信息安全基础知识题集

第一部分信息安全基础知识（673题）

一、判断题

1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13.

防火墙的功能是防止网外未经授权以内网的访问。（）对

入侵检测系统可以弥补企业安全防御系统中的安全缺陷和漏洞。（）错

PKI（Public Key Infrastructure）体系定义了完整的身份认证、数字签名、权限管理标准。（）错

更新操作系统厂商发布的核心安全补丁之前应当在正式系统中进行测试，并制订详细的回退方案。（）错

发起大规模的DDOS攻击通常要控制大量的中间网络或系统。（）对

应采取措施对信息外网办公计算机的互联网访问情况进行记录，记录要可追溯，并保存六个月以上。（）对

入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击的实时防护。（）对 IPS在IDS的基础上增加了防御功能，且部署方式也相同。（）错

根据公安部信息系统实现等级保护的要求，信息系统的安全保护等级分为五级。（）对

防火墙不能防止内部网络用户的攻击，传送已感染病毒的软件和文件、数据驱动型的攻击。（）对

安全的口令，长度不得小于8位字符串，要求是字母和数字或特殊字符的混合，用户名和口令禁止相同。（）对

涉及二级与三级系统间共用的网络设备、安全设备，采用“就低不就高”的原则，按二级要求进行防护。（）错

隔离装置部属在应用服务器与数据库服务器之间，除具备网络强隔离、地址绑定、访问控制等功能外，还能够对SQL语句进行必要的解析与过滤，抵御SQL注入攻击。（）对

安全域是具有相同或相近的安全需求、相互信任的区域或网络实体的集合，一个安全域可以被划分为安全子域。（）对

公钥密码算法有效解决了对称密码算法的密钥分发问题，因此比对称密码算法更优秀。（）错

安全加密技术分为两大类：对称加密技术和非对称加密技术。两者的主要区别是对称加密算法在加密、解密过程中使用同一个密钥：而非对称加密算法在加密、解密过程中使用两个不同的密钥。（）对

ORACLE默认情况下，口令的传输方式是加密。（）错

在ORACLE数据库安装补丁时，不需要关闭所有与数据库有关的服务。（）错 在信息安全中，主体、客体及控制策略为访问控制三要素。（）对 防火墙可以解决来自内部网络的攻击。（）错

防火墙作为实现网络边界隔离的设备，其部署应以安全域划分及系统边界整合为前

14. 15. 16.

17. 18. 19. 20. 21.

22.

23.

24. 25. 26. 27. 28. 29.

30. 31. 32.

提，综合考虑边界风险的程度来设定。（）对

在等级保护监管中，第二级信息系统的运营、使用单位应当依据国家有关管理规范和技术标准进行保护，国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督和检查。（）错

针对各等级系统应具有的对抗能力和恢复能力，公安部给出了各等级的基本安全要求。基本安全要求包括了基本技术要求和基本管理要求，基本技术要求主要用于对抗威胁和实现技术能力，基本管理要求主要为安全技术实现提供组织、人员、程序等方面的保障。（）对

国家电网公司管理信息大区中的内外网间使用的是逻辑强隔离装置，只允许一个方向的访问。（）对

PDRR安全模型包括保护、检测、相应、恢复四个环节。（）对 互联网出口必须向公司信息通信主管部门进行说明后方可使用。（）错

在个人内网计算机上存放“秘密”标识的文件，这违反了严禁在信息内网计算机存储、处理国家秘密信息的规定。（）对

最小特权、纵深防御是网络安全的原则之一。（）对

根据国家电网公司信息内、外网隔离要求，不允许同一台终端同时连接到信息内网和互联网，在连接信息内网时须切断与因特网的连接，在连接因特网时须切断与信息内网的连接。（）错

国家电网公司管理信息大区中的信息内、外网间使用的是正向隔离装置。（）错 通过建立与网络信息安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。（）对

信息系统的安全保护等级分为五级，第一级是指信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。（）对

二、单选题

1. 2. 3. 4.

