信息安全基础知识题集

第一部分信息安全基础知识（673题）一、判断题防火墙的功能是防止网外未经授权以内网的访问。（）对入侵检测系统可以弥补企业安全防御系统中的安全缺陷和漏洞。（）错PKI（PublicKeyInfrastructure）体系定义了完整的身份认证、数字签名、权限管理标准。（）错更新操作系统厂商发布的核心安全补丁之前应当在正式系统中进行测试，并制订详细的回退方案。（）错发起大规模的DDOS攻击通常要控制大量的中间网络或系统。（）对应采取措施对信息外网办公计算机的互联网访问情况进行记录，记录要可追溯，并保存六个月以上。（）对入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击的实时防护。（）对IPS在IDS的基础上增加了防御功能，且部署方式也相同。（）错根据公安部信息系统实现等级保护的要求，信息系统的安全保护等级分为五级。（）对防火墙不能防止内部网络用户的攻击，传送已感染病毒的软件和文件、数据驱动型的攻击。（）对安全的口令，长度不得小于8位字符串，要求是字母和数字或特殊字符的混合，用户名和口令禁止相同。（）对涉及二级与三级系统间共用的网络设备、安全设备，采用“就低不就高”的原则，按二级要求进行防护。（）错隔离装置部属在应用服务器与数据库服务器之间，除具备网络强隔离、地址绑定、访问控制等功能外，还能够对SQL语句进行必要的解析与过滤，抵御SQL注入攻击。（）对安全域是具有相同或相近的安全需求、相互信任的区域或网络实体的集合，一个安全域可以被划分为安全子域。（）对公钥密码算法有效解决了对称密码算法的密钥分发问题，因此比对称密码算法更优秀。（）错安全加密技术分为两大类：对称加密技术和非对称加密技术。两者的主要区别是对称加密算法在加密、解密过程中使用同一个密钥：而非对称加密算法在加密、解密过程中使用两个不同的密钥。（）对ORACLE默认情况下，口令的传输方式是加密。（）错在ORACLE数据库安装补丁时，不需要关闭所有与数据库有关的服务。（）错在信息安全中，主体、客体及控制策略为访问控制三要素。（）对防火墙可以解决来自内部网络的攻击。（）错防火墙作为实现网络边界隔离的设备，其部署应以安全域划分及系统边界整合为前提，综合考虑边界风险的程度来设定。（）对在等级保护监管中，第二级信息系统的运营、使用单位应当依据国家有关管理规范和技术标准进行保护，国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督和检查。（）错针对各等级系统应具有的对抗能力和恢复能力，公安部给出了各等级的基本安全要求。基本安全要求包括了基本技术要求和基本管理要求，基本技术要求主要用于对抗威胁和实现技术能力，基本管理要求主要为安全技术实现提供组织、人员、程序等方面的保障。（）对国家电网公司管理信息大区中的内外网间使用的是逻辑强隔离装置，只允许一个方向的访问。（）对PDRR安全模型包括保护、检测、相应、恢复四个环节。（）对互联网出口必须向公司信息通信主管部门进行说明后方可使用。（）错在个人内网计算机上存放“秘密”标识的文件，这违反了严禁在信息内网计算机存储、处理国家秘密信息的规定。（）对最小特权、纵深防御是网络安全的原则之一。（）对根据国家电网公司信息内、外网隔离要求，不允许同一台终端同时连接到信息内网和互联网，在连接信息内网时须切断与因特网的连接，在连接因特网时须切断与信息内网的连接。（）错国家电网公司管理信息大区中的信息内、外网间使用的是正向隔离装置。（）错通过建立与网络信息安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。（）对信息系统的安全保护等级分为五级，第一级是指信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。（）对二、单选题在信息安全中，下列（）不是访问控制三要素。D

A、主体 B、客体 C、控制策略 D、安全设备下列（）不是信息安全CIA三要素。A

A、可靠性 B、机密性 C、完整性 D、可用性以下（）标准是信息安全管理国际标准。C

A、ISO9000-2000 B、SSE-CMM C、ISO27000 D、ISO15408软件开发者对要发布的软件进行数字签名，并不能保证（）C

A、软件的完整性 B、软件的来源可靠可信 C、软件的代码安全 D、软件的发布日期可信WINDOWS系统进行权限的控制属于（）A

A、自主访问控制 B、强制访问控制 C、基于角色的访问控制 D、流访问控制使用PGP安全邮件系统，不能保证发送信息的（）C

A、私密性 B、完整性 C、真实性 D、免抵赖性假设使用一种加密算法，它的加密方法很简单：将每一个字母加2，即a加密成c。这种算法的密钥就是2，那么它属于（）。A

A、对称加密技术 B、分组密码技术 C、公钥加密技术 D、单向函数密码技术A、更有效地阻止应用层攻击 B、工作在OSI模型的第七层

C、比较容易进行审计 D、速度快且对用户透明下列概念中，不能用于身份认证的手段是（）D

A、用户名和口令 B、虹膜 C、智能卡 D、限制地址和端口不属于信息安全与信息系统的“三个同步”的是（）A

A、同步管理 B、同步建设 C、同步规划 D、同步投入运行下列安全防护措施中不是应用系统需要的是（）C

A、禁止应用程序以操作系统ROOT权限运行

B、应用系统合理设置用户权限

C、用户口令可以以明文方式出现在程序及配置文件中

D、重要资源的访问与操作要求进行身份认证与审计我国规定商用密码产品的研发、制造、销售和使用采用专控管理，必须经过审批，所依据的是（）A

A、《商用密码管理条件》

B、《中华人民共和国计算机信息系统安全保护条例》

C、《计算机信息系统国际联网保密管理规定》

D、《中华人民共和国保密法》HTTPS是一种安全的HTTP协议，它使用（）来保证信息安全，使用（）来发送和接收报文B

A、SSH，UDP的443端口 B、SSL，TCP的443端口

C、SSL，UDP的443端口 D、SSH，TCP的443端口SSL协议中，会话密钥产生的方式是（）C

A、从密钥管理数据库中请求获得

B、每一台客户机分配一个密钥的方式

C、由客户机随机产生并加密后通知服务器

D、由服务器产生并分配给客户机（）加强了WLAN的安全性。它采用了802.1x的认证协议、改进的密钥分布架构和AES加密。A

A、802.11i B、802.11j C、802.11n D、802.11e在实现信息安全的目标中，信息安全技术和管理之间的关系以下说法不正确的是（）C

A、产品和技术，要通过管理的组织职能才能发挥最好的作用

B、技术不高但管理良好的系统远比技术高但管理混乱的系统安全

C、建设实施得当，信息安全技术可以解决所有信息安全问题

D、实现信息安全是一个密管理的过程，而并非仅仅是一个技术的过程信息安全风险管理应该（）C

A、将所有的信息安全风险都消除

B、在风险评估之前实施

C、基于可接受的成本采取相应的方法和措施

D、以上说法都不对下列不是信息安全的目标的是（）A

A、可靠性 B、完整性 C、机密性 D、可用性在许多组织机构中，产生总体安全性问题的主要原因是（）A

A、缺少安全性管理 B、缺少故障管理

C、缺少风险分析 D、缺少技术控制机制在信息系统安全中，风险由以下（）因素共同构成。C

A、攻击和脆弱性 B、威胁和攻击 C、威胁和脆弱性 D、威胁和破坏安全域实现方式以划分（）区域为主，明确边界以对各安全域分别防护，并且进行域间边界控制。A

A、逻辑 B、物理 C、网络 D、系统安全防护体系要求建立完善的两个机制是（）A

A、风险管理机制、应急管理机制 B、风险管理机制、报修管理机制

C、应急管理机制、报修管理机制 D、审批管理机制、报修管理机制（）是常用的哈希算法。B

A、3DES B、MD5 C、RSA D、AESDES算法属于加密技术中的（）A

A、对称加密 B、不对称加密 C、不可逆加密 D、以上都是加密技术不能实现（）B

A、数据信息的完整性 B、基于密码技术的身份认证

C、机密文件加密 D、数据信息的保密性一个可以对任意长度的报文进行加密和解密的加密算法称为（）D

A、链路加密 B、流量加密 C、端对端加密 D、流加密非对称算法是公开的，保密的只是（）B

A、数据 B、密钥 C、密码 D、口令DSA指的是（）A

A、数字签名算法 B、数字系统算法 C、数字签名协议 D、数字签名协议“公开密钥密码体制”的含义是（）C

A、将所有密钥公开 B、将私有密钥公开，公开密钥保密

C、将公开密钥公开，私有密钥保密 D、两个密钥相同（）技术不能保护终端的安全。A

A、防止非法外联 B、防病毒 C、补丁管理 D、漏洞扫描物理安全防护要求中“电源线和通信缙绅隔离铺设，避免互相干扰，并对关键设备和磁介质实施电磁屏蔽”，其主要目的是保证系统的（）B

