2024年信息安全專業(yè)知識考試題庫及答案

2024年信息安全專業(yè)知識考試題庫及答案

1.通常一個三個字符的口令破解需要OO

A.18毫秒

B.18秒（正確答案）

C.18分鐘

2.一次字典攻擊能否成功，很大因素上決定于O。

A.字典文件（正確答案）

B.計算機性能

C.網絡速度

D.黑客學歷

3.下列哪些措施可以增加窮舉攻擊的成本（）？

A.增加口令的使用年限

B.增加口令的長度（正確答案）

C.增加口令的使用歷史

D.以上都不對

4.以下口令設置中符合強口令規(guī)則的是（）。

A.ABCABCBC

B.A.123!b

C.Igaz2wsx

D.1234321

5.以下不可以防范口令攻擊的是（）。

A.設置的口令要盡量復雜些，最好由字母、數(shù)字、特殊字符混合組成。

B.在輸入口令時應確認無他人在身邊。

C.定期改變口令。

D.選擇一個安全性強復雜度高的口令，所有系統(tǒng)都使用其作為認證手段。

案）

6.多久更換一次計算機的密碼較為安全（）。

A.一個月或一個月以內

B.1-3個月（正確答案）

C.3-6個月

D.半年以上或從不更換

7.文件的擁有者可以決定其他用戶對于相應的文件有怎樣的訪問權限，這種訪問

控制是（）。

A.自主訪問控制（正確答案）

B.強制訪問控制

C.主體訪問控制

D.基于角色的訪問控制策略

8.在強制訪問控制模型中，（）用于確保信息的機密性。

A.BLP模型（正確答案）

B.Biba模型

C.中國墻

D.以上都不對

9.Oracle利用（）文件管理用戶密碼強度。

A.Profile（正確答案）

B.SAN

C.passwd

D.shadow

10.下列哪種方法能夠滿足雙因子認證的需求（）？

A.智能卡和用戶PIN（正確答案）

B.用戶ID與密碼

C.虹膜掃描和指紋掃描

D.用戶名和PIN

n.在BLP模型中，利用（）特性可以防范特洛伊木馬向低級別的攻擊者文檔中寫

數(shù)據。

A.簡單安全性

B.*特性（正確答案）

C.禁止寫

D.以上都不對

12.在生物特征認證中，不適宜于作為認證特征的是（）。

A.指紋

B.虹膜

C.臉像

D.體重（正確答案）

13.下列對跨站腳本攻擊（XSS）的解釋最準確的一項是：（）。

A.引誘用戶點擊虛假網絡鏈接的一種攻擊方法。

B.構造精妙的SQL語句對數(shù)據庫進行非法的訪問。

C.一種很強大的木馬攻擊手段。

D.將JavaScript惡意代碼嵌入到用戶瀏覽的web網頁中，從而達到惡意的目的。

（正確答案）

14.達夢數(shù)據庫的默認端口是（），為安全起見，應該更換。

A.8080

B.3306

C.5236（正確咨

D.443

15.自主訪問控制有多種實現(xiàn)方式，其中以用戶為中心建立起的描述訪問權限的表

格，這種實現(xiàn)方式指的是O。

A.訪問控制矩陣

B.訪問控制表

C.訪問控制能力表（正確答案）

D.授權關系表

16.Oracle默認有兩個管理員用戶：（）。

A.SYS（正確答案）

B.ADMIN

C.MANAGEF

D.SYSTEN（正確答案）

17.printf函數(shù)發(fā)生格式化字符串漏洞的原因是（）。

A.參數(shù)的個數(shù)少于格式化字符數(shù)。（正確答案）

B.參數(shù)的個數(shù)多于格式化字符數(shù)。

C.參數(shù)的個數(shù)等于格式化字符數(shù)。

D.以上都不對。

18.下面哪一項不是緩沖溢出的危害（）？

A.可能導致惡意代碼的執(zhí)行而非法獲取系統(tǒng)權限。

B.覆蓋返回地址導致程序崩潰。

C.修改數(shù)據，導致程序執(zhí)行邏輯發(fā)生改變。

D.資源過度消耗。（山確答案）

19.關于緩沖區(qū)溢出描述錯誤的是（）。

A.緩沖區(qū)是用來暫時存放輸入輸出數(shù)據的內存。

B.利用緩沖區(qū)溢出攻擊，可以破壞程序運行。

C.緩沖區(qū)溢出是指輸入的數(shù)據超出了緩沖區(qū)的大小，占用緩沖區(qū)之外的內存空間。

