国家电网信息安全基础知识考试(公司信息安全管理要求)真题精选.docx
《国家电网信息安全基础知识考试(公司信息安全管理要求)真题精选.docx》由会员分享,可在线阅读,更多相关《国家电网信息安全基础知识考试(公司信息安全管理要求)真题精选.docx(26页珍藏版)》请在冰点文库上搜索。
国家电网信息安全基础知识考试(公司信息安全管理要求)真题精选
[判断题]
1、《国家电网公司信息系统口令管理暂行规定》规定软件开发商在开发应用软件期间,应充分考虑应用软件的设计,设计应保证用户名和口令不以明文的形式存放在配置文件、注册表或数据库中。
参考答案:
对
[判断题]
2、《国家电网公司信息系统口令管理暂行规定》规定信息系统使用人员要妥善保管系统的账号密码,做到密码定期更换,对于密码遗失,要及时联系修改。
参考答案:
对
参考解析:
重点做好口令密码的保管
[判断题]
3、应用软件应该提供给审核管理员用户一个产生和修改用户授权的管理工具,并且保证在每次产生或修改权限后不需要重启系统就能立即生效。
参考答案:
错
参考解析:
应该提供给系统管理员。
[判断题]
4、《国家电网公司信息化建设管理办法》中的“信息化保障体系“包含信息安全防护体系、标准规范体系、管理调控体系、评价考核体系、技术研究体系和人才队伍体系等内容。
参考答案:
对
[判断题]
5、信息化项目建设要严格执行有关信息安全及保密管理规定。
坚持信息安全是信息化项目有机组成部分的原则,按照信息安全措施与信息化项目同步规划、同步建设和同步投入运行的要求,切实落实信息化项目中安全措施建设工作。
参考答案:
对
[判断题]
6、《国家电网公司信息系统上下线管理办法》中规定信息系统在上线试运行测试完成前,不对外提供服务。
参考答案:
对
[判断题]
7、自开发平台类系统新版本开发测试完成后想测评部门提出第三方测评需求时,不需要同时提供业务应用新版本变更说明书。
参考答案:
错
参考解析:
应同时提供业务应用新版本变更说明书。
[判断题]
8、《国家电网公司信息系统版本管理办法》中的版本运行管理中规定版本变更后,各单位运行维护部门需跟踪新版本的使用情况,及时将使用中出现的问题或缺先提交研发单位并抄送国网公司信通部,有研发单位对问题进行验证、确认。
参考答案:
错
参考解析:
提交研发单位并抄送国网信通公司。
[判断题]
9、应用软件的安全设计和实现应该具有共享性,能依赖当前基础主机环境提供的安全机制来确保应用本身和它的数据不受到破坏或拒绝服务。
参考答案:
错
参考解析:
应用软件的安全设计和实现应该具有独立性,不能完全依赖当前基础主机环境提供的安全机制来确保应用本身和它的数据不受到破坏或拒绝服务。
[判断题]
10、SG-UAP的全称是公司应用系统统一开发平台。
参考答案:
对
[判断题]
11、信息系统非功能性需求是指除业务功能需求之外从便于系统运行维护提高用户体验、确保系统安全和稳定等方面对系统开发提供的要求。
参考答案:
对
[判断题]
12、审计日志应至少包含以下内容:
用户ID或引起这个事件的处理程序ID事件的日期、事件(时间戳)、事件类型、实践内容、事件是否成功,请求的来源、用户敏感信息。
参考答案:
错
参考解析:
不能包含用户敏感信息。
[判断题]
13、因为某员工离职,因此可以将该员工的信息内网办公计算机不做处理直接给其他员工进行使用
参考答案:
错
参考解析:
信息内网办公计算机及外部设备和存储设备在变更用途,或不再用于处理内网信息,或不再使用,或需要数据恢复时,要报计算机运行维护部门,由运行维护部门负责采取安全可靠的手段恢复、销毁和擦除存储部件中的信息,禁止通过外部单位进行数据恢复、销毁和擦除工作。
[判断题]
14、“SG186工程”中的“6”,是建立健全六个信息化保障体系,分别是信息化安全防护体系、标准规范体系、管理调控体系、评价考核体系、技术研究体系和人才队伍体系。
参考答案:
对
[单项选择题]
15、《国家电网公司信息系统安全管理办法》规定:
在规划和建设信息系统时,信息系统安全防护措施应按照“三同步”原则,与信息系统建设同步规划、同步()、同步投入运行。
A.建设
B.批准
C.施工
D.安装
参考答案:
A
[单项选择题]
