当前位置:   article > 正文

2022第三届全国大学生网络安全精英赛练习题(4)_在网络信息系统建设中部署防火墙,往往用于提高内部网络的安全防护能力。某公司准

在网络信息系统建设中部署防火墙,往往用于提高内部网络的安全防护能力。某公司准

全国大学生网络安全精英赛

2022第三届全国大学生网络安全精英赛练习题(4)



301、Windows10各版本中,功能最少的是()
A.家庭版
B.专业版
C.企业版
D.教育版

正确答案:A
解析:功能从少到多∶家庭版——专业版——教育版——企业版(教育版和企业版功能基本相同)


302、漏洞扫描技术是一类重要的网络安全技术。它和防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。对于漏同扫描的原理:1、返回响应;2、发送)则数据包;3.
读取漏洞信息;4、特征匹配分析。正确的顺序为() 。
A.1->3->2->4
B.3->4->2->1
C.1->2->3->4
D.3->2->1->4

正确答案:D
解析:漏洞扫描的原理:1、读取漏洞信息;2、发送探测数据包;3、返回响应;4、特征匹配分析。


303、下列关于网页挂马的说法错误的是()
A.可能会盗取个人信息
B.可能会对计算机系统进行破坏
C.网页挂马不会自动下载
D.尽量访问官方网站育郜降低感染木马的概率

正确答案:C
解析:如果浏览器的脚本权限设置为全部无需用户确认执行时,攻击者可构造特定的网页,当用户访问时,通过脚本将木马自动释放到用户的系统中。


304、以下关于管理共享的说法哪个是错误的()
A.默认情况下,Windows会自动创建特殊隐藏的共享资源
B.IPC$共享资源是进程间通信的命名管道,用于传递通信信息,无法被删除
C.管理共享是系统设置的,无法取消
D. net share命令用来管理共享资源

正确答案:C
解析:如果对共享资源没有使用的需求,可以通过编辑注册表来阻止系统自动创建


305、下列哪个不是关于实体所知的鉴别威胁中的暴力破解的防护()。
A.使用安全的密码(自己容易记,别人不好猜,高强度,高复杂度)
B.在会话中引入随机数
C.设置系统、应用的安全策略
D.随机验证码(变形、干扰、滑块、图像识别等)

正确答案:B
解析:在会话中引入随机数是针对重放攻击的防御。


306、下面关于IPv6协议优点的描述中,准确的是()
A.IPv6协议允许全局IP地址出现重复
B.IPv6协议解决了IP地址短缺的问题
C.IPv6协议支持通过卫星链路的Intemet连接
D.IPv6协议支持光纤通信

正确答案:B


307、小李查看系统的安全日志时发现自己的账户在凌晨三点登录了系统,于是小李怀疑自己的账户密码被黑客暴力破解了,如果想预防这种情况的发生小李可开启下列哪项设置()
A.账户锁定阈值设置为5
B.密码必须符合复杂性要求
C.密码长度最小值设置为8
D.以上都可开启

正确答案:D
解析:开启这些设置可以很好的防止暴力破解


308、在以下四种传输介质中,带宽最宽、抗干扰能力最强的是 ()。
A.无线信道
B.同轴电缆
C.双绞线
D.光纤

正确答案:D
解析:在这个四种传输介质中,带宽最宽、抗干扰能力最强的是光纤。


309、下列不属于windows系统安全加固常用方法的是()
A.启用无用的服务
B.配置安全策略
C.启用防火墙和系统内置的防病毒软件
D.为系统打补丁

正确答案:A
解析:启用无用的服务会扩大攻击面


310、关于Windows系统的安全设置,下列描述错误的是()
A.账户策略用于保护账户的安全性,避免弱口令以应对口令暴力破解
B.审核策略的作用是通过策略设置,实现对用户操作进行审核从而形成安全日志
C.安全选项在实际的使用中,无需根据业务需要进行相应设置,直接采用默认设置即可
D.用户权限分配对—些敏感或者风险操作的用户权限进行了限制

正确答案:C
解析:默认情况下,为了确保系统的易用性,很多安全选项中的设置并不是基于安全考虑,因此在实际的使用中,需要根据业务需要进行相应设置,确保在不影响业务的前提下
提高安全能力。


311、存在大量应用系统使用MD5对口令明文进行处理成密码散列,攻击者虽然无法从密码散列中还原出口令明文,但由于口令的明文和散列可以视同——对应的,攻击者可以构造出一张对照表,因此只要获得密码散列,就能根据对照表知道对应的口令明文,这样的对照表通常称为()
A.彩虹表
B.哈希表
C.密码散列表
D. SHA-1表

正确答案:A
解析:存在大量应用系统使甲MD5对口令明文进行处理成密码散列,攻击者虽然无法从密码散列中还原出口冷明文,但由于口令的明文和散例可以视同——对应的,攻击者可以构造出一张对照表,因此只要获得密码散列,就能根据对照表知道对应的口令明文,这样的对照表通常称为彩虹表。


