信息安全概论考试试题(三)附答案

信息安全概论考试试题（三）
一、选择题(每小题2分，共30分)
1．要安全浏览网页，不应该（）。

A. 定期清理浏览器缓存和上网历史记录
B. 禁止使用ActiveX控件和Java 脚本
C. 定期清理浏览器Cookies
D. 在他人计算机上使用“自动登录”和“记住密码”功能
2. 系统攻击不能实现（）。

A. 盗走硬盘
B. 口令攻击
C. 进入他人计算机系统
D. IP欺骗
3. 我国卫星导航系统的名字叫（）。

A. 天宫
B. 玉兔
C. 神州
D. 北斗
4. 计算机网络硬件设备中的无交换能力的交换机（集线器）属于哪一层共享设备（）
A. 物理层
B. 数据链路层
C. 传输层
D. 网络层
5. 网页恶意代码通常利用（）来实现植入并进行攻击。

A. 口令攻击
B. U盘工具
C. IE浏览器的漏洞
D. 拒绝服务攻击
6. 下列说法不正确的是（）。

A. 后门程序是绕过安全性控制而获取对程序或系统访问权的程序
B. 后门程序都是黑客留下来的
C. 后门程序能绕过防火墙
D. Windows Update实际上就是一个后门软件
7. 在无线网络的攻击中（）是指攻击节点在某一工作频段上不断发送无用信号，使该频段的其他节点无法进行正常工作。

A. 拥塞攻击
B. 信号干扰
C. 网络窃听
D. 篡改攻击
8. 证书授权中心（CA）的主要职责是（）。

A. 以上答案都不对
B. 进行用户身份认证
C. 颁发和管理数字证书
D. 颁发和管理数字证书以及进行用户身份认证
9. GSM是第几代移动通信技术?（）
A. 第一代
B. 第四代
C. 第二代
D. 第三代
10. 已定级信息系统保护监管责任要求第一级信息系统由（）依据国家有关管理规范和技术标准进行保护。

A. 信息系统运营、使用单位
B. 信息系统使用单位
C. 国家信息安全监管部门
D. 信息系统运营单位
11. 要安全浏览网页，不应该（）。

A. 在他人计算机上使用“自动登录”和“记住密码”功能
B. 禁止使用ActiveX控件和Java 脚本
C. 定期清理浏览器Cookies
D. 定期清理浏览器缓存和上网历史记录
12. 恶意代码传播速度最快、最广的途径是（）。

A. 安装系统软件时
B. 通过U盘复制来传播文件时
C. 通过光盘复制来传播文件时
D. 通过网络来传播文件时
13. 关于特洛伊木马程序，下列说法不正确的是（）。

A. 特洛伊木马程序能与远程计算机建立连接
B. 特洛伊木马程序能够通过网络感染用户计算机系统
C. 特洛伊木马程序能够通过网络控制用户计算机系统
D. 特洛伊木马程序包含有控制端程序、木马程序和木马配置程序
14. 主要的电子邮件协议有（）。

A. IP、TCP
B. TCP/IP
C. SSL、SET
D. SMTP、POP3和IMAP4
15. 全球著名云计算典型应用产品及解决方案中，亚马逊云计算服务名称叫（）。

A. SCE
B. A WS
C. Azure
D. Google App
二、多选题(每题2分，共20 分)
1．以下不是木马程序具有的特征是（）。

A. 繁殖性
B. 感染性
C. 欺骗性
D. 隐蔽性
2. 防范XSS攻击的措施是（）。

A. 应尽量手工输入URL地址
B. 网站管理员应注重过滤特殊字符，限制输入长度，在代码层面上杜绝XSS漏洞出现的可能性
C. 不要随意点击别人留在论坛留言板里的链接
D. 不要打开来历不明的邮件、邮件附件、帖子等
3. 攻击者通过端口扫描，可以直接获得（）。

