电信竞赛培训整理题道带答案.docx

1、电信竞赛培训整理题道带答案电信竞赛培训整理题（400道）1、下面对电信网和互联网安全防护体系描述不正确的是（ABC）。A、指对电信网和互联网及相关系统分等级实施安全保护B、人为或自然的威胁可能利用电信网和互联网及相关系统存在的脆弱性导致安全事件的发生及其对组织造成的影响C、利用有线和，或无线的电磁、光电系统，进行文字、声音、数据、图像或其他任何媒体的信息传递的网络，包括固定通信网、移动通信网等D、电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合共同构成了电信网和互联网安全防护体系。2、关于信息产业部电信管理局关于电信网络等级保护工作有关问题的通知（

2、信电函200635号）的目的，以下说法最准确的是（B）。A、指导电信业加快推进信息安全等级保护，规范信息安全等级保护管理，保障和促进信息化建设B、指导电信业更好地实施信息安全等级保护工作，保证电信网络（含互联网）等级保护工作规范、科学、有序地开展C、指导电信业信息系统主管部门依照相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营的信息安全等级保护工作。D、指导电信业各单位组织开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，按照信息系统安全等级保护定级指南的要求，确定定级对象3、根据关于电信系统信息安全等级保护工作有关问题

3、的意见（信安通200714号），开展针对各地全程全网性质的电信网络的信息安全等级保护检查时，应当（D）A、由公安机关单独进行B、由测评单位单独进行C、会同公安机关共同进行D、会同电信主管部门共同进行4、关于贯彻落实电信网络等级保护定级工作的通知（信电函2007101号）中要求，对于经集团公司审核后，安全保护等级拟定为第3级及以上级别的定级对象，应由集团公司将定级报告（电子版）报送（B）评审，由专家组和电信运营企业共同商议确定定级对象的安全保护等级。A、公安机关网络安全防护专家组B、信息产业部电信网络安全防护专家组C、测评单位网络安全防护专家组D、第三方网络安全防护专家组5、在电信网和互联网及相

4、关系统中进行安全等级划分的总体原则是：（A）A、定级对象受到破坏后对国家安全、社会秩序、经济运行公共利益以及网络和业务运营商的合法权益的损害程度B、业务系统对定级对象的依赖程度，以及定级对象的经济价值C、定级对象受到破坏后对国家安全、社会秩序、经济运行公共利益以及业务系统的影响程度D、定级对象的经济价值和对公共利益的重要程度6、从电信网和互联网管理安全等级保护第（B）级开始要求，关键岗位人员离岗须承诺调离后的保密义务后方可离开。A、2B、3.1C、3.2D、47、工信部考察通信行业信息安全管理体系认证相关工作要求的工信厅保2010200号发文是以下哪个？（C）A、关于加强通信行业信息安全管理体

5、系认可管理工作的通知B、关于加强通信行业信息安全体系认证管理工作的通知C、关于加强通信行业信息安全管理体系认证管理工作的通知D、关于加强信息安全管理体系认证管理工作的通知8、下面哪一项是ISO/IECTR13335对风险分析的目的描述？（D）A、识别用于保护资产的责任义务和规章制度B、识别资产以及保护资产所使用的技术控制措施C、识别同责任义务有直接关系的威胁D、识别资产、脆弱性并计算潜在的风险9、以下属于网络信息系统的安全管理原则的是：（ABD）A、多人负责原则B、职责分离原则C、权力集中原则D、任期有限原则10、以下哪些是安全风险评估实施流程中所涉及的关键部分（ABC）A、风险评估准备、B、

6、资产识别、脆弱性识别、威胁识别C、已有安全措施确认，风险分析D、网络安全整改11、Windows系统允许用户使用交互方式进行登录，当使用域账号登录域时，验证方式是SAM验证（）12、在Unix/Linux系统中，一个文件的权限为4755，则文件不能被root组以外的其他用户执行。（）13、下面属于木马特征的是（BCD）A、造成缓冲区的溢出，破坏程序的堆栈B、程序执行时不占太多系统资源C、不需要服务端用户的允许就能获得系统的使用权D、自动更换文件名，难于被发现14、攻击者截获并记录了从A到B的数据，然后又从早些时候所截获的数据中提取出信息重新发往B称为中间人攻击（）15、安全的Wifi应当采用哪

