11月网络安全管理员试题(附参考答案解析)
一、单选题(共30题,每题1分,共30分)
1.下面属于上网行为部署方式的是()。
A、总线模式
B、环型模式
C、星型模式
D、旁路模式
正确答案:D
答案解析:上网行为部署方式主要有旁路模式和直连模式。旁路模式是通过镜像端口将网络流量复制一份,不影响原有网络的正常运行,在旁路部署中可以对复制的流量进行监控和分析等操作;而星型模式、环型模式、总线模式一般是网络拓扑结构,并非上网行为部署方式。
2.下列RAID技术无法提高读写性能的是()。
A、RAID0
B、RAID1
C、RAID3
D、RAID5
正确答案:B
答案解析:RAID1是镜像卷,主要用于数据冗余备份,它通过将数据同时写入两个磁盘来实现容错,其读写性能并没有显著提升,主要优势在于数据安全性。而RAID0通过条带化技术将数据分散存储在多个磁盘上,显著提高读写性能;RAID3通过专用奇偶校验盘和条带化数据存储提高读写性能;RAID5通过分布式奇偶校验和条带化数据存储在提高读写性能的同时也提供了一定的数据冗余。
3.HTTPS是一种安全的HTTP协议,它使用()来保证信息安全,使用()来发送和接收报文
A、SSH,UDP的443端口
B、SSL,TCP的443端口
C、SSL,UDP的443端口
D、SSH,TCP的443端口
正确答案:B
4.密码出口政策最严格的是以下哪个国家?
A、新加坡
B、爱尔兰
C、美国
D、法国
正确答案:C
答案解析:美国长期以来对密码技术出口实施较为严格的政策,在多个方面进行管控,相比其他几个国家,其密码出口政策更为严格。法国、爱尔兰、新加坡虽然也有相关管理措施,但在严格程度上不如美国。
5.完整性检查和控制的防范对象是,防止它们进入数据库
A、非法授权
B、非法用户
C、非法操作
D、不合语义的数据、不正确的数据
正确答案:D
答案解析:完整性检查和控制主要是针对数据本身的准确性和合理性,防止不合语义的数据、不正确的数据进入数据库。非法用户防范主要靠用户认证等手段;非法操作防范靠操作权限控制等;非法授权防范靠授权管理机制等。所以完整性检查和控制的防范对象是防止不合语义的数据、不正确的数据进入数据库。
6.对社会秩序、公共利益造成特别严重损害,定义为几级()
A、第四级
B、第三级
C、第一级
D、第二级
正确答案:A
7.关于安全风险,下列说法不正确的是()。
A、物理安全风险包括火灾、水灾、地震等环境事故,造成整个系统毁灭
B、网络层面的安全风险包括系统弱点被暴露而招致攻击
C、主机层面的安全风险包括计算机病毒的侵害
D、应用安全是指用户在网络上运行的业务应用系统、办公应用系统及其他各种在线应用系统的安全。
正确答案:B
8.信息系统安全中应用安全方面不包括()。
A、强制访问控制
B、应用通信安全
C、身份鉴别
D、安全评估
正确答案:A
答案解析:应用安全方面主要包括安全评估、身份鉴别、应用通信安全等。强制访问控制属于访问控制方面的内容,不属于应用安全的范畴。
9.建立信息安全管理体系时,首先应()
A、制订安全策略
B、建立安全管理组织
C、建立信息安全方针和目标
D、风险评估
正确答案:C
10.应提供本地数据备份与恢复功能,完全数据备份至少(),备份介质场外存放。
A、每天1次
B、每周1次
C、每周3次
D、每天2次
正确答案:A
11.下列方法()不能有效地防止跨站脚本。
A、验证输入的数据类型是否正确
B、使用白名单对输入数据进行验证
C、对输出数据进行净化
D、使用参数化查询方式
正确答案:D
答案解析:选项D使用参数化查询方式主要用于防止SQL注入攻击,而不是跨站脚本攻击。选项A验证输入的数据类型是否正确,可以避免不符合预期的数据类型被传入,从而减少跨站脚本攻击的可能性;选项B使用白名单对输入数据进行验证,只允许符合白名单的数据通过,可有效防止恶意脚本输入;选项C对输出数据进行净化,能去除输出中的恶意脚本,防止其在页面中执行。
12.网络安全最终是一个折中的方案,即安全强度和安全操作的折中,除增加安全设施投资外,还应考虑()
A、用户的方便性
B、管理的复杂性
C、对现有系统的影响及不同平台的支持
D、以上三项都是
正确答案:D
答案解析:网络安全是一个折中的方案,在考虑安全强度和安全操作的折中时,除了增加安全设施投资外,还需要综合考量多个方面。用户的方便性很重要,如果安全措施过于复杂影响用户正常使用,会降低方案的可行性;管理的复杂性也不容忽视,过于复杂的管理可能导致管理成本增加且容易出错;对现有系统的影响及不同平台的支持也不能忽略,否则可能无法顺利实施安全方案或影响现有业务运行。所以以上三项都应考虑,答案选D。
13.以下()