A. 目标主机的口令
B. 给目标主机种植木马
C. 目标主机使用了什么操作系统
D. 目标主机开放了哪些端口服务
4. 以下属于电子商务功能的是（）。

A. 意见征询、交易管理
B. 广告宣传、咨询洽谈
C. 网上订购、网上支付
D. 电子账户、服务传递
5. 为了避免被诱入钓鱼网站，应该（）。

A. 不要轻信来自陌生邮件、手机短信或者论坛上的信息
B. 使用搜索功能来查找相关网站
C. 检查网站的安全协议
D. 用好杀毒软件的反钓鱼功能
6. 网络存储设备的存储结构有（）。

A. 存储区域网络
B. 网络连接存储
C. 直连式存储
D. 宽带式存储
7. 信息安全等级保护的原则是（）。

A. 指导监督，重点保护
B. 依照标准，自行保护
C. 同步建设，动态调整
D. 明确责任，分级保护
8. 以下不是木马程序具有的特征是（）。

A. 感染性
B. 欺骗性
C. 隐蔽性
D. 繁殖性
9. 以下属于电子商务功能的是（）。

A. 广告宣传、咨询洽谈
B. 意见征询、交易管理
C. 网上订购、网上支付
D. 电子账户、服务传递
10. “三网融合”的优势有（）。

A. 极大减少基础建设投入，并简化网络管理。

降低维护成本
B. 信息服务将从单一业务转向文字、话音、数据、图像、视频等多媒体综合业务
C. 网络性能得以提升，资源利用水平进一步提高
D. 可衍生出更加丰富的增值业务类型。

三、判断题(每题2分，共20 分)
1．风险分析阶段的主要工作就是完成风险的分析和计算。

（）
2. 某个程序给智能手机发送垃圾信息不属于智能手机病毒攻击。

（）
3. 政府系统信息安全检查指根据国家的相关要求，国家信息化主管部门牵头，公安、保密、安全等部门参加，对政府信息系统开展的联合检查。

（）
4. APT攻击是一种“恶意商业间谍威胁”的攻击。

（）
5.通常情况下端口扫描能发现目标主机开哪些服务。

（）
6. 邮件的附件如果是带有.exe、.com、.pif、.pl、.src和.vbs为后缀的文件，应确定其安全后再打开。

（）
7. 统一资源定位符是用于完整地描述互联网上网页和其他资源的地址的一种标识方法。

（）
8. 信息安全风险评估的自评估和检查评估都可依托自身技术力量进行，也可委托具有相应资质的第三方机构提供技术支持。

（）
9. 计算机网络所面临的威胁主要有对网络中信息的威胁和对网络设备的威胁两种。

（）
10. SQL注入攻击可以控制网站服务器。

（）
四、简单题(每题6分，共30 分)
1．入侵检测系统的作用是什么?
2. 如何删除操作系统中多余的共享?
3. 对称加密算法的特点是什么?
4. 什么是CA，它的作用是什么?
5. 针对数据库的攻击有哪些?
参考答案
一、选择题
1-5：DADAB 6-10：BABCA 11-15：ADBDA
二、多选题
1．CD 2. ABCD 3. CD 4. ABCD 5. ACD
6. ABC
7. ABC
8. AD
9. ABCD 10. ABCD
三、判断题
1-5： 6-10： 
四、简单题
1．入侵检测系统(Intrusion Detection System，IDS) 就是能够完成入侵检测功能的计算机软硬件系统。

它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

2. 以卸载“文件和打印机共享” 为例。

方法是右击“网上邻居” 选择“属性”，在弹出的“网络和拨号连接” 窗口中右击“本地连接” 选择“属性”，从“此连接使用下列项目” 中选中“Microsoft网络的文件和打印机共享” 后，单击下面的“卸载”，再单击“确定”。

3. 对称密码学所采用的算法也称为对称密钥算法。

所谓的对称密钥算法就是用加密数据使用的密钥可以计算出用于解密数据的密钥，反之亦然。

绝大多数的对称加密算法的加密密钥和解密密钥都是相同的。

4. 认证机构CA (Certificate Authority) 采用PKI 公开密钥基础架构技术，专门提供网络身份认证服务，负责签发和管理数字证书，且具有权威性和公正性的第三方信任机构。

CA 认证机构是PKI 安全体系的核心，对于一个大型的分布式企业应用系统，需要根据应用系统的分布情况和组织结构设立多级CA 机构。

CA 信任体系描述了PKI 安全体系的分布式结构。

5. 针对数据库的攻击有弱口令攻击，利用漏洞对数据库发起的攻击，SQL Server 的单字节溢出攻击，SQL 注入攻击等。