目标程序之间的接口
C.操作系统是用户和计算机之间的接口
D.操作系统是外设和主机之间的接口
85、下列存储器中,存储速度最快的是(D)A.软盘 B.硬盘 C.光盘 D.内存
86、北京故宫历时多少年建成?(D)A.11年 B.12年 C.14年 D.18年 B)87、陕西省乾陵武则天墓碑上共有几个字?()A.A.无一字;B.一个字;C.两个字;D.三个字。
88、体重最大的动物是?(C)A.抹香鲸;B.鲨鱼;C.蓝鲸;D.白鲸
89、我国被称为哪一类体育运动的体育王国?(B)A、羽毛球王国 B、乒乓球王国 C、排球王国 D、举重王国
90、清朝晚期,被今人誉为“开眼看世界第一人”的是谁?(C)A、魏源 B、龚自珍 C、林则徐 D、严复91、197、我国第一个南极考察基地“长城站”什么时候落成?(C)A、1980.2 B、1981.2 C、1985.2 D、1986.2 92、色盲患者最普遍的不易分辨的颜色是什么?(A)A红绿 B蓝绿 C红蓝 D绿蓝
93、电度表上的一度电表示耗电量为:(B)
A、1百瓦/小时 B、1千瓦/小时 C、1瓦/小时
94、坐长途车要注意揉搓小腿、大腿这是为防止:(D)
A晕车 B心理压力增大 C窒息 D脚浮肿
95、“五角大楼”是美国哪个机构的代称?(B)
A中情局 B国防部 C信息工程部 D劳工部
96、请问:火车连续发出两声长鸣,这表示:(C)
A前进 B停留 C倒退 D故障
97、我国最早的一部医学理论著作是:(B)
A《本草纲目》 B《黄帝内经》 C《千金方》 D《伤寒杂病论》
98、我国植树节定在每年的3月12日,这也是为纪念哪位人物而定的?(B)
A屈原 B孙中山 C白求恩 D雷锋
99、人们常说:“无事不登三宝殿”你知道“三宝”是指哪三宝?(C)
A、纸、砚、笔 B、书、剑、琴 C、佛、法、僧 D、金、银、玉
100、世界上是被称为“教育王国”的哪一个国家?(C)
A、中国 B、美国 C、以色列 D、日本
第四篇:公文基础知识试题(290道带答案)
《公文基础知识》集
公文概述
1:公文的主体部分是()。A: 标题 B: 正文 C: 作者 D: 印章或签署
答案: B
2:向级别与本机关相同的有关主管部门请求批准某事项应使用()。
答案: D A: 请示 B: 报告 C: 请示报告 D: 函
3:联合行文标注发文机关时,标在前面的机关是()。
答案: B A: 组织序列表中靠前的 B: 主办的 C: 上级的 D: 其他系统的
4:按照密级划分规则,含有一般的国家秘密,泄漏会使国家的安全和利益遭受损害的文件属于。答案: C A: 限国内公开的 B: 内部使用的 C: 秘密物
D: 机密的
5:在印制本上,文头位于公文的(),作者位于()。
答案: A A: 首页上端;右下方 B: 首页下端;右上方 C: 首页上端;右上方 D: 首页下端;右下方
6:()用于依照有关法律规定发布行政法规和规章。A: 条例 B: 决定 C: 规定
D: 公告 答案: C
7:函,在文种上属于(),在公务活动领域上属于()。
答案: B A: 规范性文件;通用公文 B: 商洽性文件;通用公文
C: 陈述呈请性文件;专用公文 D: 领导指导性文件;专用公文
8:向非同一组织系统的任何机关发送的文件属于()。
答案: B A: 上行文 B:平行文 C: 下行文 D: 越级行文
9:含有重要的国家秘密,泄露会使国家的安全与利益遭受到严重损害的文件,属于()。
答案: C A: 秘密文件 B: 绝密文件 C: 机密文件 D: 保密文件
10:用于在一定范围内公布应当遵守或周知的事项的公文是()。
答案: B A: 通知 B: 通告 C: 公告 D: 通报
11:用于答复下级机关请示事项的公文是()。A: 指示 B: 请示 C: 批复 D: 命令
答案: C
12:党政机关的行文关系有()。
答案: B A: 逐级行文、多级行文、直贯到底的行文 B: 上行文、下行文、平行文 C: 逐级行文、多级行文、超级行文 D: 超级行文、下行文、平行文
13:地方性行政法规,应由()制发。
答案: D A: 全国人民代表大会 B: 国务院 C: 国家主席 D: 地方人民代表大会和地方政府
14:商洽性文件的主要文种是()。A: 请示 B: 通知 C: 函
D: 通报
答案: C
15:根据文件来源,在一个机关内部可将公文分为()。