A、可用性 B、保密性 C、完整性 D、抗抵赖性HTTPS是一种安全HTTP协议，它使用（）来保证信息安全，使用（）来发送和接受报文。B（此题删除）

A、SSL，IPSec B、IPSec ，SSL C、IPSec ，SET D、IPSec ，SSH攻击者截获并记录了从A到B的数据，然后又从早些时候所截获的数据中提取出信息重新发往B称为（）D

A、中间人攻击 B、强力攻击 C、口令猜测器和字 D、重放攻击仅设立防火墙系统，而没有（），防火墙就形同虚设。C

A、管理员 B、安全操作系统 C、安全策略 D、防毒系统分布式拒绝服务攻击的简称是（）A

A、DDOS B、DROS C、LAND D、SDOS逻辑强隔离装置采用代理模式，也称为（）A

A、SQL代理 B、TNS代理 C、ORACLE代理 D、OCI代理（）加密算法属于公钥密码算法。B

A、AES B、RSA C、DES D、IDEA下列（）不属于防止口令猜测的措施。B

A、限制密码尝试次数 B、使用隐藏符显示输入的口令

C、防止用户使用太短的口令 D、增加验证码容易受到会话劫持攻击的是（）B

A、HTTPS B、TELNET C、SFTP D、SSH下列用户口令安全性最高的是（）C

A、Zhangsan1980 B、19801212 C、Zhang!san10b D、Zhangsan980下列（）不是逻辑隔离装置的主要功能。D

A、网络隔离 B、SQL过滤 C、地址绑定 D、数据完整性检测完整的安全移动存储介质管理系统由三部分组成，（）不是组成部分B

A、服务器 B、移动存储设备 C、控制台 D、客户端下列情景中，（）属于身份验证过程。A

A、用户依照系统提示输入用户名和密码

B、用户在网络上共享了自己编写的一份OFFICE文档，并设定哪些用户可以阅读，哪些用户可以修改

C、用户使用加密软件对自己编写的OFFICE文档进行加密，以阻止其他人得到这份拷贝后看到文档中的内容

D、某个人尝试登录到你的计算机中，但是口令输入的不对，系统提示口令错误，并将这次失败的登录过程记录在系统日志中入侵检测系统提供的基本服务功能包括（）B

A、异常检测和入侵检测 B、异常检测、入侵检测和攻击告警

C、入侵检测和攻击告警 D、异常检测和攻击告警DOS攻击不会破坏的是（）B

A、合法用户的使用 B、账户的授权

C、服务器的处理器资源 D、网络设备的带宽资源与其化安全手段相比，蜜罐系统的独特之处在于（）C

A、对被保护的系统的干扰小 B、能够对攻击者进行反击

C、能够搜集到攻击流量 D、能够离线工作HTTP\FTP\SMTP建立在OSI模型的（）D

A、2层—数据链路 B、3层—网络

C、4层—传输 D、7层—应用信息系统账号要定期清理，时间间隔不得超过（）个月。A

A、3 B、4 C、5 D、6某员工离职，其原有账号应（）C

A、暂作保留 B、立即信用 C、及时清理 D、不做处理一般来说，网络安全中人是最薄弱的一环，也是最难管理的一环，作为安全管理人员，（）能够提升人员安全意识。D

A、做好安全策略 B、教员工认识网络设备 C、设置双重异构防火墙

D、定期组织企业内部的全员信息安全意识强化培训信息安全管理领域权威的标准是（）C

A、ISO15408 B、ISO9001 C、ISO27001 D、ISO14001网络安全最终是一个折中的方案，即安全强度和安全操作的折中，除增加安全设施投资外，还应考虑（）D

A、用户的方便性 B、管理的复杂性

C、对现有系统的影响及不同平台的支持 D、以上三项都是关于信息内网网络边界安全防护说法不准确的是（）。B

A、要按照公司总体防护方案要求进行

B、纵向边界的网络访问可以不进行控制

C、应加强信息内网网络横向边界的安全防护

D、要加强上、下级单位和同级单位信息内网网络边界的安全防护安全等级是国这信息安全监督管理部门对计算机信息系统（）的确认。C

A、规模 B、安全保护能力 C、重要性 D、网络结构建立信息安全管理体系时，首先应（）B

A、建立安全管理组织 B、建立信息安全方针和目标

C、风险评估 D、制订安全策略隔离装置主要通过（）实现立体访问控制。D

A、捕获网络报文进行分析、存储和转发

B、捕获网络报文进行分析、存储和转发

C、捕获网络报文进行分析、算法加密和转发

D、捕获网络报文进行分析、过滤和转发网络扫描器不可能发现的是（）B

A、用户的弱口令 B、用户的键盘动作

C、系统的服务类型 D、系统的版本移动存储介质按需求可以划分为（）。A

A、交换区和保密区 B、验证区和保密区

C、交换区和数据区 D、数据区和验证区关于WINDOWS用户口令的有效期，下列描述正确的是（）B

A、超过有效期后系统会自动废止当前的用户口令，用户必须重新向管理员申请口令

B、即使设置了有效期，在有效期之内和之外，用户依然可以随意更改口令

C、系统只允许每个用户设置自己口令的有效期

D、可以在计算机管理中设置口令的有效期下面情景（）属于授权。C

A、用户依照系统提示输入用户名和口令

B、用户使用加密软件对自己编写的OFFICE文档进行加密，以阻止其他人得到这份拷贝后提到文档中的内容

C、用户在网络上共享了自己编写的一份OFFICE文档，并设定哪些用户可以阅读，哪些用户可以修改

D、某个人尝试登录到你的计算机中，但是口令输入的不对，系统提示口令错误，并将这次失败的登录过程记录在系统日志中（）不包含在信息安全AAA中。B

A、Authentication(认证) B、Access(接入)

