《2024年全国大学生网络安全知识竞赛精选题库及答案(共50题)》由会员分享,可在线阅读,更多相关《2024年全国大学生网络安全知识竞赛精选题库及答案(共50题)(17页珍藏版)》请在金锄头文库上搜索。
1、2024年全国大学生网络安全知识竞赛经典题库及答案(共50题)1.以下针对Land攻击的描述,哪个是正确的?A.Land是一种针对网络进行攻击的方式,通过IP欺骗的方式向目标主机发送欺骗性数据报文,导致目标主机无法访问网络B.Land是一种针对网络进行攻击的方式,通过向主机发送伪造的源地址为目标主机自身的连接请求,导致目标主机处理错误形成拒绝服务C.Land攻击是一种利用协议漏洞进行攻击的方式,通过发送定制的错误的数据包使主机系统处理错误而崩溃D.Land是一种利用系统漏洞进行攻击的方式,通过利用系统漏洞发送数据包导致系统崩溃2.下列对垮站脚本攻击(XSS)描述正确的是:A.XSS攻击指的是恶
2、意攻击者往WEB页面里插入恶意代码,当用户浏览该页之时,嵌入其中WEB里面的代码会被执行,从而达到恶意攻击用户的特殊目的.B.XSS攻击是DDOS攻击的一种变种C.XSS.攻击就是CC攻击D.XSS攻击就是利用被控制的机器不断地向被网站发送访问请求,迫使NS连接数超出限制,当CPU资源或者带宽资源耗尽,那么网站也就被攻击垮了,从而达到攻击目的3.下列哪一项不属于FUZZ测试的特性?A.主要针对软件漏洞或可靠性错误进行测试.B.采用大量测试用例进行激励响应测试C.一种试探性测试方法,没有任何依据&D.利用构造畸形的输入数据引发被测试目标产生异常4.对攻击面(Attacksurface)的正确定义
3、是:A.一个软件系统可被攻击的漏洞的集合,软件存在的攻击面越多,软件的安全性就越低B.对一个软件系统可以采取的攻击方法集合,一个软件的攻击面越大安全风险就越大C.一个软件系统的功能模块的集合,软件的功能模块越多,可被攻击的点也越多,安全风险也越大D.一个软件系统的用户数量的集合,用户的数量越多,受到攻击的可能性就越大,安全风险也越大5.以下哪个不是软件安全需求分析阶段的主要任务?A.确定团队负责人和安全顾问B.威胁建模C.定义安全和隐私需求(质量标准)D.设立最低安全标准/Bug栏6.风险评估方法的选定在PDCA循环中的那个阶段完成?A.实施和运行B.保持和改进C.建立D.监视和评审7.下面关
4、于ISO27002的说法错误的是:A.ISO27002的前身是ISO17799-1B.ISO27002给出了通常意义下的信息安全管理最佳实践供组织机构选用,但不是全部C.ISO27002对于每个措施的表述分”控制措施”、“实施指南”、和“其它信息”三个部分来进行描述DISO27002提出了十一大类的安全管理措施,其中风险评估和处置是处于核心地位的一类安全措施8.下述选项中对于“风险管理”的描述正确的是:A安全必须是完美无缺、面面俱到的。B最完备的信息安全策略就是最优的风险管理对策。C在解决、预防信息安全问题时,要从经济、技术、管理的可行性和有效性上做出权衡和取舍D防范不足就会造成损失;防范过多
5、就可以避免损失。9.风险评估主要包括风险分析准备、风险素识别、风险分析和风险结果判定四个主要过程,关于这些过程,以下的说法哪一个是正确的?A.风险分析准备的内容是识别风险的影响和可能性B风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度C风险分析的内容是识别风险的影响和可能性D风险结果判定的内容是发现系统存在的威胁、脆弱和控制措施10.你来到服务器机房隔壁的一间办公室,发现窗户坏了。由于这不是你的办公室,你要求在这办公的员工请维修工来把窗户修好。你离开后,没有再过问这事。这件事的结果对与持定脆弱性相关的威胁真正出现的可能性会有什么影响?A如果窗户被修好,威胁真正出现的可能性会增加B
6、如果窗户被修好,威胁真正出现的可能性会保持不变C如果窗户没被修好,威胁真正出现的可能性会下降D如果窗户没被修好,威胁真正出现的可能性会增加11.在对安全控制进行分析时,下面哪个描述是错误的?A对每一项安全控制都应该进行成本收益分析,以确定哪一项安全控制是必须的和有效的B应选择对业务效率影响最小的安全措施C选择好实施安全控制的时机和位置,提高安全控制的有效性D仔细评价引入的安全控制对正常业务带来的影响,采取适当措施,尽可能减少负面效应12.以下哪一项不是信息安全管理工作必须遵循的原则?A风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之中B风险管理活动应成为系统开发、运行、维
7、护、直至废弃的整个生命周期内的持续性工作C由于在系统投入使用后部署和应用风险控制措施针对性会更强,实施成本会相对较低D在系统正式运行后,应注重残余风险的管理,以提高快速反应能力13.对于信息系统风险管理描述不正确的是:A.漏洞扫描是整个安全评估阶段重要的数据来源而非全部B风险管理是动态发展的,而非停滞、静态的C风险评估的结果以及决策方案必须能够相互比较才可以具有较好的参考意义D风险评估最重要的因素是技术测试工具14.下列哪一项准确地描述了脆弱性、威胁、暴露和风险之间的关系?A脆弱性增加了威胁,威胁利用了风险并导致了暴露B风险引起了脆弱性并导致了暴露,暴露又引起了威胁C风险允许威胁利用脆弱性,并
