社保信息系统安全考试题及答案

社保信息系统安全考试题及答案一、单项选择题（每题2分，共20题，满分40分）1.社保信息系统安全防护的核心保护对象是A.机房硬件设备B.系统管理员账号C.内部网络通信链路D.社保业务数据与参保人敏感个人信息2.根据《网络安全等级保护条例》要求，我国多数地市级及以上社保核心业务信息系统的安全保护等级应当定为A.第一级B.第二级C.第三级D.第四级3.根据《个人信息保护法》规定，社保机构处理参保人个人信息的核心合法基础是A.参保人个人同意B.订立社保业务合同需要C.履行法定职责要求D.维护公共利益需要4.根据《网络安全法》要求，本单位社保信息系统安全的第一责任人是A.具体经办的信息管理员B.单位主要负责人C.分管信息安全的领导D.网络运维服务商负责人5.第三方运维人员访问社保核心业务数据库进行操作时，必须满足的安全要求是A.经正式授权并由本单位工作人员全程旁站监督B.单独操作，完成后登记即可C.只要提前签署保密协议就可以操作D.只要对方运维负责人打招呼就可以操作6.下列选项中，不属于社保敏感个人信息范畴的是A.参保人人脸识别生物特征信息B.参保人社保待遇发放金融账户信息C.参保人个人社保缴费基数D.参保人公开登记的普通通讯地址7.发生重大社保信息安全事件，导致超过10万条参保人敏感个人信息泄露的，应当最迟在多少小时内向属地网信部门、社保行政主管部门上报A.4小时B.12小时C.24小时D.48小时8.根据网络安全等级保护三级要求，社保信息系统管理员身份登录核心系统，应当至少采用几种鉴别因素，实现多因素认证A.1种B.2种C.3种D.4种9.下列操作中，符合社保信息安全管理规定的是A.因同事请假不在岗，用自己的工号帮同事查询办理非本人职责范围内的参保业务B.为了赶工作进度，将系统导出的参保人信息存在个人U盘带回家加班处理C.工作人员离职后，信息管理部门立刻注销其所有社保系统账号权限D.为了宣传社保扩面工作，将本次新增参保人员的名单公示在单位门口宣传栏10.第三方公司使用社保数据进行系统开发、测试或内部培训时，对数据必须进行的处理是A.直接使用全量生产数据不做处理B.全脱敏处理，移除所有可识别特定个人身份的信息C.只脱敏身份证号码即可保留其他信息D.只隐藏姓名即可保留其他所有信息11.根据《社会保险个人信息保护办法》规定，社保机构存储参保人个人信息的期限应当符合A.永久无期限存储B.参保人业务终结后保留20年C.参保人业务终结后保留5年D.国家档案管理和数据安全相关规定的存储期限12.社保核心内网防火墙中，不需要对外提供远程桌面服务时，应当默认关闭哪个常用端口A.80B.443C.3389D.808013.针对社保工作人员的钓鱼邮件攻击，其核心目的一般是A.获取社保系统管理员或经办人员的账号密码B.窃取单位内部公开的社保政策文件C.获取单位员工通讯录信息D.破坏单位内部网络硬件设备14.工作人员发现本人的社保系统账号密码疑似泄露，第一步应当采取的正确措施是A.置之不理，没有造成损失就不需要处理B.立即修改密码并向本单位信息安全管理部门报备C.继续正常使用，等到年度统一换密码的时候再修改D.将账号转借同事使用，掩盖异常登录痕迹15.根据网络安全等级保护三级要求，社保核心业务交易数据的最低全量备份周期是A.每日B.每周C.每月D.每季度16.根据《个人信息保护法》规定，参保人向社保机构申请查询、复制本人的社保个人信息，除法律法规另有规定外，社保机构应当在多少个工作日内予以提供A.5个B.10个C.15个D.20个17.下列选项中，属于内部人员违规泄露社保信息行为的是A.黑客通过系统漏洞远程攻击窃取数据B.运维人员违规导出并出售参保人个人信息谋利C.系统存在未修补漏洞导致数据自然泄露D.水灾导致机房损毁存储数据丢失18.根据网络安全等级保护管理要求，第三级信息系统应当至少多久开展一次等级测评A.