A、 不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。 B、 不要把机密信息直接存放，加密或者hash掉密码和敏感的信息

C、 不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询

存取

D、 对表单里的数据进行验证与过滤，在实际开发过程中可以单独列一个验证函数，该

函数把每个要过滤的关键词如select,1=1等都列出来，然后每个表单提交时都调用这个函数

178.下列关于预防重放攻击的方法，正确的是（ ABD ）

A、预防重放攻击，可以采用时间戳、序列号、提问-应答等思想实现

B、序列号的基本思想：通信双方通过消息中的序列号来判断消息的新鲜性，要求通信双方必须事先协商一个初始序列号，并协商递增方法

C、时间戳基本思想──A接收一个消息当且仅当其包含一个对A而言足够接近当前时刻的时戳，只需设定消息接收的时间范围，需关注通信双方时间的同步

D、提问应答思想是：期望从B获得消息的A 事先发给B一个现时N，并要求B应答的消息中包含N或f(N)，f是A、B预先约定的简单函数，A通过B回复的N或f(N)与自己发出是否一致来判定本次消息是不是重放的

179.是包过滤防火墙主要工作于哪一层次（C）

A. 应用层 B. 会话层 C. 网络层/传输层

D. 链路层/网络层

180.以下对防火墙的描述不正确的是（C） A.防火墙能够对网络访问进行记录和统计 B.防火墙能够隐藏内部网络结构细节 C. 能够防止来源于内部的威胁和攻击

D.能根据据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流

181. 《关于贯彻落实电信网络等级保护定级工作的通知》（信电函[2007]101号）中指出，对

于确定为第2级及以上级别的定级对象，电信运营企业应向电信监管部门办理备案，以下说法中不正确的是（ ABD ）。

A、 备案工作由集团公司、省级公司和地市级公司进行

B、 每个第3级及以上级别的定级对象均需填写一份备案信息表 C、 备案信息表中要明确定级对象的所属公司名称（管理主体） D、 每个第3级及以上级别的定级对象在备案时均需提交定级报告

182.电信网和互联网及相关系统的安全等级划分中，第3.2级的保护方法是：（ B ）

A、由网络和业务运营商依据国家和通信行业有关标准进行保护

B、由网络和业务运营商依据国家和通信行业有关标准进行保护，主管部门对其安全等级保护工作进行重点监督、检查

C、由网络和业务运营商依据国家和通信行业有关标准进行保护，主管部门对其安全等级保护工作进行监督、检查

D、由网络和业务运营商依据国家和通信行业有关标准进行保护，主管部门对其安全等级保护工作进行指导

183.确定定级对象安全等级的定级要素包括（ BCD ）。

A、经济价值 B、社会影响力 C、规模和服务范围 D、所提供服务的重要性

184.电信网和互联网管理安全等级保护要求中，下面哪一项是安全运维管理的应急预案管理

在第2级就要求的？ （ D ）

A、应规定应急预案需要定期审查和根据实际情况更新的内容，并按照执行

B、应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障 C、应定期对应急预案进行演练，根据不同的应急恢复内容，确定演练的周期 D、应对相关的人员进行应急预案培训，应急预案的培训应至少每年举办一次 185.《通信网络安全防护范围管理办法》的防护范围是（ A ）

A. 电信业务经营者和互联网域名服务提供者管理和运行的公用通信网和互联网 B.三级及三级以上的通信网络

C.在我国境内运行的通信骨干网、汇聚网和接入网 D.电信运营商的骨干通信网络 186.违反工信部11号令相关规定的，由电信管理机构依据职权责令改正，拒不改正的（ C ）

