单选题
第 31 题
题目:DES 加密的三个重要操作不包括以下哪项?
题目类型:单选
选项:A. 扩展置换 B.S 盒变换 C.P 盒变换 D. 随机变换
答案:D
解析:DES 加密的重要操作包括扩展置换、S 盒变换、P 盒变换,"随机变换" 并非其标准操作,无此定义,故选 D。
第 32 题
题目:某电信充值系统开放了优惠券通道,因为使用工具刷单的人数太多,打不开了。这属于什么安全特性被破坏?
题目类型:单选
选项:A. 机密性 B. 完整性 C. 可用性 D. 可追溯性
答案:C
解析:可用性是指系统可被合法用户正常访问的特性,刷单导致系统无法访问,破坏了可用性,故选 C。
第 33 题
题目:用于收集子域名信息的脚本工具是()?
题目类型:单选
选项:A.OneForAll B.Nmap C.Sqlmap D.dirseach
答案:A
解析:OneForAll 是专注于子域名收集的工具;Nmap 是端口扫描工具;Sqlmap 是 SQL 注入工具;dirsearch 是目录扫描工具,故选 A。
第 34 题
题目:以下选项中那一项是对数据安全风险采取的纠正机制?
题目类型:单选
选项:A. 访问控制 B. 入侵检测 C. 灾难恢复 D. 防病毒系统
答案:C
解析:灾难恢复是在数据安全风险发生后(如数据丢失)恢复系统或数据的机制,属于纠正机制;其他选项属于预防或检测机制,故选 C。
第 35 题
题目:在 SSRF 漏洞中,常用什么协议来探测端口?
题目类型:单选
选项:A.file B.dict C.gopher D.HTTPS
答案:C
解析:gopher 协议可构造复杂请求,在 SSRF 漏洞中常用于探测内网端口;file 协议用于访问文件;dict 协议用于字典服务;HTTPS 是安全通信协议,故选 C。
第 36 题
题目:对于在公共环境中各种各样的二维码扫描,以下做法正确的是?
题目类型:单选
选项:A. 扫码有红包,不扫白不扫 B. 扫码有优惠打折,必须扫,不扫吃亏 C. 看见二维码,不管三七二十一,扫了再说 D. 了解二维码的来源,确认安全后扫描
答案:D
解析:公共环境二维码可能存在恶意链接,正确做法是确认来源安全后再扫描,其他选项存在安全风险,故选 D。
第 37 题
题目:mysql 注入点,用工具对目标站直接写入一句话,需要哪些条件?
题目类型:单选
选项:A. 只要网站可注入,就可以直接写入一句话进行 output 导出 B. 只要获得 user () 变量的权限,就可以直接写入一句话进行 output 导出 C. 必须是 root 权限,获得绝对路径,一句话进行 output 导出 D. 必须是 root 权限,获得相对路径,一句话进行 output 导出
答案:C
解析:mysql 写入一句话木马需满足 root 权限(高权限)和目标服务器绝对路径(确定文件保存位置),故选 C。
第 38 题
题目:在 Linux 操作系统中,可以用()命令来检查是否存在有恶意驱动。
题目类型:单选
选项:A.lsof -p * B.lsmod C.service --status-all D.find/-type f -mtime +7 | xargs ls -la
答案:B
解析:lsmod 命令用于列出已加载的内核模块,可检查恶意驱动;lsof -p * 查看进程文件;service --status-all 查看服务状态;find 命令查找文件,故选 B。
第 39 题
题目:在 Windows 操作系统中,远程桌面使用的默认端口是什么()。
题目类型:单选
选项:A.80 B.3389 C.1433 D.8080
答案:B
解析:Windows 远程桌面默认端口是 3389;80 是 HTTP 端口;1433 是 SQL Server 端口;8080 是 Web 备用端口,故选 B。
第 40 题
题目:常用的被动信息搜集方式不包括下面哪个?
题目类型:单选
选项:A.DNS 信息收集 B.Github 信息收集 C. 搜索引擎收集 D. 扫描器扫描
答案:D
解析:被动信息搜集不主动与目标交互,DNS、Github、搜索引擎收集均属于被动方式;扫描器扫描是主动探测,属于主动方式,故选 D。
第 41 题
题目:漏洞扫描器多数采用什么技术?