312、以下哪项属于入侵防御系统的入侵防护技术()。
A.恶意站点检测
B. Web分类过滤
C.专业抗DDoS
D.以上都是

正确答案:D
解析:入侵防御系统的入侵防护技术有:恶意站点检测、web分类过滤、专业抗DDoS等。


313、漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷。以下属于常见的应用软件安全漏洞的是()
A.文件上传漏洞
B.跨站脚本漏洞
C.SQL注入漏洞
D.以上都是

正确答案:D


314、以下防范即时通信安全威胁做法错误的是()
A.聊天时不发送个人敏感信息
B.进行转账等操作时通过电话等可靠渠道二次确认
C.不随意点击群里的链接
D.在朋友圈发布自己在工作单位的自拍照

正确答案:D
解析:随意发布自己在工作单位的自拍照会有敏感信息泄露等风险


315、网络爬虫是搜索引擎的重要组成部分,但网络爬虫也带来了一定的安全风险。爬虫被非法利用可能带来的危害包括()
A.核心文本被爬
B.破坏数据和系统
C.影响正常用户的访问
D.以上都是

正确答案:D


316、关于恶意代码,网页恶意代码通常利用()来实现植入并进行攻击。
A.U盘工具
B.口令攻击
C.拒绝服务攻击
D.浏览器的漏洞

正确答案:D
解析:网页恶意代码通常利用浏览器的漏洞来实现植入并进行攻击。因此本题选D。


317、以下哪个不是防火墙的基础作用O 。
A.隔离
B.控制
C.杀毒
D.记录

正确答案:C
解析:防火墙的基本作用:控制、隔离、记录。


318、小敏安装了一款APP,该APP在小敏不知情的情况下读取了小敏的通讯录并通过网络发送出去,小敏的通讯录是被下列哪种途径泄露的()
A.公开收集
B.非法窃取
C.合法收集
D.无意泄露

正确答案:B
解析:该APP在小敏不知情的情况下采集了小敏的通讯录,属于非法窃取


319、养成良好的APP使用习惯可以降低个人信息泄露的风险,下列APP使用习惯中不正确的是()
A.不使用强制收集个人信息的APP
B.不使用破解版APP
C.为了多获取积分,填写真实姓名、出生日期、所从事的行业等各种详细的个人信息
D.不被赚钱等噱头迷惑,安装不可信的APP

正确答案:C
解析:填写太过细致的个人信息可能会导致个人信息泄露


320、下列操作中可能为windows系统终端带来安全威胁的是()
A.启用安全设置中的用可还原的加密来储存密码
B.为系统更新的补丁
C.启用Microsofe Defender
D.关闭不需要的服务

正确答案:A
解析:使用可还原的加密储存密码与储存纯文本密码在本质上是相同的,所以启用后可能带来安全分险


321、下列哪种攻击方式属于网络钓鱼()
A.通过电子邮件向用户发送伪造银行邮件
B.以受害者身份在当前已经登录的Web应用程序上执行修改密码的操作
C.向网站插入JavaScript代码获取受害者cookie
D.攻击者构造携带木马程序的网页,利用操作系统漏洞将木马下载到目标计算机系统

正确答案:A
解析:网络钓鱼(Phishing)是攻击者利用欺骗性的电子邮件或其他方式将用户引导到伪造的Web页面来实施网络诈骗的一种攻击方式


322、以下哪一个漏洞属于数据库漏洞()
A.XSS
B.SQL注入
C.CSRF
D.SSRF

正确答案:B
解析:SQL注入是最常见的数据库漏洞之一,SQL注入到数据库后,应用程序将会被注入恶意的字符串,从而达到欺骗服务器执行命令的恶意攻击效果。因此本题选B.


323、宏病毒是一种专门感染微软office格式文件的病毒,下列不可能感染该病毒的文件是()
A.*.exe
B.*.doc
C.*.xls
D.*.ppt

正确答案:A
解析:.exe是可执行文件,不属于office格式文件。因此本题选A。


324、王同学喜欢在不同的购物和社交网站进行登录和注册,但他习惯于在不同的网站使用相同的用户名和密码进行注册登录,某天,他突然发现,自己在微博和很多网站的账号同时都不能登录了,这些网站使用了同样的用户名和密码,请问,王同学可能遭遇了以下哪类行为攻击。()
A.拖库
B.撞库C.建库
D.洗库

正确答案:B
解析:撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。


325、()是Windows NTS.0之后所特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接被操作系统加密保存,在很大程度上提高了数据的安全性。
A.EFS
B.SAM
C.Bitlocker
D.NFS

正确答案:A
解析: SAM是安全账号管理器,用于管理用户账号,Bitlocker是从Windows Vita开始在系统中内置的数据加密保护机制,NPS是网络文件系统能让使用者访问网络上别处的文
件就像在使用自己的计算机一样


326、组织建立信息安全管理体系,在信息安全方针中明确描述组织的角色、职责和权限。常见的角色原则理解错误的是()
A.遵循最小授权
B.知必所需
C.岗位轮换
D.遵循最大授权

