信息系统安全考题

网络安全试题1. （单选题)使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务,这属于什么攻击类型? (A）A、拒绝服务B、文件共享C、BIND漏洞D、远程过程调用2。

（单选题）为了防御网络监听，最常用的方法是：（B）A、采用物理传输(非网络）B、信息加密C、无线网D、使用专线传输3.（单选题）一个数据包过滤系统被设计成只允许你要求服务的数据包进入，而过滤掉不必要的服务。

这属于什么基本原则？(A)A、最小特权;B、阻塞点;C、失效保护状态；D、防御多样化4。

（单选题)向有限的空间输入超长的字符串是哪一种攻击手段？（A)A、缓冲区溢出;B、网络监听;C、拒绝服务D、IP欺骗5. 多选题HASH加密使用复杂的数字算法来实现有效的加密,其算法包括：(ABC）A、MD2；B、MD4;C、MD5；D、Cost2566. 使用Windows2000的组策略，可以限制用户对系统的操作权限，该实例是何种功能的应用？（A) (单选)A、访问控制列表；B、执行控制列表；C、身份验证；D、数据加密分析：注意这里的访问控制列表跟执行控制列表的区别。

访问控制是在大门外,能否进入，就是进入后，也不是什么事都可以做,有权限设置。

执行列表则是进入大门后,里面的程序使用。

哪些可以用，哪些不能用。

7. 网络安全工作的目标包括:（多选）(ABCD）A、信息机密性；B、信息完整性;C、服务可用性;D、可审查性8。

主要用于加密机制的协议是：（D）A、HTTPB、FTPC、TELNETD、SSL9. 用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码，这是属于何种攻击手段？（B)A、缓存溢出攻击;B、钓鱼攻击;C、暗门攻击；10.Windows NT 和Windows 2000系统能设置为在几次无效登录后锁定帐号，这可以防止: (B）A、木马;B、暴力攻击;C、IP欺骗;D、缓存溢出攻击11、在以下认证方式中,最常用的认证方式是：（A）A基于账户名／口令认证;B基于摘要算法认证；C基于PKI认证；D基于数据库认证12、以下哪项不属于防止口令猜测的措施? （B)A、严格限定从一个给定的终端进行非法认证的次数；B、确保口令不在终端上再现;C、防止用户使用太短的口令；D、使用机器产生的口令13、下列不属于系统安全的技术是：(B)A、防火墙;B、加密狗；C、认证；D、防病毒14、以下哪项技术不属于预防病毒技术的范畴？（A）A、加密可执行程序;B、引导区保护;C、系统监控与读写控制；D、校验文件15、电路级网关是以下哪一种软/硬件的类型?（A)A、防火墙；B、入侵检测软件;C、端口；D、商业支付程序16、DES是一种block（块）密文的加密算法，是把数据加密成多大的块？（B）A、32位;B、64位;C、128位;D、256位17、按密钥的使用个数，密码系统可以分为：(C）A、置换密码系统和易位密码系统；B、分组密码系统和序列密码系统；C、对称密码系统和非对称密码系统；D、密码系统和密码分析系统18、TripleDES是一种加强了的DES加密算法，他的密钥长度和DES相比是它的几倍？(B）A、2倍；B、3倍；C、4倍;D、5倍19、在网络安全中，中断指攻击者破坏网络系统的资源，使之变成无效的或无用的.这是对(A）A、可用性的攻击;B、保密性的攻击;C、完整性的攻击；20、智能卡可以应用的地方包括:（多选）（ABCD）A、进入大楼；B、使用移动电话;C、登录特定主机;D、执行银行和电子商务交易21、操作的作用包括哪些？(ABC）A管理计算机软硬件资源B组织协调计算机运行C提供人机接口D提供开发功能22、操作系统包含的具体功能有哪些？(ABCD)A作业协调B资源管理CI/O处理D安全功能23、按用途和设计划分，操作有哪些种类? （ABCD）A批处理操作系统B分时操作C实时操作系统D网络操作系统24、下面的操作中，那些属于微软公司的Windows操作系统系列?(AB）A Windows 98BC X—WindowsD MS—25、操作应当提供哪些保障(ABCDE)A 验证(Authentication)B 授权（Authorization)C 数据保密性(Data Confidentiality）D 数据一致性（Data Integrity)E 数据的不可否认性（Data Nonrepudiation)26、Windows NT的”域"控制机制具备哪些安全特性？（ABC）A 用户身份验证B 访问控制C 审计(日志)D 数据通讯的加密27、从整体看，”漏洞”包括哪些方面（ABC）A 技术因素B 人的因素C 规划，策略和执行过程28、从整体看，下述那些问题属于系统漏洞（ABCDE）A 产品缺少安全功能B 产品有BugsC 缺少足够的知识D 人为错误E 缺少针对的设计29、应对操作漏洞的基本方法是什么？（ABC)A 对默认安装进行必要的调整B 给所有用户设置严格的口令C 及时安装最新的补丁D 更换到另一种操作30、造成操作漏洞的原因(ABC)A 不安全的编程语言B 不的编程习惯C 考虑不周的架构设计31、下列应用哪些属于应用(ABCDEF)A Web浏览B FTP文件传输C email电子邮件D 即时通讯E 电子商务F 网上银行32、典型的应用由哪些部分组成（ABCDE)33、严格的口令策略应当包含哪些要素（ABC）A 满足一定的长度，比如8位以上B 同时包含数字，字母和特殊字符C 强制要求定期更改口令34、下面哪个评估机构为我国自己的计算机安全评估机构?A ITSECB CCC TCSECD CNISTEC(A)35、下面哪个操作提供分布式控制机制(D）A MS-B Windows 3.1C Windows 98D Windows NT36、Windows NT提供的分布式安全环境又被称为(A）A 域(Domain）B 工作组C 对等网D 安全网37、下面哪一个情景属于身份验证（Authentication）过程A 用户依照提示输入用户名和口令B 用户在上共享了自己编写的一份文档,并设定哪些用户可以阅读，哪些用户可以修改C 用户使用加密软件对自己编写的文档进行加密，以阻止其他人得到这份拷贝后看到文档中的内容（A)42、Windows NT域(Domain)中的用户帐号和口令信息存储在"域控制器"中（A）A 对B 错43、Windows NT中用户登录域的口令是以明文方式传输的(B)A 对B 错43、只要选择一种最的操作，整个系统就可以保障安全(B)A 对B 错44、在计算机中，人的作用相对于，硬件和而言,、不是很重要（B）A 对B 错45、在设计系统安全策略时要首先评估可能受到的安全威胁(A）A 对B 错46、安装后应当根据厂商或咨询机构的建议对系统进行必要的安全配置(A）A 对B 错47、的责任在于IT技术人员,最终用户不需要了解安全问题（B)A 对B 错48、第一次出现”HACKER”这个词是在(B)A BELL实验室B 麻省理工AI实验室C AT&T实验室49、可能给系统造成影响或者破坏的人包括:（A）A 所有与信息系统使用者B 只有黑客C 只有跨客50、商业间谍攻击计算机系统的主要目的是（A）A 窃取商业信息B 窃取政治信息C 窃取技术信息51、黑客的主要攻击手段包括: (A)A 社会工程攻击、蛮力攻击和技术攻击B 人类工程攻击、武力攻击及技术攻击C 社会工程攻击、攻击及技术攻击52、从统计的情况看,造成危害最大的黑客攻击是：（C)A 漏洞攻击B 蠕虫攻击C 攻击id=12 gid=6353、第一个计算机病毒出现在(B）A 40年代B 70 年代C 90年代54、口令攻击的主要目的是(B)A 获取口令破坏B 获取口令进入C 仅获取口令没有用途55、黑色星期四是指:（A）A 1998年11月3日星期四B 1999年6月24日星期四C 2000年4月13日星期四56、大家所认为的对Internet安全技术进行研究是从_______时候开始的A Internet 诞生B 第一个计算机出现C 黑色星期四57、计算机紧急应急小组的简称是(A）（C）A CERTB FIRSTC SANA59、3389端口开放所引起的是(C）A 操作漏洞B 漏洞C 漏洞60、1433端口漏洞是（A）A 操作漏洞B 漏洞C 漏洞61、邮件炸弹攻击主要是(B)A 破坏被攻击者邮件服务器B 添满被攻击者邮箱C 破坏被攻击者邮件客户端62、扫描工具(C）A 只能作为攻击工具B 只能作为防范工具C 既可作为攻击工具也可以作为防范工具63、缓冲区溢出(C)A 只是系统层漏洞B 只是应用层漏洞C 既是层漏洞也是应用层漏洞64、攻击的Smurf攻击是利用____进行攻击A 其他网络B 通讯握手过程问题C 中间代理65、D攻击是利用_____进行攻击（C)A 其他B 通讯握手过程问题C 中间代理(A)66、攻击的Syn flood攻击是利用______进行攻击(B）A 其他B 通讯握手过程问题C 中间代理67、黑客造成的主要隐患包括(A）A 破坏、窃取信息及伪造信息B 攻击、获取信息及假冒信息C 进入系统、损毁信息及谣传信息68、从统计的资料看，内部攻击是攻击的（B）A 次要攻击B 最主要攻击C 不是攻击源69、广义地说，信息战是指敌对双方为达成各自的国家战略目标，为夺取______在等各个领域的信息优势，运用信息和信息技术手段而展开的信息斗争（B)A 政治、经济、国防、领土、文化、外交B 政治、经济、军事、科技、文化、外交C 网络、经济、信息、科技、文化、外交70、狭义地说，信息战是指军事领域里的信息斗争。

