第一篇：2015年稅務系統(tǒng)網絡信息安全知識測試試題

一、判斷對錯(每題2分，答錯不扣分，共計30分)1.違反法律、違反道德、破壞信息安全的可嚴重侵犯公民隱私和影響中國社會穩(wěn)定的信息，均可稱為不良信息。

2.在我國凡是違背社會主義精神文明建設的要求，違背中華民族優(yōu)良文化傳統(tǒng)習慣以及違背社會公德的各類信息就是網絡不良信息。3.網上的安全審計主要是對系統(tǒng)中的各類活動進行跟蹤記錄，為以后安全事件的追蹤、漏洞的分析提供一些原始證據。

4.隨著國際信息安全領域的事件頻繁發(fā)生，無論是高層領導或是專家或是普通民眾對信息安全問題都高度重視。

5.對于信息安全危險的分類，從危險的來源來分，可分為內部的危險和外部的危險。

6.以云計算、物聯(lián)網等為代表的新一輪信息技術革命，正在成為全球后金融時代社會和經濟發(fā)展共同關注的重點。

7.“安全”一詞是指將服務與資源的脆弱性降到最低限度。8.目前我國重要的信息系統(tǒng)和工業(yè)控制系統(tǒng)是自主生產的，不會產生對外依賴。

9.對于從美國出口到我國的設備，美國安全局會提前有意植入一些后門或者植入一些微軟件。

10.我國信息技術產品的國產化程度非常低，很多重要信息系統(tǒng)還是由外國廠家提供，網絡防護十分薄弱。

11.用戶在處理廢棄硬盤時，只要將電腦硬盤內的數據格式化就可以了，數據就不可能被恢復了。12.瀏覽器緩存和上網歷史記錄能完整還原用戶訪問互聯(lián)網的詳細信息，并反映用戶的使用習慣、隱私等。因此應當定期清理這些信息以避免他人獲得并造成隱私泄密。

13.大數據的特點是數據量巨大，是指數據存儲量已經從TB級別升至PB級別。

14.信息系統(tǒng)建設完成后，運營、使用單位或者其主管部門應當選擇具有信息系統(tǒng)安全等級保護測評資質的測評機構，定期對信息系統(tǒng)安全等級狀況開展等級測評。

15.機密性、完整性和可用性是評價信息資產的三個安全屬性。

二、單項選擇（每題3分，共計30分）

1.內部人員對系統(tǒng)產生誤操作，濫用權力，個別系統(tǒng)里的人內外勾結，這是屬于安全威脅來源的（）方面。

A.內部方面

B．外部方面

C．人為方面

D．意外方面

2.2014年，中央成立網絡安全與信息化領導小組，并由（）同志親自擔任組長。

A.李克強

B.劉云山

C.習近平 D.張德江

3.計算機水平高超的電腦專家，他們可以侵入到你正常的系統(tǒng)，不經授權修改你的程序，修改你的系統(tǒng)，這類統(tǒng)稱為（）。

A.漏洞

B.病毒

C.黑客

D.間諜

4.（）被廣泛認為是繼報紙、電臺、電視之后的第四媒體。

A.互聯(lián)網

B.電話

C.廣播

D.手機

5.最近，國務院下發(fā)的5號文件明確提出加快推進（）的應用，給我們的安全問題提出了新的嚴峻挑戰(zhàn)。

A.云計算

B.大數據

C.物聯(lián)網

D.互聯(lián)網

6.中央網絡安全和信息化領導小組要求把我國建設成為（）。

A.技術強國

B.信息強國

C.科技強國 D.網絡強國

7.下列屬于網絡詐騙的方式的是（）。

A.中獎詐騙

B.釣魚詐騙

C.QQ視頻詐騙

D.以上都是

8.網絡社會的本質變化是（）。

A.信息碎片化

B.網絡碎片化

C.跨越時空的碎片化

D.生活的碎片化

9.由于遭遇（）的入侵，伊朗的核計劃至少推遲了兩年多。

A.特洛伊木馬

B.蠕蟲病毒

C.震網病毒

D.邏輯炸彈

10.計算機病毒是（）A.一種芯片

B.具有遠程控制計算機功能的一段程序 C.一種生物病毒

D.具有破壞計算機功能或毀壞數據的一組程序代碼

三、多項選擇題（每題4分，共計40分）1.信息安全面臨哪些威脅？（）A.信息間諜 B.網絡黑客 C.信息系統(tǒng)的脆弱性 D.計算機病毒

2.安全使用郵箱應該做到的有（）

A.對于隱私或重要的文件可以加密之后再發(fā)送 B.為郵箱的用戶賬號設置高強度的口令 C.區(qū)分工作郵箱和生活郵箱

D.不要查看來源不明和內容不明的郵件，應直接刪除 3.以下關于盜版軟件的說法，錯誤的是（）。A.若出現問題可以找開發(fā)商負責賠償損失 B.使用盜版軟件不違反法律

C.成為計算機病毒的重要來源和傳播途徑之一 D.可能會包含不健康的內容

4.信息安全是一個不斷攻防演練的過程，一個不斷發(fā)展的過程，遵循PDCA模型，其中，PDCA是指（）。

A.Plan B.Act C.Check D.Aim E.Do 5.根據涉密網絡系統(tǒng)的分級保護原則，涉密網絡的分級有哪些？（）A.秘密 B.內部 C.機密 D.絕密

6.稅務系統(tǒng)信息安全體系建設的主要內容有（）A.建設統(tǒng)一、完善的網絡安全防護系統(tǒng)

B.建立全網統(tǒng)一的基于PKI的網絡信任系統(tǒng)及其安全基礎設施。C.基于網絡安全防護系統(tǒng)和安全基礎設施，構建統(tǒng)一的安全支撐平臺和應用支撐平臺。

D.基于安全支撐平臺和應用支撐平臺，建設涵蓋各類稅收業(yè)務的安全應用系統(tǒng)。

E.建設一體化的信息安全管理系統(tǒng)和服務于安全管理系統(tǒng)的安全管理平臺。

7．稅務系統(tǒng)信息安全體系的構成()A.一個決策領導層

B.四個安全系統(tǒng)（安全管理系統(tǒng)、網絡防護系統(tǒng)、安全基礎設施系統(tǒng)、安全應用系統(tǒng)）

C.三個安全平臺（安全支撐平臺、應用支撐平臺、安全管理平臺）D.金稅三期核心征管系統(tǒng)

8．稅務系統(tǒng)信息安全體系的實施原則（）A.統(tǒng)籌規(guī)劃、分步實施 B.聯(lián)合共建、互聯(lián)互通 C.安全保密、先進可靠 D.經濟實用、靈活方便 E.統(tǒng)一標準、統(tǒng)一規(guī)范

9．稅務系統(tǒng)網絡與信息安全防護體系建設經歷過以下（）階段 A.首期 B.二期 C.三期 D.四期

10.稅務系統(tǒng)網絡與信息安全建設第三期的內容有（）

A．采用網絡準入控制系統(tǒng)阻止不符合安全要求的計算機終端接入數據中心局域網

B．在網絡中部署安全性檢查與補丁分發(fā)系統(tǒng)，對接入數據中心局域網的計算機終端進行安全檢查和修復，提高接入終端的安全性 C．采用數據庫安全審計系統(tǒng)對數據庫應用的所有操作實施安全性審計