正确答案:D
解析:在信息安全方针中明确描述组织的角色、职责和权限。常见的角色遵循最小授权、知必所需、岗位轮换等原则。


327、下列关于windows系统备份的说法哪个是错误的( )
A.需要在确保系统稳定可靠的情况下对系统进行备份
B.需要专业的第三方软件才能进行
C.可以在系统刚配置好时进行备份
D.如果硬盘空间较为宽松,可以设置定期产生一个备份

正确答案:B
解析: Windows系统还原点创建方式:右键点击“此电脑”,弹出菜单中选择属性,在弹出的对话框中选中“系统保护”


328、下列关于xss(跨站脚本攻击)的描述正确的是
A.xss攻击就是DDOS攻击的一种
B.xss攻击无法获得cookie
C.xss攻击可以劫持用户会话
D.xss攻击危害很小

正确答案:C
解析∶攻击者可以在受害者的计算机执行命令、劫持用户会话、插入恶意内容、重定向用户访问、窃取用户会话信息、隐私信息、下载蟜虫木马到受害者计算讯机上等威胁行为


329、以下哪个属于移动互联网安全威胁()
A.业务层面:非法业务访问、违法数据访问、拒绝服务攻击、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄露、内容版权盗用和不合理的使用。B.网络层面:接入网非法窃听、用户身份仿冒、服务器滥用占用带宽、破坏数据和信息完整性、非授权定位等。
C.终端层面:病毒、木马、蠕虫、网络钓鱼、身份伪冒、DDOS攻击、窃取隐私、非授权使用资源、远程控制等。
D.以上都是

正确答案:D
解析:互联网安全威胁包括业务层面、网络层面、终端层面。


330、从保护数据的角度来看,下列哪种分区方式最不合理( )
A.分C、D两个分区,操作系统安装在C盘,软件和数据在D盘
B.分C、D、E三个分区,操作系统安装在C盘,软件在D盘、工作资料在E盘
C.分C、D、E、F四个分区,操作系统安装在C盘,其他盘分别用来存储软件、工作资料、系统备份D.只分一个C盘,操作系统和数据都存放在C盘当中

正确答案:D
解析:操作系统和数据都存放在C盘当中的话,如果系统崩溃需要重装系统时可能导致数据丢失


331、依据《中华人民共和国标准法》将标准级别划分为4个层次,不包括()
A.国际标准
B.国家标准
C.行业标准
D.地方标准

正确答案:A
解析:标准级别是指依据《中华人民共和国标准化法》将标准划分为国家标准、行业标准、地方标准和企业标准等4个层次。


332、为信息安全漏洞在不同对象之间的传递和表达提供一致的方法的是()
A.漏洞标识管理
B.漏洞补丁管理
C.漏洞信息管理
D.漏洞评估管理

正确答案:A
解析:漏洞标识方面的规范是为信息安全漏洞在不同对象之间的传递和表达提供一致的方法。因此本题选A。


333、在网络信息系统建设中部署防火墙,往往用于提高内部网络的安全防护能力。某公司准备部署一台防火墙来保护内网主机,下列选项中部署位置正确的是( )。
A.外网———内网主机——防火墙——交换机
B.外网——交换机———内网主机———防火墙
C.外网——内网主机——交换机——防火墙
D.外网——防火墙——交换机———内网主机

正确答案:D
解析:防火墙一般部署在内网和外网边界。


334、由于“劣币驱除良币”效应的存在,对于软件的安全开发,下面理解正确的是()
A.企业管理层对安全开发缺乏了解,开发管理人员不了解软件安全开发的管理流程、方法和技巧
B.软件开发人员缺乏将软件安全需求、安全特性和编程方法进行结合的能力
C.测试人员无法以“坏人”的角度来思考软件安全问题
D.上面都对

正确答案:D
解析:由于“劣币驱除良币”效应的存在,使得更多的软件厂商对软件安全开发缺乏动力,企业管理层和软件开发人员都缺乏相应的知识,不知道如何才能更好地实现安全的软件。公司管理层缺乏对软件安全开发的管理流程、方法和技巧,缺少正确的安全经验积累和培圳教材,软件开发人员大多数仅仅从学校学会编留技巧,不了解如何将软件安全需求、安全特性和编程方法进行结合,更无法以“坏人”的角度来思考软件安全问题。


335、如果想禁止旧密码连续重新使用应该开启哪个策略()
A.重置账户锁定计数器
B.审核策略更改
C.审核账户管理
D.强制密码历史

正确答案:D
解析:强制密码历史可以使管理员能够通过确保旧密码不被连续重新使用来增强安全性。


336、网络钓鱼欺骗是社会工程学的一种方式,下列关于社会工程学的说法中错误的是()
A.社会工程学利用了人性的弱点
B.社会工程学需要结合常识
C.社会工程学的目的是获取秘密信息
D.社会工程学的欺偏总是能重复成功

正确答案:D
解析:D项说法错误


337、下列哪个选项是错误的()
A.移动智能终端的硬件信息属于用户个人数据
B.移动智能终端不是用户身份验证的主要方式
C.伪基站是移动智能终端面临的安全威胁之一
D.移动智能终端中安装的应用软件的操作记录属于需要保护的移动智能终端数据