半年B.1年C.2年D.3年19.社保机构通过互联网传输参保人敏感个人信息时，必须采取的安全措施是A.明文直接传输B.加密传输C.压缩后传输D.分段传输20.社保机构向其他合法单位共享社保数据时，必须履行的程序是A.只要双方都是公家单位就可以直接共享B.经过内部合法审批，签署数据安全保密协议，明确双方安全责任C.只要对方单位出具纸质公函就可以直接共享D.只要单位领导打招呼同意就可以共享二、多项选择题（每题3分，共10题，满分30分，多选、少选、错选均不得分）1.社保信息系统安全防护的范围包括下列哪些选项A.社保核心业务应用系统B.存储在系统中的参保人个人信息与业务数据C.社保机房物理基础设施D.社保内部专用网络通信链路E.社保经办内网办公终端2.根据《社会保险个人信息保护办法》《个人信息保护法》，下列属于社保敏感个人信息的是A.参保人人脸、指纹等生物识别信息B.参保人社保待遇发放金融账户信息C.参保人月度、年度社保缴费明细D.参保人社保待遇享受金额E.参保人宗教信仰信息3.社保信息系统运维操作过程中，下列哪些行为是明确禁止的A.使用未经过杀毒检测的个人U盘连接社保内网终端B.擅自开启核心服务器上不必要的服务和端口C.越权访问超出自身职责范围的业务数据库D.完成运维操作后如实留存完整操作日志E.未经审批私自向核心服务器安装非必要软件4.网络安全等级保护2.0标准中，等级保护工作的核心环节包括A.信息系统定级B.信息系统备案C.建设整改D.等级测评E.监督检查5.下列属于常见针对社保信息系统的网络攻击类型是A.针对经办人员的钓鱼邮件攻击B.加密核心数据的勒索病毒攻击C.针对业务系统的SQL注入攻击D.针对系统账号的暴力破解攻击E.针对核心网络的DDoS流量攻击6.社保机构处理参保人个人信息，应当遵循的基本原则包括A.合法、正当、必要原则B.公开透明原则C.目的限制原则D.最小够用原则E.责任明确原则7.发生社保数据泄露安全事件后，应当采取的应急处置措施包括A.第一时间断开受感染、涉事服务器的网络连接，阻止危害进一步扩大B.联合技术力量排查泄露事件的原因、涉及范围、泄露内容，评估事件风险等级C.按照法律法规要求，及时通知受到影响的参保人告知风险与防范方式D.及时向属地网信、社保行政、公安等监管部门上报，不得迟报瞒报E.事件处置完成后，排查修补安全漏洞，完善管理制度，对相关责任人问责整改8.下列操作符合社保经办终端安全管理要求的是A.社保内网终端物理隔离，不违规连接互联网B.设置符合复杂度要求的开机密码，离开工位自动锁屏C.定期更新病毒库，查杀终端病毒木马D.将内网连接的打印机共享给外网设备使用E.不打开来历不明的邮件附件与压缩文件9.第三方服务商参与社保信息系统建设、运维，应当满足的安全要求包括A.必须签署正式的数据安全保密协议B.明确承诺不擅自留存、使用、泄露社保数据C.对参与社保项目的工作人员进行安全背景审查与信息安全培训D.允许第三方工作人员随时带个人设备进入核心机房拍照记录E.第三方服务商可以随意将承接的社保业务转包给任意第三方机构10.根据《个人信息保护法》《社会保险个人信息保护办法》，参保人对本人的社保个人信息享有下列哪些权利A.知情权，知晓个人信息的处理范围与用途B.决定权，对超出法定职责范围的信息处理决定拒绝C.查询复制权，申请查询获取本人的社保信息D.更正权，发现信息错误申请更正E.删除权，符合法定情形申请删除本人信息三、判断题（每题1分，共10题，满分10分）1.只要是社保机构内部工作人员，就有权查询任意参保人的社保个人信息。2.为了节省存储成本，可以将社保核心业务数据直接存储在未经过安全评估的第三方公有云平台，不需要额外加密防护。3.单位主要负责人是本单位社保信息系统安全工作的第一责任人，对本单位社保信息安全负总责。4.为了方便同事开展工作，可以将本人的社保系统账号密码共享给多名同事共同使用。