1、 公开密钥基础设施 (PKl) 由以下哪几部分组成:(AD ) 。[多选题]
A、认证中心。注册中心
B、质检中心
C、咨询服务
D、证书持有者、用户、证书库
2、 下列算法属于 Hash 算法的有 (CD )[多选题]
A、RSA
B、DES
C、SHA1
D、MD5
3、 ( 中等 ) 以下选项中,哪些是数字签名机制能够实现的目标:(ABC ) 。[多选题]
A、接受者能够核实发送者对信息的签名
B、发送者不能抵赖对信息的签名
C、接受者不能伪造对信息的签名
D、发送者能够确定接受者收到信息
4、 商用密码标准体系包括商用密码()、()、()、()。(ABCD)[多选题]
A.国家标准
B.行业标准
C.团体标准
D.企业标准
5、 我国()、()、()密码算法正式成为ISO/IEC国际标准。(ABC)[多选题]
A.SM2算法
B.B.SM3算法
C.SM9算法
D.SM6算法
6、 由于 TCP/IP 协议的缺陷,可能导致的风险有 ( ABD)[多选题]
A、拒绝服务攻击
B、顺序号预测攻击
C、物理层攻击
D、TCP 协议劫持入侵
7、 CA 能提供以下哪种证书 ? ( ACD)[多选题]
A、个人数字证书
B、SET 服务器证书
C、SSL 服务器证书
D、安全电子邮件证书
8、 CSRF 攻击防范的方法有 ?(AB)[多选题]
A、使用随机 Token
B、校验 referer
C、过滤文件类型
D、限制请求频率
9、 黑盒测试法注重于测试软件的功能需求,主要试图发现下列几类错误(ABCD)[多选题]
A、功能不正确或遗漏
B、输入和输出错误
C、初始化和终止错误
D、性能错误
10、Virtual Private Network 在公共网上构建虚拟专用网,进行数据通信,可以保证通信过程中的身份认证、数据保密性和数据完整性。Virtual Private Network 采用的安全技术有:( ABD) 。[多选题]
A、安全隧道技术
B、密钥管理技术
C、数据包过滤技术
D、用户身份认证技术
11、 下面是关于常用服务的默认端口的叙述,正确的是:( AC) 。[多选题]
A、FTP :文件传输协议,默认使用 1 端口。
B、Telnet: 远程登录使用 5 端口。
C、HTTP :超文本传送协议,默认打开 80 端口以提供服务。
D、SMTP :邮件传送协议,目标计算机开放的是 3 端口。
12、 以下关于 DDOS 攻击的描述,下列哪些是正确的 ?(AC )[多选题]
A、无需侵入受攻击的系统,即可导致系统瘫痪
B、以窃取目标系统上的机密信息为目的
C、导致目标系统无法处理正常用户的请求
D、如果目标系统没有漏洞,远程攻击就不可能成功
13、 以下哪些测试属于白盒测试 ?(ABCD)[多选题]
A、代码检查法
B、静态结构分析法
C、符号测试
D、逻辑覆盖法
14、虚拟专用网络 (Virtual Private Network , Virtual Private Network) 是在公用网络上建立专用网络的技术,整个 Virtual Private Network 网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台。Virtual Private Network 的特点有:(ABD)[多选题]
A、安全性高
B、服务质量保证
C、成本高
D、可扩展性
15、拒绝服务攻击是黑客常用的攻击手段之一,以下属于拒绝服务攻击防范措施的是:(ACD)[多选题]
A、安装防火墙,禁止访问不该访问的服务端口,过滤不正常的畸形数据包
B、安装先进杀毒软件,抵御攻击行为
C、安装入侵检测系统,检测拒绝服务攻击行为
D、安装安全评估系统,先于入侵者进行模拟攻击,以便及早发现问题并解决
16、 计算机病毒 (Computer Virus , CV) 是编制者在计算机程序中插入的,破坏计算机系统功能或者数据的代码,能影响计算机系统的使用,并且能够自我复制的一组指令或程序代码,计算机病毒对操作系统的危害主要表现在:(ABCD)[多选题]
A、破坏操作系统的处理器管理功能
B、破坏操作系统的文件管理功能