答案: A A: 收文、发文
B: 上行文、平行文、下行文 C: 通用公文、专业公文 D: 本机关制发的和内部使用的公文
16:用于对下级机关布置工作,阐明工作活动的指导原则的领导指导性文件,称为()。
答案: B A: 命令 B: 指示 C: 批复 D: 通知
17:用于对某一项行政工作作比较具体规定的规范性文件,称作()。
答案: C A: 条例 B: 规定 C: 办法
D: 决定
18:机关或部门的领导人对来文办理提出处理意见的活动是收文处理中的()。
答案: B A: 拟办 B: 批办 C: 承办 D: 查办
19:条例、规定、办法、决定是属于公文中的()。
答案: B A: 领导指导性文件 B: 规范性文件 C: 公布性文件 D: 商洽性文件
20:通报情况使用()。A: 通知 B: 通告 C: 通报 D: 情况报告
答案: C
21:内容重要并紧急需要打破常规化先传递处理的文件,叫作()。
答案: D A:平行 B: 加急件 C: 特急件 D: 急件
22:以强制力推行的用以规定各种行为规范的法规、规章属于()。
答案: A A: 规范性文件 B: 领导指导性文件 C: 呈请性文件 D: 证明性文件
23:调查报告的结构一般包括()。
答案: A A: 标题、导语、正文、结语 B: 标题、正文、落款 C: 开头、导语、主体、结尾 D: 标题、正文、结语
24:当问题重大,确急需直接上级和更高层次的上级机关同时了解公文内容时,可采用()的方式。A: 越级行文 B: 直接行文 C: 多级行文 D: 同时行文
答案: C
25:用于记载会议主要精神和议定事项的公文是()。A: 决议 B: 会议记录C: 会议纪要
D: 议案
答案: C
26:供受文者使用的具有法定效用的正式文本,格式规范并具备各种生效标志的稿本称作()。
A: 草稿 B: 定稿 C: 正本 D: 副本
答案: C
27:维护文件的高度严密性是指()。
答案: B A: 公文的保密性 B: 公文语言结构的严密 C: 公文行文程序的严密 D: 施行办法的严密
28:联合行文时,作者应是()。
答案: A A: 同级机关
B: 同一系统的机关 C: 三个以上的机关 D: 行政主管机关与业务指导机关
29:公文具有其他任何文献形式无法替代的功能是()。A: 执行的 B: 强制的 C: 权威性 D: 凭证的 答案: C
30:主送机关对公文负有()和答复的责任。A: 转发 B: 抄送 C: 通报 D: 主办
答案: D
31:用于向国内外宣布重要事项或法定事项时所使用的文种是()。A: 布告 B: 通告 C: 公告 D: 通知 答案: C
32:下列文稿中具有正式公文效用的是()。A: 议论稿 B: 送审稿 C: 征求意见稿 D: 定稿
答案: D
33:为了维护政党的领导、指导、直接统属的关系,一般应采用()的方式。
答案: B A: 多级行文 B: 逐级行文 C: 直接行文 D: 越级行文
34:上行文是指()。
答案: A A: 向具有隶属关系的上级领导、领导机关报送的文件 B: 向所属被领导机关或组织发出的文件 C: 向一切比本机关级别层次高的机关发出的文件 D: 向一切比本机关级别层次低的机关发出的文件
35:联合制发公文时,其作者应该是()的机关。A: 上级 B: 同级 C: 下级 D: 隶属
答案: B
36:国家教委与各省、自治区、直辖市教委之间属于()。
答案: C A:平行关系 B: 不相隶属关系 C: 业务指导关系
D: 隶属关系
37:公文作为应用文体,有广泛的实用性、()、全面的真实性、格式的规定性四个特点。
答案: C A: 间接的作用性 B: 实际的长效性 C: 直接的针对性
D: 准确的真实性
38:公文中兼用的基本表达方式是()。
答案: C A: 议论、描写、说明 B: 议论、说明 C: 议论、叙述、说明 D: 抒情、说明
39:公文在制发的程序上,必须履行法定的()。A: 审批手续
B: 会签手续 C: 登记手续 D: 承办手续答案: A
40:公文议论的三个基本要素包括论点、()、论证。A: 事例 B: 因果 C: 论据
D: 结论
答案: C
41:公文写作中所采用的论证方法,主要有例证法、()、因果法。
答案: C A: 论述法 B: 分析法 C: 对比法
D: 实证法
42:公文区别于其他信息记录的特点是()。