5.完成数据备份后，不需要定期验证备份数据的完整性与可用性，只要做好存储就可以。6.处理不满14周岁未成年人的参保个人信息，应当遵循比普通个人信息更严格的安全保护要求。7.社保信息系统的所有操作日志与安全日志，留存期限不得少于3个月。8.社保机构向其他单位共享社保数据，只要经过本单位信息部门负责人同意就可以对外提供。9.如果核心社保数据被勒索病毒加密，为了快速恢复业务，可以直接支付赎金不需要上报监管部门。10.社保人脸认证采集的参保人生物特征信息，应当存储在社保机构本地内网服务器，不得违规存储在第三方服务商的外部服务器。四、案例分析题（每题10分，共2题，满分20分）1.某区社保中心为了提升移动端经办服务能力，委托本地一家第三方科技公司开发社保查询移动端APP，开发阶段第三方公司提出需要生产环境全量参保人数据来做功能测试，社保中心信息科负责人认为双方已经签署了合作框架，不需要走额外审批，就直接安排技术员导出了全区120万条参保人的全量真实数据，包含姓名、身份证号、手机号、金融账户信息、缴费明细等内容，通过互联网邮箱发给了第三方公司的项目对接人。第三方公司测试完成后，项目负责人忘记要求技术团队删除测试数据，该全量数据一直存储在第三方公司对外提供服务的公网服务器中，半年后该服务器被黑客攻击攻破，全量数据泄露到互联网，引发大量参保人投诉，被多家媒体报道，造成了极其恶劣的社会影响。问题：（1）请指出该社保中心在本次事件中存在哪些违规操作？（6分）（2）事件发生后，应当采取哪些正确的应急处置措施？（4分）2.某县社保中心窗口经办员小李，入职2年，一直负责参保人员信息变更业务，拥有社保系统的数据查询权限。小李的亲戚王某开了一家小额贷款公司，王某告诉小李，现在很多贷款人逾期不还款，需要获取贷款人的社保信息来核实工作单位、收入情况，愿意给小李每条信息5元的好处费。小李认为只是查个信息，没什么大问题，就利用自己的查询权限，半年内累计查询导出了2300多条参保人的社保信息发给王某，获利共计11500元。后来有一名参保人接到诈骗电话，发现对方准确说出了自己的社保缴费信息，核实后发现信息从该渠道泄露，随即向社保中心投诉，小李的行为才案发。问题：（1）小李的行为违反了哪些信息安全与法律法规要求？（5分）（2）该社保中心日常管理中存在哪些安全漏洞？（5分）答案与解析一、单项选择题1.答案：D解析：社保信息系统的所有安全防护工作都是围绕核心数据展开，机房设备、账号密码、网络链路都属于基础设施，核心保护对象是承载社保业务运行的业务数据，以及涉及参保人隐私的敏感个人信息，社保数据属于国家重要数据范畴，直接关系到上千万参保人的隐私安全与公共利益，因此安全防护的核心就是数据，D选项正确。2.答案：C解析：根据《网络安全等级保护条例》，涉及国计民生、公共利益的重要信息系统，一般定为第三级，仅极少数省级以上核心社保统筹系统会定为第四级，我国多数地市级及以上社保核心业务系统的常规定级为第三级，因此C选项正确。3.答案：C解析：社会保险是法定强制保险，社保机构处理参保人个人信息是为了履行法定的社保登记、缴费管理、待遇发放等公共服务职责，根据《个人信息保护法》规定，履行法定职责处理个人信息不需要以个人同意为前提，因此合法基础是履行法定职责要求，C选项正确。4.答案：B解析：《网络安全法》明确规定，网络运营者的主要负责人对本单位网络安全工作负总责，因此单位主要负责人是社保信息系统安全的第一责任人，B选项正确。5.答案：A解析：第三方运维人员访问核心数据库，必须经过本单位正式授权，并且由本单位工作人员全程旁站监督，操作完成后要签字确认留存日志，防止第三方擅自导出、拷贝数据，因此A选项正确，其他选项均违反安全管理规定。6.答案：D解析：敏感个人信息是指一旦泄露、篡改，容易危害人身财产安全，导致个人名誉、权益受损的信息，参保人公开登记的普通通讯地址不属于敏感个人信息范畴，因此D选项正确。