信息系统安全题库完整信息安全本身包括的围很大。

大到国家军事政治等安全，小到如防商业企业泄露、防青少年对不良信息的浏览、个人信息的泄露等。

网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、信息认证、数据加密等），直至安全系统，其中任何一个安全漏洞便可以威胁全局安全。

信息安全服务至少应该包括支持信息网络安全服务的基本理论，以及基于新一代信息网络体系结构的网络安全服务体系结构。

（分为难、中、易）单选题1.下面关于系统更新说确的是（ A ）易A.系统需要更新是因为操作系统存在着漏洞B.系统更新后，可以不再受病毒的攻击C.系统更新只能从微软下载补丁包D.所有的更新应及时下载安装，否则系统会立即崩溃2.信息安全需求不包括（ D ）易A.性、完整性B.可用性、可控性C.不可否认性D.语义正确性3.下面属于被动攻击的手段是（ C ）难A.假冒B.修改信息C.窃听D.拒绝服务4.我国信息系统安全等级保护共分为几级（D）易A.二级B.三级C.四级5.为了避免第三方偷看WWW浏览器与服务器交互的敏感信息，通常需要（A）易A.采用SSL技术B.在浏览器中加载数字证书C.采用数字签名技术D.将服务器放入可信站点区6.关于安全套结层协议的描述中，错误的是(D)难A.可保护传输层的安全B.可提供数据加密服务C.可提供消息完整性服务D.可提供数据源认证服务7.关于RSA密码体制特点的描述中,错误的是(B)难A.基于大整数因子分解的问题B.加密速度很快C.是一种公钥密码体制D.常用于数字签名和认证8.对称加密技术的安全性取决于(C)中A.密文的性B.解密算法的性C.密钥的性D.加密算法的性9.信息安全风险主要有哪些（D）中A.信息存储风险B.信息传输风险C.信息访问风险D.以上都正确10.(C)协议主要用于加密机制。

中T elnet是进行远程登录标准协议A.HTTPC.TELNETD.SSL11.为了防御网络监听，最常用的方法是（A）。

1. 在信息安全中，什么是“CIA三要素”？A. 机密性、完整性、可用性B. 认证、授权、审计C. 控制、隔离、审计D. 加密、解密、认证2. 以下哪种加密算法属于对称加密？A. RSAB. AESC. ECCD. DSA3. 什么是SQL注入攻击？A. 通过SQL语句修改数据库内容B. 通过SQL语句获取数据库内容C. 通过SQL语句删除数据库内容D. 通过SQL语句插入恶意代码4. 以下哪种协议主要用于电子邮件的安全传输？A. SSLB. TLSC. PGPD. IPSec5. 什么是DDoS攻击？A. 分布式拒绝服务攻击B. 动态数据对象攻击C. 数据定义对象攻击D. 数据驱动操作系统攻击6. 以下哪种措施可以有效防止XSS攻击？A. 输入验证B. 输出编码C. 使用HTTPSD. 定期更新软件7. 什么是防火墙的主要功能？A. 防止病毒传播B. 防止黑客入侵C. 控制网络访问D. 加密网络数据8. 以下哪种认证方式最安全？A. 用户名和密码B. 生物识别C. 智能卡D. 双因素认证9. 什么是VPN？A. 虚拟私有网络B. 病毒防护网络C. 视频处理网络D. 语音传输网络10. 以下哪种攻击方式利用了操作系统的漏洞？A. 钓鱼攻击B. 缓冲区溢出攻击C. 社会工程学攻击D. 中间人攻击11. 什么是零日漏洞？A. 已知且已修复的漏洞B. 未知且未修复的漏洞C. 已知但未修复的漏洞D. 未知但已修复的漏洞12. 以下哪种技术用于防止数据在传输过程中被窃听？A. 数据加密B. 数据压缩C. 数据备份D. 数据恢复13. 什么是数字签名？A. 用于验证数据完整性的加密技术B. 用于验证数据来源的加密技术C. 用于验证数据传输的加密技术D. 用于验证数据存储的加密技术14. 以下哪种协议用于在互联网上安全地传输文件？A. FTPB. SFTPC. HTTPD. SMTP15. 什么是入侵检测系统（IDS）？A. 用于检测网络入侵的系统B. 用于检测病毒入侵的系统C. 用于检测硬件入侵的系统D. 用于检测软件入侵的系统16. 以下哪种措施可以有效防止社会工程学攻击？A. 加强密码管理B. 提高员工安全意识C. 使用复杂的安全协议D. 定期更新硬件设备17. 什么是APT攻击？A. 高级持续性威胁B. 自动程序威胁C. 应用层协议威胁D. 访问控制威胁18. 以下哪种技术用于防止数据在存储过程中被篡改？A. 数据加密B. 数据备份C. 数据完整性检查D. 数据恢复19. 什么是MFA？A. 多因素认证B. 多频率认证C. 多格式认证D. 多功能认证20. 以下哪种攻击方式利用了无线网络的漏洞？A. 钓鱼攻击B. 中间人攻击C. 无线劫持攻击D. 缓冲区溢出攻击21. 什么是SSL/TLS？A. 安全套接层/传输层安全B. 简单套接层/传输层安全C. 安全套接层/传输层简单D. 简单套接层/传输层简单22. 以下哪种措施可以有效防止密码破解？A. 使用复杂密码B. 定期更换密码C. 使用密码管理器D. 所有上述选项23. 什么是WAF？A. 网络应用防火墙B. 网络访问防火墙C. 网络应用过滤器24. 以下哪种技术用于防止数据在传输过程中被篡改？A. 数据加密B. 数据完整性检查C. 数据备份D. 数据恢复25. 什么是HIDS？A. 主机入侵检测系统B. 硬件入侵检测系统C. 主机入侵防御系统D. 硬件入侵防御系统26. 以下哪种攻击方式利用了应用程序的漏洞？A. 钓鱼攻击B. 缓冲区溢出攻击C. 社会工程学攻击D. 中间人攻击27. 什么是NIDS？A. 网络入侵检测系统B. 网络入侵防御系统C. 网络入侵检测服务D. 网络入侵防御服务28. 以下哪种技术用于防止数据在存储过程中被窃听？A. 数据加密B. 数据压缩C. 数据备份D. 数据恢复29. 什么是Ransomware？A. 一种加密病毒B. 一种解密病毒C. 一种压缩病毒D. 一种备份病毒30. 以下哪种措施可以有效防止数据泄露？A. 数据加密B. 数据备份C. 数据完整性检查D. 数据恢复31. 什么是Phishing？B. 一种网络钓鱼防御C. 一种网络钓鱼检测D. 一种网络钓鱼服务32. 以下哪种技术用于防止数据在传输过程中被拦截？A. 数据加密B. 数据压缩C. 数据备份D. 数据恢复33. 什么是Botnet？A. 一种僵尸网络B. 一种机器人网络C. 一种博客网络D. 一种书签网络34. 以下哪种措施可以有效防止恶意软件感染？A. 使用防病毒软件B. 定期更新操作系统C. 使用防火墙D. 所有上述选项35. 什么是Zero Trust？A. 零信任安全模型B. 零信任认证模型C. 零信任访问模型D. 零信任防御模型36. 以下哪种技术用于防止数据在存储过程中被删除？A. 数据加密B. 数据备份C. 数据完整性检查D. 数据恢复37. 什么是SIEM？A. 安全信息和事件管理B. 安全信息和事件监控C. 安全信息和事件管理服务D. 安全信息和事件监控服务38. 以下哪种措施可以有效防止内部威胁？A. 加强访问控制B. 提高员工安全意识C. 使用监控系统D. 所有上述选项39. 什么是EDR？A. 端点检测和响应B. 端点防御和响应C. 端点检测和防御D. 端点防御和检测40. 以下哪种技术用于防止数据在传输过程中被篡改？A. 数据加密B. 数据完整性检查C. 数据备份D. 数据恢复41. 什么是IAM？A. 身份和访问管理B. 身份和认证管理C. 身份和审计管理D. 身份和授权管理42. 以下哪种措施可以有效防止数据泄露？A. 数据加密B. 数据备份C. 数据完整性检查D. 数据恢复43. 什么是GDPR？A. 通用数据保护条例B. 通用数据保护规则C. 通用数据保护法规D. 通用数据保护规定44. 以下哪种技术用于防止数据在存储过程中被篡改？A. 数据加密B. 数据备份C. 数据完整性检查D. 数据恢复45. 什么是SOC？A. 安全运营中心B. 安全操作中心C. 安全运营控制D. 安全操作控制46. 以下哪种措施可以有效防止数据泄露？A. 数据加密B. 数据备份C. 数据完整性检查D. 数据恢复47. 什么是BYOD？A. 自带设备B. 自带数据C. 自带文档D. 自带驱动48. 以下哪种技术用于防止数据在传输过程中被篡改？A. 数据加密B. 数据完整性检查C. 数据备份D. 数据恢复49. 什么是IoT？A. 物联网B. 互联网C. 内部网D. 国际网50. 以下哪种措施可以有效防止数据泄露？A. 数据加密B. 数据备份C. 数据完整性检查D. 数据恢复51. 什么是Cloud Security？A. 云安全B. 云存储C. 云计算D. 云服务52. 以下哪种技术用于防止数据在存储过程中被篡改？A. 数据加密B. 数据备份C. 数据完整性检查D. 数据恢复53. 什么是DevSecOps？A. 开发安全运维B. 开发安全操作C. 开发安全控制54. 以下哪种措施可以有效防止数据泄露？A. 数据加密B. 数据备份C. 数据完整性检查D. 数据恢复55. 什么是AI Security？A. 人工智能安全B. 人工智能存储C. 人工智能计算D. 人工智能服务56. 以下哪种技术用于防止数据在传输过程中被篡改？A. 数据加密B. 数据完整性检查C. 数据备份D. 数据恢复57. 什么是Blockchain Security？A. 区块链安全B. 区块链存储C. 区块链计算D. 区块链服务58. 以下哪种措施可以有效防止数据泄露？A. 数据加密B. 数据备份C. 数据完整性检查D. 数据恢复59. 什么是Quantum Security？A. 量子安全B. 量子存储C. 量子计算D. 量子服务60. 以下哪种技术用于防止数据在存储过程中被篡改？A. 数据加密B. 数据备份C. 数据完整性检查D. 数据恢复61. 什么是Biometric Security？B. 生物识别存储C. 生物识别计算D. 生物识别服务62. 以下哪种措施可以有效防止数据泄露？A. 数据加密B. 数据备份C. 数据完整性检查D. 数据恢复63. 什么是Cybersecurity Awareness？A. 网络安全意识B. 网络安全存储C. 网络安全计算D. 网络安全服务答案：1. A2. B3. D4. C5. A6. B7. C8. D9. A10. B11. B12. A13. B14. B15. A16. B17. A18. C19. A20. C21. A22. D23. A24. B25. A26. B27. A28. A29. A30. A31. A32. A33. A34. D35. A36. B37. A38. D39. A40. B41. A42. A43. A44. C45. A46. A47. A48. B49. A50. A51. A52. C53. A54. A55. A56. B57. A58. A59. A60. C61. A62. A63. A。

