等保测评练习卷29

等级保护初级测评师试题29

姓名：                                     

成绩：          

一、判断题（10×1=10分）

1.TCP和UDP协议对比，TCP传送数据更安全(×)解释：TCP只是传输可靠，UDP只是最大地交付。严格来说，两者不存在哪个是否更安全的对比。

2.在进行信息安全测试中，我们一般不需要自己动手进行测试（√）

3.给主机动态分配IP的协议是ARP协议 （×） 是DHCP协议

4.包过滤防火墙是最基本最传统的防火墙，它可以运行在应用层（×）包过滤工作在网络层

5.移动互联由移动终端、移动应用、移动平台组成（×）  无线网络

6.按三级要求，对重要业务数据、鉴别数据、重要审计数据、主要配置数据、重要个人信息实现储存保密性（×）重要审计数据、主要配置数据没要求保密性

7.工具测试需要收集区域之间的大致业务数据流程（×）不需要收集业务数据

8.系统服务安全是指确保定级对象中信息的保密性、完整性和可用性等,业务信息是指确保定级对象可以及时、有效地提供服务,以完成预定的业务目标（×）系统服务安全和业务信息安全概念反了

9.GB/T25050-2019《安全设计要求》可作为网络安全职能部门进行监督、检测、指导的依据（√）  安全设计要求P1

10.工业控制系统中，控制设备因设备条件限制无法实现安全通用要求提出的身份鉴别、访问控制、安全审计的部分要求，可通过管理手段进行控制。（√）p370

二、单项选择题（15×2=30分）

1.黑客通过XSS漏洞获取到小张的QQ用户的身份后，可以进行一下操作（D）

A.偷取小张Q币

B.控制用户摄像头

C.劫持微信用户

D.进入小张QQ空间

XSS漏洞是获取用户cookie的，即是获得用户cookie等敏感信息。

A.偷取Q币。需要用户进行确认或者输入密码，具有很强的交互性。因此无法进行。

B.控制用户用户摄像头。因为开启摄像头，需要用户手动确认。因此无法进行。

C.劫持微信用户。因为微信登录会验证手机信息甚至短信验证，并且只能同时在一个设备上登录一个微信账号。因此无法进行。

D