PAGEPAGE1江蘇省第二屆數據安全技術應用職業技能競賽初賽試題庫-上（單選題匯總）一、單選題1.網絡安全法規定國家實行網絡安全等級保護制度。A、正確B、錯誤答案：A2.在ZigBeeMAC安全中,MAC安全幀不包括A、報頭B、報尾C、負載D、幀內容答案：C3.在數據包轉發過程中,當TTL值減少到0時,這個數據包必須重發。A、正確B、錯誤答案：B4.以下行為不屬于違反國家涉密規定的行為:A、將涉密計算機、涉密存儲設備接入互聯網及其他公共信息網絡B、通過普通郵政等無保密及措施的渠道傳遞國家秘密載體C、在私人交往中涉及國家秘密D、以不正當手段獲取商業秘密答案：D5.數據在進行傳輸前,需要由協議自上而下對數據進行封裝。TCP/IP協議中數據封裝順序是:傳輸層、網絡接口層、互聯網絡層。A、正確B、錯誤答案：B6.運營者應當自行或者委托網絡安全服務機構對關鍵信息基礎設施每年至少進行()次網絡安全檢測和風險評估,對發現的安全問題及時整改,并按照保護工作部門要求報送情況。()A、一B、二C、三D、四答案：A7.我國目前確定了五大生產要素包括:A、土地、能源、人才、資本、知識B、土地、能源、勞動力、資本、數據C、土地、能源、商業、人才、信息技術D、土地、勞動力、資本、技術、數據答案：D8.運營者應當自行或者委托網絡安全服務機構對關鍵信息基礎設施每年至少進行()網絡安全檢測和風險評估,對發現的安全問題及時整改,并按照保護工作部門要求報送情況。A、一次B、二次C、三次D、四次答案：A9.SIM卡交換攻擊中,攻擊者假裝丟失原來的電話號碼,然后請求什么?A、重置受害者的MFA設置B、轉移受害者的電話號碼到自己的SIM卡上C、發送惡意軟件給受害者的設備D、竊取受害者的個人信息答案：B10.《中華人民共和國網絡安全法》規定,國家實行網絡安全架構保護制度。A、正確B、錯誤答案：B11.證書的有效期是多久?()A、10/20B、20/30C、30/40D、40/50答案：A12.《中華人民共和國網絡安全法》規定,國家實行網絡安全()保護制度。A、架構B、分級C、涉密D、等級答案：D13.小王自駕車到一座陌生的城市出差,則對他來說可能最為有用的是A、路況不良B、惡意軟件攻擊C、車輛碰撞D、音響失效答案：D14.在對某面向互聯網提供服務的某應用服務器的安全檢測中發現,服務器上開放了以下幾個應用,除了一個應用外其他應用都存在明文傳輸信息的安全問題,作為一名檢測人員,你需要告訴用戶對應用進行安全整改以解決明文傳輸數據的問題,以下哪個應用已經解決了明文傳輸數據問題:A、SSHB、HTTPC、FTPD、SMTP答案：A15.POW是指()A、權益證明B、工作量證明C、零知識證明D、以上都不是答案：B16.根據《個人信息保護法》的規定,以下哪種會受到《個人信息保護法》的規制?()A、接受、處理某APP違規收集用戶位置信息的投訴、舉報B、接受、處理某APP出售商品質量不合格的投訴、舉報C、調查、處理某APP違法從事金融經營活動D、調查、處理某APP的違法宣傳活動答案：A17.政務數據中包含的個人信息可以直接參與數據交易,作為政府的新經濟營收增長創新模式。A、正確B、錯誤答案：B18.()人民政府根據實際需要,應當制定公共數據采集、歸集、存儲、共享、開放、應用等活動的具體管理辦法。A、國家級B、省級C、市級D、區級答案：B19.物聯網中的物理安全措施主要包括以下哪些方面?A、鎖定物聯網設備的物理位置B、安裝視頻監控設備C、控制物聯網設備的物理訪問權限D、所有以上選項答案：D20.2013年,斯諾登爆料美國從2007年開始實施棱鏡計劃(PRISM),對全球進行電子監聽。棱鏡計劃是()主導A、美國聯邦法院B、美國駐華大使館C、美國國家安全局(答案)D、美國中央情報局答案：C21.《中華人民共和國網絡安全法》規定,國家實行網絡安全涉密保護制度。A、正確B、錯誤答案：B22.關鍵信息基礎設施的運營者采購網絡產品和服務,應當按照規定與提供者簽訂安全責任條款,明確安全和保密義務與責任。A、正確B、錯誤答案：B23.數據交易應當遵循自愿原則。A、對B、錯答案：A24.個人信息處理者利用個人信息進行自動化決策,應當保證決策的()和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇A、可行性B、自動化C、透明度D、精準度答案：C25.提高Apache服務器系統安全性時,下面哪項措施不屬于安全配置()?A、不在Windows下安裝Apache,只在Linux和Unix下安裝B、安裝Apache時,只安裝需要的組件模塊C、不使用操作系統管理員用戶身份運行A.pache,而是采用權限受限的專用用戶賬號來運行D、積極了解Apache的安全通告,并及時下載和更新答案：A26.物聯網中的網絡監控是用于什么目的?A、實時監測物聯網設備和網絡的運行狀態B、檢測物聯網設備是否符合安全標準C、監控物聯網設備的物理位置D、所有以上選項答案：A27.下列對爬蟲使用說法錯誤的是()。A、網絡數據爬取應限于對開放數據的獲取。如果網絡爬蟲獲取非開放的數據,便涉嫌違法甚至犯罪B、數據爬蟲技術不應具有侵入性,可以說,爬蟲的侵入性是其違法性的主要體現C、數據爬取應當基于正當目的,對開放數據的獲取可能因不符合正當目的而具有違法性D、爬取公開數據時即使突破網站或App的反爬蟲技術設置進行的爬取行為,行為人不需承擔刑事責任答案：D28.營者發現使用的網絡產品()應當及時采取措施消除風險隱患,涉及重大風險的應當按規定向有關部門報告A、服務存在安全缺陷B、收益未達到運營者期望C、使用了最新的支付系統D、無法從境外網絡訪問答案：A29.直接可識別性的例子如姓名、身份ID等基本身份信息,下列哪一項不屬于直接可識別性的例子?()A、指紋B、聲紋C、虹膜D、牙模答案：D30.根據《征信業管理條例》的規定,個人信息主體有權每年()免費獲取本人的信用報告。()A、一次B、兩次C、三次D、四次答案：B31.車載系統中的物理安全是指什么A、使用物理障礙物保護車輛B、使用物理鎖保護車輛C、使用物理傳感器監測車輛狀態D、使用物理按鈕控制車輛功能答案：A32.MFA洪水攻擊的目的是什么?A、竊取用戶的個人信息B、攔截用戶的登錄憑據C、使用戶對不斷的推送通知感到沮喪和厭倦D、發送大量垃圾郵件給用戶答案：C33.身份認證的目的是什么?A、確認通信對方的身份B、確認通信對方的財務狀況C、確認通信對方的社交地位D、確認通信對方的職業答案：A34.數據脫敏的主要目的是什么?A、數據加密B、隱私保護C、數據備份D、數據恢復答案：B35.公司的信息安全是信息安全部門負責,與其他員工無關A、正確B、錯誤答案：B36.國家大力推進電子政務建設,提高政務數據的科學性、()、時效性,提升運用數據服務經濟社會發展的能力。A、公平性B、創新性C、便民性D、準確性答案：D37.根據《網絡安全法》的規定,任何個人和組織可以利用爬蟲技術收集個人信息進行加工處理與售賣。A、正確B、錯誤答案：B38.個人信息的處理不包括個人信息的:A、收集B、使用C、存儲D、售賣答案：D39.國家大力推進電子政務建設,提高政務數據的科學性、準確性、(),提升運用數據服務經濟社會發展的能力。A、創新性B、公平性C、便民性D、時效性答案：D40.最小特權管理的原則是:A、每個用戶都擁有系統中的最大權限B、每個用戶只擁有完成任務所必要的權限集C、特權分配應按需使用D、特權擁有者可以隨意使用權限答案：B41.以下哪類可以作為網絡安全等級保護的定級對象?A、一臺裸金屬服務器,里面還沒有裝操作系統B、某部委部長用的PC終端C、某電商網站數據中心邊界路由器D、以上都不是答案：D42.()以上地方人民政府有關部門按照國家有關規定開展關鍵信息基礎設施安全保護工作A、區級B、縣級C、市級D、省級答案：B43.銀行保險監督管理機構應當按照縣級以上人民政府及法定授權部門對突發事件的應對要求,審慎評估突發事件對銀行保險機構造成的影響,依法履行的職責不包括下列哪一項內容?