正确答案:B
解析:智能手机是起到支付通道和鉴别作用的设备,是整个应用场景中信息安全的关键因素。


338、https是很多网站采用的网页访问协议,以下关于https与http相比的优势说法正确的是()
A. https访问速度比http快
B. https安全性比http高
C. https对服务器资源的占用小于http
D.https性能比http要好

正确答案:B
解析: https是基于HTTP协议,通过SSL或TLS提供加密处理数据、验证对方身份以及数据完整性保护,安全性方面要优于http


339、由于密码技术都依赖于密钥,因此密钥的安全管理是密码技术应用中非常重要的环节,下列关于密钥管理说法错误的是()。
A.在保密通信过程中,通信双方也可利用Diffie-Hellman协议协商出会话密钥进行保密通信。
B.密钥管理需要在安全策略的指导下处理密钥生命周期的整个过程,包括产生、存储、备份、分配、更新、撤销等。
C.在保密通信过程中,通信双方可以一直使用之前用过的会话密钥,不影响安全性。
D.科克霍夫在《军事密码学》中指出系统的保密性不依赖于对加密体制或算法的保密,而依赖于密钥。

正确答案:C
解析:通信双方一直使用之前用过的会话密钥,会影响安全性。


340、木马可以实现的功能是()
A.执行程序
B.键盘记录
C.屏幕监视
D.以上都对

正确答案:D


341、移动智能终端出现下列哪种情况时可能正在遭受伪基站攻击()
A.手机信号很弱或者突然回落到2G信号,接到可疑短信
B.自动下载APP
C.设备卡顿
D.某款APP申请多项不需要的权限

正确答案:A
解析:伪基站诈就短信欺骗性很强,但也并非不可识别。如果用户手机信号很弱或者突然回落到2G信号,但还能接到可疑短信时,就需要提高警惕。


342、无线局域网是相当便利的数据传输系统,硬件设备包含无线网卡,无线AP和无线天线,其中AP的作用是()。
A.无线接入
B.路由选择
C.业务管理
D.用户认证

正确答案:A
解析:AP的作用是无线接入。


343、Windows共享目录的中的“更改”和“完全控制”有什么区别()
A.删除文件
B.修改文件
C.新建文件
D.修改权限

正确答案:D
解析:“更改”权限没有修改权限的能力,“完全控制”有修改权限能力


344、Windows系统的安全设置中,账户策略用于保护账户的安全性,避免弱口令以应对口令暴力破解,而本地安全策略也提供了审核策略、用户权限分配和安全选项对系统安全进
行管控,下列选项错误的是()
A.审核策略的作用是通过策略设置,实现对用户操作进行审核从而形成安全日志
B.安全选项通过对系统安全机制、安全功能进行设置调整,实现有效的提高整体安全性。
C.用户权限分配对—些敏感或者风险操作的用户权限进行了限制
D.默认情况下,审核策略全部都是开启的

正确答案:D
解析:默认情况下,审核策略并不是全部都开启的,需要根据相关安全设置指导文档进行设置


345、小李访问一个网站时,页面还没显示,杀毒软件就提示检测到木马病毒,小李访问的这种网站的专业名称是()
A.门户网站
B.个人网站
C.挂马网站
D.购物网站

正确答案:C
解析:打开一个网站,结果页面还没显示,杀毒软件就开始报警,提示检测到木马病毒。这是网页恶意代码,这就是典型的网页挂马现象。


346、能完成不同的VLAN之间数据传递的设备是()
A.二层交换机
B.中继器
C.路由器
D.防火墙

正确答案:C
解析:能完成不同的VLAN之间数据传递的设备是路由器。


347、随着电子邮件的广泛应用,电子邮件面临的安全威胁越来越多,攻击者可能通过恶意邮件来控制主机,下列设置中不安全的是()
A.以超文本格式读取所有邮件
B.禁止自动下载附件
C.禁止使用不信任的宏
D.启用垃圾邮件过滤

正确答案:A
解析:应该设置为以纯文本形式约定邮件


348、以下关于防范钓鱼网站的做法哪个是错误的()
A.通过查询网站备案信息等方式核实网站资质的真伪
B.安装安全防护软件
C.警惕中奖、修改网银密码的通知邮件、短信,不轻意点击未经核实的陌生链接
D.为了更好的玩游戏,关闭杀毒软件等耗资源的软件
回答错误
正确答案:D你的答案:
解析:关闭杀毒软件是错误的做法


349、下列关于xss(跨站脚本攻击)的说法错误的是()
A.跨站脚本攻击英文为Cross Site Scripting
B.跨站脚本攻击开发人员对用户提交的数据没有进行严格的控制,使得用户可以提交脚本到网页上C.xss可以提交的脚本只有JavaScript
D.跨站脚本攻击是目前互联网常见的的面向浏览器的攻击方式

正确答案:C
解析:跨站脚本攻击开发人员对用户提交的数据没有进行严格的控制,使得用户可以提交脚本到网页上,这些脚本脚本包括laScipt、Java、VBScipt, ActvX、Flash,甚至是普通的HTML语句。


