2020網絡安全NISP一級（模拟題四）

2020國家資訊安全水準考試NISP一級（模拟題四）

國家資訊安全水準考試NISP一級模拟題（04）

NISP一級單選題（最新） (每小題2分，本題共50個小題，共100分，60分及格)

以下不屬于Session攻擊常用防護措施的是（　）

A.定期更換Session ID；B.通過URL傳遞隐藏參數；C.設定Http Only；D.開啟透明化Session ID

正确答案是：D  你的答案是：D  此題得分：2

在PHP開發中，不屬于指令注入攻擊的防範方法的是（　）

A.盡量不要執行外部的應用程式或指令；B.對輸入指令不做任何檢查；C.使用安全函數處理相關參數；D.使用自定義函數或函數庫實作外部應用程式或指令的功能

正确答案是：B 你的答案是：B  此題得分：2

以下不屬于Pyhton開發優點的是（　）

A.可閱讀性；B.非開源；C.可跨平台；D.可嵌入性

正确答案是：B  你的答案是：B  此題得分：2

Python是一門有條理的、強大的面向對象的程式設計語言，以下對Pyhton的應用描述錯誤的是（　）

A.Python是資料科學中最流行的語言之一；B.Python廣泛應用于金融分析、量化交易領域；C.Python在網絡遊戲開發中也有較多應用；D.Python在各個領域中的應用不可替代。

正确答案是：D  你的答案是：D  此題得分：2

在資訊安全中密碼至關重要，以下對密碼的描述中錯誤的是（　）

A.使用者名密碼是使用者身份認證的關鍵因素；B.密碼是保護伺服器和使用者敏感資料的關鍵因素；C.密碼明文直接存儲十分安全；D.弱密碼密碼易被破解

正确答案是：C  你的答案是：C  此題得分：2

以下不屬于檔案上傳漏洞的防範措施的是（　）

A.使用固定數改寫檔案名和檔案路徑；B.對上傳檔案類型進行檢查；C.将檔案上傳目錄設定為不可執行；D.單獨設定檔案伺服器的域名

正确答案是：A  你的答案是：A  此題得分：2

軟體安全性測試包括程式、網絡、資料庫安全性測試。以下關于軟體安全測試的描述，錯誤的是（　）

A.狹義的軟體安全測試是執行安全測試用例的過程；B.廣義的軟體安全測試是所有關于安全性測試的活動；C.軟體安全測試的對象隻包括代碼；D.軟體安全測試與傳統軟體測試的測試用例不相同

正确答案是：C  你的答案是：C  此題得分：2

以下屬于常用的安全測試的方法的是（　）

A.黑盒測試；B.白盒測試；C.灰盒測試；D.以上都是

正确答案是：D  你的答案是：D  此題得分：2

PDCA循環的含義是将品質管理分為四個階段，即計劃（plan）、執行（do）、檢查（check）、處理（Act）。以下不屬于PDCA循環特點的選項是（　）

A.開環系統，運作一次；B.順序進行，循環運轉；C.大環套小環，小環保大環，互相制約，互相補充；D.不斷前進，不斷提高

正确答案是：A  你的答案是：A  此題得分：2

滲透測試通過以下哪種方法來評估系統的安全狀況（　）

A.模拟惡意黑客攻擊；B.模拟使用者正常操作；C.更新系統代碼；D.以上都不正确

正确答案是：A  你的答案是：A  此題得分：2

以下屬于滲透測試的測試對象的是（　）

A.作業系統；B.應用系統；C.網絡裝置；D.以上都是

正确答案是：D  你的答案是：D  此題得分：2

最終安全審查的流程包括（　）

A.評估資源可用性；B.确定合格的特征評估發現者的漏洞；C.評估和制定修複計劃；D.以上都是

正确答案是：D  你的答案是：D  此題得分：2

在Web應用系統中，資料層主要負責對資料的操作，以下屬于資料層操作的是（　）

A.對資料的讀取；B.對資料的增加；C.對資料的修改；D.以上都是

正确答案是：D  你的答案是：D  此題得分：2

以下關于WAF産品功能的描述中，不正确的是（　）

A.WAF可以阻止非授權通路的攻擊者竊取用戶端或者網站上含有敏感資訊的檔案；B.WAF産品應該具備針對應用層DOS攻擊的防護能力；C.基于URL的應用層通路控制和HTTP請求的合規性檢查，都屬于WAF的應用合規功能；D.WAF的應用傳遞能力可以完全保障使用者的敏感資訊的安全

