第一篇:电信竞赛培训整理题(400道 带答案)
电信竞赛培训整理题(400道)
1、下面对电信网和互联网安全防护体系描述不正确的是(ABC)。
A、指对电信网和互联网及相关系统分等级实施安全保护
B、人为或自然的威胁可能利用电信网和互联网及相关系统存在的脆弱性导致安全事件的发生及其对组织造成的影响
C、利用有线和,或无线的电磁、光电系统,进行文字、声音、数据、图像或其他任何媒体的信息传递的网络,包括固定通信网、移动通信网等
D、电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合.共同构成了电信网和互联网安全防护体系。
2、关于信息产业部电信管理局《关于电信网络等级保护工作有关问题的通知》(信电函[2006]35号)的目的,以下说法最准确的是(B)。
A、指导电信业加快推进信息安全等级保护,规范信息安全等级保护管理,保障和促进信息化建设
B、指导电信业更好地实施信息安全等级保护工作,保证电信网络(含互联网)等级保护工作规范、科学、有序地开展
C、指导电信业信息系统主管部门依照相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营的信息安全等级保护工作。
D、指导电信业各单位组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息系统安全等级保护定级指南》的要求,确定定级对象
3、根据《关于电信系统信息安全等级保护工作有关问题的意见》(信安通[2007]14号),开展针对各地全程全网性质的电信网络的信息安全等级保护检查时,应当(D)
A、由公安机关单独进行 B、由测评单位单独进行
C、会同公安机关共同进行D、会同电信主管部门共同进行
4、《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中要求,对于经集团公司审核后,安全保护等级拟定为第3级及以上级别的定级对象,应由集团公司将定级报告(电子版)报送(B)评审,由专家组和电信运营企业共同商议确定定级对象的安全保护等级。
A、公安机关网络安全防护专家组 B、信息产业部电信网络安全防护专家组 C、测评单位网络安全防护专家组 D、第三方网络安全防护专家组
5、在电信网和互联网及相关系统中进行安全等级划分的总体原则是:(A)
A、定级对象受到破坏后对国家安全、社会秩序、经济运行公共利益以及网络和业务运营商的合法权益的损害程度
B、业务系统对定级对象的依赖程度,以及定级对象的经济价值
C、定级对象受到破坏后对国家安全、社会秩序、经济运行公共利益以及业务系统的影响程度
D、定级对象的经济价值和对公共利益的重要程度
6、从电信网和互联网管理安全等级保护第(B)级开始要求,关键岗位人员离岗须承诺调离后的保密义务后方可离开。
A、2 B、3.1 C、3.2 D、4
7、工信部考察通信行业信息安全管理体系认证相关工作要求的工信厅保[2010]200号发文是以下哪个?(C)
A、《关于加强通信行业信息安全管理体系认可管理工作的通知》 B、《关于加强通信行业信息安全体系认证管理工作的通知》 C、《关于加强通信行业信息安全管理体系认证管理工作的通知》 D、《关于加强信息安全管理体系认证管理工作的通知》
8、下面哪一项是ISO/IEC TR 13335对风险分析的目的描述?(D)
A、识别用于保护资产的责任义务和规章制度
B、识别资产以及保护资产所使用的技术控制措施
C、识别同责任义务有直接关系的威胁
D、识别资产、脆弱性并计算潜在的风险
9、以下属于网络信息系统的安全管理原则的是:(ABD)
A、多人负责原则 B、职责分离原则 C、权力集中原则
D、任期有限原则
10、以下哪些是安全风险评估实施流程中所涉及的关键部分(ABC)
A、风险评估准备、B、资产识别、脆弱性识别、威胁识别 C、已有安全措施确认,风险分析 D、网络安全整改
11、Windows系统允许用户使用交互方式进行登录,当使用域账号登录域时,验证方式是SAM验证(×)
12、在Unix/Linux系统中,一个文件的权限为4755,则文件不能被root组以外的其他用户执行。(×)
13、下面属于木马特征的是(BCD)
A、造成缓冲区的溢出,破坏程序的堆栈 B、程序执行时不占太多系统资源
C、不需要服务端用户的允许就能获得系统的使用权 D、自动更换文件名,难于被发现
14、攻击者截获并记录了从A到B的数据,然后又从早些时候所截获的数据中提取出信息重新发往B称为中间人攻击(×)
15、安全的Wifi应当采用哪种加密方式(A)
A、WPA2
B、MD5 C、Base64 D、WEP
16、下列对跨站脚本攻击(XSS)的解释最准确的一项是:(B)
A、引诱用户点击虚假网络链接的一种攻击方法
B、将恶意代码嵌入到用户浏览的web网页中,从而达到恶意的目的 C、构造精妙的关系数据库的结构化查询语言对数据库进行非法的访问 D、一种很强大的木马攻击手段
17、某黑客利用IE浏览器最新的0day漏洞,将恶意代码嵌入正常的Web页面当中,用户访问后会自动下载并运行木马程序,这种攻击方式属于钓鱼攻击(×)
18、关于MD5的说法正确的是(ABC)
A、MD5是单向hash函数
B、增加web安全账户的一个常用手段就是将管理员的用户密码信息,经过md5运算后,在数据库中存储密码的hash值
C、web数据库中存储的密码经过hash之后,攻击者即使看到hash的密码也无法用该信息直接登录,还需要进一步破解
D、目前攻击者在得到经过hash的用户名密码之后,最常用的破解手段是暴力破解
19、已知某个链接存在SQL注入漏洞,网址是http://代码(以后称脚本),而SQL注入注入的是SQL命令
C、XSS和SQL注入攻击都利用了Web服务器没有对用户输入数据进行严格的检查和有效过滤的缺陷。
D、XSS攻击盗取Web终端用户的敏感数据,甚至控制用户终端操作,SQL注入攻击盗取Web后台数据库中的敏感数据,甚至控制整个数据库服务器。
55、统一威胁管理系统(UTM)描述正确的是(ABD)
A.部署UTM可以有效降低成本 B.部署UTM可以降低信息安全工作强度 C.部署UTM可以降低安全设备集成带来的风险 D.部署UTM可能降低网络性能和稳定性
56、防范缓冲区溢出攻击的对策一般有(AC)。
A、更新操作系统和应用软件的版本以及补丁
B、安装防病毒软件
C、关闭多余的系统服务和端口 D、优化系统内存
57、以下关于SYN Flood和SYN Cookie技术的哪些说法是不正确的?(AD)A、SYN Flood攻击主要是通过发送超大流量的数据包来堵塞网络带宽
B、SYN Cookie技术的原理是通过SYN Cookie网关设备拆分TCP三次握手过程,计算每个TCP连接的Cookie值,对该连接进行验证 C、SYN Cookie技术在超大流量攻击的情况下可能会导致网关设备由于进行大量的计算而失效 D、以上都正确
58、下面不属于木马伪装手段的是(C)。
A、捆绑文件 B、隐蔽运行 C、自我复制
D、修改图标
59、关于网络入侵防御系统,以下描述不正确的是(A)
A.能够实时过滤阻断攻击源 B.阻断的是攻击包 C.部署在网络关键点上 D.以透明模式串联于网络中 60、对安全管理平台(SOC)描述正确的是(ABD)
A.SOC是技术、流程和人的有机结合
B.SOC能够对各类安全事件进行收集、过滤、合并和查询 C.SOC只能够收集各类防火墙、IDS、IPS等网络设备的信息
D.SOC能够协助管理员进行事件分析、风险分析、预警管理和应急响应处理等
61、《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中要求,基础电信运营企业各定级对象的定级结果,(A)应由集团公司进行审核。
A、含1至5级 B、2级以上 C、3级以上
D、4级以上 62、定级对象受到破坏后,会对网络和业务运营商的合法权益产生严重损害,或者对社会秩序、经济运行和公共利益造成轻微损害,但不损害国家安全,这是属于安全等级保护的第()级。C、3.1(×)注:2 63、电信网和互联网安全等级保护中,针对第1级的对象需要做的是(B)
A、由网络和业务运营商依据业务的特殊安全要求进行保护 B、由网络和业务运营商依据国家和通信行业有关标准进行保护 C、由主管部门对其安全等级保护工作进行指导
D、由主管部门对其安全等级保护工作进行监督、检查 64、《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中要求,对于经集团公司审核后,安全保护等级拟定为(B)的定级对象,无需报信息产业部电信网络安全防护专家组评审,可直接向电信监管部门进行备案。
B、第2级及以下级别
(√)65、定级对象受到破坏后,会对其网络和业务运营商的合法权益造成轻微损害,但不损害国家安全、社会秩序、经济运行和公共利益,这是属于安全等级保护的第()级。
B、2(×)注:1
66、定级对象受到破坏后,会对社会秩序、经济运行和公共利益造成特别严重的损害,或者对国家安全造成严重的损害,这是属于安全等级保护的第(A)级。
A、4 B、3.2 C、3.1 D、2 67、网络和业务运营商在网络实际运行之前对其安全等级保护工作的实施情况进行安全检测,确保其达到安全防护要求,这是(D)阶段的工作内容。
A、安全总体规划阶段 B、安全资产终止阶段 C、安全运维阶段
D、安全设计与实施阶段 68、国家公安机关负责等级保护中的什么类别工作?(D)
A、负责信息安全等级保护工作中部门间的协调。
B、负责等级保护工作中有关保密工作的监督、检查、指导。C、负责等级保护工作中有关密码工作的监督、检查、指导。
D、负责信息安全等级保护工作的监督、检查、指导。69、《信息系统安全等级保护定级指南》描述的第三级是下面哪个(C)
A、指导保护级 B、强制保护级 C、监督保护级
D、自主保护级 70、电信网和互联网管理安全等级保护要求中,第2级在安全管理制度的评审和修订上应满足(D)。
A、应定期或不定期对安全管理制度进行检查和审定
B、应定期或不定期地对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订
C、安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定
D、应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订 71、Solaris 10的运行模式0是指(B)。A、退出操作系统并关机
B、操作系统关闭,计算机仅运行其固件 C、重新启动机器
D、中断运行并立即关机 72、为了防御XSS跨站脚本攻击,我们可以采用多种安全措施,但(C)是不可取的
A、编写安全的代码:对用户数据进行严格检查过滤 B、可能情况下避免提交HTML代码 C、阻止用户向Web页面提交数据
D、即使必须允许提交特定HTML标签时,也必须对该标签的各属性进行仔细检查,避免引入javascript 73、防范网页挂马攻击,作为第三方的普通浏览者,以下哪种办法可以有效?(AD)
A、及时给系统和软件打最新补丁 B、不浏览任何网页 C、安装防火墙
D、安装查杀病毒和木马的软件 74、Windows NT 4.0于1999年11月通过了美国国防部TCSEC(D)级安全认证。
A、B1 B、B2 C、C1 D、C2 75、缓冲区溢出(D)。
A、只是系统层漏洞
B、只是应用层漏洞 C、只是TCP/IP漏洞
D、既是系统层漏洞也是应用层漏洞
76、Windows NT的安全引用监视器(Security Reference Monitor,SRM)的主要作用是(A)。
A、实现基于对象的访问控制和审核策略 B、负责记录审核消息 C、管理对象的安全描述符
D、负责生成对象的访问控制列表 77、在Unix/Linux系统中,文件类型为“b”,说明这是一个(C)。
A、二进制可执行文件 B、硬链接文件 C、块设备文件
D、进程文件 78、为了防御网络监听,最有效也最常用的方法是(D)
A、采用物理传输(非网络)B、使用专线传输 C、用光纤传输数据
D、对传输数据进行加密 79、以下关于宏病毒说法不正确的是(ACD)。
A.宏病毒主要感染可执行文件
B.宏病毒仅向办公自动化程序编制的文档进行传染 C.宏病毒主要感染软盘、硬盘的引导扇区或主引导扇区
D.CIH病毒属于宏病毒 80、本地域名劫持(DNS欺骗)修改的是哪个系统文件(C)
A、C:WindowsSystem32driversetclmhosts B、C:WindowsSystem32 etclmhosts C、C:WindowsSystem32driversetchosts
D、C:WindowsSystem32etchosts 81、电信网和互联网安全防护工作中的指导性原则有(BCD)
A、最小权限原则 B、可控性原则 C、适度安全原则
D、保密性原则 82、根据《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号),基础电信运营企业的定级范围为(CD)
A、基础网络 B、重要信息系统 C、核心生产单元
D、非核心生产单元 83、《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中要求,定级结果备案时需要提交的文档不包括(D)
A、备案单位基本情况表 B、备案信息表 C、定级报告
D、专家评审意见表 84、按照《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)的要求,关于定级对象的审核,以下说法中正确的是(BD)
A、由电信运营企业集团公司或省级公司负责管理的定级对象,由同级公安机关负责审核
B、由电信运营企业集团公司负责管理的定级对象,由信息产业部负责审核
C、由电信运营企业集团公司或省级公司负责管理的定级对象,由信息产业部负责审核 D、由电信运营企业省级公司负责管理的定级对象,由当地通信管理局负责审核 85、定级对象的安全等级应根据以下3个互相独立的定级要素来确定,它们是(ABD)。
A、规模和服务范围 B、社会影响力 C、经济价值
D、所提供服务的重要性 86、电信网和互联网安全等级保护的定级过程中,需要独立考虑3个定级要素,以下哪些事项属于损害社会秩序的事项?(ABDE)
A、影响国家机关社会管理和公共服务的工作秩序 B、影响各行业的科研、生产秩序 C、影响国家重要的安全保卫工作 D、影响各种类型的经济活动秩序
E、影响公众在法律约束和道德规范下的正常生活秩序 87、电信网和互联网安全等级保护工作中,实施安全等级保护的一次完整过程包括()。
A、安全等级确定 B、安全架构设计 C、安全运维 D、安全开发与实施 E、安全资产终止
88、电信网和互联网管理安全等级保护要求中,第2级在安全管理制度上应满足(ABC)。
A、应制定安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等
B、应对安全管理人员或操作人员执行的重要管理操作建立操作规程 C、应对安全管理活动中重要的管理内容建立安全管理制度
D、应形成由安全策略、管理制度、操作规程等构成的全面的安全管理制度体系 E、应对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动 89、电信网和互联网管理安全等级保护要求中,人员安全管理中第3.1级要求外部人员访问时在满足第2级要求的基础还应该(AD)。
A、应确保在外部人员访问受控区域前先提出书面申请 B、应确保在外部人员访问受控区域前得到授权或审批 C、外部人员访问批准后应由专人全程陪同或监督,并登记备案 D、对外部人员允许访问的区域、网络、设备、信息等内容应进行书面的规定,并按照规定执行 90、等级保护对象受到破坏时所侵害的客体包括(ABD)
A、公民、法人和其他组织的合法权益。B、社会秩序、公共利益。C、国家领导人。D、国家安全。
91、《信息系统安全等级保护实施指南》中描述第三级安全通信网络从以下方面进行设计:ABCD A、通信网络安全审计
B、通信网络数据传输完整性保护 C、通信网络可信接入保护
D、通信网络数据传输保密性保护 92、电信网和互联网安全防护体系,由以下哪几项工作共同组成?(BCD)
A、安全风险评估 B、安全等级保护 C、安全法律法规
D、灾难备份及恢复 93、电信网和互联网,风险评估过程中,其中一项是资产识别,在资产识别过程中,资产赋值体现出资产的安全状况对于组织的重要性,资产赋值中,应主要考虑资产的哪些属性?(ACD)
A、资产的社会影响力 B、资产的存在形式 C、资产的可用性
D、资产所提供的业务价值 94、关于脆弱性的描述,哪些说法是正确的(abcd)
A、脆弱性是对一个或多个资产弱点的总称
B、单纯的脆弱性本身不会对资产造成损害,而且如果系统足够强健,再严重的威胁也不会导致安全事件的发生并造成损失
C、脆弱性识别也称为弱点识别,脆弱性是资产本身存在的,威胁总是要利用资产的脆弱性才可能造成危害
D、资产的脆弱性具有隐蔽性,有些脆弱性只有在一定条件和环境下才能显现,这是脆弱性识别中最为困难的部分 95、对通信网络安全防护工作说法正确的是(ABCD)
A.受保护的通信网络包括公用通信网和互联网
B.防护对象是由我国境内的电信业务经营者和互联网域名服务提供者管理和运行的通信网络
C.防护工作包括为防止通信网络阻塞、中断、瘫痪或者被非法控制而开展的工作
D.防护工作包括为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作 96、关于通信网络安全防护符合性评测描述不正确的是:(C)
A.二级通信网络单元应当每两年进行一次符合性评测;
B.三级及三级以上通信网络单元应当每年进行一次符合性评测; C.五级通信网络单元应当每半年进行一次符合性评测;
D.通信网络单元的划分和级别调整的,应当自调整完成之日起九十日内重新进行符合性评测; 97、电信网络安全防护工作的可控性原则包括(ACD)
A.人员可控性 B.风险可控性 C.工具可控性
D.项目过程可控性 98、以下是电信网络安全防护工作中应该遵循的原则的是(ABCD)
A.规范性原则 B.适度性原则 C.整体性原则
D.同步性原则 99、Windows NT的安全子系统主要由(ABD)等组成。
A、安全账户管理(SAM)B、本地安全认证(LSA)C、对象管理器(OM)D、安全参考监视器(SRM)E、安全标识符(SID)
100、关于Windows NT中的安全账号管理器(Security Account Manager,SRM),以下说法中正确的是(ACDE)。
A、安全帐号管理器对帐号的管理是通过安全标识进行的
B、以system用户的权限可以使用编辑器对SAM文件的内容进行查看
C、sam文件是windows NT的用户帐户数据库,所有NT用户的登录名及口令等相关信息都会保存在这个文件中
D、安全账号管理器的具体表现就是%SystemRoot%system32configsam文件 E、注册表中也保存有SAM文件的内容,正常设置下仅对system用户可读写
101、NTFS文件系统能够为文件存储提供更高的安全性和可靠性,文件和文件夹的NTFS权限有(CE)类型。
A、操作权限 B、隐含权限 C、继承权限 D、访问权限
E、显式权限
102、Unix系统中某个文件的模式位为drwxr-xr-x,说明(ABE)。
A、任何人都可以执行这个文件 B、文件的权限为755 C、这是一个普通文件
D、该文件只有超级用户root可写 E、其他人可以读这个文件
103、使用sudo工具可以对Unix/Linux系统中用户可运行的命令进行控制以增加安全性,它的特性包括(ABCDE)。
A、需要授权许可
B、可以为系统管理员提供配置文件
C、能够限制指定用户在指定主机上运行某些命令 D、可以提供日志记录
E、可以进行时间戳检验
104、在Unix/Linux系统的/etc/syslog.conf配置文件中有如下两行内容,从中我们可以看出(BE)。
user.err
/dev/console user.err
/var/log/messages A、用户登录过程中出错,要发送日志消息到控制台
B、应用程序出现一般性错误,要发送日志消息到控制台,并且同时记录到messages文件
C、用户登录过程中出错,要记录日志消息到messages文件
D、应用程序出现一般性错误,要发送日志消息到控制台,或者记录到messages文件 E、应用程序出现err及以上级别错误,要发送日志消息到控制台,并且同时记录到messages文件
105、常见的拒绝服务攻击有:(ABCD)A、UDP Flood B、ICMP Flood C、SYN Flood
D、IGMP Flood 106、拒绝服务攻击的对象可能为:(ABCD)A、网桥
B、防火墙 C、服务器
D、路由器
107、下列木马程序可能采用的激活方式有(AC)。
A、修改注册表中的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下以“run”开头的键值
B、将木马程序复制在用户的桌面上 C、注册为系统服务
D、感染系统中所有的exe和html文件
108、某黑客组织通过拷贝中国银行官方网站的登陆页面,然后发送欺骗性电子邮件,诱使用户访问此页面以窃取用户的账户信息,这种攻击方式属于(B)
A、SQL注入 B、钓鱼攻击 C、网页挂马
D、域名劫持
109、Serv-U软件因自身缺陷曾多次被黑客用来进行提权攻击,针对提权的防御办法有(ABCD)
A、禁用anonymous帐户
B、修改Serv-U默认管理员信息和端口号
C、修改默认安装路径,并限制安全目录的访问权限 D、限制用户权限,删除所有用户的执行权限
110、关于HTTP协议说法正确的有哪些(ACD)
A、http协议是明文传输的 B、http协议是可靠的有状态的协议 C、http协议主要有请求和响应两种类型
D、http协议,在web应用中,可以有get、post、delete等多种请求方法,但是最常用是get和post
111、有很多办法可以帮助我们抵御针对网站的SQL注入,包括(BCD)
A、删除网页中的SQL调用代码,用纯静态页面 B、关闭DB中不必要的扩展存储过程
C、编写安全的代码:尽量不用动态SQL;对用户数据进行严格检查过滤 D、关闭Web服务器中的详细错误提示
112、防火墙部署中的透明模式的优点包括:(ACD)
A、性能较高
B、易于在防火墙上实现NAT C、不需要改变原有网络的拓扑结构 D、防火墙自身不容易受到攻击
113、关于网络入侵检测系统,以下描述正确的是(BCD)
A.能够适用于加密环境 B.不会增加系统开销 C.对带宽的要求较高
D.其部署不影响现有网络架构
114、以下哪些是应用层防火墙的特点?(ABC)
A、更有效的防止应用层的攻击 B、工作在OSI模型的第七层 C、比较容易进行审计
D、速度快而且对用户透明
115、发现感染计算机病毒后,应采取哪些措施(ACD)A.断开网络
B.格式化系统
C.使用杀毒软件检测、清除
D.如果不能清除,将样本上报国家计算机病毒应急处理中心
116、无法用于对Windows系统口令进行暴力破解的工具有(A、NMAP B、Nessus C、X-Scan D、AppScan 117、选出曾经出现提权漏洞的第三方软件(ABCD)
A、VNC B、FlashFXP C、Serv-U D、PcAnywhere
118、下面支持WPA加密方式的无线局域网标准有(BD)。A、802.11b B、802.11i
C、802.11a
D、802.11n 119、选出可以被暴力破解的协议(ABC)
A、POP3 B、SNMP C、FTP D、TFTP)AD
120、以下关于DOS攻击的描述,说法正确的有(BC)
A、以窃取目标系统上的机密信息为目的 B、不需要侵入对方系统内部
C、导致目标系统无法处理正常用户的请求
D、如果目标系统没有漏洞,远程攻击就不可能成功
121.《关于电信网络等级保护工作有关问题的通知》(信电函[2006]35号)中指出,电信网络由各种设备、线路和相应的支撑、管理子系统组成,因此电信网络实施等级保护时应当(C)。
A、对电信网络采取基础网络和重要信息系统分开实施技术保护 B、对电信网络采取按照地域划分成不同安全域分开实施技术保护
C、对整个网络统筹兼顾,按照国家制定的有关标准和要求,由电信网络的主管部门统一部署实施
D、按照“谁主管、谁负责”原则,各个电信网络各自部署实施,并进行监督、检查和指导
122.《关于电信系统信息安全等级保护工作有关问题的意见》(信安通[2007]14号)中指出,电信系统的等级保护备案(D)。A、在国家级进行
B、由各个电信网络自行决定如何进行 C、在国家、省、地市三级进行 D、在国家、省两级进行
123.《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中指出的定级范围包括核心生产单元和非核心生产单元,其中核心生产单元是指(D)。A、企业内部办公系统、客服呼叫中心等
B、重要信息系统,即电信业务的业务单元和控制单元
C、基础网络,即承载各类电信业务的公共电信网(含公共互联网)及其组成部分 D、正式投入运营的传输、承载各类电信业务的公共电信网(含公共互联网)及其组成部分,以及支撑和管理公共电信网及电信业务的业务单元和控制单元 124.电信网和互联网及相关系统的安全等级划分中,第2级的保护方法是:(C)
A、由网络和业务运营商依据国家和通信行业有关标准进行保护
B、由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行监督、检查
C、由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行指导
D、由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行重点监督、检查
125.电信网和互联网管理安全等级保护要求中,第3.1级相比第2级在人员安全管理的人员离岗上还要求(C)。
A、应规范人员离岗过程,及时终止离岗员工的所有访问权限 B、对于离岗人员,应禁止其从计算机终端上拷贝数据 C、关键岗位人员离岗须承诺调离后的保密义务后方可离开 D、对于离岗人员,应办理严格的调离手续
126.谁对信息资产的分类负有首要的责任?(D)A、用户
B、高级管理层 C、职能部门经理 D、数据所有者
127.下面关于什么是安全策略描述正确的是(B)
A、建立了整个组织机构内所需的最低级别的安全。
B、是信息安全的高层文件,它包含了管理层对信息安全在组织机构中所扮演的角色的整体描述和要求。
C、是一系列规则,这些规则制定了员工在其业务位置上应该和不应该做什么、使用哪些设备以及各种产品的可接受软件配置等
D、是为实现一个特定任务要采取的详细的、文档化的、步骤化的活动。
128.信息安全管理同其他管理问题一样,首先要解决、和 这三方面的问题。(A)A、组织、制度、人员 B、人员、技术、操作 C、威胁、风险、资产 D、工程、风险、人员
129.风险控制的方式主要有规避、转移、降低三种,其中的风险规避是指(B)
A、通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险 B、通过不使用面临风险的资产来避免风险
C、通过对面临风险的资产采取保护措施来降低风险 D、以上都不对
130.访问控制以其不同的实现方法可以分为若干种类,Windows系统的访问控制是(D)。
A、基于进程的访问控制 B、基于文件的访问控制 C、基于任务的访问控制 D、基于对象的访问控制