在信息安全中，下列（）不是访问控制三要素。D A、主体 B、客体 C、控制策略 D、安全设备 下列（）不是信息安全CIA三要素。A A、可靠性 B、机密性 C、完整性 D、可用性 以下（）标准是信息安全管理国际标准。C

A、ISO9000-2000 B、SSE-CMM C、ISO27000 D、ISO15408 软件开发者对要发布的软件进行数字签名，并不能保证（）C

A、软件的完整性 B、软件的来源可靠可信 C、软件的代码安全 D、软件的发布日期可信

WINDOWS系统进行权限的控制属于（）A

A、自主访问控制 B、强制访问控制 C、基于角色的访问控制 D、流访问控制 使用PGP安全邮件系统，不能保证发送信息的（）C A、私密性 B、完整性 C、真实性 D、免抵赖性

假设使用一种加密算法，它的加密方法很简单：将每一个字母加2，即a加密成c。这种算法的密钥就是2，那么它属于（）。A

A、对称加密技术 B、分组密码技术 C、公钥加密技术 D、单向函数密码技术

5. 6. 7.

8.

9.

10.

11. 12. 13. 14. 15. 16.

17.

18.

19. 20.

21.

访问控制的目的在于通过限制用户对特定资源的访问。在WINDOWS系统中，重要目录不能对（）账户开放。A A、everyone B、users C、administrator D、guest

计算机病毒的种类很多，它们的结构类似，病毒结构中（）的作用是将病毒主体加载到内存。C

A、破坏部分 B、传染部分 C、引导部分 D、删除部分 关于SSL的描述，不正确的是（）D

A、SSL协议分为SSL握手协议和记录协议 B、SSL协议中的数据压缩功能是可选的 C、大部分浏览器都内置支持SSL功能 D、SSL协议要求通信双方提供证书 哈希算法MD5的摘要长度为（）B A、64位 B、128位 C、256位 D、512位 下列（）不属于计算机病毒感染的特征。A

A、基本内存不变 B、文件长度增加 C、软件运行速度减慢 D、端口异常 （）加密算法属于公钥密码算法。D A、AES B、DES C、IDEA D、RSA

在网络中，若有人非法使用嗅探软件，以下（）协议应用的数据不会受到攻击。D A、HTTP B、FTP C、TELNET D、SSH 造成系统不安全的外部因素不包含（）B

A、黑客攻击 B、没有及时升级系统漏洞 C、间谍的渗透入侵 D、DDOS攻击 物理安全防护要求中“电源线和通信缙绅隔离铺设，避免互相干扰，并对关键设备和磁介质实施电磁屏蔽”，其主要目的是保证系统的（）B A、可用性 B、保密性 C、完整性 D、抗抵赖性

以国家电网公司统推系统为例，下列（）安全域之间需要部署逻辑强隔离装置。A A、EPR系统域和外网门户网站系统域

B、外网门户网站系统域和外网桌面终端域 C、ERP系统域和内网桌面终端域

D、电力市场交易系统域和财务管控系统域

安全事故调查应坚持（）的原则，及时、准确地查清事故经过、原因和损失，查明事故性质，认定事故责任，总结事故教训，提出整改措施，并对事故责任者提出处理意见，做到“四不放过”。A A、实事求是、尊重科学 B、依据国家法规 C、行业规定 D、相关程序 下列（）技术不属于预防病毒技术的范畴。A A、加密可执行程序 B、引导区保护 C、系统监控与读写控制 D、校验文件 能够对IP欺骗进行防护的是（）C

A、在边界路由器上设置到特定IP的路由 B、在边界路由器上进行目标IP地址过滤 C、在边办路由器上进行源IP地址过滤 D、在边界防火墙上过滤特定端口 关于IDS和IPS，说法正确的是（）D

A、IDS部署在网络边界，IPS部署在网络内部 B、IDS适用于加密和交换环境，IPS不适用 C、用户需要对IDS日志定期查看，IPS不需要

22.

23. 24.

25.

26.

27.

28.

29.

30.

31.

32. 33.