题目类型:单选
选项:A. 基于异常检测技术 B. 基于特征的匹配技术 C. 基于协议分析技术 D. 基于操作系统的分析技术
答案:C
解析:漏洞扫描器通过分析网络协议(如 TCP、HTTP)的数据包,识别漏洞特征,多数采用基于协议分析技术,故选 C。
第 43 题
题目:敏感数据的脱敏,有什么方法?
题目类型:单选
选项:A. 隐藏局部数据令该数据无法完整显示,如旺旺名字由 'hello1234',变为 'he***** 34' B. 分析客户时,可以把客户的名称用数字化代替,如 ' 张三 ',代替为 '001' C. 具体人名模糊化,比如 ' 张三 ',代替为 ' 张某 ' D. 手机号码由'',模糊化为 '18*******78'
答案:C
解析:具体人名模糊化(如 "张三" 变 "张某")是合理的敏感数据脱敏方式,既隐藏具体信息又保留语义;A 脱敏格式不规范,B 属于数据编码,D 是手机号码常规脱敏但非最优人名脱敏示例,故选 C。
第 44 题
题目:Linux 文件权限一共 10 位长度,分成四段,第三段表示的内容是()。
题目类型:单选
选项:A. 文件类型 B. 文件所有者的权限 C. 文件所有者所在组的权限 D. 其他用户的权限
答案:D
解析:Linux 文件权限 10 位结构:第 1 位文件类型,第 2-4 位所有者权限,第 5-7 位所属组权限,第 8-10 位其他用户权限,第三段(第 8-10 位)是其他用户权限,故选 D。
第 45 题
题目:非对称密钥的密码技术具有很多优点,其中不包括
题目类型:单选
选项:A. 可提供数字签名、零知识证明等额外服务 B. 加密 / 解密速度快,不需占用较多在资源 C. 通信方事先不需要通过保密信道交换密钥 D. 密钥持有量大大减少
答案:B
解析:非对称加密算法(如 RSA)加密 / 解密速度慢且资源消耗多;对称加密算法速度快,B 是对称加密的优点,并非非对称的优点,故选 B。
第 46 题
题目:防止攻击者利用 cookie 登录的实用方法是 ()。
题目类型:单选
选项:A.token 校验 B. 使用动态 Cookie C. 网站前台禁止用户输入 D. 站库分离
答案:B
解析:动态 Cookie 每次会话生成新值,攻击者无法复用;token 校验用于 API;禁止用户输入和站库分离与防止 Cookie 登录无关,故选 B。
第 47 题
题目:使用 HTTPS、SSL、TLS 等技术对数据的传输通道进行加密,主要是为了防止()。
题目类型:单选
选项:A. 注入攻击 B. 安全配置错误 C. 敏感数据泄漏 D. 跨站脚本
答案:C
解析:HTTPS 等技术加密传输通道,防止数据在传输中被窃听,从而避免敏感数据泄漏;注入攻击、安全配置错误、跨站脚本与传输加密无直接关联,故选 C。
第 48 题
题目:以下哪项是虚拟化 vCenter 的优势()。
题目类型:单选
选项:A.vCenter 只能在使用本地存储时进行虚拟化 B.vCenter 可以进行虚拟化,但必须在 32 位服务器上部署 C.vCenter 可以轻松实现虚拟化,HA 可在需要时用于重新启动虚拟机 D.vCenter 与管理员密切相关,因而不能进行虚拟化
答案:C
解析:vCenter 虚拟化的优势包括轻松实现虚拟化,且 HA(高可用性)可在虚拟机故障时重启,保障服务连续性;A、B、D 表述均错误,故选 C。
第 49 题
题目:根据《中华人民共和国网络安全法》,网络运营者按照规定留存相关的网络日志不少于()
题目类型:单选
选项:A.24 个月 B.6 个月 C.3 个月 D.12 个月
答案:B
解析:《网络安全法》规定网络运营者需留存网络日志不少于 6 个月,故选 B。
第 50 题
题目:关于同态加密的描述,以下哪项是正确的?