()A、加強對突發事件引發的區域性、系統性風險的監測、分析和預警B、督促銀行保險機構按照突發事件應對預案,保障基本金融服務功能持續安全運轉C、配合銀行保險機構提供突發事件應急處置金融服務D、引導銀行保險機構積極承擔社會責任答案：C44.訪問控制模型由哪些組成要素構成?A、主體、參考監視器、客體、訪問控制數據庫和審計庫B、用戶、進程、設備、文件和數據C、身份認證、授權、審計和監控D、所有選項都是答案：A45.數據脫敏中無效化的方法是什么?A、數據加密B、數據替換C、數據截斷或隱藏D、數據備份答案：C46.Oracle數據庫中,Delete命令可以刪除整個表中的數據,并且無法回滾。A、正確B、錯誤答案：B47.數據在進行傳輸前,需要由協議自上而下對數據進行封裝。TCP/IP協議中數據封裝順序是:互聯網絡層、網絡接口層、傳輸層。A、正確B、錯誤答案：B48.網絡社會工程學攻擊利用了人們的哪些固有弱點?A、輕信他人、缺乏警覺性、沖動行動、不了解安全風險等B、社交技巧不足、缺乏自信、好奇心過強、容易被誘惑等C、情緒不穩定、容易焦慮、記憶力差、判斷力弱等D、以上都不是答案：A49.根據《征信業管理條例》的規定,金融信用信息基礎數據庫接收從事信貸業務的機構按照規定提供的()。()A、信貸信息B、信用信息C、不良信息D、納稅信息答案：A50.《重要數據識別指南》中的“重要數據”是指哪些()A、關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據B、一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全C、未公開的政府信息,大面積人口、基因健康、地理、礦產資源等D、以上都是答案：D51.下列關于信息系統生命周期中安全需求說法不準確的是:A、明確安全總體方針,確保安全總體方針源自業務期望B、描述所涉及系統的安全現狀,提交明確的安全需求文檔C、向相關組織和領導人宣貫風險評估準則D、對系統規劃中安全實現的可能性進行充分分析和論證答案：C52.多因素身份驗證包括以下哪些因素?A、用戶名和密碼B、令牌和生物識別C、網絡流量分析和數據包過濾D、加密和解密算法答案：B53.《中華人民共和國網絡安全法》規定,國家實行網絡安全分級保護制度。A、正確B、錯誤答案：B54.在個人權利的保護方面,《個人信息保護法》規定了哪兩項不同于《通用數據保護條例》權利?()A、更正補充權、限制處理權B、個人的決定權、請求解釋權C、個人的決定權、限制處理權D、更正補充權、請求解釋權答案：B55.關鍵信息基礎設施發生重大網絡安全事件或者發現重大網絡安全威脅時,運營者應當()A、按照有關規定向保護工作部門、公安機關報告B、將相關信息盡快發布到境內的安全論壇網站上C、將相關信息盡快發布到境外的安全論壇網站上D、在處理完安全威脅并經過至少30個工作日的分析后再將相關信息發布到境內的安全論壇網站上答案：A56.發改委首次將區塊鏈納入“新基建”范圍的時間是()A、2016B、2015C、2022D、2020答案：D57.訪問控制決定用戶什么?A、是否能夠訪問網絡資源B、是否能夠使用網絡資源C、是否能夠修改網絡資源D、是否能夠刪除網絡資源答案：A58.對于用戶刪除賬號和數據,以下哪種做法是不正確的?()A、提供用戶刪除賬號和數據的功能B、刪除用戶數據的備份和鏡像C、限制用戶刪除賬號和數據的時間和方式D、在用戶提交刪除請求后及時處理并回復用戶三、多選題(19)答案：C59.打開一份郵件時,處理郵件附件的正確做法是()?A、確認發件人信息真實后,查殺病毒后打開B、置之不理C、刪除附件D、直接打開運行答案：A60.計算機信息系統實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法,由()會同有關部門制定。()A、國家安全部B、國家保密局C、公安部D、國家網信部門答案：C61.小王自駕車到一座陌生的城市出差,則對他來說可能最為有用的是A、停車誘導系統B、實時交通信息服務C、智能交通管理系統D、車載網絡答案：B62.如果發生大規模個人信息泄露事件,個人信息處理者應立即采取補救措施,并通知履行個人信息保護職責的部門和個人。通知應當包括下列哪個事項:A、個人信息泄露的信息種類、原因和可能產生的危害B、個人信息處理者采取的補救措施C、個人可以采取的緩解措施D、個人信息處理者的聯系方式E、以上都對答案：E63.關于《中華人民共和國數據安全法》下列說法正確的是:A、在中華人民共和國境內開展數據處理活動及其安全監管,適用《中華人民共和國數據安全法》。B、中華人民共和國數據安全法》所稱數據,是指任何以電子或者其他方式對文字的記錄。C、公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據,可以不按國家有關規定進行調查。D、境內的組織、個人可以隨意向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。答案：A64.根據《網絡安全法》的規定,任何個人和組織可以和監管機構合作采集加工處理個人信息進行交易。A、正確B、錯誤答案：B65.以下不屬于大數據特性的是()A、數據體量大B、數據價值密度大C、數據實時性高D、數據維度多答案：B66.國家機關應當遵循公正、()、便民的原則,按照規定及時、準確地公開政務數據。依法不予公開的除外。A、公平B、創新C、準確D、開放答案：A67.運營者應當組織從業人員網絡安全教育培訓,每人每年教育培訓時長不得少于A、1個工作日B、7個工作日C、5個工作日D、在經過認證的安全廠商下培訓滿一個自然月答案：A68.LoRaWAN網絡中的Join請求是指什么A、終端設備請求加入LoRaWAN網絡B、網關請求與網絡服務器建立連接C、應用服務器請求接收終端設備的數據D、網絡服務器請求接收網關的數據答案：A69.()負責統籌協調個人信息保護工作和相關監督管理工作。A、國家公安部門B、國家保密部門C、國家工信部門D、國家網信部門答案：D70.訪問控制中的強制訪問控制(MAC)模型基于()策略。A、最小權限策略B、最大權限策略C、需要到達的特定級別的授權策略D、基于屬性的策略答案：C71.訪問控制的目的是為了限制什么?A、訪問主體對訪問客體的訪問權限B、訪問客體對訪問主體的訪問權限C、訪問主體和客體之間的通信權限D、訪問主體和客體之間的數據傳輸速度答案：A72.政務數據類型包括文字、數字、圖表、圖像、音視頻等。A、正確B、錯誤答案：A73.民法調整平等主體的()、法人和非法人組織之間的人身關系和財產關系。A、人民B、公民C、居民D、自然人答案：D74.WiFi安全技術中,物理層安全需求不包含A、抗干擾B、抗衰落C、高效的密鑰管理需求D、抗竊聽性答案：C75.下不屬于云計算與物聯網融合模式的是A、單中心-多終端模式B、多中心-大量終端模式C、信息應用分層處理-海量終端模式D、單中心-單終端模式答案：D76.下面哪種情況可以被視為社會工程學攻擊的目標?A、數據中心的物理安全B、強密碼設置C、員工培訓計劃D、服務器硬件升級答案：C77.依據ISO27001,信息系統審計是()。()A、應在系統運行期間進行,以便于準確地發現弱電B、審計工具在組織內應公開可獲取,以便于提升員工的能力C、發現信息系統脆弱性的手段之一D、只要定期進行,就可以替代內部ISMS審核答案：C78.個人信息處理者應當公開個人信息保護負責人的(),并將個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部門A、身份證號B、聯系方式C、家庭住址D、工作地點答案：B79.以下不是數據安全中的原則是?()A、最小化原則B、分權分責原則C、高可用原則D、持續性改進原則答案：C80.《中華人民共和國民法典》規定,網絡用戶利用網絡服務實施侵權行為的,權利人有權通知網絡服務提供者采取刪除、屏蔽、斷開鏈接等必要措施。通知應當包括構成侵權的()及權利人的真實身份信息。A、初步證據B、歷史瀏覽記錄C、具體聲明D、IP地址答案：A81.