电信竞赛培训整理题（400道 带答案）(6)

了要求，其中不包括（ A ）。 A、监控管理 B、密码管理 C、变更管理 D、应急预案管理

155.电信网和互联网安全等级保护工作中，实施安全等级保护的安全运维阶段需要进行

的控制活动很多，主要包括（ AC ）。 A、运行管理和控制 B、周期性的安全审计 C、变更管理和控制 D、入侵检测和响应

156.在建设和完善信息安全管理体系的过程中，我们关注信息安全管理的要求，下面哪

几个是信息安全管理要求的来源( ABD )

A. 在综合考虑了组织结构整体战略和目标情况下，评估组织机构风险所获得的

B. 信息安全的外部环境要求，这包括国家/信息安全主管机构/上级主管机构等制定的信息安全相关的政策、法律法规和行政要求，以及组织机构所处的社会文化环境 C. 信息安全风险评估

D. 组织机构内部的要求，这包括组织机构市民和业务运行相关的原则、目标和标准规范等

157.以下哪种控制措施不属于预防性的管理控制措施？(D) A. 胸卡

B. 生物技术 C. 岗位轮换

D. 入侵检测日志

158.在进行信息安全管理的过程中， 、 和 是三个关键层次(ACD)。 A、 安全管理体系 B、 资产管理 C、 风险管理

D、 安全管理控制措施

159.目前，国际上主流的信息系统管理体系的标准有哪些：( BCD) A、 美国的NIST SP 800系列 B、 美国的萨班斯法案

C、 ISO/IEC的国际标准27000系列 D、 我国的信息安全等级保护制度

160.我国信息安全等级保护的内容包括______。(BCD) A. 对信息安全从业人员实行按等级管理

B. 对信息系统中使用的信息安全产品实行按等级管理

C. 对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护

D. 对信息系统中发生的信息安全事件按照等级进行响应和处置 E. 对信息安全违反行为实行按等级惩处 161.Windows系统的访问控制包括（ BD ）。

A、对数据对象的访问，通过对象的访问控制列表来控制 B、对文件或文件夹的访问，通过用户和组策略来控制

C、对硬件资源的访问，通过给进程颁发访问令牌来控制 D、对计算机的访问，通过账号密码的组合及物理限制来控制

162.Windows NT可以达到C2级别的安全性，说明它可以做到（ ABCDE ）。 A、自主访问控制（DAC） B、安全指令集

C、强制的用户标识和认证

D、对象的重用（Object Reuse） E、可记账性和审核

163.Unix文件系统安全就是基于i-node节点中的（ ACD）关键信息。 A、模式 B、权限 C、GID D、UID

164.在Linux的/etc/shadow文件中有下面一行内容，从中无法看出（ AC smith:!!:14475:3:90:5::: A、用户smith被禁止登录系统

B、用户smith每隔90天必须更换口令

C、口令到期时，系统会提前3天对用户smith进行提醒

D、更换了新口令之后，用户smith不能在3天内再次更换口令

165.关于Unix系统中的守护进程，以下说法中不正确的是（ D ）。 A、是在后台运行而无终端或者登录shell和它结合在一起的进程

B、独立于控制终端并且周期性的执行某种任务或等待处理某些发生的事件 C、大多数服务器都是用守护进程实现的

D、在用户请求服务时启动，在服务结束时终止 166.指出下列关于计算机病毒的正确论述（ABDEF）。

A、计算机病毒是人为地编制出来、可在计算机上运行的程序 B、计算机病毒具有寄生于其他程序或文档的特点 C、只有计算机病毒发作时才能检查出来并加以消除

D、计算机病毒在执行过程中，可自我复制或制造自身的变种 E、计算机病毒只要人们不去执行它，就无法发挥其破坏作用 F、计算机病毒具有潜伏性，仅在一些特定的条件下才发作 167.关于WEP和WPA加密方式的说法中正确的有( BD ) A.802.11b协议中首次提出WPA加密方式 B.802.11i协议中首次提出WPA加密方式