题目类型:单选
选项:A. 同态加密是一种特殊的加密算法,在明文基础上进行多重加密。 B. 目前同态加密主要基于对称密码算法。 C. 同态加密可以分为半同态加密和全同态加密 D. 以上都不对
答案:C
解析:同态加密分为半同态(支持一种运算)和全同态(支持多种运算);A 对同态加密定义错误,B 同态加密主要基于非对称算法,故选 C。
第 51 题
题目:《数据安全法》第二十七条规定:利用互联网等信息网络开展数据处理活动,应当在()等级保护制度的基础上,履行上述数据安全保护义务。
题目类型:单选
选项:A. 网络安全 B. 数据安全 C. 系统安全 D. 内容安全
答案:B
解析:《数据安全法》明确规定在数据安全等级保护制度基础上履行数据安全保护义务,故选 B。
第 52 题
题目:数据安全风险管理的重点是()。
题目类型:单选
选项:A. 将风险降低到可以接受的程度 B. 不计代价的降低风险 C. 将风险转移给第三方 D. 惩罚违反安全策略规定的雇员
答案:A
解析:数据安全风险管理的目标是将风险控制在可接受范围,而非不计代价降低或转移风险,也不是单纯惩罚雇员,故选 A。
第 53 题
题目:小强接到电话,对方称他的快递没有及时领取,请联系 XXXX 电话,小强拨打该电话后提供自己的个人信息后,对方告知小强并没有快递。过了一个月之后,小强的多个账号都无法登录。在这个事件当中,请问小强个人信息的泄露最有可能遇到了什么情况?
题目类型:单选
选项:A. 快递信息错误而已,小强网站账号丢失与快递这件事情无关 B. 小强遇到了社会工程学诈骗,得到小强的信息从而反推出各种网站的账号密码 C. 小强遇到了电话诈骗,想欺骗小强财产 D. 小强的多个网站账号使用了弱口令,所以被盗。
答案:B
解析:攻击者通过伪装快递客服获取小强个人信息,属于社会工程学诈骗,进而利用信息反推账号密码导致账号丢失;A、C、D 不符合事件逻辑,故选 B。
第 54 题
题目:主要用于加密机制的协议是()
题目类型:单选
选项:A.HTTP B.SSL C.TELNET D.FFTP
答案:B
解析:SSL(及后续的 TLS)是用于加密通信的协议;HTTP 是明文传输协议,TELNET、FFTP(应为 FTP)均无加密机制,故选 B。
第 55 题
题目:根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行()。
题目类型:单选
选项:A. 重要数据具体目录保护 B. 重点数据保护 C. 分类分级保护 D. 核心数据保护
答案:C
解析:《数据安全法》规定对数据实行分类分级保护,根据重要程度和危害程度划分等级,故选 C。
第 56 题
题目:近年来 RSA 安全热点排名,以下哪项占据首位?
题目类型:单选
选项:A. 合规 B. 风险 C. 资产 D. 数据
答案:D
解析:近年来 RSA 安全热点中,数据安全占据首位,合规、风险、资产均次之,故选 D。
第 57 题
题目:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用 () 的规定。
题目类型:单选
选项:A.《中华人民共和国宪法》 B.《中华人民共和国网络安全法》 C.《中华人民共和国国家安全法》 D.《中华人民共和国境外非政府组织境内活动管理法》
答案:B
解析:《网络安全法》对关键信息基础设施运营者的重要数据出境安全管理有明确规定,故选 B。
第 58 题
题目:以下对网络安全风险评估的描述正确的是()。
题目类型:单选
选项:A. 识别内、外部所有潜在的安全风险 B. 风险评估不包含人员评估 C. 风险评估时需要对存在的风险进行识别并解决 D. 在少数数据支持的情况下,可以完成目标系统的风险识别
答案:C
解析:风险评估的流程包括风险识别、分析、评价并提出解决措施;A "所有" 过于绝对,B 风险评估包含人员因素评估,D 风险识别需要充分数据支持,故选 C。
第 59 题
题目:动态数据脱敏尝用于以下那种场景?
题目类型:单选
选项:A. 开发 B. 测试 C. 生产 D. 交换
答案:D
解析:动态数据脱敏常用于数据交换场景,在数据传输过程中实时对敏感数据脱敏,保障数据交换的安全性;开发、测试、生产场景多采用静态脱敏,故选 D。
第 60 题
题目:数据交易是指数据供方和数据需方之间以数据商品作为交易对象,按照共同遵守的交易规则和定价机制对数据的()进行的价值的交换。
题目类型:单选
选项:A. 所有权、知识产权 B. 访问权、知情权 C. 使用权、决策权 D. 所有权、使用权
答案:D
解析:数据交易通常涉及数据的所有权或使用权的转移,通过交易规则和定价机制实现价值交换;访问权、知情权、决策权并非数据交易的核心交换对象,故选 D。