16、《国家电网公司信息系统口令管理暂行规定》规定口令要及时更新,要建立定期修改制度,其中系统管理员口令修改间隔不得超过()个月,并且不得重复使用前()次以内的口令。
A.3;3
B.3;4
C.4;4
D.2;3
参考答案:
A
参考解析:
修改间隔不得超过3个月,不得重复使用前3次以内的口令
[单项选择题]
17、根据《国家电网公司信息系统安全风险评估实施细则(试行)》,在风险评估中,资产评估包含信息资产()、资产赋值等内容。
A.识别
B.安全要求识别
C.安全
D.实体
参考答案:
A
[单项选择题]
18、下列关于实现账号权限在管理者、使用者、监督者三类角色间实现相互制衡的说法错误的是()。
A.审计院长郝仅能监控其他各类用户的操作轨迹及系统日志
B.管理员帐号仅能配置不涉及业务数据及系统功能的普通用户的角色及权限
C.审核员账号仅能对管理员账号进行相关操作的复核和批准
D.普通用户仅能使用已授权系统功能,操作未授权的业务数据
参考答案:
D
参考解析:
普通用户仅能使用已授权系统功能,操作已授权的业务数据。
[单项选择题]
19、信息化项目建设完成后,应遵循()原则,有信息运行维护部门统一负责系统的运行维护工作。
A.主业化、标准化、专业化
B.主业化、规范化、标准化
C.主业化、集中化、规范化
D.主业化、集中化、专业化
参考答案:
D
[单项选择题]
20、下列不是系统申请上线试运行必须满足的条件是()。
A.系统建设开发单位完成各个层次重点用户的培训工作,包括系统最终用户和运行维护单位有关人员的培训工作。
B.系统文档资料齐全,符合有关标准。
C.系统建设开发单位、运行维护单位共同检查系统的安装环境,确认满足安装所需的服务器、网络、电源等环境保障条件
D.系统建设开发单位对系统进行严格的测试,包括系统的功能实现、性能、可用性、兼容性、集成性方面,并形成测试报告。
参考答案:
D
参考解析:
测试需要包括系统的安全性。
[单项选择题]
21、《国家电网公司信息系统上下线管理办法》中规定上线试运行的初期安排一定时间的观察期,观察期原则上不短于上线试运行期的1/3,一般为()。
A.1
B.2
C.3
D.4
参考答案:
A更多内容请访问《睦霖题库》微信公众号
[单项选择题]
22、《国家电网公司信息系统版本管理办法》中版本标识管理规定为保证版本有序传递,应建立统一的版本标识,具体的版本标识是()。
A.<系统代码>-<版本号>-[补丁号]-[各单位编号]
B.<系统代码>-<补丁号>-[各单位编号]
C.<系统代码>-<版本号>-[各单位编号]-[补丁号]
D.<系统代码>-<版本号>-[补丁号]
参考答案:
A
[单项选择题]
23、下列关于《国家电网公司信息系统版本管理办法》中版本计划管理说法错误的是()。
A.版本升级计划作为版本测试、发布的必要依据,由总部定期发布
B.研发单位在系统首次上线时,经过系统运行一段时间后,应提交版本升级策略和整体计划
C.自开发平台类系统研发厂商应根据应用需求和自身版本规划及时制订半年度版本升级计划,于每年5月30日和11月30日前报国网信通部
D.国网信通部每年组织评估、审核后,于每年12月30日前下发第三方平台类系统版本次年升级计划
参考答案:
B
参考解析:
研发单位在系统首次上线时,应提交版本升级策略和整体计划。
[单项选择题]
24、下列关于应用软件在运维和废弃阶段安全管理错误的是()
A.应根据业务需求和安全分析确定应用软件的访问控制策略,用于控制分配数据、信息、文件及服务的访问权限
B.应对应用软件账户进行分类管理,权限设定应当遵循最方便使用授权要求
C.应用软件废弃时,应确保系统中的所有数据被有效转移或可靠销毁,并确保系统更新过程是在一个安全、系统化的状态下完成
D.应用软件正式投入运行后,应指定专人对应用软件进行管理,删除或者禁用不使用的系统默认账户,更改默认口令
参考答案:
B
参考解析:
应用软件正式投入运行后,应指定专人对应用软件进行管理,删除或者禁用不使用的系统默认账户,更改默认口令。
[单项选择题]
25、下列不属于SG-UAP技术服务工作范围的是()。
A.技术咨询
B.辅助编码
C.培训考核
D.运维支持
参考答案:
B
[单项选择题]
26、《国家电网公司信息系统非功能性需求范围(试行)》中规定系统密码策略应满足公司有关规范:
密码长度不得低于()位,上限不得高于()位,必须支持数字及字母搭配组合。
A.6;17
B.7;18
C.8;20
D.9;21
参考答案:
C
[单项选择题]
27、国家电网公司办公计算机信息安全和保密管理遵循()的基本原则。
A.涉密不上网、上网不涉密
B.双网双机、分区分域、等级防护、多层防御
C.业务工作谁主管,保密工作谁负责
D.严禁在信息外网处理涉及国家秘密的信息
参考答案:
A
参考解析:
国家电网公司办公计算机信息安全和保密管理遵循“涉密不上网、上网不涉密”的基本原则
[单项选择题]
28、国家电网公司“SG186”工程信息安全防护策略是()。
A.双网双机、分区分域、等级防护、多层防御
B.网络隔离、分区防护、综合治理、技术为主
C.安全第
一、以人为本、防御为主、管控结合
D.访问控制、严防泄密、主动防御、积极管理
参考答案:
A[多项选择题]
29、信息安全与信息系统的“三个同步”是指()。
A.同步规划
B.同步建设
C.同步投入运行
D.同步管理
参考答案:
A,B,C
[多项选择题]
30、下列关于口令管理的说法正确的是()。
A.口令必须具有一定强度、长度和复杂度
B.口令长度不得小于8位数
C.口令可以全部有字母组成
D.口令可以和用户名相同
参考答案:
A,B
参考解析:
口令要求是字母和数字或特殊字符的混合,用户名和口令禁止相同。
[多项选择题]
31、下列关于应用软件的口令管理的说法正确的是()。
A.软件开发商在开发应用软件期间,应充分考虑应用软件的安全设计,设计应保证用户名和口令不以明文的形式存放在配置文件、注册表或数据库中
B.访问数据库的用户名和口令能直接以明文的形式写入配置文件或应用软件中
C.口令必须能方便地配置、修改和加密。
按人员进行口令分配和认证,不能仅按角色进行口令的分配
D.对不同用户共享的资源进行访问必须进行用户身份的控制和认证
参考答案:
A,C,D
参考解析:
访问数据库的用户名和口令不能直接以明文的形式写入配置文件或应用软件中,也不能固化在应用软件中或直接写在数据库中。
[多项选择题]
32、应用软件应该将用户角色分为()类。
A.安全管理员账号(角色)
B.审核管理员账号(角色)
C.系统管理员账号(角色)
D.非管理员账号(角色)
参考答案:
A,B,C,D
[多项选择题]
33、下列关于信息化项目建设管理的说法正确的是()。
A.信息系统上线试运行前,须认真做好项目开发过程中形成的应用软件源代码(包括二次开发源代码)、各类技术文档等资料的移交及相应的知识转移工作,履行必要手续后进入上线试运行阶段
B.试运行前,业务部门、信息化职能管理部门要组织项目承建单位开展项目应用及相关运行维护人员的培训工作,使相关人员熟练使用和维护系统,并具备一般的故障处理能力
C.系统在上线试运行期间,按照上线试运行的要求管理,严格执行公司关于信息系统运行维护及安全管理的有关规定,做好数据备份,保证系统及用户数据的安全
D.国网信通部统一组织开展公司信息化项目建设的评优管理工作,评优工作每两年开展一次
参考答案:
A,B,C,D
参考解析:
按照上线正式运行的要求管理,评优工作每两年开展一次。
[多项选择题]
34、信息系统由()等构成其全部生命周期。
A.开发阶段
B.上线试运行阶段
C.上线正式运行阶段
D.系统下线
参考答案:
A,B,C,D
[多项选择题]
35、《国家电网公司信息系统版本管理方法》中的版本计划管理规定版本计划应包括()。
A.业务应用或系统名称
B.当期版本标示
C.计划版本标识
D.版本更新内容说明
参考答案:
A,B,C,D
[多项选择题]
36、《国家电网公司信息系统版本管理方法》中的版本发布管理中规定版本升级方案应包括()。
A.升级的目的
B.升级内容
C.升级各步骤的时间估算
D.升级涉及范围对业务的影响
参考答案:
A,B,C,D[多项选择题]
37、应用系统统一开发平台(SG-UAP)是融合了平台()并进一步创新而形成的。
A.Sotower
B.PI3000
C.UCML
D.OBPS
参考答案:
A,B
[多项选择题]
38、国家电网公司信息系统非功能性需求规范(试行)》中规定当系统进行多用户并发操作时,应满足()要求。
A.首页访问平均响应时间不得超过3秒