信息安全试题及答案解析一、单项选择题（每题2分，共10题）1. 信息安全的核心目标是保护信息的（）。

A. 可用性B. 完整性C. 机密性D. 所有选项答案：D。

解析：信息安全的核心目标是保护信息的机密性、完整性和可用性，这三个属性合称为CIA三元组。

2. 以下哪项不是信息安全的基本属性？A. 机密性B. 完整性C. 可用性D. 可靠性答案：D。

解析：信息安全的基本属性包括机密性、完整性和可用性，而可靠性是系统性能的一个方面，不属于信息安全的基本属性。

3. 以下哪个协议不是用于传输层的安全协议？A. SSLB. TLSC. IPsecD. HTTP答案：D。

解析：SSL（Secure Sockets Layer）和TLS （Transport Layer Security）是用于传输层的安全协议，而IPsec （Internet Protocol Security）是网络层的安全协议。

HTTP （Hypertext Transfer Protocol）是超文本传输协议，不涉及传输层的安全。

4. 以下哪种攻击方式不属于网络攻击？A. 拒绝服务攻击（DoS）B. 社交工程攻击C. 病毒攻击D. 物理攻击答案：D。

解析：拒绝服务攻击、社交工程攻击和病毒攻击都属于网络攻击的范畴，而物理攻击是指对物理设备的攻击，如破坏服务器等，不属于网络攻击。

5. 以下哪种加密算法属于对称加密算法？A. RSAB. DESC. ECCD. AES答案：B。

解析：DES（Data Encryption Standard）是一种对称加密算法，而RSA、ECC（Elliptic Curve Cryptography）和AES （Advanced Encryption Standard）都是非对称加密算法。

6. 以下哪项不是防火墙的功能？A. 访问控制B. 入侵检测C. 数据包过滤D. 网络地址转换答案：B。

解析：防火墙的主要功能包括访问控制、数据包过滤和网络地址转换，而入侵检测是入侵检测系统（IDS）的功能，不是防火墙的功能。

信息系统安全考试试题一、单选题（每题 3 分，共 30 分）1、以下哪种方法不属于访问控制技术？（）A 口令B 指纹识别C 数据加密D 防火墙2、信息系统安全中，“木桶原理”指的是（）A 系统的安全性取决于最薄弱的环节B 系统的安全性取决于最强的环节C 系统的安全性与木桶的大小有关D 系统的安全性与木桶的材质有关3、下列哪种加密算法属于对称加密算法？（）A RSAB ECCC AESD DiffieHellman4、网络攻击中的“拒绝服务攻击”（DoS）的目的是（）A 窃取信息B 控制目标系统C 使目标系统无法正常提供服务D 篡改数据5、数字证书中不包含以下哪个信息？（）A 用户的公钥B 用户的私钥C 用户的身份信息D 证书颁发机构的数字签名6、下面哪个不是信息安全风险评估的步骤？（）A 资产识别B 威胁评估C 脆弱性评估D 系统升级7、防火墙主要用于防范（）A 内部网络攻击B 外部网络攻击C 病毒攻击D 数据泄露8、下面哪种恶意软件能够自我复制并传播？（）A 间谍软件B 木马C 蠕虫D 广告软件9、为了防止数据在传输过程中被窃取，通常采用的技术是（）A 数字签名B 数字证书C 数据加密D 访问控制10、以下哪个不是常见的网络安全协议？（）A SSLB SSHC HTTPD IPSec二、多选题（每题 5 分，共 30 分）1、信息系统安全的主要目标包括（）A 保密性B 完整性C 可用性D 不可否认性E 可控性2、常见的网络安全威胁有（）A 黑客攻击B 病毒和恶意软件C 网络钓鱼D 数据泄露E 拒绝服务攻击3、密码学中，常见的加密方式有（）A 对称加密B 非对称加密C 哈希加密E 分组加密4、以下属于入侵检测系统功能的有（）A 监测和分析用户和系统的活动B 识别已知的攻击模式C 统计分析异常活动模式D 对系统构造和弱点的审计E 实时报警5、信息安全管理体系（ISMS）包含以下哪些要素？（）A 安全策略B 安全组织C 资产管理D 人力资源安全E 合规性6、数据备份的策略通常包括（）A 完全备份B 增量备份D 实时备份E 定期备份三、简答题（每题 10 分，共 20 分）1、简述信息系统安全中“加密”的作用和原理。