7、种加密方式（A）A、WPA2B、MD5C、Base64D、WEP16、下列对跨站脚本攻击（XSS）的解释最准确的一项是：（B）A、引诱用户点击虚假网络链接的一种攻击方法B、将恶意代码嵌入到用户浏览的web网页中，从而达到恶意的目的C、构造精妙的关系数据库的结构化查询语言对数据库进行非法的访问D、一种很强大的木马攻击手段17、某黑客利用IE浏览器最新的0day漏洞，将恶意代码嵌入正常的Web页面当中，用户访问后会自动下载并运行木马程序，这种攻击方式属于钓鱼攻击（）18、关于MD5的说法正确的是（ABC）A、MD5是单向hash函数B、增加web安全账户的一个常用手段就是将管理员的用户密码信息，经

8、过md5运算后，在数据库中存储密码的hash值C、web数据库中存储的密码经过hash之后，攻击者即使看到hash的密码也无法用该信息直接登录，还需要进一步破解D、目前攻击者在得到经过hash的用户名密码之后，最常用的破解手段是暴力破解19、已知某个链接存在SQL注入漏洞，网址是，以下哪个URL访问之后，页面不会报错（C）。A、B、and1=2C、and1=1D、 and99*910020、SYNFLOOD攻击是通过以下哪个协议完成的？（A）A、TCPB、UDPC、IPX/SPXD、AppleTalk21、电信网和互联网安全防护工作的目标包括（ABCD）。A、确保网络的安全性和可靠性B、加强电

9、信网和互联网的安全防护能力C、尽可能实现对电信网和互联网安全状况的实时掌控D、保证电信网和互联网能够完成其使命22、信息安全等级保护制度的主要内容:（ABCD）A、对系统中使用的信息安全产品实行按分级许可管理。B、对等级系统的安全服务资质分级许可管理。C、对信息系统按业务安全应用域和区实行等级保护。D、对信息系统中发生的信息安全事件分等级响应、处置。23、不是在关于电信网络等级保护工作有关问题的通知（信电函200635号）中，指出的电信网络的两个特点的是（AB）。A、电信网络的基础网络和重要信息系统是逻辑分离的，可以分开实施技术保护B、电信网络在实施技术保护方式时，其中的重要信息系统是实现电信

10、网络安全可靠运行的重中之重C、电信网络由各种设备、线路和相应的支撑、管理子系统组成，是一个不可分割的整体D、电信网络具有全程全网的特点，落实保护措施必须要对整个网络统筹监顾24、根据关于电信系统信息安全等级保护工作有关问题的意见（信安通200714号），电信系统的等级保护备案要求为（ABD）A、电信系统的等级保护备案在国家、省两级进行B、地市及以下电信企事业单位的信息系统由省电信管理部门统一向同级公安机关备案，各地不再另行备案C、地市及以下电信事业单位的信息系统由各地市向省级电信管理部门进行备案，不进行单独备案D、各地部具有全程全网性质的信息系统，如本地网站、管理和办公系统等，仍按信息安全等级

11、保护管理办法执行25、关于贯彻落实电信网络等级保护定级工作的通知（信电函2007101号）中要求基础电信运营企业根据电信网和互联网安全等级保护实施指南，按照（ABD），将定级范围内的网络和系统划分成不同的定级对象，并分别确定各自的安全保护等级。A、网络或业务类型B、服务地域C、保密等级D、企业内部管理归属26、关于贯彻落实电信网络等级保护定级工作的通知（信电函2007101号）中对定级范围的划分中，不属于核心生产单元的是（BE）A、正式投入运营的传输网B、企业内部办公系统C、支撑和管理公共电信网及电信业务的业务单元和控制单元D、承载各类电信业务的公共电信网（含公共互联网）及其组成部分E、客服呼

12、叫中心27、电信网和互联网安全等级保护的定级过程中，需要独立考虑3个定级要素，以下哪些事项不属于损害国家安全的事项？（E）A、影响国家政权稳固和国防实力B、影响国家统一、民族团结和社会安定C、影响国家对外活动中的政治、经济利益D、影响国家经济竞争力和科技实力E、影响各种类型的经济活动秩序28、下面那些不是电信网和互联网安全等级保护工作在实施过程中需要重点遵循的原则？（BE）A、同步建设原则B、适度安全原则C、适当调整原则D、最小影响原则E、自主保护原则29、电信网和互联网安全等级保护工作中，实施安全等级保护的安全总体规划阶段包括（）等几个主要活动。A、安全需求分析B、风险分析C、安全总体设计D