數字簽名不能實現的安全特性為()A、防抵賴B、防偽造C、防冒充D、保密通信答案：D82.根據《征信業管理條例》的規定,征信機構對個人不良信息的保存期限,自不良行為或者事件終止之日起為()年;超過()年的,應當予以刪除。()A、2B、3C、4D、5答案：D83.違反《中華人民共和國個人信息保護法》規定處理個人信息,或處理個人信息未履行本法規定的個人信息保護義務的,履行個人信息保護職責的部門可做出下列處罰措施()。A、警告B、督促整改C、對違法處理個人信息的應用程序,責令暫停或者終止服務D、沒收違法所得E、以上都是答案：E84.根據《網絡安全法》的規定,網絡產品、服務的提供者實施哪種行為會受到處罰?()A、提供符合相關國家標準的強制性要求的網絡產品、服務;B、不在網絡產品、服務中設置惡意程序;C、在規定或者當事人約定的期限內,終止提供安全維護;D、發現網絡產品、服務存在安全缺陷、漏洞等風險時,立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告。答案：C85.以下哪種訪問控制模型是基于定義的訪問控制策略來控制對資源的訪問權限?A、自主訪問控制模型(DAC)B、強制訪問控制模型(MAC)C、角色基礎訪問控制模型(RBAC)D、基于策略的訪問控制模型(PBAC)答案：D86.根據《密碼法》的規定,國家密碼管理部門對采用()技術從事電子政務電子認證服務的機構進行認定,會同有關部門負責政務活動中使用電子簽名、數據電文的管理。()A、核心密碼B、普通密碼C、商用密碼D、混合密碼答案：C87.DoS攻擊是拒絕服務攻擊。攻擊者通過利用漏洞或發送大量的請求導致攻擊對象無法訪問網絡或者網站無法被訪問。A、TRUEB、FALSE答案：A88.在訪問控制中,以下哪個概念描述了對特定資源進行訪問操作時所需的身份驗證信息?A、認證B、授權C、驗證D、鑒別答案：A89.在App界面中應當能夠找到隱私政策,包括通過彈窗、文本鏈接、常見問題(FAQs)等形式。A、正確B、錯誤二、單選題(12)答案：A90.PDCERF方法是信息安全應急響應工作中常用的一種方法,它將應急響應分成六個階段。其中:下線中病毒的主機、修改防火墻過濾規則等動作屬于哪個階段()A、準備階段B、遏制階段C、根除階段D、檢測階段答案：B91.《數據安全法》規定,國家開展數據安全監測預警,建立數據安全風險評估、報告、信息共享、監測預警機制。這些機制的目的是什么?A、增加數據處理的復雜性B、限制數據處理活動C、提高數據安全風險應對能力D、阻礙數據流通答案：C92.單點登錄(SSO)認證過程中,當請求中攜帶的Cookie無效時,攔截器會怎么處理?A、放行訪問請求B、重定向用戶到目標應用系統的登錄界面C、向統一認證服務器發送驗證請求D、檢查請求的URL是否在無需保護的列表中答案：B93.有關部門以及網絡安全服務機構在關鍵信息基礎設施安全檢測評估中獲取的信息A、可以在網絡上公開售賣B、不能用于其他用途C、可以提供給安全從業人員進行參考學習D、可以提供給境外安全論壇進行談論、研究和學習以促進互動和安全行業發展答案：B94.屬性基礎訪問控制模型(Attribute-BasedAccessControl,ABAC)是基于什么來決定用戶對資源的訪問權限?A、用戶屬性B、資源屬性C、環境屬性D、所有以上答案：D95.本地化差分隱私和中心化差分隱私最主要的區別在于()A、名字不同B、敏感度定義不同C、是否依賴可信第三方D、數據種類不同答案：C96.近年來利用DNS劫持攻擊大型網站惡性攻擊事件時有發生,防范這種攻擊比較有效的方法是?A、加強網站源代碼的安全性B、對網絡客戶端進行安全評估C、運營商對域名解析服務器進行加固D、在網站的網絡出口部署應用級防火墻答案：C97.哪種身份認證方式容易被破解和盜用?()A、生物特征識別B、智能卡認證C、雙因素認證D、用戶名和密碼答案：D98.以下哪些政務數據不得開放?。A、涉及國家秘密B、商業秘密C、個人隱私D、以上全部都是答案：D99.4A系統指的是以下哪些功能的集合?A、認證B、授權C、賬號管理D、審計E、所有選項都是正確的答案：E100.以下關于TCP協議的說法,哪個是正確的?A、相比UDP,TCP傳輸更可靠,并具有更高的效率B、TCP協議包頭中包含了源IP和目的IP,因此TCP協議負責將數據傳送到正確的主機C、TCP協議具有流量控制、數據校驗、超時重發、接收確認等機制,因此能完全可以替代IP協議D、TCP協議雖然高可靠,但是比UDP協議過于復雜,傳輸效率要比UDP低答案：D101.運營者網絡安全管理負責人履行下列職責A、組織制定網絡安全規章制度、操作規程并監督執行B、組織對關鍵崗位人員的技能考核C、組織開展網絡安全檢查和應急演練,應對處置網絡安全事件D、以上都是答案：D102.()主管全國的保密工作。A、國家安全部門B、公安部門C、中央保密委員會D、國家保密行政管理部門答案：D103.《數據安全法》中的“數據”是指()。A、任何電子或者非電子形式對信息的記錄B、進行各種統計、計算、科學研究或技術設計等所依據的數值C、網絡數據D、只包括電子形式的信息記錄答案：A104.為了預防SQL注入,以下哪種方法不推薦使用?A、使用參數化查詢B、直接拼接SQL語句C、對不可信數據進行校驗D、預編譯處理答案：B105.嵌入式系統中的安全芯片是指什么A、專用芯片,用于提供硬件級安全功能B、芯片上的加密引擎,用于執行密碼算法C、芯片上的安全存儲器,用于保存加密密鑰D、芯片上的防火墻,用于阻止外部攻擊答案：A106.對于數據安全防護,訪問控制措施是一個基礎的防護手段,以下哪些可以被認為是訪問控制措施A、基于五元組的訪問控制B、基于時間的訪問控制C、基于角色的訪問控制D、基于物理安全的E、以上都對答案：E107.基于密碼的身份驗證依賴于什么?A、用戶名和密碼或PINB、指紋和密碼C、面部識別和密碼D、虹膜掃描和密碼答案：A108.我國定義的五大生產要素,不包括:A、數據B、能源C、勞動力D、資本答案：B109.物聯網分為感知、網絡和()三個層次,在每個層面上。都將有多種選擇去開拓市場A、應用B、推廣C、傳輸D、運營答案：A110.在實施風險評估時,形成了《待評估信息系統相關設備及資產清單》。在風險評估實施的各個階段中,該《清單》應是()A、風險評估準備B、風險要素識別C、風險分析D、風險結果判定答案：B111.下面()是強制訪問控制(MAC)模型中的一個重要元素。A、主體B、客體C、標簽D、規則答案：C112.()有權對違反本法規定的行為向有關主管部門投訴、舉報?A、只有從事數據安全工作的人員有權B、只有從事數據安全工作的組織有權C、只有從事數據安全工作的人員和組織有權D、任何個人、組織都有權答案：D113.在中華人民共和國()開展數據處理活動及其安全監管適用《中華人民共和國數據安全法》A、境內部分地區B、境內以及境外C、境外D、境內答案：D114.某公司的員工,正當他在忙于一個緊急工作時,接到一個電話,被告知系統發現嚴重漏洞,緊急修復,需提供他的系統管理賬戶信息”,接下來他的正確做法是()。A、核實之后,如是真實情況,才可提供賬號信息B、詐騙電話,直接掛機C、直接拒絕D報警答案：A115.國家實施網絡實名制身份戰略,支持研究開發安全、方便的電子身份認證技術,推動不同電子身份認證之間的互認。A、正確B、錯誤答案：B116.自2017年爆出幽靈漏洞之后,2021年又爆出熔斷漏洞,常見CPU無一幸免,該漏洞導致數據泄露的原理是主板內存泄露。A、正確B、錯誤答案：B117.降低風險(或減低風險)指通過對面的風險的資產采取保護措施的方式來降低風險,下面那個措施不屬于降低風險的措施()A、減少威脅源,采用法律的手段制裁計算機的犯罪,發揮法律的威懾作用,從而有效遏制威脅源的動機B、簽訂外包服務合同,將存在風險的任務通過簽訂外包合同給與第三方完成,通過合同條款問責應對風險C、減低威脅能力,采取身份認證措施,從而抵制身份假冒這種威脅行為的能力D、減少脆弱性,及時給系統打補丁,關閉無用的網絡服務端口,從而減少系統的脆弱性,降低被利用可能答案：B118.