D、IDS部署在网络内部，IPS部署在网络边界

《信息系统安全等级保护基本要求》将信息安全指标项分成三类，不属于等保指标项分类的是（）C

A、服务保证类（A） B、信息安全类（S）

C、完整保密类（C） D、通信安全保护类（G） 下列（）不是逻辑隔离装置的主要功能。D

A、网络隔离 B、SQL过滤 C、地址绑定 D、数据完整性检测 信息安全发展的阶段不包括（）A A、评估与等级保护测评阶段 B、计算机安全和信息安全阶段 C、信息保障阶段 D、信息保密阶段

通过提高国家电网公网信息系统整体安全防护水平，要实现信息系统安全的（）C A、管控、能控、在控 B、可控、自控、强控 C、可控、能控、在控 D、可控、能控、主控 不能防范ARP欺骗攻击的是（）A A、使用静态路由表 B、使用ARP防火墙软件 C、使用防ARP欺骗的交换机 D、主动查询IP和MAC地址 下列关于等级保护三级恶意代码防范说法不正确的是（）C A、要求安装恶意代码防范产品 B、要求支持防范软件的统一管理

C、主机和网络的恶意代码防范软件可以相同

D、通过实现恶意代码的统一监控和管理，实现系统的自动升级 在取得目标系统的访问权之后，黑客通常还需要采取进一步的行动以获得更多权限，这一行动是（）A

A、提升权限，以攫取控制权

B、扫描、拒绝服务攻击、获取控制权、安装后门、嗅探 C、网络嗅探 D、进行拒绝服务攻击 TELENET服务自身的主要缺陷是（）C

A、不用用户名和密码 B、服务端口23不能被关闭 C、明文传输用户名和密码 D、支持远程登录 在网络的规划和设计中，可以通过（）划分网络结构，将网络划分成不同的安全域。C

A、IPS B、IDS C、防火墙 D、防病毒网关

从安全属性对各种网络攻击进行分类，截获攻击是针对（）的攻击，DDOS攻击是针对（）的攻击。B A、机密性，完整性 B、机密性，可用性 C、完整性，可用性 D、真实性，完整性

下列网络协议中，通信双方的数据没有加密，明文传输是（）D A、SFTP B、SMTP C、SSH D、SSL 以下关于数据备份说法不正确的是（）C

A、全备份所需时间长，但恢复时间短，操作方便，当系统中数据量不大时，采用全备份比较可靠

B、增量备份是指只备份上次备份以后有变化的数据 C、差分备份是指根据临时需要有选择地进行数据备份 D、等级保护三级数据备份不仅要求本地备份，还提出防止关键节点单点故障的要求

34.

35. 36.

37.

38. 39. 40.

41.

42.

43. 44.

用户收到了一封陌生人的电子邮件，提供了一个DOC格式的附件，用户有可能会受到（）A

A、溢出攻击 B、目录遍历攻击 C、后门攻击 D、DDOS 防范黑客入侵的主要手段不包括（）A

A、强制手段 B、技术手段 C、管理手段 D、法律手段

用户发现自己的安全U盘突然损坏无法使用，此时最好（）A A、交予运维人员处理 B、自行丢弃处理

C、使用普通U盘 D、寻求外部单位进行数据恢复 下列关于防火墙的说法正确的是（）B

A、防火墙能够很好地解决内网网络攻击的问题

B、防火墙可以防止把网外未经授权的信息发送到内网 C、任何防火墙都能准确地检测出攻击来自哪一台计算机 D、防火墙的主要支撑技术是加密技术

下列攻击方式中，既属于身份冒领，也属于IP欺骗的是（）B A、目录遍历 B、ARP攻击 C、网页盗链 D、溢出攻击 （）不是基于用户特征的身份标识与鉴别。D A、指纹 B、虹膜 C、视网膜 D、门卡 包过滤防火墙无法实现下面的（）功能D

A、禁止某个IP访问外部网络 B、禁止某个IP提供对外HTTP服务 C、禁止访问某个IP的80端口 D、禁止某个IP使用某个FTP命令 对DMZ区的描述错误的是（）A

A、DMZ区内的服务器一般不对外提供服务

B、DMZ功能主要为了解决安装防火墙之后外部网络无法访问内部服务器的问题 C、通过DMZ区可以有效保护内部网络 D、DMZ区位于企业内网和外部网络之间 数据完整性指的是（）D

A、对数据进行处理，防止因数据被截获而造成泄密 B、对通信双方的实体身份进行鉴别 C、确保数据是由合法实体发出的 D、防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致

SSL是保障WEB数据传输安全性的主要技术，它工作在（）C A、链路层 B、网络层 C、传输层 D、应用层 访问控制能够有效地防止对资源的非授权访问，一个典型的访问控制规则不包括（）D

A、主体 B、客体 C、操作 D、认证

关于机房建设物理位置的选择，下列选项中正确的是（）C A、地下室 B、一楼 C、大楼中部 D、大楼顶楼

隔离装置独有的SQL防护规则库在默认配置情况下，可以阻断所有对数据库的管理操作，严格禁止在外网进行数据库的管理维护操作。以下不属于默认配置下禁止的操作有（）D

A、建立、修改、删除用户 B、建立、修改、删除存储过程 C、建立、修改、删除表空间 D、建立、修改、删除配置策略 以下（）不是应用层防火墙的特点D

45. 46.