C、Authorization(授权) D、Accounting(计费)（）通信协议不是加密传输的。B

A、SFTP B、TFTP C、SSH D、HTTPS802.1X是基于（）的一项安全技术B

A、IP地址 B、物理端口 C、应用类型 D、物理地址属于SNMP、TELNET、FTP共性的安全问题是（）B

A、主要的服务守护进程存在严重的系统漏洞

B、明文传输特性

C、在建立连接过程中，缺少认证手段

D、都可以匿名连接利用TCP连接三次握手弱点进行攻击的方式是（）A

A、SYNFloodB、嗅探 C、会话劫持 D、以上都是下列不属于DOS攻击的是（）D

A、Smurf攻击 B、PingOfDeath

C、Land攻击 D、TFN攻击ARP欺骗可以对局域网用户产生（）威胁。D

A、挂马 B、局域网网络中断 C、中间人攻击 D、以上均是仅设立防火墙系统，而没有（）防火墙就形同虚设。C

A、管理员 B、安全操作系统 C、安全策略 D、防毒系统通过防火墙或交换机防止病毒攻击端口，下列不应该关闭的端口是A

A、22 B、445 C、1434 D、135 加密技术不能实现（）D

A、数据信息的完整性 B、基于密码技术的身份认证

C、机密文件加密 D、基于IP头信息的包过滤以下关于“最小特权”安全管理原则理解正确的是（）C

A、组织机构内的敏感岗位不能由一个人长期负责

B、对重要的工作进行分解，分给不同人员完成

C、一个人有且仅有其执行岗位所足够的许可和权限

D、防止员工由一个岗位变动到另一岗位，累积越来越多的权限当员工或外单位的工作人员离开组织或岗位变化时，下列不属于必要的管理程序的是（）D

A、明确此人不再具有以前的职责

B、确保归还应当归还宾资产

C、确保属于以前职责的访问权限被撤销

D、安全管理员陪同此人离开工作场所在数据库向因特网开放前，下列步骤（）是可能忽略的。B

A、安全安装和配置操作系统和数据库系统

B、应用系统应该在内网试运行3个月

C、对应用软件如WEB页面、ASP脚本等进行安全性检查

D、网络安全策略已经生效公钥加密与传统加密体制的主要区别是（）D

A、加密强度高 B、密钥管理方便 C、密钥长度大

D、使用一个公共密钥用来对数据进行加密，而一个私有密钥用来对数据进行解密数据加密标准DES是一种分组密码，将明文分成大小（）位的块进行加密，密钥长度为（）位D

A、128，32 B、128，56 C、64，32 D、64，56三重DES是一种加强了的DES加密算法，它的有效密钥长度是DES算法的（）倍。B

A、2 B、3 C、4 D、5DES的解密和加密使用相同的算法，只是将（）的使用次序反过来C

A、密码 B、密文 C、子密钥 D、密钥PKI的全称是（）D

A、PrivateKeyIntrusion B、PublicKeyIntrusion

C、PrivateKeyInfrastructure D、PublicKeyInfrastructure目前，安全认证系统主要采用基本（）的数字证书来实现。A

A、PKI B、KMI C、VPN D、IDS数字证书是在（）国际标准中定义的D

A、X.400 B、X.25 C、X.12 D、X.509基本密码技术的（）是防止数据传输泄密的主要防护手段。C

A、连接控制 B、访问控制 C、传输控制 D、保护控制用于实现身份鉴别的安全机制是（）A

A、加密机制和数字签名机制 B、加密机制和访问控制机制

C、数字签名机制和路由控制机制 D、访问控制机制和路由控制机制加密、认证实施中首要解决的问题是（）C

A、信息的包装与用户授权 B、信息的分布与用户的分级

C、信息的分级与用户的分类 D、信息的包装与用户的分级网页挂马是指（）A

A、攻击者通过在正常的页面中（通常是网站的主页）插入一段代码。浏览者在打开该页面的时候，这段代码被执行，然后下载并运行某木马的服务器端程序，进而控制浏览者的主机

B、黑客们利用人们的猎奇、贪心等心理伪装构造一个链接或者一个网页，利用社会工程学欺骗方法，引诱点击，当用户打开一个看似正常的页面时，网页代码随之运行，隐蔽性极高

C、把木马服务端和某个游戏/软件捆绑成一个文件通过QQ/MSN或邮件发给别人，或者通过制作BT木马种子进行快速扩散

D、与从互联网上下载的免费游戏软件进行捆绑。被激活后，它就会将自己复制到WINDOWS的系统文件夹中，并向注册表添加键值，保证它在启动时被执行三、多选题数字证书含有的信息包括（）。ABD

A、用户的名称 B、用户的公钥 C、用户的私钥 D、证书有效期OSI安全体系为异构计算机的进程与进程之间的通信安全性，定义了五类安全服务，以下属于这五类安全服务的是（）ABCD