下列所述風險評估方法中錯誤的是哪項:A、風險評估方法包括:定性風險分析、定量風險分析以及半定量風險分析B、定性風險分析需要憑借分析者的經驗和直覺或者業界的標準和慣例,因此具有隨意性C、定量風險分析試圖在計算風險評估與成本效益分析期間收集的各個組成部分的具體數字值,因此更具客觀性D、半定量風險分析技術主要指在風險分析過程中綜合使用定性和定量風險分析技術對風險要素的賦值答案：B119.已被發現,但相關軟件廠商還未第一時間給出補丁進行修復的漏洞稱之為?()單選A、已有漏洞B、CVE漏洞C、Nday漏洞D、0DAY漏洞答案：D120.對惡意代碼的預防,需要采取增強安全防范策略與意識等措施,關于以下預防措施或意識,說法錯誤的是:A、在使用來自外部的移動介質前,需要進行安全掃描B、限制用戶對管理員權限的使用C、開放所有端口和服務,便利且充分使用系統資源D、不要從不可信來源下載或執行應用程序答案：C121.國密256加密算法是采用國家密碼管理局公布的公鑰算法()進行加密的。A、SM1B、SM2C、RSAD、AES答案：B122.如果想要為一個存在大量用戶的信息系統實現自主訪問控制功能,在以下選項中,從時間和資源消耗的角度,下列選項中他應該采取的最合適的模型或方法是()。A、訪問控制列表(ACL)B、能力表(CL)C、BLP模型D、Biba模型答案：A123.以下不屬于個人敏感信息的有()A、個人基因信息B、個人血樣C、個人聲紋D、未滿14歲未成年人個人信息E、以上都屬于答案：E124.關于信息系統安全等級保護第三級的系統運維管理,應對系統相關的人員進行應急預案培訓,應急預案的培訓至少()舉辦一次。A、每季度B、每半年C、每年D、每2年答案：C125.當前,應用軟件安全已經日益引起人們的重視,每年新發現的應用軟件漏洞已經占新發現漏洞總數一半以上。下列選項中,哪個與應用軟件漏洞成因無關:A、傳統的軟件開發工程未能充分考慮安全因素B、開發人員對信息安全知識掌握不足C、相比操作系統而言,應用軟件編碼所采用的高級語言更容易出現漏洞D、應用軟件的功能越來越多,軟件越來越復雜,更容易出現漏洞答案：C126.國家積極開展數據安全治理、數據開發利用等領域的國際交流與合作,參與數據安全相關國際規則和標準的制定,目的是:。A、促進數據跨境安全、自由流動B、促進數據跨境安全,安全流動C、促進數據自由跨境,自由流動D、促進數據自由跨境,安全流動答案：A127.以下關于定級工作說法不正確的是:()A、確定定級對象過程中,定級對象是指以下內容:起支撐、傳輸作用的信息網絡(包括(答案)專網、內網、外網、網管系統)以及用于生產、調度、管理、指揮、作業、控制、辦公等目的的各類業務系統(答案)B、確定信息系統安全保護等級僅僅是指確定信息系統屬于五個等級中的哪一個。C、在定級工作中同類信息系統的安全保護等級不能隨著部、省、市行政級別的降低而降低。D、新建系統在規劃設計階段應確定等級,按照信息系統等級,同步規劃、同步設計、同步實施安全保護技術措施和管理措施。答案：A128.在進行數據安全風險評估時,以下哪項是關鍵的第一步?A、制定詳細的風險應對措施B、選擇合適的風險評估方法和工具C、識別并確定評估的范圍和對象D、匯總并報告評估結果答案：C129.下列哪個是訪問控制中的授權方式?A、訪問請求審查B、雙因素認證C、單一登錄D、加密傳輸答案：A130.在大數據環境中,()不是隱私保護的關鍵挑戰之一。A、數據集成和共享B、數據存儲和處理能力C、跨組織數據交換D、網絡攻擊和入侵答案：D131.在訪問控制中,以下哪個概念描述了用戶或主體的訪問權限在特定時間段內有效?A、審計B、審查C、時效D、撤銷答案：C132.多因素身份驗證的目的是什么?A、提高用戶方便性B、減少數據傳輸的復雜性C、加強身份驗證的安全性D、加速系統登錄速度答案：C133.以下關于模糊測試過程的說法正確的是:A、模糊測試的效果與覆蓋能力,與輸入樣本選擇不相關B、為保障安全測試的效果和自動化過程,關鍵是將發現的異常進行現場保護記錄C、可能無法恢復異常狀態進行后續的測試D、通過異常樣本重現異常,人工分析異常原因,判斷是否為潛在的安全漏洞,如果是安全漏洞,就需要進一步分析其危害性、影響范圍和修復建議E、對于可能產生的大量異常報告,需要人工全部分析異常報告答案：D134.身份信息在傳輸過程中需要保證哪些安全性?A、機密性、完整性、可用性B、機密性、可復制性、可用性C、完整性、可變性、可用性D、完整性、可靠性、可復制性答案：A135.下列哪個是常見的單點登錄(SSO)技術?A、OAuthB、SAMLC、LDAPD、RADIUS答案：B136.區塊鏈信息服務提供者應當記錄區塊鏈信息服務使用者發布內容和日志等信息,記錄備份應當保存不少于()。()A、3個月B、6個月C、9個月D、12個月答案：B137.省級以上人民政府應當將()發展納入本級國民經濟和社會發展規劃.A、信息經濟B、智慧經濟C、數字經濟D、數據經濟答案：C138.數據安全能力成熟度模型強調,企業在數據安全方面應首先確立哪項內容?A、數據安全目標B、業務發展計劃C、信息安全政策D、數據治理架構答案：A139.CTO在對企業的信息系統進行風險評估后,考慮企業業務系統中部分涉及電商支付的功能模塊風險太高,他建議該企業以放棄這個功能模塊的方式來處理風險,請問這種風險處置的方法是()A、降低風險B、規避風險C、放棄風險D、轉移風險答案：B140.組織第一次建立業務連續性計劃時,最為重要的活動是:A、制定業務連續性策略B、進行業務影響分析C、進行災難恢復演練D、構建災備系統答案：A141.HASH加密用復雜的數字算法來實現有效的加密,其算法不包括()A、MD2;B、MD4;C、MD5;D、Cost256答案：D142.以下哪項是降低社會工程學攻擊風險的有效措施?A、增加網絡防火墻的配置B、提供員工教育和培訓C、定期進行漏洞掃描和滲透測試D、使用強密碼保護賬戶答案：B143.數據在進行傳輸前,需要由協議自上而下對數據進行封裝。TCP/IP協議中數據封裝順序是:A、傳輸層、網絡接口層、互聯網絡層B、傳輸層、互聯網絡層、網絡接口層C、互聯網絡層、傳輸層、網絡接口層D、互聯網絡層、網絡接口層、傳輸層答案：B144.某網站為了更好向用戶提供服務,在新版本設計時提供了用戶快捷登錄功能,用戶如果使用上次的IP地址進行訪問,就可以無需驗證直接登錄,該功能推出后,導致大量用戶賬號被盜用,關于以上問題的說法正確的是:A、網站問題是由于開發人員不熟悉安全編碼,編寫了不安全的代碼,導致攻擊面增大,產生此安全問題B、網站問題是由于用戶缺乏安全意識導致,使用了不安全的功能,導致網站攻擊面增大,產生此問題C、網站問題是由于使用便利性提高,帶來網站用戶數增加,導致網站攻擊面增大,產生此安全問題D、網站問題是設計人員不了解安全設計關鍵要素,設計了不安全的功能,導致網站攻擊面增大,產生此問題答案：D145.以下關于數據庫常用的安全策略理解不正確的是:A、最小特權原則,是讓用戶可以合法的存取或修改數據庫的前提下,分配最小的特權,使得這些信息恰好能夠完成用戶的工作B、最大共享策略,在保證數據庫的完整性、保密性和可用性的前提下,最大程度地共享數據庫中的信息C、粒度最小的策略,將數據庫中數據項進行劃分,粒度越小,安全級別越高,在實際中需要選擇最小粒度D、按內容存取控制策略,不同權限的用戶訪問數據庫的不同部分答案：B146.以下哪種情形不適用《網絡安全法》?()A、在中國境內建設網站B、在中國境內運營網站C、在中國境內使用網站D、在中國境外使用網站答案：D147.業務連續性計劃(BCP)是組織為避免關鍵業務功能因重大事件而中斷,減少業務風險而建立的一個控制過程。A、正確B、錯誤答案：A148.數據交易應當遵循()原則。A、自愿原則。B、公平原則C、誠信原則D、以上都正確答案：D149.網絡社會工程學攻擊的防范措施之一是避免哪些行為?A、在公共場合或網絡上泄露個人敏感信息,如銀行卡號、密碼、身份證號等B、在電子郵件中發送敏感信息,使用安全加密的方式進行傳輸C、點擊可疑的鏈接、下載可疑的附件等D、以上都是答案：D150.