绪论及第一章:一、选择题（每题1分,共14分）1、信息系统安全的层次模型共有几层（）A．4层 B. 5层C。

6层D。

7层答案:D2、下面哪种计算机恶意程序有自我复制的功能（）A．木马B。

陷门C。

病毒 D. 逻辑炸弹答案：C3、下面哪种病毒不属于文件型病毒( )A．源码型病毒 B. 内存型病毒C. 嵌入型病毒D。

外壳型病毒答案：B4、2708病毒对哪种计算机硬件造成侵害（）A．硬盘 B. 内存 C. 打印机D。

显示器答案：C5、下面哪种病毒属于主引导区病毒( )A．大麻病毒B。

Brain病毒C。

小球病毒D。

莫里斯蠕虫答案：A6。

下面哪种病毒与系统平台无关（）A．2708病毒B。

CIH病毒 C. 扬基病毒D。

宏病毒答案:D7. 脚本病毒通过以下哪种手段传播（）A．电子邮件B。

局域网共享C。

聊天通道 D. 以上都是答案：D8. 第一个恶意蠕虫程序出现在哪一年（）A．1982年B。

1985年 C. 1988年D。

1990年答案:C9。

下面哪一个模块不属于蠕虫程序的功能模块( ）A．传播模块B。

潜伏模块 C. 隐藏模块D。

目的模块答案：B10. 下面哪种是木马的传播形式( ）A．手工放置B。

电子邮件 C. 软件捆绑D。

以上都是答案：D11。

根据系统特性，采取相应的系统安全措施预防病毒侵入计算机是指下面哪个步骤（）A．防毒 B. 查毒 C. 解毒 D. 恢复答案：A12. 扬基病毒发作的现象是下面哪种（）A．产生特定的图像 B. 发出一段的音乐C。

硬盘灯不断闪烁 D. 自动发送电子邮件答案：B13. 下面哪个特征是病毒与蠕虫程序的不同点( ）A．存在的独立性B。

传染的反复性C. 攻击的主动性D. 以上都是答案：D14. 台湾人陈盈豪编写的是下面哪种病毒( ）A．爱虫病毒B。

新欢乐时光病毒C. CIH病毒D。

爱虫病毒答案：C二、填空题（每空1分,共20分)1. 信息系统安全的三要素为____________、____________、____________答案：脆弱点、威胁、控制2. 有自我复制功能的三种计算机恶意程序为____________、____________、____________ 答案:细菌、蠕虫、病毒3。

信息安全考试题库(附答案)要素。

身份信息认证系统主要由以下要素构成：身份识别、身份验证、身份授权和身份管理。

身份识别是指确定用户的身份信息，如用户名、密码等；身份验证是指通过验证用户提供的身份信息来确认用户身份的真实性；身份授权是指授予用户访问特定资源的权限；身份管理是指管理用户的身份信息和权限，包括添加、修改和删除用户信息等操作。

这些要素共同构成了一个完整的身份信息认证系统。

Q7:密钥类型有哪些？密钥可以分为数据加密密钥和密钥加密密钥。

而密钥加密密钥则分为主密钥、初级密钥和二级密钥。

Q8:密钥保护的基本原则是什么？密钥保护的基本原则有两个。

首先，密钥永远不可以以明文的形式出现在密码装置之外。

其次，密码装置是一种保密工具，可以是硬件或软件。

Q9:什么是访问控制？它包括哪几个要素？访问控制是指基于身份认证，根据身份对资源访问请求进行控制的一种防御措施。

它可以限制对关键资源的访问，防止非法用户或合法用户的不慎操作所造成的破坏。

访问控制包括三个要素：主体、客体和访问策略。

Q10:自主访问控制和强制访问控制有什么区别？自主访问控制是基于用户身份和授权进行访问控制的一种方式。

每个用户对资源的访问请求都要经过授权检验，只有授权允许用户以这种方式访问资源，访问才会被允许。

而强制访问控制则是通过敏感标签来确定用户对特定信息的访问权限。

用户的敏感标签指定了该用户的敏感等级或信任等级，而文件的敏感标签则说明了访问该文件的用户必须具备的信任等级。

自主访问控制较为灵活，但存在安全隐患，而强制访问控制则提高了安全性但牺牲了灵活性。

其他知识点：1、信息的定义信息是指认识主体所感受的或所表达的事物的运动状态和变化方式。

信息是普遍存在的，与物质和能量有关，人类认识事物、改变事物必须依赖于信息。

2、信息的性质信息具有普遍性、无限性、相对性、转换性、变换性、有序性、动态性、转化性、共享性和可量度性等性质。

3、信息技术信息技术的产生源于人们对世界认识和改造的需要。

信息系统的安全风险防范练习题1.小明和朋友在一家餐厅聚会后,发现手机账户信息被盗,最大原因可能是（）。

[单选题] *A.采用了二维码付款B.在餐厅里用APP播放视频C.添加了朋友的微信D.连接不安全的Wi-Fi，被盗取信息(正确答案)2.影响信息系统安全的三大因素是（）造成的潜在安全威胁、过程因素造成的潜在安全威胁、网络因素造成的潜在安全威胁。

[单选题] *A.人员(正确答案)B.过程C.网络D.数据3.2017年6月1日起施行的《中华人民共和国网络安全法》总则第一条是:为了保侮网络安全，维护网络空间主权和国家安全、（）,保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。

[单选题] *A.国有企事业单位利益B.私人企业利益C.国家利益D.社会公共利益(正确答案)4.某公司曾发生持续数小时的严重宕[dàng] 机事故。

相关负责人称，配置变更原意是应用于单一区域的少数服务器，但却错误应用于多个毗邻区域的大量服务器，导致这些区域停止使用一半以上的可用网络容量,此区域的网络流量试图适应剩余的网络容量,但未能成功。

上面事件主要由（）造成。

[单选题] *A.人为因素(正确答案)B.软硬件因素C.网络因素D.数据因素5.我国多数的互联网公司和大企业都会在全国,甚至全球各大城市建设数据信息中心。

这主要运用了信息系统安全策略中的（）。

[单选题] *A.物理安全策略B.网络安全策略(正确答案)C.系统安全策略D.灾难恢复策略6.一些公司的内部文件，活动内容以及设计方案遭到泄露，其大多数原因都不是遭到黑客攻击，而是IT部门没有及时注销离职员工的邮箱及相关业务系统的账号和权限。

这样的信息安全问题主要是由（）引起的。

[单选题] *A.人为因素(正确答案)B.软硬件因素C.网络因素D.数据因素7.2019年初的一个周末,对全国的70万艺考生而言,是无比煎熬的两天。

大量艺考生通过国内某艺术院校报名平台进行艺考报名时,出现卡顿、乱码、闪退等情况,甚至刷了两天都报不上名。

信息系统安全考试试题第一部分：选择题1. 以下哪个选项是一个典型的恶意软件？A. 防火墙B. 数据库C. 病毒D. 路由器2. 密码破解攻击中的“字典攻击”是指什么？A. 通过暴力破解算法逐个尝试所有可能的密码B. 在一段时间内暴力破解固定的密码C. 利用社工手段获取用户密码D. 利用弱密码和常用密码尝试破解密码3. 在信息系统中，什么是身份认证的目的？A. 防止非法访问和数据泄漏B. 保护信息系统免受外部攻击C. 加密和保护传输的数据D. 确保用户的信用和知名度4. 以下哪个选项不是常见的网络攻击类型？A. 电子邮件钓鱼B. 拒绝服务C. 网络钓鱼D. DNS欺骗5. 在信息系统中，什么是入侵检测系统（IDS）的主要功能？A. 提供安全漏洞扫描服务B. 实时监控网络流量并检测潜在的攻击C. 自动阻止恶意流量D. 加密传输的数据以保护隐私第二部分：问答题1. 请简要解释什么是跨站脚本攻击（XSS）？如何防止这种攻击？跨站脚本攻击是一种恶意攻击，攻击者通过向受信任的网站注入恶意脚本，而这些脚本在用户浏览网站时会被执行。