A、机密性 B、完整性 C、鉴别 D、防抵赖下列关于入侵检测说法正确的是（）BCD

A、能够精确检测所有入侵事件

B、可判断应用层的入侵事情

C、可以识别来自本网段、其他网段、以及外部网络的攻击

D、通常部署于防火墙之后下列属于病毒检测方法的是（）ABCD

A、特征代码法 B、校验和法 C、行为检测法 D、软件模拟法防范IP欺骗的技术包括（）AC

A、反查路径RPF，即针对报文源IP反查路由表

B、针对报文的目的IP查找路由表

C、IP与MAC绑定

D、部署入侵检测系统降低计算机病毒的影响范围就必须有效的控制计算机病毒的传播途径，下列属于计算机病毒传播途径的是（）ABCD

A、通过文件共享传播 B、通过电子邮件传播

C、通过WEB网页传播 D、通过系统漏洞传播下列属于数据备份常用方式的是（）ABC

A、完全备份 B、差异备份 C、增量备份 D、临时备份下列关于防火墙主要功能的说法正确的是（）AB

A、能够对进出网络的数据包进行检测与筛选

B、过滤掉不安全的服务和非法用户

C、能够完全防止用户传送已感染病毒的软件或者文件

D、能够防范数据驱动型的攻击外网邮件用户的密码要求为（）ABC

A、首次登录外网邮件系统后应立即更改初始密码

B、密码长度不得小于八位

C、密码必须包含字母和数字

D、外网邮件用户应每6个月更改一次密码在配置信息内外网逻辑强隔离装置时，以下（）是必需的步骤ABC

A、配置数据库信息 B、配置应用信息

C、配置策略关联 D、重新启动设备下列情况违反“五禁止”的包括（）ABCD

A、在信息内网计算机上存储国家秘密信息

B、在信息外网计算机上存储企业秘密信息

C、在信息内网和信息外网计算机上交叉使用普通U盘

D、在信息内网和信息外网计算机上交叉使用普通扫描仪VPN技术采用的主要协议包括（）ABD

A、IPSec B、PPTP C、WEP D、L2TP逻辑强隔离装置部署在应用服务器与数据库服务器之间，实现（）功能ABCD

A、访问控制 B、网络强隔离 C、地址绑定 D、防SQL注入攻击下列情况（）会给公司带来安全隐患ABCD

A、外部技术支持人员私自接入信息内网

B、使用无线键盘处理涉案及敏感信息

C、某业务系统数据库审计功能未开启

D、为方便将开发测试环境和业务系统运行环境置于同一机房WINDOWS日志文件包括（）ABC

A、应用程序日志 B、安全日志 C、系统日志 D、账户日志ISS安全事件的分级主要考虑（）、（）、（）三个要素ABC

A、信息系统的重要程度 B、系统损失

C、社会影响 D、国家安全下列说法属于等级保护三级备份和恢复要求的是（）ABC

A、能够对重要数据进行备份和恢复

B、能够提供设备和通信线路的硬件冗余

C、提出数据的异地备份和防止关键节点单点故障的要求

D、要求能够实现异地的数据实时备份和业务应用的实时无缝切换外网邮件用户的密码要求为（）BCD

A、外网邮件用户应每6个月更换一次密码

B、首次登录外网邮件系统后应立即更改初始密码

C、密码长度不得小于八位

D、密码必须包含字母和数字SQL注入攻击有可能产生（）危害ABCD

A、网页被挂木马 B、恶意篡改网页内容

C、未经授权状况下操作数据库中的数据 D、私自添加系统账号风险评估的内容包括（）ABCD

A、识别网络和信息系统等信息资产的价值

B、发现信息资产在技术、管理等方面存在的脆弱性、威胁

C、评估威胁发生概率、安全事件影响，计算安全风险

D、有针对性地提出改进措施、技术方案和管理要求以下加密算法中，（）已经被破解ABC

A、LanManager散列算法 B、WEP C、MD5 D、WPA2以下关于对称密钥加密的说法正确的是（）BCD

A、对称加密算法的密钥易于管理

B、加解密双方使用同样的密钥

C、DES算法属于对称加密算法

D、相对于非对称加密算法，加解密处理速度比较快相对于对称加密算法，非对称密钥加密算法（）ACD

A、加密数据的速率较低

B、更适合于现有网络中以所传输数据（明文）的加解密处理

C、安全性更好

D、加密和解密的密钥不同防火墙的缺陷主要有（）ABCD

A、限制有用的网络服务

B、无法防护内部网络用户的攻击

C、不能防备新的网络安全问题

D、不能完全防止传送已感染病毒的软件或文件IPSEC的工作模式是（）AB

A、传输模式 B、隧道模式 C、穿越模式 D、嵌套模式关于“云安全”技术，下列描述中（）是正确的ABD

A、“云安全”技术是应对病毒流行和发展趋势的有效和必然选择

B、“云安全”技术是“云计算”在安全领域的应用

C、“云安全”将安全防护转移到了“云”，所以不需要用户的参与

D、WEB信誉服务是“云安全”技术应用的一种形式“网络钓鱼”的主要技术包括（）ABC

A、发送电子邮件，以虚假信息引诱用户中圈套

B、建立假冒网站，骗取用户账号密码实施盗窃

C、利用虚假的电子商务进行诈骗

D、利用木马和黑客技术等手段窃取用户信息后实施盗窃活动计算机网络系统设备安全应采取（）为主要手段ABC

A、计算机网络系统设备的安全管理和维护

B、信息存储媒体的管理

C、计算机网络系统设备的电磁兼容技术

D、通信线路防窃听技术属于安全闭环组成部分的是（）ABCD

A、检测 B、响应 C、防护 D、预警信息安全是个攻守不平衡的博弈，为避免信息安全事件的发生应该（）ABCD

A、定期进行漏洞扫描 B、定期进行风险评估

C、及时给系统打补丁 D、加强信息安全管理信息安全的CIA模型指的是（）三个信息安全中心目标ABC

A、保密性 B、完整性 C、可用性 D、可按性信息安全漏洞主要表现在（）ABCD

A、非法用户得以获得访问权

B、系统存在安全方面的脆弱性

C、合法用户未经授权提高访问权限

D、系统易受来自各方面的攻击加密的强度主要取决于（）ABD

A、算法的强度 B、密钥的保密性 C、明文的长度 D、密钥的强度第二部分公司信息安全管理要求一、判断题1．《国家电网公司信息系统口令管理暂行规定》规定不同权限人员应严格保管、保密各自职责的口令，严格限定使用范围，不得向非相关人员泄露，允许多人共同使用一个账户和口令。()答案：错解析：原则不允许多人共同使用一个账号和口令。2．《国家电网公司信息系统口令管理暂行规定》规定软件开发商在开发应用软件期间，应充分考虑应用软件的安全设计，设计应保证用户名和口令不以明文的形式存放在配置文件、注册表或数据库中。()答案：对3．《国家电网公司信息系统口令管理暂行规定》规定用户因职责变动，而不需要使用其原有职责的信息资源，必须移交全部技术资料，明确其离岗后的保密义务，并立即更换有关口令和密钥，继续将其专用账户移交给他人使用。()答案：错解析：必须注销其专用账户。4．《国家电网公司信息系统口令管理暂行规定》规定信息系统使用人员要妥善保管系统的账号密码，做到密码定期更换，对于密码遗失，要及时联系修改。()答案：对解析：重点做好口令密码的保管。5．除非提供公共信息访问，应用系统不应该内置匿名账户，也不允许匿名用户的登录。()答案：对6．应用软件应该提供给审核管理员用户一个产生和修改用户授权的管理工具，并且保证在每次产生或修改权限后不需要重启系统就能立即生效。()答案：错解析：应该提供给系统管理员。7.应用软件使用中，应该保证审核管理员账号(角色)与系统管理员账号(角色)不能为同一人。()答案：对8.应用软件应该能够根据业务特性，设置权限互斥的原则，保证用户、权限合理对应关系，避免任何可能产生安全问题的权限分配方式或结果。()答案：对9.《国家电网公司信息化建设管理办法》中的“信息化保障体系”包含信息安全防护体系、标准规范体系、管理调控体系、评价考核体系、技术研究体系和人才队伍体系等内容。()答案；对10．各单位各自制定企业信息化业务架构、应用架构、数据架构、技术架构(含安全架构)，对企业信息化建设实行总体架构管控。()答案：错解析：公司总部统一制定企业信息化业务架构、应用架构、数据架构、技术架构(含安全架构)，对企业信息化建设实行总体架构管控。11．信息化项目建设要严格执行有关信息安全及保密管理规定。坚持信息安全是信息化项目有机组成部分的原则，按照信息安全措施与信息化项目同步规划、同步建设和同步投入运行的要求，切实落实信息化项目中安全措施建设工作。()答案：对12．系统上线指信息系统在生产环境部署并提供给用户实际使用，主要是指上线正式运行阶段。()答案：错解析：包括上线试运行和上线正式运行两个阶段。13.《国家电网公司信息系统上下线管理方法》中规定信息系统在上线试运行测试完成前，不对外提供服务。()答案：对14.《国家电网公司信息系统上下线管理方法》中规定系统下线后，运行维护单位应根据业务主管部门的要求对应用程序和数据进行销毁。