正确答案是：D  你的答案是：D  此題得分：2

近年來，随着雲計算、大資料技術逐漸應用到安全領域，基于軟體即服務（Software-as-a-service，SaaS）模式的Web 應用安全監測十分具有市場潛力，通常情況下的SaaS軟體主要應用于哪些企業管理軟體？

A.客戶關系管理；B.人力資源管理；C.供應鍊管理；D.以上都是

正确答案是：D  你的答案是：D  此題得分：2

Web網頁就是網際網路上的一個按照HTML格式組織起來的檔案。當通路Web網站的某個頁面資源不存在時，HTTP伺服器發回的響應狀态代碼是（　）

A.200；B.500；C.401；D.404

正确答案是：D  你的答案是：D  此題得分：2

在接收到HTTP請求封包後，伺服器會傳回一個HTTP響應封包，HTTP響應封包由三部分組成。不屬于HTTP響應封包的組成部分的是（　）

A.狀态行；B.響應頭；C.響應實體；D.主機登入密碼

正确答案是：D  你的答案是：D  此題得分：2

HTTP是超文本傳輸協定，是為了提供一種釋出和接收HTML頁面的方法。HTTP服務預設TCP端口号是（　）

A.80；B.21；C.23；D.25

正确答案是：A  你的答案是：A  此題得分：2

HTTP封包分為請求封包和響應封包兩種，HTTP請求封包的組成部分不包含（　）

A.請求行；B.開放端口；C.請求實體；D.請求頭

正确答案是：B  你的答案是：B  此題得分：2

HTTP請求是指從用戶端到伺服器端的請求消息。下列選項中不是HTTP請求方法的是（　）

A.BODY ；B.POST；C.HEAD；D.GET

正确答案是：A  你的答案是：A  此題得分：2

HTTP消息（HTTP HEADER）又稱HTTP頭，包括請求頭等四部分。請求頭隻出現在HTTP請求中，請求頭允許用戶端向伺服器端傳遞請求的附加資訊以及用戶端自身的資訊，常用的HTTP請求報頭不包括（　）

A.Line；B.Cookie；C.Accept；D.Host

正确答案是：A  你的答案是：A  此題得分：2

HTTP通路控制主要針對網絡層的通路控制，通過配置面向對象的通用包過濾規則實作控制域名以外的通路行為。以下屬于具體通路控制的是（　）

A.對通路者通路的URL的控制，允許或不允許通路設定的URL對象；B.對通路者的HTTP方法的控制，允許或不允許設定的HTTP方法通路；C.對通路者的IP的控制，允許或不允許設定的IP對象通路；D.以上都是