13、、安全详细设计E、安全建设规划30、电信网和互联网管理安全等级保护要求中，第3.1级在安全管理制度的评审和修订上应满足（ABD）。A、应定期对安全管理制度进行评审，对存在不足或需要改进的安全管理制度进行修订B、安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定C、应定期或不定期地对安全管理制度进行评审，对存在不足或需要改进的安全管理制度进行修订D、应定期或不定期对安全管理制度进行检查和审定31、电信网和互联网管理安全等级保护要求中，安全运维管理在第3.1级要求变更管理在满足第2级要求的基础上还应该（CDE）。A、网络发生重要变更前，应向主管领导申请，审批后方

14、可实施变更，并在实施后向相关人员通告B、应确认网络中要发生的重要变更，并制定相应的变更方案C、应建立变更管理制度，变更和变更方案需有评审过程D、应建立变更控制的申报和审批文件化程序，对变更影响进行分析并文档化，记录变更实施过程，并妥善保存所有文档和记录E、应建立终止变更并从失败变更中恢复的文件化程序，明确过程控制方法和人员职责，必要时对恢复过程进行演练32、风险评估的好处是：_。(ABCD)A、有助于提高安全意识B、有助于合理使用经费C、有助于加强安全管理的科学决策和防范手段D、有利于安全工程规划33、以下哪些内容是工信部保2009224号关于开展通信网络安全检查工作的通知所关注检查的重点内容

15、（ABCDE）A、通信网络安全管理制度B、远程维护管控措施C、防病毒、防攻击、防入侵措施D、灾难备份措施E、第三方安全服务管控措施34、电信网和互联网风险评估中，关于风险要素及属性之间存在的关系，下列哪些说法是正确的（ABC）A、风险是由威胁引发的资产面临的威胁越多则风险越大，并可能演变成安全事件风险不可能也没有必要降为零B、资产是有价值的，组织的业务战略对资产的依赖度越高，资产价值就越大C、残余风险则是在综合考虑了安全成本与效益后未控制的风险，是可以被接受的，因此，考虑到成本因素，对于残余风险，没必要给予高度密切监视35、关于电信网和互联网风险评估，下列说法不正确的有（B）A、风险评估应贯穿

16、于电信网和互联网及相关系统生命周期的各阶段中B、电信网和互联网及相关系统生命周期各阶段中，由于各阶段实施的内容、对象、安全需求不同，涉及的风险评估的原则和方法也是不一样的C、电信网和互联网及相关系统生命周期包含启动、设计、实施、运维和废弃等5个阶段D、废弃阶段风险评估的目的是确保硬件和软件等资产及残留信息得到了适当的废弃处置，并确保电信网和互联网及相关系统的更新过程在一个安全的状态下完成36、在制定灾难恢复备份预案时，预案的保障条件有哪些（ABCD）A、通信保障B、后勤保障C、电力保障D、专业技术保障37、关于通信网络安全分级备案描述不正确的是：（B）A.通信网络运行单位应当在通信网络定级评审

17、通过后三十日内，将通信网络单元的划分和定级情况按照以下规定向电信管理机构备案B.基础电信业务经营者各省（自治区、直辖市）子公司、分公司向工业和信息化部申请办理其直接管理的通信网络单元的备案C.增值电信业务经营者向作出电信业务经营许可决定的电信管理机构备案；D.互联网域名服务提供者向工业和信息化部备案；38、对电信网络安全防护工作的描述正确的是（ABCD）A.电信网络安全防护工作实行“谁主管、谁负责，谁运营、谁负责”的原则B.总体目标是提高电信网络的安全保护能力和水平，有效减少严重网络安全事件的发生C.主要内容是将等级保护、风险评估、灾难备份等有机结合D.电信网络安全防护工作实行电信运营企业自主

18、防护与电信行业主管部门监督检查相结合的工作机制39、定级报告中安全等级的确定部分主要内容不包括（A）A.定级对象的业务/应用范围和服务范围B.确定三个定级要素赋值的理由C.采用的定级方法及选择权重的理由D.根据三个定级要素赋值及权重确定的安全保护等级40、工信部11号令中通信网络安全防护工作坚持的原则的是：（ABD）A.积极防御B.综合防范C.深度防护D.分级保护41、电信网络安全防护工作的主要任务包括（ABCD）A.电信网络的安全评测B.电信网络的风险评估C.电信网络的定级D.电信网络安全防护工作的监督检查42、windows的运行模式不包括（AC）。A、安全模式B、用户模式C、网络模式D、