以下哪個是惡意代碼采用的隱藏技術:A、文件隱藏B、進程隱藏C、網絡連接隱藏D、以上都是答案：D151.以下哪種行為不適用《數據安全法》?()A、中國境內開展數據處理活動的行為B、中國境外開展數據處理活動的行為C、中國境外開展數據處理活動損害中國國家利益的行為D、中國境外開展數據處理活動損害公民合法權益的行為答案：B152.為切實服務受重大突發事件影響的客戶,支持受影響的個人、機構和行業,銀行業金融機構可以采取的措施不包括以下哪一項?()A、減免受影響客戶賬戶查詢、掛失和補辦、轉賬、繼承等業務的相關收費B、與受重大影響的客戶協商調整債務期限、利率和償還方式等C、為受重大影響的客戶提供續貸服務D、適當延長受重大影響客戶的報案時限,減免保單補發等相關費用答案：D153.數據處理者應當采取什么措施保障數據免遭泄露、篡改、破壞、丟失、非法獲取或者非法利用?A、僅依賴技術手段B、僅依賴管理制度C、采取技術保護和管理措施D、無需采取任何措施答案：C154.網絡運營者應當加強對其用戶發布的信息的管理,發現法律、行政法規禁止發布或者傳輸的信息的,應當立即停止傳輸該信息,采取更改措施,防止信息擴散,保存有關記錄,并向有關主管部門報告。A、正確B、錯誤答案：B155.以下關于UDP協議的說法,哪個是錯誤的?A、具有簡單高效的特點,常被攻擊者用來實施流量型拒絕服務攻擊B、UDP包頭中包含了源端口號和目的端口號,因此可通過端口號將數據包送達正確的程序C、相比TCP,UDP開銷更小,因此常用來傳送如視頻這一類大流量需求的數據D、UDP協議不僅具有流量控制,超時重發等機制,還能提供加密等服務,因此常用來傳輸如視頻通話這類需要保護隱私的數據答案：D156.以下哪種方式可以保障數據的安全傳輸?()A、脫敏B、加密C、分類D、明文傳輸答案：B157.運營者不履行關鍵信息基礎設施安全保護條例的,拒不改正或者導致危害網絡安全等后果的,處()罰款A、十萬元以上一百萬元以下B、二十萬元以上二百萬元以下C、五十萬元以上三百萬元以下D、一百萬元以上答案：A158.數據安全風險評估的主要目的是什么?A、增加數據處理量B、提高數據處理速度C、識別和控制數據安全風險D、降低數據安全投入成本答案：C159.重要涉密部門的人員選配,應當堅持()的原則,并定期進行考核,不適合的應及時調整。A、誰選配誰負責B、先審后用C、先選后訓D、邊審邊用答案：B160.Wi-Fi使用()系列協議A、IEEE802.11B、IEEE802.12C、IEEE802.11gD、IEEE803.11答案：A161.根據安全漏洞檢測的方法,漏洞掃描技術的類型不包括A、基于主機的檢測技術B、基于路由的檢測技術C、基于網絡的檢測技術D、基于審計的檢測技術答案：D162.3.角色基礎訪問控制模型(Role-BasedAccessControl,RBAC)是基于什么來確定用戶的訪問權限?A、用戶屬性B、資源屬性C、用戶角色D、環境屬性答案：C163.什么是系統變更控制中最重要的內容?A、所有的變更都必須文檔化,并經過審批B、變更應通過自動化工具來實施C、應維護系統的備份D、通過測試和批準來確保質量答案：A164.以下哪種行為不適用《個人信息保護法》?()A、在中國境內因商業服務處理自然人個人信息;B、在中國境外以向境內自然人提供產品或者服務為目的處理境內自然人個人信息;C、在中國境外分析、評估境內自然人的行為;D、在中國境內因個人事務處理自然人個人信息。答案：D165.Kerberos認證協議中的"AS"代表什么?A、認證服務器B、授權服務器C、應用服務器D、票據授予服務器答案：A166.白盒測試的具體優點是:A、其檢查程序是否可與系統的其他部分一起正常運行B、在不知程序內部結構下確保程序的功能性操作有效C、其確定程序準確性成某程序的特定邏輯路徑的狀態D、其通過嚴格限制訪問主機系統的受控或虛擬環境中執行對程序功能的檢查答案：C167.強制訪問控制模型(MandatoryA.ccessControl,MAC)基于什么來確定資源的訪問權限?A、資源所有者授權B、用戶角色分配C、固定的安全策略和標簽D、用戶行為和環境信息答案：C168.民法調整平等主體的自然人、法人和()之間的人身關系和財產關系。A、法人組織B、非法人組織C、自然人組織D、個體工商戶答案：B169.實踐中常使用軟件缺陷密度(Defects/KLPC)來衡量軟件的安全性,假設某個軟件共有30萬行源代碼,總共檢出150個缺陷,則可以計算出其軟件缺陷密度值是0.5。A、正確B、錯誤答案：A170.虛擬專用網絡(VirtualPrivateNetwork,VPN)通過什么來建立安全的連接?A、加密和隧道技術B、用戶角色C、系統管理員D、用戶屬性答案：A171.在網絡社會工程學攻擊中,以下哪項是常見的形式?A、電話詐騙B、媒體欺騙C、社交工程攻擊D、以上都是答案：D172.《中華人民共和國民法典》規定,個人信息的處理包括個人信息的收集、存儲、使用、加工、()、提供、公開等。A、買賣B、傳輸C、刪除D、管理答案：B173.Oracle中的三種系統文件不包含()A、數據文件DBFB、控制文件CTLC、日志文件LOGD、歸檔文件ARC答案：D174.網絡安全等級保護2.0正式實施日期是()。A、2017年6月1日B、2019年12月1日C、2019年12月10日D、2019年5月10日答案：B175.以下哪些信息不屬于個人信息?()A、個人醫療記錄B、個人支付憑證C、個人位置信息D、匿名化的犯罪記錄答案：D176.根據《密碼法》的規定,商用密碼產品檢測認證適用()的有關規定,避免重復檢測認證。()A、《中華人民共和國網絡安全法》B、《中華人民共和國數碼安全法》C、《中華人民共和國個人信息保護法》D、《中華人民共和國消費權益保護法》答案：A177.物聯網中的安全測試是用于什么目的?A、發現物聯網設備和系統的安全漏洞B、測試物聯網設備的性能指標C、測試物聯網設備的可用性D、評估物聯網設備的制造成本答案：A178.ISMS是基于組織的()風險角度建立的。()A、財務部門B、資產安全C、信息部門D、整體業務答案：D179.對系統工程(SystemsEngineering,SE)的理解,以下錯誤的是:A、系統工程偏重于對工程的組織與經營管理進行研究B、系統工程不屬于技術實現,而是一種方法論C、系統工程不是一種對所有系統都具有普遍意義的科學方法D、系統工程是組織管理系統規劃、研究、制造、試驗、使用的科學方法答案：C180.數據提供部門應當按照誰主管、誰負責,誰提供、誰負責的原則,負責本部門數據采集、歸集、存儲、提供、共享、應用和開放等環節的安全管理。A、正確B、錯誤答案：A181.數據安全風險評估過程中,最重要的是什么?A、數據收集B、風險評估方法選擇C、風險識別與分析D、風險應對措施制定答案：C182.《中華人民共和國民法典》規定,處理個人信息時,應當遵循()、正當、必要原則。A、合法B、合理C、適度D、適當答案：A183.Windows訪問控制中,用戶的身份標識是通過什么方式創建的?A、訪問令牌B、用戶名和密碼C、IP地址和端口號D、數字證書答案：A184.通過向被攻擊者發送大量的ICMP回應請求,消耗被攻擊者的資源來進行響應,直至被攻擊者再也無法處理有效的網絡信息流時,這種攻擊稱之為:A、Land攻擊B、Smurf攻擊C、PingofDeath攻擊D、ICMPFlood答案：D185.動態令牌是一種常見的身份認證方法,它基于()原理。A、事先共享的密鑰B、時鐘同步算法C、數字簽名D、會話密鑰答案：B186.如果APP要將用戶數據轉移至其他公司,該公司應當()。A、事先告知用戶數據轉移的目的和方式,并獲得用戶明示同意B、不需要獲得用戶同意,因為這些數據屬于公司資產C、將用戶數據轉移后再通知用戶D、不需要通知用戶,因為這些數據已經匿名化答案：A187.國家實施網絡()戰略,支持研究開發安全、方便的電子身份認證技術,推動不同電子身份認證之間的互認。