正确答案是：D  你的答案是：D  此題得分：2

Web應用程式設計普遍采用三層架構，這三層架構不包含（　）

A.業務表示層；B.資料通路層；C.實體層；D.邏輯層

正确答案是：C  你的答案是：C  此題得分：2

一般情況下，以下屬于SQL注入攻擊特點的是（　）

A.普遍性；B.隐蔽性；C.危害性；D.以上都是

正确答案是：D  你的答案是：D  此題得分：2

SQL注入攻擊方式有很多種，但本質上都是由SQL語言的屬性來決定的。下列不屬于SQL注入攻擊的攻擊方式的是（　）

A.重言式攻擊；B.非法或邏輯錯誤查詢攻擊；C.聯合查詢攻擊；D.社會工程學攻擊

正确答案是：D  你的答案是：D  此題得分：2

在開發一個新Web應用系統時，最好采用安全的程式設計方法，以避免或減少SQL注入漏洞。下列屬于避免SQL注入漏洞的程式設計是（　）

A.使用存儲過程；B.使用抽象層；C.處理敏感資料；D.以上都是

正确答案是：D  你的答案是：D  此題得分：2

跨站請求僞造（Cross-Site Request Forgery，CSRF）是一種對網站的惡意利用。以下屬于跨站請求僞造攻擊的必要條件的是（　）

A.浏覽器自動發送辨別使用者對話的資訊而無須使用者幹預；B.攻擊者對Web 應用程式URL的了解；C.浏覽器可以通路應用程式的會話管理資訊；D.以上都是

正确答案是：D  你的答案是：D  此題得分：2

關于Web應用防火牆，目前防禦 CSRF 攻擊的三種政策不包括（　）

A.取消 HTTP Refresh字段的驗證；B.驗證 HTTP Referer字段；C.在請求位址中添加token并驗證；D.在 HTTP頭中自定義屬性并驗證

正确答案是：A  你的答案是：A  此題得分：2

網絡爬蟲按照系統結構和實作技術，大緻可以分為多種類型，以下屬于爬蟲分類的是（　）

A.通用網絡爬蟲；B.聚焦網絡爬蟲；C.增量式網絡爬蟲；D.以上都是

正确答案是：D  你的答案是：D  此題得分：2

目前網絡爬蟲的檢測手段多種多樣，往往需要綜合利用，提高檢測的準确率。下列屬于網絡爬蟲的檢測手段的是（　）

A.檢測HTTP User-Agent報頭；B.檢查HTTP Referer報頭；C.檢測用戶端IP；D.以上都是

正确答案是：D  你的答案是：D  此題得分：2

攻擊者對Web伺服器進行攻擊的時候，首先通過各種管道擷取Web伺服器的各種資訊，尤其是Web伺服器的各種敏感資訊。常見敏感資訊洩露方式不包括（　）

A.Banner收集；B.源碼洩漏；C.處理敏感資訊不當；D.正常資訊頁面顯示

正确答案是：D  你的答案是：D  此題得分：2

關于Web應用防火牆，Web伺服器防範敏感資訊洩露的方式不包括（　）

A.不采取認證措施；B.關鍵詞檢測；C.嚴格控制伺服器的寫通路權限；D.對IIS 目錄采用嚴格的通路政策

正确答案是：A  你的答案是：A  此題得分：2

長期以來，弱密碼一直是各項安全檢查、風險評估報告中最常見的高風險安全問題，成為攻擊者控制系統的主要途徑。弱密碼漏洞有三大特點不包括（　）

A.危害大；B.難猜測；C.修補難；D.易利用

正确答案是：B  你的答案是：B  此題得分：2

網頁篡改通過惡意破壞或更改網頁内容導緻網站無法正常工作。關于Web應用防火牆，攻擊者常用的網頁篡改方法不包括（　）

A.社會工程學；B.在Web頁面中插入HTML代碼；C.控制DNS伺服器；D.ARP攻擊

正确答案是：A  你的答案是：A  此題得分：2

網頁防篡改系統對網頁檔案提供實時動态保護，對未經授權的非法通路行為一律進行攔截，防止非法人員篡改、删除受保護的檔案，確定網頁檔案的完整性。一般網頁防篡改措施的過程不包括（　）

A.給正常檔案頒發通行證；B.檢測和防護SQL注入攻擊；C.檢測網絡帶寬；D.檢測和防護DNS攻擊

正确答案是：C  你的答案是：C  此題得分：2

DDos攻擊将多個計算機聯合起來作為攻擊平台，對一個或多個目标發動DDoS攻擊，進而成倍地提高拒絕服務攻擊的威力。關于DDoS的攻擊現象一般不包括（　）

A.被攻擊主機上有大量等待的TCP連接配接；B.網絡中充斥着大量的無用的資料包；C.源位址為假，制造高流量無用資料，造成網絡擁塞，使目标主機無法正常和外界通訊；D.使用者通路無網絡延時，正常通路Web服務