为防止XSS攻击，可以采取以下措施：- 对输入的数据进行严格的验证和过滤，尤其是对用户输入的数据进行检查，确保不会执行恶意代码。

- 使用浏览器提供的安全机制，如Content Security Policy（CSP）来限制脚本的执行范围。

- 对于敏感的Cookie信息，可以使用HttpOnly标记，使其只能被服务器读取，而不是通过脚本访问。

2. 请简要解释什么是SQL注入攻击？如何防止这种攻击？SQL注入攻击是一种通过构造恶意的SQL查询来绕过应用程序的安全机制，从而获取敏感信息或对数据库进行非授权的操作。

为防止SQL注入攻击，可以采取以下措施：- 使用参数化查询或预编译语句来构造SQL查询，而不是直接将用户输入作为SQL查询的一部分。

- 对用户输入的数据进行严格的验证和过滤，确保数据的合法性。

信息安全与计算机系统214题您的姓名：_________________________________1信息安全危害的两大源头是病毒和黑客,因为黑客是（）A:计算机编程高手B:COOKIES的发布者C:网络的非法入侵者(正确答案)D:信息垃圾的制造者2.（）是使计算机疲于响应这些经过伪装的不可到达客户的请求,从而使计算机不能响应正常的客户请求等,从而达到切断正常连接的目的.A:拒绝服务攻击(正确答案)B:缓冲区溢出攻击C:口令攻击D:分布式拒绝服务攻击3.Windows操作系统在逻辑设计上的缺陷或者编写时产生的错误称为（）.A:系统漏洞(正确答案)B:系统垃圾C:系统插件D:木马病毒4.保证计算机信息运行的安全是计算机安全领域中最重要的环节之一,以下（）不属于信息运行安全技术的范畴.A:风险分析B:审计跟踪技术(正确答案)C:应急技术D:防火墙技术5.从安全属性对各种网络攻击进行分类,截获攻击是针对（）的攻击.B:可用性C:完整性D:真实性6.从安全属性对各种网络攻击进行分类,阻断攻击是针对（）的攻击.A:机密性B:可用性(正确答案)C:完整性D:真实性7.当你感觉到你的Windows运行速度明显减慢,当你打开任务管理器后发现CPU的使用率达到了百分之百,你最有可能认为你受到了哪一种攻击（）.A:特洛伊木马B:DOS(正确答案)C:IP欺骗D:DDOS答案解析：题目解析：DDOS是DOS攻击中的一种方法。

DoS：是Denial of Service的简称，即拒绝服务，不是DOS操作系统，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。

最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。

DDOS：分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。

信息安全中级习题库（附答案）一、单选题（共40题，每题1分，共40分）1、微型计算机的发展是以（）的发展为表征的。

A、主机B、软件C、控制器D、微处理器正确答案：D2、下面有关内存和外存的叙述中，错误的是（）。

A、与外存相比，内存容量较小而速度较快B、内存的编址单位是字节，磁盘的编址单位也是字节C、CPU当前正在执行的指令都必须存放在内存储器中D、外存中的数据需要先送入内存后才能被CPU处理正确答案：B3、以下通过哪项不可以对远程服务器进行管理？（）A、远程桌面连接B、使用文件共享C、telnetD、使用pcanywhere正确答案：B4、有关域树的概念的描述不正确的是（）。

A、域树中这些域之间的信任关系是自动创建的，单向，可传递的信任关系B、域树中这些域有着邻接的名字空间C、域树是一个或多个域构成D、域树中这些域共享相同的架构和配置信息正确答案：A5、对于工作位置密度很大而对光照方向无特殊要求的场所，要采用（）。

A、混合照明B、特殊照明C、一般照明D、局部照明正确答案：C6、信息系统运行维护：指保证信息系统正常运行的工作，包括维护信息系统的正常运行、记录系统的运行情况、进行系统的（）更新、维修等。

A、程序B、软件C、软硬件D、硬件正确答案：C7、信息运维部门应制定（）故障处理的应急预案，并通过演练完善应急预案。

A、网络安全边界B、系统关键点C、网络节点D、应用安全正确答案：B8、信息运维部门应按照“（）”原则对运维工具、备品备件、仪器仪表等进行统一管理，实行出入库登记制度，定期检查清理，做到账物相符。

A、分级管理、集中存放B、集中管理、集中存放C、分级管理、分级存放D、集中管理、分级存放正确答案：D9、机房排班：机房排班分自动排班和手动排班两种方式，其中（）需要用到值班组。

