初赛试题.docx

初赛试题.docx

《初赛试题.docx》由会员分享，可在线阅读，更多相关《初赛试题.docx（29页珍藏版）》请在冰点文库上搜索。

初赛试题

/18

初赛考试样题

【注：

样题仅反映了初赛题型分布。

】

一、单选（共30题，总分15分）

1、基础电信运营企业各定级对象的定级结果，（D）应由集团公司进行审核。

A、2级以上

B、3级以上

C、4级以上

D、1至5级

2、备案单位基本信息表中“安全防护工作负责人”应是（B）。

A、本单位一把手

B、本单位主管领导

C、本单位联系人

D、本单位网络安全维护负责人

3、《关于电信网络等级保护工作有关问题的通知》（信电函[2006]35号）中指出，电信网络由各种设备、线路和相应的支撑、管理子系统组成，因此电信网络实施等级保护时应当（D）。

A、对电信网络采取基础网络和重要信息系统分开实施技术保护

B、对电信网络采取按照地域划分成不同安全域分开实施技术保护

C、按照“谁主管、谁负责”原则，各个电信网络各自部署实施，并进行监督、检查和指导

D、对整个网络统筹兼顾，按照国家制定的有关标准和要求，由电信网络的主管部门统一部署实施

4、下面哪一项是ISO/IECTR13335对风险分析的目的描述？

（C）

A、识别用于保护资产的责任义务和规章制度

B、识别资产以及保护资产所使用的技术控制措施

C、识别资产、脆弱性并计算潜在的风险

D、识别同责任义务有直接关系的威胁

5、电信网和互联网管理安全等级保护要求中，第2级在安全管理制度的评审和修订上应满足（A）。

A、应定期对安全管理制度进行评审，对存在不足或需要改进的安全管理制度进行修订

B、应定期或不定期地对安全管理制度进行评审，对存在不足或需要改进的安全管理制度进行修订

C、安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定

D、应定期或不定期对安全管理制度进行检查和审定

2/18

6、下列描述中不正确的是（C）。

A、对设备/系统的补丁程序，应首先在测试环境中测试通过，并对重要

文件进行备份后，方可实施补丁程序的安装。

B、应由安全管理人员定期进行安全检查，检查内容包括用户账号情况、

系统漏洞情况、数据备份等情况。

C、对发现的安全弱点和可疑事件，应通过尝试和验证，并依据其影响

程度划分等级，及时采取必要的安全防范措施。

D、对需要送出维修的介质，应首先清除其中的敏感数据，防止信息的

非法泄漏。

7、下列关于网络安全风险评估的描述中不正确是（C）。

A、风险评估既可以由电信运营企业自行发起并实施，也可由电信监管

部门视需求提出开展风险评估的要求，并最终由电信运营企业组织实施。

B、风险评估既可对整个电信网络全面开展，也可针对若干定级对象实

施。

C、风险评估既要对评估对象符合安全等级保护标准要求的程度进行评

估，也要对评估对象所面临的安全风险进行评估。

D、风险评估既可依托电信运营企业自身技术力量实施，也可以委托符

合要求的安全服务机构实施。

8、电信运营企业新建的电信网络或相关单元及系统，应当（B）完

成定级并向电信管理部门备案。

A、在正式投入运行前1个月内

B、在正式投入运行后1个月内

C、在正式投入运行后3个月内

D、在正式投入运行1个月后半年内

9、下列描述中（C）不属于定级对象相关系统安全管理要求。

A、应根据业务需求和系统安全分析确定系统的访问控制策略。

B、应建立系统安全管理制度，对系统安全策略、安全配置、日志管理

和日常操作流程等方面作出规定。

C、应定期对操作系统进行恶意代码检测并保存检测记录。

D、应指定专人对系统进行管理，划分系统管理员角色，明确各个角色

的权限、责任和风险，权限设定应当遵循最小授权原则。

10、下面对电信网和互联网安全防护体系描述正确的是（D）。

A、指对电信网和互联网及相关系统分等级实施安全保护

B、人为或自然的威胁可能利用电信网和互联网及相关系统存在的脆弱

性导致安全事件的发生及其对组织造成的影响

C、利用有线和，或无线的电磁、光电系统，进行文字、声音、数据、

图像或其他任何媒体的信息传递的网络，包括固定通信网、移动通信网等

D、电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复

三项工作互为依托、互为补充、相互配合．共同构成了电信网和互联网安全防护

体系。

3/18

11、关于信息产业部电信管理局《关于电信网络等级保护工作有关问题的通知》（信电函[2006]35号）的目的，以下说法最准确的是（A）。

A、指导电信业更好地实施信息安全等级保护工作，保证电信网络（含互联网）等级保护工作规范、科学、有序地开展

B、指导电信业加快推进信息安全等级保护，规范信息安全等级保护管理，保障和促进信息化建设

C、指导电信业信息系统主管部门依照相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营的信息安全等级保护工作。