19、内核模式43、WindowsNT本地安全认证子系统(LocalSecurityAuthority，LSA)是WindowsNT安全子系统的核心，它的主要作用是（ABC）。A、使所有本地和远程的用户登录生效B、维护本地安全策略C、生成安全访问令牌D、生成对象的访问控制列表E、维护所有对对象的访问控制策略44、在Unix/Linux系统中，应当给GRUB设置口令以保护系统的启动安全，而GRUB本身也提供了较为全面的安全设置，主要包括（ABDE）。A、可针对启动菜单设置全局口令B、可对某启动菜单项使用全局口令C、可设置需要口令验证才能正常进行引导D、可对某启动菜单项设置独立口令E、对所有口令都可以使

20、用MD5进行加密45、Unix文件系统中的文件的访问对象分为（ADE）三类。A、文件所有者B、文件管理者C、文件管理组D、文件所有组E、其他人46、下面是Unix系统内文件welcome.txt的属性，如果想要用户user对该文件具有写权限，可以采取的方法有（ABD）。-rw-r-r-1welcomewelcome30Sep2718:50welcome.txtA、chmodo+wwelcome.txtB、chmod646welcome.txtC、chmodu+swelcome.txtD、chownuserwelcome.txtE、chgrpuserwelcome.txt47、某企业网站主机被D

21、oS攻击，以下哪种方法对DoS攻击有防御效果：（ABCD）A、增加主机服务器资源、性能B、部署使用专用抗DoS攻击设备C、提高出口网络带宽D、更改边界设备过滤部分异常IP地址48、以下关于DOS攻击的描述，哪些说法是不正确的？(B)A、不需要侵入受攻击的系统B、以窃取目标系统上的机密信息为目的C、导致目标系统无法处理正常用户的请求D、如果目标系统没有漏洞，远程攻击仍可能成功49、有利于提高无线AP安全性的措施有（ABD）。A、关闭SSID广播B、关闭DHCP服务C、关闭AP的无线功能D、开启WPA加密并设置复杂密码50、造成缓冲区溢出漏洞的原因有（ABD）。A、某些开发人员没有安全意识B、某些

22、高级语言没有缓冲区边界检查C、用户输入数据太长，超出系统负荷D、软件测试不够严格51、无线网络中常见的三种攻击方式包括（ACD）。A、中间人攻击B、漏洞扫描攻击C、会话劫持攻击D、拒绝服务攻击52、下列关于web应用说法不正确的是（D）A、http请求中，cookie可以用来保持http会话状态B、web的认证信息可以考虑通过cookie来携带C、通过SSL安全套阶层协议，可以实现http的安全传输D、web的认证，通过cookie和session都可以实现，但是cookie安全性更好53、关于SQL注入说法正确的是（D）A、SQL注入攻击是攻击者直接对web数据库的攻击B、SQL注入攻击除了

23、可以让攻击者绕过认证之外，不会再有其他危害C、SQL注入漏洞，可以通过加固服务器来实现、SQL注入攻击，可以造成整个数据库全部泄露54、针对SQL注入和XSS跨站的说法中，哪些说法是不正确的（A）A、SQL注入的SQL命令在用户浏览器中执行，而XSS跨站的脚本在Web后台数据库中执行。B、XSS和SQL注入攻击中的攻击指令都是由黑客通过用户输入域注入，只不过XSS注入的是HTML代码(以后称脚本)，而SQL注入注入的是SQL命令C、XSS和SQL注入攻击都利用了Web服务器没有对用户输入数据进行严格的检查和有效过滤的缺陷。D、XSS攻击盗取Web终端用户的敏感数据，甚至控制用户终端操作，SQL

24、注入攻击盗取Web后台数据库中的敏感数据，甚至控制整个数据库服务器。55、统一威胁管理系统（UTM）描述正确的是（ABD）A.部署UTM可以有效降低成本B.部署UTM可以降低信息安全工作强度C.部署UTM可以降低安全设备集成带来的风险D.部署UTM可能降低网络性能和稳定性56、防范缓冲区溢出攻击的对策一般有（AC）。A、更新操作系统和应用软件的版本以及补丁B、安装防病毒软件C、关闭多余的系统服务和端口D、优化系统内存57、以下关于SYNFlood和SYNCookie技术的哪些说法是不正确的？(AD)A、SYNFlood攻击主要是通过发送超大流量的数据包来堵塞网络带宽B、SYNCookie技术的