C.采用WEP加密方式，只要设置足够复杂的口令就可以避免被破解 D.WEP口令无论多么复杂，都很容易遭到破解 168.无线网络的拒绝服务攻击模式有( BCD) A.伪信号攻击 B.Land攻击

C.身份验证洪水攻击 D.取消验证洪水攻击

169.下面不属于嗅探类工具的有( D ) A.SnifferPro B.WireShark

。） C.Cain D.X-Way

170.字典生成器可以生成的密码种类有(ABCD) A.生日 B.手机号码 C. 身份证号 D.中文姓名拼音

171.下面关于sql注入语句的解释，正确的是（ABCD）

A、 “And 1=1” 配合“and 1=2”常用来判断url中是否存在注入漏洞 B、and exists (select * from 表名) 常用来猜解表名

C、and exists (select 字段名 from 表明) 常用来猜解数据库表的字段名称

D、猜解表名和字段名，需要运气，但只要猜解出了数据库的表名和字段名，里面的内容就100%能够猜解到

172.关于XSS跨站脚本攻击，下列说法正确的有（ ABCD ） A、 跨站脚本攻击，分为反射型和存储型两种类型

B、 XSS攻击，一共涉及到三方，即攻击者、客户端与网站。 C、 XSS攻击，最常用的攻击方式就是通过脚本盗取用户端cookie，从而进一步进行攻击 D、 XSS（cross site scripting）跨站脚本，是一种迫使Web站点回显可执行代码的攻击技

术，而这些可执行代码由攻击者提供、最终为用户浏览器加载。 173.下面关于跨站请求伪造，说法正确的是（ABD ）

A、 攻击者必须伪造一个已经预测好请求参数的操作数据包

B、 对于Get方法请求，URL即包含了请求的参数，因此伪造get请求，直接用url即可 C、因为POST请求伪造难度大，因此，采用post方法，可以一定程度预防CSRF

D、对于post方法的请求，因为请求的参数是在数据体中，目前可以用ajax技术支持伪造post请求

174.以下哪些方法可以预防路径遍历漏洞（ ABCD ） A、在unix中使用chrooted文件系统防止路径向上回朔 B、程序使用一个硬编码，被允许访问的文件类型列表 C、对用户提交的文件名进行相关解码与规范化

D、使用相应的函数如（java）getCanonicalPath方法检查访问的文件是否位于应用程序指定的起始位置

175.查杀木马，应该从哪些方面下手（ ABCD） Ａ、寻找并结束木马进程 B、打漏洞补丁

C、寻找木马病毒文件

D、寻找木马写入的注册表项

176.下面关于cookie和session说法正确的是（ABCD）

A、 只要将cookie设置为httponly属性，脚本语言，就无法再盗取cookie内容了 B、 cookie可以通过脚本语言，轻松从客户端读取

C、 针对cookie的攻击，攻击者往往结合XSS，盗取cookie，获得敏感信息或进行重放

攻击

D、 cookie往往用来设计存储用户的认证凭证信息，因此cookie的安全，关系到认证的

安全问题。

177. 对于SQL注入攻击的防御，可以采取哪些措施（ ABCD）

A、 不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。 B、 不要把机密信息直接存放，加密或者hash掉密码和敏感的信息

C、 不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询

存取

D、 对表单里的数据进行验证与过滤，在实际开发过程中可以单独列一个验证函数，该

函数把每个要过滤的关键词如select,1=1等都列出来，然后每个表单提交时都调用这个函数

178.下列关于预防重放攻击的方法，正确的是（ ABD ）

A、预防重放攻击，可以采用时间戳、序列号、提问-应答等思想实现

B、序列号的基本思想：通信双方通过消息中的序列号来判断消息的新鲜性，要求通信双方必须事先协商一个初始序列号，并协商递增方法

C、时间戳基本思想──A接收一个消息当且仅当其包含一个对A而言足够接近当前时刻的时戳，只需设定消息接收的时间范围，需关注通信双方时间的同步

D、提问应答思想是：期望从B获得消息的A 事先发给B一个现时N，并要求B应答的消息中包含N或f(N)，f是A、B预先约定的简单函数，A通过B回复的N或f(N)与自己发出是否一致来判定本次消息是不是重放的