正确答案是：D  你的答案是：D  此題得分：2

關于DDoS攻擊防範政策不包括（　）

A.通過合理的配置系統，達到資源最優化和利用最大化；B.限制内網使用者通路；C.通過加強TCP/IP協定棧來防範DDoS攻擊；D.通過防火牆、路由器等過濾網關，有效地探測攻擊類型并阻擊攻擊

正确答案是：B  你的答案是：B  此題得分：2

Linux系統中通過編輯（　） 檔案，可以修改密碼設定，如密碼設定最長有效期等。

A.Passwd；B.profile；C.login.defs；D.init.d

正确答案是：C  你的答案是：C  此題得分：2

威脅情報的出現将網絡空間安全防禦從傳統被動式防禦轉移到主動式防禦裡。傳統情報應具備準确性、針對性和及時性等特征，以下不屬于安全威脅情報的基本特征的是（　）

A.時效性；B.相關性；C.模糊性；D.可操作性

正确答案是：C  你的答案是：C  此題得分：2

威脅情報的用途多種多樣，除去攻擊檢測方面的價值外，實際上威脅情報的使用場景更加廣泛。下列不屬于威脅情報的用途的是（　）

A.安全體系建設與完善；B.攻擊檢測和防禦；C.安全部門彙報；D.安全分析及事件響應

正确答案是：C  你的答案是：C  此題得分：2

下列概念不屬于WAF為解決Web安全問題而遵循的是（　）

A.重塑網站邊界；B.智能化防護理念；C.開放服務端口；D.縱深防禦體系

正确答案是：C  你的答案是：C  此題得分：2

以下屬于網站敏感資訊洩露的主要原因是（　）

A.網站資訊繁多；B.黑客攻擊水準高；C.黑客數量多；D.以上都是

正确答案是：D  你的答案是：D  此題得分：2

下列不屬于常見的伺服器端腳本程式的是（　）

A.ASP；B.JSP；C.PHP；D.HTML

正确答案是：D  你的答案是：D  此題得分：2

Web伺服器可以解析各種動态語言，讓動态語言生成的程式最終能顯示在浏覽的頁面上。下列不屬于常見的Web伺服器的是（　）

A.Microsoft IIS；B.Apple；C.Apache；D.Nginx

正确答案是：B  你的答案是：B  此題得分：2

以下屬于2019年OWASP十大安全漏洞的是（　）

A.SQL注入；B.XSS漏洞；C.敏感資訊洩露；D.以上都是

正确答案是：D  你的答案是：D  此題得分：2

網絡環境下的資訊安全體系是保證資訊安全的關鍵。以下不屬于常用的資訊安全技術的是（　）

A.DNS系統；B.防火牆系統；C.入侵防護系統（PS）；D.通路控制系統

正确答案是：A  你的答案是：A  此題得分：2

防火牆是一種位于内部網絡與外部網絡之間的網絡安全系統。以下不屬于防火牆作用的是（　）

A.隔離不同信任級别網絡；B.保護内部網絡；C.資料備份；D.限制内部使用者通路特殊站點

正确答案是：C  你的答案是：C  此題得分：2

軟體開發生命周期的思想方法是按什麼分程的（　）

A.時間；B.狀态；C.空間；D.完成度

正确答案是：A  你的答案是：A  此題得分：2

近十幾年來，資訊系統作為一個專門領域迅速形成和發展。以下不屬于構成資訊系統核心要素的是（　）

A.人；B.漏洞；C.技術；D.組織

正确答案是：B  你的答案是：B  此題得分：2

資訊系統是以資訊為系統核心因素而構成的為人類服務的一類重要工具。以下關于資訊系統功能的說法，錯誤的是（　）

A.資訊系統中資訊處理一般包括資訊的輸入、存儲、處理、輸出和控制；B.企業資訊系統可以将基礎資訊處理成對企業生産經營和管理有用的資訊；C.資訊系統中，資訊加工的方法一般是基于資料倉庫技術的聯機分析處理和資料挖掘技術；D.企業資訊系統的業務處理隻有聯機事務處理一種類型

正确答案是：D  你的答案是：D  此題得分：2