答案: D A: 传播知识 B: 具有查考价值 C: 书面文字材料 D: 具有法定权威与现行效用
43:公文急件是指()。
答案: C A: 内容重要并特殊紧急,需打破工作常规迅速传递处理的文件
B: 内容重要并紧急,需打破常规优先迅速传递处理的文件
C: 内容至关重要并特殊紧急,已临近规定办结期限,需随到随时优先迅速传递处理的文件。
D: 内容至关重要并紧急,已临近办结期限,需随到随时迅速传递处理的文件
44:公文的作者是指()。
答案: B A: 撰拟文章的机关工作人员 B: 制发文件的机关
C: 审核签发文件的机关工作人员 D: 参与文件形成过程的全部机关工作人员
45:公文的装订是在()。A: 左侧 B: 右侧 C: 正上方 D: 左上方
答案: A
46:当作者与主要受文者存在不相隶属关系时,只能选取()。
答案: B A: 上行文 B:平行文C: 下行文 D: 公布性文件
47:采用议论法撰写公文,对观点的要求是()。
答案: A A: 正确、鲜明
B: 深刻、深远 C: 明确、含蓄 D: 鲜明、充分
48:一般由标题、正文、发文机关名称与成文日期构成的文种有()。
答案: AC A: 决定
B: 指示C: 通告
D: 简报
49:下列文种的结构构成中均有主送机关的有()。A: 指示 B: 通知 C: 通报 D: 批复
答案: ABCD
50:公文是一种特殊的文体,这种特殊性表现在()。
答案: AD A: 采用白话文形式 B: 具有真实性、合法性 C: 具有规范性、相对确定性D: 用议论、说明、叙述多种方式表达
51:公文的基本组成部分有()。A: 标题 B: 文头 C: 正文
D: 主题词
答案: ACD
52:下面文件中属专用公文的有()。
答案: ACD A: 外交文件
B: 天津市人民政府向中央人民政府的请示和报告 C: 军事文件 D: 司法文件
53:调查报告作为研究结果的书面材料,它必须()。
答案: ACD A: 以科学分析为手段 B: 以授人知识、信息为目的 C: 以叙述、描写为主 D: 以客观事实为基础
54:下列有关公文主送机关的说法,正确的是()。
答案: BCD A: 所有公文只能选择一个主送机关 B: 主送机关应在标题下靠左顶格标注
C: 除领导人直接交办之外,不应将公文直接转送领导者个人 D: 主送机关是对公文负法定办理式答复的机关
55:已具备正式公文法定效用的文稿有()。A: 草案 B: 送审稿 C: 定稿 D: 所有文件
答案: CD
56:使用份号的公文有()。A: 机密文件 B: 绝密文件 C: 秘密文件 D: 所有文件
答案: AB
57:下列有关公文印章或签署的说法何者正确()。
答案: ACD A: 在公文上盖印或签署,是用以证实公文作者的合法与公文的法定效力
B: 行政机关的公都必须加盖章 C: 联合下发的公文、联合发文机关均应加盖印章 D: 盖印应做到上不压正文、下压成文日期
58:公文与一般应用文相比,具有特殊属性是()。
答案: AD A: 以白话文为符号系统 B: 全面真实 C: 真接应用 D: 兼用说明、叙述、议论三种表达方式
59:公文的现实执行效用表现为()。
答案: ACD A: 公文是制发机关传达决策意图的重要手段
B: 公文是受文机关进行工作的依据
C: 公文反映和传达了法定作者的决策和意图
D: 公文是维系机关与广大人民群众之间正常联系的基本形式
60:议案的正文部分在陈述提出议案的根据时,一般包括()。
答案: ABC A: 政策依据 B: 法规依据 C: 事实依据
D: 历史依据
61:我国法定的公布性文件包括()。A: 通知 B: 通告 C: 通报 D: 公告
答案: BD
62:有领导被领导关系的机关行文时可采用的行文方式有()。
答案: ABD A: 逐级行文
B: 越级行文C: 直接行文 D: 多级行文
63:根据形成和作用的公务活动领域,公文可分为()。
答案: BD A: 法定正式公文 B: 通用公文 C: 非法定正式公文 D: 专用公文
64:可用来发布规章的文件有()。A: 命令 B: 决定 C: 通知 D: 通告
答案: AC
65:工作报告在党的机关可用于()。A: 请求批准 B: 提出建议 C: 答复上级询问
D: 反映情况
答案: BCD
66:越级行文的条件是()。
答案: BCD A: 情况紧急 B: 经多次请示直接上级机关而问题长期未予解决 C: 需直接询问、答复或联系具体事项 D: 检举直接上级机关