D、指导电信业各单位组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，按照《信息系统安全等级保护定级指南》的要求，确定定级对象

12、根据《关于电信系统信息安全等级保护工作有关问题的意见》（信安通[2007]14号），开展针对各地全程全网性质的电信网络的信息安全等级保护检查时，应当（C）

A、由公安机关单独进行

B、由测评单位单独进行

C、会同电信主管部门共同进行

D、会同公安机关共同进行

13、《关于贯彻落实电信网络等级保护定级工作的通知》（信电函[2007]101号）中要求，对于经集团公司审核后，安全保护等级拟定为第3级及以上级别的定级对象，应由集团公司将定级报告（电子版）报送（A）评审，由专家组和电信运营企业共同商议确定定级对象的安全保护等级。

A、信息产业部电信网络安全防护专家组

B、公安机关网络安全防护专家组

C、测评单位网络安全防护专家组

D、第三方网络安全防护专家组

14、在电信网和互联网及相关系统中进行安全等级划分的总体原则是：

（D）

A、定级对象的经济价值和对公共利益的重要程度

B、业务系统对定级对象的依赖程度，以及定级对象的经济价值

C、定级对象受到破坏后对国家安全、社会秩序、经济运行公共利益以及业务系统的影响程度

D、定级对象受到破坏后对国家安全、社会秩序、经济运行公共利益以及网络和业务运营商的合法权益的损害程度

15、从电信网和互联网管理安全等级保护第（C）级开始要求，关键岗位人员离岗须承诺调离后的保密义务后方可离开。

A、1

B、2

C、3.1

4/18

D、3.2

16、数据库的安全性是指保护数据库，以防止不合法的使用而造成的数据泄露、更改或破坏，以下列出的选项中，不属于实现安全性的措施的是（C）。

A、用户标识和鉴别

B、授权规则

C、数据加密

D、数据备份

17、UNIX系统中用户的有效用户组是（D）

A、运行时是不可变

B、任意时刻可以有多个

C、只有用户在passwd文件中的gid项规定的用户组才有效

D、以上说法都不对

18、在Windows2000和Linux网络中，如果用户已经登录后，管理员删除了该用户帐户，那么该用户帐户将（C）

A、立刻失效

B、会在12分钟后失效

C、用户注销前一直有效

D、服务器重启后才失效

19、利用"缓冲区溢出"漏洞进行渗透测试模拟攻击过程中，利用WEB服务器的漏洞取得了一台远程主机的Root权限。

为了防止WEB服务器的漏洞被弥补后，失去对该服务器的控制，应首先攻击下列中的（D）文件。

A、etc/.htaccess

B、/etc/passwd

C、/etc/secure

D、/etc/shadow

20、数据库管理员接手一台服务器时发现，在OEM中连接数据库时，选择ConnectasSYSDBA，并不需要用户名和密码就可以直接登录，可以用（B）解决。

A、设置严格的密码策略，杜绝弱口令的存在即可解决该问题

B、连接Oracle数据库时不使用操作系统身份验证，即可杜绝这种现象

C、除SYS和SYSTEM外的其他用户一概都不分配给SYSDBA权限，即可杜绝此类现象

D、加密数据库连接，即可防止直接登录的情况发生

21、Oracle配置文件init.ora中O7_DICTIONARY_ACCESSIBILITY参数设置为FALSE为安全做法，它的作用是（C）。

A、意味着ANY权限不被授予给SYS拥有的对象，从而保护了数据字典

5/18

B、在同个ORACLE主目录内运行的所有实例共享一个公有的口令文件

C、控制具有SYSDBA权限的用户是否能够通过网络连接实例

D、指定是否审计事件的成功或受到权限控制的失败

22、用于实现数据存储的安全机制的SQL语句是（B）。

A、ROLLBACK

B、GRANT

C、COMMIT

D、CRAETETABLE

23、公钥加密与传统加密体制的主要区别是（D）。

A、从加密强度上看，公钥加密体制的加密强度更高

B、从密钥管理上看，公钥加密的密钥管理更为方便

C、公钥加密所使用的密钥长度要比传统加密体制大

D、公钥加密使用一公共密钥对数据加密，而一个私有密钥来对数据解密

24、Linux2.6版的内核中集成了（C），使Linux的安全性大幅度提高。

A、Iptables

B、Netfilter

C、SELinux

D、TCPWrappers

25、本地域名劫持（DNS欺骗）修改的是系统文件（D）

A、C:

\Windows\System32\drivers\etc\lmhosts

B、C:

\Windows\System32\etc\lmhosts

C、C:

\Windows\System32\etc\hosts

D、C:

\Windows\System32\drivers\etc\hosts

26、下面关于IIS的安全配置，那些是不正确的？

（C）

A、将网站内容移动到非系统驱动器

B、重命名IUSR账户

C、禁用所有Web服务扩展

D、创建应用程序池

27、最近Struts2被爆出的高危漏洞是（C）

A、sql注入

B、目录遍历

C、命令执行

D、文件包含

28、构造.asp;.gif这样的文件名去上传非法文件利用的是哪个IIS版

6/18

本的解析漏洞？

（C）

A、IIS4.0

B、IIS5.0

C、IIS6.0

D、IIS7.0

29、针对Mysql的SQL注入，可以使用什么函数来访问系统文件？

（C）

A、loadfileinfile

B、loadfile

C、load_file

D、loadfile_infile

30、假设一台windowsxp主机处于待机状态，而且没有运行任何其他非系统进程，请问该主机哪个进程是系统正常进程？

（B）

A、winlog0n.exe

B、Lsass.exe

C、Iexplorer.exe

D、Exp1orer.exe

二、不定项选择（共50题，总分50分）

1、通信网络安全防护工作坚持（ABC）的原则。

A、积极防御

B、综合防范

C、分级保护

D、抓大放小

2、电信管理机构对通信网络运行单位进行安全防护检查时，可以采取的检查措施有（ABCD）

A、查阅通信网络运行单位的符合性评测报告和风险评估报告

B、查验通信网络运行单位的有关设施

C、向通信网络运行单位工作人员询问了解有关情况

D、对通信网络进行技术性分析和测试

3、以下哪些情况下应当组织开展定级对象的安全评测（ABCD）

A、定级对象的安全保护等级初次确定后

B、定级对象的安全保护等级调整且安全保护等级变高后

C、定级对象重大改、扩建工程完成后

D、定级对象发生合并或拆分后

4、电信网络等级保护定级工作中，对定级结果评审有关要求描述正确的是:

（ABC）

A、企业各定级对象的定级结果（含1至5级）应由集团公司进行审核

B、对于经集团公司审核后，安全保护等级拟定为第2级及以下级别的定级对象，无需报电信网络安全防护专家组评审，可直接向电信监管部门进行备

7/18

案

C、对于经集团公司审核后，安全保护等级拟定为第3级及以上级别的定级对象，应由集团公司将定级报告报送电信网络安全防护专家组评审

D、由专家组和电信运营企业共同商议确定定级对象的安全保护等级，当专家组评审意见与电信运营企业的意见达不成一致时，应选择双方建议基本中较低的基本作为最终确定的级别

5、下面那些是电信网和互联网安全等级保护工作在实施过程中需要重点遵循的原则？

（ABCD）

A、同步建设原则

B、重点保护原则

C、适当调整原则

D、自主保护原则

6、通信网络安全风险评估工作的原则包括:

（ABCD）

A、标准性原则

B、可控性原则

C、最小影响原则

D、保密原则

E、适度性原则

F、等级保护原则

7、通信网络灾难备份及恢复的要素包括:

（ABCDEF）

A、冗余系统、冗余设备及冗余链路

B、冗余路由

C、备份数据

D、人员和技术支持能力

E、运行维护管理能力

F、灾难恢复预案

8、基础电信运营企业根据《电信网和互联网安全等级保护实施指南》，按照（ABC），将定级范围内的网络和系统划分成不同的定级对象，并分别确定各自的安全保护等级。

A、网络或业务类型

B、服务地域

C、企业内部管理归属

D、保密等级

9、依据对定级范围的划分，属于核心生产单元的是（ACD）

A、正式投入运营的传输网

B、企业内部办公系统

C、支撑和管理公共电信网及电信业务的业务单元和控制单元

D、承载各类电信业务的公共电信网（含公共互联网）及其组成部分

E、客服呼叫中心

F、网上营业厅

8/18

10、有关定级结果备案的描述正确的是:

（AB）

A、备案工作由集团公司和省级公司进行，各需填写一份备案单位基本情况表

B、地市及以下公司由省级公司统一向当地通信管理局备案，不再作为单独的管理主体另行备案

C、每级定级对象均需填写一份备案信息表、定级报告

D、集团公司、各省级公司负责管理的定级对象，均由工业和信息化部负责定级备案审核

11、电信网络安全防护工作的主要任务包括（ABCD）

A、电信网络的定级

B、电信网络的安全评测

C、电信网络的风险评估

D、电信网络安全防护工作的监督检查

12、对于定级对象的审核，以下说法中正确的是（CD）

A、由电信运营企业集团公司或省级公司负责管理的定级对象，由同级公安机关负责审核

B、由电信运营企业集团公司或省级公司负责管理的定级对象，由工业和信息化部负责审核

C、由电信运营企业集团公司负责管理的定级对象，由工业和信息化部负责审核

D、由电信运营企业省级公司负责管理的定级对象，由当地通信管理局负责审核

13、关于电信网和互联网风险评估，下列说法正确的有（ACD）

A、风险评估应贯穿于电信网和互联网及相关系统生命周期的各阶段中

B、电信网和互联网及相关系统生命周期各阶段中，由于各阶段实施的内容、对象、安全需求不同，涉及的风险评估的原则和方法也是不一样的

C、电信网和互联网及相关系统生命周期包含启动、设计、实施、运维和废弃等5个阶段

D、废弃阶段风险评估的目的是确保硬件和软件等资产及残留信息得到了适当的废弃处置，并确保电信网和互联网及相关系统的更新过程在一个安全的状态下完成

14、电信网和互联网风险评估过程中，其中一项是资产识别，在资产识别过程中，资产赋值体现出资产的安全状况对于组织的重要性，资产赋值中，应主要考虑资产的哪些属性？

（ABC）

A、资产的社会影响力

B、资产所提供的业务价值

C、资产的可用性

D、资产的存在形式

15、关于脆弱性的描述，哪些说法是正确的（ABCD）

9/18

A、脆弱性是对一个或多个资产弱点的总称

B、脆弱性识别也称为弱点识别，脆弱性是资产本身存在的，威胁总是要利用资产的脆弱性才可能造成危害

C、单纯的脆弱性本身不会对资产造成损害，而且如果系统足够强健，再严重的威胁也不会导致安全事件的发生并造成损失

D、资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现，这是脆弱性识别中最为困难的部分

16、电信网络安全防护工作的可控性原则包括（BCD）

A、风险可控性

B、人员可控性

C、工具可控性

D、项目过程可控性

17、电信网和互联网安全防护工作中的指导性原则有（ABD）

A、适度安全原则

B、可控性原则

C、最小权限原则

D、保密性原则

18、已备案网络单元变更操作描述正确的是（ACD）

A、因网络建设情况或企业内部管理归属变化，可只进行相关定级对象备案信息的更新。

B、对于已退网网络单元，运营企业应向工业和信息化部提请删除已备案网络单元。

C、对于网络单元安全等级调整的，应首先删除原网络单元备案信息，再按未备案网络单元进行定级备案。

D、对于网络单元拆分或合并的，应首先删除原网络单元备案信息，再按未备案网络单元进行定级备案。

19、人员和技术支持能力相关的电信网和互联网灾难备份及恢复实施资源要素要求包括（ABC）。

A、技术支持的组织架构

B、在硬件、软件、网络、工作时间等方面的技术支持要求

C、各类技术支持人员的数量和素质等要求

D、灾难恢复预案的教育、培训和演练要求

20、脆弱性识别所采用的方法可包括（ABCD）。

A、问卷调查

B、工具检测

C、文档查阅

D、渗透性测试

21、信息安全风险管理是信息安全保障工作中的一项基础性工作，以下说法中错误的是？

（D）

10/18

A、信息安全风险管理体现在信息安全保障体系的技术、组织、管理等方面。

B、信息安全风险管理贯穿信息系统生命周期的全部过程。

C、信息安全风险管理依据等级保护的思想和适度安全的原则。

D、信息安全风险管理要尽可能的降低风险，最大程度的保护信息及其相关资产。

22、风险评价方法分为定性风险评估、定量风险评估以及半定量风险评估三种，以下哪一个描述了定性风险评估？

（AD）

A、更具主观性、更依赖于专家、专业知识和组织机构对其所面临的风险的理解和判断。

B、试图为在风险评估与成本效益分析期间收集的各个组成部分计算客观数字值。

C、需要计算某项威胁的年度损失预期值（ALE）。

D、在评估重要的风险时，结果往往类似，体现不出足够的区别。

23、灾难恢复工作需求分析阶段的任务包括:

（ACD）

A、业务影响性分析

B、制定策略

C、制定恢复目标

D、风险分析

24、下列哪一项较好地描述了组织机构的安全策略？

（C）

A、定义了访问控制需求的总体指导方针

B、建议了如何符合标准

C、表明管理者意图的高层陈述

D、表明所使用的特定技术控制措施的高层陈述

25、安全的基本要求说法正确的是：

（ABCDE）

A、机密性

B、完整性

C、可用性

D、可控性

E、不可否认性

26、无论是哪一种web服务器，都会受到HTTP协议本身安全问题的困扰，这样的信息系统安全漏洞属于：

（A）

A、设计型漏洞

B、开发型漏洞

C、运行型漏洞

D、以上都不是

27、黑盒测试不需要准备的工具是：

（D）

A、扫描工具

11/18

B、抓包工具

C、漏洞溢出工具

D、网管工具

28、渗透测试的主要方式包括：

（ABC）

A、黑盒测试

B、白盒测试

C、灰盒测试

D、红盒测试

29、IEEE制定802.11i标准以增强无线网络的安全性，它使用哪个标准来实现用户认证和密钥管理？

（A）

A、802.1x

B、Radius

C、WAPI

D、TKIP

30、WLAN无线局域网安全主要表现在两个方面：

身份认证和传输安全，IEEE802.11定义的两种认证方式为？

（AB）

A、开放系统认证

B、共享密钥认证

C、服务集标识符SSID

D、MAC地址过滤

31、DNS服务器面临的安全隐患主要包括（ABCD）。

A、DNS欺骗（DNSSpoffing）

B、拒绝服务（Denialofservice）攻击

C、缓冲区漏洞溢出攻击（BufferOverflow）

D、缓存投毒（Cachepoisoning）

32、安装Oracle时采用默认安装配置，并安装好最新的安全补丁程序，但没有针对监听器的保护进行安全配置加固，黑客利用监听器可能成功的攻击行为有（ABCD）。

A、获取监听器和数据库的详细信息，远程停掉监听器，致死正常连接中断

B、在未设置密码的监听器上设置一个密码，使新的连接没有配置对应密码时无法连接到数据库

C、将监听器的跟踪级别设置为“support”，对服务器造成严重的性能问题

D、覆盖或改写ORACLE_HOME/sqlplus/admin/glogin.sql文件，指定一日志文件路径，记录监听器监听到的SQL语句，将其发送到日志文件中，实现以DBA身份执行SQL语句

33、在UNIX中的NIS（NetworkInformationSystem）存在的安全问题

12/18

有（ABD）。

A、不要求身份认证

B、客户机依靠广播来联系服务器

C、对用户名和密码没有采用加密传输机制

D、采用明文分发文件

34、NAT是防火墙中常见的功能，对NAT的描述正确的是（ABC）。

A、NAT是把内网的私有地址翻译成外网的公网地址，缓解IPv4地址的紧张

B、NAT协议可以隐藏内部设备的IP地址，保护内网主机安全

C、P2P应用可以穿透NAT是因为他可以把通讯隐藏在常用的HTTP（80）端口内

D、可以实现外网用户直接访问在NAT内网上的主机

35、Linux系统防止口令攻击，理论上应注意（ABCDE）。

A、禁止finger服务，防止系统合法帐号泄露。

B、尽量关闭存在隐患的FTP服务。

C、使用ssh服务代替telnet服务。

D、选择更安全的加密机制。

E、禁用缺省帐号，或严格设定其口令。

36、在Linux的/etc/shadow文件中有下面一行内容，从中可以看出（BD）。

smith:

!

!

:

14475:

3:

90:

5:

:

:

A、用户smith被禁止登录系统

B、用户smith每隔90天必须更换口令

C、口令到期时，系统会提前3天对用户smith进行提醒

D、更换了新口令之后，用户smith不能在3天内再次更换口令

37、下面关于SQL注入语句的解释，正确的是（ABCD）。

A、“And1=1”配合“and1=2”常用来判断url中是否存在注入漏洞

B、猜解表名和字段名，需要运气，但只要猜解出了数据库的表名和字段名，里面的内容就100%能够猜解到

C、andexists（select字段名from表明）常用来猜解数据库表的字段名