D.只要把內存加大，就可以避免緩沖區(qū)溢出。（正確答案）

20.某C語言程序中，定義了一個靜態(tài)變量staticinty,沒有給該變量設置初始

值，請問該變量存儲在（）。

A.代碼段

B.數(shù)據段

C.BSS段，

D.堆棧

21.跨站腳本（XSS）漏洞的一般存在于（）。

A.URL中。

B.cookie中。

C.留言板中。（正確答案）

D.數(shù)據庫中。

22.黑客利用Windows操作系統(tǒng)中的緩沖區(qū)溢出漏洞對用戶計算機實施攻擊，對于

這一威脅，最可靠的解決方法是（）。

A.安裝防火墻。

B.安裝用戶認證系統(tǒng)。

C.安裝相關的系統(tǒng)補丁軟件。（正確答案）

D.安裝防病毒軟件。

23.下列哪個不是緩沖區(qū)溢出漏洞的防范措施（）。

A.程序員編寫程序時，養(yǎng)成安全編程的習慣。

B.操作系統(tǒng)開啟地址空間隨機化（ASLR）功能。

C.采用實現(xiàn)StackGuard（哨兵）機制的編譯器。

D.加大內存容量。（正確答案）

24.sqlmap是用（）編寫的』?個SQL注入神器。

A.C語言。

B.C++語言o

C.Python語言。（正確答案）

D.Javao

25.以下哪一項是防范SQL注入攻擊最有效的手段（）?

A.刪除存在注入點的網頁。

B.對數(shù)據庫系統(tǒng)的管理權限進行嚴格的控制。

C.通過網絡防火墻嚴格限制Internet用戶對web服務器的訪問。

D.對web用戶輸入的數(shù)據進行嚴格的過濾。（正確答案）

26.以下哪個不是格式化字符串漏洞攻擊帶來的直接后果（）。

A.執(zhí)行惡意代碼

B.程序數(shù)據被修改

C.程序崩潰

D.耗盡系統(tǒng)資源（正確答案）

27.sqlmap中參數(shù)cookie的一般作用是（）。

A.指定用戶身份信息（正確答案）

B.指定用戶口令

C.指定要攻擊的數(shù)據庫

D.以上都不對

28.以下哪些是防范文件上傳漏洞的方法（）？

A.上傳文件時進行類型檢查。（正確答案）

B.文件上傳后重命名。（正確答案）

C.網站管理員監(jiān)測有無新增可疑文件。（正確答案）

D.Web系統(tǒng)盡可能不提供文件上傳功能。

29.文件上傳漏洞存在于（）。

A.Windows操作系統(tǒng)

B.TELNEI

C.Web應用系統(tǒng)（正確答案）

D.SQLServer

30.處理秘密級信息的Windows系統(tǒng)的口令長度至少為（）。

A.8（正確答案）

B.6

C.10

D.7

31.SQL注入通常會在哪些地方傳遞參數(shù)值而引起SQL注入（）?

A.web表單（正確答案）

B.cookies（正確答案）

C.url包含的參數(shù)值（正確答案）

D.以上都不是

32.電磁泄漏包括（）o

A.輻射泄漏（正確答案）

B.傳導泄漏（正確答案）

C.傳輸泄漏

D.空氣泄漏

33.機房三度是指（）。

A.溫度（正確答案）

B.濕度（正確答案）

C.清潔度（正確答案）

D.穩(wěn)定度

34.Windows主機推薦使用（）文件系統(tǒng)。

A.NTFS（正確答案）

B.FAT32

C.FAT

D.LINU)

35.防電磁輻射技術包括（）。

A.屏蔽（正確答案）

B.使用干擾器（正確答案）

C.距離防護（正確答案）

D.濾波（正確答案）

36.物理安全包括（）。

A.環(huán)境安全（正確答案）

B.設備安全（正確答案）

C.介質安全（正確答案）

D.系統(tǒng)物理安全（正確答案）

37.容災備份系統(tǒng)有兩個評價指標（）。

A.RPC（正確答案）

B.FIFO

C.RTC（正確答案）

D.MTF

38.WindowsNTFS文件系統(tǒng)中，每個文件在（）中有一個文件記錄。

A.MFT（正確答案）

B.DBR

C.BPB

D.系統(tǒng)文件區(qū)