()答案：错解析：运行维护单位应根据业务主管部门的要求对应用程序和数据进行备份及迁移工作。备份数据保存时间由业务主管部门确定。15.信息系统由大的变动或升级引起版本变更，应一次递增副版本号。信息系统有小的变动时，应依次递增补丁号。()答案：错解析：信息系统由大的变动或升级引起版本变更，应依次递增主版本号。信息系统有小的变动时，应依次递增副版本号。信息系统由缺陷修复引起版本变更，应依次递增补丁号。16.自开发平台类系统新版本开发测试完成后向测评部门提出第三方测评需求时，不需要同时提供业务应用新版本变更说明书。()答案：错解析：应同时提供业务应用新版本变更说明书。17.《国家电网公司信息系统版布管理方法》中的版本发布管理规定为了保证信息系统安全稳定运行，每个系统升级次数不能过于频繁，原则上每个月不能超过一次。()答案：对18．《国家电网公司信息系统版本管理方法》中的版本运行管理中规定版本变更后，各单位运行维护部门需跟踪新版本的使用情况，及时将使用中出现的问题或缺陷提交研发单位并抄送国网公司信通部，由研发单位对问题进行验证、确认。()答案：错解析：提交研发单位并抄送国网信通公司。19.应用软件正式投入运行后，应指定专人对应用软件进行管理，删除或者禁用不使用的系统缺省账户，更改缺省口令。()答案：对20应用软件的安全设计和实现应该具有共享性，能依赖当前基础主机环境提供的安全机制来确保应用本身和它的数据不受到破坏或拒绝服务。()答案：错解析：应用软件的安全设计和实现应该具有独立性，不能完全依赖当前基础主机环境提供的安全机制来确保应用本身和它的数据不受到破坏或拒绝服务。21．对外包开发的软件要执行全面的安全性测试，关键程序应检查源代码以有效地防止和杜绝条件触发的、内嵌的、潜在不安全程序的存存。()答案；对22．应用软件可以允许多个客户端用户同时执行互斥的操作。()答案：错解析：应用软件应该禁止多个客户端用户同时执行互斥的操作。23.SG-UAP的全称是公司应用系统统一开发平台。()答案：对24.SG-UAP技术服务实行两级模式，即核心技术服务和一线技术服务。()答案：对25.信息系统非功能性需求是指除业务功能需求之外，从便于系统运行维护、提高用户体验、确保系统安全与稳定等方面对系统开发提出的要求。()答案：对26.系统使用的系统账号(运行环境中的)应该有尽可能低的权限。不得使用“Administrator”，“root”，“sa”，“sysman”，“Supervisor’’或其他所有的特权用户运行应用程序或连接到网站服务器、数据库或中间件。()答案：对27．审计日志应至少包含以下内容：用户ID或引起这个事件的处理程序ID事件的日期、时间(时间戳)、事件类型、事件内容、事件是否成功，请求的来源、用户敏感信息。（)答案：错解析：不能包含用户敏感信息。28.信息外网计算机是公司资产且信息外网台式机部署的物理位置可控，因此信息外网台式计算机可以处理公司的企业秘密信息。()答案：错解析：严禁将涉及国家秘密的计算机、存储设备与信息内、外网和其他公共信息网络连接，严禁在信息内网计算机存储、处理国家秘密信息，严禁在连接互联网的计算机上处理、存储涉及国家秘密和企业秘密信息。29.因为某员工离职，因此可以将该员工的信息内网办公计算机不做处理直接给其他员工进行使用。答案：错解析：信息内网办公计算机及外部设备和存储设备在变更用途，或不再用于处理信息内网信息或不再使用，或需要数据恢复时，要报计算机运行维护部门，由运行维护部门负责采取安全可靠的手段恢复、销毁和擦除存储部件中的信息，禁止通过外部单位进行数据恢复、销毁和擦除工作。30．信息内网是相对安全的，因此没有必要定期开展病毒更新、补丁更新等工作。()答案：错31.国家电网公司管理信息系统安全防护策略是双网双机、分区防护、综合治理、多层防御。()答案：错解析：国家电网公司管理信息系统安全防护策略是双网双机、分区分域、等级防护、多层防御。32．“SGl86工程”中的“6”，是建立健全六个信息化保障体系，分别是信息化安全防护体系、标准规范体系，管理调控体系、评价考核体系、技术研究体系和人才队伍体系。()答案：对二、单选题1．《国家电网公司信息系统安全管理办法》中明确定义：()是本单位网络与信息安全第一责任人，各单位信息化领导小组负责本单位网络与信息安全重大事项的决策和协调。()A．各单位主要负责人B．信息部门领导C.信息安全专责D．信息系统用户答案：A2．《国家电网公司信息系统安全管理办法》关于加强网络安全技术工作中要求，对重要网段要采取()技术措施。网络层地址与数据链路层地址绑定B．限制网络最大流量数及网络连接数c．强制性统一身份认证D.必要的安全隔离答案：A3.《国家电网公司信息系统安全管理办法》规定：信息系统安全防护措施应按照“三同步”原则，与信息系统建设同步规划、同步()、同步投入运行。A建设B批准C施工D安装答案：A4《国家电网公司信息系统口令管理暂行规定》规定口令创建时必须具有一定强度、长度和复杂度，长度不得小于()字符串。A5位B．6位C．7位D8位答案：D解析；长度不得小于8位字符串。5《国家电网公司信息系统口令管理暂行规定》规定口令要及时更新，要建立定期修改制度，其中系统管理员口令修改间隔不得超过()个月，并且不得重复使用前()次以内的口令。A．3，3B.3，4C.4，4D.2，3答案：A解析：修改间隔不得超过3个月，不得重复使用前3次以内的口令。6．《国家电网公司信息系统口令管理暂行规定》规定用户登录事件要有记录和审计，同时限制同一用户连续失败登录次数，一般不得超过()次。A．2B3C4D5答案：B解析：连续失败次数，一般不得超过3次。7．下列()不属于防止口令猜测的措施。A．限制密码尝试次数B．使用隐藏符显示输入的口令C．防止用户使用太短的口令D．增加验证码答案：B8．《关于进一步加强公司信息系统账号权限及访问控制管理的通知》规定在账号权限及访问控制管理等核心信息系统运维工作方面，严格遵守“三到位”原则，即()。A．建设到位、安全控制到位、主业人员到位B．管理到位、安全控制到位、主业人员到位C．建设到位、风险控制到位、从业人员到位D．建设到位、风险控制到位、主业人员到位答案：D9根据《国家电网公司信息安全风险评估实施细则(试行)》，在风险评估中，资产评估包含信息资产()、资产赋值等内容。A．识别B．安全要求识别C．安全D．实体答案：A10．《国家电网公司应用软件通用安全要求》规定了应用软件的用户分类管理，下列关于应用软件的角色说法错误的是。()A．应用软件应该将系统的管理权限(包括用户管理、权限管理、配置定制)单独赋予系统管理员账号(角色)，这类账号(角色)仅负责进行系统级的管理，不具备任何业务操作的权限B．安全管理员账号对系统中所有的安全功能进行管理或监视，以监督和查证系统管理员、业务员正常行使权限C．应用软件使用中，安全管理员账号与系统管理员账号能为同一人D．审核管理员账号对关键的系统管理和特殊要求的、业务操作行为实施不可绕行的审批，没有经过审批的操作将不能生效答案：C解析：应用软件使用中，安全管理员账号与系统管理员账号不能为同一人。11．下列关于实现账号权限在管理者、使用者、监督者三类角色间实现相互制衡的说法错误的是()。A．审计员账号仅能监控其他各类用户的操作轨迹及系统日志B．管理员账号仅能配置不涉及业务数据及系统功能的普通用户的角色及权限C．审核员账号仅能对管理员账号进行相关操作的复核和批准D．普通用户仅能使用已授权系统功能，操作未授权的业务数据答案：D解析：普通用户仅能使用已授权系统功能，操作已授权的业务数据。12.下列关于信息化项目设计管理的说法错误的是()。A．公司总部统一制定信息化标准体系，统一制订全公司信息标准编制计划。各单位必须严格按照公司确定的信息化标准体系和标准编制计划开展相关工作B．公司信息化建设要严格遵循公司总部统一组织制定的企业信息化架构及信息标准C．国网信通部负责组织总部项目和统一组织建设项目，以及各单位信息化项目的设计方案评审D．信息化项目的设计方案可委托有相应资质的规划设计单位编写。业务应用信息化项目设计方案要以业务需求为依据答案：C解析：国网信通部负责组织总部项目和统一组织建设项目的设计方案评审；各单位信息化职能管理部门负责组织各单位信息化项目的设计方案评审。13.信息化项目建设完成后，应遵循()原则，由信息运行维护部门统一负责系统的运行维护工作。A．主业化、标准化、专业化B．主业化、规范化、标准化C．主业化、集中化、规范化D．主业化、集中化、专业化答案：D14．下列关于信息化项目建设管理的说法错误的是()。A．信息化项目原则上实行招投标制B．对于业务应用相关的信息化项目，由相关业务部门和信息化职能管理部门共同配合招投标管理部门，开展招投标工作C．信息化项目建设应建立项目组织机构，建立和执行信息化项目建设协调会议制度D．信息化项目建设完成后，由项目承建单位提交试运行申请。