350、密码学技术在信息安全中应用很广,以下属于信息安全要素的是()
(1)机密性 (2)完整性 (3)可鉴别性 (4)不可否认性 (5)授权与访问控制
A. (1)(2)(3)(4)
B. (1)(2)(3)(5)
C. (1)(3)(4)(5)
D. (1)(2)(3)(4)(5)

正确答案:D
解析:︰信息安全要素包括:机密性、完整性、可鉴别性、不可否认性、授权与控制访问。


351、下列哪个选项可以通过设置对用户操作进行审核从而形成安全日志()
A.账户策略
B.审核策略
C.用户权限分配
D.公钥策略

正确答案:B
解析:审核策略的作用是通过策略设置,实现对用户操作进行审核从而形成安全日志


352、每逢双十一购物狂欢节,网民们都会在淘宝网上抢购东西,当网民抢购商品高峰期到来时,就经常出现网站崩溃、停机等情况,这实际上可以看作是全国网民通过手动点击淘宝网址引起的一次大规模()攻击
A.XSS
B.CSRF
C.SQL注入
D. DDoS

正确答案:D
解析:DDoS攻击通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的。


353、关于社交网站安全,以下说法错误的是()
A.不要轻易添加社交网站好友,也不要轻易相信网站微博、论坛上的信息,理性上网
B.注册账号时,提供满足账号注册要求的最少信息
C.充分利用社交网站的安全机制
D.无条件信任好友转发的信息

正确答案:D
解析∶社交网站上的信息不要轻易相信,哪怕是好友也一样、有可能是诈骗信息、病毒信息、不良消息等,有可能会带来恶劣影响及造成损失,严重的情况下会违围法


354、大数据的生命周期包括()
A.数据采集、数据存储、数据处理、数据分发、数据删除
B.数据采集、数据存储、数据处理、数据加密、数据删除
C.数据采集、数据加密、数据处理、数据分发、数据删除
D.数据采集、数据存储、数据处理、数据分发、数据加密

正确答案:A
解析:大数据的生命周期包括数据采集、数据存储、数据处理、数据分发、数据删除等


355、CIA指信息安全的三大要素,其中C、I、A依次代表()
A.机密性、完整性、可用性
B.可控性、准确性、可靠性
C.机密性、真实性、可用性
D.机密性、不可否认性、可用性

正确答案:A
解析:CIA三元组定义了信息安全的基本属性,分别是机密性,完整性和可用性,信息安全首要就是保护信息的这三个基本属性


356、关于windows系统的安全性的说法,以下哪个是正确的?()
A. Windows系统存在安全设计缺陷,所以才会总感染病毒
B.Windows系统基本没考虑过安全问题,因此才会容易被病毒感染
C. Windows系统的安全机制设计完善,感染病毒都是因为用户使用不当
D. Windows系统安全机制设计完善,只是为了方便用户使用,很多安全机制默认没有启用

正确答案:D
解析:易用性和安全可以说是一对矛盾体,两者性往往不能兼顾,windows系统为了方便用户使用默认关闭了一部分安全机制


357、向接收者的邮件地址发送大量的电子邮件,消耗接收者的邮箱空间,最终因空间不足而无法接收新的邮件,导致其他用户发送的电子邮件被丢失或退回,这种权击方式是()
A.邮件地址欺骗
B.口令爆破
C.邮件病毒
D.邮件炸弹

正确答案:D
解析:邮件炸弹是垃圾邮件的一种,通过向接收者的邮件地址发送大量的电子邮件,消耗接收者的邮箱空间,最终因空间不足而无法接收新的邮件,导致其他用户发送的电子邮件被丢失或退回。


358、TCPIP协议族设计的目的是为实现不同类型的计算机系统互连,从设计之初就考虑到不同类型的计算机设备的特性,具有较好的开放性,但是存在很多安全风险,著名的ARP欺骗就是利用ARP协议无状态、无需请求就可以应答和缓存机制的问题实现,攻击者通过伪造ARP应答报文修改计算机上的ARP缓存实现欺骗。ARP欺骗属于()
A.链路层的安全风险
B.网络层的安全风险
C.传输层的安全风险
D.应用层的安全风险

正确答案:A
解析:链路层主要的两个协议ARP和RARP,由于缺乏认证机制,很容易被攻击者利用实施欺骗攻击


359、数据粉碎的原理是()
A.反复覆盖
B.加密存储区域
C.物理销毁
D.破坏存储区域

正确答案:A
解析:文件粉碎方式,是通过反复的对文件存储的硬盘区块进行覆盖写入垃圾数据,使得原来的数据彻底被破坏,无法恢复,从而实现对数据的保护


360、以下对跨站脚本攻击的解释最准确的一项是()
A.通过将精心构造的代码注入到网页中,并由浏览器解释运行这段代码,以达到恶意攻击的效果
B.构造精巧的数据库查询语句对数据库进行非法访问
C.以用户身份在当前已经登录的Web应用程序上执行非用户本意操作的攻击方法
D.一种DDOS攻击