67:具备法定效力的公文稿本有()。A: 副本
B: 暂行本 C: 定稿
D: 试行本
答案: ABCD
68:公告的主要特点是()。
答案: ABC A: 公布范围的广泛性 B: 郑重宣告的庄重性、严肃性 C: 法定作者的限定性 D: 内容明确、具体
69:下列哪些属可供选择的数据项目()。A: 发文机关 B: 发文字号 C: 签发人标志 D: 主送机关 答案: BCD
70:公文的特点有()。
答案: ABCD A: 由法定的作者制发并具有法定的权威性 B: 其制发与履行必须执行法定程序 C: 具有法定的现实执行效用
D: 规范的体式
71:发文字号指发文机关对其所制发的公文依次编排的顺序代码,它由哪几个方面组成?()。答案: ABC A: 发文机关代号 B: 发文年号 C: 发文顺序号
D: 文件注释号
72:公文密级标志的位置放在公文标题的左上方醒目处。公文的保密等级分为以下哪几种?()。答案: ABC A: 绝密
B: 机密 C: 秘密
D: 特密
73:机关正式制发公文设计的版头,作者有以下几方面()。
答案: BCD A: 表明作者单位的意图 B: 表明公文作者的归属
C: 显示该公文的权威性与郑重性 D: 表明该公文的性质或行文方向
74:公文的收发,要履行的处理程序包括登记、分办、拟办和()。A: 批办 B: 承办 C: 受办 D: 催办 答案: ABD
75:国家对公文的规范体式有统一的规定,它包括公文的()。A: 名称 B: 文体 C: 结构 D: 格式 答案: BCD 76:国家对公文的格式有具体的要求,其特点有()。A: 结构完整 B: 规范性 C: 相对确定性 D: 灵活性答案: BC 77:行文的方式归纳起来大致有()。A: 逐级行文 B: 多级行文C: 越级行文 D: 直接行文
答案: ABCD
78:份号适用()公文。A: 秘密公文 B: 机密公文 C: 绝密公文 D: 内部使用公文
答案: BC
79:呈请性文件有()。A: 通知 B: 议案 C: 调查报告
D: 办法
答案: BC 80:下列属行政公文的有()。A: 请示
B: 外交文件 C: 命令
D: 商洽性文件
答案: ACD 81:公文的标题由以下几部分构成()。A: 发文机关名称 B: 公文接受单位名称 C: 公文内容 D: 文种答案: ACD
82:下列单位之间可以联合行文的是()。
答案: ABCD A: 政府各部门之间 B: 上级政府部门和下级政府之间C: 中宣部和文化部 D: 国家体委和中国船舶工业总公司
83:下列哪些机关可以被选择作为抄送机关()。
答案: AC A: 向下级机关的重要发文应同时抄报直接上级机关
B: 向上级请示时抄报下级机关
C: 上级机关向受双重领导的下级机关行文,抄送给另一上级机关 D: 将所接受的抄送公文抄送给下属机关
85:公文用纸的幅面尺寸一般为()。A: 8开型 B: 16开型 C: A4型
D: B4型
答案: BC
86:发文符号的组成部分包括()。A: 文种代号 B: 机关代字 C: 发文年号 D: 发文顺序号
答案: BCD
87:下列有关公文成文日期的说法何者正确()。
答案: BCD A: 成文日期,以印制的日期为准 B: 成文日期,以领导人签发的日期为准
C: 联合行文,以最后签发机关领导人的签发日期为准 D: 标准成文日期要求用汉字写全具体的年、月、日
88:下列说法符合公文发文机关规定有的()。
答案: ABCD A:发文机关全称或规范化简称加“文件”二字可标识发文机关 B:可在公文落款处标明发文机关全称或规范化简称C: 以领导人名义制发的公文,须标明领导人职务 D: 几个机关联合行文时,应将主办关排列在前
89:公文必须具备的基本数据项目包括()。A: 发文符号 B: 印章或签署 C: 主送机关 D: 成文日期答案: BD
90:公文格式所具有的特点是()。A: 相对稳定性 B: 统一性 C: 规范性
D: 权威性
答案: AC
91:下列说法正确的是()。
答案: BC A: 公文即应用文 B: 公文是应用文的是一种 C: 公文是实用文体 D: 公文不属于应用文
92:下列文种属于呈请性文件是()。A: 函 B: 报告 C: 调查报告 D: 议案
答案: BCD
93:命令(令)的使用范围是()。