131.Microsoft 基准安全分析器(MBSA)是一个易于使用的工具,可帮助中小型企业根据Microsoft安全建议评估其安全性,当使用多台计算机模式进行扫描时,禁用以下哪个安全选项会对MBSA的工作造成影响?(C)A、网络访问:可匿名访问的命名管道
B、网络访问:允许为网络身份验证储存凭据或.NET Passports C、网络访问:可远程访问的注册表路径和子路径 D、网络访问:可匿名访问的共享
132.在Apache的配置文件httpd.conf有如下的配置,说明(C)。
C、所有主机都将被允许,除了那些来自 aaa.com 域的主机 D、所有主机都将被禁止,除了那些来自 aaa.com 域的主机 133.Unix系统中使用下面的find命令,可以实现的功能是查找(B)。
find /-type f(-perm-4000-o-perm –2000)-exec ls-lg {};A、所有SUID文件
B、所有SUID或者SGID文件 C、所有SGID文件
D、所有SUID以及SGID文件
134.Linux2.6版的内核中集成了(A),使Linux的安全性大幅度提高。
A、SELinux B、Netfilter C、Iptables D、TCPWrappers
135.下面不属于木马特征的是(C)
A.自动更换文件名,难于被发现 B.程序执行时不占太多系统资源
C.造成缓冲区的溢出,破坏程序的堆栈
D.不需要服务端用户的允许就能获得系统的使用权 136.攻击者截获并记录了从A到B的数据,然后又从早些时候所截获的数据中提取出信息重新发往B称为(B)。A.中间人攻击
B.回放攻击
C.强力攻击
D.口令猜测器和字典攻击
137.下列哪个平台经常被用来进行无线网络的破解(B)A.Windows7 B.BT5 C.android D.iOS 138.暴力破解Unix系统账户的工具是(C)A.LC5 B.X-Scan C.John D.AppScan
139.Windows NT 系统能设置为在几次无效登录后锁定帐号,这可以防止(C)
A、木马;
B、IP欺骗;
C、暴力攻击;
D、缓存溢出攻击
140.以下哪种攻击方式,可以称为CC攻击(B)
A、synflood B、http flood C、smurf D、TearDrop
141.以下哪些内容是工信部保[2009]224号《关于开展通信网络安全检查工作的通知》所关注检查的重点内容包括(ABCD)A、远程维护管控措施 B、用户个人信息保护措施 C、第三方安全服务管控措施
D、涉及国庆重大活动网络单元的安全防护情况
142.工信部保函[2012]102号《关于开展2012年度通信网络安全防护检查工作的通知》检查的主要内容包括:(ABCD)
A、网络安全防护责任制和相关制度、机制、预案的建立与落实情况 B、2011年检查发现的重大安全隐患和风险的整改情况 C、网络单元仍然存在的薄弱环节、重大安全隐患和风险
D、网络单元防攻击、防入侵、防病毒以及备份、监测、应急、用户信息保护等措施的落实情况;
143.以下关于风险评估中,风险要素及属性之间存在关系表述正确的是(ABCD)A、业务战略依赖资产去实现
B、风险的存在及对风险的认识导出安全需求 C、资产价值越大则其面临的风险越大
D、资产是有价值的,组织的业务战略对资产的依赖度越高,资产价值就越大 144.在风险评估过程中,为保证风险评估的顺利完成,应该遵循以下哪些原则(ABCDE)A、标准性原则 B、可控性原则 C、完备性原则 D、保密原则 E、最小影响原则
145.以下哪些是脆弱性识别所采用的主要方法(ABCDE)A、问卷调查 B、文档查阅 C、人工核查 D、工具检测 E、渗透性测试等
146.以下哪些是灾难备份及恢复实施资源要素(ABCD)A、备份数据 B、灾难恢复预案
C、人员和技术支持能力
D、冗余系统、冗余设备及冗余链路
147.《关于电信网络等级保护工作有关问题的通知》(信电函[2006]35号)中指出,电信网络具有全程全网的特点,因此(BCD)。A、基础网络和重要信息系统分开实施技术保护 B、按照国家制定的有关标准和要求进行 C、由电信网络的主管部门统一部署实施 D、落实保护措施必须要对整个网络统筹监顾 148.根据《关于电信系统信息安全等级保护工作有关问题的意见》(信安通[2007]14号),以下说法中不正确的是(AB)
A、电信系统的信息安全等级保护定级的备案工作由国家、省级、地市级电信企事业单位自行向同级公安机关进行备案
B、地市以下电信企事业单位的信息系统由地市电信管理部门统一向同级公安机关备案 C、各地部具有全程全网性质的信息系统,如本地网站、管理和办公系统等,仍按《信息安全等级保护管理办法》执行
D、开展针对各地全程全网性质的电信网络的信息安全等级保护检查时,应当会同电信主管部门共同进行
149.《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中,关于定级结果评审的有关要求,以下不正确的是(BD)。
A、对于经集团公司审核后,安全保护等级拟定为第3级及以上级别的定级对象,应由集团公司将定级报告(电子版)报送信息产业部电信网络安全防护专家组评审,B、安全保护等级拟定为第3级及以上级别的定级对象,应由信息产业部电信网络安全防护专家组确定定级对象的安全保护等级
C、当专家组评审意见与电信运营企业的意见达不成一致时,应选择双方建议级别中较高的级别作为最终确定的级别
D、当专家组评审意见与电信运营企业的意见达不成一致时,应选择电信网络安全防护专家组确定的安全保护等级
150.《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中要求,定级对象的管理主体为(AD): A、省级公司 B、地市级公司 C、电信监管部门 D、集团公司
151.《YD/T 1729-2008 电信网和互联网安全等级保护实施指南》中指出,电信网和互联网安全防护工作的范围包括(BCD)。
A、非经营性的互联网信息服务单位、移动信息服务单位等 B、支撑和管理公众电信网和电信业务的业务单元和控制单元
C、企业办公系统、客服呼叫中心、企业门户网站等非核心生产单元
D、网络和业务运营商运营的传输、承载各类电信业务的公众电信网及其组成部分 152.电信网和互联网安全等级保护的定级过程中,对社会影响力进行赋值时,以下说法正确的是(ABD)。A、先确定对国家安全的损害程度
B、再确定对社会秩序、经济运行和公共利益的损害程度
C、是对国家安全、社会秩序、经济运行和公共利益的损害程度的平均值 D、是对国家安全、社会秩序、经济运行和公共利益的损害程度最严重者
153.电信网和互联网安全等级保护的实施过程中要遵循多种原则,以下说法中不正确的是(BD)。
A、依据国家和通信行业相关标准对电信网和互联网及相关系统自主实施安全保护 B、对电信网和互联网及相关系统进行新建时,应当同步规划和设计安全方案,改建和扩建系统受到条件限制,可以暂时不考虑安全保护要求,待条件成熟时统一实施
C、对电信网和互联网及相关系统划分不同的安全等级,根据基本保护要求实现不同程度的安全保护
D、根据对电信网和互联网及相关系统的变化情况调整其安全等级,并在系统升级时按照调整后的安全等级进行安全保护措施
154.电信网和互联网管理安全等级保护要求中,第2级的安全运维管理在若干方面进行了要求,其中不包括(A)。A、监控管理 B、密码管理 C、变更管理 D、应急预案管理
155.电信网和互联网安全等级保护工作中,实施安全等级保护的安全运维阶段需要进行的控制活动很多,主要包括(AC)。A、运行管理和控制 B、周期性的安全审计 C、变更管理和控制 D、入侵检测和响应
156.在建设和完善信息安全管理体系的过程中,我们关注信息安全管理的要求,下面哪几个是信息安全管理要求的来源(ABD)A.在综合考虑了组织结构整体战略和目标情况下,评估组织机构风险所获得的
B.信息安全的外部环境要求,这包括国家/信息安全主管机构/上级主管机构等制定的信息安全相关的政策、法律法规和行政要求,以及组织机构所处的社会文化环境 C.信息安全风险评估
D.组织机构内部的要求,这包括组织机构市民和业务运行相关的原则、目标和标准规范等
157.以下哪种控制措施不属于预防性的管理控制措施?(D)A.胸卡
B.生物技术
C.岗位轮换
D.入侵检测日志
158.在进行信息安全管理的过程中,、和 是三个关键层次(ACD)。A、安全管理体系 B、资产管理 C、风险管理
D、安全管理控制措施
159.目前,国际上主流的信息系统管理体系的标准有哪些:(BCD)A、美国的NIST SP 800系列 B、美国的萨班斯法案
C、ISO/IEC的国际标准27000系列 D、我国的信息安全等级保护制度
160.我国信息安全等级保护的内容包括______。(BCD)A.对信息安全从业人员实行按等级管理
B.对信息系统中使用的信息安全产品实行按等级管理
C.对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护
D.对信息系统中发生的信息安全事件按照等级进行响应和处置
E.对信息安全违反行为实行按等级惩处
161.Windows系统的访问控制包括(BD)。
A、对数据对象的访问,通过对象的访问控制列表来控制 B、对文件或文件夹的访问,通过用户和组策略来控制 C、对硬件资源的访问,通过给进程颁发访问令牌来控制 D、对计算机的访问,通过账号密码的组合及物理限制来控制
162.Windows NT可以达到C2级别的安全性,说明它可以做到(ABCDE)。A、自主访问控制(DAC)B、安全指令集
C、强制的用户标识和认证
D、对象的重用(Object Reuse)E、可记账性和审核
163.Unix文件系统安全就是基于i-node节点中的(ACD)关键信息。A、模式 B、权限 C、GID D、UID 164.在Linux的/etc/shadow文件中有下面一行内容,从中无法看出(AC smith:!:14475:3:90:5::: A、用户smith被禁止登录系统
B、用户smith每隔90天必须更换口令
C、口令到期时,系统会提前3天对用户smith进行提醒
D、更换了新口令之后,用户smith不能在3天内再次更换口令
165.关于Unix系统中的守护进程,以下说法中不正确的是(D)。A、是在后台运行而无终端或者登录shell和它结合在一起的进程
B、独立于控制终端并且周期性的执行某种任务或等待处理某些发生的事件 C、大多数服务器都是用守护进程实现的
D、在用户请求服务时启动,在服务结束时终止 166.指出下列关于计算机病毒的正确论述(ABDEF)。
A、计算机病毒是人为地编制出来、可在计算机上运行的程序 B、计算机病毒具有寄生于其他程序或文档的特点 C、只有计算机病毒发作时才能检查出来并加以消除
D、计算机病毒在执行过程中,可自我复制或制造自身的变种 E、计算机病毒只要人们不去执行它,就无法发挥其破坏作用 F、计算机病毒具有潜伏性,仅在一些特定的条件下才发作 167.关于WEP和WPA加密方式的说法中正确的有(BD)A.802.11b协议中首次提出WPA加密方式 B.802.11i协议中首次提出WPA加密方式
C.采用WEP加密方式,只要设置足够复杂的口令就可以避免被破解 D.WEP口令无论多么复杂,都很容易遭到破解 168.无线网络的拒绝服务攻击模式有(BCD)A.伪信号攻击 B.Land攻击
C.身份验证洪水攻击 D.取消验证洪水攻击
169.下面不属于嗅探类工具的有(D)A.SnifferPro B.WireShark
。)C.Cain D.X-Way 170.字典生成器可以生成的密码种类有(ABCD)A.生日 B.手机号码 C.身份证号 D.中文姓名拼音
171.下面关于sql注入语句的解释,正确的是(ABCD)
A、“And 1=1” 配合“and 1=2”常用来判断url中是否存在注入漏洞 B、and exists(select * from 表名)常用来猜解表名
C、and exists(select 字段名 from 表明)常用来猜解数据库表的字段名称
D、猜解表名和字段名,需要运气,但只要猜解出了数据库的表名和字段名,里面的内容就100%能够猜解到
172.关于XSS跨站脚本攻击,下列说法正确的有(ABCD)A、跨站脚本攻击,分为反射型和存储型两种类型
B、XSS攻击,一共涉及到三方,即攻击者、客户端与网站。C、XSS攻击,最常用的攻击方式就是通过脚本盗取用户端cookie,从而进一步进行攻击 D、XSS(cross site scripting)跨站脚本,是一种迫使Web站点回显可执行代码的攻击技术,而这些可执行代码由攻击者提供、最终为用户浏览器加载。173.下面关于跨站请求伪造,说法正确的是(ABD)
A、攻击者必须伪造一个已经预测好请求参数的操作数据包
B、对于Get方法请求,URL即包含了请求的参数,因此伪造get请求,直接用url即可
C、因为POST请求伪造难度大,因此,采用post方法,可以一定程度预防CSRF D、对于post方法的请求,因为请求的参数是在数据体中,目前可以用ajax技术支持伪造post请求
174.以下哪些方法可以预防路径遍历漏洞(ABCD)A、在unix中使用chrooted文件系统防止路径向上回朔 B、程序使用一个硬编码,被允许访问的文件类型列表 C、对用户提交的文件名进行相关解码与规范化
D、使用相应的函数如(java)getCanonicalPath方法检查访问的文件是否位于应用程序指定的起始位置
175.查杀木马,应该从哪些方面下手(ABCD)A、寻找并结束木马进程 B、打漏洞补丁
C、寻找木马病毒文件
D、寻找木马写入的注册表项
176.下面关于cookie和session说法正确的是(ABCD)
A、只要将cookie设置为httponly属性,脚本语言,就无法再盗取cookie内容了 B、cookie可以通过脚本语言,轻松从客户端读取
C、针对cookie的攻击,攻击者往往结合XSS,盗取cookie,获得敏感信息或进行重放攻击
D、cookie往往用来设计存储用户的认证凭证信息,因此cookie的安全,关系到认证的安全问题。
177.对于SQL注入攻击的防御,可以采取哪些措施(ABCD)A、不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。B、不要把机密信息直接存放,加密或者hash掉密码和敏感的信息
C、不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取
D、对表单里的数据进行验证与过滤,在实际开发过程中可以单独列一个验证函数,该函数把每个要过滤的关键词如select,1=1等都列出来,然后每个表单提交时都调用这个函数
178.下列关于预防重放攻击的方法,正确的是(ABD)
A、预防重放攻击,可以采用时间戳、序列号、提问-应答等思想实现
B、序列号的基本思想:通信双方通过消息中的序列号来判断消息的新鲜性,要求通信双方必须事先协商一个初始序列号,并协商递增方法
C、时间戳基本思想──A接收一个消息当且仅当其包含一个对A而言足够接近当前时刻的时戳,只需设定消息接收的时间范围,需关注通信双方时间的同步
D、提问应答思想是:期望从B获得消息的A 事先发给B一个现时N,并要求B应答的消息中包含N或f(N),f是A、B预先约定的简单函数,A通过B回复的N或f(N)与自己发出是否一致来判定本次消息是不是重放的
179.是包过滤防火墙主要工作于哪一层次(C)
A.应用层 B.会话层 C.网络层/传输层
D.链路层/网络层
180.以下对防火墙的描述不正确的是(C)A.防火墙能够对网络访问进行记录和统计 B.防火墙能够隐藏内部网络结构细节 C.能够防止来源于内部的威胁和攻击
D.能根据据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流
181.《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中指出,对于确定为第2级及以上级别的定级对象,电信运营企业应向电信监管部门办理备案,以下说法中不正确的是(ABD)。
A、备案工作由集团公司、省级公司和地市级公司进行
B、每个第3级及以上级别的定级对象均需填写一份备案信息表 C、备案信息表中要明确定级对象的所属公司名称(管理主体)D、每个第3级及以上级别的定级对象在备案时均需提交定级报告
182.电信网和互联网及相关系统的安全等级划分中,第3.2级的保护方法是:(B)
A、由网络和业务运营商依据国家和通信行业有关标准进行保护
B、由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行重点监督、检查
C、由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行监督、检查
D、由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行指导 183.确定定级对象安全等级的定级要素包括(BCD)。
A、经济价值 B、社会影响力 C、规模和服务范围 D、所提供服务的重要性
184.电信网和互联网管理安全等级保护要求中,下面哪一项是安全运维管理的应急预案管理在第2级就要求的?(D)
A、应规定应急预案需要定期审查和根据实际情况更新的内容,并按照执行
B、应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障 C、应定期对应急预案进行演练,根据不同的应急恢复内容,确定演练的周期 D、应对相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次 185.《通信网络安全防护范围管理办法》的防护范围是(A)
A.电信业务经营者和互联网域名服务提供者管理和运行的公用通信网和互联网 B.三级及三级以上的通信网络
C.在我国境内运行的通信骨干网、汇聚网和接入网 D.电信运营商的骨干通信网络 186.违反工信部11号令相关规定的,由电信管理机构依据职权责令改正,拒不改正的(C)
A.给予警告,并处五千元以上十万元以下的罚款 B.给予警告,并处五千元以上五万元以下的罚款 C.给予警告,并处五千元以上三万元以下的罚款 D.给予警告,并处五千元以上五十万元以下的罚款
187.下列不符合电信运营企业选择安全服务机构进行电信网络的安全评测和风险评估条件的是:(B)
A.在中华人民共和国境内注册成立(港澳台地区除外)B.刚开始开展电信网络安全保障服务业务 C.相关工作人员是中国公民
D.由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外)188.什么是安全策略?(B)
A、是一系列规则,这些规则制定了员工在其业务位置上应该和不应该做什么、使用哪些设备以及各种产品的可接受软件配置等。
B、是信息安全的高层文件,它包含了管理层对信息安全在组织机构中所扮演的角色的整体描述和要求。
C、建立了整个组织机构内所需的最低级别的安全
D、是为实现一个特定任务要采取的详细的、文档化的、步骤化的活动。
189.信息安全管理同其他管理问题一样,首先要解决、和 这三方面的问题。(D)
A、人员、技术、操作 B、威胁、风险、资产 C、工程、风险、人员 D、组织、制度、人员
190.以下哪些不是安全风险评估实施流程中所涉及的关键部分(A)
A、网络安全整改、B、资产识别、脆弱性识别、威胁识别 C、已有安全措施确认,风险分析 D、风险评估准备
191.针对一个网络进行网络安全的边界保护可以使用下面的哪些产品组合(B)
A、防火墙、入侵检测、密码 B、防火墙、入侵检测、防病毒 C、身份鉴别、入侵检测、内容过滤 D、防火墙、入侵检测、PKI 192.传统的观点,根据入侵行为的属性,将入侵检测系统按检测方法分为(A)
A.异常检测、误用检测
B.误用检测、遗传
C.人工免疫、遗传
D.异常检测、人工免疫
193.Windows系统管理员如果想允许一个普通用户能够使用远程桌面连接登录到计算机,则应当(C)。
A、将他加入Administrators组
B、启用安全选项“网络访问:可匿名访问的终端服务” C、将他加入Remote Desktop Users组
D、启用安全选项“网络访问:可远程访问的终端服务” 194.Linux系统中使用更安全的xinetd服务代替inetd服务,例如可以在/etc/xinetd.conf文件的”default {}”块中加入(B)行以限制只有C类网段192.168.1.0 可以访问本机的xinetd服务。A、allow=192.168.1.0/24 B、only_from=192.168.1.0/24 C、permit=192.168.1.0/24 D、hosts=192.168.1.0/24 195.以下关于数据库安全的说法错误的是?(D)
A.数据库系统的安全性很大程度上依赖于DBMS的安全机制
B.许多数据库系统在操作系统下以文件形式进行管理,因此利用操作系统漏洞可以窃取数据库文件
C.数据库的安全需要在网络系统、操作系统和数据库管理系统三个方面进行保护 D.为了防止数据库中的信息被盗取,在操作系统层次对文件进行加密是唯一从根本上解决问题的手段
196.下列哪种病毒能对计算机硬件产生破坏?(C)
A.维金
B.CODE RED C. CIH D.熊猫烧香
197.下列对于蠕虫病毒的描述错误的是:(B)
A.蠕虫的传播无需用户操作
B.蠕虫的传播需要通过“宿主”程序或文件 C.蠕虫会消耗内存或网络带宽,导致DOS D.蠕虫程序一般由“传播模块”、“隐藏模块”和“目的功能模块”构成 198.下列哪一项是DOS攻击的一个实例?(B)
A.SQL注入 B.Smurf攻击 C.IP Spoof D.字典破解
199.以下哪一项是防范SQL注入攻击最有效的手段?(C)
A.删除存在注入点的网页
B.对数据库系统的管理权限进行严格的控制 C.对web用户输入的数据进行严格的过滤
D.通过网络防火墙严格限制Internet用户对web服务器的访问 200.下列对跨站脚本攻击(XSS)的解释最准确的一项是:(B)
A.引诱用户点击虚假网络链接的一种攻击方法
B.将恶意代码嵌入到用户浏览的web网页中,从而达到恶意的目的 C.一种很强大的木马攻击手段
D.构造精妙的关系数据库的结构化查询语言对数据库进行非法的访问 201.《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中规定的定级结果备案方式为(CD)。
A、采用纸质文档方式将有关材料报送相应电信监管部门 B、电子文档应具有电信运营企业的电子签名 C、纸质材料应加盖单位公章
D、采用电子文档和纸质文档两种方式将有关材料报送相应电信监管部门 202.《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中对于定级对象的审核,规定如下(ABC):
A、由电信运营企业集团公司负责管理的定级对象,由信息产业部负责审核
B、由电信运营企业省级公司负责管理的定级对象,由当地通信管理局负责审核 C、主要审核相关材料是否齐备以及有关流程是否符合规定等
D、电信运营企业集团公司和省级公司负责管理的定级对象,都由信息产业部负责审核 203.电信网和互联网安全等级保护的定级过程中,需要独立考虑3个定级要素,以下哪些事项不属于损害经济运行的事项?(CD)A、直接导致国家经济活动主体的经济损失 B、间接导致国家经济活动主体的经济损失 C、直接导致社会公众的经济损失 D、间接导致社会公众的经济损失
204.电信网和互联网安全等级保护的定级要素中,定级对象所提供服务的重要性可以从服务本身的重要性来衡量,例如(ABD)。A、业务的重要性 B、业务的经济价值
C、使用该服务的用户数量 D、对企业自身形象的影响
205.电信网和互联网安全等级保护工作中,实施安全等级保护的安全等级确定阶段包括(ACD)等几个主要活动。A、对电信网和互联网的识别和描述 B、专家测评 C、评审和备案
D、定级对象的划分以及安全等级确定
206.《YD/T 1756-2008 电信网和互联网安全等级保护要求》中,在安全管理制度方面,从(BCD)方面做出了要求。A、培训和学习B、制定和发布 C、评审和修订 D、管理制度
207.电信网和互联网管理安全等级保护要求中,第2级在安全管理机构的岗位设置上要求设立(ABC)岗位。A、系统管理员 B、网络管理员 C、安全管理员 D、安全审计员
208.电信网和互联网管理安全等级保护要求中,第2级在人员安全管理的人员离岗上要求(BCD)。
A、对于离岗人员,应禁止其从计算机终端上拷贝数据
B、应规范人员离岗过程,及时终止离岗员工的所有访问权限 C、对于离岗人员,应办理严格的调离手续
D、对于离岗人员,应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备 209.电信网和互联网管理安全等级保护要求中,备份与恢复管理中要求要制定数据的备份策略,其中应指明(ABCD)。A、将数据离站运输的方法 B、备份数据的放置场所 C、文件命名规则 D、介质替换频率
E、需要备份的重要业务信息、系统数据及软件系统等 210.电信网和互联网管理安全等级保护要求中,第3.1级相比第2级在安全管理机构的岗位设置上还要求设立(BD)。A、安全审计人员
B、安全管理工作的职能部门 C、安全监控人员
D、指导和管理安全工作的委员会或领导小组
211.工信部11号令中,网络安全防护工作是指为为防止(ABCD)而开展的工作
A.通信网络被非法控制
B.通信网络阻塞、中断、瘫痪
C.通信网络中传输、存储、处理的数据信息丢失
D.通信网络中传输、存储、处理的数据泄露或者被篡改 212.电信网络定级的步骤包括(BCD)
A.定级结果的调整
B.安全等级的划分
C.安全等级的确定
D.电信网络的划分
213.电信网络安全评测的监督检查内容主要包括:(ABCD)
A.安全评测实施方法是否符合国家和信息产业部制定的相关标准或实施指南 B.定级对象的备案信息是否与实际情况相符
C.第三方安全评测服务机构的选择是否符合有关规定
D.对定级对象实施的技术、管理、灾难备份等安全保护措施是否符合国家和信息产业部制定的相关标准
214.原则上在以下情况时应当组织开展风险评估:(BCD)
A.定级对象发生合并或拆分后 B.发现新的严重安全隐患 C.出现新的重大威胁
D.国家召开重要会议或举办重大活动之前 215.在信息安全管理的沟通协作方面,要建立和维护内部与外部组织机构的有效沟通与协作机制,其中,与外部机构的协作包括:(ABD)
A、在信息安全法律法规方面服从信息安全有关执法机构的管理和指导 B、保持与相关服务方(如电信运营商等)的有效沟通与协作 C、审核信息安全事故,并采取适当的行动
D、应建立有效的信息获取和更新渠道,以跟上信息安全的最新发展
216.目前,我国在对信息系统进行安全等级保护时,划分的级别包括______。(ABCDE)A.监督保护级
B.强制保护级
C.专控保护级
D.指导保护级
E.自主保护级
217.安全脆弱性,是指安全性漏洞,广泛存在于______。(ACE)A.协议设计过程
B.审计检查过程 C.运行维护过程
D.安全评估过程
E.系统实现过程
218.下列______因素与资产价值评估有关。(ADE)A.购买资产发生的费用
B.人工费用
C.软硬件费用
D.运行维护资产所需成本
E.资产被破坏所造成的损失
219.当我们识别威胁时,需要从、、等方面来了解和认识威胁。(ACD)
A、威胁的主体 B、威胁作用的对象 C、威胁主体的动机
D、威胁所需的资源和能力
220.防火墙发展主要经历有哪几代(ABD)
A、包过滤防火墙 B、应用代理防火墙 C、攻击检测防火墙 D、状态检测防火墙