B.系统登录平均响应时间不得超过5秒
C.执行复杂的综合业务(同时包括查询、添加、删除等操作要求)时,平均响应时间不得超过8秒
D.执行简单查询、添加和删除业务时,平均响应时间不得超过5
秒
参考答案:
A,B,C,D
[多项选择题]
39、审计日志应禁止包含()。
A.用户敏感信息(如密码信息等)
B.客户完整交易信息
C.客户的隐私信息(如银行卡信息、密码信息、身份信息等)
D.时间
参考答案:
A,B,C
[多项选择题]
40、信息内网办公计算机部署信息内网桌面终端安全域,信息外网办公计算机部署于信息外网桌面终端安全域,桌面终端安全域要采取()等安全防护措施。
A.安全准入管理
B.访问控制
C.病毒防护
D.桌面资产管理
参考答案:
A,B,C,D
参考解析:
桌面终端安全域要采取安全准入管理、访问控制、入侵监制、病毒防护、恶意代码过滤、补丁管理、事件审计、桌面资产管理、保密检测、数据保护与监控等措施进行安全防护。
[多项选择题]
41、公司商业秘密信息密级标注主要包括()。
A.核心商秘
B.普通商秘
C.绝密
D.机密
参考答案:
A,B
[多项选择题]
42、对于信息内网计算机不可开展()工作。
A.处理国家秘密信息
B.处理企业秘密信息
C.使用无线鼠标
D.连接信息外网或其他公用网络
参考答案:
A,C,D
参考解析:
严禁在信息内网计算机存储、处理国家秘密信息;信息内网办公计算机不能配置、使用无线上网卡等无线设备,严禁通过电话拨号、无线等各种方式与信息外网和互联网互联。
[多项选择题]
43、《国家电网公司信息系统非功能性需求规范(试行)》中规定系统应设计使用多种输入多种输入验证的方法,包括:
()。
A.检查数据是否符合期望的类型
B.检查数据是否符合期望的长度
C.检查数值数据是否符合期望的数值范围
D.检查数据是否包含特殊字符,如:
<、>、”、’、%、(、)、&、+、/、/’、/”等;应使用正则表达式进行白名单检查
参考答案:
A,B,C,D
[多项选择题]
44、SG-UAP技术服务工作主要是通过在应用系统的()环节提供必要的技术服务支撑,使基于SG-UAP建设的应用系统的研发和运维工作得以顺利开展。
A.技术方案论证
B.技术方案的设计及评审
C.功能开发
D.上线运行
参考答案:
A,B,C,D
[多项选择题]
45、下列应用软件的鉴别和认证机制中,()可以用来替代或者作为用户名+静态口令方式的补充。
A.公钥基础设施
B.硬件令牌
C.生物识别认证
D.一次性动态口令
参考答案:
A,B,C,D
[多项选择题]
46、下列关于《国家电网公司应用软件通用安全要求》中系统开发和安全性保证说法正确的是()。
A.应用软件的开发应严格按照系统的需求说明书和设计说明书进行
B.应用软件的开发能在任何的开发环境中进行
C.开发人员不得对外泄露开发内容、程序及数据结构
D.对于处于运维阶段的应用软件,在进行二次开发时,需要考虑开发时对于现有系统的影响,在系统升级时,应该制订相应的安全预案,保证系统升级时不能影响原有系统的正常运行
参考答案:
A,C,D
参考解析:
应用软件的开发应该在专用的开发环境中进行,开发人员不得对外泄露开发内容、程序及数据结构
[多项选择题]
47、下列关于《国家电网公司信息系统版本管理方法》中的版本测试管理说法正确的是()。
A.研发单位向测评机构申请进行第三方认证测试,测评机构根据《国家电网公司信息系统测试管理办法》组织进行新版本测试工作
B.安全测评通过后,开发单位向软件著作权管理与保护部门移交与安全测试通过版本一致的软件著作权资料,并配合开展资料的审核和验证工作
C.测评完成后,根据《国家电网公司信息系统上下线管理办法》开展上线和试运行相关工作
D.试运行完成后,确认新版本安全稳定后,由运维部门向业务部门和信息通信职能管理部门提交新版本试运行相关信息,由信息系统建设单位统一下发新版本使用通知
参考答案:
A,B,C
参考解析:
试运行完成后,确认新版本安全稳定后,由运维部门向业务部门和信息通信职能管理部门提交新版本试运行相关信息,由总部统一下发新版本使用通知。
[多项选择题]
48、《国家电网公司信息系统上下线管理方法》中规定系统上线试运行在具备下列条件()后,可以由系统建设开发单位负责向信息化管理部门申请系统上线试运行验收。