答案: ABCD A: 依照有关法律规定发布行政法规和规章 B: 宣布施行重大强制性行政措施 C: 奖惩有关人员 D: 撤销下级机关不适当的决定
94:下列文种属通用公文的是()。A: 报告 B: 国际条约 C: 函
D: 判决书
答案: AC
95:制发公文应履地的法定手续是()。A: 审核
B: 会签 C: 审批
D: 承办
答案: ABC
96:规范的公文体式是用以维护公文的()。A: 强制性 B: 权威性 C: 准确性 D: 有效性
答案: BCD
97:能够以其名义制发公文的是()。A: 国家机关
B: 社会团体 C: 机关法定代表人
D: 自然人
答案: ABC
114:可用来发布规章的文件有()。A.命令
B.决定 C.通知
D.通告
答案: AC
118:公告的主要特点是()。
答案: ABC A.公布范围的广泛性 B.郑重宣告的庄重性、严肃性 C.法定作者的限定性
D.内容明确、具体
123:机关正式制发公文设计的版头,作者有以下几方面()。
答案: BCD A.表明作者单位的意图 B.表明公文作者的归属
C.显示该公文的权威性与郑重性 D.表明该公文的性质或行文方向
125:国家对公文的规范体式有统一的规定,它包括公文的()。A.名称 B.文体 C.结构 D.格式
答案: BCD
126:国家对公文的格式有具体的要求,其特点有()。A.结构完整 B.规范性 C.相对确定性 D.灵活性 答案: BC
139:公文必须具备的基本数据项目包括()。A.发文符号 B.印章或签署 C.主送机关 D.成文日期
答案: BD
140:公文格式所具有的特点是()。A.相对稳定性 B.统一性 C.规范性
D.权威性
答案: AC
142:下列文种属于呈请性文件是()。A.函
B.报告 C.调查报告 D.议案
答案: BCD
146:规范的公文体式是用以维护公文的()。A.强制性
B.权威性 C.准确性 D.有效性
答案: BCD
163:用于对下级机关布置工作,阐明工作活动的指导原则的领导指导性文件,称为()。
答案: B A.命令 B.指示 C.批复 D.通知
164:用于对某一项行政工作作比较具体规定的规范性文件,称作()。A.条例 B.规定 C.办法
D.决定 答案: C
168:内容重要并紧急需要打破常规化先传递处理的文件,叫作()。A.平行 B.加急件 C.特急件 D.急件 答案: D
177:主送机关对公文负有()和答复的责任。A.转发 B.抄送 C.通报 D.主办
答案: D
189:公文区别于其他信息记录的特点是()。
答案: D A.传播知识 B.具有查考价值 C.书面文字材料 D.具有法定权威与现行效用
291:采用议论法撰写公文,对观点的要求是()。
答案: A A: 正确、鲜明
B: 深刻、深远C: 明确、含蓄 D: 鲜明、充分
第五篇:个体工商户竞赛试题定稿(带答案)
峨边县工商局、个私协会 个体工商户竞赛试题
(考试时间90分钟)姓名_________________ 电话______________________ 得分_________________
一、填空题(20分 每空1分)。
1.个人经营的,以__________________为申请人。
2.每年___________ 至________日,企业应当向企业登记机关提交年检材料。
3.个体工商户的经营期限是_________________。
4.个体工商户变更组织形式,由个人经营变更为家庭经营的,应当提交居民___________或者结婚证复印件作为家庭成员亲属关系证明,同时提交其他参加经营家庭成员的_________________复印件,对其姓名及身份证号码予以备案。
5.当年设立登记的企业,自_______________起参加年检。
6.预先核准的个体工商户名称在保留期内_________转让,_________用于经营活动。
7.一户个体工商户可以使用____________个名称。
8.公司成立后,股东不得抽逃___________。
9.经营者应当向消费者提供有关商品或者服务的_________信息,不得作引人误解的虚假宣传。10.公司以其________________________对公司的债务承担责任。
11._________年________月________日,中华人民共和国宣告成立。12.2013年10月1日是中华人民共和国成立______周年纪念日?