221.状态检测防火墙与包过滤防火墙相比其优点是(AD)
A、配置简单 B、更安全
C、对应用层检测较细致 D、检测效率大大提高
222.在直接连接到Internet的Windows系统中,应当强化TCP/IP堆栈的安全性以防范DoS攻击,设置以下注册表值有助于防范针对TCP/IP堆栈的DoS攻击:(ABCD)。A、EnableDeadGWDetect B、SynAttackProtect C、EnablePMTUDiscovery D、PerformRouterDiscovery
223.Unix系统中使用/etc/group文件来记录组信息,关于该文件的描述不正确的是(CD)。
A、文件中每个用户组一条记录,包括组名称、GID、组密码和用户列表4个字段 B、组密码也采用影子口令方式存储
C、设定用户组密码需要使用命令gpasswd,该命令只有root用户有执行权限 D、用户列表中最少会显示一个用户,就是该组的同名用户
224.Linux系统中使用更安全的xinetd服务代替inetd服务,在/etc/xinetd.conf文件的”default {}”块对参数(ACD)进行限制,以防范DoS攻击。A、instances B、mdns C、cps
D、per_source
225.Linux的Netfilter防火墙功能强大,下面的命令实现的防火墙功能是(BCD)。
iptables-P FORWARD DROP iptables-A FORWARD-i eth0-p ANY-j ACCEPT iptables-A FORWARD-d 10.1.1.2-p tcp--dport 22-j ACCEPT A、允许从IP地址10.1.1.2来的SSH连接通过防火墙 B、允许来自eth0接口的所有连接通过防火墙 C、允许去往10.1.1.2主机的SSH连接通过防火墙 D、除此之外的所有连接都将被拒绝
226.关于文件和文件夹的NTFS继承权限的说法中不正确的是(BD)。
A、文件和子文件夹自动从其父文件夹继承权限
B、如果不需要文件和子文件夹从其父文件夹继承权限,只能由管理员分别手工调整文件和子文件夹的权限
C、继承权限使用户难于直观判断对象最终的NTFS权限值 D、继承权限增加了Windows系统的管理复杂度 227.关于cookie和session说法不正确的是(BD)
A、session机制是在服务器端存储
B、Cookie虽然在客户端存储,但是一般都是采用加密存储,即使cookie泄露,只要保证攻击者无法解密cookie,就不用担心由此带来的安全威胁 C、SessionID是服务器用来识别不同会话的标识
D、我们访问一些站点,可以选择自己喜好的色调,之后每次登录网站,都是我们选择的色调,这个是靠session技术实现的。
228.关于注入攻击,下列说法不正确的是(D)
A、注入攻击发生在当不可信的数据作为命令或者查询语句的一部分,被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或者访问未被授权的数据 B、常见的注入攻击有SQL注入,OS命令注入、LDAP注入以及xpath等
C、SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,从而得到黑客所需的信息 D、SQL注入主要针对数据库类型为MS SQL server和mysql,采用oracle数据库,可以有效减少SQL注入威胁
229.Web身份认证漏洞,严重影响web的安全,其漏洞主要体现在以下哪些方面(ABCD)
A、存储认证凭证直接采用hash方式
B、认证凭证是否可猜测,认证凭证生成规律性强。
C、内部或外部攻击者进入系统的密码数据库存储在数据库中的用户密码没有被加密, 所有用户的密码都被攻击者获得
D、能够通过薄弱的的帐户管理功能(例如账户创建、密码修改、密码恢复, 弱口令)重写
230.下列对于路径遍历漏洞说法正确的是(BCD)
A、路径遍历漏洞的威胁在于web根目录所在的分区,无法跨越分区读取文件。B、通过任意更改文件名,而服务器支持“~/”,“/..”等特殊符号的目录回溯,从而使攻击者越权访问或者覆盖敏感数据,就是路径遍历漏洞
C、路径遍历漏洞主要是存在于Web应用程序的文件读取交互的功能块
D、URL,http://127.0.0.1/getfile=image.jgp,当服务器处理传送过来的image.jpg文件名后,Web应用程序即会自动添加完整路径,形如“d://site/images/image.jpg”,将读取的内容返回给访问者
231.下列关于木马说法不正确的是(B)
A、木马是典型的后门程序
B、木马分为客户端和服务器端,感染用户的是木马客户端 C、木马在主机运行,一般不会占用主机的资源,因此难于发现 D、大多数木马采用反向连接技术,可以绕过防火墙。232.关于HTTP协议,以下哪些字段内容是包含在http响应头(response headers)中(BC)
A、accept: B、Server: C、Set-Cookie: D、Refere : 233.下列对于Rootkit技术的解释准确的是:(BCD)
A.Rootkit是一种危害大、传播范围广的蠕虫
B.Rootkit是攻击者用来隐藏自己和保留对系统的访问权限的一组工具 C.Rootkit和系统底层技术结合十分紧密
D.Rootkit的工作机制是定位和修改系统的特定数据,改变系统的正常操作流程 234.以下哪些方法,可以有效防御CSRF带来的威胁(ABCD)
A、使用图片验证码。
B、要求所有POST请求都包含一个伪随机值
C、只允许GET请求检索数据,但是不允许它修改服务器上的任何数据 D、使用多重验证,例如手机验证码
235.以下哪些方法对防范SQL注入攻击无效?(C)
A.采用参数化查询方式,进行开发
B.对数据库系统的管理权限进行严格的控制
C.通过网络防火墙严格限制Internet用户对web服务器的访问 D.对web用户输入的数据进行严格的过滤
236.以下哪些技术,可以增加木马的存活性(ABCD)
A. 三线程技术 B、进程注入技术 C、端口复用技术 D、拒绝服务攻击技术
237.下面关于HTTP请求说法正确的是(ABCD)
A、HTTp是一个请求回应协议,每一个会话都包含一个请求和回应。
B、HTTP的请求方法包含GET, POST, HEAD, OPTIONS, PUT, DELETE, 和 TRACE等 C、HTTP是无连接的协议,每个请求都是单独的会话,因此无法在一个会话中完成多个http连续动作
D、TRACE方法可以在某些情况下成功窃取合法用户的凭证,它可以绕过HTTPOnly标记 238.以下哪些设别,可以传递arp广播帧(ACD)
A.网桥
B.路由器
C.以太网交换机
D.集线器
239.关于IDS和IPS两种设备,下列说法正确的有(ABC)
A、IDS是内网防护设备,而IPS是网关防护设备
B、IPS可以旁路部署,如果不考虑阻断功能,可以取代IDS设备 C、IDS和IPS的检测攻击的原理是一样的
D、IPS是IDS的发展趋势,将来会取代IDS设备 240.以下哪些是web常见中间件(ACD)
A、Tomcat B、Informix C、Weblogic D、Webshpere 241.在以下哪类场景中,移动用户不需要安装额外功能(L2TP)的VPDN软件?()
A.基于NAS发起的L2TP VPN B.基于LNS发起的L2TP VPN C.基于用户发起的L2TP VPN D.以上都是 正确答案:A ;
242.在Oracle中,用ALTER将scott的口令改为hello,下列哪个是正确的?()
A.ALTER USER scott IDENTIFIED AS hello B.ALTER scott USER IDENTIFIED BY hello C.ALTER USER scott IDENTIFIED BY hello D.ALTER USER hello IDENTIFIED BY scott; 正确答案:C;
243.下列除了()以外,都是计算机病毒传播的途径
A.通过电子邮件传播 B.通过U盘接触传播 C.通过网络传播
D.通过操作员接触传播 正确答案:D 244.在安全策略的重要组成部分中,与IDS相比,IPS的主要优势在哪里?()
A.产生日志的数量 B.较低的价格 C.攻击减少的速度 D.假阳性的减少量 正确答案:C ;
245.在大多数情况下,病毒侵入计算机系统以后,()
A.病毒程序将立即破坏整个计算机软件系统 B.计算机系统将立即不能执行我们的各项任务
C.一般并不立即发作,等到满足某种条件的时候,才会出来活动捣乱、破坏 D.病毒程序将迅速损坏计算机的键盘、鼠标等操作部件 正确答案:C;
246.下面哪一项最好地描述了风险分析的目的?()
A.识别用于保护资产的责任义务和规章制度 B.识别资产、脆弱性并计算潜在的风险
C.识别资产以及保护资产所使用的技术控制措施 D.识别同责任义务有直接关系的威胁 正确答案:B;
247.在NT中,怎样使用注册表编辑器来严格限制对注册表的访问?()
A.HKEY_USERS,浏览用户的轮廓目录,选择NTUser.dat B.HKEY_LOCAL_MACHINE,浏览用户的轮廓目录,选择NTUser.dat C.HKEY_CURRENT_CONFIG,连接网络注册、登陆密码、插入用户ID D.HKEY_USERS,连接网络注册、登陆密码、插入用户ID 正确答案:A;
248.下列哪种方法不能有效的防范SQL注入攻击?()
A.对来自客户端的输入进行完备的输入检查 B.使用SiteKey技术
C.把SQL语句替换为存储过程、预编译语句或者使用ADO命令对象 D.关掉数据库服务器或者不使用数据库 正确答案:B;
249.Code Red爆发于2001年7月,利用微软的IIS漏洞在Web服务器之间传播。针对这一漏洞,微软早在2001年三月就发布了相关的补丁。如果今天服务器仍然感染Code Red,那么属于哪个阶段的问题?()
A.微软公司软件的实现阶段的失误 B.微软公司软件的设计阶段的失误 C.最终用户使用阶段的失误 D.系统管理员维护阶段的失误 正确答案:D;
250.一般来说,通过Web运行httpd服务的子进程时,我们会选择()的用户权限方式,这样可以保证系统的安全。A.root B.httpd C.nobody D.guest 正确答案:C;
251.下列哪种攻击不是针对统计数据库的?()
A.资源解析攻击 B.中值攻击 C.跟踪器攻击
D.小查询集和大查询集攻击 正确答案:A;
252.以下哪些软件是用于加密的软件?()
A.DES B.SHA C.EFS D.PGP 正确答案:D;
253.以下哪项是SYN变种攻击经常用到的工具?()
A.sessionIE B.TFN C.synkill D.Webscan 正确答案:C;
254.为了检测 Windows系统是否有木马入侵,可以先通过()命令来查看当前的活动连接端口
A.ipconfig B.netstat-an C.tracert-d D.netstat-rn 正确答案:B;
255.关于PPP协议下列说法正确的是:()
A.PPP协议是物理层协议
B.PPP协议支持的物理层可以是同步电路或异步电路 C.PPP协议是在HDLC协议的基础上发展起来的
D.PPP主要由两类协议组成:链路控制协议族(LCP)和网络安全方面的验证协议族(PAP和CHAP)正确答案:B;
256.无论是哪一种Web 服务器,都会受到HTTP 协议本身安全问题的困扰,这样的信息系统安全漏洞属于:()A.运行型漏洞 B.开发型漏洞 C.设计型漏洞 D.以上都不是 正确答案:A;
257.用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段?()
A.缓存溢出攻击 B.DDoS攻击 C.暗门攻击 D.钓鱼攻击;正确答案:D;
258.对于日常维护工作,连接路由器的协议通常使用:()
A.TELNET,简单,容易配置
B.TELNET配置16位长的密码,加密传输,十分安全 C.SSH & SSHv2,加密算法强劲,安全性好 正确答案:C;
259.Oracle当连接远程数据库或其它服务时,可以指定网络服务名,Oracle 9i 支持5 种命名方法,请选择错误的选项。()A.本地命名和目录命名 B.DNS和内部命名 C.主机命名和外部命名
D.Oracle 名称(Oracle Names)正确答案:B;
260.以下哪些是web常见中间件(ACD)
A、Tomcat B、Informix C、Weblogic D、Webshpere 261.以下哪些是web常见中间件(ACD)
A、Tomcat B、Informix C、Weblogic D、Webshpere 262.以下哪一项不是流氓软件的特征?()
A.通常会显示下流的言论
B.通常添加驱动保护使用户难以卸载
C.通常会启动无用的程序浪费计算机的资源
D.通常通过诱骗或和其他软件捆绑在用户不知情的情况下安装 正确答案:A ;
263.与另一台机器建立IPC$会话连接的命令是()
A.net user 192.168.0.1IPC$ B.net use 192.168.0.1IPC$ C.net user 192.168.0.1IPC$ D.net use 192.168.0.1IPC$ user:Administrator / passwd: aaa 正确答案:B;
264.网上营业厅中间件如果启用了SSL,应采用不低于()版本的SSL,采用经国家密码管理局认可的密码算法)A.3.0 B.2.5 C.2.0 D.3.1 正确答案:A;
265.以下哪一项不属于恶意代码?()
A.病毒 B.蠕虫
C.特洛伊木马 D.宏
正确答案:D;
266.Solaris系统使用什么命令查看已有补丁的列表?()
A.uname-an B.oslevel-r C.showrev-p D.swlist-l product ‘PH??_*’ 正确答案:B;
267.用来追踪DDoS流量的命令是:()
A.ip cef B.ip finger C.ip source-track D.ip source-route 正确答案:C;
268.下面关于IIS 报错信息含义的描述正确的是?()
A.401-找不到文件 B.500-系统错误 C.404-权限问题 D.403-禁止访问 正确答案:D;
269.在以下隧道协议中,属于三层隧道协议的是()
A.L2F B.PPTP C.IPSec D.L2TP 正确答案:C; 270.在对SQL Server 2000 的相关文件、目录进行安全配置时,下面可以采用的措施是:()
A.删除缺省安装时的例子样本库
B.将数据库数据相关的文件,保存在非系统盘的NTFS独立分区 C.对SQL Server安装目录,去除everyone的所有控制权限 D.将存放数据库的库文件,配置权限为administrators组、system和启动SQL Server服务的用户账号及DBA组具有完全控制权限 正确答案:ABCD;
271.为保证密码安全,我们应采取的正确措施有()
A.不使用生日做密码 B.不使用少于5位的密码
C.将密码设的非常复杂并保证20位以上 D.不使用纯数字密码 正确答案:ABD; 272.黑客所使用的入侵技术主要包括()
A.协议漏洞渗透 B.密码分析还原 C.病毒或后门攻击 D.拒绝服务攻击
E.应用漏洞分析与渗透 正确答案:ABCDE;
273.下列哪些操作可以看到自启动项目?()
A.任务管理器 B.开始菜单 C.注册表 D.msconfig 正确答案:BCD;
274.以下哪些是防火墙规范管理需要的?()
A.需要配备两个防火墙管理员
B.通过厂商知道发布的硬件和软件的bug和防火墙软件升级版 C.系统软件、配置数据文件在更改后必须进行备份 D.物理访问防火墙必须严密地控制 正确答案:ABCD;
275.Oracle实例主要由那两部分组成:()
A.Share pool buffer B.内存 C.后台进程 D.pmon和smon 正确答案:BC;
276.下面哪些漏洞属于网络服务类安全漏洞:()
A.Windows 2000中文版输入法漏洞 B.Web服务器asp脚本漏洞 C.RPC DCOM服务漏洞
D.IIS Web服务存在的IDQ远程溢出漏洞 正确答案: CD;
277.sybase数据库文件系统需要哪些裸设备?()
A.log B.proce C.data D.master 正确答案:ABCD;
278.以下不是数据库的加密技术的是()
A.库外加密 B.库内加密 C.固件加密 D.硬件加密 正确答案:C;
279.以下哪项不属于针对数据库的攻击?()A.特权提升
B.利用XSS漏洞攻击 C.SQL注入
D.强力破解弱口令或默认的用户名及口令 正确答案:B; 280.终端安全管理目标:规范支撑系统中终端用户的行为,降低来自支撑系统终端的安全威胁,重点解决以下哪些问题?()
A.终端接入和配置管理; 终端账号、秘密、漏洞补丁等系统安全管理;桌面及主机设置管理
B.终端账号、秘密、漏洞补丁等系统安全管理;桌面及主机设置管理;终端防病毒管理
C.终端接入和配置管理; 桌面及主机设置管理;终端防病毒管理
D.终端接入和配置管理; 终端账号、秘密、漏洞补丁等系统安全管理;桌面及主机设置管理;终端防病毒管理 正确答案:D;
281.以下哪个是数据库管理员(DBA)可以行使的职责?()
A.应用程序开发 B.计算机的操作 C.系统容量规划 D.应用程序维护 正确答案:C;
282.()协议主要用于加密机制
A.SSL B.FTP C.TELNET D.HTTP 正确答案:A;
283.蠕虫的目标选择算法有()
A.随机性扫描 B.顺序扫描
C.基于目标列表的扫描 D.以上均是 正确答案:D;
284.防止系统对ping请求做出回应,正确的命令是:()
A.echo 0>/proc/sys/net/ipv4/icmp_echo_ignore_all B.echo 1>/proc/sys/net/ipv4/icmp_echo_ignore_all C.echo 0>/proc/sys/net/ipv4/tcp_syncookies D.echo 1>/proc/sys/net/ipv4/tcp_syncookies 正确答案:B;
285.接入控制方面,路由器对于接口的要求包括:()
A.VPN接入
B.局域网方式接入 C.Internet方式接入 D.串口接入 正确答案:A;
286.在Web页面中增加验证码功能后,下面说法正确的是()
A.可以防止缓冲溢出 B.可以防止文件包含漏洞
C.可以增加账号破解等自动化软件的攻击难度 D.可以防止目录浏览 正确答案:C;
287.()是通过使用公开密钥技术和数字证书等来提供网络信息安全服务的基础平台
A.公开密钥体制
B.PKI(公开密钥基础设施)C.对称加密体制 D.数字签名 正确答案:B;
288.网络病毒预防范阶段的主要措施是什么?()
A.强制补丁、入侵检测系统监控 B.强制补丁、网络异常流量的发现
C.网络异常流量的发现、入侵检测系统的监控 正确答案:B;
289.有三种基本的鉴别的方式: 你知道什么,你有什么,以及()
A.你是什么 B.你看到什么 C.你需要什么 D.你做什么 正确答案:A;
290.HTTP, FTP, SMTP 建立在OSI模型的那一层?()
A.2 层– 数据链路层 B.3层 – 网络层 C.7 层– 应用层 D.4层– 传输层 正确答案:C;
291.单个用户使用的数据视图的描述称为()
A.存储模式 B.概念模式 C.内模式 D.外模式 正确答案:D;
292.以下哪种方法是防止便携式计算机机密信息泄露的最有效的方法?(A.利用生物识别设备
B.激活引导口令(硬件设置口令)
C.用所有者的公钥对硬盘进行加密处理
D.利用双因子识别技术将登陆信息写入记事本 正确答案:C;
293.要求关机后不重新启动,shutdown后面参数应该跟()
A.–h)B.–r C.–k D.–c 正确答案:A;
294.源IP为100.1.1.1,目的IP为100.1.1.255,这个报文属于什么攻击?()(假设该网段掩码为255.255.255.0)A.LAND攻击 B.WINNUKE攻击 C.FRAGGLE攻击 D.SMURF攻击 正确答案:D;
295.以下哪条命令能利用“SQL注入”漏洞动用XP_cmdshell存储过程,获得某个子目的清单?()
A.http://localhost/script?0’;EXEC+master..XP_cmdshell+’dir’;-B.http://localhost/script?1’;EXEC+master..XP_cmdshell+’dir’;--C.http://localhost/script?0’;EXEC+master..XP_cmdshell+’dir’;--D.http://localhost/script?0’;EXEC+master..XP_cmdshell+’dir’— 正确答案:C;
296.在给定的密钥体制中,密钥与密码算法可以看成是()
A.前者是固定的,后者是可变的 B.前者是可变的,后者是固定的 C.两者都是可变的 D.两者都是固定的 正确答案:B;
297.在国家标准中,属于强制性标准的是:()
A.GB/T XXXX-X-200X B.YD/T XXX-XXX-200X C.DBXX/T XXX-200X D.GB XXXX-200X 正确答案:D;
298.用于实现交换机端口镜象的交换机功能是:()
A.SPAN B.PVLAN C.VTP D.PERMIT LIST 正确答案:A;
299.为了应对日益严重的垃圾邮件问题,人们设计和应用了各种垃圾邮件过滤机制,以下哪一项是耗费计算资源最多的一种垃圾邮件过滤机制?()A.SMTP 身份认证 B.内容过滤 C.黑名单过滤 D.逆向名字解析 正确答案:B;
300.以下关于数字签名说法正确的是()A.数字签名是在所传输的数据后附上一段和传输数据毫无关系的数字信息 B.数字签名能够解决数据的加密传输,即安全传输问题 C.数字签名能够解决篡改、伪造等安全性问题 D.数字签名一般采用对称加密机制 正确答案:C;
301.由于攻击者可以借助某种手段,避开DBMS以及应用程序而直接进入系统访问数据,我们通常采取以下哪种方式来防范?()
A.修改数据库用户的密码,将之改得更为复杂 B.数据库加密
C.使用修改查询法,使用户在查询数据库时需要满足更多的条件 D.使用集合法 正确答案:B;
302.按TCSEC标准,WinNT的安全级别是()
A.B1 B.B2 C.C3 D.C2 正确答案:D;
303.拒绝服务攻击不包括以下哪一项?()
A.DDoS B.ARP攻击 C.Land攻击
D.畸形报文攻击 正确答案:B;
304.下列关于IIS的安全配置,哪些是不正确的?()
A.禁用所有Web 服务扩展 B.重命名 IUSR 账户
C.将网站内容移动到非系统驱动器 D.创建应用程序池 正确答案:A; 305.PKI无法实现()
A.权限分配 B.数据的完整性 C.数据的机密性 D.身份认证 正确答案:A;
306.下列哪项不是安全编码中输入验证的控制项?()
A.数字型的输入必须是合法的数字 B.字符型的输入中对’进行特殊处理
C.正确使用静态查询语句,如PreparedStatement D.验证所有的输入点,包括Get,Post,Cookie以及其他HTTP头 正确答案:C;
307.在使用影子口令文件(shadowed passwords)的Linux系统中,/etc/passwd文件和/etc/shadow文件的正确权限分别是()A.r-,--r-,-r-C.r--,--r,-r--正确答案:A;
308.账户口令管理中4A的认证管理的英文单词为:()
A.Account B.Audit C.Authorization D.Authentication 正确答案:D;
309.以下哪条命令能利用“SQL注入”漏洞动用XP_cmdshell存储过程,启动或停止某项服务?()
A.http://localhost/script?0’;EXEC+master..XP_servicecontrol+’start’,+’ Server’;-B.http://localhost/script?1’;EXEC+master..XP_servicecontrol+’start’,+’ Server’;--C.http://localhost/script?0’;EXEC+master..XP_servicecontrol+’start’,+’ Server’;--D.http://localhost/script?0’;EXEC+master..XP_servicecontrol+’start’,+’ Server’— 正确答案:C;
310.密码分析的目的是什么?()
A.确定所使用的换位
B.增加加密算法的代替功能 C.减少加密算法的换位功能 D.确定加密算法的强度 正确答案:D;
311.以下哪几项关于安全审计和安全审计系统的描述是正确的?()
A.对入侵和攻击行为只能起到威慑作用
B.安全审计系统可提供侦破辅助和取证功能
C.安全审计是对系统记录和活动的独立审查和检验 D.安全审计不能有助于提高系统的抗抵赖性 正确答案:BC;
312.关于SQL Server 2000中的SQL账号、角色,下面说法正确的是:()
A.PUBLIC,guest为缺省的账号 B.guest不能从master数据库清除
C.SQL Server角色的权限是不可以修改的
D.可以通过删除guest账号的角色,从而消弱guest可能带来的安全隐患 正确答案:ABD;
313.在加密过程中,必须用到的三个主要元素是()
A.所传输的信息(明文)B.传输信道 C.加密函数 D.加密 钥匙(Encryption Key)正确答案:ACD;
314.木马传播包括以下哪些途径:()
A.通过网页传播 B.通过下载文件传播
C.通过电子邮件的附件传播 D.通过聊天工具传播 正确答案:ABCD;
315.审核是网络安全工作的核心,下列应用属于主动审核的是:()
A.Windows事件日志记录 B.防火墙对访问站点的过滤 C.数据库的事务日志记录 D.系统对非法连接的拒绝 正确答案:BD;
316.下列关于Unix下日志说法正确的是()
A.acct记录当前登录的每个用户 B.acct 记录每个用户使用过的命令 C.sulog 记录su命令的使用情况
D.wtmp 记录每一次用户登录和注销的历史信息 正确答案:CD;
317.防火墙的主要功能有哪些?()
A.过滤进、出网络的数据 B.管理进、出网络的访问行为
C.记录通过防火墙的信息内容和活动
D.封堵某些禁止的业务,对网络攻击进行检测和报警 正确答案:ABCD;
318.SQL Server的取消权限的操作有以下哪些?()
A.在“详细信息” 窗格中右击要授予/拒绝/ 取消其权限的用户定义的角色 B.单击“属性”命令在“名称”下单击“权限”单击列出全部对象
C.回到“数据库用户属性”对话框中,再点击“确定”按钮,所有的设置就完成了 D.选择在每个对象上授予拒绝或废除的权限,选中标志表示授予权限,X表示拒绝权限,空框表示废除权限,只列出适用于该对象的权限 正确答案:ABD;
319.病毒自启动方式一般有()
A.修改注册表
B.将自身添加为服务 C.修改系统配置文件
D.将自身添加到启动文件夹 正确答案:ABCD;
320.安全系统加固手册中关于造成系统异常中断的各方面因素,主要包括哪三方面?()
A.人为原因 B.环境原因 C.设备原因 D.生产原因 正确答案:ABC;
321.文件系统是构成Linux的基础,Linux中常用的文件系统有()