正确答案:A
解析:XSS攻击就是将一段精心构造的代码注入到网页中,并由浏览器解释运行这段代码,以达到恶意攻击的效果


361、Windows内置的防火墙不能提供下列哪个功能( )
A.对系统中的传入和传出数据进行实时监测
B.阻挡或者允许特定程序或者端口进行连接
C.清理系统垃圾
D.自定义规则对出入站进行访问控制

正确答案:C
解析:Windows Defender防火墙是微软自主研发的系统防护软件,内置在WNindows系统中,对系统中的传入和传出数据进行实时监测,可阻挡或者允许特定程序或者端口进行
连接,如果对防火墙有较好的了解,可通过设置自定义规则对出入站进行访问控制。


362、防病毒软件是目前恶意代码防护最主要的技术措施,防病毒软件是通过什么来发现病毒的()
A.病毒名称
B.病毒特征码
C.病毒特征
D.病毒类型

正确答案:B
解析:每种恶意代码中都包含某个特定的代码段,即特征码,在进行恶意代码扫描时,扫描引擎会将系统中的文件与特征码进行匹配如果发现系统中的文件存在与某种恶意代码相同的特征码,就认为存在恶意代码。


363、欺骗是指伪造可信身份,并向目标系统发起攻击的行为。例如TCPIP协议连接时主要认证目的IP地址,而源地址是可以伪造的。常见的欺骗方式有()
A.IP欺骗(IP spoof)
B.ARP欺痛和DNS欺骗
C.TCP会话劫持(TCP Hijack)
D.以上都对

正确答案:D
解析:常见的欺骗方式有:IP欺骗(IP spoof),ARP欺骗、DNS欺骗,以及TCP会话劫持(TCP Hijack)等。


364、在windows系统中,如果想要限制用户登录尝试失败的次数,应该如何设置()
A.在本地组策略编辑器中对密码策略进行设置
B.在本地组策略编辑器中对审核策略进行设置
C.在本地组策略编辑器中对账户锁定策略进行设置
D.在本地组策略编辑器中对用户权限分配进行设置

正确答案:C
解析:在本地组策略编辑器中对账户锁定策略的账号锁定阈值进行设置


365、在你为一台新的电脑安装windows操作系统时,以下哪一种做法最可能导致安全问题()
A.安装完毕后进行系统的安全更新
B.启用防火墙
C.关闭管理共享
D.启用自动播放功能

正确答案:D
解析:出于安全性的考虑,应禁止使用设备的自动播放功能


366、信息技术安全性评估通用标准用于评估信息系统、信息产品的安全性,其又被称为()
A.ISO标准
B.HTTP标准
C.IEEE标准
D.CC标准

正确答案:D
解析:1993年6月,美国政府同加拿大及欧共体共同起草单一的通用准则(CC标街并将其推到国际标佳。制定CC标准的目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则。


367、()是攻击者利用欺骗性的电子邮件或其他方式将用户引导到伪造的Web页面来实施网络诈骗的一种攻击方式。
A.网页挂马
B.跨站脚本攻击
C.跨站请求伪造
D.网络钓鱼

正确答案:D
解析:网络钓鱼是攻击者利用欺骗性的电子邮件或其他方式将用户引导到伪造的Web页面来实施网络诈骗的一种攻击方式。


368、()是信息系统安全防护体系中最不稳定也是最脆弱的环节
A.员工
B.技术
C.管理
D.以上都错

正确答案:A
解析:人是信息系统安全防护体系中最不稳定也是最脆弱的环节


369、Windows10系统的日志存放路径在哪里修改()
A.注册表编辑器
B.控制面板
C.文件资源管理器
D.本地服务

正确答案:A
解析:在win10系统中打开“注册表编辑器”窗口,展开并定位到如下分支:HKEYLOCALMACHINE/SYSTEM/CurrentControlSet/Services/Eventlog/System双击并修改右侧窗格中的“file”值即可修改


370、关于办公室信息安全意识正确的是()
A.使用办公计算机中途外出时,只关掉了显示器
B.虽然在内网计算机上安装了桌面管理系统,但管理员不会24小时监控,管理员休息了可以上会外网C.先把计算机的内网网线拔掉,在接入外网网线,这样就实现了两网分离,不属于违规外联
D.在内网使用专用的内网移动介质,专用介质不能在连接外网的电脑中使用

正确答案:D
解析:内网设备禁止连接外网,BC错,A选项信息安全意识差,D项符合要求


371、Windows的第一个版本于()年问世
A.1984
B.1985
C.1986
D.1987

正确答案:B
解析: Windows的第一个版本于1985年问世


372、在本地故障情况下,能继续访问应用的能力,体现了业务连续性的()
A.高可用性
B.连续操作
C.灾难恢复
D.以上都不是

正确答案:A
解析:高可用性指提供在本地故障情况下,能继续访问应用的能力。故障包括业务流程、物理设施和IT软硬件故障。因此本题选A.