13.公司分配当年税后利润时,应当提取利润的百分之 _______列入公司法定公积金。
14.国家制定有关消费者权益的法律、法规和政策时,应当听取_____________的意见和要求。
15.消费者的合法权益受到侵害时,可以拨打全国统一消费者申(投)诉举报电话。请问电话号码是_______________.二、单项选择题(60分 每小题2分)。
1.()可以登记为个体工商户。A.甲,8岁,就读于小学三年级
B.乙,15岁,就读于某中学三年级
C.丙,40岁,精神病人,完全不能辨认自己的行为
D.丁,17岁,高中毕业在家自谋职业
2.()情况下不需要申请个体工商户登记即可以开展经营活动。
A.农民甲在集贸市场或者地方人民政府指定区域内销售自产的农副产品
B.市民乙在自家临街房屋经营商店 C.农民丙在市区租赁店铺销售其批发的粮油
D.市民丁回到农村老家开店销售从城市购买的服饰 3.经营者姓名和住所,是指()。
A.申请登记为个体工商户的公民姓名及其户籍所在地的详细住址
B.申请登记的个体工商户名称及经营场所
C.申请登记为个体工商户的公民姓名及其经营场所
D.申请登记的个体工商户名称及公民户籍所在地的详细地址
4.申请个体工商户开业登记,可以通过那些方式?
① 申请人本人直接到经营场所所在地登记机关或其委托的工商所办理登记;
② 申请人委托代理人直接到经营场所所在地登记机关或其委托的工商所办理登记;
③ 申请人本人通过邮寄、传真、电子数据交换、电子邮件等方式向经营场所所在地登记机关提交申请;
④ 申请人委托代理人通过邮寄、传真、电子数据交换、电子邮件等方式向经营场所所在地登记机关提交申请。
A.①② B.①②③ C.①③④ D.①②③④
5.申请个体工商户开业登记应当提交()。
①申请人签署的个体工商户开业登记申请书;
②申请人身份证明;
③申请人所在地户籍证明;
④经营场所证明;
⑤国家工商行政管理总局规定提交的其他文件。
A.①②③④⑤ B.①②④⑤ C.①③④⑤ D.①②③④
6.登记机关对申请材料依法审查后,不符合个体工商户登记条件的,不予登记并书面告知申请人,说明理由,告知申请人有权依法()。
A.申请行政复议
B.提起行政诉讼
C.申请行政复议、提起行政诉讼
D.先行申请行政复议,若对行政复议的结果不服,才可提起行政诉讼 7.什么是准予个体工商户开业的日期? A.指个体工商户开业登记申请被核准之日
B.指个体工商户取得营业执照之日
C.指个体工商户正式开展经营活动之日
D.指由登记机关在《准予登记通知书》中特别指明的开业日期 8.家庭经营的个体工商户在家庭成员间变更经营者的,应当()。
A.办理变更登记手续 B.办理备案变更手续 C.在办理注销登记后,由新的经营者重新申请办理注册登记
D.在办理撤销登记后,由新的经营者重新申请办理注册登记
9.(),可以对个体工商户登记予以撤销。
① 登记机关工作人员滥用职权、玩忽职守作出准予登记决定的;
② 超越法定职权作出准予登记决定的;
③ 违反法定程序作出准予登记决定的;
④ 对不具备申请资格或者不符合法定条件的申请人准予登记的;
⑤ 依法可以撤销登记的其他情形。
A.①②③④ B.②③④⑤ C.①③④⑤ D.①②③④⑤
10.个体工商户名称由()依次组成。
A.行政区划、行业、字号、组织形式
B.行政区划、字号、组织形式
C.行政区划、字号、行业
D.行政区划、字号、行业、组织形式
11.个体工商户名称不得含有下列内容和文字:
① 有损于国家、社会公共利益的;
② 违反社会公序良俗,不尊重民族、宗教习俗的;
③ 可能对公众造成欺骗或者误解的;
④ 外国国家(地区)名称、国际组织名称;
⑤ 政党名称、党政军机关名称、群众组织名称、社团组织名称及其简称、部队番号;