7.答案：A解析：根据《网络安全事件报告管理办法》《社会保险网络安全事件应急管理指引》，发生重大数据安全事件，造成大量个人信息泄露的，应当最迟在4小时内向属地监管部门上报，因此A选项正确。8.答案：B解析：等保三级要求核心系统管理员登录必须采用至少两种不同类型的身份鉴别，也就是密码加动态口令、密码加U盾等多因素认证，防止单一密码被窃取后账号被冒用，因此B选项正确。9.答案：C解析：工作人员离职后应当立即注销所有系统权限，避免账号被滥用，这是符合安全规定的操作，C选项正确。A选项属于越权操作违规，B选项违规将敏感数据带出内网违规，D选项公开公示参保人名单属于泄露个人隐私违规。10.答案：B解析：第三方开发、测试、培训使用社保数据，必须进行全脱敏处理，完全移除所有可以识别特定个人身份的标识，不得使用真实的全量生产数据，从源头避免测试数据泄露风险，因此B选项正确。11.答案：D解析：《社会保险个人信息保护办法》明确规定，社保机构存储个人信息的期限应当符合国家档案管理以及数据安全管理的相关规定，不同类型的社保信息存储期限不同，比如养老保险参保信息需要长期存储，灵活就业人员停保信息按规定期限存储，因此D选项正确。12.答案：C解析：3389是Windows远程桌面服务的默认端口，不需要对外提供远程桌面服务时必须关闭，否则容易被黑客通过端口扫描发现，进而开展暴力破解入侵，因此C选项正确。13.答案：A解析：钓鱼邮件一般是伪装成官方通知、工作对接类邮件，诱导收件人点击钓鱼链接填写账号密码，核心目的就是窃取工作人员的系统账号密码，进而入侵社保系统窃取数据，因此A选项正确。14.答案：B解析：发现账号密码疑似泄露，第一步应当立即修改复杂度符合要求的新密码，并且向单位信息安全管理部门报备，排查是否存在异常操作，避免损失扩大，因此B选项正确，其他选项都会扩大安全风险。15.答案：A解析：等保三级要求核心业务数据必须每日做全量备份，或者每日做增量备份、每周做全量备份，最低要求核心交易数据每日全量备份，因此A选项正确。16.答案：C解析：《个人信息保护法》规定，个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供，最迟不得超过15个工作日，法律法规另有规定的除外，因此C选项正确。17.答案：B解析：内部人员违规泄露是指内部工作人员违反规定，擅自向第三方提供数据，运维人员违规导出出售属于典型的内部违规泄露，因此B选项正确。18.答案：B解析：等级保护管理要求，第三级信息系统每年至少开展一次等级测评，第四级每半年一次，因此B选项正确。19.答案：B解析：敏感个人信息通过互联网传输必须加密，防止传输过程中被窃取篡改，因此B选项正确。20.答案：B解析：社保数据对外共享必须经过内部多级审批，签署正式的数据安全保密协议，明确双方的安全责任和数据使用范围，禁止超范围使用数据，因此B选项正确，其他选项均不符合程序要求。二、多项选择题1.答案：ABCDE解析：社保信息系统安全防护覆盖物理层、网络层、应用层、数据层、终端层所有领域，题干中五个选项都属于安全防护的范围，因此全选。2.答案：ABCD解析：社保敏感个人信息包括生物识别信息、金融账户信息、缴费信息、待遇信息等直接涉及参保人隐私的信息，社保机构开展业务一般不会收集参保人的宗教信仰信息，因此不属于社保敏感个人信息范畴，正确选项为ABCD。3.答案：ABCE解析：运维操作完成后留存完整操作日志是符合安全规定的要求，不属于禁止行为，其他四个选项都是明确禁止的违规行为，因此正确选项为ABCE。4.答案：ABCDE解析：等级保护2.0的核心工作环节为定级、备案、建设整改、等级测评、监督检查五个环节，五个环节缺一不可，因此全选。5.