安全测评考试试题及答案.pdfVIP

安全测评考试试题及答案

一、选择题（共20分，每题2分）

1.以下哪项不是安全测评的主要类型？

A.黑盒测试

B.白盒测试

C.灰盒测试

D.彩盒测试

答案：D.彩盒测试-安全测评的主要类型包括黑盒测试、白

盒测试和灰盒测试，没有彩盒测试这一类型。

2.根据《信息安全技术网络安全等级保护基本要求》，网络安全

等级保护分为几级？

A.3级

B.4级

C.5级

D.6级

答案：C.5级-根据《信息安全技术网络安全等级保护基本

要求》，网络安全等级保护分为一级到五级，共五级。

3.以下哪项不属于安全测评的基本流程？

A.测评准备阶段

B.测评实施阶段

C.测评报告阶段

D.测评维护阶段

答案：D.测评维护阶段-安全测评的基本流程通常包括测评

准备阶段、测评实施阶段和测评报告阶段，不包括测评维护阶段。

4.在安全测评中，OWASPTop10主要关注的是哪方面的安全问题？

A.网络安全

B.系统安全

C.应用安全

D.数据安全

答案：C.应用安全-OWASPTop10是关注Web应用安全风险

的权威列表。

5.以下哪项是安全测评中最常用的漏洞扫描工具？

A.Wireshark

B.Nmap

C.Nessus

D.Metasploit

答案：C.Nessus-Nessus是一款广泛使用的漏洞扫描工具，

而Wireshark是网络协议分析工具，Nmap是网络扫描工具，

Metasploit是渗透测试框架。

6.安全测评中，零日漏洞是指：

A.刚刚发现的漏洞

B.已经存在但未被公开的漏洞

C.已经修复的漏洞

D.不存在的漏洞

答案：B.已经存在但未被公开的漏洞-零日漏洞是指已经被

发现但尚未公开或未被厂商修复的安全漏洞。

7.在进行安全测评时，以下哪种测试方法不需要查看源代码？

A.白盒测试

B.黑盒测试

C.灰盒测试

D.静态代码分析

答案：B.黑盒测试-黑盒测试不查看系统内部结构和代码，

只从外部功能进行测试。

8.等保三级测评中，以下哪项控制措施属于安全计算环境？

A.边界防护

B.访问控制

C.安全审计

D.集中管控

答案：B.访问控制-访问控制属于安全计算环境的基本要求，

边界防护和安全审计属于区域边界，集中管控属于安全管理中心。

9.以下哪项不是安全测评报告的必要组成部分？

A.测评背景和目的

B.测评团队联系方式

C.发现的漏洞详情

D.整改建议

答案：B.测评团队联系方式-虽然报告中可能包含团队信息，

但联系方式不是必要组成部分，而测评背景目的、漏洞详情和整改建

议都是必要内容。

10.在安全测评中，社会工程学测试主要针对：

A.技术漏洞

B.管理漏洞

C.物理漏洞

D.网络漏洞

答案：B.管理漏洞-社会工程学测试主要针对人员和管理制

度中的漏洞，通过欺骗手段获取信息或权限。

二、判断题（共10分，每题1分）

1.安全测评的目的是发现系统中的所有安全漏洞。（）

答案：×-安全测评的目的是发现系统中的主要安全风险和漏

洞，而不是所有漏洞，因为完全发现所有漏洞在技术上是不可能的。

2.在进行安全测评前，必须获得被测系统所有者的书面授权。（）

答案：√-在进行任何安全测评前，必须获得被测系统所有者

的明确