⑥ “中国”、“中华”、“全国”、“国家”、“国际”字词;
⑦ 汉语拼音、字母、外国文字、标点符号;
⑧ 不符合国家规范的语言文字;
⑨ 法律、法规规定禁止的其他内容和文字。
A.①②③ B.④⑤⑥ C.⑦⑧⑨ D.以上全部
12.预先核准的个体工商户名称保留期为()。保留期满,申请人仍未办理个体工商户设立或者变更登记的,预先核准的名称自动失效。
A.1个月 B.3个月 C.6个月 D.9个月
13.个体工商户的名称中可以含有()。
A.801、店、馆、部等字样 B.联合国、801、中心等字样
C.西苑、CHANGCHENG、行等字样 D.我&你、东关、部等字样 14.两个及两个以上申请人向同一登记机关申请登记相同个体工商户名称的,登记机关依照()原则核定。
A.核准在先 B.申请在先 C.受理在先 D.审查在先
15.在同一登记机关管辖区域内个体工商户名称申请与其他企业变更名称未满()的原名称相同,不予核准登记。
A.6个月 B.1年 C.2年 D.3年
16.个体工商户应当在每年规定的时间内向登记机关申请办理验照,由登记机关依法对()进行审验。
A.个体工商户的登记事项和上一经营情况 B.个体工商户上一的经营情况 C.个体工商户的登记事项 D.个体工商户的资金数额和从业人员
17.个体工商户应当于每年的()到核发营业执照的工商行政管理机关或者工商行政管理机关委托的工商所验照。
A.1月1日至5月31日 B.1月1日至3月31日 C.1月1日至6月30日 D.1月1日至4月30日
18.个体工商户申请转变为企业组织形式的,登记机关应当依法为其提供()、()等市场主体组织形式转变方面的便利,及相关政策、法规和信息咨询服务。
A.继续使用原商标,保持工商登记档案延续性
B.继续使用原名称字号, 保持工商登记档案延续性
C.继续使用原名称字号,保持税务登记档案延续性
D.继续使用原商标,保持税务登记档案延续性
19.个体工商户申请验照须提交的材料包括:
①《个体工商户验照报告表》;
②营业执照正、副本;
③信息真实性声明;
④工商行政管理机关要求提交的其他材料。
A.②③ B.①②④ C.①②③④ D.①②③
20.应当对提交的验照申请材料的真实性负责的是()。
A.工商行政管理机关 B.受托人 C.个体工商户 D.工商行政管理机关工作人员
21.个体工商户未在规定期限内办理验照的,由登记机关();逾期未改正的,()。
A.变更登记,撤销注册登记
B.责令改正,吊销营业执照 C.变更登记,撤销注册登记 D.责令限期改正,吊销营业执照
22.个体工商户登记事项变更,未办理变更登记的,由登记机关责令改正,处()元以下的罚款;情节严重的,()。
A.1000,吊销营业执照 B.1000,撤销注册登记
C.1500,吊销营业执照 D.1500,撤销注册登记 23.个体工商户提交虚假材料骗取注册登记,由登记机关责令改正,处()元以下的罚款;情节严重的,()或者吊销营业执照。
A.4000 注销注册登记 B.4000 撤销注册登记
C.3000 注销注册登记 D.3000 撤销注册登记
24.个体工商户伪造、涂改、出租、出借、转让营业执照的,由登记机关责令改正,处()元以下的罚款;情节严重的,()或者吊销营业执照。
A.6000 撤销注册登记 B.6000 注销注册登记 C.4000 撤销注册登记 D.4000 注销注册登记
25.个体工商户违反《个体工商户登记管理办法》第二十五条规定的,由登记机关责令限期改正;逾期未改正的,处()元以下的罚款。
A.500 B.400 C.300 D.200
26、经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品价款或者接受服务的费用的()倍。
A、一 B、二 C、三 D、四