A.系统上线试运行期间连续稳定运行
B.系统建设开发单位完成用户应用培训、运行维护培训,配合运行维护单位制订系统备份方案、系统监控方案、安全策略配置方案、应急预案等运行技术文档
C.系统建设开发单位完成系统的全面移交,移交内容包括系统日常维护手册、系统管理员手册、系统培训手册、系统核心参数及端口配置表、系统用户及口令配置表(需含口令修改关联关系)、技术支持服务联系人及联系方式等
D.信息化职能管理部门、业务主管部门及运行维护单位应确定系统服务级别,建立保证信息系统正常运行的运行维护管理办法和考核制度,明确系统各级维护管理和应用人员的职责,确保信息的及时、准确、全面和安全
参考答案:
A,B,C,D
[多项选择题]
49、下来情况()是指系统下线,不再提供任何应用服务。
A.系统退出正常运行
B.进入退役
C.报废状态
D.系统异常报错
参考答案:
A,B,C
[多项选择题]
50、下列关于信息化项目验收和后评估管理的说法正确是()。
A.国网信通部会同相关业务部门负责组织总部信息化项目、公司统一组织建设信息化项目的验收工作
B.信息系统上线试运行结束后,项目承建单位应完成隐患问题处理,确定系统达到稳定运行条件后,及时填写项目竣工验收申请单,并提供齐全的验收资料
C.信息化项目验收需成立验收组织机构,开展必要的测试、检查工作,对项目的完成情况、实现功能和性能、质量控制、档案完整性、项目取得的成果及主要技术经济指标进行全面总结和评价,并形成相应的验收意见
D.信息化建设要建立信息化项目后评估制度。
各单位信息化项目的后评估结果不需要上报国网信通部
参考答案:
A,B,C
参考解析:
选项D,需要上报国网信通部
[多项选择题]
51、信息化项目建设要坚持标准化建设原则,按照(),统一组织开展典型设计、试点先行、分步推广等工作,确保公司建成一体化集团企业资源计划系统。
A.统一功能规范
B.统一技术标准
C.统一开发平台
D.统一产品选型的要求
参考答案:
A,B,C,D
[多项选择题]
52、《国家电网公司信息通信部关于进一步加强公司信息系账号权限及访问控制管理的通知》规定在账号权限及访问控制管理等核心信息系统运维工作方面,要全面实现“四确保”目标,下面关于“四确保”的说法正确的是()。
A.确保信息系统用户账号与实体用户一一对应
B.确保各类信息系统账号不误删、不错调、不越权、不限用
C.确保账号权限管理贯穿项目建设及系统运行的各个阶段
D.确保账号权限在管理者、使用者、监督者三类角色间实现相互制衡
参考答案:
A,B,C,D
[多项选择题]
53、下列关于系统管理员和数据库管理员权限的说法正确的是()。
A.在人员不足时,系统管理员能同时拥有数据库管理员(DBA)的权限
B.数据库管理员为了方便应用系统的数据库管理员操作数据库,应为所有的应用数据库的管理员授予DBA的权限
C.不同应用数据库的管理员一般不能具备访问其他应用数据库的权限
D.系统上线后,应删除测试账户,严禁系统开发人员掌握系统管理员口令
参考答案:
C,D
参考解析:
系统管理员不得拥有数据库管理员(DBA)的权限,数据库管理员也不得同时拥有系统管理员的权限;数据库管理员应为不同应用系统的数据库建立不同的用户并仅作为该应用数据库的管理员。
[多项选择题]
54、常态安全巡检包括()。
A.定期巡检病毒木马感染情况
B.定期巡检责任范围内互联网出口攻击与非正常访问情况
C.定期巡检安全移动存储介质使用及内容安全交换情况
D.定期巡检信息内外网络、信息系统及设备漏洞及弱口令情况
参考答案:
A,B,C,D
[多项选择题]
55、信息安全“三个不发生”是指()。
A.确保不发生大面积信息系统故障停运事故
B.确保不发生恶性信息泄密事故
C.确保不发生信息内网非法外联事故
D.确保不发生信息外网网站被恶意篡改事故
参考答案:
A,B,D[多项选择题]
56、“三个纳入”是指()。
A.将信息安全纳入公司安全生产管理体系
B.将等级保护纳入信息安全日常管理中
C.将信息安全纳入信息化工作中
D.将信息安全纳入绩效考核中
参考答案:
A,B,C
[单项选择题]
57、下列信息中()不是公司商秘文件应标注的内容。
A.密级
B.保密期限
C.知悉范围
D.文件制定人