A、退出操作系统并关机
B、操作系统关闭,计算机仅运行其固件 C、重新启动机器
D、中断运行并立即关机 72、 为了防御XSS跨站脚本攻击,我们可以采用多种安全措施,但( C )是不
可取的
A、编写安全的代码:对用户数据进行严格检查过滤 B、可能情况下避免提交HTML代码 C、阻止用户向Web页面提交数据
D、即使必须允许提交特定HTML标签时,也必须对该标签的各属性进行仔细检查,避免引入javascript 73、 防范网页挂马攻击,作为第三方的普通浏览者,以下哪种办法可以有效?(A
D)
A、及时给系统和软件打最新补丁 B、不浏览任何网页 C、安装防火墙
D、安装查杀病毒和木马的软件 74、 Windows NT 4.0于1999年11月通过了美国国防部TCSEC( D )级安全
认证。
A、B1 B、B2 C、C1
D、C2 75、 缓冲区溢出( D )。
A、只是系统层漏洞 B、只是应用层漏洞 C、只是TCP/IP漏洞
D、既是系统层漏洞也是应用层漏洞 76、 Windows NT的安全引用监视器(Security Reference Monitor,SRM)的主要
作用是( A )。
A、实现基于对象的访问控制和审核策略 B、负责记录审核消息 C、管理对象的安全描述符
D、负责生成对象的访问控制列表 77、 在Unix/Linux系统中,文件类型为“b”,说明这是一个( C )。
A、二进制可执行文件 B、硬链接文件
C、块设备文件
D、进程文件 78、 为了防御网络监听,最有效也最常用的方法是( D )
A、采用物理传输(非网络) B、使用专线传输 C、用光纤传输数据
D、对传输数据进行加密 79、 以下关于宏病毒说法不正确的是( ACD )。
A.宏病毒主要感染可执行文件
B.宏病毒仅向办公自动化程序编制的文档进行传染 C.宏病毒主要感染软盘、硬盘的引导扇区或主引导扇区 D.CIH病毒属于宏病毒 80、 本地域名劫持(DNS欺骗)修改的是哪个系统文件( C )
A、C:\\Windows\\System32\\drivers\\etc\\lmhosts B、C:\\Windows\\System32\\ etc\\lmhosts C、C:\\Windows\\System32\\drivers\\etc\\hosts
D、C:\\Windows\\System32\\etc\\hosts 81、 电信网和互联网安全防护工作中的指导性原则有( BCD )
A、最小权限原则 B、可控性原则 C、适度安全原则
D、保密性原则 82、 根据《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101
号),基础电信运营企业的定级范围为( CD )
A、基础网络 B、重要信息系统 C、核心生产单元
D、非核心生产单元 83、 《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101号)中
要求,定级结果备案时需要提交的文档不包括( D )
A、备案单位基本情况表 B、备案信息表 C、定级报告
D、专家评审意见表 84、 按照《关于贯彻落实电信网络等级保护定级工作的通知》(信电函[2007]101
号)的要求,关于定级对象的审核,以下说法中正确的是( BD )
A、由电信运营企业集团公司或省级公司负责管理的定级对象,由同级公安机关负责审
核
B、由电信运营企业集团公司负责管理的定级对象,由信息产业部负责审核
C、由电信运营企业集团公司或省级公司负责管理的定级对象,由信息产业部负责审核 D、由电信运营企业省级公司负责管理的定级对象,由当地通信管理局负责审核 85、 定级对象的安全等级应根据以下3个互相独立的定级要素来确定,它们是
( ABD )。
A、规模和服务范围 B、社会影响力 C、经济价值
D、所提供服务的重要性 86、 电信网和互联网安全等级保护的定级过程中,需要独立考虑3个定级要素,以
下哪些事项属于损害社会秩序的事项?( ABDE )
A、影响国家机关社会管理和公共服务的工作秩序 B、影响各行业的科研、生产秩序 C、影响国家重要的安全保卫工作 D、影响各种类型的经济活动秩序
E、影响公众在法律约束和道德规范下的正常生活秩序 87、 电信网和互联网安全等级保护工作中,实施安全等级保护的一次完整过程包括
( )。
A、安全等级确定 B、安全架构设计 C、安全运维 D、安全开发与实施 E、安全资产终止
88、 电信网和互联网管理安全等级保护要求中,第2级在安全管理制度上应满足( ABC )。
A、应制定安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等
B、应对安全管理人员或操作人员执行的重要管理操作建立操作规程 C、应对安全管理活动中重要的管理内容建立安全管理制度
D、应形成由安全策略、管理制度、操作规程等构成的全面的安全管理制度体系 E、应对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动 89、 电信网和互联网管理安全等级保护要求中,人员安全管理中第3.1级要求外部
人员访问时在满足第2级要求的基础还应该( AD )。
A、应确保在外部人员访问受控区域前先提出书面申请 B、应确保在外部人员访问受控区域前得到授权或审批 C、外部人员访问批准后应由专人全程陪同或监督,并登记备案
D、对外部人员允许访问的区域、网络、设备、信息等内容应进行书面的规定,并按照规定执行 90、
等级保护对象受到破坏时所侵害的客体包括(ABD)
A、公民、法人和其他组织的合法权益。 B、社会秩序、公共利益。 C、国家领导人。 D、国家安全。
91、 《信息系统安全等级保护实施指南》中描述第三级安全通信网络从以下方面进
行设计:ABCD
A、通信网络安全审计
B、通信网络数据传输完整性保护 C、通信网络可信接入保护
D、通信网络数据传输保密性保护 92、 电信网和互联网安全防护体系,由以下哪几项工作共同组成?(BCD)
A、安全风险评估 B、安全等级保护 C、安全法律法规
D、灾难备份及恢复 93、 电信网和互联网,风险评估过程中,其中一项是资产识别,在资产识别过程中,
资产赋值体现出资产的安全状况对于组织的重要性,资产赋值中,应主要考虑资产的哪些属性?(ACD)
A、资产的社会影响力 B、资产的存在形式 C、资产的可用性
D、资产所提供的业务价值 94、 关于脆弱性的描述,哪些说法是正确的(abcd )
A、脆弱性是对一个或多个资产弱点的总称
B、单纯的脆弱性本身不会对资产造成损害,而且如果系统足够强健,再严重的威胁也不会导致安全事件的发生并造成损失
C、脆弱性识别也称为弱点识别,脆弱性是资产本身存在的,威胁总是要利用资产的脆弱性才可能造成危害
D、资产的脆弱性具有隐蔽性,有些脆弱性只有在一定条件和环境下才能显现,这是脆弱性识别中最为困难的部分 95、 对通信网络安全防护工作说法正确的是(ABCD)
A. 受保护的通信网络包括公用通信网和互联网
B. 防护对象是由我国境内的电信业务经营者和互联网域名服务提供者管理和运行的通