39.Windows系統(tǒng)中賬戶成功登錄的事件號是（）。

A.1102

B.4624（正確答案）

C.4625

D.4728

40.Windows系統(tǒng)可設置在多次無效登錄后鎖定帳號，這主要為了防止（）。

A.XSS攻擊

B.暴力破解（正確答案）

C.IP欺騙

D.緩存溢出攻擊

41.在Linux系統(tǒng)中，用戶口令存儲在（）。

A./etc/passwco

B./etc/shadow0（r確答案）

C.SAMo

D./etc/passwordo

42.在Windows系統(tǒng)中，如果用戶被顯式授予了對某個文件的讀寫權限，該用戶所

在的組禁止對文件寫操作，請問該用戶對該文件實際具有的權限是O。

A.讀寫

B.讀（正確答案）

C.寫

D.無權限

43.在Linux系統(tǒng)中，刪除文件需要具有什么權限（）？

A.文件讀權限

B.文件寫權限

C.文件讀寫權限

D.文件所在目錄的寫權限

44.在Linux系統(tǒng)中，root用戶的uid為（）。

A.0

B.500

C.1000

D.100

45.容災備份系統(tǒng)包括兩類（）。

A.數(shù)據容災（正確答案）

B.信息容災

C.應用容災（正確答案）

D.主機容災

46.Windows系統(tǒng)中的審計日志不包括（）。

A.系統(tǒng)日志（SystemLog）0

B.安全日志（SecurityLog）o

C.應用程序日志（ApplicationLog）。

D.用戶日志（UserLog）。（正確答芳

47.Windows系統(tǒng)采用（）。

A.自主訪問控制。（正確咨

B.強制訪問控制。

C.基于角色的訪問控制。

D.基于屬性的訪問控制。

48.以下哪個說法正確（）?

A.防火墻可以防范來自網絡內部的攻擊。

B.只要在網絡中安裝了防火墻，就能防范所有攻擊。

C.防火墻能自動偵測內部網絡與外部網絡的所有連接，并能自動禁用。

D.只有符合安全策略的數(shù)據流才能通過防火墻。（正確答案）

49.以下哪個不是防火墻的工作模式（）。

A.路由模式

B.透明模式

C.網關模式（正確答案）

D.混雜模式

50.能根據數(shù)據包的IP地址、端口等信息來判斷是否放行的防火墻為（）。

A.狀態(tài)檢測防火墻

B.包過濾防火墻（正確答案）

C.電路層防火墻

D.應用網關防火墻

51.如果要求防火墻的接入不影響原有網絡屬性，如網絡拓撲、網絡地址等，應該

采用（）接入防火墻。

A.路由模式

B.透明模式（正確答案）

C.網關模式

D.混雜模式

52.包過濾防火墻工作在（）。

A.物理層

B.表示層

C.網絡層（正確答案）

D.應用層

53.計算機病毒的觸發(fā)條件不包括（）。

A.日期

B.訪問磁盤的次數(shù)