A.hfs B.ext2 C.ext3 D.reiserfs 正确答案:BCD;
322.防火墙不能防止以下哪些攻击行为?()
A.内部网络用户的攻击
B.外部网络用户的IP地址欺骗 C.传送已感染病毒的软件和文件 D.数据驱动型的攻击 正确答案:ACD;
323.Oracle支持哪些加密方式?()
A.RC4_256 B.DES C.RC4_40 D.DES40 正确答案:ABCD;
324.以下是对单用户数据库系统的描述,请选择错误描述的选项。()
A.单用户数据库系统是一种早期的最简单的数据库系统
B.在单用户系统中,由多个用户共用,不同计算机之间能共享数据
C.在单用户系统中,整个数据库系统,包括应用程序、DBMS、数据,都装在一台计算机上,由一个用户独用,不同计算机之间不能共享数据
D.单用户数据库系统已经不适用于现在的使用,被逐步淘汰了。正确答案:B;
325.在Windows 2003下netstat的哪个参数可以看到打开该端口的PID?()
A.-o B.-n C.-a D.-p 正确答案:A;
326.包过滤防火墙工作的好坏关键在于?()
A.防火墙的质量 B.防火墙的功能 C.防火墙的日志
D.防火墙的过滤规则设计 正确答案:D;
327.攻击者可能利用不必要的extproc外部程序调用功能获取对系统的控制权,危胁系统安全。关闭Extproc功能需要修改TNSNAMES.ORA和LISTENER.ORA文件删除以下条目,其中有一个错误的请选择出来。()A.PLSExtproc B.icache_extproc C.sys_extproc D.extproc 正确答案:C;
328.以下哪一项是常见Web 站点脆弱性扫描工具?()
A.LC B.Nmap C.Sniffer D.Appscan 正确答案:D;
329.下列措施中不能增强DNS安全的是()
A.更改DNS的端口号 B.双反向查找
C.使用最新的BIND工具
D.不要让HINFO记录被外界看到 正确答案:A;
330.影响Web系统安全的因素,不包括?()
A.复杂应用系统代码量大、开发人员多、难免出现疏忽 B.系统屡次升级、人员频繁变更,导致代码不一致 C.开发人员未经过安全编码培训
D.历史遗留系统、试运行系统等多个Web系统运行于不同的服务器上 正确答案:D;
331.以下哪一项不是流氓软件的特征?()
A.通常通过诱骗或和其他软件捆绑在用户不知情的情况下安装 B.通常添加驱动保护使用户难以卸载 C.通常会显示下流的言论
D.通常会启动无用的程序浪费计算机的资源 正确答案:C;
332.域名服务系统(DNS)的功能是()
A.完成域名和网卡地址之间的转换 B.完成域名和IP地址之间的转换 C.完成主机名和IP地址之间的转换 D.完成域名和电子邮件地址之间的转换 正确答案:B;
333.关系型数据库技术的特征由以下哪些元素确定的?()
A.Blocks和Arrows B.节点和分支 C.行和列 D.父类和子类 正确答案:C;
334.以下哪种攻击可能导致某些系统在重组IP分片的过程中宕机或者重新启动?(A.Ping of Death B.分布式拒绝服务攻击 C.NFS攻击
D.DNS缓存毒化攻击 正确答案:A;)
第二篇:电信竞赛培训整理(400道 带答案)3
电信竞赛培训整理题(400道)
1、下面对电信网和互联网安全防护体系描述不正确的是(ABC)。
A、指对电信网和互联网及相关系统分等级实施安全保护
B、人为或自然的威胁可能利用电信网和互联网及相关系统存在的脆弱性导致安全事件的发生及其对组织造成的影响
C、利用有线和,或无线的电磁、光电系统,进行文字、声音、数据、图像或其他任何媒体的信息传递的网络,包括固定通信网、移动通信网等
D、电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合.共同构成了电信网和互联网安全防护体系。
2、关于信息产业部电信管理局《关于电信网络等级保护工作有关问题的通知》(信电函[2006]35号)的目的,以下说法最准确的是(B)。
A、指导电信业加快推进信息安全等级保护,规范信息安全等级保护管理,保障和促进信息化建设
B、指导电信业更好地实施信息安全等级保护工作,保证电信网络(含互联网)等级保护工作规范、科学、有序地开展
C、指导电信业信息系统主管部门依照相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营的信息安全等级保护工作。
D、指导电信业各单位组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况,按照《信息系统安全等级保护定级指南》的要求,确定定级对象
3、根据《关于电信系统信息安全等级保护工作有关问题的意见》(信安通[2007]14号),开展针对各地全程全网性质的电信网络的信息安全等级保护检查时,应当(D)
A、由公安机关单独进行 B、由测评单位单独进行
C、会同公安机关共同进行D、会同电信主管部门共同进行
4、《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中要求,对于经集团公司审核后,安全保护等级拟定为第3级及以上级别的定级对象,应由集团公司将定级报告(电子版)报送(B)评审,由专家组和电信运营企业共同商议确定定级对象的安全保护等级。
A、公安机关网络安全防护专家组 B、信息产业部电信网络安全防护专家组 C、测评单位网络安全防护专家组 D、第三方网络安全防护专家组
5、在电信网和互联网及相关系统中进行安全等级划分的总体原则是:(A)
A、定级对象受到破坏后对国家安全、社会秩序、经济运行公共利益以及网络和业务运营商的合法权益的损害程度
B、业务系统对定级对象的依赖程度,以及定级对象的经济价值
C、定级对象受到破坏后对国家安全、社会秩序、经济运行公共利益以及业务系统的影响程度
D、定级对象的经济价值和对公共利益的重要程度
6、从电信网和互联网管理安全等级保护第(B)级开始要求,关键岗位人员离岗须承诺调离后的保密义务后方可离开。
A、2 B、3.1 C、3.2 D、4
7、工信部考察通信行业信息安全管理体系认证相关工作要求的工信厅保[2010]200号发文是以下哪个?(C)
A、《关于加强通信行业信息安全管理体系认可管理工作的通知》 B、《关于加强通信行业信息安全体系认证管理工作的通知》 C、《关于加强通信行业信息安全管理体系认证管理工作的通知》 D、《关于加强信息安全管理体系认证管理工作的通知》
8、下面哪一项是ISO/IEC TR 13335对风险分析的目的描述?(D)
A、识别用于保护资产的责任义务和规章制度
B、识别资产以及保护资产所使用的技术控制措施
C、识别同责任义务有直接关系的威胁
D、识别资产、脆弱性并计算潜在的风险
9、以下属于网络信息系统的安全管理原则的是:(ABD)
A、多人负责原则 B、职责分离原则 C、权力集中原则
D、任期有限原则
10、以下哪些是安全风险评估实施流程中所涉及的关键部分(ABC)
A、风险评估准备、B、资产识别、脆弱性识别、威胁识别 C、已有安全措施确认,风险分析 D、网络安全整改
11、Windows系统允许用户使用交互方式进行登录,当使用域账号登录域时,验证方式是SAM验证(×)
12、在Unix/Linux系统中,一个文件的权限为4755,则文件不能被root组以外的其他用户执行。(×)
13、下面属于木马特征的是(BCD)
A、造成缓冲区的溢出,破坏程序的堆栈 B、程序执行时不占太多系统资源
C、不需要服务端用户的允许就能获得系统的使用权 D、自动更换文件名,难于被发现
14、安全的Wifi应当采用哪种加密方式(A)
A、WPA2
B、MD5 C、Base64 D、WEP
15、下列对跨站脚本攻击(XSS)的解释最准确的一项是:(B)
A、引诱用户点击虚假网络链接的一种攻击方法
B、将恶意代码嵌入到用户浏览的web网页中,从而达到恶意的目的 C、构造精妙的关系数据库的结构化查询语言对数据库进行非法的访问 D、一种很强大的木马攻击手段
16、某黑客利用IE浏览器最新的0day漏洞,将恶意代码嵌入正常的Web页面当中,用户访问后会自动下载并运行木马程序,这种攻击方式属于钓鱼攻击(×)
17、关于MD5的说法正确的是(ABC)
A、MD5是单向hash函数
B、增加web安全账户的一个常用手段就是将管理员的用户密码信息,经过md5运算后,在数据库中存储密码的hash值
C、web数据库中存储的密码经过hash之后,攻击者即使看到hash的密码也无法用该信息直接登录,还需要进一步破解
D、目前攻击者在得到经过hash的用户名密码之后,最常用的破解手段是暴力破解
18、已知某个链接存在SQL注入漏洞,网址是http://代码(以后称脚本),而SQL注入注入的是SQL命令
C、XSS和SQL注入攻击都利用了Web服务器没有对用户输入数据进行严格的检查和有效过滤的缺陷。
D、XSS攻击盗取Web终端用户的敏感数据,甚至控制用户终端操作,SQL注入攻击盗取Web后台数据库中的敏感数据,甚至控制整个数据库服务器。
53、统一威胁管理系统(UTM)描述正确的是(ABD)
A.部署UTM可以有效降低成本 B.部署UTM可以降低信息安全工作强度 C.部署UTM可以降低安全设备集成带来的风险 D.部署UTM可能降低网络性能和稳定性
54、防范缓冲区溢出攻击的对策一般有(AC)。
A、更新操作系统和应用软件的版本以及补丁
B、安装防病毒软件
C、关闭多余的系统服务和端口 D、优化系统内存
55、以下关于SYN Flood和SYN Cookie技术的哪些说法是不正确的?(AD)A、SYN Flood攻击主要是通过发送超大流量的数据包来堵塞网络带宽
B、SYN Cookie技术的原理是通过SYN Cookie网关设备拆分TCP三次握手过程,计算每个TCP连接的Cookie值,对该连接进行验证
C、SYN Cookie技术在超大流量攻击的情况下可能会导致网关设备由于进行大量的计算而失效 D、以上都正确
56、下面不属于木马伪装手段的是(C)。
A、捆绑文件 B、隐蔽运行 C、自我复制
D、修改图标
57、关于网络入侵防御系统,以下描述不正确的是(A)
A.能够实时过滤阻断攻击源 B.阻断的是攻击包 C.部署在网络关键点上 D.以透明模式串联于网络中
58、对安全管理平台(SOC)描述正确的是(ABD)
A.SOC是技术、流程和人的有机结合
B.SOC能够对各类安全事件进行收集、过滤、合并和查询 C.SOC只能够收集各类防火墙、IDS、IPS等网络设备的信息
D.SOC能够协助管理员进行事件分析、风险分析、预警管理和应急响应处理等
59、《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中要求,基础电信运营企业各定级对象的定级结果,(A)应由集团公司进行审核。
A、含1至5级 B、2级以上 C、3级以上
D、4级以上 60、定级对象受到破坏后,会对网络和业务运营商的合法权益产生严重损害,或者对社会秩序、经济运行和公共利益造成轻微损害,但不损害国家安全,这是属于安全等级保护的第()级。
C、3.1(×)注:2
61、电信网和互联网安全等级保护中,针对第1级的对象需要做的是(B)
A、由网络和业务运营商依据业务的特殊安全要求进行保护 B、由网络和业务运营商依据国家和通信行业有关标准进行保护 C、由主管部门对其安全等级保护工作进行指导 D、由主管部门对其安全等级保护工作进行监督、检查
62、《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中要求,对于经集团公司审核后,安全保护等级拟定为(B)的定级对象,无需报信息产业部电信网络安全防护专家组评审,可直接向电信监管部门进行备案。
B、第2级及以下级别
(√)
63、定级对象受到破坏后,会对其网络和业务运营商的合法权益造成轻微损害,但不损害国家安全、社会秩序、经济运行和公共利益,这是属于安全等级保护的第()级。B、2(×)注:1
64、定级对象受到破坏后,会对社会秩序、经济运行和公共利益造成特别严重的损害,或者对国家安全造成严重的损害,这是属于安全等级保护的第(A)级。
A、4 B、3.2 C、3.1 D、2 65、网络和业务运营商在网络实际运行之前对其安全等级保护工作的实施情况进行安全检测,确保其达到安全防护要求,这是(D)阶段的工作内容。
A、安全总体规划阶段 B、安全资产终止阶段 C、安全运维阶段
D、安全设计与实施阶段 66、国家公安机关负责等级保护中的什么类别工作?(D)
A、负责信息安全等级保护工作中部门间的协调。
B、负责等级保护工作中有关保密工作的监督、检查、指导。C、负责等级保护工作中有关密码工作的监督、检查、指导。
D、负责信息安全等级保护工作的监督、检查、指导。67、《信息系统安全等级保护定级指南》描述的第三级是下面哪个(C)
A、指导保护级 B、强制保护级 C、监督保护级
D、自主保护级 68、电信网和互联网管理安全等级保护要求中,第2级在安全管理制度的评审和修订上应满足(D)。
A、应定期或不定期对安全管理制度进行检查和审定
B、应定期或不定期地对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订
C、安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定
D、应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订 69、Solaris 10的运行模式0是指(B)。
A、退出操作系统并关机
B、操作系统关闭,计算机仅运行其固件 C、重新启动机器
D、中断运行并立即关机 70、为了防御XSS跨站脚本攻击,我们可以采用多种安全措施,但(C)是不可取的
A、编写安全的代码:对用户数据进行严格检查过滤 B、可能情况下避免提交HTML代码 C、阻止用户向Web页面提交数据
D、即使必须允许提交特定HTML标签时,也必须对该标签的各属性进行仔细检查,避免引入javascript 71、防范网页挂马攻击,作为第三方的普通浏览者,以下哪种办法可以有效?(AD)
A、及时给系统和软件打最新补丁 B、不浏览任何网页 C、安装防火墙
D、安装查杀病毒和木马的软件 72、Windows NT 4.0于1999年11月通过了美国国防部TCSEC(D)级安全认证。
A、B1 B、B2 C、C1 D、C2 73、缓冲区溢出(D)。
A、只是系统层漏洞
B、只是应用层漏洞 C、只是TCP/IP漏洞
D、既是系统层漏洞也是应用层漏洞
74、Windows NT的安全引用监视器(Security Reference Monitor,SRM)的主要作用是(A)。
A、实现基于对象的访问控制和审核策略 B、负责记录审核消息 C、管理对象的安全描述符 D、负责生成对象的访问控制列表
75、在Unix/Linux系统中,文件类型为“b”,说明这是一个(C)。
A、二进制可执行文件 B、硬链接文件 C、块设备文件
D、进程文件 76、为了防御网络监听,最有效也最常用的方法是(D)
A、采用物理传输(非网络)B、使用专线传输 C、用光纤传输数据
D、对传输数据进行加密 77、以下关于宏病毒说法不正确的是(ACD)。
A.宏病毒主要感染可执行文件
B.宏病毒仅向办公自动化程序编制的文档进行传染 C.宏病毒主要感染软盘、硬盘的引导扇区或主引导扇区
D.CIH病毒属于宏病毒 78、本地域名劫持(DNS欺骗)修改的是哪个系统文件(C)
A、C:WindowsSystem32driversetclmhosts B、C:WindowsSystem32 etclmhosts C、C:WindowsSystem32driversetchosts
D、C:WindowsSystem32etchosts 79、电信网和互联网安全防护工作中的指导性原则有(BCD)
A、最小权限原则 B、可控性原则 C、适度安全原则
D、保密性原则 80、根据《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号),基础电信运营企业的定级范围为(CD)
A、基础网络 B、重要信息系统 C、核心生产单元
D、非核心生产单元 81、《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中要求,定级结果备案时需要提交的文档不包括(D)
A、备案单位基本情况表 B、备案信息表 C、定级报告 D、专家评审意见表
82、按照《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)的要求,关于定级对象的审核,以下说法中正确的是(BD)
A、由电信运营企业集团公司或省级公司负责管理的定级对象,由同级公安机关负责审核
B、由电信运营企业集团公司负责管理的定级对象,由信息产业部负责审核
C、由电信运营企业集团公司或省级公司负责管理的定级对象,由信息产业部负责审核 D、由电信运营企业省级公司负责管理的定级对象,由当地通信管理局负责审核 83、定级对象的安全等级应根据以下3个互相独立的定级要素来确定,它们是(ABD)。
A、规模和服务范围 B、社会影响力 C、经济价值
D、所提供服务的重要性 84、电信网和互联网安全等级保护的定级过程中,需要独立考虑3个定级要素,以下哪些事项属于损害社会秩序的事项?(ABDE)
A、影响国家机关社会管理和公共服务的工作秩序 B、影响各行业的科研、生产秩序 C、影响国家重要的安全保卫工作 D、影响各种类型的经济活动秩序
E、影响公众在法律约束和道德规范下的正常生活秩序 85、电信网和互联网安全等级保护工作中,实施安全等级保护的一次完整过程包括()。
A、安全等级确定 B、安全架构设计 C、安全运维 D、安全开发与实施
E、安全资产终止 86、电信网和互联网管理安全等级保护要求中,第2级在安全管理制度上应满足(ABC)。
A、应制定安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等
B、应对安全管理人员或操作人员执行的重要管理操作建立操作规程 C、应对安全管理活动中重要的管理内容建立安全管理制度
D、应形成由安全策略、管理制度、操作规程等构成的全面的安全管理制度体系 E、应对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动 87、电信网和互联网管理安全等级保护要求中,人员安全管理中第3.1级要求外部人员访问时在满足第2级要求的基础还应该(AD)。
A、应确保在外部人员访问受控区域前先提出书面申请 B、应确保在外部人员访问受控区域前得到授权或审批 C、外部人员访问批准后应由专人全程陪同或监督,并登记备案
D、对外部人员允许访问的区域、网络、设备、信息等内容应进行书面的规定,并按照规定执行
88、等级保护对象受到破坏时所侵害的客体包括(ABD)
A、公民、法人和其他组织的合法权益。B、社会秩序、公共利益。C、国家领导人。
D、国家安全。89、《信息系统安全等级保护实施指南》中描述第三级安全通信网络从以下方面进行设计:ABCD A、通信网络安全审计
B、通信网络数据传输完整性保护 C、通信网络可信接入保护 D、通信网络数据传输保密性保护
90、电信网和互联网安全防护体系,由以下哪几项工作共同组成?(BCD)
A、安全风险评估 B、安全等级保护 C、安全法律法规
D、灾难备份及恢复 91、电信网和互联网,风险评估过程中,其中一项是资产识别,在资产识别过程中,资产赋值体现出资产的安全状况对于组织的重要性,资产赋值中,应主要考虑资产的哪些属性?(ACD)
A、资产的社会影响力 B、资产的存在形式 C、资产的可用性
D、资产所提供的业务价值
92、关于脆弱性的描述,哪些说法是正确的(abcd)
A、脆弱性是对一个或多个资产弱点的总称
B、单纯的脆弱性本身不会对资产造成损害,而且如果系统足够强健,再严重的威胁也不会导致安全事件的发生并造成损失
C、脆弱性识别也称为弱点识别,脆弱性是资产本身存在的,威胁总是要利用资产的脆弱性才可能造成危害
D、资产的脆弱性具有隐蔽性,有些脆弱性只有在一定条件和环境下才能显现,这是脆弱性识别中最为困难的部分
93、对通信网络安全防护工作说法正确的是(ABCD)
A.受保护的通信网络包括公用通信网和互联网
B.防护对象是由我国境内的电信业务经营者和互联网域名服务提供者管理和运行的通信网络
C.防护工作包括为防止通信网络阻塞、中断、瘫痪或者被非法控制而开展的工作
D.防护工作包括为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作 94、关于通信网络安全防护符合性评测描述不正确的是:(C)
A.二级通信网络单元应当每两年进行一次符合性评测; B.三级及三级以上通信网络单元应当每年进行一次符合性评测; C.五级通信网络单元应当每半年进行一次符合性评测;
D.通信网络单元的划分和级别调整的,应当自调整完成之日起九十日内重新进行符合性评测; 95、电信网络安全防护工作的可控性原则包括(ACD)
A.人员可控性 B.风险可控性 C.工具可控性
D.项目过程可控性 96、以下是电信网络安全防护工作中应该遵循的原则的是(ABCD)
A.规范性原则 B.适度性原则 C.整体性原则
D.同步性原则 97、Windows NT的安全子系统主要由(ABD)等组成。
A、安全账户管理(SAM)B、本地安全认证(LSA)C、对象管理器(OM)D、安全参考监视器(SRM)E、安全标识符(SID)
98、关于Windows NT中的安全账号管理器(Security Account Manager,SRM),以下说法中正确的是(ACDE)。
A、安全帐号管理器对帐号的管理是通过安全标识进行的
B、以system用户的权限可以使用编辑器对SAM文件的内容进行查看
C、sam文件是windows NT的用户帐户数据库,所有NT用户的登录名及口令等相关信息都会保存在这个文件中
D、安全账号管理器的具体表现就是%SystemRoot%system32configsam文件 E、注册表中也保存有SAM文件的内容,正常设置下仅对system用户可读写
99、NTFS文件系统能够为文件存储提供更高的安全性和可靠性,文件和文件夹的NTFS权限有(CE)类型。
A、操作权限 B、隐含权限 C、继承权限 D、访问权限
E、显式权限
100、Unix系统中某个文件的模式位为drwxr-xr-x,说明(ABE)。A、任何人都可以执行这个文件 B、文件的权限为755 C、这是一个普通文件
D、该文件只有超级用户root可写
E、其他人可以读这个文件
101、使用sudo工具可以对Unix/Linux系统中用户可运行的命令进行控制以增加安全性,它的特性包括(ABCDE)。
A、需要授权许可
B、可以为系统管理员提供配置文件
C、能够限制指定用户在指定主机上运行某些命令 D、可以提供日志记录
E、可以进行时间戳检验
102、在Unix/Linux系统的/etc/syslog.conf配置文件中有如下两行内容,从中我们可以看出(BE)。
user.err
/dev/console user.err
/var/log/messages A、用户登录过程中出错,要发送日志消息到控制台
B、应用程序出现一般性错误,要发送日志消息到控制台,并且同时记录到messages文件
C、用户登录过程中出错,要记录日志消息到messages文件
D、应用程序出现一般性错误,要发送日志消息到控制台,或者记录到messages文件 E、应用程序出现err及以上级别错误,要发送日志消息到控制台,并且同时记录到messages文件
103、常见的拒绝服务攻击有:(ABCD)A、UDP Flood B、ICMP Flood C、SYN Flood
D、IGMP Flood 104、拒绝服务攻击的对象可能为:(ABCD)A、网桥
B、防火墙 C、服务器
D、路由器
105、下列木马程序可能采用的激活方式有(AC)。
A、修改注册表中的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下以“run”开头的键值 B、将木马程序复制在用户的桌面上 C、注册为系统服务
D、感染系统中所有的exe和html文件
106、某黑客组织通过拷贝中国银行官方网站的登陆页面,然后发送欺骗性电子邮件,诱使用户访问此页面以窃取用户的账户信息,这种攻击方式属于(B)
A、SQL注入 B、钓鱼攻击 C、网页挂马 D、域名劫持
107、Serv-U软件因自身缺陷曾多次被黑客用来进行提权攻击,针对提权的防御办法有(ABCD)
A、禁用anonymous帐户
B、修改Serv-U默认管理员信息和端口号
C、修改默认安装路径,并限制安全目录的访问权限 D、限制用户权限,删除所有用户的执行权限 108、关于HTTP协议说法正确的有哪些(ACD)
A、http协议是明文传输的 B、http协议是可靠的有状态的协议 C、http协议主要有请求和响应两种类型
D、http协议,在web应用中,可以有get、post、delete等多种请求方法,但是最常用是get和post
109、有很多办法可以帮助我们抵御针对网站的SQL注入,包括(BCD)
A、删除网页中的SQL调用代码,用纯静态页面 B、关闭DB中不必要的扩展存储过程
C、编写安全的代码:尽量不用动态SQL;对用户数据进行严格检查过滤 D、关闭Web服务器中的详细错误提示
110、防火墙部署中的透明模式的优点包括:(ACD)
A、性能较高
B、易于在防火墙上实现NAT C、不需要改变原有网络的拓扑结构
D、防火墙自身不容易受到攻击
111、关于网络入侵检测系统,以下描述正确的是(BCD)
A.能够适用于加密环境 B.不会增加系统开销 C.对带宽的要求较高 D.其部署不影响现有网络架构
112、以下哪些是应用层防火墙的特点?(ABC)
A、更有效的防止应用层的攻击 B、工作在OSI模型的第七层 C、比较容易进行审计
D、速度快而且对用户透明
113、发现感染计算机病毒后,应采取哪些措施(ACD)A.断开网络
B.格式化系统
C.使用杀毒软件检测、清除
D.如果不能清除,将样本上报国家计算机病毒应急处理中心
114、无法用于对Windows系统口令进行暴力破解的工具有(A、NMAP B、Nessus C、X-Scan D、AppScan 115、选出曾经出现提权漏洞的第三方软件(ABCD)
A、VNC B、FlashFXP C、Serv-U D、PcAnywhere
116、下面支持WPA加密方式的无线局域网标准有(BD)。A、802.11b B、802.11i
C、802.11a
D、802.11n 117、选出可以被暴力破解的协议(ABC)
A、POP3 B、SNMP C、FTP
D、TFTP
118、以下关于DOS攻击的描述,说法正确的有(BC)
A、以窃取目标系统上的机密信息为目的 B、不需要侵入对方系统内部
C、导致目标系统无法处理正常用户的请求
D、如果目标系统没有漏洞,远程攻击就不可能成功)AD
119、《关于电信网络等级保护工作有关问题的通知》(信电函[2006]35号)中指出,电信网络由各种设备、线路和相应的支撑、管理子系统组成,因此电信网络实施等级保护时应当(C)。
A、对电信网络采取基础网络和重要信息系统分开实施技术保护 B、对电信网络采取按照地域划分成不同安全域分开实施技术保护
C、对整个网络统筹兼顾,按照国家制定的有关标准和要求,由电信网络的主管部门统一部署实施
D、按照“谁主管、谁负责”原则,各个电信网络各自部署实施,并进行监督、检查和指导