A、手动排班和自动排班B、顶替值班C、手动排班D、自动排班正确答案：D10、仪器仪表应定期进行检查，（）的仪器仪表禁止使用。

1. 下列哪项不是网络安全的基本原则？A. 机密性B. 完整性C. 可用性D. 可追溯性2. 在网络安全中，什么是“零日漏洞”？A. 已知且已被修复的漏洞B. 未知的漏洞C. 已知但未被修复的漏洞D. 已过时的漏洞3. 下列哪种加密方法最常用于保护电子邮件的隐私？A. 对称加密B. 非对称加密C. 哈希函数D. 数字签名4. 什么是DDoS攻击？A. 分布式拒绝服务攻击B. 数据泄露攻击C. 钓鱼攻击D. 恶意软件攻击5. 下列哪项技术可以用来防止SQL注入攻击？A. 使用防火墙B. 使用参数化查询C. 使用VPND. 使用加密技术6. 下列哪项是网络钓鱼攻击的典型特征？A. 发送大量垃圾邮件B. 伪装成合法的电子邮件或网站C. 利用零日漏洞D. 使用暴力破解密码7. 下列哪项是VPN的主要功能？A. 防止DDoS攻击B. 加密网络通信C. 防止SQL注入D. 防止恶意软件8. 下列哪项是入侵检测系统（IDS）的主要功能？A. 防止未授权访问B. 检测和响应网络攻击C. 加密数据传输D. 防止数据泄露9. 下列哪项是防火墙的主要功能？A. 防止DDoS攻击B. 防止SQL注入C. 控制网络访问D. 防止恶意软件10. 下列哪项是数字证书的主要用途？A. 加密数据B. 验证身份C. 防止DDoS攻击D. 防止SQL注入11. 下列哪项是SSL/TLS协议的主要功能？A. 防止DDoS攻击B. 加密数据传输C. 防止SQL注入D. 防止恶意软件12. 下列哪项是入侵防御系统（IPS）的主要功能？A. 防止未授权访问B. 检测和响应网络攻击C. 加密数据传输D. 防止数据泄露13. 下列哪项是恶意软件的主要类型？A. 病毒B. 木马C. 间谍软件D. 以上都是14. 下列哪项是网络安全的最佳实践？A. 定期更新软件B. 使用复杂密码C. 定期备份数据D. 以上都是15. 下列哪项是身份验证的主要方法？A. 密码B. 生物识别C. 智能卡D. 以上都是16. 下列哪项是访问控制的主要类型？A. 强制访问控制B. 自主访问控制C. 基于角色的访问控制D. 以上都是17. 下列哪项是数据备份的主要类型？A. 完全备份B. 增量备份C. 差异备份D. 以上都是18. 下列哪项是数据恢复的主要步骤？A. 识别数据丢失B. 选择备份C. 恢复数据D. 以上都是19. 下列哪项是网络安全风险评估的主要步骤？A. 识别威胁B. 评估漏洞C. 确定风险D. 以上都是20. 下列哪项是网络安全策略的主要组成部分？A. 安全目标B. 安全政策C. 安全程序D. 以上都是21. 下列哪项是网络安全审计的主要目的？A. 检查安全策略的执行情况B. 识别安全漏洞C. 评估安全风险D. 以上都是22. 下列哪项是网络安全培训的主要内容？A. 安全意识B. 安全技能C. 安全行为D. 以上都是23. 下列哪项是网络安全事件响应的主要步骤？A. 识别事件B. 评估影响C. 响应事件D. 以上都是24. 下列哪项是网络安全监控的主要工具？A. 入侵检测系统B. 入侵防御系统C. 安全信息和事件管理系统D. 以上都是25. 下列哪项是网络安全合规性的主要要求？A. 遵守法律法规B. 遵守行业标准C. 遵守组织政策D. 以上都是26. 下列哪项是网络安全管理的主要职责？A. 制定安全策略B. 实施安全措施C. 监督安全执行D. 以上都是27. 下列哪项是网络安全技术的主要类型？A. 加密技术B. 身份验证技术C. 访问控制技术D. 以上都是28. 下列哪项是网络安全威胁的主要类型？A. 内部威胁B. 外部威胁C. 技术威胁D. 以上都是29. 下列哪项是网络安全漏洞的主要类型？A. 软件漏洞B. 硬件漏洞C. 配置漏洞D. 以上都是30. 下列哪项是网络安全风险的主要类型？A. 技术风险B. 操作风险C. 管理风险D. 以上都是31. 下列哪项是网络安全措施的主要类型？A. 预防措施B. 检测措施C. 响应措施D. 以上都是32. 下列哪项是网络安全工具的主要类型？A. 防火墙B. 入侵检测系统C. 入侵防御系统D. 以上都是33. 下列哪项是网络安全服务的主要类型？A. 安全咨询B. 安全培训C. 安全外包D. 以上都是34. 下列哪项是网络安全产品的主要类型？A. 防火墙B. 入侵检测系统C. 入侵防御系统D. 以上都是35. 下列哪项是网络安全标准的主要类型？A. 国际标准B. 国家标准C. 行业标准D. 以上都是36. 下列哪项是网络安全法规的主要类型？A. 国际法规B. 国家法规C. 行业法规D. 以上都是37. 下列哪项是网络安全政策的主要类型？A. 组织政策B. 行业政策C. 国家政策D. 以上都是38. 下列哪项是网络安全程序的主要类型？A. 安全管理程序B. 安全操作程序C. 安全技术程序D. 以上都是39. 下列哪项是网络安全目标的主要类型？A. 安全防护目标B. 安全检测目标C. 安全响应目标D. 以上都是40. 下列哪项是网络安全意识的主要类型？A. 个人意识B. 组织意识C. 行业意识D. 以上都是41. 下列哪项是网络安全技能的主要类型？A. 技术技能B. 管理技能C. 操作技能D. 以上都是42. 下列哪项是网络安全行为的主要类型？A. 个人行为B. 组织行为C. 行业行为D. 以上都是43. 下列哪项是网络安全文化的主要类型？A. 个人文化B. 组织文化C. 行业文化D. 以上都是44. 下列哪项是网络安全环境的主要类型？A. 物理环境B. 网络环境C. 应用环境D. 以上都是45. 下列哪项是网络安全资源的主要类型？A. 人力资源B. 技术资源C. 财务资源D. 以上都是46. 下列哪项是网络安全投资的主要类型？A. 技术投资B. 管理投资C. 操作投资D. 以上都是47. 下列哪项是网络安全效益的主要类型？A. 经济效益B. 社会效益C. 环境效益D. 以上都是48. 下列哪项是网络安全评价的主要类型？A. 自我评价B. 第三方评价C. 行业评价D. 以上都是49. 下列哪项是网络安全改进的主要类型？A. 技术改进B. 管理改进C. 操作改进D. 以上都是50. 下列哪项是网络安全创新的主要类型？A. 技术创新B. 管理创新C. 操作创新D. 以上都是51. 下列哪项是网络安全趋势的主要类型？A. 技术趋势B. 管理趋势C. 操作趋势D. 以上都是52. 下列哪项是网络安全挑战的主要类型？A. 技术挑战B. 管理挑战C. 操作挑战D. 以上都是53. 下列哪项是网络安全机遇的主要类型？A. 技术机遇B. 管理机遇C. 操作机遇D. 以上都是54. 下列哪项是网络安全威胁的主要来源？A. 内部人员B. 外部人员C. 技术漏洞D. 以上都是55. 下列哪项是网络安全风险的主要影响？A. 经济损失B. 声誉损失C. 法律风险D. 以上都是56. 下列哪项是网络安全措施的主要目标？A. 预防攻击B. 检测攻击C. 响应攻击D. 以上都是57. 下列哪项是网络安全工具的主要功能？A. 防火墙B. 入侵检测系统C. 入侵防御系统D. 以上都是58. 下列哪项是网络安全服务的主要目标？A. 提供咨询B. 提供培训C. 提供外包D. 以上都是59. 下列哪项是网络安全产品的主要功能？A. 防火墙B. 入侵检测系统C. 入侵防御系统D. 以上都是60. 下列哪项是网络安全标准的主要目标？A. 国际标准B. 国家标准C. 行业标准D. 以上都是61. 下列哪项是网络安全法规的主要目标？A. 国际法规B. 国家法规C. 行业法规D. 以上都是62. 下列哪项是网络安全政策的主要目标？A. 组织政策B. 行业政策C. 国家政策D. 以上都是63. 下列哪项是网络安全程序的主要目标？A. 安全管理程序B. 安全操作程序C. 安全技术程序D. 以上都是64. 下列哪项是网络安全目标的主要目标？A. 安全防护目标B. 安全检测目标C. 安全响应目标D. 以上都是答案部分：1. D2. B3. B4. A5. B6. B7. B8. B9. C10. B11. B12. B13. D14. D15. D16. D17. D18. D19. D20. D21. D22. D23. D24. D25. D26. D27. D28. D29. D30. D31. D32. D33. D34. D35. D36. D37. D38. D39. D40. D41. D42. D43. D44. D45. D46. D47. D48. D49. D50. D51. D52. D53. D54. D55. D56. D57. D58. D59. D60. D61. D62. D63. D64. D以上是64道选择题及其答案，涵盖了网络安全的基本原则、加密方法、攻击类型、防御措施等多个方面。

2024年03月信息安全管理体系基础考试真题及答案一、单项选择题（每题1.5分，共60分）1.根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准，信息安全管理中的“可用性”是指（）。

A.反映事物真实情况的程度B.保护资产准确和完整的特性C.根据授权实体的要求可访问和利用的特性D.信息不被未授权的个人、实体或过程利用或知悉的特性正确答案：C2.GB/T22080-2016标准中提到的“风险责任者”，是指（）。

A.发现风险的人或实体B.风险处置人员或实体C.有责任和权威来管理风险的人或实体D.对风险发生后结果进行负责的人或实体正确答案：C3.组织应按照GB/T22080-2016标准的要求（）信息安全管理体系。

A.建立、实施、监视和持续改进B.策划、实现、维护和持续改进C.建立、实现、维护和持续改进D.策划、实现、监视和持续改进正确答案：C4.关于GB/T22080-2016标准，所采用的过程方法是（）。

A.PDCA法B.PPTR方法C.SWOT方法D.SMART方法正确答案：A5.ISO/IEC27002最新版本为（）。

A.2022B.2015C.2005D.2013正确答案：A6.关于ISO/IEC27004，以下说法正确的是（）。

A.该标准可以替代GB/T28450B.该标准是信息安全水平的度量标准C.该标准是ISMS管理绩效的度量指南D.该标准可以替代ISO/IEC27001中的9.2的要求正确答案：C7.在ISO/IEC27000系列标准中，为组织的信息安全风险管理提供指南的标准是（）。

A.ISO/IEC 27004B.ISO/IEC 27003C.ISO/IEC 27002D.IS0/IEC 27005正确答案：D8.根据GB/T22080-2016标准的要求，最高管理层应（），以确保信息安全管理体系符合标准要求。

A.分配责任和权限B.分配角色和权限C.分配岗位与权限D.分配职责与权限正确答案：A9.根据GB/T22080-2016标准，组织应在相关（）上建立信息安全目标。

2023年CISSP信息系统安全专家考试真题一、概述CISSP（Certified Information Systems Security Professional）是国际上广泛认可的信息安全领域的顶级专业认证。