47.

48. 49. 50.

51.

52.

53.

54.

55.

56.

57. 58.

A、更有效地阻止应用层攻击 B、工作在OSI模型的第七层 C、比较容易进行审计 D、速度快且对用户透明 下列概念中，不能用于身份认证的手段是（）D

A、用户名和口令 B、虹膜 C、智能卡 D、限制地址和端口 不属于信息安全与信息系统的“三个同步”的是（）A

A、同步管理 B、同步建设 C、同步规划 D、同步投入运行 下列安全防护措施中不是应用系统需要的是（）C A、禁止应用程序以操作系统ROOT权限运行 B、应用系统合理设置用户权限

C、用户口令可以以明文方式出现在程序及配置文件中 D、重要资源的访问与操作要求进行身份认证与审计

我国规定商用密码产品的研发、制造、销售和使用采用专控管理，必须经过审批，所依据的是（）A A、《商用密码管理条件》 B、《中华人民共和国计算机信息系统安全保护条例》 C、《计算机信息系统国际联网保密管理规定》 D、《中华人民共和国保密法》

HTTPS是一种安全的HTTP协议，它使用（）来保证信息安全，使用（）来发送和接收报文B

A、SSH，UDP的443端口 B、SSL，TCP的443端口 C、SSL，UDP的443端口 D、SSH，TCP的443端口 SSL协议中，会话密钥产生的方式是（）C A、从密钥管理数据库中请求获得 B、每一台客户机分配一个密钥的方式 C、由客户机随机产生并加密后通知服务器 D、由服务器产生并分配给客户机

（）加强了WLAN的安全性。它采用了802.1x的认证协议、改进的密钥分布架构和AES加密。A A、802.11i B、802.11j C、802.11n D、802.11e 在实现信息安全的目标中，信息安全技术和管理之间的关系以下说法不正确的是（）C

A、产品和技术，要通过管理的组织职能才能发挥最好的作用 B、技术不高但管理良好的系统远比技术高但管理混乱的系统安全 C、建设实施得当，信息安全技术可以解决所有信息安全问题

D、实现信息安全是一个密管理的过程，而并非仅仅是一个技术的过程 信息安全风险管理应该（）C

A、将所有的信息安全风险都消除 B、在风险评估之前实施

C、基于可接受的成本采取相应的方法和措施 D、以上说法都不对

下列不是信息安全的目标的是（）A A、可靠性 B、完整性 C、机密性 D、可用性

在许多组织机构中，产生总体安全性问题的主要原因是（）A A、缺少安全性管理 B、缺少故障管理

59. 60.

61.

62. 63. 64.

65. 66. 67. 68.

69. 70.

71.

72.

73. 74. 75. 76.

C、缺少风险分析 D、缺少技术控制机制

在信息系统安全中，风险由以下（）因素共同构成。C

A、攻击和脆弱性 B、威胁和攻击 C、威胁和脆弱性 D、威胁和破坏

安全域实现方式以划分（）区域为主，明确边界以对各安全域分别防护，并且进行域间边界控制。A

A、逻辑 B、物理 C、网络 D、系统

安全防护体系要求建立完善的两个机制是（）A A、风险管理机制、应急管理机制 B、风险管理机制、报修管理机制 C、应急管理机制、报修管理机制 D、审批管理机制、报修管理机制 （）是常用的哈希算法。 B

A、3DES B、MD5 C、RSA D、AES DES算法属于加密技术中的（）A

A、对称加密 B、不对称加密 C、不可逆加密 D、以上都是 加密技术不能实现（）B

A、数据信息的完整性 B、基于密码技术的身份认证 C、机密文件加密 D、数据信息的保密性

一个可以对任意长度的报文进行加密和解密的加密算法称为（）D A、链路加密 B、流量加密 C、端对端加密 D、流加密 非对称算法是公开的，保密的只是（）B A、数据 B、密钥 C、密码 D、口令 DSA指的是（）A