D．在因特網接口部署上網行為監(jiān)控系統(tǒng)，對訪問互聯(lián)網的行為安全進行監(jiān)控，對網絡流量和帶寬實施管理。

2015網絡和信息安全宣傳考試答案

一、判斷對錯30

√×√√√

√√×√√

×√√√√

二、單項選擇30 ACCAA DDCCD

三、多項選擇題40 1ABCD 2ABCD 3AB 4ABCE 5ACD 6ABCDE 7ABC 8ABCDE 9ABC 10ABCD

第二篇：2016年稅務系統(tǒng)網絡信息安全知識測試

一、判斷對錯(每題2分，答錯不扣分，共計30分)1.違反法律、違反道德、破壞信息安全的可嚴重侵犯公民隱私和影響中國社會穩(wěn)定的信息，均可稱為不良信息。

2.在我國凡是違背社會主義精神文明建設的要求，違背中華民族優(yōu)良文化傳統(tǒng)習慣以及違背社會公德的各類信息就是網絡不良信息。3.網上的安全審計主要是對系統(tǒng)中的各類活動進行跟蹤記錄，為以后安全事件的追蹤、漏洞的分析提供一些原始證據。

4.隨著國際信息安全領域的事件頻繁發(fā)生，無論是高層領導或是專家或是普通民眾對信息安全問題都高度重視。

5.對于信息安全危險的分類，從危險的來源來分，可分為內部的危險和外部的危險。

6.以云計算、物聯(lián)網等為代表的新一輪信息技術革命，正在成為全球后金融時代社會和經濟發(fā)展共同關注的重點。

7.“安全”一詞是指將服務與資源的脆弱性降到最低限度。8.目前我國重要的信息系統(tǒng)和工業(yè)控制系統(tǒng)是自主生產的，不會產生對外依賴。

9.對于從美國出口到我國的設備，美國安全局會提前有意植入一些后門或者植入一些微軟件。

10.我國信息技術產品的國產化程度非常低，很多重要信息系統(tǒng)還是由外國廠家提供，網絡防護十分薄弱。

11.用戶在處理廢棄硬盤時，只要將電腦硬盤內的數據格式化就可以了，數據就不可能被恢復了。12.瀏覽器緩存和上網歷史記錄能完整還原用戶訪問互聯(lián)網的詳細信息，并反映用戶的使用習慣、隱私等。因此應當定期清理這些信息以避免他人獲得并造成隱私泄密。

13.大數據的特點是數據量巨大，是指數據存儲量已經從TB級別升至PB級別。

14.信息系統(tǒng)建設完成后，運營、使用單位或者其主管部門應當選擇具有信息系統(tǒng)安全等級保護測評資質的測評機構，定期對信息系統(tǒng)安全等級狀況開展等級測評。

15.機密性、完整性和可用性是評價信息資產的三個安全屬性。

二、單項選擇（每題3分，共計30分）

1.內部人員對系統(tǒng)產生誤操作，濫用權力，個別系統(tǒng)里的人內外勾結，這是屬于安全威脅來源的（）方面。

A.內部方面

B．外部方面

C．人為方面

D．意外方面

2.2014年，中央成立網絡安全與信息化領導小組，并由（）同志親自擔任組長。

A.李克強

B.劉云山

C.習近平 D.張德江

3.計算機水平高超的電腦專家，他們可以侵入到你正常的系統(tǒng)，不經授權修改你的程序，修改你的系統(tǒng)，這類統(tǒng)稱為（）。

A.漏洞

B.病毒

C.黑客

D.間諜

4.（）被廣泛認為是繼報紙、電臺、電視之后的第四媒體。

A.互聯(lián)網

B.電話

C.廣播

D.手機

5.最近，國務院下發(fā)的5號文件明確提出加快推進（）的應用，給我們的安全問題提出了新的嚴峻挑戰(zhàn)。

A.云計算

B.大數據

C.物聯(lián)網

D.互聯(lián)網

6.中央網絡安全和信息化領導小組要求把我國建設成為（）。

A.技術強國

B.信息強國

C.科技強國 D.網絡強國

7.下列屬于網絡詐騙的方式的是（）。

A.中獎詐騙

B.釣魚詐騙

C.QQ視頻詐騙

D.以上都是

8.網絡社會的本質變化是（）。

A.信息碎片化

B.網絡碎片化

C.跨越時空的碎片化

D.生活的碎片化

9.由于遭遇（）的入侵，伊朗的核計劃至少推遲了兩年多。

A.特洛伊木馬

B.蠕蟲病毒

C.震網病毒

D.邏輯炸彈

10.計算機病毒是（）A.一種芯片

B.具有遠程控制計算機功能的一段程序 C.一種生物病毒

D.具有破壞計算機功能或毀壞數據的一組程序代碼

三、多項選擇題（每題4分，共計40分）2.安全使用郵箱應該做到的有（）

A.對于隱私或重要的文件可以加密之后再發(fā)送 B.為郵箱的用戶賬號設置高強度的口令 C.區(qū)分工作郵箱和生活郵箱

D.不要查看來源不明和內容不明的郵件，應直接刪除 3.以下關于盜版軟件的說法，錯誤的是（）。A.若出現問題可以找開發(fā)商負責賠償損失 B.使用盜版軟件不違反法律

C.成為計算機病毒的重要來源和傳播途徑之一 D.可能會包含不健康的內容

4.信息安全是一個不斷攻防演練的過程，一個不斷發(fā)展的過程，遵循PDCA模型，其中，PDCA是指（）。

A.Plan B.Act C.Check D.Aim E.Do 5.根據涉密網絡系統(tǒng)的分級保護原則，涉密網絡的分級有哪些？（）A.秘密 B.內部 C.機密 D.絕密

6.稅務系統(tǒng)信息安全體系建設的主要內容有（）A.建設統(tǒng)一、完善的網絡安全防護系統(tǒng)

B.建立全網統(tǒng)一的基于PKI的網絡信任系統(tǒng)及其安全基礎設施。C.基于網絡安全防護系統(tǒng)和安全基礎設施，構建統(tǒng)一的安全支撐平臺和應用支撐平臺。

D.基于安全支撐平臺和應用支撐平臺，建設涵蓋各類稅收業(yè)務的安全應用系統(tǒng)。

E.建設一體化的信息安全管理系統(tǒng)和服務于安全管理系統(tǒng)的安全管理平臺。

7．稅務系統(tǒng)信息安全體系的構成()A.一個決策領導層

B.四個安全系統(tǒng)（安全管理系統(tǒng)、網絡防護系統(tǒng)、安全基礎設施系統(tǒng)、安全應用系統(tǒng)）

C.三個安全平臺（安全支撐平臺、應用支撐平臺、安全管理平臺）D.金稅三期核心征管系統(tǒng)

8．稅務系統(tǒng)信息安全體系的實施原則（）A.統(tǒng)籌規(guī)劃、分步實施 B.聯(lián)合共建、互聯(lián)互通 C.安全保密、先進可靠 D.經濟實用、靈活方便 E.統(tǒng)一標準、統(tǒng)一規(guī)范 9．稅務系統(tǒng)網絡與信息安全防護體系建設經歷過以下（）階段 A.首期 B.二期 C.三期 D.四期

10.稅務系統(tǒng)網絡與信息安全建設第三期的內容有（）

A．采用網絡準入控制系統(tǒng)阻止不符合安全要求的計算機終端接入數據中心局域網

B．在網絡中部署安全性檢查與補丁分發(fā)系統(tǒng)，對接入數據中心局域網的計算機終端進行安全檢查和修復，提高接入終端的安全性 C．采用數據庫安全審計系統(tǒng)對數據庫應用的所有操作實施安全性審計