A、認證身份B、可信身份C、信譽身份D、實名制身份答案：B188.某電商系統RPO(恢復點目標)指標為1小時。請問這意味著()A、該信息系統發生重大安全事件后,工作人員應在1小時內到位,完成問題定位和應急處理工作B、信息系統發生重大安全事件后,工作人員應在1小時內完整應急處理工作并恢復對外運行--RTOC、該信息系統發生重大安全事件后,工作人員在完成處置和災難恢復工作后,系統至少能提供1小時的緊急業務服務能力D、該信息系統發生重大安全事件后,工作人員在完成處置和災難恢復工作后,系統至多能丟失1小時的業務數據(答案)答案：D189.數據安全防護要求不包括以下哪項?()A、建立數據安全管理責任和評價考核制度B、嚴格控制重要數據的使用、加工、傳輸、提供和公開等關鍵環節,并采取加密、脫敏、去標識化等技術手段保護敏感數據安全C、采購網絡關鍵設備和網絡安全專用產品目錄中的設備產品時,應采購通過國家檢測認證的設備和產品。D、因業務需要,確需向境外提供數據的,應當按照國家相關規定和標準進行安全評估答案：C190.防火墻是網絡信息系統建設中常常采用的一類產品,它在內外網隔離方面的作用是不能物理隔離,但是能邏輯隔離。A、正確B、錯誤答案：A191.入侵檢測技術不能實現以下哪種功能()。A、檢測并分析用戶和系統的活動B、核查系統的配置漏洞,評估系統關鍵資源和數據文件的完整性C、防止IP地址欺騙D、識別違反安全策略的用戶活動答案：B192.在數據包轉發過程中,當TTL值減少到0時,這個數據包必須接收。A、正確B、錯誤答案：B193.網絡安全等級保護建設的流程是什么?A、定級、備案、監督檢查、建設整改、等級測評B、定級、備案、建設整改、等級測評、監督檢查C、建設整改、等級測評、監督檢查、定級、備案D、等級測評、定級、備案、建設整改、監督檢查答案：B194.最小特權是軟件安全設計的基本原則,某應用程序在設計時,設計人員給出了以下四種策略,其中有一個違反了最小特權的原則,作為評審專家,請指出是哪一個?A、軟件在Linux下按照時,設定運行時使用nobody用戶運行實例B、軟件的日志備份模塊由于需要備份所有數據庫數據,在備份模塊運行時,以數據庫備份操作員賬號連接數據庫C、軟件的日志模塊由于要向數據庫中的日志表中寫入日志信息,使用了一個日志用戶賬號連接數據庫,該賬號僅對日志表擁有權限D、為了保證軟件在Windows下能穩定的運行,設定運行權限為system,確保系統運行正常,不會因為權限不足產生運行錯誤(答案)答案：D195.國家鼓勵開發網絡數據安全保護和利用技術,促進國家政務數據開放,推動技術創新和經濟社會發展。A、正確B、錯誤答案：B196.等保2.0對云計算環境有額外的安全擴展要求。A、正確B、錯誤答案：A197.為了體現公平公正原則,每年高考都有嚴格的數據防泄密措施。以下哪項是無效的數據保密手段?A、封閉出卷、封閉閱卷B、試卷密封,運輸過程全監控C、考生個人信息必須填入密封線以內,否則答卷無效D、出題完畢后出題組統一離場,不得交頭接耳E、試卷交由甲級國家秘密載體印制資質的單位印刷答案：D198.未經國家網信部門、國務院公安部門批準或者保護工作部門、運營者授權A、個人可以直接進行漏洞探測B、在發現確定存在漏洞后才能進行漏洞探測C、任何個人和組織不得對關鍵信息基礎設施實施漏洞探測D、安全服務廠商可以直接進行漏洞探測答案：C199.MFA疲勞是指什么?A、攻擊者攔截MFA推送通知B、用戶疲憊不堪于頻繁的MFA推送通知C、攻擊者通過社會工程欺騙用戶提供登錄憑據D、用戶忘記了MFA代碼答案：B200.公安部門隊對某款搶紅包外掛進行分析發現此外掛是一個典型的木馬后門,使黑客能夠獲得受害者電腦的訪問權,該后門程序為了達到長期駐留在受害者的計算機中,通過修改注冊表啟動項來達到后門程序隨受害者計算機系統啟動而啟動為防范此類木馬的攻擊,以下做法無用的是()A、不下載、不執行、不接收來歷不明的軟件和文件B、不隨意打開來歷不明的郵件,不瀏覽不健康不正規的網站C、禁用共享文件夾D、安裝反病毒軟件和防火墻,安裝專門的木馬防范軟件答案：C201.依據IS027001,信息分類方案的目的是?()A、劃分信息的數據型,如供銷數據、生產數據、開發測試數據,以便于應用大數據技術對其分析。B、劃分信息載體所屬的職能以便于明確管理責任C、劃分信息載體的不同介質以便于存儲和處理,如紙張、光盤、磁盤。D、劃分信息對于組織業務的關鍵性和敏感性分類,按此分類確定信息存儲、處理、處置的原則答案：C202.某社交網站的用戶點擊了該網站上的一個廣告。該廣告會將瀏覽器定向到一個網游網站,網游網站獲得了該用戶的社交網絡信息。這種向Web頁面插入惡意html代碼的攻擊方式稱為()A、分布式拒絕服務攻擊B、跨站腳本攻擊C、SQL注入攻擊D、緩沖區溢出攻擊答案：B203.下面哪項為錯誤的說法A、馮·諾依曼結構共用數據存儲空間和程序存儲空間,不共享存儲器總線B、哈佛結構有分離的數據和程序空間及分離的訪問總線C、哈佛結構在指令執行時,取址和取數可以進行并行操作D、哈佛結構指令執行時效率更高答案：A204.以下做法,正確的是()。A、離職后將個人負責的項目的敏感文檔一并帶走B、將敏感信息在云盤備份C、會議室使用完畢后及時擦除白板D、在公共場所談論敏感信息答案：C205.數據私有產權不包括哪些()A、控制權B、管理權C、開放權D、使用權答案：C206.下列不屬于核心數據的是()A、關系國家安全的數據B、關系國民經濟命脈的數據C、關系重要民生的數據D、關系公共利益的數據答案：D207.《中華人民共和國網絡安全法》規定:()A、促進公共數據開放B、保護關鍵信息基礎設施C、嚴打網絡詐騙,明確“網絡實名制”.D、保護個人信息E、以上都對答案：E208.數據安全責任,按照誰所有誰負責、誰持有誰負責A、對B、錯答案：B209.LoRaWAN網絡中的反重放攻擊是指什么A、攻擊者重復發送相同的數據包B、網絡服務器重復發送相同的數據包C、終端設備在同一時間窗口內發送多個數據包D、網關將數據包重復傳輸到網絡服務器答案：A210.書面形式的涉密載體,應在封面或者首頁做出國家秘密標志,匯編涉密文件、資料或摘錄、引用屬于國家秘密內容的應按照其中最低密級和最短保密期限標注。A、正確B、錯誤答案：B211.釣魚攻擊通常利用以下哪種方式來欺騙目標?A、偽造電子郵件、短信或其他通信形式B、直接物理接觸C、網絡掃描D、加密解密技術答案：A212.下列不屬于數據脫敏方案的是?()A、無效化B、隨機值C、偏移和取整D、程序化答案：D213.導致數據發生升降級的主要因素不包括()A、數據匯聚融合B、生產數據脫敏C、特定時間或事件后信息失去原有敏感性D、對數據復制答案：D214.國家支持開展數據安全知識宣傳普及,下列說法錯誤的是:A、只有企業參與數據安全保護工作B、行業組織需要參與數據安全保護工作C、行業組織、科研機構需要參與數據安全保護工作D、有關部門、行業組織、科研機構、企業、個人等共同參與數據安全保護工作答案：A215.恢復攻擊是指攻擊者如何獲取訪問權限?A、通過請求重置受害者的賬戶來繞過MFAB、通過網絡釣魚詐騙獲得受害者的登錄憑據C、通過感染惡意軟件竊取受害者的個人信息D、通過冒充合法軟件與受害者進行通信答案：A216.未滿()的未成年人為無民事行為能力人,其網絡打賞行為是無效的。A、8周歲B、10周歲C、12周歲D、14周歲答案：A217.字典攻擊是指攻擊者使用常見的用戶名和密碼組合進行嘗試,以猜測用戶的憑據。以下哪種是字典攻擊的示例?A、密碼猜測/暴力破解攻擊B、社會工程學攻擊C、中間人攻擊D、撞庫攻擊答案：A218.實踐中常使用軟件缺陷密度(Defects/KLPC)來衡量軟件的安全性,假設某個軟件共有30萬行源代碼,總共檢出150個缺陷,則可以計算出其軟件缺陷密度值是A、0.0005B、0.05C、0.5D、5答案：C219.以太坊屬于()A、私有鏈B、公有鏈C、聯盟鏈D、以上都不是答案：B220.《中華人民共和國民法典》規定,()應當采取技術措施和其他必要措施,確保其收集、存儲的個人信息安全,防止信息泄露、篡改、丟失;發生或者可能發生個人信息泄露、篡改、丟失的,應當及時采取補救措施,按照規定告知自然人并向有關()報告。