120、《关于电信系统信息安全等级保护工作有关问题的意见》(信安通[2007]14号)中指出,电信系统的等级保护备案(D)。A、在国家级进行
B、由各个电信网络自行决定如何进行 C、在国家、省、地市三级进行 D、在国家、省两级进行
121、《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中指出的定级范围包括核心生产单元和非核心生产单元,其中核心生产单元是指(D)。A、企业内部办公系统、客服呼叫中心等
B、重要信息系统,即电信业务的业务单元和控制单元
C、基础网络,即承载各类电信业务的公共电信网(含公共互联网)及其组成部分 D、正式投入运营的传输、承载各类电信业务的公共电信网(含公共互联网)及其组成部分,以及支撑和管理公共电信网及电信业务的业务单元和控制单元
122、电信网和互联网及相关系统的安全等级划分中,第2级的保护方法是:(C)
A、由网络和业务运营商依据国家和通信行业有关标准进行保护
B、由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行监督、检查
C、由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行指导
D、由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行重点监督、检查
123、电信网和互联网管理安全等级保护要求中,第3.1级相比第2级在人员安全管理的人员离岗上还要求(C)。
A、应规范人员离岗过程,及时终止离岗员工的所有访问权限 B、对于离岗人员,应禁止其从计算机终端上拷贝数据 C、关键岗位人员离岗须承诺调离后的保密义务后方可离开 D、对于离岗人员,应办理严格的调离手续
124、谁对信息资产的分类负有首要的责任?(D)
A、用户
B、高级管理层 C、职能部门经理 D、数据所有者
125、风险控制的方式主要有规避、转移、降低三种,其中的风险规避是指(B)
A、通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险 B、通过不使用面临风险的资产来避免风险
C、通过对面临风险的资产采取保护措施来降低风险 D、以上都不对
126、访问控制以其不同的实现方法可以分为若干种类,Windows系统的访问控制是(D)。
A、基于进程的访问控制 B、基于文件的访问控制 C、基于任务的访问控制 D、基于对象的访问控制
127、Microsoft 基准安全分析器(MBSA)是一个易于使用的工具,可帮助中小型企业根据Microsoft安全建议评估其安全性,当使用多台计算机模式进行扫描时,禁用以下哪个安全选项会对MBSA的工作造成影响?(C)A、网络访问:可匿名访问的命名管道
B、网络访问:允许为网络身份验证储存凭据或.NET Passports C、网络访问:可远程访问的注册表路径和子路径 D、网络访问:可匿名访问的共享
128、在Apache的配置文件httpd.conf有如下的配置,说明(C)。
C、所有主机都将被允许,除了那些来自 aaa.com 域的主机 D、所有主机都将被禁止,除了那些来自 aaa.com 域的主机
129、Unix系统中使用下面的find命令,可以实现的功能是查找(B)。
find /-type f(-perm-4000-o-perm –2000)-exec ls-lg {};A、所有SUID文件
B、所有SUID或者SGID文件 C、所有SGID文件
D、所有SUID以及SGID文件
130、Linux2.6版的内核中集成了(A),使Linux的安全性大幅度提高。
A、SELinux B、Netfilter C、Iptables D、TCPWrappers
131、下面不属于木马特征的是(C)
A.自动更换文件名,难于被发现 B.程序执行时不占太多系统资源
C.造成缓冲区的溢出,破坏程序的堆栈
D.不需要服务端用户的允许就能获得系统的使用权 132、攻击者截获并记录了从A到B的数据,然后又从早些时候所截获的数据中提取出信息重新发往B称为(B)。A.中间人攻击
B.回放攻击
C.强力攻击
D.口令猜测器和字典攻击
133、下列哪个平台经常被用来进行无线网络的破解(B)A.Windows7 B.BT5 C.android D.iOS 134、暴力破解Unix系统账户的工具是(C)A.LC5 B.X-Scan C.John D.AppScan
135、Windows NT 系统能设置为在几次无效登录后锁定帐号,这可以防止(C)
A、木马;
B、IP欺骗;
C、暴力攻击;
D、缓存溢出攻击
136、以下哪种攻击方式,可以称为CC攻击(B)
A、synflood B、http flood C、smurf D、TearDrop
137.以下哪些内容是工信部保[2009]224号《关于开展通信网络安全检查工作的通知》所关注检查的重点内容包括(ABCD)A、远程维护管控措施 B、用户个人信息保护措施 C、第三方安全服务管控措施
D、涉及国庆重大活动网络单元的安全防护情况
138.工信部保函[2012]102号《关于开展2012通信网络安全防护检查工作的通知》检查的主要内容包括:(ABCD)
A、网络安全防护责任制和相关制度、机制、预案的建立与落实情况 B、2011年检查发现的重大安全隐患和风险的整改情况 C、网络单元仍然存在的薄弱环节、重大安全隐患和风险
D、网络单元防攻击、防入侵、防病毒以及备份、监测、应急、用户信息保护等措施的落实情况;
139.以下关于风险评估中,风险要素及属性之间存在关系表述正确的是(ABCD)A、业务战略依赖资产去实现
B、风险的存在及对风险的认识导出安全需求 C、资产价值越大则其面临的风险越大
D、资产是有价值的,组织的业务战略对资产的依赖度越高,资产价值就越大 140.在风险评估过程中,为保证风险评估的顺利完成,应该遵循以下哪些原则(ABCDE)A、标准性原则 B、可控性原则 C、完备性原则 D、保密原则 E、最小影响原则
141.以下哪些是脆弱性识别所采用的主要方法(ABCDE)A、问卷调查 B、文档查阅 C、人工核查 D、工具检测 E、渗透性测试等
142.以下哪些是灾难备份及恢复实施资源要素(ABCD)A、备份数据 B、灾难恢复预案
C、人员和技术支持能力
D、冗余系统、冗余设备及冗余链路
143.《关于电信网络等级保护工作有关问题的通知》(信电函[2006]35号)中指出,电信网络具有全程全网的特点,因此(BCD)。A、基础网络和重要信息系统分开实施技术保护 B、按照国家制定的有关标准和要求进行 C、由电信网络的主管部门统一部署实施 D、落实保护措施必须要对整个网络统筹监顾 144.根据《关于电信系统信息安全等级保护工作有关问题的意见》(信安通[2007]14号),以下说法中不正确的是(AB)
A、电信系统的信息安全等级保护定级的备案工作由国家、省级、地市级电信企事业单位自行向同级公安机关进行备案
B、地市以下电信企事业单位的信息系统由地市电信管理部门统一向同级公安机关备案 C、各地部具有全程全网性质的信息系统,如本地网站、管理和办公系统等,仍按《信息安全等级保护管理办法》执行
D、开展针对各地全程全网性质的电信网络的信息安全等级保护检查时,应当会同电信主管部门共同进行
145.《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中,关于定级结果评审的有关要求,以下不正确的是(BD)。
A、对于经集团公司审核后,安全保护等级拟定为第3级及以上级别的定级对象,应由集团公司将定级报告(电子版)报送信息产业部电信网络安全防护专家组评审,B、安全保护等级拟定为第3级及以上级别的定级对象,应由信息产业部电信网络安全防护专家组确定定级对象的安全保护等级
C、当专家组评审意见与电信运营企业的意见达不成一致时,应选择双方建议级别中较高的级别作为最终确定的级别
D、当专家组评审意见与电信运营企业的意见达不成一致时,应选择电信网络安全防护专家组确定的安全保护等级
146.《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中要求,定级对象的管理主体为(AD): A、省级公司 B、地市级公司 C、电信监管部门 D、集团公司
147.《YD/T 1729-2008 电信网和互联网安全等级保护实施指南》中指出,电信网和互联网安全防护工作的范围包括(BCD)。
A、非经营性的互联网信息服务单位、移动信息服务单位等 B、支撑和管理公众电信网和电信业务的业务单元和控制单元
C、企业办公系统、客服呼叫中心、企业门户网站等非核心生产单元
D、网络和业务运营商运营的传输、承载各类电信业务的公众电信网及其组成部分 148.电信网和互联网安全等级保护的定级过程中,对社会影响力进行赋值时,以下说法正确的是(ABD)。A、先确定对国家安全的损害程度
B、再确定对社会秩序、经济运行和公共利益的损害程度
C、是对国家安全、社会秩序、经济运行和公共利益的损害程度的平均值 D、是对国家安全、社会秩序、经济运行和公共利益的损害程度最严重者
149.电信网和互联网安全等级保护的实施过程中要遵循多种原则,以下说法中不正确的是(BD)。
A、依据国家和通信行业相关标准对电信网和互联网及相关系统自主实施安全保护 B、对电信网和互联网及相关系统进行新建时,应当同步规划和设计安全方案,改建和扩建系统受到条件限制,可以暂时不考虑安全保护要求,待条件成熟时统一实施
C、对电信网和互联网及相关系统划分不同的安全等级,根据基本保护要求实现不同程度的安全保护
D、根据对电信网和互联网及相关系统的变化情况调整其安全等级,并在系统升级时按照调整后的安全等级进行安全保护措施
150.电信网和互联网管理安全等级保护要求中,第2级的安全运维管理在若干方面进行了要求,其中不包括(A)。A、监控管理 B、密码管理 C、变更管理 D、应急预案管理
151.电信网和互联网安全等级保护工作中,实施安全等级保护的安全运维阶段需要进行的控制活动很多,主要包括(AC)。A、运行管理和控制 B、周期性的安全审计 C、变更管理和控制 D、入侵检测和响应
152.以下哪种控制措施不属于预防性的管理控制措施?(D)A.胸卡
B.生物技术
C.岗位轮换
D.入侵检测日志
153.在进行信息安全管理的过程中,、和 是三个关键层次(ACD)。A、安全管理体系 B、资产管理 C、风险管理
D、安全管理控制措施
154.我国信息安全等级保护的内容包括______。(BCD)A.对信息安全从业人员实行按等级管理
B.对信息系统中使用的信息安全产品实行按等级管理
C.对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护
D.对信息系统中发生的信息安全事件按照等级进行响应和处置
E.对信息安全违反行为实行按等级惩处
155.Windows系统的访问控制包括(BD)。
A、对数据对象的访问,通过对象的访问控制列表来控制 B、对文件或文件夹的访问,通过用户和组策略来控制 C、对硬件资源的访问,通过给进程颁发访问令牌来控制 D、对计算机的访问,通过账号密码的组合及物理限制来控制
156.Windows NT可以达到C2级别的安全性,说明它可以做到(ABCDE)。A、自主访问控制(DAC)B、安全指令集
C、强制的用户标识和认证
D、对象的重用(Object Reuse)E、可记账性和审核
157.Unix文件系统安全就是基于i-node节点中的(ACD)关键信息。A、模式 B、权限 C、GID D、UID 158.在Linux的/etc/shadow文件中有下面一行内容,从中无法看出(AC)。smith:!:14475:3:90:5::: A、用户smith被禁止登录系统
B、用户smith每隔90天必须更换口令
C、口令到期时,系统会提前3天对用户smith进行提醒
D、更换了新口令之后,用户smith不能在3天内再次更换口令
159.关于Unix系统中的守护进程,以下说法中不正确的是(D)。A、是在后台运行而无终端或者登录shell和它结合在一起的进程
B、独立于控制终端并且周期性的执行某种任务或等待处理某些发生的事件 C、大多数服务器都是用守护进程实现的
D、在用户请求服务时启动,在服务结束时终止 160.指出下列关于计算机病毒的正确论述(ABDEF)。
A、计算机病毒是人为地编制出来、可在计算机上运行的程序 B、计算机病毒具有寄生于其他程序或文档的特点 C、只有计算机病毒发作时才能检查出来并加以消除
D、计算机病毒在执行过程中,可自我复制或制造自身的变种 E、计算机病毒只要人们不去执行它,就无法发挥其破坏作用 F、计算机病毒具有潜伏性,仅在一些特定的条件下才发作 161.关于WEP和WPA加密方式的说法中正确的有(BD)A.802.11b协议中首次提出WPA加密方式 B.802.11i协议中首次提出WPA加密方式
C.采用WEP加密方式,只要设置足够复杂的口令就可以避免被破解 D.WEP口令无论多么复杂,都很容易遭到破解 162.无线网络的拒绝服务攻击模式有(BCD)A.伪信号攻击 B.Land攻击
C.身份验证洪水攻击 D.取消验证洪水攻击
163.下面不属于嗅探类工具的有(D)A.SnifferPro B.WireShark C.Cain D.X-Way 164.下面关于sql注入语句的解释,正确的是(ABCD)
A、“And 1=1” 配合“and 1=2”常用来判断url中是否存在注入漏洞 B、and exists(select * from 表名)常用来猜解表名
C、and exists(select 字段名 from 表明)常用来猜解数据库表的字段名称
D、猜解表名和字段名,需要运气,但只要猜解出了数据库的表名和字段名,里面的内容就100%能够猜解到
165.关于XSS跨站脚本攻击,下列说法正确的有(ABCD)A、跨站脚本攻击,分为反射型和存储型两种类型
B、XSS攻击,一共涉及到三方,即攻击者、客户端与网站。C、XSS攻击,最常用的攻击方式就是通过脚本盗取用户端cookie,从而进一步进行攻击 D、XSS(cross site scripting)跨站脚本,是一种迫使Web站点回显可执行代码的攻击技术,而这些可执行代码由攻击者提供、最终为用户浏览器加载。166.下面关于跨站请求伪造,说法正确的是(ABD)
A、攻击者必须伪造一个已经预测好请求参数的操作数据包
B、对于Get方法请求,URL即包含了请求的参数,因此伪造get请求,直接用url即可
C、因为POST请求伪造难度大,因此,采用post方法,可以一定程度预防CSRF D、对于post方法的请求,因为请求的参数是在数据体中,目前可以用ajax技术支持伪造post请求
167.以下哪些方法可以预防路径遍历漏洞(ABCD)A、在unix中使用chrooted文件系统防止路径向上回朔 B、程序使用一个硬编码,被允许访问的文件类型列表 C、对用户提交的文件名进行相关解码与规范化
D、使用相应的函数如(java)getCanonicalPath方法检查访问的文件是否位于应用程序指定的起始位置
168.查杀木马,应该从哪些方面下手(ABCD)A、寻找并结束木马进程 B、打漏洞补丁
C、寻找木马病毒文件
D、寻找木马写入的注册表项 169.下面关于cookie和session说法正确的是(ABCD)
A、只要将cookie设置为httponly属性,脚本语言,就无法再盗取cookie内容了 B、cookie可以通过脚本语言,轻松从客户端读取
C、针对cookie的攻击,攻击者往往结合XSS,盗取cookie,获得敏感信息或进行重放攻击
D、cookie往往用来设计存储用户的认证凭证信息,因此cookie的安全,关系到认证的安全问题。
170.对于SQL注入攻击的防御,可以采取哪些措施(ABCD)A、不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。B、不要把机密信息直接存放,加密或者hash掉密码和敏感的信息
C、不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取
D、对表单里的数据进行验证与过滤,在实际开发过程中可以单独列一个验证函数,该函数把每个要过滤的关键词如select,1=1等都列出来,然后每个表单提交时都调用这个函数
171.下列关于预防重放攻击的方法,正确的是(ABD)
A、预防重放攻击,可以采用时间戳、序列号、提问-应答等思想实现
B、序列号的基本思想:通信双方通过消息中的序列号来判断消息的新鲜性,要求通信双方必须事先协商一个初始序列号,并协商递增方法
C、时间戳基本思想──A接收一个消息当且仅当其包含一个对A而言足够接近当前时刻的时戳,只需设定消息接收的时间范围,需关注通信双方时间的同步
D、提问应答思想是:期望从B获得消息的A 事先发给B一个现时N,并要求B应答的消息中包含N或f(N),f是A、B预先约定的简单函数,A通过B回复的N或f(N)与自己发出是否一致来判定本次消息是不是重放的
172.以下对防火墙的描述不正确的是(C)
A.防火墙能够对网络访问进行记录和统计 B.防火墙能够隐藏内部网络结构细节 C.能够防止来源于内部的威胁和攻击
D.能根据据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流
173.《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中指出,对于确定为第2级及以上级别的定级对象,电信运营企业应向电信监管部门办理备案,以下说法中不正确的是(ABD)。
A、备案工作由集团公司、省级公司和地市级公司进行
B、每个第3级及以上级别的定级对象均需填写一份备案信息表 C、备案信息表中要明确定级对象的所属公司名称(管理主体)D、每个第3级及以上级别的定级对象在备案时均需提交定级报告
174.电信网和互联网及相关系统的安全等级划分中,第3.2级的保护方法是:(B)A、由网络和业务运营商依据国家和通信行业有关标准进行保护
B、由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行重点监督、检查
C、由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行监督、检查 D、由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行指导
175.确定定级对象安全等级的定级要素包括(BCD)。A、经济价值 B、社会影响力 C、规模和服务范围 D、所提供服务的重要性
176.电信网和互联网管理安全等级保护要求中,下面哪一项是安全运维管理的应急预案管理在第2级就要求的?(D)
A、应规定应急预案需要定期审查和根据实际情况更新的内容,并按照执行
B、应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障 C、应定期对应急预案进行演练,根据不同的应急恢复内容,确定演练的周期 D、应对相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次 177.《通信网络安全防护范围管理办法》的防护范围是(A)
A.电信业务经营者和互联网域名服务提供者管理和运行的公用通信网和互联网 B.三级及三级以上的通信网络
C.在我国境内运行的通信骨干网、汇聚网和接入网 D.电信运营商的骨干通信网络
178.违反工信部11号令相关规定的,由电信管理机构依据职权责令改正,拒不改正的(C)
A.给予警告,并处五千元以上十万元以下的罚款 B.给予警告,并处五千元以上五万元以下的罚款 C.给予警告,并处五千元以上三万元以下的罚款 D.给予警告,并处五千元以上五十万元以下的罚款
179.下列不符合电信运营企业选择安全服务机构进行电信网络的安全评测和风险评估条件的是:(B)
A.在中华人民共和国境内注册成立(港澳台地区除外)B.刚开始开展电信网络安全保障服务业务 C.相关工作人员是中国公民
D.由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外)180.以下哪些不是安全风险评估实施流程中所涉及的关键部分(A)A、网络安全整改、B、资产识别、脆弱性识别、威胁识别 C、已有安全措施确认,风险分析 D、风险评估准备
181.针对一个网络进行网络安全的边界保护可以使用下面的哪些产品组合(B)A、防火墙、入侵检测、密码 B、防火墙、入侵检测、防病毒 C、身份鉴别、入侵检测、内容过滤 D、防火墙、入侵检测、PKI 182.传统的观点,根据入侵行为的属性,将入侵检测系统按检测方法分为(A)A.异常检测、误用检测
B.误用检测、遗传
C.人工免疫、遗传
D.异常检测、人工免疫
183.Windows系统管理员如果想允许一个普通用户能够使用远程桌面连接登录到计算机,则应当(C)。
A、将他加入Administrators组
B、启用安全选项“网络访问:可匿名访问的终端服务” C、将他加入Remote Desktop Users组
D、启用安全选项“网络访问:可远程访问的终端服务”
184.Linux系统中使用更安全的xinetd服务代替inetd服务,例如可以在/etc/xinetd.conf文件的”default {}”块中加入(B)行以限制只有C类网段192.168.1.0 可以访问本机的xinetd服务。A、allow=192.168.1.0/24 B、only_from=192.168.1.0/24 C、permit=192.168.1.0/24 D、hosts=192.168.1.0/24 185.以下关于数据库安全的说法错误的是?(D)
A.数据库系统的安全性很大程度上依赖于DBMS的安全机制
B.许多数据库系统在操作系统下以文件形式进行管理,因此利用操作系统漏洞可以窃取数据库文件
C.数据库的安全需要在网络系统、操作系统和数据库管理系统三个方面进行保护 D.为了防止数据库中的信息被盗取,在操作系统层次对文件进行加密是唯一从根本上解决问题的手段
186.下列哪种病毒能对计算机硬件产生破坏?(C)A.维金
B.CODE RED C. CIH D.熊猫烧香
187.下列对于蠕虫病毒的描述错误的是:(B)A.蠕虫的传播无需用户操作
B.蠕虫的传播需要通过“宿主”程序或文件 C.蠕虫会消耗内存或网络带宽,导致DOS D.蠕虫程序一般由“传播模块”、“隐藏模块”和“目的功能模块”构成 188.下列哪一项是DOS攻击的一个实例?(B)A.SQL注入 B.Smurf攻击 C.IP Spoof D.字典破解
189.以下哪一项是防范SQL注入攻击最有效的手段?(C)A.删除存在注入点的网页
B.对数据库系统的管理权限进行严格的控制 C.对web用户输入的数据进行严格的过滤
D.通过网络防火墙严格限制Internet用户对web服务器的访问 190.下列对跨站脚本攻击(XSS)的解释最准确的一项是:(B)A.引诱用户点击虚假网络链接的一种攻击方法
B.将恶意代码嵌入到用户浏览的web网页中,从而达到恶意的目的 C.一种很强大的木马攻击手段
D.构造精妙的关系数据库的结构化查询语言对数据库进行非法的访问 191.《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中规定的定级结果备案方式为(CD)。
A、采用纸质文档方式将有关材料报送相应电信监管部门 B、电子文档应具有电信运营企业的电子签名 C、纸质材料应加盖单位公章
D、采用电子文档和纸质文档两种方式将有关材料报送相应电信监管部门 192.《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中对于定级对象的审核,规定如下(ABC):
A、由电信运营企业集团公司负责管理的定级对象,由信息产业部负责审核
B、由电信运营企业省级公司负责管理的定级对象,由当地通信管理局负责审核 C、主要审核相关材料是否齐备以及有关流程是否符合规定等
D、电信运营企业集团公司和省级公司负责管理的定级对象,都由信息产业部负责审核 193.电信网和互联网安全等级保护的定级过程中,需要独立考虑3个定级要素,以下哪些事项不属于损害经济运行的事项?(CD)A、直接导致国家经济活动主体的经济损失 B、间接导致国家经济活动主体的经济损失 C、直接导致社会公众的经济损失 D、间接导致社会公众的经济损失
194.电信网和互联网安全等级保护的定级要素中,定级对象所提供服务的重要性可以从服务本身的重要性来衡量,例如(ABD)。A、业务的重要性 B、业务的经济价值
C、使用该服务的用户数量 D、对企业自身形象的影响
195.电信网和互联网安全等级保护工作中,实施安全等级保护的安全等级确定阶段包括(ACD)等几个主要活动。A、对电信网和互联网的识别和描述 B、专家测评 C、评审和备案
D、定级对象的划分以及安全等级确定 196.《YD/T 1756-2008 电信网和互联网安全等级保护要求》中,在安全管理制度方面,从(BCD)方面做出了要求。A、培训和学习B、制定和发布 C、评审和修订 D、管理制度
197.电信网和互联网管理安全等级保护要求中,第2级在安全管理机构的岗位设置上要求设立(ABC)岗位。A、系统管理员 B、网络管理员 C、安全管理员 D、安全审计员 198.电信网和互联网管理安全等级保护要求中,第2级在人员安全管理的人员离岗上要求(BCD)。
A、对于离岗人员,应禁止其从计算机终端上拷贝数据
B、应规范人员离岗过程,及时终止离岗员工的所有访问权限 C、对于离岗人员,应办理严格的调离手续
D、对于离岗人员,应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备 199.电信网和互联网管理安全等级保护要求中,备份与恢复管理中要求要制定数据的备份策略,其中应指明(ABCD)。A、将数据离站运输的方法 B、备份数据的放置场所 C、文件命名规则 D、介质替换频率
E、需要备份的重要业务信息、系统数据及软件系统等
200.电信网和互联网管理安全等级保护要求中,第3.1级相比第2级在安全管理机构的岗位设置上还要求设立(BD)。A、安全审计人员
B、安全管理工作的职能部门 C、安全监控人员
D、指导和管理安全工作的委员会或领导小组
201.工信部11号令中,网络安全防护工作是指为为防止(ABCD)而开展的工作 A.通信网络被非法控制
B.通信网络阻塞、中断、瘫痪
C.通信网络中传输、存储、处理的数据信息丢失
D.通信网络中传输、存储、处理的数据泄露或者被篡改 202.电信网络定级的步骤包括(BCD)A.定级结果的调整
B.安全等级的划分
C.安全等级的确定
D.电信网络的划分
203.电信网络安全评测的监督检查内容主要包括:(ABCD)
A.安全评测实施方法是否符合国家和信息产业部制定的相关标准或实施指南 B.定级对象的备案信息是否与实际情况相符
C.第三方安全评测服务机构的选择是否符合有关规定
D.对定级对象实施的技术、管理、灾难备份等安全保护措施是否符合国家和信息产业部制定的相关标准
204.原则上在以下情况时应当组织开展风险评估:(BCD)A.定级对象发生合并或拆分后 B.发现新的严重安全隐患 C.出现新的重大威胁
D.国家召开重要会议或举办重大活动之前
205.在信息安全管理的沟通协作方面,要建立和维护内部与外部组织机构的有效沟通与协作机制,其中,与外部机构的协作包括:(ABD)
A、在信息安全法律法规方面服从信息安全有关执法机构的管理和指导 B、保持与相关服务方(如电信运营商等)的有效沟通与协作 C、审核信息安全事故,并采取适当的行动
D、应建立有效的信息获取和更新渠道,以跟上信息安全的最新发展