D．在因特網接口部署上網行為監(jiān)控系統(tǒng)，對訪問互聯(lián)網的行為安全進行監(jiān)控，對網絡流量和帶寬實施管理。

2015網絡和信息安全宣傳考試答案

一、判斷對錯30

√×√√√

√√×√√

×√√√√

二、單項選擇30 ACCAA DDCCD

三、多項選擇題40 1ABCD 2ABCD 3AB 4ABCE 5ACD 6ABCDE 7ABC 8ABCDE 9ABC 10ABCD

第三篇：網絡信息安全測試模擬試題 歸類

判斷題

信息安全定義

3.只要投資充足，技術措施完備，就能夠保證百分之百的信息安全。27.信息在使用中不僅不會被消耗掉，還可以加以復制。

43.防止靜態(tài)信息被非授權訪問和防止動態(tài)信息被截取解密是____。A:數據完整性

B:數據可用性

C:數據可靠性

D:數據保密性

69.在ISO／IEC 17799中，防止惡意軟件的目的就是為了保護軟件和信息的____。

A:安全性

B:完整性

C:穩(wěn)定性

D:有效性 78.關于信息安全，下列說法中正確的是____。

A:信息安全等同于網絡安全

B:信息安全由技術措施實現 C:信息安全應當技術與管理并重

D:管理措施在信息安全中不重要 41.信息安全在通信保密階段中主要應用于____領域。

A:軍事

B: 商業(yè)

C:科研

D:教育

69.確保信息在存儲、使用、傳輸過程中不會泄露給非授權的用戶或者實體的特性是____。A:完整性

B:可用性

C:可靠性

D:保密性

管理學

14.實現信息安全的途徑要借助兩方面的控制措施、技術措施和管理措施，從這里就能看出技術和管理并重的基本思想，重技術輕管理，或者重管理輕技術，都是不科學，并且有局限性的錯誤觀點。

36.網絡和信息系統(tǒng)的關節(jié)崗位人選不得出現在其他關鍵崗位兼職的情況。66.下述關于安全掃描和安全掃描系統(tǒng)的描述錯誤的是____。A:安全掃描在企業(yè)部署安全策略中處于非常重要的地位

B:安全掃描系統(tǒng)可用于管理和維護信息安全設備的安全

C:安全掃描系統(tǒng)對防火墻在某些安全功能上的不足不具有彌補性 D:安全掃描系統(tǒng)是把雙刃劍

71.策略應該清晰，無須借助過多的特殊一通用需求文檔描述，并且還要有具體的____。A:管理支持

B:技術細節(jié)

C:補充內容

D:實施計劃 47.在PDR安全模型中最核心的組件是____。

A:策略

B:保護措施

C:檢測措施

D:響應措施

79.在PPDRR安全模型中，____是屬于安全事件發(fā)生后的補救措施。

A:保護

B:恢復

C:響應

D:檢測 44.信息安全領域內最關鍵和最薄弱的環(huán)節(jié)是____。A:技術

B:策略

C:管理制度

D:人

58.下列關于信息安全策略維護的說法，____是錯誤的。A:安全策略的維護應當由專門的部門完成

B:安全策略制定完成并發(fā)布之后，不需要再對其進行修改

C:應當定期對安全策略進行審查和修訂

D:維護工作應當周期性進行

66.對日志數據進行審計檢查，屬于____類控制措施。

A:預防

B:檢測

C:威懾

D:修正 74.信息安全中的木桶原理，是指____。

A:整體安全水平由安全級別最低的部分所決定 B:整體安全水平由安全級別最高的部分所決定 C:整體安全水平由各組成部分的安全級別平均值所決定 D:以上都不對

76.根據權限管理的原則，—個計算機操作員不應當具備訪問____的權限。

A:操作指南文檔

B:計算機控制臺

C:應用程序源代碼

D:安全指南

物理

37.二類故障：包括電源等系統(tǒng)故障。

38.二類故障：空調、通風、發(fā)電機、門禁、照明等系統(tǒng)故障。45.設備放置應考慮到便于維護和相對的安全區(qū)域內。70.環(huán)境安全策略應該____。

網絡

13.信息安全的層次化特點決定了應用系統(tǒng)的安全不僅取決于應用層安全機制，同樣依賴于底層的物理、網絡和系統(tǒng)等層面的安全狀況。

19.網絡邊界保護中主要采用防火墻系統(tǒng)，在內網和外網之間存在不經過防火墻控制的其他通信連接，不會影響到防火墻的有效保護作用。

20.防火墻雖然是網絡層重要的安全機制，但是它對于計算機病毒缺乏保護能力。

A:詳細而具體

B:復雜而專業(yè)

C:深入而清晰

D:簡單而全面

24.防火墻在靜態(tài)包過濾技術的基礎上，通過會話狀態(tài)檢測技術將數據包的過濾處理效率大幅提高。

29.防火墻屬于網絡安全的范疇，是網絡安全保護中最基本的安全機制，只能在內部網絡的邊界處提供動態(tài)包過濾、應用安全代理等安全服務。57.IPSec協(xié)議中涉及到密鑰管理的重要協(xié)議是____。A:IKE

B:AH

C:ESP

D:SSL 58.入侵檢測技術可以分為誤用檢測和____兩大類。

A:病毒檢測

B:詳細檢測

C:異常檢測

D: 漏洞檢測

72.在一個企業(yè)網中，防火墻應該是____的一部分，構建防火墻時首先要考慮其保護的范圍。A:安全技術

B:安全設置

C:局部安全策略

D:全局安全策略 59.防火墻最主要被部署在____位置。

A:網絡邊界

B:骨干線路

C:重要服務器

D:桌面終端

主機

31.主機和系統(tǒng)是信息系統(tǒng)威脅的主要目標之一。

33.強制執(zhí)行策略：沒有強制性的用戶安全策略就沒有任何價值。

應用

39.定時清理IE瀏覽器的臨時文件夾，并不能防止部分敏感內容的泄露。41.應用和業(yè)務安全管理不屬于信息安全管理制度。

數據

1.根據ISO 13335標準，信息是通過在數據上施加某些約定而賦予這些數據的特殊含義。44.網絡數據備份的實現主要需要考慮的問題不包括____。

A:架設高速局域網

B:分析應用環(huán)境

C:選擇備份硬件設備

D:選擇備份管理軟件

70.系統(tǒng)備份與普通數據備份的不同在于，它不僅備份系統(tǒng)中的數據，還備份系統(tǒng)中安裝的應用程序、數據庫系統(tǒng)、用戶設置、系統(tǒng)參數等信息，以便迅速____。

A:恢復整個系統(tǒng)

B:恢復所有數據

C:恢復全部程序

D:恢復網絡設置 78.____能夠有效降低磁盤機械損壞給關鍵數據造成的損失。A:熱插拔

B:SCSI

C:RAID

D:FAST-ATA

病毒和木馬

45.針對操作系統(tǒng)安全漏洞的蠕蟲病毒根治的技術措施是____。

A:防火墻隔離

B:安裝安全補丁程序

C:專用病毒查殺工具

D:部署網絡入侵檢測系統(tǒng)