A、國防部門B、政府部門C、主管部門D、監管部門答案：C221.跨站點腳本(XSS)攻擊是指攻擊者通過在受信任的網站上注入惡意腳本,以竊取用戶的憑據或會話信息。XSS攻擊通常利用的是以下哪個安全漏洞?A、密碼猜測漏洞B、輸入驗證漏洞C、會話劫持漏洞D、中間人攻擊漏洞答案：B222.以下哪個選項不是數據匿名化的優勢()A、讓數據的非敏感部分仍然能比廣泛利用B、避免數據濫用和隱私數據泄露C、增加從數據中提取有意義信息的能力D、強化數據管理和一致性答案：C223.國家建立網絡安全監測預警和信息傳輸制度。國家網信部門應當統籌協調有關部門加強網絡安全信息收集、分析和通報工作,按照規定統一發布網絡安全監測預警信息。A、正確B、錯誤答案：B224.礦藏、水流、海域屬于()所有。A、國家B、地方政府C、企業D、私人答案：A225.為確保信息資產的安全,設備、信息或軟件在()之前不應帶出公司、組織場所。()A、使用B、檢查合格C、授權D、識別出薄弱環節答案：C226.《個人信息保護法》施行的時間是:A、2021年10月1日B、2021年11月1日C、2021年11月11日D、2021年12月12日答案：B227.根據《網絡安全法》的規定,電信運營商應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。A、正確B、錯誤答案：B228.認證服務器在單點登錄(SSO)過程中的主要職責是什么?A、生成訪問票據并存放在Cookie中B、驗證用戶的登錄請求并確認其合法性C、建立安全訪問通道與應用系統通信D、檢查Cookie的有效性并進行驗證答案：B229.個人信息保護影響評估報告和處理情況記錄應當至少保存()。A、半年B、兩年C、三年D、五年答案：C230.關于業務連續性計劃(BCP)以下說法最恰當的是:A、組織為避免所有業務功能因重大事件而中斷,減少業務風此案而建立的一個控制過程。B、組織為避免關鍵業務功能因重大事件而中斷,減少業務風險而建立的一個控制過程。C、組織為避免所有業務功能因各種事件而中斷,減少業務風此案而建立的一個控制過程D、組織為避免信息系統功能因各種事件而中斷,減少信息系統風險建立的一個控制過程答答案：B231.網絡安全等級保護總共有3個保護級別。A、正確B、錯誤答案：B232.生物特征欺騙攻擊是指攻擊者使用偽造的指紋、面部圖像等來欺騙基于生物特征的身份認證系統。以下哪種是生物特征欺騙攻擊的示例?A、密碼猜測/暴力破解攻擊B、中間人攻擊C、XSS攻擊D、人臉偽造攻擊答案：D233.電子合同的標的物為采用在線傳輸方式交付的,()為交付時間。電子合同當事人對交付商品或者提供服務的方式、時間另有約定的,按照其約定。A、合同簽署時間B、合同標的物進入對方當事人指定的特定系統時間C、合同標的物進入對方當事人指定的特定系統且能夠檢索識別的時間D、當事人確認簽收時間答案：C234.網絡社會工程學攻擊的防范措施應該包括哪些方面?A、提高警覺性、保護個人信息、使用安全軟件、定期更新密碼等B、提高人際交往能力、增強自信心、增強抵抗力、加強運動等C、提高學歷水平、增強溝通能力、增加社交圈子、擴大人脈等D、以上都不是答案：A235.UNIX/Linux系統中,使用哪種方式來標識文件的訪問權限信息?A、4比特位模式B、6比特位模式C、8比特位模式D、10比特位模式答案：C236.以下是數據安全分類分級最終輸出成果物的是()A、數據資產清單B、數據字典C、數據資源目錄D、數據安全分類分級清單答案：D237.下列物件中不體現物聯網智能處理特征的是A、數據庫B、虛擬機C、云儲存D、智能卡答案：D238.區塊鏈的核心特點是:A、可逆性B、匿名性C、不可篡改性D、高速性答案：C239.6.主體通常是什么?A、文件B、用戶C、應用服務D、數據答案：B240.關于強制訪問控制模型,其中錯誤的是()A、強制訪問控制是指主體和客體都有一個固定的安全屬性,系統用該安全屬性來決定一個主體是否可以訪問某個客體B、安全屬性是強制性的規定,它由安全管理員或操作系統根據限定的規則確定,不能隨意修改C、系統通過比較客體和主體的安全屬性來決定主體是否可以訪問客體D、它是一種對單個用戶執行訪問控制的過程控制措施答案：D241.應用軟件的數據存儲在數據庫中,為了保證數據安全,應設置良好的數據庫防護策略,以下不屬于數據庫防護策略的是?A、安裝最新的數據庫軟件安全補丁B、對存儲的敏感數據進行加密C、不使用管理員權限直接連接數據庫系統D、定期對數據庫服務器進行重啟以確保數據庫運行良好答案：D242.關鍵信息基礎設施發生較大變化,可能影響其認定結果的,運營者應當及時將相關情況報告保護工作部門。保護工作部門自收到報告之日起()內完成重新認定,將認定結果通知運營者,并通報國務院公安部門。()A、1個月B、2個月C、3個月D、6個月答案：C243.安全審計和監控(SecurityA.uditingandMonitoring)可以幫助發現什么?A、異常行為和安全漏洞B、用戶行為C、系統管理員D、資源屬性答案：A244.根據《中國銀保監會監管數據安全管理辦法(試行)》的規定,下列歸口管理部門具體職責不包括?()A、制定監管數據安全工作規則和管理流程B、制定監管數據安全技術防護措施C、規范本部門監管數據安全使用,明確具體工作要求,落實相關責任D、組織實施監管數據安全評估和監督檢查答案：C245.密碼猜測/暴力破解攻擊是指攻擊者嘗試使用各種可能的密碼組合來猜測用戶的密碼。這種攻擊的目的是:A、竊取用戶的生物特征信息B、截獲用戶的憑據C、篡改身份驗證信息D、欺騙用戶進行認證答案：B246.《數據安全法》維護數據安全,應當堅持(),建立健全(),提高()。A、數據安全治理體系,國家安全觀,數據安全治理體系B、國家安全觀,數據安全治理體系,數據安全保障能力C、數據安全保障能力,數據安全治理體系,國家安全觀D、國家安全觀,數據安全保障能力,數據安全治理體系答案：B247.區塊鏈是一種:A、分布式數據庫技術B、中心化數據庫技術C、人工智能算法D、云計算技術答案：A248.防止非法授權訪問數據文件的控制措施,哪項是最佳的方式:A、自動文件條目B、磁帶庫管理程序C、訪問控制軟件D、鎖定庫答案：C249.通道劫持是指攻擊者通過什么方式獲取受害者的通信信息?A、中間人代理攻擊B、惡意軟件感染C、網絡釣魚詐騙D、盜取用戶的登錄憑據答案：A250.以下4種對BLP模型的描述中,正確的是():A、BLP模型用于保證系統信息的機密性,規則是“向上讀,向下寫”B、LP模型用于保證系統信息的機密性,規則是“向下讀,向上寫”C、BLP模型用于保證系統信息的完整性,規則是“向上讀,向下寫”D、BLP模型用于保證系統信息的完整性,規則是“向下讀,向上寫”答案：B251.運營者的()對關鍵信息基礎設施安全保護負總責。A、安全運維團隊B、信息中心負責人C、生產責任人D、主要負責人答案：D252.數據安全風險評估應遵循哪些原則?A、科學性、公正性、客觀性B、主觀性、隨意性、靈活性C、高效性、便捷性、低成本D、保密性、封閉性、排他性答案：A253.關于信息系統安全等級保護第三級的系統運維管理,應建立系統安全管理制度,對系統安全策略作出具體規定。A、正確B、錯誤答案：A254.信息安全管理體系(InformationSecurityManagementSystem,ISMS)的內部審核和管理審核是兩項重要的管理活動,關于這兩者,下面描述的錯誤是A、內部審核和管理評審都很重要,都是促進ISMS持續改進的重要動力,也都應當按照一定的周期實施B、內部審核的實施方式多采用文件審核和現場審核的形式,而管理評審的實施方式多采用召開管理評審會議形式進行C、內部審核的實施主體組織內部的ISMS內審小組,而管理評審的實施主體是由國家政策指定的第三方技術服務機構D、組織的信息安全方針、信息安全目標和有關ISMS文件等,在內部審核中作為審核標準使用,但在管理評審總,這些文件時被審對象答案：C255.