C、破坏操作系统的存储管理功能
D、直接破坏计算机系统的硬件资源
17、 访问控制矩阵 (Access Control Matri_) 是最初实现访问控制机制的概念模型,以二维矩阵规定主体和客体的访问权限。那么明确访问权限是相当重要的工作,在 Windows 系统对文件的访问权限一般包括:(ABCD)[多选题]
A、修改
B、执行
C、读取
D、写入
18、在网络安全领域,社会工程学常被黑客用于(ACD)[多选题]
A、踩点阶段的信息收集
B、获得目标 webshell
C、组合密码的爆破
D、定位目标真实信息
19、web 安全是一个系统问题 , 包括服务器安全、 web 应用服务器安全、 web 应用程序安全、数据传输安全和应用客户端安全。然而 , 网络的规模和复杂性使 web 安全问题比通常意义上的 Internet 安全问题更为复杂。目前的 web 安全主要分为以下几个方面 ?(ABC )[多选题]
A、保护服务器及其数据的安全。
B、保护服务器和用户之间传递的信息的安全。
C、保护 web 应用客户端及其环境安全。
D、保证有足够的空间和内存,来确保用户的正常使用。
20、 拥有安全软件和安全的配置是安全网站必要的条件。web 服务器负责提供内容 , 调用产生内容的应用程序应用服务器为应用程序提供多种服务 , 包括数据存储、目录服务、邮件、消息等。而网站的服务器配置中往往存在很多安全问题 , 攻击者可以使用扫描工具检测到这些问题并加以利用 , 导致后端系统的攻陷 , 包括数据库和企业内部网络。常见的安全问题有 ?(ABCD )[多选题]
A、服务器软件未做安全补丁,有缺省密码的缺省的账号。
B、服务器软件漏洞和错误配置允许列出目录和目录遍历攻击。
C、不必要的缺省、备份或例子文件,包括脚本、应用程序、配置文件和网页。
D、不正确的文件和目录权限,不必要的服务被运行,包括内容管理和远程系统管理。
21、 针对暴力_攻击,网站后台常用的安全防护措施有哪些 ?(AB)[多选题]
A、拒绝多次错误登录请求
B、修改默认的后台用户名
C、检测 cookie referer 的值
D、过滤特殊字符串
22、数据安全能力成熟度模型的安全能力维度包括(ABCD)[多选题]
A.组织建设
B.制度流程
C.技术工具
D.人员能力
23、数据权限申请、审批、使用、展示数据需(BD)原则[多选题]
A.看看就行
B.敏感信息脱敏
C.随便发生
D.遵循最小化够用
24、数据安全中的数据指什么(ABCD)[多选题]
A.数字
B.设计文档
C.客户信息
D.企业组织机构
25、下列场景,外单位人员可能接触到数据的有:(BCD)[多选题]
A.内部使用
B.领地公开共享
C.受控公开共享
D.完全公开共享
26、去标识化的目标包括:(BD)[多选题]
A.删除所有标识符
B.数据重标识风险尽可能低
C.将数据尽可能泛化处理
D.数据尽可能有用
27、重标识的主要方法有:(ACD)[多选题]
A.分离
B.泛化
C.关联
D.推断
28、重标识的主要工作包括:(BC)[多选题]
A.选取属性特征,确保区分度足够小
B.选取属性特征,确保区分度足够大
C.基于选取的属性特征,与身份信息关联
D.基于选取的属性特征,去掉与身份信息的关联
29、数据时效性一般要求包括(ABD)[多选题]
A.制定数据存储时效性管理策略和规程
B.明确存储数据分享、禁止使用和数据清除有效期,具备数据存储时效性授权与控制能力
C.具备数据时效性自动检测能力
D.建立过期存储数据的安全保护机制
30、数据服务中的逻辑存储安全能力包括(ABC)[多选题]
A.建立了数据逻辑存储管理安全规范和机制
B.建立数据分片和分布式存储安全规范和规则
C.明确了多租户数据逻辑存储隔离授权与操作规范
D.提供了细粒度安全审计和数据操作溯源技术与机制
31、常用于防火墙安全策略的参数有(ABCD)[多选题]
A.源IP地址
B.目的IP地址
C.进程名称
D.目的端口号
32、应对信息安全风险的手段,可以分为哪几类?(ABC)[多选题]
A.接受风险
B.降低风险;
C.转嫁风险;