本文将为您提供2023年CISSP信息系统安全专家考试的真题，并按照考试题型进行分类和论述。

二、单选题1. 以下哪项不是信息系统安全的三大关键要素？A. 机密性B. 完整性C. 可用性D. 可追溯性解析：正确答案是D。

信息系统安全的三大关键要素是机密性、完整性和可用性，可追溯性不属于其中之一。

2. 下列哪项是密码学中对称加密算法？A. RSAB. AESC. DSAD. MD5解析：正确答案是B。

AES（Advanced Encryption Standard）是一种对称加密算法，而RSA、DSA和MD5都属于其他类型的加密算法。

三、多选题1. 以下哪些是非对称加密算法？A. RSAB. AESC. DESD. ECC解析：正确答案是A和D。

RSA和ECC都是非对称加密算法，而AES和DES是对称加密算法。

2. 以下哪些属于安全威胁的类型？A. 恶意软件B. SQL注入C. 防火墙D. 社会工程学解析：正确答案是A、B和D。

恶意软件、SQL注入和社会工程学都属于常见的安全威胁类型，而防火墙是一种安全防护措施。

四、判断题1. 数字签名可以保证数据的机密性。

解析：错误。

数字签名主要用于验证数据的完整性和真实性，而不是保证机密性。

2. 密码破解工具可以通过穷举法来尝试所有组合。

解析：正确。

密码破解工具可以使用穷举法来尝试所有可能的密码组合，以此来破解密码。

五、简答题1. 请简要介绍一下访问控制模型中的基于角色的访问控制（RBAC）。

解析：基于角色的访问控制（RBAC）是一种广泛应用的访问控制模型。

它通过将用户分配到不同的角色，并为每个角色分配相应的权限，从而实现对资源的访问控制。

RBAC模型中的权限是与角色关联的，而不是与具体的用户。

一、多选题（共15题，每题2分）1.信息系统的容灾方案通常要考虑的要点有 1.ABCDE。

A.灾难的类型B.恢复时间C.恢复程度D.实用技术E.成本2.系统数据备份包括的对象有2.ABD 。

A.配置文件B.日志文件C.用户文档D.系统设备文件3.容灾等级越高，则 3.ACD 。

A.业务恢复时间越短B.所需人员越多C.所需要成本越高D.保护的数据越重要4.下列哪些计划应该是容灾计划的一部分4.ABCDA.业务连续性计划B.业务恢复计划C.操作连续性计划D.支持连续性计划/IT应急计划5.后备站点/后备场所的种类有：5.ABCDA.热后备B.温后备C.冷后备D.镜像后备6.IT应急计划的实施包含哪几个阶段6.BCDA.预测阶段B.通告激活阶段C.恢复阶段D.重构阶段7.以下后备场所中，恢复时间由长到短排列的是：7.CDA.冷后备、镜像后备、热后备B.镜像后备、热后备、冷后备C.冷后备、温后备、热后备D.温后备、热后备、镜像后备8.数据备份可采用的技术机制有：8.ABCDA.基于主机备份B.基于存储局域网备份C.无服务器备份D.基于广域网备份9.数据备份可采用的介质有：9.ABCDA.软盘B.光盘C.磁带D.硬盘10.常用的数据备份方式有：10.ABCA.完全备份B.增量备份C.差分备份D.一次性备份11.场地安全要考虑的因素有 1.ABCDE。

A.场地选址B.场地防火C.场地防水防潮D.场地温度控制E.场地电源供应12.等级保护中对防火的基本要求有：2.ABDA.机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；B.机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；C.机房应配备专门娱乐城开户的消防小组；D.机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。

E.机房及相关的工作房间可以不配备专门的灭火器械，在火灾时可以临时调拨。

13.火灾自动报警、自动灭火系统部署应注意 3.ABCD。

1. 在信息系统安全管理中，以下哪项不是安全策略的核心组成部分？A. 访问控制B. 数据备份C. 用户培训D. 物理安全2. 以下哪种加密算法通常用于保护数据的完整性？A. AESB. RSAC. SHA-256D. DES3. 在实施多层次安全防护时，以下哪项措施最不常见？A. 防火墙B. 入侵检测系统C. 生物识别D. 定期安全审计4. 以下哪项不是常见的网络攻击类型？A. 钓鱼攻击B. 拒绝服务攻击C. 病毒传播D. 数据备份5. 在信息系统中，以下哪项措施最有效地防止内部威胁？A. 强化密码策略B. 实施最小权限原则C. 定期更换硬件D. 安装防病毒软件6. 以下哪种技术用于防止数据在传输过程中被截获？A. SSL/TLSB. VPNC. 防火墙D. 入侵检测系统7. 在信息系统安全管理中，以下哪项不是风险评估的关键步骤？A. 识别潜在威胁B. 评估威胁的可能性C. 实施安全策略D. 确定资产价值8. 以下哪种方法最有效地保护敏感数据不被未授权访问？A. 数据加密B. 数据备份C. 数据压缩D. 数据归档9. 在信息系统中，以下哪项措施最有效地防止恶意软件的传播？A. 定期更新操作系统和应用程序B. 使用强密码C. 定期更换硬件D. 实施物理安全措施10. 以下哪种安全措施通常不包括在物理安全策略中？A. 门禁系统B. 视频监控C. 防火墙D. 安全警报系统11. 在信息系统安全管理中，以下哪项不是安全意识培训的主要目标？A. 提高员工对安全威胁的认识B. 确保员工了解安全策略C. 提高员工的工作效率D. 培养员工的安全行为习惯12. 以下哪种技术用于检测和防止内部人员滥用权限？A. 入侵检测系统B. 安全信息和事件管理（SIEM）C. 访问控制列表（ACL）D. 数据加密13. 在信息系统中，以下哪项措施最有效地防止数据泄露？A. 数据加密B. 数据备份C. 数据压缩D. 数据归档14. 以下哪种安全措施通常不包括在网络安全策略中？A. 防火墙B. 入侵检测系统C. 物理安全措施D. 虚拟专用网络（VPN）15. 在信息系统安全管理中，以下哪项不是安全审计的主要目标？A. 评估安全策略的有效性B. 识别安全漏洞C. 提高员工的工作效率D. 确保合规性16. 以下哪种技术用于保护移动设备的安全？A. 移动设备管理（MDM）B. 入侵检测系统C. 防火墙D. 数据加密17. 在信息系统中，以下哪项措施最有效地防止社会工程学攻击？A. 强化密码策略B. 实施最小权限原则C. 定期进行安全培训D. 安装防病毒软件18. 以下哪种安全措施通常不包括在数据备份策略中？A. 定期备份B. 数据加密C. 数据压缩D. 数据归档19. 在信息系统安全管理中，以下哪项不是安全事件响应的关键步骤？A. 识别事件B. 评估事件的影响C. 实施安全策略D. 恢复系统20. 以下哪种技术用于防止数据在存储过程中被篡改？A. 数据加密B. 数据备份C. 数据压缩D. 数据归档21. 在信息系统中，以下哪项措施最有效地防止未经授权的访问？A. 强化密码策略B. 实施最小权限原则C. 定期更换硬件D. 安装防病毒软件22. 以下哪种安全措施通常不包括在物理安全策略中？A. 门禁系统B. 视频监控C. 防火墙D. 安全警报系统23. 在信息系统安全管理中，以下哪项不是安全意识培训的主要目标？A. 提高员工对安全威胁的认识B. 确保员工了解安全策略C. 提高员工的工作效率D. 培养员工的安全行为习惯24. 以下哪种技术用于检测和防止内部人员滥用权限？A. 入侵检测系统B. 安全信息和事件管理（SIEM）C. 访问控制列表（ACL）D. 数据加密25. 在信息系统中，以下哪项措施最有效地防止数据泄露？A. 数据加密B. 数据备份C. 数据压缩D. 数据归档26. 以下哪种安全措施通常不包括在网络安全策略中？A. 防火墙B. 入侵检测系统C. 物理安全措施D. 虚拟专用网络（VPN）27. 在信息系统安全管理中，以下哪项不是安全审计的主要目标？A. 评估安全策略的有效性B. 识别安全漏洞C. 提高员工的工作效率D. 确保合规性28. 以下哪种技术用于保护移动设备的安全？A. 移动设备管理（MDM）B. 入侵检测系统C. 防火墙D. 数据加密29. 在信息系统中，以下哪项措施最有效地防止社会工程学攻击？A. 强化密码策略B. 实施最小权限原则C. 定期进行安全培训D. 安装防病毒软件30. 以下哪种安全措施通常不包括在数据备份策略中？A. 定期备份B. 数据加密C. 数据压缩D. 数据归档31. 在信息系统安全管理中，以下哪项不是安全事件响应的关键步骤？A. 识别事件B. 评估事件的影响C. 实施安全策略D. 恢复系统32. 以下哪种技术用于防止数据在存储过程中被篡改？A. 数据加密B. 数据备份C. 数据压缩D. 数据归档33. 在信息系统中，以下哪项措施最有效地防止未经授权的访问？A. 强化密码策略B. 实施最小权限原则C. 定期更换硬件D. 安装防病毒软件34. 以下哪种安全措施通常不包括在物理安全策略中？A. 门禁系统B. 视频监控C. 防火墙D. 安全警报系统35. 在信息系统安全管理中，以下哪项不是安全意识培训的主要目标？A. 提高员工对安全威胁的认识B. 确保员工了解安全策略C. 提高员工的工作效率D. 培养员工的安全行为习惯36. 以下哪种技术用于检测和防止内部人员滥用权限？A. 入侵检测系统B. 安全信息和事件管理（SIEM）C. 访问控制列表（ACL）D. 数据加密37. 在信息系统中，以下哪项措施最有效地防止数据泄露？A. 数据加密B. 数据备份C. 数据压缩D. 数据归档38. 以下哪种安全措施通常不包括在网络安全策略中？A. 防火墙B. 入侵检测系统C. 物理安全措施D. 虚拟专用网络（VPN）39. 在信息系统安全管理中，以下哪项不是安全审计的主要目标？A. 评估安全策略的有效性B. 识别安全漏洞C. 提高员工的工作效率D. 确保合规性40. 以下哪种技术用于保护移动设备的安全？A. 移动设备管理（MDM）B. 入侵检测系统C. 防火墙D. 数据加密41. 在信息系统中，以下哪项措施最有效地防止社会工程学攻击？A. 强化密码策略B. 实施最小权限原则C. 定期进行安全培训D. 安装防病毒软件42. 以下哪种安全措施通常不包括在数据备份策略中？A. 定期备份B. 数据加密C. 数据压缩D. 数据归档43. 在信息系统安全管理中，以下哪项不是安全事件响应的关键步骤？A. 识别事件B. 评估事件的影响C. 实施安全策略D. 恢复系统44. 以下哪种技术用于防止数据在存储过程中被篡改？A. 数据加密B. 数据备份C. 数据压缩D. 数据归档45. 在信息系统中，以下哪项措施最有效地防止未经授权的访问？A. 强化密码策略B. 实施最小权限原则C. 定期更换硬件D. 安装防病毒软件46. 以下哪种安全措施通常不包括在物理安全策略中？A. 门禁系统B. 视频监控C. 防火墙D. 安全警报系统47. 在信息系统安全管理中，以下哪项不是安全意识培训的主要目标？A. 提高员工对安全威胁的认识B. 确保员工了解安全策略C. 提高员工的工作效率D. 培养员工的安全行为习惯48. 以下哪种技术用于检测和防止内部人员滥用权限？A. 入侵检测系统B. 安全信息和事件管理（SIEM）C. 访问控制列表（ACL）D. 数据加密49. 在信息系统中，以下哪项措施最有效地防止数据泄露？A. 数据加密B. 数据备份C. 数据压缩D. 数据归档50. 以下哪种安全措施通常不包括在网络安全策略中？A. 防火墙B. 入侵检测系统C. 物理安全措施D. 虚拟专用网络（VPN）51. 在信息系统安全管理中，以下哪项不是安全审计的主要目标？A. 评估安全策略的有效性B. 识别安全漏洞C. 提高员工的工作效率D. 确保合规性52. 以下哪种技术用于保护移动设备的安全？A. 移动设备管理（MDM）B. 入侵检测系统C. 防火墙D. 数据加密53. 在信息系统中，以下哪项措施最有效地防止社会工程学攻击？A. 强化密码策略B. 实施最小权限原则C. 定期进行安全培训D. 安装防病毒软件54. 以下哪种安全措施通常不包括在数据备份策略中？A. 定期备份B. 数据加密C. 数据压缩D. 数据归档55. 在信息系统安全管理中，以下哪项不是安全事件响应的关键步骤？A. 识别事件B. 评估事件的影响C. 实施安全策略D. 恢复系统56. 以下哪种技术用于防止数据在存储过程中被篡改？A. 数据加密B. 数据备份C. 数据压缩D. 数据归档57. 在信息系统中，以下哪项措施最有效地防止未经授权的访问？A. 强化密码策略B. 实施最小权限原则C. 定期更换硬件D. 安装防病毒软件58. 以下哪种安全措施通常不包括在物理安全策略中？A. 门禁系统B. 视频监控C. 防火墙D. 安全警报系统59. 在信息系统安全管理中，以下哪项不是安全意识培训的主要目标？A. 提高员工对安全威胁的认识B. 确保员工了解安全策略C. 提高员工的工作效率D. 培养员工的安全行为习惯60. 以下哪种技术用于检测和防止内部人员滥用权限？A. 入侵检测系统B. 安全信息和事件管理（SIEM）C. 访问控制列表（ACL）D. 数据加密61. 在信息系统中，以下哪项措施最有效地防止数据泄露？A. 数据加密B. 数据备份C. 数据压缩D. 数据归档62. 以下哪种安全措施通常不包括在网络安全策略中？A. 防火墙B. 入侵检测系统C. 物理安全措施D. 虚拟专用网络（VPN）63. 在信息系统安全管理中，以下哪项不是安全审计的主要目标？A. 评估安全策略的有效性B. 识别安全漏洞C. 提高员工的工作效率D. 确保合规性答案1. B2. C3. C4. D5. B6. A7. C8. A9. A10. C11. C12. B13. A14. C15. C16. A17. C18. C19. C20. A21. B22. C23. C24. B25. A26. C27. C28. A29. C30. C31. C32. A33. B34. C35. C36. B37. A38. C39. C40. A41. C42. C43. C44. A45. B46. C47. C48. B49. A50. C51. C52. A53. C54. C55. C56. A57. B58. C59. C60. B61. A62. C63. C。