46.計算機病毒最本質的特性是____。

A:寄生性

B:潛伏性

C:破壞性

D:攻擊性

48.《計算機病毒防治管理辦法》規(guī)定，____主管全國的計算機病毒防治管理工作。A:信息產業(yè)部

B:國家病毒防范管理中心

C:公安部公共信息網絡安全監(jiān)察

D:國務院信息化建設領導小組 49 計算機病毒的實時監(jiān)控屬于____類的技術措施。A:保護

B:檢測

C:響應

D:恢復

50.下列能夠有效地防御未知的新病毒對信息系統(tǒng)造成破壞的安全措施是____。A:防火墻隔離

B:安裝安全補丁程序

C:專用病毒查殺工具

D:部署網絡入侵檢測系統(tǒng) 51.下列不屬于網絡蠕蟲病毒的是____。

業(yè)務連續(xù)性和應急響應

46.凡信息網絡發(fā)生的事件、事故和案件，均應按規(guī)定由有關使用單位在48小時內向當地縣級以上公安局觀報告。

46.關于災難恢復計劃錯誤的說法是____。

A:應考慮各種意外情況

B:制定詳細的應對處理辦法

C:建立框架性指導原則，不必關注于細節(jié)

D:正式發(fā)布前，要進行討論和評審 74.災難恢復計劃或者業(yè)務連續(xù)性計劃關注的是信息資產的____屬性。

A:可用性

B:真實性

C:完整性

D:保密性

信息安全保障體系

4.我國在2006年提出的《2006～2020年國家信息化發(fā)展戰(zhàn)略》將“建設國家信息安全保障體系”作為9大戰(zhàn)略發(fā)展方向之一。

5.2003年7月國家信息化領導小組第三次會議發(fā)布的27號文件，是指導我國信息安全保障工作和加快推進信息化的綱領性文獻。

15.按照BS 7799標準，信息安全管理應當是一個持續(xù)改進的周期性過程。

30.方針和策略是信息安全保證工作的整體性指導和要求。安全方針和策略不需要有相應的A:沖擊波

B:SQLSLAMMER

C:CIH

D:振蕩波

制定、審核和改進過程。

42.IS0 17799／IS0 27001最初是由____提出的國家標準。

A:美國

B:澳大利亞

C:英國

D:中國

59.根據BS 7799的規(guī)定，建立的信息安全管理體系ISMS的最重要特征是____ A:全面性

B:文檔化

C:先進性

D:制度化 67.關于安全審計目的描述錯誤的是____。

A:識別和分析未經授權的動作或攻擊

B:記錄用戶活動和系統(tǒng)管理 C:將動作歸結到為其負責的實體

D:實現對安全事件的應急響應

60.安全審計是一種很常見的安全控制措施，它在信息安全保障體系中，屬于____措施

A:保護

B:檢測

C:響應

D:恢復 80.信息安全評測標準CC是____標準。

A:美國

B:國際

C:英國

D:澳大利亞

42.下面所列的____安全機制不屬于信息安全保障體系中的事先保護環(huán)節(jié)。

A:殺毒軟件

B:數字證書認證

C:防火墻

D:數據庫加密

79.相對于現有殺毒軟件在終端系統(tǒng)中提供保護不同，____在內外網絡邊界處提供更加主動和積極的病毒保護。

等級保護

8.GB 17859與目前等級保護所規(guī)定的安全等級的含義不同，GB 17859中等級劃分為現在的等級保護奠定了基礎。

34.信息系統(tǒng)的安全保護等級由各業(yè)務子系統(tǒng)的最高等級決定。47.信息系統(tǒng)安全等級劃分第五級為自主保護級。

48.我國在1999年發(fā)布的國家標準____為信息安全等級保護奠定了基礎。

A:GB 17799

B:GB 15408

C:GB 17859

D:GB 14430 49.信息安全等級保護的5個級別中，____是最高級別，屬于關系到國計民生的最關鍵信息系統(tǒng)的保護。

A:強制保護級

B:?？乇Ｗo級

C:監(jiān)督保護級

D:指導保護級

E:自主保護級 50.____是進行等級確定和等級保護管理的最終對象。

A:業(yè)務系統(tǒng)

B:功能模塊

C:信息系統(tǒng)

D:網絡系統(tǒng)

51.當信息系統(tǒng)中包含多個業(yè)務子系統(tǒng)時，對每個業(yè)務子系統(tǒng)進行安全等級確定，最終信息系統(tǒng)的安全等級應當由____所確定。

A:業(yè)務子系統(tǒng)的安全等級平均值

B:業(yè)務子系統(tǒng)的最高安全等級

C:業(yè)務子系統(tǒng)的最低安全等級

D:以上說法都錯誤

60.根據BS 7799的規(guī)定，對信息系統(tǒng)的安全管理不能只局限于對其運行期間的管理維護，而要將管理措施擴展到信息系統(tǒng)生命周期的其他階段，BS7799中與此有關的一個重要方面就

A:防火墻

B:病毒網關

C:IPS

D:IDS 是____。

A:訪問控制

B:業(yè)務連續(xù)性

C:信息系統(tǒng)獲取、開發(fā)與維護

D:組織與人員 61.如果一個信息系統(tǒng)，其業(yè)務信息安全性或業(yè)務服務保證性受到破壞后，會對社會秩序和公共利益造成一定損害，但不損害國家安全；本級系統(tǒng)依照國家管理規(guī)范和技術標準進行自主保護，必要時，信息安全監(jiān)管職能部門對其進行指導。那么該信息系統(tǒng)屬于等級保護中的____。

A:強制保護級

B:監(jiān)督保護級

C:指導保護級

D:自主保護級

63.如果一個信息系統(tǒng)，其業(yè)務信息安全性或業(yè)務服務保證性受到破壞后，會對公民法人和其他組織的合法權益產生損害，但不損害國家安全、社會秩序和公共利益；本級系統(tǒng)依照國家管理規(guī)范和技術標準進行自主保護。那么其在等級保護中屬于____。

A:強制保護級

B:監(jiān)督保護級

C:指導保護級

D:自主保護級

80.《信息系統(tǒng)安全等級保護基本要求》中，對不同級別的信息系統(tǒng)應具備的基本安全保護能力進行了要求，共劃分為____級。

風險管理

16.雖然在安全評估過程中采取定量評估能獲得準確的分析結果，但是由于參數確定較為困難，往往實際評估多采取定性評估，或者定性和定量評估相結合的方法。

18.定性安全風險評估結果中，級別較高的安全風險應當優(yōu)先采取控制措施予以應對。25.通常在風險評估的實踐中，綜合利用基線評估和詳細評估的優(yōu)點，將二者結合起來。26.脆弱性分析技術，也被通俗地稱為漏洞掃描技術。該技術是檢測遠程或本地系統(tǒng)安全脆弱性的一種安全技術。

52.下列關于風險的說法，____是錯誤的。

A:風險是客觀存在的B:導致風險的外因是普遍存在的安全威脅 C:導致風險的外因是普遍存在的安全脆弱性

D:風險是指一種可能性 53.風險管理的首要任務是____。

A:風險識別和評估

B:風險轉嫁

C:風險控制

D:接受風險 54.安全威脅是產生安全事件的____。

A:內因

B:外因

C:根本原因

D:不相關因素 55.安全脆弱性是產生安全事件的____。

A:內因

B:外因

C:根本原因

D:不相關因素 54.關于資產價值的評估，____說法是正確的。

A:資產的價值指采購費用

B:資產的價值無法估計

C:資產價值的定量評估要比定性評估簡單容易

D:資產的價值與其重要性密切相關 67.根據風險管理的看法，資產具有價值，存在脆弱性，被安全威脅____，____風險。

A:4

B:5

C:6

D:7 A:存在 利用

B:利用 導致

C:導致 存在 D:存在 具有

合規(guī)