信息化职能管理部门会同相关业务部门、项目承建单位进行充分的功能、技术(含标准符合度和软硬件兼容性等)、安全出厂及用户测试，测试通过后才能上线运行答案：D解析：测试通过后才能上线试运行。15.《国家电网公司信息化建设管理办法》规定为了确保建成一体化企业级信息系统，公司信息化建设必须贯彻落实“四统一”原则，即()。A．统一领导、统一规划、统一建设、统一组织维护B．统一领导、统一设计、统一建设、统一组织实施C．统一领导、统一规划、统一标准、统一组织实施D．统一领导、统一设计、统一标准、统一组织实施答案：c16．下列不是系统申请上线试运行必须满足的条件的是()。A．系统建设开发单位完成各个层次重点用户的培训工作，包括系统最终用户和运行维护单位有关人员的培训工作B．系统文档资料齐全．符合有关标准C．系统建设开发单位、运行维护单位共同检查系统的安装环境，确认满足安装所需的服务器、网络、电源等环境保障条件D．系统建设开发单位对系统进行严格的测试，包括系统的功能实现、性能、可用性、兼容性、集成性方面，并形成测试报告答案：D解析：测试需要包括系统的安全性。17《国家电网公司信息系统上下线管理方法》中规定信息化管理部门和业务主管部门共同确定系统上线试运行开始时间和上线试运行的期限，原则上上线试运行期为()个月，具体可根据系统的复杂程度不同，按照能够全面检验系统运行质量的原则确定合理的运行时间或实际发生业务数量。A1B．2C．3D．4答案：c18．《国家电网公司信息系统上下线管理方法》中规定上线试运行的初期安排一定时间的观察期，观察期原则上不短于上线试运行期的1／3，一般为()个月。A1B．2C3D．4答案：A19．下列关于系统上线正式运行的说法正确的是()。A．过上线试运行验收后，系统完成建转运工作，该信息系统即为正式在运信息系统B．运行维护单位负责系统的日常运行维护，除保证系统所需网络和软硬件环境正常外，还应对系统应用情况进行实时监控，做好应用统计，保证系统安全、可靠和稳定运行C．建设开发单位需按合同规定指定专人负责配合运行维护单位开展系统的售后服务和技术支持工作，由运行维护单位具体负责系统的程序代码维护D为保障系统安全，在根据需要安排建设开发单位人员进行维护操作时，运行维护单位应安排专人进行监护。维护操作完成后，运行维护单位应及时收回临时分配出的所有权限答案：C解析：《国家电网公司信息系统上下线管理方法》规定，建设开发单位需按合同规定指定专人负责配合运行维护单位开展系统的售后服务和技术支持工作，并具体负责系统的程序代码维护。20．《国家电网公司信息系统版本管理方法》中版本标识管理规定为保证版本有序传递，应建立统一的版本标识，具体的版本标识是()。A<系统代码>一<版本号>一[补丁号]一[各单位编号]B<系统代码>一[补丁号]一[各单位编号]C<<系统代码>一<版本号>一[各单位编号]一[补丁号]D<系统代码>一<版本号>一[补丁号]答案：A21．《国家电网公司信息系统版本管理方法》中版本标识管理规定信息系统上线试运行试发布的初始版本号应为()。A．V1.0B．V0.0C．V1.000D．V1.1答案：C22下列关于《国家电网公司信息系统版本管理方法》中的版本计划管理说法错误的是()。A．版本升级计划作为版本测试、发布的必要依据，由总部定期发布B．研发单位在系统首次上线时，经过系统运行一段时间后，应提交版本升级策略和整体计划C．自开发平台类系统研发厂商应根据应用需求和自身版本规划及时制订半年度版本升级计划，于每年5月30日和11月30日前报国网信通部D．国网信通部每年组织评估、审核后，于每年12月30日前下发第三方平台类系统版本次年升级计划答案：B解析：研发单位在系统首次上线时，应提交版本升级策略和整体计划。23．《国家电网公司应用软件通用安全要求》中指出信息系统的安全目标体现在()方面。A．机密性保障、安全性保障、可用性保障和可控性保障B．机密性保障、完整性保障、保密性保障和可控性保障C．机密性保障、安全性保障、保密性保障和可控性保障D．机密性保障、完整性保障、可用性保障和可控性保障答案：D24．下列关于《国家电网公司应用软件通用安全要求》中密码技术的说法错误的是()。A．应用软件中选择的密码算法在强度上应该等于或大于公司规定和用户提出的安全强度要求B．应用软件需要在密钥生成、存储、分配、销毁的整个生命周期中对其实施保护，确保密钥明文不能被其他进程、程序和应用中非相关组件访问到C．应用软件应该确保能够对系统中使用的证书进行正确鉴别，而且不会接受或继续使用非法的或者无效的证书D．应用软件中可以直接选择MD5作为密码算法答案：D解析：MD5是公认的不安全的加密算法。25．下列关于应用软件在运维和废弃阶段安全管理错误的是()。A．应根据业务需求和安全分析确定应用软件的访问控制策略，用于控制分配数据、信息、文件及服务的访问权限B．应对应用软件账户进行分类管理，权限设定应当遵循最方便使用授权要求C．应用软件废弃时，应确保系统中的所有数据被有效转移或可靠销毁，并确保系统更新过程是在一个安全、系统化的状态下完成D．应用软件正式投入运行后，应指定专人对应用软件进行管理。删除或者禁用不使用的系统默认账户，更改默认口令答案：B解析：应用软件正式投入运行后，应指定专人对应用软件进行管理，删除或者禁用不使用的系统默认账户更改默认口令。26《国家电网公司应用软件通用安全要求》规定，应用软件部署后，下列()是可以存在的用户或口令。A．实施过程中使用的临时用户B．隐藏用户和匿名用户 C．管理员的初始默认口令D．管理员分发给用户并经用户修改过的口令答案：D27．下列不属于SG—UAP技术服务工作范围的是()。A．技术咨询B．辅助编码C．培训考核D．运维支撑答案：B28．下列说法错误的是()。A．禁止明文传输用户登录信息及身份凭证B．应采用SSL加密隧道确保用户密码的传输安全C．禁止在数据库或文件系统中明文存储用户密码D．可将用户名和密码保存在Cookie中答案：D解析：禁止在Cookie中保存用户密码。29．《国家电网公司信息系统非功能性需求规范(试行)》中『规定系统密码策略应满足公司有关规范：密码长度不得低于()位，上限不得高于()位；必须支持数字及字母搭配组合。A6，17B．7，18C．8，20D．9，21答案：C30《国家电网公司信息系统非功能性需求规范(试行)》中规定对于重要系统，应图形验证码来增强身份认证安全；图形验证码要求长度至少()位，随机生成且包含字母与数字的组合，经过一定的噪点和扭曲干扰，能够抵抗工具的自动识别但同时不影响用户的正常使用。A3B．4C5D．6答案：B31．《国家电网公司信息系统非功能性需求规范(试行)》中规定的接口方式安全要求，下列说法错误的是()。A．系统互联应仅通过接口设备(前置机、接口机、通信服务器、应用服务器等设备)进行，特殊情况下可以直接访问核心数据库B．接口设备上的应用只能包含实现系统互联所必需的业务功能，不包含信息系统的所有功能C．禁止明文传输，传输的敏感数据必须经过加密，可以采用加密传输协议，如HTTPS，对于密码、密钥必须在传输先进行加密D．各种收发数据、消息的日志都应予以保存，以备审计与核对答案：A32．国家电网公司办公计算机信息安全和保密管理遵循()的基本原则。A．涉密不上网、上网不涉密B．双网双机、分区分域、等级防护、多层防御C．业务工作谁主管，保密工作谁负责D．严禁在信息外网处理涉及国家秘密的信息答案：A解析：国家电网公司办公计算机信息安全和保密管理遵循“涉密不上网、上网不涉密”的原则。33．下列信息中()不是公司商秘文件应标注的内容。A．密级B．保密期限c．知悉范围D．文件制定人答案：D34国家电网公司“SGl86”工程信息安全防护策略是()。A．双网双机、分区分域、等级防护、多层防御B．网络隔离、分区防护、综合治理、技术为主C．安全第一、以人为本、预防为主、管控结合D．访问控制、严防泄密、主动防御、积极管理答案：A三、多选题1．“三个纳入”是指()。A．将信息安全纳入公司安全生产管理体系B．将等级保护纳入信息安全日常管理中C．将信息安全纳入信息化工作中D．将信息安全纳入绩效考核中答案：ABC2．信息安全与信息系统的“三个同步”是指()。A．同步规划B．同步建设C．同步投入运行D．同步管理答案：ABC3．信息安全“三个不发生”是指()。A．确保不发生大面积信息系统故障停运事故B．确保不发生恶性信息泄密事故C．确保不发生信息内网非法外联事故D．确保不发生信息外网网站被恶意篡改事故答案：ABD4．常态安全巡检包括()。A．定期巡检病毒木马感染情况B．定期巡检责任范围内互联网出口攻击与非正常访问情况C．定期巡检安全移动存储介质使用及内容安全交换情况D．定期巡检信息内外网络、信息系统及设备漏洞及弱口令情况答案：ABCD5．下列关于口令管理的说法正确的是()。A．口令必须具有一定强度、长度和复杂度B．口令长度不得小于8位C．