25、原理是通过SYNCookie网关设备拆分TCP三次握手过程，计算每个TCP连接的Cookie值，对该连接进行验证C、SYNCookie技术在超大流量攻击的情况下可能会导致网关设备由于进行大量的计算而失效D、以上都正确58、下面不属于木马伪装手段的是（C）。A、捆绑文件B、隐蔽运行C、自我复制D、修改图标59、关于网络入侵防御系统，以下描述不正确的是（A）A.能够实时过滤阻断攻击源B.阻断的是攻击包C.部署在网络关键点上D.以透明模式串联于网络中60、对安全管理平台（SOC）描述正确的是（ABD）A.SOC是技术、流程和人的有机结合B.SOC能够对各类安全事件进行收集、过滤、合并和查询C.SOC

26、只能够收集各类防火墙、IDS、IPS等网络设备的信息D.SOC能够协助管理员进行事件分析、风险分析、预警管理和应急响应处理等61、关于贯彻落实电信网络等级保护定级工作的通知（信电函2007101号）中要求，基础电信运营企业各定级对象的定级结果，（A）应由集团公司进行审核。A、含1至5级B、2级以上C、3级以上D、4级以上62、定级对象受到破坏后，会对网络和业务运营商的合法权益产生严重损害，或者对社会秩序、经济运行和公共利益造成轻微损害，但不损害国家安全，这是属于安全等级保护的第（）级。C、3.1（）注：263、电信网和互联网安全等级保护中，针对第1级的对象需要做的是（B）A、由网络和业务运营商

27、依据业务的特殊安全要求进行保护B、由网络和业务运营商依据国家和通信行业有关标准进行保护C、由主管部门对其安全等级保护工作进行指导D、由主管部门对其安全等级保护工作进行监督、检查64、关于贯彻落实电信网络等级保护定级工作的通知（信电函2007101号）中要求，对于经集团公司审核后，安全保护等级拟定为（B）的定级对象，无需报信息产业部电信网络安全防护专家组评审，可直接向电信监管部门进行备案。B、第2级及以下级别（）65、定级对象受到破坏后，会对其网络和业务运营商的合法权益造成轻微损害，但不损害国家安全、社会秩序、经济运行和公共利益，这是属于安全等级保护的第（）级。B、2（）注：166、定级对象受到

28、破坏后，会对社会秩序、经济运行和公共利益造成特别严重的损害，或者对国家安全造成严重的损害，这是属于安全等级保护的第（A）级。A、4B、3.2C、3.1D、267、网络和业务运营商在网络实际运行之前对其安全等级保护工作的实施情况进行安全检测，确保其达到安全防护要求，这是（D）阶段的工作内容。A、安全总体规划阶段B、安全资产终止阶段C、安全运维阶段D、安全设计与实施阶段68、国家公安机关负责等级保护中的什么类别工作？（D）A、负责信息安全等级保护工作中部门间的协调。B、负责等级保护工作中有关保密工作的监督、检查、指导。C、负责等级保护工作中有关密码工作的监督、检查、指导。D、负责信息安全等级保护工

29、作的监督、检查、指导。69、信息系统安全等级保护定级指南描述的第三级是下面哪个（C）A、指导保护级B、强制保护级C、监督保护级D、自主保护级70、电信网和互联网管理安全等级保护要求中，第2级在安全管理制度的评审和修订上应满足（D）。A、应定期或不定期对安全管理制度进行检查和审定B、应定期或不定期地对安全管理制度进行评审，对存在不足或需要改进的安全管理制度进行修订C、安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定D、应定期对安全管理制度进行评审，对存在不足或需要改进的安全管理制度进行修订71、Solaris10的运行模式0是指（B）。A、退出操作系统并关机

30、B、操作系统关闭，计算机仅运行其固件C、重新启动机器D、中断运行并立即关机72、为了防御XSS跨站脚本攻击，我们可以采用多种安全措施，但（C）是不可取的A、编写安全的代码：对用户数据进行严格检查过滤B、可能情况下避免提交HTML代码C、阻止用户向Web页面提交数据D、即使必须允许提交特定HTML标签时，也必须对该标签的各属性进行仔细检查，避免引入javascript73、防范网页挂马攻击，作为第三方的普通浏览者，以下哪种办法可以有效？（D）A、及时给系统和软件打最新补丁B、不浏览任何网页C、安装防火墙D、安装查杀病毒和木马的软件74、WindowsNT4.0于1999年11月通过了美国国防部TCSEC（D）级安全认证。A、B1B、B2C、C1D、C275、缓冲区溢出（D）。A、只是系统层漏洞B、只是应用层漏洞C、只是TCP/IP漏洞D、既是系统层漏洞也是应用层漏洞76、WindowsNT的安全引用监视器（SecurityReferenceMonitor，SRM）的主要作用是（A）。A、实现基于对象的访问控制和审核策略B、负责记录审核消息C、管理对象的安全描述符D、