以下Windows系統的賬號存儲管理機制SAM(SecurityAccoumtsManager)的說法哪個是正確的:A、存儲在注冊表中的賬號數據是管理員組用戶都可以訪問,具有較高的安全性B、存儲在注冊表中的賬號數據administrator賬戶才有權訪問,具有較高的安全性C、存儲在注冊表中的賬號數據任何用戶都可以直接訪問,靈活方便D、存儲在注冊表中的賬號數據只有System賬號才能訪問,具有較高的安全性答案：D256.關鍵信息基礎設施基于網絡安全等級保護而高于網絡安全等級保護,需在等級保護第三級及以上對象中確定。A、正確B、錯誤答案：A257.區塊鏈的本質是()A、比特幣B、去中心化分布式賬本數據庫C、計算機技術D、金融產品答案：B258.能夠把零散的、規則的、不規則的數據通過有效的采集方法采集,并進行儲存、加工、處理、分析使其進一步產生新的價值的是()A、物聯網B、大數據C、移動互聯網D、云計算答案：B259.為降低本國數據傳輸至境外造成的安全風險,我國針對性的推出了哪項政策法規?()A、《關鍵信息基礎設施安全保護條例》B、《網絡安全產品漏洞管理規定》C、《數據出境安全評估辦法》D、《信息安全等級保護管理辦法》答案：C260.經濟合作與發展組織(OECD)在下列哪一年發布《隱私保護和跨境個人數據流動指南》(GuidelinesGoverningtheProtectionofPrivacyandTransborderFlowsofPersonalData),鼓勵數據跨境和自由流動。()A、1967年B、1968年C、1990年D、1980年答案：D261.以下不屬于數據庫軟件的是()A、MSSQLB、SQLiteC、ApacheD、Oracle答案：D262.侵犯未成年人在網絡空間合法權益的情形包括未經監護人同意,收集使用()周歲以下(含)未成年人個人信息。A、8B、12C、14D、16答案：C263.微軟提出了STRIDE模型,其中R.epudation(抵賴)的縮寫,關于此項安全要求,下面描述錯誤的是()A、某用戶在登陸系統并下載數據后,卻聲稱“我沒有下載過數據”,這種威脅就屬于R.epudationB、解決Repudation威脅,可以選擇使用抗抵賴性服務技術來解決,如強認證、數字簽名、安全審計等技術措施C、Repudation威脅是STRIDE六種威脅中第三嚴重的威脅,比D威脅和E威脅的嚴重程度更高D、解決Repudation威脅,也應按照確定建模對象、識別威脅、評估威脅以及消減威脅等四個步驟進行答案：C264.行為人發表的文學、藝術作品以真人真事或者特定人為描述對象,含有侮辱、誹謗內容,侵害他人()的,受害人有權依法請求該行為人承擔民事責任。A、姓名權B、隱私權C、名譽權D、名稱權答案：C265.拒絕服務攻擊(DDOS)是黑客常用手段,會嚴重影響系統與數據可用性,以下屬于DDOS攻擊的是()A、利用僵尸網絡進行超大流量攻擊B、利用自動化腳本高頻次在論壇灌水以及刷評論C、利用高頻爬蟲反復爬取同一頁面內容D、發送畸形數據包E、以上都對答案：E266.在HDFS透明加密中,每個文件塊都有一個獨立的加密密鑰,這個密鑰由()來管理。A、HDFS管理員B、文件所有者C、KeyManagementService(KMS)D、操作系統管理員答案：C267.開展數據處理活動應當(),發現數據安全缺陷、漏洞等風險時,應當立即采取補救措施。A、加強安全管理B、加強團隊管理C、加強技術培養D、加強風險監測答案：D268.關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家采購審查。A、正確B、錯誤答案：B269.規范的實施流程和文檔管理,是信息安全風險評估結能否取得成果的重要基礎,按照規范的風險評估實施流程,《風險評估方案》是風險要素識別階段的輸出成果。A、正確B、錯誤答案：B270.身份認證是為了確認通信過程中的另一端個體是誰,這個個體可以是哪些類型?A、人B、物體C、虛擬過程D、以上都可以答案：D271.因業務需要,確需進行境外遠程維護的,應事先A、進行遠程調試確保境外網絡能進行訪問B、報國家行業主管或監管部門和國務院公安部門C、進行遠程調試確保境外網絡無法直接進行訪問D、咨詢企業股東答案：B272.關于信息系統安全等級保護第三級的系統運維管理,應建立系統安全管理制度,對安全配置作出具體規定。A、正確B、錯誤答案：A273.數據安全責任,按照()的原則確定。A、誰所有誰負責、誰持有誰負責、誰管理誰負責、誰使用誰負責、誰采集誰負責B、誰所有誰負責、誰持有誰負責、誰管理誰負責、誰使用誰負責C、誰所有誰負責、誰持有誰負責、誰管理誰負責D、誰所有誰負責、誰持有誰負責答案：A274.關于數據庫恢復技術,下列說法不正確的是:A、數據庫恢復技術的實現主要依靠各種數據的冗余和恢復機制技術來解決,當數據庫中數據被破壞時,可以利用冗余數據來進行修復B、數據庫管理員定期地將整個數據庫或部分數據庫文件備份到磁帶或另一個磁盤上保存起來,是數據庫恢復中采用的基本技術C、日志文件在數據庫恢復中起著非常重要的作用,可以用來進行事務故障恢復和系統故障恢復,并協助后備副本進行介質故障恢復D、計算機系統發生故障導致數據未存儲到固定存儲器上,利用日志文件中故障發生前數據的循環,將數據庫恢復到故障發生前的完整狀態,這一對事務的操作稱為提交答案：D275.除法律、行政法規另有規定外,個人信息的保存期限應當為實現處理目的所必要的()時間A、兩倍B、三倍C、四倍D、最短答案：D276.配置如下兩條訪問控制列表:a.ccess-l.ist1permit55access-l.ist2permit0055訪問控制列表1和2,所控制的地址范圍關系是:()A、1和2的范圍相同B、1的范圍在2的范圍內C、2的范圍在1的范圍內D、1和2的范圍沒有包含關系(答案)答案：D277.區塊鏈最早應用于下列哪個領域?A、金融和數字貨幣B、社交媒體C、游戲開發D、醫療保健答案：A278.《信息安全技術數據安全能力成熟度模型》適用于哪些組織?A、僅適用于大型企業B、僅適用于政府機構C、適用于所有涉及數據處理的組織D、僅適用于信息技術企業答案：C279.拒絕服務攻擊可能導致的后果是()。A、信息不可用B、應用程序不可用C、系統宕機、阻止通信D、上面幾項都是(答案)答案：D280.網絡安全等級保護第三級信息系統測評過程中,關于數據安全及備份恢復的測評,應檢查()中是否為專用通信協議或安全通信協議服務,避免來自基于通信協議的攻擊破壞數據完整性。A、操作系統B、網絡設備C、數據庫管理系統D、應用系統E、以上均對答案：E281.各信息安全風險要素之間的關系是()A、資產B、安全事件C、脆弱性D、安全措施答案：C282.國家網信部門應當統籌協調有關部門對關鍵信息基礎設施的安全保護采取下列()措施。A、對關鍵信息基礎設施的安全風險進行抽查檢測,提出改進措施,必要時可以委托網絡安全服務機構對網絡存在的安全風險進行檢測評估B、促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網絡安全服務機構等之間的網絡安全信息共享C、定期組織關鍵信息基礎設施的運營者進行網絡安全應急演練,提高應對網絡安全事件的水平和協同配合能力D、對網絡安全事件的應急處置與網絡功能的恢復等,提供技術支持和協助E、以上都對答案：E283.事實授權訪問控制模型(Fact-BasedAuthorization,FBA)是基于什么來動態決定用戶對資源的訪問權限?A、用戶屬性B、用戶歷史行為和環境信息C、系統管理員D、用戶角色答案：B284.以下哪一項不屬于常見的風險評估與管理工具:A、基于信息安全標準的風險評估與管理工具B、基于知識的風險評估與管理工具C、基于模型的風險評估與管理工具D、基于經驗的風險評估與管理工具答案：D285.《個人信息保護法》是在()全國人民代表大會常務委員會第三十次會議通過的A、第十屆B、第十二屆C、第十三屆D、第十六屆答案：C286.國家機關應當遵循()、公平、便民的原則,按照規定及