网络安全试题1. （单选题）使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于什么攻击类型 (A)A、拒绝服务B、文件共享C、BIND漏洞D、远程过程调用2. （单选题）为了防御网络监听，最常用的方法是：(B)A、采用物理传输（非网络）B、信息加密C、无线网D、使用专线传输3.（单选题）一个数据包过滤系统被设计成只允许你要求服务的数据包进入，而过滤掉不必要的服务。

这属于什么基本原则(A)A、最小特权;B、阻塞点;C、失效保护状态;D、防御多样化4.（单选题）向有限的空间输入超长的字符串是哪一种攻击手段 (A)A、缓冲区溢出;B、网络监听;C、拒绝服务D、IP欺骗5. 多选题HASH加密使用复杂的数字算法来实现有效的加密,其算法包括：(ABC)A、MD2;B、MD4;C、MD5;D、Cost2566. 使用Windows2000的组策略,可以限制用户对系统的操作权限,该实例是何种功能的应用(A) (单选)A、访问控制列表;B、执行控制列表;C、身份验证;D、数据加密分析：注意这里的访问控制列表跟执行控制列表的区别。

访问控制是在大门外，能否进入，就是进入后，也不是什么事都可以做，有权限设置。

执行列表则是进入大门后，里面的程序使用。

哪些可以用，哪些不能用。

7. 网络安全工作的目标包括：（多选）(ABCD)A、信息机密性;B、信息完整性;C、服务可用性;D、可审查性8. 主要用于加密机制的协议是：(D)A、HTTPB、FTPC、TELNETD、SSL9. 用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段(B)A、缓存溢出攻击;B、钓鱼攻击;C、暗门攻击;NT 和Windows 2000系统能设置为在几次无效登录后锁定帐号,这可以防止： (B)A、木马;B、暴力攻击;C、IP欺骗;D、缓存溢出攻击11、在以下认证方式中，最常用的认证方式是：(A) A基于账户名／口令认证;B基于摘要算法认证;C基于PKI认证 ;D基于数据库认证12、以下哪项不属于防止口令猜测的措施 (B)A、严格限定从一个给定的终端进行非法认证的次数;B、确保口令不在终端上再现;C、防止用户使用太短的口令;D、使用机器产生的口令13、下列不属于系统安全的技术是：(B)A、防火墙;B、加密狗;C、认证 ;D、防病毒14、以下哪项技术不属于预防病毒技术的范畴(A)A、加密可执行程序;B、引导区保护;C、系统监控与读写控制;D、校验文件15、电路级网关是以下哪一种软/硬件的类型(A)A、防火墙;B、入侵检测软件;C、端口;D、商业支付程序16、DES是一种block（块）密文的加密算法，是把数据加密成多大的块(B)A、32位;B、64位;C、128位;D、256位17、按密钥的使用个数，密码系统可以分为：(C)A、置换密码系统和易位密码系统;B、分组密码系统和序列密码系统;C、对称密码系统和非对称密码系统;D、密码系统和密码分析系统18、TripleDES是一种加强了的DES加密算法,他的密钥长度和DES相比是它的几倍(B)A、2倍;B、3倍;C、4倍;D、5倍19、在网络安全中，中断指攻击者破坏网络系统的资源，使之变成无效的或无用的。