373、以下哪个信息系统属于”国家关键信息基础设施”? ()
A.某组织的核心管理系统
B.国家电网调度系統
C.某上司公司的重点业务統
D.某研发机构的研发系统

正确答案: B
解析:关键信息基础设施定义:面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统;且这些系统一发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。


374、随着网络空间安全重要性的不断提高,网络安全态势感知(NSSA)的研究与应用正在得到更多的关注。以下关于NSSA的描述,理解错误的是()
A.态势感知的数据来源丰富
B.态势感知结果丰富实用
C.态势感知适用范围十分窄
D.态势感知能对网络安全状况的发展趋势进行预测

正确答案:C
解析:态势感知适用范围十分广


375、下面不属于第二百八十七条之一【非法利用信息网络罪】的是()
A.设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的
B.向他人出售或者提供公民个人信息,情节严重的
C.发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的
D.为实施诈骗等违法犯罪活动发布信息的

正确答案:B
解析∶第二百五十三条之一:【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。


376、刘某在自家的小汽车上安装伪基站设备,长期不定时的在各人口密集区利用小汽车上的伪基站强行向不特定用户手机发送虚假广告信息,干扰公用电信网络信号,局部阻断公众移动通信网络信号,陈某的行为属于()
A.民事侵权行为
B.违法犯罪行为
C.行政违法行为
D.违反道德的行为

正确答案:B
解析:常识


377、下面不属于违反《刑法》第二百八十五条非法侵入计算机信息系统罪的是()
A.违反国家规定,非法侵入计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的
B.违反国家规定,对计算机信息系统实施非法控制,情节严重的
C.违反国家规定,提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的
D.违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的

正确答案:D
解析:刑法第二百八十六条【破坏计算机信息系统罪】违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成方算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。


378、信息安全已经成为社会的焦点问题,以下不属于信息系统安全运营原则的是()
A.标准化与一致性原则
B.绝对安全原则
C.统筹规划与分步实施原则
D.同步规划建设原则

正确答案:B
解析∶信息系统安全运营原则包括标准化与一致性原则、技术与管理并重原则、统筹规划与分步实施原则和同步规划建设原则。


379、下列密码中,哪个密码是最安全的()
A. database
B. !qaz@wsx
C.!@f#$%个8*
D.#*kong43Za

正确答案:D
解析:A是全英文,且是英文单词,B和C都有健盘轨迹,D项有符号、字母、数字及大小写,在四个选项中最符合安全要求


380、小张在某网站上找到了一篇他需要的资料,可以免费下载,但是下载要求在网站上使用邮箱进行注册,以下哪个做法是最正确的()
A.使用自己常用的邮箱进行注册,并把密码设置为和自己邮箱相同,便于记忆
B.使用自己常用的邮箱进行注册,把网站密码设置和邮箱不同的密码
C.单独申请一个邮箱用来注册不常用的网站,密码单独设置
D.不注册,不下载了

正确答案:C
解析:C选项安全性最高


381、身份冒充的攻击原理是()
A.一个实体声称是另一个实体。
B.诱使工作人员或网络管理人员透露或者泄漏信息
C.声称来自于银行或其他知名机构的欺骗性垃圾邮件
D.以上都不对

正确答案:A
解析:身份冒充指的是一个实体声称是另一个实体。这是最常贝的一种攻击方式,对于最简单的口令认证方式,只要能获得别人的口令,就能经而易举的冒充他人。因此本题选A。


382、柯克霍夫原则是()
A.密码系统的运作步骤泄露,该密码不可用
B.密码系统的运作步骤泄露,该密码仍可用
C.密码系统的运作步骤泄露,密钥未泄露,该密码仍可用
D.密码系统的运作步骤泄露,密钥泄露,该密码仍可用

正确答案:C
解析:柯克霍夫原则


383、()是针对没有国家标准而又需要在全国某个行业范围内统一的技术要求而制定的标准。
A.国家标准
B.行业标准
C.国际标准
D.地方标准

正确答案:B
解析:行业标准是针对没有国家标准而又需要在全国某个行业范围内统一的技术要求而制定的标准。


384、下列描述错误的是()
A.Cookie是浏览器使用的文本格式的小文件,用于存储用户信息和用户偏好等信息
B.设置浏览器的“不跟踪”请求,浏览器在访问网站时告诉网站不希望被跟踪,这个“不跟踪”请求是否执行的决定权在浏览器
C.如果不是必须,网站使用位置信息、操纵摄像头、弹出式窗口等权限应尽量避免允许网站使用
D.对于保存的口令信息,不建议同步到云端保存

正确答案:B
解析:可以设置浏览器的“不跟踪”请求,浏览器在访问网站时告诉网站不希望被跟踪,虽然这个“不跟踪”请求是否执行的决定权在网站,但规范设计的网站会遵守浏览器的要求。


385、下列关于Windows系统账户安全说法错误的是()
A. Administrator账户可以更名
B.设置密码策略可以对登录错误达到一定次数的账户进行锁定从而抑制口令暴力破解攻击
C.在实际使用过程中,需要根据业务和自身需要选择账户的验证方式
D.如果确认不需要Guest账户,可设置安全的口令、对其进行更名并禁用以提高安全性

正确答案:B
解析∶密码策略是避免系统中出现弱密码,而账户锁定策略通过设置对登录错误达到一定次数的账户进行锁定从而抑制口令暴力破解攻击。


386、在BLP模型中,现有两个安全级为A=<机密,{外交,商务}>、B=<秘密,{外交} >,AB之间的支配关系为()。
A.A支配B
B.B支配A
C.没有支配关系
D.以上都不正确