口令可以全部有字母组成D．口令可以和用户名相同答案：AB解析：口令要求是字母和数字或特殊字符的混合，用户名和口令禁止相同。6．下列关于系统管理员和数据库管理员权限的说法正确的是()。A．在人员不足时，系统管理员能同时拥有数据库管理员(DBA)的权限B．数据库管理员为了方便应用系统的数据库管理员操作数据库，应为所有的应用数据库的管理员授予DBA的权限C．不同应用数据库的管理员一般不能具备访问其他应用数据库的权限D．系统上线后，应删除测试账户，严禁系统开发人员掌握系统管理员口令答案：CD解析：系统管理员不得拥有数据库管理员(DBA)的权限，数据库管理员也不得同时拥有系统管理员的权限；数据库管理员应为不同应用系统的数据库建立不同的用户并仅作为该应用数据库的管理员。7．下列关于应用软件的口令管理的说法正确的是()。A．软件开发商在开发应用软件期间，应充分考虑应用软件的安全设计，设计应保证用户名和口令不以明文的形式存放在配置文件、注册表或数据库中B．访问数据库的用户名和口令能直接以明文的形式写入配置文件或者应用软件中C．口令必须能方便地配置、修改和加密。按照人员进行口令分配和认证，一能仅按照角色进行口令的分配D．对不同用户共享的资源进行访问必须进行用户身份的控制和认证答案：ACD解析：访问数据库的用户名和口令不能直接以明文的形式写入配置文件或应用软件中，也不能固化在应用软件中或者直接写在数据库中。8．《国家电网公司信息通信部关于进一步加强公司信息系统账号权限及访控制管理的通知》规定在账号权限及访问控制管理等核心信息系统运维工作方面，要全面实现“四确保”目标，下面关十“四确保”的说法正确的是()。A．确保信息系统用户账号与实体用户一一对应B．确保各类信息系统账号不误删、不错调、不越权、不限用C．确保账号权限管理贯穿项目建设及系统运行的各个阶段D．确保账号权限在管理者、使用者、监督者三类角色间实现相互制衡答案：ABCD9．应用软件应该将用户角色分为()类。A．安全管理员账号(角色)B．审核管理员账号(角色)C．系统管理员账号(角色)D．非管理员账号(角色)答案：ABCD10．信息化项目建设要坚持标准化建设原则，按照()，统一组织开展典型设计、试点先行、分步推广等工作，确保公司建成一体化集团企业资源计划系统。A．统一功能规范B．统一技术标准C．统一开发平台D．统一产品选型的要求答案：ABCD11．下列关于信息化项日建设管理的说法正确的是()。A．信息系统上线试运行前，须认真做好项目开发过程中形成的应用软件源代码(包括二次开发源代码)、各类技术文档等资料的移交及相应的知识转移上作，履行必要手续后进入上线试运行阶段B．试运行前，业务部门、信息化职能管理部门要组织项目承建单位开展项目应用及相关运行维护人员的培训工作，使相关人员熟练使用和维护系统，并具备一般的故障处理能力C．系统在上线试运行期间，按照上线试运行的要求管理，严格执行公司关于信息系统运行维护及安全管理的有关规定，做好数据备份，保证系统及用户数据的安全D．国网信通部统一组织开展公司信息化项目建设的评优管理工作，评优工作每两年开展一次答案：ABCD解析：按照上线正式运行的要求管理．评优工作每两年开展一次。12．下列关于信息化项目验收和后评估管理的说法正确的是()。A．国网信通部会同相关业务部门负责组织总部信息化项目、公司统一组织建设信息化项目的验收工作B．信息系统上线试运行结束后，项目承建单位应完成隐患问题处理，确定系统达到稳定运行条件后，及时填写项目竣工验收申请单，并提供齐全的验收资料C．信息化项目验收需成立验收组织机构，开展必要的测试、核查工作，对项目的完成情况、实现功能和性能、质量控制、档案完整性、项目取得的成果及主要技术经济指标进行全面总结和评价，并形成相应的验收意见D．信息化建设要建立信息化项目后评估制度。各单位信息化项目的后评估结果不需要上报国网信通部答案：ABC解析：选项D，需要上报国网信通部。13．下列情况()是指系统下线，不再提供任何应用服务。A．系统退出正常运行B．进入退役C．报废状态D系统异常报错答案：ABC14．信息系统由()等构成其全部生命周期。A．开发阶段B．上线试运行阶段C．上线正式运行阶段D．系统下线答案：ABCD15．《国家电网公司信息系统上下线管理方法》中规定系统上线试运行在具备下列条件()后，可以由系统建设开发单位负责向信息化管理部门申请系统上线试运行验收。A．系统上线试运行期间连续稳定运行B．系统建设开发单位完成用户应用培训、运行维护培训，配合运行维护单位制订系统备份方案、系统监控方案、安全策略配置方案、应急预案等运行技术文档C．系统建设开发单位完成系统的全面移交，移交内容包括系统日常维护手册、系统管理员手册、系统培训手册、系统核心参数及端口配置表、系统用户及口令配置表(需含口令修改关联关系)、技术支持服务联系人及联系方式等D．信息化职能管理部门、业务主管部门及运行维护单位应确定系统服务级别，建立保证信息系统正常运行的运行维护管理办法和考核制度，明确系统各级维护管理和应用人员的职责，确保信息的及时、准确、全面和安全答案：ABCD16．《国家电网公司信息系统版本管理方法》中的版本计划管理规定版本计划应包括()。A．业务应用或系统名称B．当前版本标识C．计划版本标识D．版本更新内容说明答案：ABCD17．下列关于《国家电网公司信息系统版本管理方法》中的版本测试管理说法正确的是()。A．研发单位向测评机构申请进行第三方认证测试，测评机构根据《国家电网公司信息系统测试管理办法》组织进行新版本测试工作B．安全测评通过后，开发单位向软件著作权管理与保护部门移交与安全测试通过版本一致的软件著作权资料，并配合开展资料的审核和验证工作C．测评完成后，根据《国家电网公司信息系统上下线管理办法》开展上线和试运行相关工作D．试运行完成后，确认新版本安全稳定后，由运维部门向业务部门和信息通信职能管理部门提交新版本试运行相关信息，由信息系统建设单位统一下发新版本使用通知答案：ABC解析：试运行完成，确认新版本安全稳定后，由运维部门向业务部门和信息通信职能管理部门提交新版本试运行相关信息，由总部统一下发新版本使用通知。18．《国家电网公司信息系统版本管理方法》中的版本发布管理中规定版本升级方案应包含()。A．升级目的B．升级内容C．升级各步骤的时间估算D升级涉及范围及对业务的影响答案：ABCD19．下列关于《国家电网公司应用软件通用安全要求》中系统开发和安全性保证的说法正确的是()。A．应用软件的开发应严格按照系统的需求说明书和设计说明书进行B．应用软件的开发能在任何的开发环境中进行C．开发人员不得对外泄漏开发内容、程序及数据结构D．对于处于运维阶段的应用软件，在进行一次开发时，需要考虑开发时对于现有系统的影响，在系统升级时，应该制订相应的安全预案，保证系统升级时不能影响原有系统的正常运行答案：ACD解析：应用软件的开发应该在专用的开发环境中进行，开发人员不得对外泄漏开发内容、程序及数据结构。20下列关于应用软件同基础主机环境间的安全交互的说法正确的是()。A．应用软件应该防止用户绕过其安全控制机制直接尝试访问基础主机环境B．在应用软件运行期间，应该不执行、并且应该不能被用于执行任何可能改变主机安全配置、安全文件、操作环境或平台安全程序的功能C．应用软件能完全依赖当前基础主机环境提供的安全机制来确保应用本身和它的数据不受到破坏或拒绝服务D．应用软件能够修改属于基础主机环境的文件和功能答案：AB解析：应用软件的安全设计和实现应该具有独立性，不能完全依赖当前基础主机环境提供的安全机制来确保应用本身和它的数据不受到破坏或拒绝服务，也不能破坏或试图破坏属于基础主机环境的文件和功能。21．下列应用软件的鉴别和认证机制中，()可以用来替代或者作为用户名+静态口令方式的补充。A．公钥基础设施B．硬件令牌C．生物识别认证D．一次性动态口令答案：ABCD22．应用系统统开发平台(SG-UAP)是融合了平台()并进一步创新而形成的。A．SotowerB．P13000C．UCMLD．OBPS答案：AB23SG—UAP技术服务工作主要是通过在应用系统的()环节提供必要的技术服务支撑，使基于SG-UAP建设的应用系统的研发和运维工作得以顺利开展。A．技术方案论证B．技术方案的设计及评审C．功能开发D．上线运行答案：ABCD24．《国家电网公司信息系统非功能性需求规范(试行)》中规定当系统进行多用户并发操作时，应满足()要求。A．首页访问平均响应时间不得超过3秒B．系统登录平均响应时间不得超过5秒C．执行复杂的综合业务(同时包括查询、添加、删除等操作请求)时，平均响应时间不得超过8秒D执行简单查询、添加和删除业务时，平均响应时间不得超过5秒答案：ABCD25《国家电网公司信息系统非功能性需求规范(试行)》中规定系统应设计使用多种输入多种输入验证的方法，包括()。A．检查数据是否符合期望的类型B．