6.在我國，嚴重的網絡犯罪行為也不需要接受刑法的相關處罰。

12.一個完整的信息安全保障體系，應當包括安全策略(Policy)、保護(Protection)、檢測(Detection)、響應(Reaction)、恢復(Restoration)五個主要環(huán)節(jié)。

17.一旦發(fā)現計算機違法犯罪案件，信息系統(tǒng)所有者應當在2天內迅速向當地公安機關報案，并配合公安機關的取證和調查。N 21.我國刑法中有關計算機犯罪的規(guī)定，定義了3種新的犯罪類型。

22.信息技術基礎設施庫(ITIL)，是由英國發(fā)布的關于IT服務管理最佳實踐的建議和指導方針，旨在解決IT服務質量不佳的情況。

23.美國國家標準技術協(xié)會NIST發(fā)布的《SP 800-30》中詳細闡述了IT系統(tǒng)風險管理內容。42.安全管理的合規(guī)性，主要是指在有章可循的基礎之上，確保信息安全工作符合國家法律、法規(guī)、行業(yè)標準、機構內部的方針和規(guī)定。

68.根據《計算機信息系統(tǒng)國際聯(lián)網保密管理規(guī)定》的規(guī)定，凡向國際聯(lián)網的站點提供或發(fā)布信息，必須經過____。

A:內容過濾處理

B:單位領導同意

C:備案制度

D:保密審查批準 45.《計算機信息系統(tǒng)安全保護條例》是由中華人民共和國____第147號發(fā)布的。

A:國務院令

B:全國人民代表大會令

C:公安部令

D:國家安全部令

61.根據《計算機信息系統(tǒng)國際聯(lián)網保密管理規(guī)定》，涉及國家秘密的計算機信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網或其他公共信息網絡相連接，必須實行____。A:邏輯隔離

B:物理隔離

C:安裝防火墻

D:VLAN劃分 64.GB l7859借鑒了TCSEC標準，這個TCSEC是____國家標準。

A:英國

B:意大利

C:美國

D:俄羅斯

73.《確保網絡空間安全的國家戰(zhàn)略》是____發(fā)布的國家戰(zhàn)略。A:英國

B:法國

C:德國

D:美國

認證

7.windows2000／XP系統(tǒng)提供了口令安全策略，以對帳戶口令安全進行保護。

9.口令認證機制的安全性弱點，可以使得攻擊者破解合法用戶帳戶信息，進而非法獲得系統(tǒng)和資源訪問權限。

10.PKI系統(tǒng)所有的安全操作都是通過數字證書來實現的。

11.PKI系統(tǒng)使用了非對稱算法、對稱算法和散列算法。

28.口令管理方式、口令設置規(guī)則、口令適應規(guī)則等屬于口令管理策略。

56.在使用復雜度不高的口令時，容易產生弱口令的安全脆弱性，被攻擊者利用，從而破解

用戶帳戶，下列____具有最好的口令復雜度。

A:morrison

B:Wm.$*F2m5@

C:27776394

D:wangjingl977 62.關于口令認證機制，下列說法正確的是____。

A:實現代價最低，安全性最高

B:實現代價最低，安全性最低 C:實現代價最高，安全性最高

D:實現代價最高，安全性最低 63.身份認證的含義是____。

A:注冊一個用戶

B:標識一個用戶

C:驗證一個用戶

D:授權一個用戶 64.口令機制通常用于____。

A:認證

B:標識

C:注冊

D:授權

73.基于密碼技術的訪問控制是防止____的主要防護手段。

A:數據傳輸泄密

B:數據傳輸丟失

C:數據交換失敗

D:數據備份失敗 75.____是最常用的公鑰密碼算法。

A:RSA

B:DSA

C:橢圓曲線

D:量子密碼 76.PKI的主要理論基礎是____。56.PKI是____。

A:對稱密碼算法

B:公鑰密碼算法

C:量子密碼

D:摘要算法 A:Private Key lnfrastructure

B:Public Key lnstitute C:Public Key lnfrastructure

D:Private Key lnstitute 57.PKI所管理的基本元素是____。

A:密鑰

B:用戶身份

C:數字證書

D:數字簽名 77.PKI中進行數字證書管理的核心組成模塊是____。

A:注冊中心RA

B:證書中心CA

C:目錄服務器

D:證書作廢列表 77.我國正式公布了電子簽名法，數字簽名機制用于實現____需求。A:抗否認

B:保密性

C:完整性

D:可用性

多選題

81.在互聯(lián)網上的計算機病毒呈現出的特點是____。B:所有的病毒都具有混合型特征，破壞性大大增強

C:因為其擴散極快，不再追求隱蔽性，而更加注重欺騙性 D:利用系統(tǒng)漏洞傳播病毒E:利用軟件復制傳播病毒

82.在刑法中，____規(guī)定了與信息安全有關的違法行為和處罰依據。A:第285條

B:第286條

C:第280條

D:第287條

83.____可能給網絡和信息系統(tǒng)帶來風險，導致安全事件。

A:與因特網更加緊密地結合，利用一切可以利用的方式進行傳播

A:計算機病毒

B:網絡入侵

C:軟硬件故障

D:人員誤操作

E:不可抗災難事件

84.____安全措施可以有效降低軟硬件故障給網絡和信息系統(tǒng)所造成的風險。

85.目前，我國在對信息系統(tǒng)進行安全等級保護時，劃分了5個級別，包括____。

A:?？乇Ｗo級

B:強制保護級

C:監(jiān)督保護級

D:指導保護級

E:自主保護級

86.下列____因素，會對最終的風險評估結果產生影響。

87.下列____因素與資產價值評估有關。

A:購買資產發(fā)生的費用

B:軟硬件費用

C:運行維護資產所需成本 D:資產被破壞所造成的損失

E:人工費用

A,C,D

88.安全控制措施可以分為____。

A:管理類

B:技術類

C:人員類

D:操作類

E:檢測類

89.信息安全技術根據信息系統(tǒng)自身的層次化特點，也被劃分了不同的層次，這些層次包括____。

A:物理層安全

B:人員安全

C:網絡層安全

D:系統(tǒng)層安全

E:應用層安全

90.在BS 7799中，訪問控制涉及到信息系統(tǒng)的各個層面，其中主要包括____。

A:物理訪問控制

B:網絡訪問控制

C:人員訪問控制

D:系統(tǒng)訪問控制

E:應用訪問控制

91.關于入侵檢測和入侵檢測系統(tǒng)，下述正確的選項是____。A:入侵檢測收集信息應在網絡的不同關鍵點進行 B:入侵檢測的信息分析具有實時性

C:基于網絡的入侵檢測系統(tǒng)的精確性不及基于主機的入侵檢測系統(tǒng)的精確性高 D:分布式入侵檢測系統(tǒng)既能檢測網絡的入侵行為又能檢測主機的入侵行為 E:入侵檢測系統(tǒng)的主要功能是對發(fā)生的入侵事件進行應急響應處理

92.《計算機信息網絡國際聯(lián)網安全保護管理辦法》規(guī)定，任何單位和個人不得制作、復制、發(fā)布、傳播的信息內容有____。A:損害國家榮譽和利益的信息