D.购买外包服务
33、使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于什么攻击类型?(A)[单选题]
A、拒绝服务
B、文件共享
C、BIND漏洞
D、远程过程调用
34、为了防御网络监听,最常用的方法是(B)[单选题]
A、采用物理传输(非网络)
B、信息加密
C、无线网
D、使用专线传输
35、向有限的空间输入超长的字符串是哪一种攻击手段?(A)[单选题]
A、缓冲区溢出;
B、网络监听
C、拒绝服务
D、IP欺骗
36、主要用于加密机制的协议是(D)[单选题]
A、HTTP
B、FTP
C、TELNET
D、SSL
37、用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段?(B)[单选题]
A、缓存溢出攻击;
B、钓鱼攻击
C、暗门攻击;
D、DDOS攻击
38、Windows NT 和Windows 2000系统能设置为在几次无效登录后锁定帐号,这可以防止(B)[单选题]
A、木马;
B、暴力攻击;
C、IP欺骗;
D、缓存溢出攻击
39、在以下认证方式中,最常用的认证方式是:(A)[单选题]
A、基于账户名/口令认证
B、基于摘要算法认证 ;
C、基于PKI认证 ;
D、基于数据库认证
40、下列不属于系统安全的技术是(B)[单选题]
A、防火墙
B、加密狗
C、认证
D、防病毒
41、标准制定过程中协商一致(Consensus)原则可以由标准组织的规则和流程具体规定,由主持人根据情况宣布其达成。就“协商一致”,以下哪些说法是正确的?(BCD)[多选题]
A.必须所有人意见一致
B.对关键问题没有重要相关方的持续的反对
C.考虑了所有相关方的意见
D.就对立的意见试图达成妥协
42、移动互联网应用服务器的数据防护安全要求包括(ABCD)[多选题]
A.应支持数据访问鉴别,只有鉴别成功的用户或者系统可以访间相应数据。
B.应支持通过包括但不限于数据备份、异地容灾等手段保证数据的安全。
C.应定期地或按某种条件实施数据备份。
D.应依据不同备份方式支持相应恢复能力。
43、135、移动互联网应用服务器的推送业务安全要求包括:在提供推送业务时,应对推送内容的安全性进行审核,避免推送可将用户定向到(ABC)[多选题]
A.恶意应用安装包下载地址
B.含有攻击代码的网站C.钓鱼网站的内容
D.与业务无关的网站
44、对于提供互联网管理端口的服务器,建议使用安全的网络协议进行远程管理,包括(ACD)[多选题]
A.SSH
B.HTTP
C.HTTPS
D.SNMP
45、移动互联网应用服务器的用户风险包括(ABCD)[多选题]
A.用户依赖
B.隐私窃取
C.资费消耗
D.远程控制
46、移动应用服务器的安全框架应包括以下哪些内容?(ABCD)[多选题]
A.数据安全
B.业务安全
C.系统安全
D.设备安全
47、移动互联网应用服务器的安全监控要求包括但不限于以下哪些项?(AC)[多选题]
A.主机安全监控
B.数据库安全监控
C.网络安全监控
D.人员安全监控
48、以下哪些是移动智能终端应用软件安装及卸载安全部分安装要求的具体技术要求?(ABCD)[多选题]
A.包含可有效表征供应者或开发者身份的签名信息、软件属性信息
B.正确安装到相关移动智能终端上,并生成相应的图标
C.安装时应提示终端操作系统用户对其使用的终端资源和终端数据进行确认
D.不应对终端操作系统和其他应用软件的正常运行造成影响
49、以下哪几项属于运行安全中对于稳定性的要求?(ABCD)
A.终端应用软件应保证其稳定运行,避免出现功能失效等类似现象
B.不应造成终端崩溃或异常的情况
C.避免出现失去响应、闪退等现象
D.允许随时停止、退出
50、以下哪几项是安装及卸载安全部分安装要求的具体技术要求?(ABCD)[多选题]
A.包含可有效表征供应者或开发者身份的签名信息、软件属性信息
B.正确安装到相关移动智能终端上,并生成相应的图标
C.安装时应提示终端操作系统用户对其使用的终端资源和终端数据进行确认
D.不应对终端操作系统和其他应用软件的正常运行造成影响