206.目前,我国在对信息系统进行安全等级保护时,划分的级别包括______。(ABCDE)A.监督保护级
B.强制保护级
C.专控保护级
D.指导保护级
E.自主保护级
207.安全脆弱性,是指安全性漏洞,广泛存在于______。(ACE)A.协议设计过程
B.审计检查过程 C.运行维护过程
D.安全评估过程
E.系统实现过程
208.下列______因素与资产价值评估有关。(ADE)A.购买资产发生的费用
B.人工费用
C.软硬件费用
D.运行维护资产所需成本
E.资产被破坏所造成的损失
209.当我们识别威胁时,需要从、、等方面来了解和认识威胁。(ACD)A、威胁的主体 B、威胁作用的对象 C、威胁主体的动机
D、威胁所需的资源和能力
210.防火墙发展主要经历有哪几代(ABD)A、包过滤防火墙 B、应用代理防火墙 C、攻击检测防火墙 D、状态检测防火墙
211.状态检测防火墙与包过滤防火墙相比其优点是(AD)A、配置简单 B、更安全
C、对应用层检测较细致 D、检测效率大大提高
212.在直接连接到Internet的Windows系统中,应当强化TCP/IP堆栈的安全性以防范DoS攻击,设置以下注册表值有助于防范针对TCP/IP堆栈的DoS攻击:(ABCD)。A、EnableDeadGWDetect B、SynAttackProtect C、EnablePMTUDiscovery D、PerformRouterDiscovery
213.Unix系统中使用/etc/group文件来记录组信息,关于该文件的描述不正确的是(CD)。
A、文件中每个用户组一条记录,包括组名称、GID、组密码和用户列表4个字段 B、组密码也采用影子口令方式存储
C、设定用户组密码需要使用命令gpasswd,该命令只有root用户有执行权限 D、用户列表中最少会显示一个用户,就是该组的同名用户
214.Linux系统中使用更安全的xinetd服务代替inetd服务,在/etc/xinetd.conf文件的”default {}”块对参数(ACD)进行限制,以防范DoS攻击。A、instances B、mdns C、cps
D、per_source
215.Linux的Netfilter防火墙功能强大,下面的命令实现的防火墙功能是(BCD)。iptables-P FORWARD DROP iptables-A FORWARD-i eth0-p ANY-j ACCEPT iptables-A FORWARD-d 10.1.1.2-p tcp--dport 22-j ACCEPT A、允许从IP地址10.1.1.2来的SSH连接通过防火墙 B、允许来自eth0接口的所有连接通过防火墙 C、允许去往10.1.1.2主机的SSH连接通过防火墙 D、除此之外的所有连接都将被拒绝
216.关于文件和文件夹的NTFS继承权限的说法中不正确的是(BD)。A、文件和子文件夹自动从其父文件夹继承权限
B、如果不需要文件和子文件夹从其父文件夹继承权限,只能由管理员分别手工调整文件和子文件夹的权限
C、继承权限使用户难于直观判断对象最终的NTFS权限值 D、继承权限增加了Windows系统的管理复杂度
217.关于cookie和session说法不正确的是(BD)A、session机制是在服务器端存储
B、Cookie虽然在客户端存储,但是一般都是采用加密存储,即使cookie泄露,只要保证攻击者无法解密cookie,就不用担心由此带来的安全威胁 C、SessionID是服务器用来识别不同会话的标识
D、我们访问一些站点,可以选择自己喜好的色调,之后每次登录网站,都是我们选择的色调,这个是靠session技术实现的。
218.关于注入攻击,下列说法不正确的是(D)
A、注入攻击发生在当不可信的数据作为命令或者查询语句的一部分,被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或者访问未被授权的数据
B、常见的注入攻击有SQL注入,OS命令注入、LDAP注入以及xpath等
C、SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,从而得到黑客所需的信息 D、SQL注入主要针对数据库类型为MS SQL server和mysql,采用oracle数据库,可以有效减少SQL注入威胁
219.Web身份认证漏洞,严重影响web的安全,其漏洞主要体现在以下哪些方面(ABCD)A、存储认证凭证直接采用hash方式
B、认证凭证是否可猜测,认证凭证生成规律性强。
C、内部或外部攻击者进入系统的密码数据库存储在数据库中的用户密码没有被加密, 所有用户的密码都被攻击者获得 D、能够通过薄弱的的帐户管理功能(例如账户创建、密码修改、密码恢复, 弱口令)重写
220.下列对于路径遍历漏洞说法正确的是(BCD)
A、路径遍历漏洞的威胁在于web根目录所在的分区,无法跨越分区读取文件。B、通过任意更改文件名,而服务器支持“~/”,“/..”等特殊符号的目录回溯,从而使攻击者越权访问或者覆盖敏感数据,就是路径遍历漏洞
C、路径遍历漏洞主要是存在于Web应用程序的文件读取交互的功能块
D、URL,http://127.0.0.1/getfile=image.jgp,当服务器处理传送过来的image.jpg文件名后,Web应用程序即会自动添加完整路径,形如“d://site/images/image.jpg”,将读取的内容返回给访问者
221.下列关于木马说法不正确的是(B)A、木马是典型的后门程序
B、木马分为客户端和服务器端,感染用户的是木马客户端 C、木马在主机运行,一般不会占用主机的资源,因此难于发现 D、大多数木马采用反向连接技术,可以绕过防火墙。
222.关于HTTP协议,以下哪些字段内容是包含在http响应头(response headers)中(BC)A、accept: B、Server: C、Set-Cookie: D、Refere : 223.下列对于Rootkit技术的解释准确的是:(BCD)A.Rootkit是一种危害大、传播范围广的蠕虫
B.Rootkit是攻击者用来隐藏自己和保留对系统的访问权限的一组工具 C.Rootkit和系统底层技术结合十分紧密
D.Rootkit的工作机制是定位和修改系统的特定数据,改变系统的正常操作流程 224.以下哪些方法,可以有效防御CSRF带来的威胁(ABCD)A、使用图片验证码。
B、要求所有POST请求都包含一个伪随机值
C、只允许GET请求检索数据,但是不允许它修改服务器上的任何数据 D、使用多重验证,例如手机验证码
225.以下哪些方法对防范SQL注入攻击无效?(C)A.采用参数化查询方式,进行开发
B.对数据库系统的管理权限进行严格的控制
C.通过网络防火墙严格限制Internet用户对web服务器的访问 D.对web用户输入的数据进行严格的过滤
226.以下哪些技术,可以增加木马的存活性(ABCD)A. 三线程技术 B、进程注入技术 C、端口复用技术 D、拒绝服务攻击技术
227.下面关于HTTP请求说法正确的是(ABCD)
A、HTTp是一个请求回应协议,每一个会话都包含一个请求和回应。
B、HTTP的请求方法包含GET, POST, HEAD, OPTIONS, PUT, DELETE, 和 TRACE等 C、HTTP是无连接的协议,每个请求都是单独的会话,因此无法在一个会话中完成多个http连续动作
D、TRACE方法可以在某些情况下成功窃取合法用户的凭证,它可以绕过HTTPOnly标记 228.以下哪些设别,可以传递arp广播帧(ACD)A.网桥
B.路由器
C.以太网交换机
D.集线器
229.关于IDS和IPS两种设备,下列说法正确的有(ABC)A、IDS是内网防护设备,而IPS是网关防护设备
B、IPS可以旁路部署,如果不考虑阻断功能,可以取代IDS设备 C、IDS和IPS的检测攻击的原理是一样的
D、IPS是IDS的发展趋势,将来会取代IDS设备
230.在以下哪类场景中,移动用户不需要安装额外功能(L2TP)的VPDN软件?()A.基于NAS发起的L2TP VPN B.基于LNS发起的L2TP VPN C.基于用户发起的L2TP VPN D.以上都是 正确答案:A ;
231.在Oracle中,用ALTER将scott的口令改为hello,下列哪个是正确的?()A.ALTER USER scott IDENTIFIED AS hello B.ALTER scott USER IDENTIFIED BY hello C.ALTER USER scott IDENTIFIED BY hello D.ALTER USER hello IDENTIFIED BY scott; 正确答案:C;
232.在安全策略的重要组成部分中,与IDS相比,IPS的主要优势在哪里?()A.产生日志的数量 B.较低的价格 C.攻击减少的速度 D.假阳性的减少量 正确答案:C ;
233.在大多数情况下,病毒侵入计算机系统以后,()A.病毒程序将立即破坏整个计算机软件系统 B.计算机系统将立即不能执行我们的各项任务
C.一般并不立即发作,等到满足某种条件的时候,才会出来活动捣乱、破坏 D.病毒程序将迅速损坏计算机的键盘、鼠标等操作部件 正确答案:C;
234.下面哪一项最好地描述了风险分析的目的?()A.识别用于保护资产的责任义务和规章制度 B.识别资产、脆弱性并计算潜在的风险
C.识别资产以及保护资产所使用的技术控制措施 D.识别同责任义务有直接关系的威胁 正确答案:B;
235.在NT中,怎样使用注册表编辑器来严格限制对注册表的访问?()A.HKEY_USERS,浏览用户的轮廓目录,选择NTUser.dat B.HKEY_LOCAL_MACHINE,浏览用户的轮廓目录,选择NTUser.dat C.HKEY_CURRENT_CONFIG,连接网络注册、登陆密码、插入用户ID D.HKEY_USERS,连接网络注册、登陆密码、插入用户ID 正确答案:A;
236.下列哪种方法不能有效的防范SQL注入攻击?()A.对来自客户端的输入进行完备的输入检查 B.使用SiteKey技术
C.把SQL语句替换为存储过程、预编译语句或者使用ADO命令对象 D.关掉数据库服务器或者不使用数据库 正确答案:B;
237.Code Red爆发于2001年7月,利用微软的IIS漏洞在Web服务器之间传播。针对这一漏洞,微软早在2001年三月就发布了相关的补丁。如果今天服务器仍然感染Code Red,那么属于哪个阶段的问题?()A.微软公司软件的实现阶段的失误 B.微软公司软件的设计阶段的失误 C.最终用户使用阶段的失误 D.系统管理员维护阶段的失误 正确答案:D; 238.一般来说,通过Web运行httpd服务的子进程时,我们会选择()的用户权限方式,这样可以保证系统的安全。A.root B.httpd C.nobody D.guest 正确答案:C;
239.下列哪种攻击不是针对统计数据库的?()A.资源解析攻击 B.中值攻击 C.跟踪器攻击
D.小查询集和大查询集攻击 正确答案:A;
240.以下哪项是SYN变种攻击经常用到的工具?()A.sessionIE B.TFN C.synkill D.Webscan 正确答案:C;
241.为了检测 Windows系统是否有木马入侵,可以先通过()命令来查看当前的活动连接端口 A.ipconfig B.netstat-an C.tracert-d D.netstat-rn 正确答案:B;
242.关于PPP协议下列说法正确的是:()A.PPP协议是物理层协议
B.PPP协议支持的物理层可以是同步电路或异步电路 C.PPP协议是在HDLC协议的基础上发展起来的
D.PPP主要由两类协议组成:链路控制协议族(LCP)和网络安全方面的验证协议族(PAP和CHAP)正确答案:B;
243.无论是哪一种Web 服务器,都会受到HTTP 协议本身安全问题的困扰,这样的信息系统安全漏洞属于:()A.运行型漏洞 B.开发型漏洞 C.设计型漏洞 D.以上都不是 正确答案:A;
244.用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段?()A.缓存溢出攻击 B.DDoS攻击 C.暗门攻击 D.钓鱼攻击;正确答案:D;
245.Oracle当连接远程数据库或其它服务时,可以指定网络服务名,Oracle 9i 支持5 种命名方法,请选择错误的选项。()A.本地命名和目录命名 B.DNS和内部命名 C.主机命名和外部命名
D.Oracle 名称(Oracle Names)正确答案:B;
246.与另一台机器建立IPC$会话连接的命令是()A.net user 192.168.0.1IPC$ B.net use 192.168.0.1IPC$ C.net user 192.168.0.1IPC$ D.net use 192.168.0.1IPC$ user:Administrator / passwd: aaa 正确答案:B;
247.网上营业厅中间件如果启用了SSL,应采用不低于()版本的SSL,采用经国家密码管理局认可的密码算法)A.3.0 B.2.5 C.2.0 D.3.1 正确答案:A;
248.以下哪一项不属于恶意代码?()A.病毒 B.蠕虫
C.特洛伊木马 D.宏
正确答案:D;
249.Solaris系统使用什么命令查看已有补丁的列表?()A.uname-an B.oslevel-r C.showrev-p D.swlist-l product ‘PH??_*’ 正确答案:B;
250.用来追踪DDoS流量的命令是:()A.ip cef B.ip finger C.ip source-track D.ip source-route 正确答案:C;
251.下面关于IIS 报错信息含义的描述正确的是?()A.401-找不到文件 B.500-系统错误 C.404-权限问题 D.403-禁止访问 正确答案:D; 252.在对SQL Server 2000 的相关文件、目录进行安全配置时,下面可以采用的措施是:()
A.删除缺省安装时的例子样本库
B.将数据库数据相关的文件,保存在非系统盘的NTFS独立分区 C.对SQL Server安装目录,去除everyone的所有控制权限 D.将存放数据库的库文件,配置权限为administrators组、system和启动SQL Server服务的用户账号及DBA组具有完全控制权限 正确答案:ABCD;
253.下列哪些操作可以看到自启动项目?()A.任务管理器 B.开始菜单 C.注册表 D.msconfig 正确答案:BCD;
254.以下哪些是防火墙规范管理需要的?()A.需要配备两个防火墙管理员
B.通过厂商知道发布的硬件和软件的bug和防火墙软件升级版 C.系统软件、配置数据文件在更改后必须进行备份 D.物理访问防火墙必须严密地控制 正确答案:ABCD;
255.Oracle实例主要由那两部分组成:()A.Share pool buffer B.内存 C.后台进程 D.pmon和smon 正确答案:BC;
256.下面哪些漏洞属于网络服务类安全漏洞:()A.Windows 2000中文版输入法漏洞 B.Web服务器asp脚本漏洞 C.RPC DCOM服务漏洞
D.IIS Web服务存在的IDQ远程溢出漏洞 正确答案: CD;
257.sybase数据库文件系统需要哪些裸设备?()A.log B.proce C.data D.master 正确答案:ABCD;
258.以下不是数据库的加密技术的是()A.库外加密 B.库内加密 C.固件加密 D.硬件加密 正确答案:C;
259.以下哪项不属于针对数据库的攻击?()A.特权提升
B.利用XSS漏洞攻击 C.SQL注入
D.强力破解弱口令或默认的用户名及口令 正确答案:B;
260.终端安全管理目标:规范支撑系统中终端用户的行为,降低来自支撑系统终端的安全威胁,重点解决以下哪些问题?()
A.终端接入和配置管理; 终端账号、秘密、漏洞补丁等系统安全管理;桌面及主机设置管理
B.终端账号、秘密、漏洞补丁等系统安全管理;桌面及主机设置管理;终端防病毒管理
C.终端接入和配置管理; 桌面及主机设置管理;终端防病毒管理
D.终端接入和配置管理; 终端账号、秘密、漏洞补丁等系统安全管理;桌面及主机设置管理;终端防病毒管理 正确答案:D;
261.以下哪个是数据库管理员(DBA)可以行使的职责?()A.应用程序开发 B.计算机的操作 C.系统容量规划 D.应用程序维护 正确答案:C; 262.蠕虫的目标选择算法有()A.随机性扫描 B.顺序扫描
C.基于目标列表的扫描 D.以上均是 正确答案:D;
263.防止系统对ping请求做出回应,正确的命令是:()A.echo 0>/proc/sys/net/ipv4/icmp_echo_ignore_all B.echo 1>/proc/sys/net/ipv4/icmp_echo_ignore_all C.echo 0>/proc/sys/net/ipv4/tcp_syncookies D.echo 1>/proc/sys/net/ipv4/tcp_syncookies 正确答案:B;
264.接入控制方面,路由器对于接口的要求包括:()A.VPN接入
B.局域网方式接入 C.Internet方式接入 D.串口接入 正确答案:A;
265.在Web页面中增加验证码功能后,下面说法正确的是()A.可以防止缓冲溢出 B.可以防止文件包含漏洞
C.可以增加账号破解等自动化软件的攻击难度 D.可以防止目录浏览 正确答案:C;
266.()是通过使用公开密钥技术和数字证书等来提供网络信息安全服务的基础平台 A.公开密钥体制
B.PKI(公开密钥基础设施)C.对称加密体制 D.数字签名 正确答案:B;
267.网络病毒预防范阶段的主要措施是什么?()A.强制补丁、入侵检测系统监控 B.强制补丁、网络异常流量的发现
C.网络异常流量的发现、入侵检测系统的监控 正确答案:B;
268.有三种基本的鉴别的方式: 你知道什么,你有什么,以及()A.你是什么 B.你看到什么 C.你需要什么 D.你做什么 正确答案:A;
269.单个用户使用的数据视图的描述称为()A.存储模式 B.概念模式 C.内模式 D.外模式 正确答案:D;
270.以下哪种方法是防止便携式计算机机密信息泄露的最有效的方法?()A.利用生物识别设备
B.激活引导口令(硬件设置口令)
C.用所有者的公钥对硬盘进行加密处理
D.利用双因子识别技术将登陆信息写入记事本 正确答案:C;
271.要求关机后不重新启动,shutdown后面参数应该跟()A.–h B.–r C.–k D.–c 正确答案:A;
272.源IP为100.1.1.1,目的IP为100.1.1.255,这个报文属于什么攻击?()(假设该网段掩码为255.255.255.0)A.LAND攻击 B.WINNUKE攻击 C.FRAGGLE攻击 D.SMURF攻击 正确答案:D;
273.以下哪条命令能利用“SQL注入”漏洞动用XP_cmdshell存储过程,获得某个子目的清单?()
A.http://localhost/script?0’;EXEC+master..XP_cmdshell+’dir’;-B.http://localhost/script?1’;EXEC+master..XP_cmdshell+’dir’;--C.http://localhost/script?0’;EXEC+master..XP_cmdshell+’dir’;--D.http://localhost/script?0’;EXEC+master..XP_cmdshell+’dir’— 正确答案:C;
274.在给定的密钥体制中,密钥与密码算法可以看成是()A.前者是固定的,后者是可变的 B.前者是可变的,后者是固定的 C.两者都是可变的 D.两者都是固定的 正确答案:B;
275.为了应对日益严重的垃圾邮件问题,人们设计和应用了各种垃圾邮件过滤机制,以下哪一项是耗费计算资源最多的一种垃圾邮件过滤机制?()A.SMTP 身份认证 B.内容过滤 C.黑名单过滤 D.逆向名字解析 正确答案:B;
276.以下关于数字签名说法正确的是()
A.数字签名是在所传输的数据后附上一段和传输数据毫无关系的数字信息 B.数字签名能够解决数据的加密传输,即安全传输问题 C.数字签名能够解决篡改、伪造等安全性问题 D.数字签名一般采用对称加密机制 正确答案:C;
277.由于攻击者可以借助某种手段,避开DBMS以及应用程序而直接进入系统访问数据,我们通常采取以下哪种方式来防范?()A.修改数据库用户的密码,将之改得更为复杂 B.数据库加密
C.使用修改查询法,使用户在查询数据库时需要满足更多的条件 D.使用集合法 正确答案:B;
278.拒绝服务攻击不包括以下哪一项?()A.DDoS B.ARP攻击 C.Land攻击
D.畸形报文攻击 正确答案:B;
279.下列关于IIS的安全配置,哪些是不正确的?()A.禁用所有Web 服务扩展 B.重命名 IUSR 账户
C.将网站内容移动到非系统驱动器 D.创建应用程序池 正确答案:A;
280.下列哪项不是安全编码中输入验证的控制项?()A.数字型的输入必须是合法的数字 B.字符型的输入中对’进行特殊处理
C.正确使用静态查询语句,如PreparedStatement D.验证所有的输入点,包括Get,Post,Cookie以及其他HTTP头 正确答案:C;
281.在使用影子口令文件(shadowed passwords)的Linux系统中,/etc/passwd文件和/etc/shadow文件的正确权限分别是()
A.r-,--r-,-r-C.r--,--r,-r--正确答案:A;
282.以下哪条命令能利用“SQL注入”漏洞动用XP_cmdshell存储过程,启动或停止某项服务?()
A.http://localhost/script?0’;EXEC+master..XP_servicecontrol+’start’,+’ Server’;-B.http://localhost/script?1’;EXEC+master..XP_servicecontrol+’start’,+’ Server’;--C.http://localhost/script?0’;EXEC+master..XP_servicecontrol+’start’,+’ Server’;--D.http://localhost/script?0’;EXEC+master..XP_servicecontrol+’start’,+’ Server’— 正确答案:C;
283.密码分析的目的是什么?()A.确定所使用的换位
B.增加加密算法的代替功能 C.减少加密算法的换位功能 D.确定加密算法的强度 正确答案:D;
284.以下哪几项关于安全审计和安全审计系统的描述是正确的?()A.对入侵和攻击行为只能起到威慑作用
B.安全审计系统可提供侦破辅助和取证功能
C.安全审计是对系统记录和活动的独立审查和检验 D.安全审计不能有助于提高系统的抗抵赖性 正确答案:BC;
285.关于SQL Server 2000中的SQL账号、角色,下面说法正确的是:()A.PUBLIC,guest为缺省的账号 B.guest不能从master数据库清除
C.SQL Server角色的权限是不可以修改的
D.可以通过删除guest账号的角色,从而消弱guest可能带来的安全隐患 正确答案:ABD;
286.在加密过程中,必须用到的三个主要元素是()A.所传输的信息(明文)B.传输信道 C.加密函数
D.加密 钥匙(Encryption Key)正确答案:ACD;
287.审核是网络安全工作的核心,下列应用属于主动审核的是:()A.Windows事件日志记录 B.防火墙对访问站点的过滤 C.数据库的事务日志记录 D.系统对非法连接的拒绝 正确答案:BD;
288.下列关于Unix下日志说法正确的是()A.acct记录当前登录的每个用户 B.acct 记录每个用户使用过的命令 C.sulog 记录su命令的使用情况
D.wtmp 记录每一次用户登录和注销的历史信息 正确答案:CD;
289.防火墙的主要功能有哪些?()A.过滤进、出网络的数据 B.管理进、出网络的访问行为
C.记录通过防火墙的信息内容和活动
D.封堵某些禁止的业务,对网络攻击进行检测和报警 正确答案:ABCD;
290.SQL Server的取消权限的操作有以下哪些?()
A.在“详细信息” 窗格中右击要授予/拒绝/ 取消其权限的用户定义的角色 B.单击“属性”命令在“名称”下单击“权限”单击列出全部对象
C.回到“数据库用户属性”对话框中,再点击“确定”按钮,所有的设置就完成了 D.选择在每个对象上授予拒绝或废除的权限,选中标志表示授予权限,X表示拒绝权限,空框表示废除权限,只列出适用于该对象的权限 正确答案:ABD;
291.病毒自启动方式一般有()A.修改注册表
B.将自身添加为服务 C.修改系统配置文件
D.将自身添加到启动文件夹 正确答案:ABCD;
292.安全系统加固手册中关于造成系统异常中断的各方面因素,主要包括哪三方面?()A.人为原因 B.环境原因 C.设备原因 D.生产原因 正确答案:ABC;
293.防火墙不能防止以下哪些攻击行为?()A.内部网络用户的攻击
B.外部网络用户的IP地址欺骗 C.传送已感染病毒的软件和文件 D.数据驱动型的攻击 正确答案:ACD;
294.Oracle支持哪些加密方式?()A.RC4_256 B.DES C.RC4_40 D.DES40 正确答案:ABCD;
295.以下是对单用户数据库系统的描述,请选择错误描述的选项。()A.单用户数据库系统是一种早期的最简单的数据库系统
B.在单用户系统中,由多个用户共用,不同计算机之间能共享数据
C.在单用户系统中,整个数据库系统,包括应用程序、DBMS、数据,都装在一台计算机上,由一个用户独用,不同计算机之间不能共享数据
D.单用户数据库系统已经不适用于现在的使用,被逐步淘汰了。正确答案:B;
296.在Windows 2003下netstat的哪个参数可以看到打开该端口的PID?()A.-o B.-n C.-a D.-p 正确答案:A;
297.包过滤防火墙工作的好坏关键在于?()A.防火墙的质量 B.防火墙的功能 C.防火墙的日志
D.防火墙的过滤规则设计 正确答案:D;
298.攻击者可能利用不必要的extproc外部程序调用功能获取对系统的控制权,危胁系统安全。关闭Extproc功能需要修改TNSNAMES.ORA和LISTENER.ORA文件删除以下条目,其中有一个错误的请选择出来。()A.PLSExtproc B.icache_extproc C.sys_extproc D.extproc 正确答案:C;
299.以下哪一项是常见Web 站点脆弱性扫描工具?()A.LC B.Nmap C.Sniffer D.Appscan 正确答案:D;
300.下列措施中不能增强DNS安全的是()A.更改DNS的端口号 B.双反向查找
C.使用最新的BIND工具
D.不要让HINFO记录被外界看到 正确答案:A;
301.影响Web系统安全的因素,不包括?()
A.复杂应用系统代码量大、开发人员多、难免出现疏忽 B.系统屡次升级、人员频繁变更,导致代码不一致 C.开发人员未经过安全编码培训
D.历史遗留系统、试运行系统等多个Web系统运行于不同的服务器上 正确答案:D;
302.关系型数据库技术的特征由以下哪些元素确定的?()A.Blocks和Arrows B.节点和分支 C.行和列 D.父类和子类 正确答案:C;
303.以下哪种攻击可能导致某些系统在重组IP分片的过程中宕机或者重新启动?(A.Ping of Death B.分布式拒绝服务攻击 C.NFS攻击