A:管理制度

B:資產價值

C:威脅

D:脆弱性

E:安全措施

A:雙機熱備

B:多機集群

C:磁盤陣列

D:系統(tǒng)和數據備份

E:安全審計 B:個人通信地址 C:個人文學作品 D:淫穢、色情信息

E:侮辱或者誹謗他人，侵害他人合法權益的信息

93.基于角色對用戶組進行訪問控制的方式有以下作用：____。A:使用戶分類化

B:用戶的可管理性得到加強

C:簡化了權限管理，避免直接在用戶和數據之間進行授權和取消 D:有利于合理劃分職責 E:防止權力濫用

C,D,E

94.有多種情況能夠泄漏口令，這些途徑包括____。A:猜測和發(fā)現口令 B:口令設置過于復雜 C:將口令告訴別人 D:電子監(jiān)控

E:訪問口令文件

95.在局域網中計算機病毒的防范策略有____。A:僅保護工作站 B:保護通信系統(tǒng) C:保護打印機 D:僅保護服務器

E:完全保護工作站和服務器

A,D,E

96.根據IS0定義，信息安全的保護對象是信息資產，典型的信息資產包括____。

A:硬件

B:軟件

C:人員

D:數據

E:環(huán)境

B,C

97.治安管理處罰法規(guī)定，____行為，處5日以下拘留；情節(jié)較重的，處5日以上10日以下拘留。

A:違反國家規(guī)定，侵入計算機信息系統(tǒng)，造成危害的

B:違反國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，造成計算機信息系統(tǒng)不能正常運行的

C:違反國家規(guī)定，對計算機信息系統(tǒng)中存儲、處理、傳輸的數據和應用程序進行刪除、修改、增加的

D:故意制作、傳播計算機病毒等破壞性程序，影口向計算機信息系統(tǒng)正常運行的 A,B,C,D

98.網絡入侵檢測系統(tǒng)，既可以對外部黑客的攻擊行為進行檢測，也可以發(fā)現內部攻擊者的操作行為，通常部署在____。

A:關鍵服務器主機

B:網絡交換機的監(jiān)聽端口

C:內網和外網的邊界

D:桌面系統(tǒng)

E:以上都正確

B,C

99.IPSec是網絡層典型的安全協(xié)議，能夠為IP數據包提供____安全服務。

A:保密性

B:完整性

C:不可否認性

D:可審計性

E:真實性

A,B,E

100.信息安全策略必須具備____屬性。

A:確定性

B:正確性

C:全面性

D:細致性

E:有效性

83.與計算機有關的違法案件，要____，以界定是屬于行政違法案件，還是刑事違法案件。A:根據違法行為的情節(jié)和所造成的后果進行界定 B:根據違法行為的類別進行界定 C:根據違法行為人的身份進行界定 D:根據違法行為所違反的法律規(guī)范來界定

84.互聯(lián)網服務提供者和聯(lián)網使用單位應當落實的互聯(lián)網安全保護技術措施包括____。

A:防范計算機病毒、網絡入侵和攻擊破壞等危害網絡安全事項或者行為的技術措施 B:重要數據庫和系統(tǒng)主要設備的冗災備份措施

C:記錄并留存用戶登錄和退出時間、主叫號碼、帳號、互聯(lián)網地址或域名、系統(tǒng)維護日志的技術措施

D:法律、法規(guī)和規(guī)章規(guī)定應當落實的其他安全保護技術措施

A,B,C,D

85.典型的數據備份策略包括____。

86.我國信息安全等級保護的內容包括____。些信息的信息系統(tǒng)分等級實行安全保護

A:對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸和處理這

A:完全備份

B:增量備份

C:選擇性備份

D:差異備份

E:手工備份

A,B,D

A,B,D

A,C,E B:對信息系統(tǒng)中使用的信息安全產品實行按等級管理 C:對信息安全從業(yè)人員實行按等級管理

D:對信息系統(tǒng)中發(fā)生的信息安全事件按照等級進行響應和處置E:對信息安全違反行為實行按等級懲處

89.物理層安全的主要內容包括____。

A:環(huán)境安全

B:設備安全

C:線路安全

D:介質安全

E:人員安全

A,B,D

90.計算機信息系統(tǒng)安全的三個相輔相成、互補互通的有機組成部分是____。A:安全策略

B:安全法規(guī)

C:安全技術

D:安全管理

A,B,D

93.PKI是生成、管理、存儲、分發(fā)和吊銷基于公鑰密碼學的公鑰證書所需要的____的總和。A:硬件

B:軟件

C:人員

D:策略

E:規(guī)程

A,B,C,D,E

94.全國人民代表大會常務委員會《關于維護互聯(lián)網安全的決定》規(guī)定，為了維護社會主義市場經濟秩序和社會管理秩序，____行為，構成犯罪的，依照刑法有關規(guī)定追究刑事責任。A:利用互聯(lián)網銷售偽劣產品或者對商品、服務作虛假宣傳 B:利用互聯(lián)網侵犯他人知識產權

C:利用互聯(lián)網編造并傳播影響證券、期貨交易或者其他擾亂金融秩序的虛假信息

D:利用互聯(lián)網損害他人商業(yè)信譽和商品聲譽

E:在互聯(lián)網上建立淫穢網站、網頁，提供淫穢站點鏈接服務，或者傳播淫穢書刊、影片、音像、圖片

96.____是建立有效的計算機病毒防御體系所需要的技術措施。

A:殺毒軟件

B:補丁管理系統(tǒng)

C:防火墻

D:網絡入侵檢測

E:漏洞掃描 A,B,C,D,E

97.在安全評估過程中，安全威脅的來源包括____。

98.在信息安全管理中進行安全教育與培訓，應當區(qū)分培訓對象的層次和培訓內容，主要包括____。

A:高級管理層

B:關鍵技術崗位人員

C:第三方人員

D:外部人員

E:普通計算機用戶

A,B,E

100.涉密安全管理包括____。

A:外部黑客

B:內部人員

C:信息技術本身

D:物理環(huán)境

E:自然界

A,B,C,D,E A,B,C,D,E

A,B,D A:涉密設備管理

B:涉密信息管理

C:涉密人員管理

D:涉密場所管理

E:涉密媒體管理 B,C,D,E

第四篇：網絡信息安全 滲透測試

網絡信息安全--課程結業(yè)報告

重慶交通大學

課程結業(yè)報告

班 級：

學 號：

姓 名：

實驗項目名稱：

實驗項目性質：

實驗所屬課程：

實驗室(中心)：

指 導 教 師 ：

實驗完成時間：

滲透測試

設計性

網絡信息安全

軟件實驗室

2016 年 6 月 30 日

一、概述

網絡滲透測試就是利用所有的手段進行測試，發(fā)現和挖掘系統(tǒng)中存在的漏洞，然后撰寫滲透測試報告，將其提供給客戶;客戶根據滲透人員提供的滲透測試報告對系統(tǒng)存在漏洞和問題的地方進行修復和修補。滲透測試是通過模擬惡意黑客的攻擊方法，來評估計算機網絡系統(tǒng)安全的一種評估方法。滲透測試與其它評估方法不同，通常的評估方法是根據已知信息資源或其它被評估對象，去發(fā)現所有相關的安全問題。滲透測試是根據已知可利用的安全漏洞，去發(fā)現是否存在相應的信息資源。

應網絡信息安全課程結課要求，于2016年5月至2016年7月期間，在MobaXterm和kail平臺進行了活動主機和活動端口掃描以及漏洞掃描，最后匯總得到了該分析報告。

二、實驗目的

①熟悉kali平臺和MobaXterm； ②熟悉信息收集的基本方法和技巧；

③了解kali平臺下活動主機和端口掃描的方法； ④了解漏洞掃描的過程；

三、滲透測試范圍

此次滲透測試的對象為：10.1.74.114---Metasploitable2 Linux。

四、本次分析工具介紹

本次測試主要用到了MobaXterm、Nmap、Nessus和kali.MobaXterm是遠程計算的終極工具箱。本次在MobaXterm上運行了10.1.74.111（用戶名和密碼是root:toor）和10.1.74.114（滲透對象，用戶名和密碼：msfadmin:msfadmin）。