正确答案:A
解析:安全级之间的支配关系(密级高于或等于、范畴包含)。


387、删除日志会导致日志的缺少,在审计时会被发现,因此部分高明的攻击者可能会(()
A.篡改日志文件中的审计信息
B.删除或停止审计服务进程
C.修改完整性检测标签
D.以上都对

正确答案:D
解析:例如:篡改日志文件中的审计信息,改变系统时间造成日志文件数据紊乱,删除或停止审计服务进程,修改完整性检测标签等等。


388、使用漏洞库匹配的扫描方法,能发现(
A.未知的漏洞
B.已知的漏洞
C.所有漏洞
D.自行设计的软件中的漏洞

正确答案:B
解析:已知的漏洞


389、目前通用的网络模型有两种,OSl模型分为()层,TCP/IP模型分为()层。
A.7 3
B.7 4
C.5 5
D.5 4

正确答案:B
解析:目前通用的网络模型有两种,OSI模型分为7层,TCP/IP模型分为4层。


390、关于入侵检测系统中的误用检测系统,下列说法正确的是 ()。
A.建立入侵行为模型(攻击特征)。
B.假设可以识别和表示所有可能的特征。
C.基于系统和基于用户的误用。
D.以上都对

正确答案:D
解析:误用检测技术建立入侵行为模型〈(攻击特征)、假设可以识别和表示所有可能的特征、基于系统和基于用户的误用。


391、在windows系统中,使用win+r快捷键打开运行后输入下列哪个选项可以打开命令提示符窗口()
A. cmd
B. gpedit.msc
C. services.msc
D.notepad

正确答案:A
解析: windows的命令提示符窗口就是cmd


392、微信突然收到好友发来的一个网络投票链接,最合理的处理方式是()
A.打电话和朋友确认不是被盗号,并确认投票原因和内容后,再酌情考虑是否投票
B.不投票,假装没有看到
C.把好友拉黑
D.和朋友关系很好,直接打开投票链接

正确答案:A
解析:因为有安全风险,所以要和好友确认后再决定是否投票


393、信息系统安全策略应该全面地考虑保护信息系统整体的安全,在设计策略的范围时,主要考虑()
A.物理安全策略
B.网络安全策略
C.数据加密策略
D.以上都是

正确答案:D
解析:物理安全、网络安全、数据安全都需要考虑


394、关于Web浏览中最小特权原则说法错误的是()
A.不需要的页面不要随便访问
B.无需明确需要访问的资源
C.不需要下载的文件不要下载
D.不熟悉的联网方式不要随便连接

正确答案:B
解析:Web浏览中最小特权原则是明确需要访问的资源,对于不需要的页面不要随便方问,不明确的链接不随意去点击,不需要下载的文件不要下载,不熟悉的联网方式不要随便连接等


395、下列关于跨站脚本攻击的描述正确的是()
A.跨站脚本攻击英文为Cross Site Scripting
B.反射型跨站脚本攻击是持久性的
C.跨站脚本攻击是一种利用客户端漏洞实施的攻击
D.跨站脚本攻击无法重定向用户访问

正确答案:A
解析:反射型跨站脚本攻击是非持久性的、跨站脚本攻击是一种利用网站漏洞实施的攻击,可用于重定向用护访问


396、对于OSI七层模型中,传输层的作用是()
A.不同应用程序的数据隔离,同步服务
B.逻辑寻址,路径选择
C.提供端到端的数据传输服务,建立逻辑连接
D.建立、维护和拆除物理链路层的连接

正确答案:C
解析:传输层的作用提供端到端的数据传输服务,建立逻辑连接


397、哈希函数可以将任意有限长度信息映射为固定长度的值。以下哪个不是安全的哈希函数所满足的性质()
A.单向性
B.双向性
C.弱抗碰撞性
D.强抗碰撞性

正确答案:B
解析:哈希函数具有单向性,消息通过哈希函数计算出哈希值,但是不能由哈希值反向计算出消息的原始内容。


398、在OSI七层模型中,数据链路层的传输单位是()
A.帧
B.比特流
C.分组
D.段

正确答案:A
解析:数据链路层的传输单位是帧。


399、计算机操作系统是管理和控制计算机软硬件资源的计算机程序。以下不属于操作系统基本特征是()
A.共享性
B.并发性
C.封闭性
D.异步性

正确答案:C
解析:操作系统的基本特征有并发性、共享性、随机性、异步性、虚拟(virtual)


400、端口映射理论上可以提供多少端口的映射()
A.65535
B.64511
C. 1024
D.64

正确答案:B
解析:理论上可以提供65535(总端口数)-1024(保留端口数)=64511个端口的映射。因此本题选B。


总结

以上就是今天要讲的内容,本文仅仅简单介绍了2022第三届全国大学生网络安全精英赛练习题(4),今年练习题一共有902题,在此记录。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/羊村懒王/article/detail/724940
推荐阅读
相关标签
  

闽ICP备14008679号