C.屏幕保護（正確答案）

D.啟動

54.入侵檢測的方法有特征檢測和（）。

A.誤用檢測

B.濫用檢測

C.異常檢測（正確答案）

D.漏洞檢測

55.用Web方式管理天融信NG4000防火墻，管理主機應該連接防火墻的（）接

口。

A.ethO

B.ethl

C.eth2

D.eth3

56.入侵檢測的流程不包括（）。

A.數(shù)據提取

B.數(shù)據分析

C.結果處理

D.訪問控制（正確答案）

57.以下哪個不是計算機病毒的基本特征（）？

A.潛伏性

B.可觸發(fā)性

C.可執(zhí)行性

D.完整性

58.從安全屬性對各種攻擊進行分類，嗅探攻擊是針對（）的攻擊。

A.機密性（正確答案）

B.可用性

C.完整性

D.上面3項都是

59.如果某天你在Windows系統(tǒng)下觀察到U盤中多出了一個原來并不存在的“回收

站"圖標或文件夾，則最可能的原因是（）。

A.U盤損壞。

B.感染了病毒。（正確答案）

C.磁盤碎片所致。

D.U盤中有垃圾文件沒有徹底清理。

60.Windows系統(tǒng)開放了（）端口可能遭受WannaCry蠕蟲攻擊。

A.138

B.139

C.445（正確答案）

D.80

61.攻擊者用傳輸數(shù)據來沖擊網絡接口，使服務器過于繁忙以至于不能應答請求的

攻擊方式是（）。

A.拒絕服務攻擊（正確答案）

B.會話劫持

C.信號包探測程序攻擊

D.地址欺騙攻擊

62.三級安全防護要求，當系統(tǒng)設備所處位置與非控制區(qū)域距離小于（）m時，應

采取相應的防輻射措施。

A.300

B.200

C.100

D.500

63.處理秘密級信息的計算機信息系統(tǒng)實行（）防護。

A.三級（正確答案）

B.四級

C.二級

工一級

64.定期對系統(tǒng)和數(shù)據進行備份，在發(fā)生災難時進行恢復，該機制是為了滿足信息

安全的（）屬性。

A.機密性

B.可用性（正而答案）

C.完整性

D.不可否認性

65.攻擊者截獲并記錄了從A到B的數(shù)據，然后又從早些時候所截獲的數(shù)據中提取

出信息重新發(fā)往B,稱為（）。

A.中間人攻擊

B.強力攻擊

C.重放攻擊（正確答案）

D.字典攻擊

66.從攻擊方式區(qū)分攻擊類型，可分為被動攻擊和主動攻擊。被動攻擊難以（），

然而（）這些攻擊是可行的;主動攻擊難以（），然而（）這些攻擊時可行的。

A.預防，檢測，預防，檢測。

B.檢測，預防，檢測，預防。

C.檢測，預防，預防，檢測。（正確答案）

D.上面3項都不是。

67.宏病毒是一種寄存在文檔或模板宏中的計算機病毒，以下那種類型的文件不會

被宏病毒感染（）。

A..Doc

B..xls

C?.exe（正確答案）

D..ppt

68.三級安全防護要求服務器應選用具有（）功能的操作系統(tǒng)。

A.自主訪問控制

B.強制訪問控制（正確答案）

C.基于角色的訪問控制

D.基于屬性的訪問控制

69.三級安全防護要求用戶口令長度不得少于（）個字符，更換周期不超過（）

天。

A.8,30?（正確答案）

B.6,30o

C.8,45o

D.6,45O

70.身份認證用于限制用戶只能執(zhí)行權限范圍內的操作（）。

A.對

B.錯山答案）

71.智能卡是一種利用用戶所擁有的東西進行身份認證的方式（）。

A.對

B.錯

72.基于時間同步的動態(tài)口令實現(xiàn)技術比基于挑戰(zhàn)-應答的動態(tài)口令實現(xiàn)技術的認

證效率高（）。

A.對（正確答案）

B.錯

73.靜態(tài)口令可以抵御重放攻擊（）。

A.對

B.錯（正確答案）

74.Biba模型用于保障信息的完整性（）。

A.對（正確答案）

B.錯

75.在BLP模型中，機密級用戶可以往秘密級文件中寫數(shù)據（）。

A.對

B.錯（正確答案）

76.Oracle默認開啟審計功能（）。

A.對

B.錯5確答案）

77.XSS屬于主動攻擊，可以偷取管理員的cookie（）。

A.對

B.錯（正確答案）

78.Oracle新建用戶只能連接數(shù)據庫，不能訪問數(shù)據庫中的數(shù)據（）。

A.對（正確答案）

B.錯

79.初始化的靜態(tài)全局變量存儲在BSS段中O。

A.對

B.錯（正確答案）

80.達夢數(shù)據庫是我國自主研發(fā)的數(shù)據庫管理系統(tǒng)O。

A.對（正確答案）

B.錯

81.緩沖區(qū)溢出只可能發(fā)生在棧中（）。

A.對

B.錯（正確答案）

82.基于錯誤信息利用的SQL注入從數(shù)據庫系統(tǒng)返回的出錯信息中獲取有用的信息

A.對

B.錯

83.靜態(tài)網頁也會存在SQL注入漏洞（）。

A.對

B.錯（正確答案）

84.利用SQL注入漏洞不能繞過用戶認證（）。

A.對

B.錯而答案）

85.格式化字符串漏洞只出現(xiàn)在printf函數(shù)中（）。

A.對

B.錯而笞案）

86.對于用戶來說，為了防止攻擊者利用軟件的格式化字符串漏洞進行攻擊，要及

時打補?。ǎ?。

A.對（正確答案）

B.錯

87.有一半以上設備的損壞跟靜電有關（）。

A.對（正確答案）

B.錯

88.Sqlmap只能針對Mysql數(shù)據庫實施注入攻擊（）