如果在虛擬機里運行kali,首先需要安裝好虛擬機，然后下載安裝好滲透環(huán)境kail,然后下載安裝滲透對象（Metasploitable2 Linux）。

Kali Linux預裝了許多滲透測試軟件，包括nmap(端口掃描器)、Wireshark(數據

包分析器)、John the Ripper(密碼破解器),以及Aircrack-ng(一套用于對無線局域網進行滲透測試的軟件).本次測試嘗試了Metasploit，但技術不成熟，不知道哪里出錯，沒有成功。

圖1運行Metasploit結果圖

圖2 運行Metasploit結果圖

圖3 運行Metasploit結果圖3 在漏洞掃描時，因為教學網上說Kali中內置了OpenVAS的，所以打算用這個工具

作為掃描工具的，可是在我使用的kali平臺里并沒有這個內置的工具。

圖4 沒有內置OpenVAS的kali

本次實驗還是使用了nmap的圖形化掃描工具zenmap。Nmap是目前為止使用最廣的端口掃描工具之一，軟件提供一些非常實用的功能。比如通過tcp/ip來甄別操作系統(tǒng)類型、秘密掃描、動態(tài)延遲和重發(fā)、平行掃描、通過并行的PING偵測下屬的主機、欺騙掃描、端口過濾探測、直接的RPC掃描、分布掃描、靈活的目標選擇以及端口的描述。

除了以上工具，本次還用了Nessus，這個工具是目前全世界最多人使用的系統(tǒng)漏洞掃描與分析軟件。

五、實驗主要內容及原理

1、信息收集—掃描活動主機

可以使用一些命令來進行局域網內的活動主機的掃描。常用的命令有 fping、nping、netenum、netdiscover 等。

本次滲透測試選用了netdiscover來獲取LAN 中活動主機及其MAC。

2、信息收集—掃描目標主機活動端口

信息收集有兩種方式，一種是命令行方式，一種是圖形化界面方式。常用的命令是 namp，使用語法：nmap 參數 目標主機IP 地址。圖形界面工具是zenmap。

3、信息收集—掃描漏洞

Nessus是使用比較多的系統(tǒng)漏洞掃描與分析軟件。

六、實驗過程簡述

1、信息收集-掃描活動主機

實驗步驟：在MobaXterm下進行命令行形式進行活動主機的掃描：

fping：掃描指定范圍內的活動主機（fping-s-r 1-g 202.202.240.1 202.202.240.254）；

nping：對防火墻過濾ICMP或主機不對ICMP響應的情況，則可不使用ICMP，直接定制TCP包發(fā)出運行nping-c1--tcp-p 80--flags syn 202.202.240.6；

netenum：速度超快的活動主機掃描器（運行netenum 202.202.240.0/24 10）（10代表超時時間，越長越準確）

netdiscover：獲取LAN中活動主機及其MAC等信息（運行netdiscover即可）； 也在虛擬機里進行了netdiscover掃描。

2、信息收集—掃描目標主機活動端口

實驗步驟：在MobaXterm中輸入下列的命令即可完成目標主機活動端口的掃描： TCP連接掃描： nmap-sT-p--PN 202.202.240.6 SYN 掃描： nmap-sS-p--PN 202.202.240.6 Xmas 掃描：nmap-sX-p--PN 202.202.240.6 Null 掃描：nmap-sN-p--PN 202.202.240.6

3、信息收集—掃描漏洞

實驗步驟：Nessus是目前全世界最多人使用的系統(tǒng)漏洞掃描與分析軟件。以下為安裝及配置步驟：

下載Nessus軟件進行注冊，選擇家庭版，注冊號將發(fā)送到郵箱 使用命令dpkg-i Nessus-6.3.7-debian6_amd64.deb 命令進行安裝

運行命令 /opt/nessus/bin/nessus-fetch--register（你得到的注冊號）進行注冊及更新模塊

運行命令/opt/nessus/sbin/nessus-adduser添加用戶并設為管理員（需記住，后面登錄要使用）

運行命令/etc/init.d/nessusdsta啟動nessus服務

打開瀏覽器，輸入https://127.0.0.1:8834登錄Nessus即可（先定策略，再掃描）

七、實驗結果及分析

1、信息收集-掃描活動主機

圖5使用fping掃描活動主機結果1

圖6使用fping掃描活動主機結果2

通過運行fping-s-r 1-g 202.202.240.1 202.202.240.254來掃描IP地址從

202.202.240.1 到202.202.240.254的活動主機，(-s)打印出最后的結果；（-r 1）重復次數為1，默認情況下為3；（-g）生成目標列表,指定目標列表的起始和結束IP，此次起始IP為202.202.240.1，結束IP為202.202.240.254。共掃描254個目標，其中74個存活，176個不可達，沒有不知的IP地址。

圖7使用nping掃描活動主機結果

圖8使用netenum掃描結果

使用來進行netenum掃描，顯示的是202.202.240.0/24這個網段的活動主機，顯示的結果。

圖9netdiscover掃描結果

從上面的圖中可以看出，netdiscover會顯示出活動主機的IP地址、MAC地址等信息。

2、信息收集—掃描目標主機活動端口

圖10 nmap掃描結果1

圖11 nmap掃描結果2

圖12 nmap掃描結果3

圖13 nmap掃描結果4 上圖是使用nmap掃描目標主機活動端口的結果，本次實驗是掃描202.202.240.6的活動端口，從結果中可以看出使用TCP連接掃描和SYN掃描結果80端口是開啟的，Xmas和Null掃描運行不出結果，可能是掃描的時間不夠，活動端口掃描不是快速完成的。掃描結果會顯示活動的端口號以及提供的服務。

下面是在虛擬機的kali平臺里使用zenmap對10.1.74.114進行端口掃描的結果。由于掃描結果太多，所以只對部分進行了截圖分析。

圖14zenmap掃描結果

使用zenmap對活動端口進行掃描比使用命令行簡單，得到的結果比輸入命令得到的結果更加詳細。

3、信息收集—掃描漏洞

圖15Nessus掃描漏洞結果1 從掃描結果看出10.1.74.111有3個高危漏洞，18個中危漏洞，5個低危漏洞。下圖為掃描10.1.74.111的部分具體漏洞圖。

圖16Nessus掃描結果2

八、心得體會

通過本次網絡信息安全課程的學習，對滲透過程有了一定的了解，其基本步驟可總結為首先進行信息收集，可以收集的信息有活動主機、端口等等，然后掃描主機的漏洞，并對漏洞加以利用，從而達到攻擊的目的。

這次設計對各個模塊有了淺顯的認識，深入程度還有待提高。

第五篇：網絡,安全,知識試題

1.網絡安全技術中,通過雙方約定的法則,將明文變成密文的過程稱為

? ? ? ? A.加密 B.解密 C.數字簽名 D.交換密碼

2.計算機信息系統(tǒng)安全保護工作,重點維護()、,經濟建設、國防建設、尖端科學技術等重要領域的計算機信息系統(tǒng)的安全。

? ? ? ? A.國家事務 B.國家安全 C.信息系統(tǒng)安全 D.經濟建設安全

3.芳芳家的電腦每到周末就有問題還發(fā)出奇怪的聲音平時卻沒有問題,經診斷是中了某個惡作劇類的病毒。這種現象最能體現病毒哪種特征？()? ? ? ? A.寄生性 B.傳染性 C.搞笑性 D.可觸發(fā)性

A.防火墻技術都需要專門的硬件支持 B.防火墻的主要功能是預防網絡病毒的攻擊 C.防火墻不可能防住所有的網絡攻擊 D.防火墻只能預防外網對內網的攻擊 A.國內的安全防護軟件 B.國際的安全防護軟件 C.國內的數據庫軟件 D.國內的自動化辦公軟件 A.人民法院 B.公安機關 C.發(fā)案單位 D.以上都可以

A.正版的軟件也會受計算機病毒的攻擊

B.殺毒軟件只要檢測出了某種病毒,就一定可以清除這種病毒 C.任何防病毒軟件都不會查出和殺掉所有的病毒 D.殺完毒后,應及時給系統(tǒng)打上補丁 關于防火墻技術,說法正確的是()? ? ? ?

xp靶場的打靶對象主要是()? ? ? ?