27.消费者或者其他受害人因商品缺陷造成人身、财产损害的()要求赔偿
A、可以向销售者,也可以向生产者
B、首先向销售者
C、首先向生产者 D、首先向销售者,然后再向生产者
28经营者侵害消费者人格尊严者,侵犯消费者人身自由的,应当(),并赔偿损失。
A、停止侵害 B、恢复名誉 C、清除影响 D、以上皆有
29.对国家规定或者经营者与消费者约定包修、包换、包退的商品,经营者应当负责修理、更换或者退货。在保修期内()次修理但仍不能正常使用的,经营者应当负责更换或者退货。
A、一 B、二 C、三 D、四
30.国家机关工作人员玩忽职守或者包庇经营者侵害消费者合法权益的行为的,由其所在单位或者上级机关给予();情节严重,构成犯罪的,依法追究刑事责任。
A、行政处分 B、刑事处分 C、民事制裁 D、治安处罚
三、判断题(20分 每小题1分)。
1.家庭经营的,以家庭全体成员为申请人。()2.个体工商户的从业人数有人数限制。()
3.个人经营的个体工商户变更经营者的,应当在办理注销登记后,由新的经营者重新申请办理开业登记。()4.个体工商户不再从事经营活动的,应当到登记机关办理吊销登记。()
5.现任某国家机关公务员可以登记为个体工商户。()6.个体工商户进行经营场所登记应提交的证明文件不包括房屋管理部门和城市规划部门出具的同意个体工商户对经营场所进行改造的证明。()
7.分公司具有法人资格,其民事责任由分公司承担。()8.个体工商户名称牌匾可以适当简化并且不得对公众造成欺骗或者误解。()
9.在同一登记机关管辖区域内个体工商户名称申请与已登记注册或已预先核准的企业、个体工商户名称类似的,予核准登记。()
10.个体工商户登记事项不包括注册资本。()
11.深入开展平安建设、维护社会和谐稳定是社会治安综合治理的基本任务。
()
12.社会治安综合治理是国家机关、社会团体、企业事业单位和公民的共同责任。
()
13.根据“预防未成年人犯罪法”规定,未对于已满十四周岁不满十六周岁未成年人犯罪的案件,一律公开审理。()14.人民调解委员会调解民间纠纷,可以收取任何费用。()
15.中学、小学校园周围200米范围内不得设立“三厅两室两吧”。200米范围是指的是校园围墙或校园边界任意一点与“三厅两室两吧”之间的直线距离。
()16.营业性电子游戏场所在任何时候都不得允许未成年人进入。()
17.未成年人是指未满16周岁的公民。()18.“两抢一盗”为指抢劫、抢夺、盗窃(包括入室盗窃和盗窃机动车)等三类多发性侵财案件。()
19.深化平安建设工作的重要批示是由李克强总理提出的。()20.建设“平安中国”,必须坚决捍卫国家主权、安全、发展利益,努力实现国家完全统一。
()
参考答案:
一、填空题。1.经营者本人
2.3月1日至6月30日 3.无经营期限限制 4.户口簿 身份证 5.下一年
6.不得
不得 7.一个 8.出资 9.真实
10.全部资产
11.1949 10 1 12.64周年
13.10%
14.消费者
15.12315
二、选择题。1----5 DAADB 6----10 CBADD 11---15 DCABB 16---20 AABBC 21---25 DCBCA 26---30 AADBA
三、判断题。
1.×,以家庭成员中主持经营者为申请人。2.×,无人数限制。3.√。
4.×,应办理注销登记。
5.×,国家机关公务员不能登记为个体工商户。6.√。
7.×,分公司不具有法人资格。8.√
9.×,应为相同的。10.√。11.√。12.√。
13.×,不应公开审理。14.×,不可收取任何费用。15.√。
16.×,营业性电子游戏场所除国家法定节假日外不得允许未成年人进入。17.×,未满十八岁为未成年人。18.√。
19.×,是由总书记提出的。20.√。