A. 给予警告，并处五千元以上十万元以下的罚款 B.给予警告，并处五千元以上五万元以下的罚款 C. 给予警告，并处五千元以上三万元以下的罚款 D.给予警告，并处五千元以上五十万元以下的罚款

187.下列不符合电信运营企业选择安全服务机构进行电信网络的安全评测和风险评估条件

的是：（ B ）

A.在中华人民共和国境内注册成立（港澳台地区除外） B. 刚开始开展电信网络安全保障服务业务 C. 相关工作人员是中国公民

D.由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外） 188.什么是安全策略？（ B ）

A、是一系列规则，这些规则制定了员工在其业务位置上应该和不应该做什么、使用哪些设备以及各种产品的可接受软件配置等。

B、是信息安全的高层文件，它包含了管理层对信息安全在组织机构中所扮演的角色的整体描述和要求。

C、建立了整个组织机构内所需的最低级别的安全

D、是为实现一个特定任务要采取的详细的、文档化的、步骤化的活动。

189.信息安全管理同其他管理问题一样，首先要解决 、 和 这三方面的问

题。 （ D ）

A、人员、技术、操作 B、威胁、风险、资产 C、工程、风险、人员 D、组织、制度、人员

190.以下哪些不是安全风险评估实施流程中所涉及的关键部分（ A ）

A、网络安全整改、

B、资产识别、脆弱性识别、威胁识别 C、已有安全措施确认，风险分析

D、风险评估准备

191.针对一个网络进行网络安全的边界保护可以使用下面的哪些产品组合（ B ）

A、防火墙、入侵检测、密码 B、防火墙、入侵检测、防病毒 C、身份鉴别、入侵检测、内容过滤 D、防火墙、入侵检测、PKI

192.传统的观点，根据入侵行为的属性，将入侵检测系统按检测方法分为（ A ）

A. 异常检测、误用检测 B. 误用检测、遗传 C. 人工免疫、遗传

D. 异常检测、人工免疫

193.Windows系统管理员如果想允许一个普通用户能够使用远程桌面连接登录到计算机，则

应当（ C ）。

A、将他加入Administrators组

B、启用安全选项“网络访问：可匿名访问的终端服务” C、将他加入Remote Desktop Users组

D、启用安全选项“网络访问：可远程访问的终端服务” 194.Linux系统中使用更安全的xinetd服务代替inetd服务，例如可以在/etc/xinetd.conf

文件的”default {}”块中加入（ B ）行以限制只有C类网段192.168.1.0 可以访问本机的xinetd服务。 A、allow=192.168.1.0/24 B、only_from=192.168.1.0/24 C、permit=192.168.1.0/24 D、hosts=192.168.1.0/24

195.以下关于数据库安全的说法错误的是？（ D）

A. 数据库系统的安全性很大程度上依赖于DBMS的安全机制

B. 许多数据库系统在操作系统下以文件形式进行管理，因此利用操作系统漏洞可以窃取数据库文件

C. 数据库的安全需要在网络系统、操作系统和数据库管理系统三个方面进行保护 D.为了防止数据库中的信息被盗取，在操作系统层次对文件进行加密是唯一从根本上解决问题的手段

196.下列哪种病毒能对计算机硬件产生破坏？（C）

A．维金

B．CODE RED C． CIH D．熊猫烧香

197.下列对于蠕虫病毒的描述错误的是：（B）

A.蠕虫的传播无需用户操作

B.蠕虫的传播需要通过“宿主”程序或文件 C.蠕虫会消耗内存或网络带宽，导致DOS

D.蠕虫程序一般由“传播模块”、“隐藏模块”和“目的功能模块”构成 198.下列哪一项是DOS攻击的一个实例？（B）

A. SQL注入 B. Smurf攻击

C. IP Spoof D. 字典破解

199.以下哪一项是防范SQL注入攻击最有效的手段？（ C ）

A. 删除存在注入点的网页

B. 对数据库系统的管理权限进行严格的控制 C. 对web用户输入的数据进行严格的过滤

D. 通过网络防火墙严格限制Internet用户对web服务器的访问 200. 下列对跨站脚本攻击（XSS）的解释最准确的一项是：（B）

A. 引诱用户点击虚假网络链接的一种攻击方法

B. 将恶意代码嵌入到用户浏览的web网页中，从而达到恶意的目的 C. 一种很强大的木马攻击手段

D. 构造精妙的关系数据库的结构化查询语言对数据库进行非法的访问 201. 《关于贯彻落实电信网络等级保护定级工作的通知》（信电函[2007]101号）中规定的定

级结果备案方式为（ CD ）。

A、采用纸质文档方式将有关材料报送相应电信监管部门 B、电子文档应具有电信运营企业的电子签名 C、纸质材料应加盖单位公章

D、采用电子文档和纸质文档两种方式将有关材料报送相应电信监管部门 202.《关于贯彻落实电信网络等级保护定级工作的通知》（信电函[2007]101号）中对于定

级对象的审核，规定如下（ ABC ）：

A、由电信运营企业集团公司负责管理的定级对象，由信息产业部负责审核

B、由电信运营企业省级公司负责管理的定级对象，由当地通信管理局负责审核 C、主要审核相关材料是否齐备以及有关流程是否符合规定等

D、电信运营企业集团公司和省级公司负责管理的定级对象，都由信息产业部负责审核 203.电信网和互联网安全等级保护的定级过程中，需要独立考虑3个定级要素，以下哪些事

项不属于损害经济运行的事项？（ CD ） A、直接导致国家经济活动主体的经济损失 B、间接导致国家经济活动主体的经济损失 C、直接导致社会公众的经济损失 D、间接导致社会公众的经济损失

204.电信网和互联网安全等级保护的定级要素中，定级对象所提供服务的重要性可以从服务

本身的重要性来衡量，例如（ ABD ）。 A、业务的重要性 B、业务的经济价值

C、使用该服务的用户数量 D、对企业自身形象的影响

205.电信网和互联网安全等级保护工作中，实施安全等级保护的安全等级确定阶段包括

（ ACD ）等几个主要活动。 A、对电信网和互联网的识别和描述 B、专家测评 C、评审和备案

D、定级对象的划分以及安全等级确定

206.《YD/T 1756-2008 电信网和互联网安全等级保护要求》中，在安全管理制度方面，从

（ BCD ）方面做出了要求。