對計算機安全事故的原因的認定或確定由_____作出()? ? ? ?

下面關于計算機病毒說法不正確的是()? ? ? ? 小明的微信收到“微信團隊”的安全提示:“您的微信賬號在16:46嘗試在另一個設備登錄,登錄設備:華為Mate9”,這時小明應該怎么做:()? ? ? ? A.有可能是誤報,不用理睬

B.確認是否是自己的設備登錄,如果不是,則盡快修改密碼 C.自己的密碼足夠復雜,不可能被破解,堅決不修改密碼 D.撥打110報警,讓警察來解決 A.能造成計算機器件永久性失效 B.影響程序的執(zhí)行,破壞用戶數據與程序 C.不影響計算機的運行速度

D.不影響計算機的運算結果,不必采取措施

A.下載軟件的用戶可以利用散列值驗證軟件的正確性 B.散列函數是絕對安全的

C.用戶可以利用散列值檢查文件是否染毒

D.一般數字簽名都是利用私鑰對數據的散列值進行計算 A.輕 B.重 C.不一定 計算機病毒的危害性表現在()? ? ? ?

關于散列函數的說法不正確的是()? ? ? ?

信息戰(zhàn)的戰(zhàn)爭危害較常規(guī)戰(zhàn)爭的危害()? ? ?

綠色上網軟件可以安裝在家庭和學校的()? ? ? ? A.電視機上 B.個人電腦上 C.電話上 D.幻燈機上

嚴格按照()27條規(guī)定,對查處的“黑吧”,既要收繳違法設備,還要給與經濟上的處罰,兩罰并重,兩罰同步。建立追訴制度,對耍賴抗罰的,要長期跟蹤,追訴期限內發(fā)現仍予以處罰。

? ? ? ? A.互聯(lián)網上網服務營業(yè)場所管理條例 B.關于維護互聯(lián)網安全的決定 C.電信管理條例

D.全國青少年網絡文明公約 A.國務院 B.公安部 C.文化部 D.信息產業(yè)部 1997年12月30日()發(fā)布《計算機信息網絡國際聯(lián)網安全保護管理辦法》。

? ? ? ? 通常一個三個字符的口令破解需要()? ? ? A.18毫秒 B.18 秒 C.18分鐘 A.加、解密速度慢 B.密鑰的分配和管理問題 C.應用局限性

D.加密密鑰與解密密鑰不同 A.指紋識別 B.語音識別 C.掌紋識別 D.簽名識別

A.發(fā)布和更新補丁程序 B.更新失效的X.509安全證書 C.更換泄漏的密鑰 D.重新開發(fā)網站 A.預留的后門要及時刪除 B.系統(tǒng)定期殺毒 C.系統(tǒng)定期升級病毒庫 D.以上說法都不對 對稱密鑰密碼體制的主要缺點是()? ? ? ?

以下生物鑒定設備具有最低的誤報率的是()? ? ? ?

以下哪項不是心臟出血的應對方法()? ? ? ?

應對計算機領域中后門的做法正確的是()? ? ? ?

治安管理處罰法》中新增利用()實施擾亂社會治安管理的違法行為,是我國現行治安管理處罰制度的一大亮點和嶄新課題。

? ? ? ? A.計算機信息系統(tǒng) B.經濟糾紛 C.政治手段 D.高科技手段 A.Web安全能力 B.二進制逆向能力 C.漏洞利用能力 D.密碼學應用能力 A.古典密碼 CTF是現在流行的一種網絡安全競賽,在比賽中一般會考察到選手的哪些能力()? ? ? ?

密碼發(fā)展的三個階段是()? ? ? ? B.現代密碼 C.對稱密碼 D.公鑰密碼

2014年4月15日習近平主持召開中央國家安全委員會第一次會議。以下哪三種安全屬于由11種安全構成的我國國家安全體系？()? ? ? ? A.政治安全 B.食品安全 C.信息安全 D.核安全

A.張三玩網游輸了比賽,在網上辱罵對手;B.李四每天連續(xù)玩網游的時間超過6小時;C.未成年人小陳借哥哥的身份證在網吧上網;D.王五在網吧上網時大聲喧嘩,影響他人。

A.多與家長溝通交流,多和爸爸媽媽分享網絡中和現實中的趣事 B.在家長的指導下健康上網,加強對互聯(lián)網的認識

C.嚴格制訂并遵守上網計劃,每天上網時間最好不超過兩小時,同時要注意愛護眼睛 D.樹立正確的道德觀念,提高抵御網上不良信息的能力 A.信息安全越來越重要 B.信息安全標準在不斷變化 C.信息安全概念在不斷擴展 D.信息安全是一個復雜的巨大系統(tǒng)

A.用戶在注冊郵箱的時候,要求填寫其個人聯(lián)系方式和真實姓名

B.根據相關法律,在網絡游戲進行注冊的時候需要填寫個人身份證號碼以驗證用戶是否為成年人

C.張某想要開一家淘寶商店,淘寶要求商戶注冊的時候實名認證

D.商家收集消費者的購物傾向,制定針對個別消費者的營銷策略追求商業(yè)利益 下列哪些屬于不健康、不文明的上網行為？()? ? ? ?

小明最近沉迷于網絡,不能自拔,你覺得一下哪些對策可以幫助他健康上網。()? ? ? ?

信息安全技術的發(fā)展呈現如下趨勢()? ? ? ?

下列不屬于侵犯網絡隱私權的情形有()? ?

? ?

《網絡安全法》是我國第一部全面規(guī)范網絡空間安全管理方面問題的基礎性法律,是我國網絡空間法治建設的重要里程碑,是依法治網、化解網絡風險的法律重器,是讓互聯(lián)網在法治軌道上健康運行的重要保障。其所確立的基本原則包括()? ? ? ? A.網絡空間主權原則

B.網絡安全與信息化發(fā)展并重原則 C.共同治理原則 D.高效便民原則 在我國的《國家網絡空間安全戰(zhàn)略》中指出,網絡空間為國家發(fā)展帶來了重大機遇,這些機遇包括: 答：信息傳播的新渠道, 生產生活的新空間,經濟發(fā)展的新引擎,文化繁榮的新載體,社會治理的新平臺,交流合作的新紐帶,國家主權的新疆域答出任意4個即可。

芳芳的爸爸買了臺電腦,如果你是芳芳,你會建議爸爸從哪些方面防范系統(tǒng)安全漏洞。答：(1)盡量使用正版軟件(尤其是操作系統(tǒng)和殺毒軟件)。(2)定期對操作系統(tǒng)使用windows update或安全軟件進行補丁升級,尤其對于高危安全漏洞。