D.DNS缓存毒化攻击)正确答案:A;
304.Windows NT/2000中的.pwl文件是?()A.路径文件 B.列表文件 C.打印文件 D.口令文件 正确答案:D;
305.在C/S环境中,以下哪个是建立一个完整TCP连接的正确顺序?()A.SYN,SYN/ACK,ACK B.Passive Open,Active Open,ACK,ACK C.Active Open /Passive Open,ACK,ACK D.SYN,ACK/SYN,ACK 正确答案:C;
306.在Web应用软件的基本结构中,客户端的基础是()A.客户端程序 B.HTML文档 C.HTML协议 D.浏览器 正确答案:B;
307.在IPSec中,IKE提供()方法供两台计算机建立 A.安全关联 B.解释域 C.安全关系 D.选择关系 正确答案:A;
308.由于攻击者可以借助某种手段,避开DBMS以及应用程序而直接进入系统访问数据,我们通常采取以下哪种方式来防范?()A.使用集合法
B.修改数据库用户的密码,将之改得更为复杂
C.使用修改查询法,使用户在查询数据库时需要满足更多的条件 D.数据库加密 正确答案:D;
309.以下哪项技术不属于预防病毒技术的范畴?()A.引导区保护 B.加密可执行程序 C.系统监控与读写控制 D.校验文件 正确答案B;
310.应用网关防火墙在物理形式上表现为?()A.网关 B.路由 C.堡垒主机 D.交换机 正确答案:C; 311.在典型的Web 应用站点的层次结构中,“中间件”是在哪里运行的?()A.应用服务器 B.Web 服务器 C.浏览器客户端 D.数据库服务器 正确答案:A; 312.Unix中,可以使用下面哪一个代替Telnet,因为它能完成同样的事情并且更安全?()
A.S-TELNET B.FTP C.SSH D.RLOGON 正确答案:C;
313.下列哪一项是arp协议的基本功能?()A.将信息传递给网络层
B.对局域网内的其他机器广播路由地址 C.过滤信息,将信息传递个数据链路层
D.通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行 正确答案:D;
314.端对端加密只需要保证消息都在哪里进行加密?()A.经过的每一个节点 B.源点和目的地节点
C.源点和中间经过的每一个节点 D.所有节点 正确答案:B;
315.下列关于NAT地址转换的说法中哪些是正确的:()
A.地址转换可以按照用户的需要,在局域网内向外提供FTP、www.xiexiebang.comf下添加 remoteConnect=disable D.在mysqld服务器中参数中添加--skip-networking 启动参数来使mysql 正确答案:AD;
320.以下关于蠕虫的描述正确的有:()
A.蠕虫需要传播受感染的宿主文件来进行复制
B.隐藏是蠕虫的基本特征,通过在主机上隐藏,使得用户不容易发现它的存在 C.蠕虫具有自动利用网络传播的特点,在传播的同时,造成了带宽的极大浪费,严重的情况可能会造成网络的瘫痪
D.蠕虫的传染能力主要是针对计算机内的文件系统。正确答案:BC;
321.互联网连接防火墙设备的安全策略配置要求包括那几点()A.远程登陆是否禁止telnet方式 B.是否存在允许any to any的策略 C.最后一条策略是否是拒绝一切流量
D.是否设置了管理IP,设备只能从管理IP登陆维护 正确答案:ABCD;
322.防火墙技术,涉及到:()A.安全操作系统 B.密码技术 C.软件技术
D.计算机网络技术 正确答案:ABCD;
323.下列哪一种攻击方式不属于拒绝服务攻击:()A.Synflood B.L0phtCrack C.Smurf D.Ping of Death 正确答案:B;
324.对于IIS日志记录,推荐使用什么文件格式?()A.W3C扩展日志文件格式 B.NCSA公用日志文件格式 C.ODBC日志记录格式
D.Microsoft IIS日志文件格式 正确答案:A;
325.病毒的反静态反汇编技术有()A.数据压缩 B.数据加密 C.感染代码 D.进程注入 正确答案:ABC; 326.在Unix系统中,当用ls命令列出文件属性时,如果显示-rwx rwx rwx,意思是()A.前三位rwx表示文件属主的访问权限;第二个rwx表示文件同组用户的访问权限;后三位rwx表示同域用户的访问权限
B.前三位rwx表示文件同组用户的访问权限;中间三位rwx表示文件属主的访问权限;后三位rwx表示其他用户的访问权限
C.前三位rwx:表示文件同域用户的访问权限;中间三位rwx表示文件属主的访问权限;后三位rwx:表示其他用户的访问权限 D.前三位rwx表示文件属主的访问权限;中间三位rwx表示文件同组用户的访问权限;后三位rwx表示其他用户的访问权限 正确答案:D;
327.下面哪一种攻击方式最常用于破解口令?()A.哄骗(spoofing)B.WinNuk C.拒绝服务(DoS)
D.字典攻击(dictionary attack)正确答案:D;
328.下面选项中不属于数据库安全模型的是()A.自主型安全模型 B.强制型安全模型 C.访问控制矩阵 D.基于角色的模型 正确答案:C;
329.以下关于垃圾邮件泛滥原因的描述中,哪些是错误的?()A.早期的SMTP协议没有发件人认证的功能
B.SMTP没有对邮件加密的功能是导致垃圾邮件泛滥的主要原因
C.网络上存在大量开放式的邮件中转服务器,导致垃圾邮件的来源难于追查 D.Internet分布式管理的性质,导致很难控制和管理 正确答案:B;
330.基于主机评估报告对主机进行加固时,第一步是()A.补丁安装
B.账号、口令策略修改 C.文件系统加固 D.日志审核增强 正确答案:A;
331.Linux文件权限一共10位长度,分成四段,第三段表示的内容是(D)A.文件类型
B.文件所有者的权限
第三篇:中国传统文化知识竞赛题库(130道题有答案)
130道题)
1.人们为何称妇女为“巾帼”? A
A妇女戴的头饰叫巾帼 B妇女善于织造
C源于一个叫巾帼的女子的典故 D源于一个叫巾帼的地方 2.在中国名山中,五岳占有显著的位置,其中“中岳”指的是:D A泰山 B华山 C恒山
D嵩山
3.北方人年夜饭要一般都要吃饺子,其象征意义是:C A团圆美好 B年年有余
C更岁交子 D五福临门
4、四书包括:《论语》、《大学》、《孟子》、_B_ A、《礼记》
B《中庸》 C、《周易》 D、《春秋》 5.中华民族的摇篮是:(C)
A黑龙江流域 B松花江流域
C黄河流域 D长江流域
6、“青梅竹马”取自下列哪个典故(A)A、李白《长干行》 B、白居易《长恨歌》
C、李煜《虞美人》 D、李商隐《无题》
7、苏轼的《题西林壁》如今刻在_A_ A、西林寺 B、东林寺 C、庐山 D、龙虎山
8、孔子是哪国人_B_
A、秦国
B、鲁国 C、卫国 D、宋国
9、以下哪个历史人物不属于唐宋八大家的是(D)A.韩愈 B.欧阳修 C.曾巩 D.柳永、中华民族乐器种类繁多,其中古筝具有自己的分类,现在国内最普及的古筝是多少根琴弦(A)
A.21 B.23 C.24 D.25
11、普洱茶属于什么类型的茶(A)A、红茶; B、绿茶; C、黄茶; D、黑茶
12.中国有一个传统习俗,农历腊月二十三日或二十四日要过“小年”,通常人们要吃:(B)A元宵
B饴糖 C腊八粥 D饺子
13、七月七日长生殿,_C_
A、夜深无人私语时 B、相逢何必曾相识 C、夜半无人私语时
D、相见时难别亦难
14、耳环最原始的作用是(B)
A、女性身份的象征 B、约束女性的行为 C、装扮作用 D、表示女性已婚 15.“一日不见,如隔三秋”里的“三秋”是指:(C)
A三个月 B三年 C三个季度 D三十年 16.唐代诗人中别称为诗鬼的诗人是:B A 李白
B李贺 C白居易 D杜甫
17.“天知、神知、我知、子知”,最早是汉代人杨震说的,他说这句话的目的是为了:A
A拒绝收礼 B劝人投案 C替人投案 D向人发誓
18、“交头接耳”这个成语出自下列哪部作品_A_
A、《水浒传》 B、《三国演义》 C、《红楼梦》 D、《西游记》
19、在古代大一统时期,拥有领土最多的朝代是_B_ A、清
B、元 C、唐 D、宋、下列不属于八大菜系的是_C_
A、山东菜系 B、四川菜系
C、赣菜系 D、湘菜系
21、人体器官中的肾脏是构成人体系统必不可少的一部分,下列四种中药里对肾脏有好处的是(C)
A.人参 B.陈皮 C.桑椹 D.陈皮
22、卢沟桥上大小石狮子有(D)只 A.285 B.286 C.287 D.288
23.“阳关大道”原是指通往那里的道路?(B)
A东海
B西域 C南国 D中原
24.我们常说的“鸿雁传书”源自于以下哪个历史故事?C A文姬归汉 B霸王别姬 C苏武牧羊 D楚汉相争 25.下列哪个不是中国六大古都:A
A南昌 B开封 C西安 D洛阳 26.七夕节,中国人通常吃什么?B A蒿饼
B巧果 C汤圆 D竹筒饭 27.我国传统表示次序的“天干”共有几个字?B A 8 B 10 C 12 D 14
28、“回光返照”这个成语出自哪部作品_A_
A、《红楼梦》 B、《陈涉世家》 C、《烈女传》 D、《三国志》 29.秦始皇灭六国后,统一了全国文字,这种汉字称作:B A隶书
B小篆 C楷书 D行书
.我国是茶叶的故乡,绿茶是最古老的品种,是我国品种最多,产量最大的第一大茶种,下列哪一项不是我国著名的绿茶?D
A西湖龙井 B太湖碧螺春 C庐山云雾
D铁观音
31、长城的长度为_A_
A、6300公里 B、6000公里 C、6800公里 D、5500公里
32、蹴鞠盛行于那个朝代(B)A.隋朝
B.唐朝 C.五代十国 D.宋朝
33、戏剧中的“戏胆”是指: A
A、主要角色或者关键性情节 B、贯穿性道具或贯穿动作 C、演员的精彩表演 34.不属于中国四大佛山的是:B
A普陀山
B武当山 C九华山 D峨眉山 35.朝杖之年,耄耋之年是指多少岁?C
A 60岁 B 100岁以上
C 80---100岁 D 70岁 36.下列不属于我国四大传说故事的是:D
A《牛郎织女》 B《孟江女》 C《白蛇传》 D《山海经》 37.我们用“羞花”来形容历史上哪位美女?B A西施
B杨贵妃 C貂禅 D王昭君 38.蒙古族的那达慕大会是在:A A丰收年景的6—9月 B每年秋天
C清明后10天 D端午前3天
39.俗话说“一寸光阴一寸金。”这里的“一寸”是用哪种古代计时器量出的时间单位? B
A圭表
B 漏刻
C日影
D漏壶 40、“文武二圣”指的是_D_、孔子 曹操 B、老子 关羽 C、孔子 刘备
D、孔子 关羽
41、“小李杜”指_C_
A、李白 杜甫 B、李白 杜牧
C、李商隐 杜牧 D、李商隐 杜甫 42.文成公主与松赞干布和亲是在:A
A唐太宗 B唐高宗 C唐中宗 D唐玄宗
43、下列不属于中医的“五术”的是??D A、山 B、医 C、命 D、坤
44、玄奘去西天取经经过了多少个国家?B A、100 B、110 C、128 D、138
45、三冥节指的是_B_
A、鬼节 五月节 下元节
B、清明节 中元节 下元节 C、鬼节 端午节 中元节 D、重阳节 冥节 下元节
46.中国近现代女革命家、社会活动家宋庆龄的主要事迹有C ①组织中国民权保障同盟
②领导一二.九运动 ③维护抗日民族统一战线
④担任中华人民共和国中央人民政府副主席 A.①②③ B.①②④ C.①③④ D.②③④
47、中医四大经典著作是(A)
A.《黄帝内经》、《神农本草经》、《伤寒论》、《金匮要略》
B.《黄帝内经》、《伤寒论》、《类经》、《难经》
C.《素问》、《灵枢》、《神农本草经》、《伤寒论》
D.《黄帝内经》、《类经》、《难经》、《脉经》
48.台湾自古以来就是我国的神圣领土,祖国大陆的人们开始和台湾接触,早在秦汉时期,台湾在三国是称为:A
A夷洲
B流求
C东番
D台湾
49.一般认为,北宋风俗画,《清明上河图》描绘的是什么季节的景象?A
A春天
B夏天 C秋天
D冬天
50.中国刺绣是在布上“以针代笔,以线晕色”的艺术,我国的刺绣驰名世界,被誉为“东方艺术明珠”,四大名绣不包括:B
A苏绣
B顾绣
C蜀绣
D湘绣
填空题
1、「孟母三迁」的故事里,孟母最后搬到哪一个地方旁边 答:学校
2、「环肥燕瘦」中的「燕」是指谁 答:赵飞燕
3、韦小宝是哪一部金庸武侠小说作品中的人物 答:鹿鼎记
4、三国演义中孔明六出祁山,姜维九伐中原,进出的是(金牛道)。
5、被称为国家经典的儒家著作是(《论语》)。
6、相传“推敲”一词出自唐代诗人(贾岛)的诗作。
7、(造纸术)(印刷术)(指南针)(火药)并称我过古代四大发明。
8、我国的四大名著分别是(《三国演义》)(《西游记》)(《水浒传》)(《红楼梦》)。
9、《诗经》分为(风)(雅)(颂)三大类共305篇。
10、诗文中的四君子是哪四种植物 答:梅,兰,竹,菊
11、无边落木潇潇下,不尽长江滚滚来。(杜甫《登高》)
12、周敦颐最爱什麼花 答:莲花、蚂蚁想摇动大树。比喻不自量力。该成语是蚍蜉撼树
14、京剧中的“大花脸”属于生旦净末丑中的(净)
15、「人间四月天」这出电视剧描写的男主角是哪一位诗人 答:徐志摩
16、二八佳人是几岁的女孩 答:16岁
17、我国最早的药典学著作是(《新修本草》)
18、通称“四书”的是((<<论语>>)(<<孟子>>)(<<大学>>)(<<中庸>>))。
19、我国著名的 三大石窟是指位于甘肃的(莫高窟),位于山西的(云冈石窟),位于河南的(龙门石窟)。
20、所谓的“六诗”之说出自《周礼·春官·大师》,指的是(风)、(雅)、(颂)、(赋)、(比)、(兴)。
21.被尊为“书圣”的王羲之,曾任“右军将军”,所以后世也称他为_王右军_____。22.李清照词:「人比黄花瘦」中的黄花是什麼花 答:菊花 23.三国演义中,刘备,关羽,张飞在哪儿结义 答:桃园
24、海上生明月,天涯共此时的作者是张九龄
25、“七月七日长生殿”的下句是(夜半无人私语时)。
26、被称为国家经典的儒家著作是(《论语》)。
27、中国书法、绘画得力于___宣___纸的使用,才使作者的情感和个性充分展现出来。
28、什麼场合,状况可以用「弄璋之喜」来祝贺他人 答:生子
29、指南针是我国古代四大发明之一,我国最早记载“磁石召铁”即天然磁矿石能吸铁的文献资料名为(《吕氏春秋》)。
30、一首「七言绝句」总共有几个字 答:28字
31、三国志的作者是谁 答:陈寿、“羌笛何须怨杨柳,春风不度玉门关。”作者是谁(王之涣)
33、中国文学史上往往将代表《诗经》的(国风)和代表《楚辞》的(《离骚》)并称为“风”“骚”。
34、通行于西周时期,铸在青铜上的文字,后世称为__金___文,也叫钟鼎文。
35、儒家经典中的“三礼”是指《仪礼》《周礼》和___《礼记》____。
36、一甲子是几年 答:六十年
37、科举制形成于唐朝
38、孔子的弟子当中,最直率好勇的是谁 答:子路(季路)
39、翻译莎士比亚全集,享誉海内外,著有「雅舍小品」是谁答:梁实秋
40、写怀旧回忆文章著名,且小说「橘子红了」曾被拍成电视剧的女作家是谁答:琦君
41、在古代汉语中“干”的本义是(盾牌)。
42、我国古代四大书院是指(白鹿洞书院)(石鼓书院)(应天府)(睢阳书院)。
43、京剧脸谱的构图样式有三种,即(整脸),三块瓦脸和(破脸)。
44、我国创作妇女诗最多的诗人是李白
45、中国苏州园林之四大名园(沧浪亭)、狮子林、(拙政园)、(留园),集中了江南园林建筑风格,它们分别代表了中国历史上四个不同时代的建筑风格,其中狮子林代表(元)代的建筑风格。
46、清末4种揭露小说《官场现形记》、《二十年目睹之怪现状》、《老残游记》、《孽海花》的作者分别是(李宝嘉)、(吴研人)、(刘鹗)、(曾朴)。
47、金陵十二钗是指 林黛玉,(薛宝钗)(王熙凤),史湘云(贾迎春)(贾探春)(贾迎春)(贾惜春)(秦可卿)(李纨)(妙玉)(贾巧姐)。
48、武术运动按照功能分类,可以分为健身武术、学校武术、竞技武术.49、武术运动按照形式与类别分类,可分为套路运动、搏斗运动两大类。50、太极拳的主要流派有:陈式、杨式、孙式、武式、吴式。
问答题:
1、“岁寒三友”指的是什么?请默写出一首有关方面的古诗词(包括题目、作者)
答:指松、竹、梅。
2、七大艺术是指什么啊?
绘画、音乐、文学、雕塑、戏剧、建筑、电影。
3、五彩是指: 青、黄、赤、白、黑
4、元代四大戏剧是
关汉卿《窦娥冤》、王实甫《西厢记》、汤显祖《牡丹亭》、洪升《长生殿》
5、中国的十二生肖是指:
鼠、牛、虎、兔、龙、蛇、马、羊、猴、鸡、狗、猪
6、十三经分别是指?
《易经》、《诗经》、《尚书》、《礼记》、《仪礼》、《公羊传》、《榖梁传》、《左传》、《孝经》、《论语》、《尔雅》、《孟子》 7.“竹林七贤”和“扬州八怪”分别指?
竹林七贤:嵇康、刘伶、阮籍、山涛、阮咸、向秀、王戎
扬州八怪:郑板桥、汪士慎、李鱓、黄慎、金农、高翔、李方鹰、罗聘
8、名、字、号
古人幼年时取名,成年时取字。名字均由父亲或尊长取定。字和名有意义上的联系。字是为了便于他人称谓。对平辈或长辈称字表礼貌和尊敬。号,又叫别号、表号,由自己取号,显示某种志趣或抒发某种情感。、中国十大名茶:
西湖龙井,洞庭碧螺春,武夷岩茶,铁观音,屯溪绿茶,祁门红茶,信阳毛尖,君山银针,普洱茶,滇红茶
10、京剧四大名旦:
是梅兰芳、程砚秋、尚小云、荀慧生。
11、我国汉字的六书是指:
象形、指事、会意、形声、转注、假借。
12、三吏三别--《石壕吏》《潼关吏》《新安吏》 《新婚别》《垂老别》《无家别》 三言二拍--《喻世明言》《警世通言》《醒世恒言》 《初刻拍案惊奇》 《二刻拍案惊奇》
13、“北宋四大家”和“唐宋古文八大家”分别指的是那些人? 北宋四大家:黄庭坚、欧阳修、苏轼、王安石 唐宋古文八大家:韩愈、柳宗元、欧阳修、苏洵
苏轼、苏辙、王安石、曾巩
14.简单介绍一下“二十四节气”。
二十四节气起源于黄河流域。远在春秋时代,就定出仲春、仲夏、仲秋和仲冬等四个节气。以后不断地改进与完善,到秦汉年间,二十四节气已完全确立。公元前104年,由邓平等制定的《太初历》,正式把二十四节气订于历法,明确了二十四节气的天文位置。太阳从黄经零度起,沿黄经每运行15度所经历的时日称为“一个节气”。每年运行360度,共经历24个节气,每月2个。其中,每月第一个节气为“节气”,即:立春、惊蛰、清明、立夏、芒种、小暑、立秋、白露、寒露、立冬、大雪和小寒等12个节气;每月的第二个节气为“中气”,即:雨水、春分、谷雨、小满、夏至、大暑、处暑、秋分、霜降、12个节气。“节气” 和“中气”交替出现,各历时15天,现在人们已经把“节气”和“中气”统称为“节气”。
15、八大样板戏是指
《智取威虎山》、《白毛女》、《红灯记》、《红色娘子军》、《奇袭白虎团》、《龙江颂》、《沙家浜》、《海港》
16、人们常说的“五湖四海”分别指的是?
五湖:鄱阳湖〖江西〗、洞庭湖〖湖南〗、太湖〖江苏〗、洪泽湖〖江苏〗、巢湖〖安徽〗 四海:渤海、黄海、东海、南海
17、人们常说的“三山五岳”分别指的是?
三山:安徽黄山、江西庐山、浙江雁荡山
五岳: 〖中岳〗河南嵩山、〖东岳〗山东泰山、〖西岳〗陕西华山、〖南岳〗湖南衡山、〖北岳〗山西恒山
18.四大名园和四大名楼分别是指?
四大名园:颐和园〖北京〗、避暑山庄〖河北承德〗、拙政园〖江苏苏州〗、留园〖江苏苏州〗
四大名楼:岳阳楼〖湖南岳阳〗、黄鹤楼〖湖北武汉〗、滕王阁〖江西南昌〗、大观楼〖云南昆明〗
19、“六礼”和“六艺”分别是指? 六礼:冠、婚、丧、祭、乡饮酒、相见 六艺:礼、乐、射、御、书、数
20、十三朝古都是指?有哪十三朝?该城的历史?
先后在西安建都的有:西周、秦、西汉、新、东汉(献帝初)、西晋(愍帝)、前赵、前秦、后秦、西魏、北周、隋、唐等13个王朝,建都历时长达1140年之久。自公元前1057年至公元904年。
西安曾长期是古代中国的政治、经济与文化中心,是中国古代做为都城时间最长的城市。
21、中华武术依据发源和流行的地域可区分为?并作简要介绍。依发源和流行的地域区分,可分为“南北派”。
富有阳刚之美。发力时要求身、腰、腿的劲力贯串一起,有时发声以声助力;上肢动作较多,手法丰富,腿法少,善于短打进攻。
“北派”——北拳跳跃、滚翻动作较多,动作舒展大方,快速多变;起伏转折明显,技击时腿法丰富,素有“手打三成,腿打七成”之说。
22、唐宋至明清出现的一种独立的教育机构,是私人或官府所设的聚徒讲授、研究学问的场所,宋代著名的四大书院是:
江西庐山的白鹿洞书院、湖南善化的岳麓书院、湖南衡阳的石鼓书院和河南商丘的应天府书院。
23、请说出“三从四德”的具体内容和影响。在封建时代,三从四德是妇女的行为规范。
“三从”出自《礼记.丧服.子夏传》,指“未嫁从父,既嫁从夫,夫死从子”。“四德”出自《周礼.天官.九嫔》,指“妇德、妇言、妇容、妇功”。
24、四大佛教名山和四大道教名山分别是?
四大佛教名山:浙江普陀山〖观音菩萨〗、山西五台山〖文殊菩萨〗、四川峨眉山〖普贤菩萨〗、安徽九华山〖地藏王菩萨〗
四大道教名山:湖北武当山、江西龙虎山、安徽齐云山、四川青城山
25、博士、硕士、学士从何而来?
「博士、硕士、学士」这些名称,古已有之,不过和现在的含意不完全相同。
博士,源于战国时代,当时是一种官职,也就是一些博通古今,知识渊博的人。硕士这个词,最早见于五代时期,通常指那些品节高尚,博学多识的人。学士最早出现于周朝,原本是指那些在学堂读书的人,后来逐渐变成文人学者。
26、科举职官(录取者与第一名的称谓)
乡试(录取者称为“举人”,第一名称为“解元”)
会试(录取者称为“贡生”,第一名称为“会元”)
殿试(录取者称为“进士”,第一名称为“状元”,第二名为“榜眼”,第三名为探花。
27、“四大民间传说”、“元代四大戏剧”和“晚清四大谴责小说”分别指的是? 四大民间传说:《牛郎织女》、《孟姜女》、《梁山伯与祝英台》、《白蛇与许仙》 元代四大戏剧:关汉卿《窦娥冤》、王实甫《西厢记》、汤显祖《牡丹亭》、洪升《长生殿》
晚清四大谴责小说:李宝嘉《官场现形记》、吴沃尧《二十年目睹之怪现状》、刘鹗《老残游记》、曾朴《孽海花》 28.哪里的纸墨砚笔最为著名?
答案:安徽泾县的宣纸、安徽歙县的歙墨、广东端州的端砚、浙江吴兴的湖笔。
29、古代妇女七出七去中的七去指:
一、“不顺父母”
二、“无子”
三、“淫”
四、“妒”
五、“有恶疾”
六、“口多言”
七、“窃盗”
30、世界四大古都是指?
西安、意大利的罗马,希腊的雅典、埃及的开罗并称为“世界四大古都”。
第四篇:七道题答案(本站推荐)
1、对学习十八大报告的认识和体会
十八大是我们党在全面建设小康社会关键时期和深化改革开放、加快转变经济发展方式攻坚时期召开的一次十分重要的会议。通过学习胡总书记在开幕式上的报告,我对过去五年国家的发展及十年来国家的奋斗历程有了深刻的认识,也明确了解国家未来的发展方向和目标。此次会议中令人印象深刻的是各省各界的代表均有提出当下我国社会上热点问题的议题,涉及到国内民生包括食品安全,福利休假制度,医疗体系等;国家关系包括中日关系,中美关系,邻邦关系等;国际贸易与投资等问题。切实让人感受到了问题正在被放在台面处理解决。恰逢党中央领导班子换届,也可以由这次大会管中窥豹,初见新一代领导核心的执政思路以及政治智慧。胡锦涛主席的报告中说了许多过往的成绩但是也提出了许多的还没有解决的问题。十八大报告中提出要建设好干部队伍,要加强党性修养、廉洁从政、理论学习和实践锻炼,全面提高自身的素质。这正是自我反省,如果盲目自大,必然会失败。可见我党是一个积极寻求自省,与时俱进,不断完善自己的大党。学习贯彻十八大精神,首先要准确把握十八大的基本精神,这是学习和贯彻的前提。“科学发展观”重要思想则是十八大的灵魂。“科学发展观”重要思想是对马克思列宁主义,毛泽东思想和邓小平理论的继承和发展,是加强和改进党的建设和发展的强大理论武器,是我们工作必须长期坚持的指导思想。确立“科学发展观”重要思想的重要指导地位,是十八大的一个历史性贡献。党的十八大精神特别是胡锦涛同志的报告,博大精深、意义深远,要学习好。通过认真学习胡总书记的报告后,我深深的感受到,想要成为一名优秀的,合格的党员就要及时,随时随地听取,学习党的最新指示与政策。作为一名积极分子我衷心希望可以加入到这么一个全心全力为人民服务的政党之中。希望可以与普天之下的共产党员一起为人民服务,为党做贡献,为国家献出一份力。
2、如何把党校学习和自己的思想、学习、工作结合起来
我觉得参加党校的学习是一种光荣而且神圣的学习,通过在党校的学习,可以增强我们对党的认识,对党的指导思想和各项方针政策有进一步更加清晰和明确的认识,可以让我们在本职工作学习中清楚的按照党员的标准严格要求自己,积极宣传党的思想和政策,把工作做的更好,为社会为人民做出更大的贡献。
3、怎样理解和认识党的指导思想?怎样认识马克思主义的中国化、大众化、时代化。
党的十七届四中全会通过的《中共中央关于加强和改进新形势下党的建设若干重大问题的决定》强调,要大力推进马克思主义中国化、时代化、大众化。提出这个问题,对于从思想上、政治上推进新时期党的建设伟大工程具有十分重要的现实意义和长远的历史意义
所谓马克思主义中国化,指的就是把马克思主义基本原理同中国具体实际相结合,运用马克思主义的立场、观点、方法研究和解决中国革命、建设和改革不同历史时期的实际问题,形成具有中国特色、中国风格、中国气派的中国化的马克思主义理论。马克思主义中国化的根本要求就是立足中国国情、研究中国问题、形成中国理论、指导中国实践。把握中国国情是马克思主义中国化的基础,为此就必须坚持用马克思主义立场、观点、方法研究解决中国革命、建设和改革中的实际问题,深入总结中国人民的独创性经验,不断为推动党和国家事业发展提供强有力的理论指导。实践是推进马克思主义中国化的根本途径。必须以改革发展稳定中的实际问题、以我们正在做的事情为中心,着
眼于马克思主义理论的运用,着眼于对实际问题的理论思考,着眼于新的实践和新的发展,研究新情况、解决新问题,不断赋予马克思主义新的内涵,在实践中丰富和发展中国特色社会主义理论体系。
所谓马克思主义时代化,指的就是把马克思主义基本原理同时代特征相结合,不断吸收新的时代内容,使马克思主义紧跟时代发展步伐。马克思主义中国化的过程,既是马克思主义基本原理同中国具体实际相结合的过程,也是马克思主义基本原理同时代特征相结合的过程。中国特色社会主义理论体系就是在和平与发展成为时代主题的历史条件下形成和发展起来的。马克思主义时代化的根本要求就是要反映时代精神、回答时代课题、引领时代潮流,不断推进马克思主义与时俱进。时代化包括内容时代化、形式时代化、话语体系时代化。推进马克思主义时代化,就必须准确把握时代主题,积极回应时代挑战,创造马克思主义理论的新范畴、新论断,用富有时代气息的鲜活语言,用适合当今社会的表达方式,更好地阐明对当今世界经济、政治、文化、社会等重大问题的主张和看法。
所谓马克思主义大众化,指的就是把马克思主义的基本原理、基本观点通俗化、具体化,使之更好地为人民大众所理解、所接受。马克思主义大众化的根本要求是关注大众需求、回应大众关切、解答大众困惑,不断推进马克思主义与人民大众的有机结合。革命导师列宁早就说过,最高限度的马克思主义等于最高限度的通俗化。马克思主义本质上是人民大众的理论。为了实现马克思主义大众化,必须紧密联系人民大众的思想实际,广泛开展马克思主义特别是中国特色社会主义理论体系的宣传普及。要坚持贴近实际、贴近生活、贴近群众,充分考虑广大人民群众的接受能力和思维习惯,把深邃的理论用平实质朴的语言讲清楚,把深刻的道理用群众乐于接受的方式说明白,让科学理论从书斋走进人民群众的心灵。在当代中国,推进马克思主义大众化,最主要的就是要推进包括邓小平理论、“三个代表”重要思想以及科学发展观等重大战略思想在内的中国特色社会主义理论体系大众化。
4、对深入贯彻落实党的十八大精神,争先创优,你是怎样认识的?