8、导致了暴露D威胁利用脆弱性并产生影响的可能性称为风险,暴露是威胁已造成损害的实例15.统计数据指出,对大多数计算机系统来说,最大的威胁是:A本单位的雇员B黑客和商业间谍C未受培训的系统用户D技术产品和服务供应商16风险评估按照评估者的不同可以分为自评和第三方评估。这两种评估方式最本质的差别是什么?A评估结果的客观性B评估工具的专业程度C评估人员的技术能力D评估报告的形式17.应当如何理解信息安全管理体系中的“信息安全策略”?A为了达到如何保护标准而提供的一系列建议B为了定义访问控制需求面产生出来的一些通用性指引C组织高层对信息安全工作意图的正式表达D一种分阶段的安全处理结果18.以下哪一个是对
9、人员安全管理中“授权蔓延”这概念的正确理解?A外来人员在进行系统维护时没有收到足够的监控B一个人拥有了不是其完成工作所必要的权限C敏感岗位和重要操作长期有一个人独自负责D员工由一个岗位变动到另一人岗位,累积越来越多权限19.一个组织中的信息系统普通用户,以下哪一项是不应该了解的?A谁负责信息安全管理制度的制定和发布B谁负责都督信息安全制度的执行C信息系统发生灾难后,进行恢复工作的具体流程&D如果违反了制度可能受到的惩戒措施20.一上组织财务系统灾难恢复计划声明恢复点目标(RPO)是没有数据损失,恢复时间目标(RTO)是72小时。以下哪一技术方案是满足需求且最经济的?A一个可以在8小时内用异步事
10、务的备份日志运行起来的热站B多区域异步更新的分布式数据库系统C一个同步更新数据和主备系统的热站D一个同步过程数据拷备、可以48小时内运行起来的混站21.自主访问控制与强制访问控制相比具有以下哪一个优点?A具有较高的安全性B控制粒度较大C配置效率不高D具有较强的灵活性22.以下关于ChineseWall模型说法正确的是A.Bob可以读银行a的中的数据,则他不能读取银行c中的数据B.模型中的有害客体是指会产生利益冲突,不需要限制的数据C.Bob可以读银行a的中的数据,则他不能读取石油公司u中的数据D.Bob可以读银行a的中的数据,Alice可以读取银行b中的数据,他们都能读取在油公司u中的数据,由
11、则Bob可以往石油公司u中写数据23.以下关于BLP模型规则说法不正确的是:ABLP模型主要包括简单安全规则和*-规则B*-规则可以简单表述为下写C主体可以读客体,当且仅当主体的安全级可以支配客体的安全级,且主体对该客体具有自主型读权限D主体可以读客体,当且仅当客体的安全级可以支配主体的安全级,且主体对该客体具有自主型读权限24.以下关于RBAC模型说法正确的是:A该模型根据用户所担任的角色和安全级来决定用户在系统中的访问权限B一个用户必须扮演并激活某种角色,才能对一个象进行访问或执行某种操作C在该模型中,每个用户只能有一个角色D在该模型中,权限与用户关联,用户与角色关联25.下列对常见强制访
12、问控制模型说法不正确的是:ABLP影响了许多其他访问控制模型的发展BClark-Wilson模型是一种以事物处理为基本操作的完整性模型CChineseWall模型是一个只考虑完整性的安全策略模型DBiba模型是一种在数学上与BLP模型对偶的完整性保护模型26.访问控制的主要作用是:A.防止对系统资源的非授权访问B.在安全事件后追查非法访问活动C.防止用户否认在信息系统中的操作D.以上都是27.作为一名信息安全专业人员,你正在为某公司设计信息资源的访问控制策略。由于该公司的人员流动较大,你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限,最应该采用下列哪一种访问控制模型?A自主访
13、问控制(DAC)B强制访问控制(MAC)C基于角色访问控制(RBAC)D最小特权(LEASTPrivilege)28.下列对kerberos协议特点描述不正确的是:A.协议采用单点登录技术,无法实现分布式网络环境下的认证B.协议与授权机制相结合,支持双向的身份认证C.只要用户拿到了TGT并且TGT没有过期,就可以使用该TGT通过TGS完成到任一个服务器的认证而不必重新输入密码D.AS和TGS是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS和TGS的性能和安全29.以下对单点登录技术描述不正确的是:A单点登录技术实质是安全凭证在多个用户之间的传递或共享B使用单点登录技术用户只需在登录
14、时进行一次注册,就可以访问多个应用C单点登录不仅方便用户使用,而且也便于管理D使用单点登录技术能简化应用系统的开发30.下列对标识和鉴别的作用说法不正确的是:A.它们是数据源认证的两个因素B.在审计追踪记录时,它们提供与某一活动关联的确知身份C.标识与鉴别无法数据完整性机制结合起来使用D.作为一种必要支持,访问控制的执行依赖于标识和鉴别确知的身份31.下面哪一项不属于集中访问控制管理技术?ARADIUSBTEMPESTCTACACSDDiameter32.安全审计是系统活动和记录的独立检查和验证,以下哪一项不是审计系统的作用?A辅助辨识和分析未经授权的活动或攻击B对与已建立的安全策略的一致性进行核查C及时阻断违反安全策略的致性的访问D帮助发现需要改进的安全控制措施33.下列对蜜网关键技术描述不正确的是:A.数据捕获技术能够检测并审计黑客的所有行为数据B.数据分析技术则帮助安全研究人员从捕获的数据中分析出黑客的具体活动,使用工具及其意图C.通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全D.通过数据控制、捕获和分析,能对活动进行监视、分析和阻止34.以下哪种无线加密标准中哪一项的安全性最弱?AWepBwpaCwpa2Dwapi35.路由器的标准访问控制列表以什么作为判别条件?A.数据包的大小B.数据包的源地址C.数据包的端口号D.数据包的目的地址