检查数据是否符合期望的长度C．检查数值数据是否符合期望的数值范围D．检查数据是否包含特殊字符，如：<、>、”、’、％、(、)、＆、+、＼、\’、\”等；应使用正则表达式进行白名单检查答案：ABCD26．审计日志应禁止包含()。A．用户敏感信息(如密码信息等)B．客户完整交易信息C．客户的隐私信息(如银行卡信息、密码信息、身份信息等)D．时间答案：ABC27．对于信息内网计算机不可开展()工作。A．处理国家秘密信息B．处理企业秘密信息C．使用无线鼠标D．连接信息外网或其他公用网络答案：ACD解析：严禁在信息内网计算机存储、处理国家秘密信息；信息内网办公计算机不能配置、使用毛线上网卡等无线设备，严禁通过电话拨号、无线等各种方式与信息外网和互联网络互联。28．公司商业秘密信息密级标注主要包括()。A．核心商秘B．普通商秘C．．绝密D．机密答案：AB29信息内网办公计算机部署于信息内网桌面终端安全域．信息外网办公计算机部署于信息外网桌面终端安全域．桌面终端安全域要采取()等安全防护措施。A．安全准入管理B．访问控制C．病毒防护D．桌面资产管理答案：ABCD解析：桌面终端安全域要采取安全准入管理、访问控制、入侵监测、病毒防护、恶意代码过滤、补丁管理、事件审计、桌面资产管理、保密检测、数据保护与监控等措施进行安全防护。第三部分公司信息安全技术措施一、判断题安全域是由一组具有相同安全保障需求、并相互信任的系统组成的逻辑区域，同一安全域的系统共享相同的安全保障策略。（对）智能电网业务系统中，用电信息采集系统定为二级系统，按照三级系统的防护要求进行建设防护。错信息安全保障体系是“SG186”工程中六大保障体系之一。对进行边界安全防护的首要任务是明确网络边界。对智能电网各信息系统具有集成度高、交互性多、用户广泛的特点，信息系统安全防护分域遵照“同级系统统一成域”的原则。（）对无线网络环境安全防护的原则是信息内网办公环境不能使用无线组网，远程无线专线接入必须使用安全接入系统。（）对智能电网防护方案的防护对象为部署于管理信息大区的发电、输电、变电、配电、用电、调度、跨环节相关业务系统，主要包括输变电设备状态在线监测系统、用电信息采集系统、电动汽车智能充换电网络运行系统、电力光纤到户、95598等。（）对智能电网安全防护策略为“双网双机、分区分域、等级防护、多层防御”。（错）智能电网防护策略中的“全面防护”在“分区分域、安全接入、动态感知、精益管理”基础上，在屋里、网络、主机三个层次提升等级保护纵深防御能力，加强安全基础设施建设，覆盖防护各层次，各环节，各对象。（错）“十一五”期间公司按照“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体策略，建设了信息安全“三道防线”，其中第一道防线指信息外网与互联网之间的边界防御。（）对安全接入平台中PC终端安装加固后，不需要USBKEY也能正常进入系统。（错）移动接入网关作为平台的核心设置之一，具有安全隔断信息内、外网的功能。（错）云终端系统可以通过VPN进行接入。（错云终端系统可以提供跨广域网进行随时无障碍访问。（对）云终端系统发布的专用桌面可以支持安全U盘的使用。（对）在没有网络的情况下，用户仍然可以使用云终端系统的虚拟桌面。（错）当通过网页发送有件事，其产生的流量会计入互联网访问行为中的邮件流量中。（错）ISS系统是在原有信息内外网边界安全监测系统的基础上增加互联网出口内容审计、网络行为分析与流量监测、病毒木马监测、网站攻击监测与防护、桌面终端挂历功能，构建新版信息外网安全监测系统作为原有信息内、外网边界安全监测系统的升级版本。（对）ISS属于公司统推项目，采用旁路部署模式，属于国网以及部署系统。（对）桌面终端管理系统不仅仅只监控客户端，还包括主机服务器。（错）IMS对于桌面终端、杀毒软件使用情况、服务器补丁漏洞等监控都是自身实现的。（错）IMS系统通过了信息网络安全实验室的安全测评，达到了GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》第二级应用安全的技术要求。（对）办公计算机保密自动检测系统不支持用户手动配置关键字进行检测。（错）办公计算机保密自动检测系统支持加密数据的内容检测。（错）办公计算机保密自动检测系统布恩那个对磁盘的剩余空间进行粉碎。（错）办公计算机保密自动检测系统可以进行上网记录检查。（对）第二代信息安全网络隔离装置的核心安全防护功能是反SQL注入功能，主要通过反SQL注入功能保障内网安全。（错）第二代信息安全网络隔离装置向业务系统提供内网数据库的透明访问，业务系统只需面向数据库服务进行开发调试，无需进行针对性的开发和测试（错）外网业务系统需只能对第二代信息安全网络隔离装置SQL代理服务进行专项测试和适应性改造后方可使用该服务访问内网数据库服务，这种专项测试和改造在开发阶段完成即可，软件升级改造无需重新进行测试。（错）第二代信息安安全网络隔离装置支持集群部署方式，可以实现主要性能指标的线性扩展，一般情况下，处于避免单点故障的考虑，第二代信息安全网络隔离装置在部署时最少的集群规模为2。（对）漏洞是指任何可以造成破坏系统或信息的弱点。（对）漏洞补丁系统中可检索漏洞信息项包括漏洞编号、漏洞名称、漏洞级别、详细描述、解决方案。（对）统一漏洞补丁管理系统在设计阶段经过与国内多家厂商的协调与沟通提出了多厂商漏洞扫描设备的统一接口，是目前既符合公司信息化特点、管理发展要求，又可减容管理主流厂商产品的唯一方案，具有与多家厂商设备联动，统一管理、统一执行、统一漏洞数据库信息的特点。（对）二、单选题智能电网防护方案中，信息系统安全防护分域遵照（A）的原则。A．同级系统统一成域。B.所有系统统一成域C．二级系统统一成域，三级系统独立分域D.三级系统统一成域，二级系统独立成域2.请选择国家电网公司管理信息系统最新信息安全防护策略是（A）A．双亡双击、分区分域、安全接入、动态感知、全面防护、准入备案B．网络隔离、分区防护、综合治理、技术为主C．安全第一、以人为本、预防为主、管控结合D．访问控制、严防泄密、主动防御、积极管理3.等级保护规定（C）以上的信息系统，在身份鉴别是提出了双因素鉴别的要求。A.一级B.二级C.三级D.四级4.根据GB/T17859-1999《计算机信息系统安全保护等级划分准则》，计算机系统安全保护能力不包括（C）A．用户自主保护级B.结构化保护级C.强制保护级D.访问验证保护级5.（C）是针对各安全域间的通信数据流传输和各系统跨安全域进行数据交换，部署访问控制、入侵检测等安全防护措施。A.信息外网第三方边界B.信息内外网边界C.横向域间边界D.信息内网纵向边界6.公司智能电网业务系统信息安全防护划分为物理环境安全防护，（B），边界安全防护、网络环境安全防护、主机系统安全防护、应用与数据安全防护六个层级进行主动全面的安全防护措施设计。A．生产大区安全防护B.业务终端安全防护C.信息大区安全防护D.信息内网安全防护7.下列不属于应用系统安全防护措施的是(D)A.身份鉴别及访问控制B数据加密C应用安全加固D入侵检测8.下列业务系统中，（D）不属于管理信息大区。A输变电设备状态在线检测系统B用电信息采集系统C电动汽车只能充换电网络运营系统D只能变电站及集中监控系统9.“十一五”期间公司按照“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体策略，建设了信息安全“三道防线”，其中第一道防线是（B）A．生产控制大区与管理信息大区的边界防御B．信息外网与互联网的边界防御C．管理大区信息内外网之间的边界防御D．信息内网横向域的边界防御10.“十一五”期间公司按照“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体策略，建设了信息安全“三道防线”，其中第二道防线是（C）A．生产控制大区与管理信息大区的边界防御B．信息外网与互联网的边界防御C．管理大区信息内外网之间的边界防御D．信息内网横向域的边界防御11.“十一五”期间公司按照“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体策略，建设了信息安全“三道防线”，其中第三道防线是（A）A．生产控制大区与管理信息大区的边界防御B．信息外网与互联网的边界防御C．管理大区信息内外网之间的边界防御D．信息内网横向域的边界防御12.“十一五”期间公司按照“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体策略，建设了信息安全“三道防线”，其中第二道防线是管理大区信息内外网之间的边界防御，它具体部署的防护措施是（C）A防火墙BIDSC信息网络安全隔离装置D接入平台13.“十一五”期间公司按照“双网双机、分区分域、等级防护、多层防御”