争先创优——活动是在基层党组织中广泛开展并富有成效的一种活动形式是巩固和拓展全党实践科学发展观活动的重要举措也是学习实践“科学发展观”活动的延续。服务人民群众是基层党组的出发点和落脚点是兑现承诺不断提高基层党组织的战斗堡垒作用和共产 党员的先锋模范作用的根本体现
5、对,你有什么新的认识?
不加强党的纪律和作风建设的话,老百姓很不乐意,当今中国,老百姓对党的这方面颇有微词。不加强党的纪律和作风建设必将失去民心,亡党亡国。期待有所改观。
6、通过学习,你认为应该怎样进一步端正入党动机?
只有为了献身共产主义事业,更好地为人民服务而要求入党,才是惟一正确的入党动机.这种入党动机与党的性质、宗旨、奋斗目标和党员条件是一致的。
7、在本职工作和学习中应怎样履行党员的权利和义务?
在全面建设和谐社会的今天,我们党员要始终保持先进性,充分体现时代发展的要求,就必须成为用“三个代表”重要思想武装头脑、努力实践“三个代表”重要思想的先锋模范。“三个代表”重要思想的本质是立党为公、执政为民,因此发挥党员先锋模范作用。有了意识和本领,关键就在落实于行动。
第五篇:党的群众路线知识竞赛100题(带答案)
兴和县党的群众路线教育实践活动
知识竞赛复习范围100题
1、党的十八大报告提出,围绕保持党的先进性和纯洁性,在全党深入开展以 为民务实清廉 为主要内容的党的群众路线教育实践活动,着力解决人民群众反映强烈的突出问题,提高做好新形势下群众工作的能力。
2、教育实践活动以 照镜子、正衣冠、洗洗澡、治治病 为总要求。
3、中国共产党三大优良作风 理论联系实际、密切联系群众、批评与自我批评。
4、“四风”问题是指 形式主义、官僚主义、享乐主义、奢靡之风。
5、这次教育实践活动整体上不分阶段、不搞转段,主要分为三个环节,分别是 学习教育
、听取意见 环节; 查摆问题、开展批评 环节; 整改落实、建章立制 环节。
6、第二批教育实践活动的重点任务是着力解决 “四风”突出问题、着力解决 关系群众切身利益问题、着力解决 联系服务群众在“最后一公里”问题。
7、总书记在中央党的群众路线教育实践活动第一批总结暨第二批部署会议上的讲话指出,理想信念 是共产党人 的精神之“钙”,必须加强思想政治建设,解决好世界观、人生观、价值观这个“总开关”问题。
8、总书记在中央党的群众路线教育实践活动第一批总结暨第二批部署会议上的讲话提出,开展第二批教育实践活动要坚持对照“理论理想、党章党纪、民心民生、先辈先进”四面镜子,以补精神之钙,除四风之害,祛行为之垢,立为民之制为重点。9、2014年3月9日,总书记在十二届全国人大二次会议安徽代表团参加审议时,围绕深入推进作风建设,对党员领导干部提出“ 严以修身、严以用权、严以律己,谋事要实、创业要实、做人要实 ”的重要论述,称为三严三实讲话。
10、全区第二批党的群众路线教育实践活动《工作方案》提出,要更加注重领导带头、层层示范,要求各级领导干部要以普通党员身份把自己摆进去,力争认识 高一层、学习深一步、实践 先一着、剖析解决问题 好一筹。
11、总书记在内蒙古考察时强调,要着力搞好教育实践活动,坚持 抓严、认真 抓实、切实 抓长,确保教育实践活动取得人民满意的实效。
12、王君同志在全区教育实践活动第一批总结暨第二批部署会议上强调要始终从严要求,从 思想 上严起来、从 整改 上严起来、从 纪律 上严起来。
13、自治区“8337”发展思路中的“三个更加注重”是 更加注重民生改善和社会管理、更加注重生态建设和环境保护、更加注重改革开放和创新驱动。14、2013年10月10日,自治区王君书记在发表了题为《把功夫下在民主生活会前》的署名文章,他指出要在会前 把问题找准找实、在会前 把思想谈开谈通、在会前 把根源剖深剖透、在会前 把方向把证把好,确保专题民主生活会高质量召开。15、2014年2月10日,中共兴和县十三届四次全委(扩大)会在兴和召开,会上县委书记王幂生强调,全县各级党组织和广大干部群众要进一步解放思想、改革创新,再接再厉、真抓实干,继续推进 八大工程 ,实现 三个转变,努力开创全县经济社会科学发展新局面。16、2013年7月24日,刘云山在党的群众路线教育实践活动中央督导组工作座谈会上指出,严把质量关,关键做到“五个不放过”,即 思想认识 上不去的不放过 查摆问题 不聚焦的不放过, 自我剖析 不深刻的不放过,整改措施 不到位的不放过, 群众 不满意的不放过。
17、实现中国梦必须走中国道路。全国各族人民一定要增强对中国特色社会主义的 政治自信、理论自信、制度自信 坚定不移沿着正确的中国道路奋勇前进。
18、习近平说:干部廉洁自律的关键在于守住 底线。只
要能守住做人、处事、用权、交友的底线,就能守住党和人民交给自己的政治责任,守住自己的 政治生命线,守住正确的人生价值。
19、中共中央政治局2013年4月19日召开会议,决定从下半年开始,用 一年 左右时间,在全党自上而下分批开展党的群众路线教育实践活动。
20、开展党的群众路线教育实践活动要坚持围绕中心、服务大局,全面贯彻落实党的十八大提出的各项任务要求,把 作风建设 放在突出位臵,以作风建设的新成效凝聚起推动事业发展的强大力量。
21、党的十八大指出,面对人民的信任和重托,面对新的历史条件和考验,全党必须增强 忧患 意识、创新 意识、宗旨 意识和 使命 意识。22、2013年12月30日,中国共产党乌兰察布市第三届委员会第四次全委(扩大)会议在集宁召开。会上市委书记王学丰强调,全市上下一定要把招商引资和产业承接作为“头号工程”、“一把手工程”,围绕推进 五个区 建设的既定战略,围绕经济、社会、生态、文化、城乡和基础设施建设,围绕实现经济社会转型升级,全力以赴抓,坚持不懈抓。23、2012年12月4日,总书记主持召开中共中央政治局会议,审议通过了中央政治局关于 改进工作作风、密切联系群众 的八项规定。24、1921年 7月23日,中国共产党第 一 次全国代表大会在 上海 召开,标志着完全新式的、以马克思主义为行动指南的、统一和唯一的中国工人阶级政党——中国共产党正式成立。
25、“三个代表”重要思想,是我们党的 立党之本、执政之基、力量之源、。
26、党的十八大报告提出,围绕保持党的先进性和纯洁性,在全党深入开展以(A)为主要内容的党的群众路线教育实践活动,着力解决人民群众反映强烈的突出问题,提高做好新形势下群众工作的能力。
A、为民务实清廉 B、实事求是 C、反腐倡廉
27、党在自己的工作中实行(C),一切为了群众,一切依靠群众,从群众中来,到群众中去,把党的正确主张变为群众的自觉行动。
A、集中力量办大事 B、党管干部原则 C、群众路线
28、坚持艰苦奋斗、勤俭节约,下决心改进文风会风,着力整治(C)等不良风气,坚决克服形式主义、官僚主义,以优良党风凝聚党心民心、带动政风民风。
A、享乐主义 B、消极腐败 C、慵懒散奢
29、(B)关系党的生死存亡。
A、坚持原则 B、人心向背 C、注重学习30、不断提高党的领导水平和执政水平、提高(B)能力,是党巩固执政地位、实现执政使命必须解决好的重大课题。
A、防范风险 B、拒腐防变和抵御风险 C、拒腐防变
31、我们党的最大政治优势是(A),党执政后的最大危险是脱离群众。
A、密切联系群众 B、加强作风建设 C、反对“四风”
32、群众路线是党的(B)。
A、根本宗旨 B、生命线和根本工作路线 C、优良作风
33、党在任何时候都把(B)放在第一位,同群众同甘共苦,保持最密切的联系,坚持权为民所用、情为民所系、利为民所谋,不允许任何党员脱离群众,凌驾于群众之上。
A、重视学习B、群众利益 C、党员权利和义务
34、实现中华民族伟大复兴的中国梦,必须充分调动最广大人民的(A)。
A、积极性、主动性、创造性 B、主动性、参与性、创造性 C、积极性
35、中国共产党的根本宗旨是(C)。
A、为民务实清廉
B、建设廉洁政党
C、全心全意为人民服务
36、党的群众路线教育实践活动主要任务聚焦到(A)上。A、作风建设 B、思想建设 C、制度建设
37、教育实践活动要集中解决形式主义、官僚主义、享乐主义和(B)问题。
A、党八股 B、奢靡之风 C、教条主义
38、教育实践活动着眼于自我净化、自我完善、(C)、自我提高。
A、自我改进 B、自我批评 C、自我革新
39、教育实践活动以(C)为总要求。A、查找不足、整顿提高 B、批评和自我批评 C、照镜子、正衣冠、洗洗澡、治治病 40、教育实践活动要以(A)为重点。A、县处级以上领导机关、领导班子、领导干部 B、党组织书记 C、党员干部
41、各级领导干部既是教育实践活动组织者、推进者、监督者,更是活动(B)。
A、评判者 B、参与者 C、设计者
42、作风问题具有(A),必须经常抓、长期抓。A、反复性和顽固性 B、隐蔽性和复杂性 C、反复性和复杂性
43、开展教育实践活动,要把(C)作为第一位的任务。A、学习宣传、舆论引导 B、教育党员、影响群众 C、学习教育、思想理论武装
44、教育实践活动坚持(A),广泛听取群众意见。A、开门搞活动 B、党内搞活动 C、闭门搞活动
45、教育实践活动要以(B)的勇气和态度查找问题、剖析原因。
A、高度负责 B、敢于亮短揭丑 C、严谨细致
46、中央决定用一年左右时间,在全党(A)开展党的群众路线教育实践活动。
A、自上而下分批 B、自下而上分批 C、一同开展
47、全党要克服精神懈怠危险、能力不足危险、(B)危险、消极腐败危险。
A、骄奢淫逸 B、脱离群众 C、作风不实
48、要坚持中国特色反腐倡廉道路,坚持标本兼治、综合治理、惩防并举、注重预防方针,全面推进惩治和预防腐败体系建设,做到(A)、政府清廉、政治清明。
A、干部清正 B、干部勤奋 C、干部公道
49、教育实践活动要把贯穿落实(A)精神作为切入点。A、中央八项规定 B、党的十八大 C、十八大党章 50、开展党的群众路线教育实践活动,要着力解决(B)的突出问题。
A、经济持续发展 B、人民群众反映强烈 C、民生改善
51、总书记3月9日在十二届全国人大二次会议安徽代表团参加审议时,强调各级领导干部都要做到“三严三实”,其中“三严”,是(ABC)。
A、严以修身 B、严以用权 C、严以律己 D、严以做事 52、5月6日下午,中央召开了党的群众路线教育实践活动视频会议,会上,赵乐际部长在传达习总书记重要批示及会议结束时强调了6点意见,其中包括(ABCD)。
A、从严从实找准突出问题 B、全面深入开展谈心交心 C、认真撰写对照检查材料 D、以整风精神开好专题
民主生活会
53、中央、自治区视频会议,县委书记王幂生从五个方面就全县贯彻落实中央、自治区领导同志的重要讲话精神作了具体安排部署,其中包括(ABCD)。
A、要认真抓好会议精神的学习贯彻 B、要细化完善教育实践活动工作部署
C、要从严从实抓好教育实践活动第二环节工作 D、切实加强对教育实践活动的指导、领导和督导
54、《中国共产党章程》指出,党在自己的工作中实行群众路线,(ABCD),把党的正确主张变为群众的自觉行动。
A、一切为了群众 B、一切依靠群众
C、从群众中来 D、到群众中去
55、《中共中央关于在全党深入开展党的群众路线教育实践活动的意见》指出,坚持讲求实效,开门搞活动,努力在解决作风(BD)和行为不廉上取得实效。
A、不好 B、不实 C、不端 D、不正
56、群众路线是实现党的(ABC)的根本工作路线,应该贯彻于我们党的全部工作之中。
A、思想路线 B、政治路线 C、组织路线 D、干部路线 57、2014年1月,总书记来内蒙古视察时要求着力
搞好教育实践活动,要借鉴第一批活动经验,坚持(ABC)做到让党员、干部思想上受教育、作风上有转变,让广大群众感到变化、感到满意。
A、高起点开局 B、高标准开展 C、高质量推进 D、快节奏推进
58、党在任何时候都坚持(ABC),不允许任何党员脱离群众,凌驾于群众之上。
A、权为民所用 B、利为民所谋 C、情为民所系 D、绩为民所创
59、新形势下党面临的“四大考验”是(ABCD)。
A、执政考验 B、改革开放考验 C、市场经济考验 D、外部环境考验
60、江泽民在《深入进行群众观点和群众路线教育》中指出,我们想事情,做工作,想得对不对,做得好不好,要有一个根本的衡量尺度,这就是(ABCD)。
A、人民拥护不拥护
B、人民赞成不赞成 C、人民高兴不高兴 D、人民答应不答应
61、群众路线教育实践活动总要求中的“治治病“,就是要(ABC)。
A、对作风方面存在问题的党员、干部进行教育提醒 B、对作风方面问题严重的进行查处
C、对与民争利、损害群众利益的不正之风和突出问题进行
专项治理
D、对脱离群众、缺乏群众立场观点的不合格党员及时处理 62、开展群众路线教育实践活动的三个重大意义包括(ABC)。
A、新形势下坚持党要管党、从严治党的重大决策
B、顺应群众期盼、加强学习型服务型创新型马克思主义执政党建设的重大部署
C、推进中国特色社会主义伟大事业的重大举措 D、密切党群众关系开启中国梦新征程的重大战略
63、下列符合《中央政治局改进工作作风、密切联系群众的八项规定》内容的表述是(ABCD)。
A、精简会议活动,切实改进会风
B、改进调查研究,切忌走过场、搞形式主义 C、改进警卫工作减少交通管制,一般不封路、不清场闭馆
D、厉行节约,严格执行住房、车辆配备等有关工作和生活待遇的规定
64、要落实为民务实清廉要求,其中做到清廉就要(ABCD)。
A、自觉遵守党章,严格执行廉政准则
B、自觉净化朋友圈、社交圈,带头约束自己的行为 C.严格规范权力行使,把权力关进制度的笼子
D、坚决反对一切消极腐败现象,做到干部清正、政府清廉、政治清明
65、习近平指出,衡量一名共产党员、一名领导干部是否具有共产主义远大理想,是有客观标准的,主要看的是(ABCD)。
A、能否坚持全心全意为人民服务的根本宗旨 B、能否吃苦在前、享受在后 C、能否勤奋工作、廉洁奉公
D、能否为理想而奋不顾身去拼搏、去奋斗、去献出自己的全部精力乃至生命
66、下列选自十八大以来习近平同志讲话中名言的有(ABD)。
A、实现中华民族伟大复兴的中国梦,就是要实现国家富强、民族振兴、人民幸福。
B、鞋子合不合脚,自己穿了才知道,一个国家的发展道路合不合适,只有这个国家的人民才最有发言权。
C、一个政权也好,一个政党也好,其前途与命运最终取决于人心向背,不能赢得最广大群众的支持,就必然垮台。
D、要坚持‚老虎‛、‚苍蝇‛一起打,既坚决查处领导干部违纪违法案件,又切实解决发生在群众身边的不正之风和腐败问题
67、党的十八大报告指出,要逐步建立以(BCD)为主要内容的社会公平保障体系,努力营造公平的社会环境,保证人民参与、平等发展权利。
A、社会公平B、权利公平C、机会公平D、规则公平68、群众路线教育实践活动,这是新形势下(ABD)。A、坚持党要管党、从严治党的重大决策 B、推进中国特色社会主义伟大事业的重大举措 C、依法治国的应有之义
D、顺应群众期盼、加强学习型服务型创新型马克思主义执政党建设的重大部署
69、群众路线教育 “三不”要求(BCD)。A、不动摇不懈怠不折腾 B、不要走过场,做到“不虚”
C、着力解决突出问题,做到“不空” D、紧紧围绕为民务实清廉,做到“不偏”
70、群众路线教育实践活动牢牢把握的原则是(ABCD)。A、正面教育为主 B、批评和自我批评 C、讲求实效 D、分类指导和领导带头 71、群众路线是实现党的的根本工作路线,(ABC)应该贯彻于我们党的全部工作之中。
A、思想路线 B、政治路线 C、组织路线 D.干部路线 72、党在任何时候都坚持(ABC),不允许任何党员脱离群众,凌驾于群众之上。
A、权为民所用 B、利为民所谋 C、情为民所系 D、绩为民所创
73、建设社会主义新农村的要求是(ABC)。A、生产发展、生活宽裕 B、乡风文明、村容整洁 C、管理民主 D、农民收入提高
74、以加强基层服务型党组织建设为抓手,扩大党的组织覆盖和工作覆盖,建设(ABCD)的基层党组织书记队伍,组织带领广大党员、干部为群众提供更多更好服务。
A、守信念 B、讲奉献 C、有本领 D、重品行 75、党的群众路线教育实践活动要牢牢把握(ABCD)的原则。A、正面教育为主 B、批评和自我批评 C、讲求实效 D、分类指导
76、开展党的群众路线教育实践活动要遵循的原则有哪些? 答:坚持正面教育为主;坚持批评和自我批评;坚持讲求实效;坚持分类指导;坚持领导带头。
77、如何开展好群众路线的教育活动?
答:
1、要把学习教育摆在突出位臵;
2、要紧密联系实际开展活动;
3、要聚焦解决“四风”问题;
4、要以整风精神开展批评和自我批评;
5、要保证作风建设常态长效。
78、社会主义核心价值体系的基本内容是什么?
答:马克思主义指导思想、中国特色社会主义共同理想、以爱国主义为核心的民族精神和以改革创新为核心的时代精神、社会主义荣辱观。
79、第二批教育实践活动要着力解决哪三方面的问题?
答:着力解决“四风”突出问题、着力解决关系群众切身利益的问题、着力解决联系服务群众“最后一公里”问题。
80、党的基层组织包括哪几种?
答:包括党的基层委员会、总支部委员会、支部委员会三种。81、第二批党的群众路线教育实践活动要求做到“六个更加注重”,指的是什么?
答:(1)更加注重领导带头、层层示范。(2)更加注重聚焦“四风”、解决问题。(3)更加注重敞开大门、群众参与。(4)更加注重分类指导、有序推进。(5)更加注重上下协力、衔接带动。(6)更加注重严格要求、真督实导.82、自治区以“四大行动”、“六大工程”为载体,切实推进全区党的群众路线教育实践活动。其中,“四大行动”、“六大工程”具体是指?
答:“四大行动”指大学习、大调研、大接访、大落实为主要内容的,“六大工程”是指扶贫攻坚、创业就业、平安创建、百姓安居、人才强区、干部素质提升。
83、总书记在党的群众路线教育实践活动第一批总结暨第二批部署会议上指出要认真落实第二批教育实践活动的各项措施,做到“五个更加注重”,即更加注重发挥群众积极性,更加注重强化问题导向,更加注重严格要求,更加注重衔接带动、更加注重 分类指导。
84、总书记在十二届全国人大二次会议安徽代表团参
加审议时,在关于推进作风建设的讲话中提到的“三严三实”是:严以修身、严以用权、严以律己,谋事要实、创业要实、做人要实。
85、在查摆问题、开展批评环节,要全面深入开展谈心交心,领导干部要做到“四必谈”,即:党委(党组)主要负责同志与班子每个成员必谈、班子成员相互之间必谈、班子成员与分管部门主要负责同志之间必谈、督导组与班子成员必谈。
86、理解党的群众路线,最重要的是要把握好几个方面? 答:第一,党的群众路线是党的政治优势;第二,党的群众路线反映了党的根本认识方法和工作方法;第三,党的群众路线是保持党的先进性、提高领导水平和执政能力、始终赢得群众拥护和信赖的根本途径。
87、群众路线教育实践活动的意义是什么?
答:开展党的群众路线教育实践活动,是实现党的十八大确定的奋斗目标的必然要求,是保持党的先进性和纯洁性、巩固党的执政基础和执政地位的必然要求,是解决群众反映强烈的突出问题的必然要求。
88、内蒙古关于改进工作作风、密切联系群众的七项规定是什么? 答:一是改进调查研究;二是精简会议活动;三是精简规范文件简报;四是规范因公出访和外事接待活动;五是改进新闻报道;六是厉行勤俭节约;七是加强督促检查。
89、“群众路线概念”首次出现在哪个文件中?
答:1929年9月28日,《中共中央给红军第四军委的指示信》中第一次出现了“群众路线”的概念。
90、改进作风要做到“五个反对”,五个反对是什么? 答:1.带头反对本本主义,端正良好学习风气;2.带头反对官僚主义,坚持密切联系群众;3.带头反对形式主义,务求取得实际效果;4.带头反对享乐主义,保持艰苦奋斗精神;5.带头反对奢靡之风,弘扬勤俭节约传统。
91、中国共产党对领导干部党风廉政建设要求为民、务实、清廉,分别指什么?
答:为民即坚持立党为公、执政为民,把实现好、维护好、发展好人民群众的根本利益作为自己思考问题和开展工作的根本出发点和落脚点。务实即求真务实,出于对党和人民的事业高度负责,脚踏实地,埋头苦干,坚持重实际、鼓实劲、求实效,不图虚名,不务虚功,扎扎实实地把党和国家的各项决策和工作落到实处;清廉即严于律己,廉洁奉公,时刻把党和人民的利益放在首位,严格遵守党纪国法,坚持高尚的精神追求,永葆共产党人的浩然正气,切实做到拒腐蚀、永不沾。
92、党和国家机关、国有企业(公司)、事业单位、人民团体,在经济往来中,在账外暗中收受各种名义的回扣、手续费的,属何种违纪行为? 受贿
93、反腐倡廉教育要面向全社会,把思想道德教育、纪律教
育与什么和法制教育结合起来?社会公德、职业道德、家庭美德
94、《廉政准则》规定,党员领导干部不准用公款开展哪些活动?
答:参与高消费娱乐;参与健身活动;获取各种形式的俱乐部会员资格。
95、《廉政准则》规定,哪些项目不准党员领导干部违反规定用公款支付?
答:购买商业保险;缴纳住房公积金;滥发津贴、补贴、奖金。
96、《廉政准则》在禁止脱离实际、弄虚作假、损害群众利益和党群干群关系方面,规定了不准有哪些行为?
答:不准有下列6种行为:(1)搞劳民伤财的“形象工程”和沽名钓誉的“政绩工程”;(2)虚报工作业绩;(3)大办婚丧喜庆事宜,造成不良影响,或者借机敛财;(4)在社会保障、政策扶持、救灾救济款物分配等事项中优亲厚友、显失公平;(5)以不正当手段获取荣誉、职称、学历学位等利益;(6)从事有悖社会公德、职业道德、家庭美德的活动。
97、我国传统文化中蕴涵着丰富的和合思想,形成了 ABCD 等崇尚和平的理念,培育了热爱和平、宽厚包容、不尚暴力的民族性格。
A.“和为贵” B.“亲仁善邻” C.“讲信修睦” D.“协和万邦”
98、六提倡,六反对”的内容是什么?
答:提倡崇尚科学,反对封建迷信;提倡健康娱乐,反对聚众赌博;提倡婚姻自由,反对买卖婚姻;提倡村邻和睦,反对宗族纠纷;提倡艰苦创业,反对铺张浪费;提倡少生优生,反对计划外生育。
99、社会主义核心价值观“三位一体”的科学内涵包括哪些方面?
国家层面:倡导“富强、民主、文明、和谐” 社会层面:倡导“自由、平等、公正、法治” 个人层面:倡导“爱国、敬业、诚信、友善” 100、党的各级纪律检查委员会的主要任务是什么? 答:维护党的章程和其他党内法规,检查党的路线、方针、政策和决议的执行情况,协助党的委员会加强党风建设和组织协调反腐败工作。
点击咨询 