179.是包过滤防火墙主要工作于哪一层次（C）

A. 应用层 B. 会话层 C. 网络层/传输层

D. 链路层/网络层

180.以下对防火墙的描述不正确的是（C） A.防火墙能够对网络访问进行记录和统计 B.防火墙能够隐藏内部网络结构细节 C. 能够防止来源于内部的威胁和攻击

D.能根据据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流

181. 《关于贯彻落实电信网络等级保护定级工作的通知》（信电函[2007]101号）中指出，对

于确定为第2级及以上级别的定级对象，电信运营企业应向电信监管部门办理备案，以下说法中不正确的是（ ABD ）。

A、 备案工作由集团公司、省级公司和地市级公司进行

B、 每个第3级及以上级别的定级对象均需填写一份备案信息表 C、 备案信息表中要明确定级对象的所属公司名称（管理主体） D、 每个第3级及以上级别的定级对象在备案时均需提交定级报告

182.电信网和互联网及相关系统的安全等级划分中，第3.2级的保护方法是：（ B ）

A、由网络和业务运营商依据国家和通信行业有关标准进行保护

B、由网络和业务运营商依据国家和通信行业有关标准进行保护，主管部门对其安全等级保护工作进行重点监督、检查

C、由网络和业务运营商依据国家和通信行业有关标准进行保护，主管部门对其安全等级保护工作进行监督、检查

D、由网络和业务运营商依据国家和通信行业有关标准进行保护，主管部门对其安全等级保护工作进行指导

183.确定定级对象安全等级的定级要素包括（ BCD ）。

A、经济价值 B、社会影响力 C、规模和服务范围 D、所提供服务的重要性

184.电信网和互联网管理安全等级保护要求中，下面哪一项是安全运维管理的应急预案管理

在第2级就要求的？ （ D ）

A、应规定应急预案需要定期审查和根据实际情况更新的内容，并按照执行

B、应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障 C、应定期对应急预案进行演练，根据不同的应急恢复内容，确定演练的周期 D、应对相关的人员进行应急预案培训，应急预案的培训应至少每年举办一次 185.《通信网络安全防护范围管理办法》的防护范围是（ A ）

A. 电信业务经营者和互联网域名服务提供者管理和运行的公用通信网和互联网 B.三级及三级以上的通信网络

C.在我国境内运行的通信骨干网、汇聚网和接入网 D.电信运营商的骨干通信网络 186.违反工信部11号令相关规定的，由电信管理机构依据职权责令改正，拒不改正的（ C ）

A. 给予警告，并处五千元以上十万元以下的罚款 B.给予警告，并处五千元以上五万元以下的罚款 C. 给予警告，并处五千元以上三万元以下的罚款 D.给予警告，并处五千元以上五十万元以下的罚款

187.下列不符合电信运营企业选择安全服务机构进行电信网络的安全评测和风险评估条件

的是：（ B ）

A.在中华人民共和国境内注册成立（港澳台地区除外） B. 刚开始开展电信网络安全保障服务业务 C. 相关工作人员是中国公民

D.由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外） 188.什么是安全策略？（ B ）

A、是一系列规则，这些规则制定了员工在其业务位置上应该和不应该做什么、使用哪些设备以及各种产品的可接受软件配置等。

B、是信息安全的高层文件，它包含了管理层对信息安全在组织机构中所扮演的角色的整体描述和要求。

C、建立了整个组织机构内所需的最低级别的安全

D、是为实现一个特定任务要采取的详细的、文档化的、步骤化的活动。

189.信息安全管理同其他管理问题一样，首先要解决 、 和 这三方面的问

题。 （ D ）

A、人员、技术、操作 B、威胁、风险、资产 C、工程、风险、人员 D、组织、制度、人员

190.以下哪些不是安全风险评估实施流程中所涉及的关键部分（ A ）

A、网络安全整改、

B、资产识别、脆弱性识别、威胁识别 C、已有安全措施确认，风险分析

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说教育文库电信竞赛培训整理题（400道 带答案）(6)在线全文阅读。