答案：ABCDE解析：题干中提到的五种攻击都是针对社保信息系统的常见攻击类型，钓鱼攻击针对人员，勒索病毒针对数据，SQL注入针对应用漏洞，暴力破解针对账号，DDoS针对网络可用性，因此全选。6.答案：ABCDE解析：《个人信息保护法》明确规定个人信息处理应当遵循合法正当必要、公开透明、目的限制、最小够用、责任明确等原则，社保机构处理个人信息也必须遵守所有原则，因此全选。7.答案：ABCDE解析：发生数据泄露事件后，题干中的五项处置措施都是必须采取的，从止损到排查到告知到上报再到整改，形成完整的应急处置闭环，因此全选。8.答案：ABCE解析：将内网打印机共享给外网设备使用，会导致内网直接暴露给外网，引发入侵风险，属于违规操作，其他四个选项都是符合安全要求的操作，因此正确选项为ABCE。9.答案：ABC解析：DE选项都是违规行为，第三方服务商不得随意允许无关人员进入核心机房拍照，也不得随意转包业务，ABC是第三方参与社保项目必须满足的安全要求，因此正确选项为ABC。10.答案：ABCDE解析：根据《个人信息保护法》《社会保险个人信息保护办法》，参保人对本人信息享有题干中列出的所有权利，这些权利是个人信息保护的核心内容，因此全选。三、判断题1.答案：错误解析：社保信息查询访问必须遵循最小权限、履职必需原则，只有因工作需要查询职责范围内的信息才是允许的，不是所有内部员工都可以查询任意参保人信息。2.答案：错误解析：社保核心数据存储到第三方公有云必须经过正式的安全评估，符合等保三级以上要求，并且对敏感数据进行加密存储，不得直接存储不做任何防护。3.答案：正确解析：《网络安全法》明确规定，网络运营者主要负责人对本单位网络安全负总责，因此说法正确。4.答案：错误解析：社保系统账号必须落实一人一号一号一密，不得转借共享给他人使用，出现问题后无法追溯责任人，因此说法错误。5.答案：错误解析：数据备份后必须定期开展恢复测试，验证备份数据的完整性和可用性，防止需要恢复的时候备份数据损坏无法使用，很多机构都出现过备份损坏无法恢复的事故，因此说法错误。6.答案：正确解析：《个人信息保护法》明确规定，不满十四周岁未成年人的个人信息属于敏感个人信息，应当采取更严格的保护措施，因此说法正确。7.答案：错误解析：等保三级要求社保信息系统的操作日志和安全日志留存期限不得少于六个月，因此说法错误。8.答案：错误解析：社保数据对外共享必须根据数据敏感程度进行多级审批，大量敏感数据需要单位主要负责人审批，仅信息科负责人同意不符合程序要求，因此说法错误。9.答案：错误解析：感染勒索病毒后不得私自支付赎金，应当第一时间上报监管部门，配合公安部门处置，支付赎金不仅无法保证一定能恢复数据，还会助长黑客攻击的嚣张气焰，因此说法错误。10.答案：正确解析：《社会保险个人信息保护办法》明确要求，参保人的生物特征信息应当存储在社保机构本地内网，不得违规存储在第三方服务商的外部服务器，因此说法正确。四、案例分析题1.（1）该社保中心存在的违规操作主要有以下四点：第一，数据使用违规，为第三方提供测试数据未按要求做脱敏处理，违规提供全量真实敏感个人信息。根据规定，第三方开发测试使用的数据必须进行全脱敏，移除所有可识别个人身份的标识，不得提供全量真实生产数据，该行为直接将大量敏感信息置于风险中，违反了数据安全管理要求。第二，审批程序违规，对外提供百万量级的敏感个人信息，未履行单位内部的数据共享审批流程，仅由信息科负责人自行决定，违反了数据分级分类审批的要求，大量敏感数据流出必须经过多级审批确认。第三，第三方安全管理违规，未在合作合同和保密协议中明确第三方的数据安全责任，未要求第三方在测试完成后及时删除数据，也未对第三方的数据处理行为进行监督检查，完全放任不管，给数据泄露留下了巨大隐患。第四，数据全流程管控缺失，未落实重要数据全生命周期管控要求，敏感数据违规流出内网生产环境，没有进行审批和登记，导致数据泄露风险完全失控。（2）正确的应急处置措施如下：第一，第一时间协调