A、数字签名算法 B、数字系统算法 C、数字签名协议 D、数字签名协议 “公开密钥密码体制”的含义是（）C A、将所有密钥公开 B、将私有密钥公开，公开密钥保密 C、将公开密钥公开，私有密钥保密 D、两个密钥相同 （）技术不能保护终端的安全。A

A、防止非法外联 B、防病毒 C、补丁管理 D、漏洞扫描

物理安全防护要求中“电源线和通信缙绅隔离铺设，避免互相干扰，并对关键设备和磁介质实施电磁屏蔽”，其主要目的是保证系统的（）B A、可用性 B、保密性 C、完整性 D、抗抵赖性

HTTPS是一种安全HTTP协议，它使用（）来保证信息安全，使用（）来发送和接受报文。B（此题删除） A、SSL，IPSec B、IPSec ，SSL C、IPSec ，SET D、IPSec ，SSH

攻击者截获并记录了从A到B的数据，然后又从早些时候所截获的数据中提取出信息重新发往B称为（）D A、中间人攻击 B、强力攻击 C、口令猜测器和字 D、重放攻击 仅设立防火墙系统，而没有（），防火墙就形同虚设。C A、管理员 B、安全操作系统 C、安全策略 D、防毒系统 分布式拒绝服务攻击的简称是（）A A、DDOS B、DROS C、LAND D、SDOS 逻辑强隔离装置采用代理模式，也称为（）A

A、SQL代理 B、TNS代理 C、ORACLE代理 D、OCI代理 （）加密算法属于公钥密码算法。B A、AES B、RSA C、DES D、IDEA

77.

78. 79. 80. 81. 82.

83.

84.

85.

86.

87. 88. 89.

90. 91.

下列（）不属于防止口令猜测的措施。B

A、限制密码尝试次数 B、使用隐藏符显示输入的口令 C、防止用户使用太短的口令 D、增加验证码 容易受到会话劫持攻击的是（）B A、HTTPS B、TELNET C、SFTP D、SSH 下列用户口令安全性最高的是（）C A、Zhangsan1980 B、19801212 C、Zhang!san10b D、Zhangsan980 下列（）不是逻辑隔离装置的主要功能。D

A、网络隔离 B、SQL过滤 C、地址绑定 D、数据完整性检测 完整的安全移动存储介质管理系统由三部分组成，（）不是组成部分B A、服务器 B、移动存储设备 C、控制台 D、客户端 下列情景中，（）属于身份验证过程。A A、用户依照系统提示输入用户名和密码

B、用户在网络上共享了自己编写的一份OFFICE文档，并设定哪些用户可以阅读，哪些用户可以修改

C、用户使用加密软件对自己编写的OFFICE文档进行加密，以阻止其他人得到这份拷贝后看到文档中的内容

D、某个人尝试登录到你的计算机中，但是口令输入的不对，系统提示口令错误，并将这次失败的登录过程记录在系统日志中 入侵检测系统提供的基本服务功能包括（）B A、异常检测和入侵检测 B、异常检测、入侵检测和攻击告警 C、入侵检测和攻击告警 D、异常检测和攻击告警 DOS攻击不会破坏的是（）B A、合法用户的使用 B、账户的授权

C、服务器的处理器资源 D、网络设备的带宽资源

与其化安全手段相比，蜜罐系统的独特之处在于（）C A、对被保护的系统的干扰小 B、能够对攻击者进行反击 C、能够搜集到攻击流量 D、能够离线工作 HTTP\\FTP\\SMTP建立在OSI模型的（）D A、2层—数据链路 B、3层—网络 C、4层—传输 D、7层—应用

信息系统账号要定期清理，时间间隔不得超过（）个月。A A、3 B、4 C、5 D、6 某员工离职，其原有账号应（）C

A、暂作保留 B、立即信用 C、及时清理 D、不做处理

一般来说，网络安全中人是最薄弱的一环，也是最难管理的一环，作为安全管理人员，（）能够提升人员安全意识。D

A、做好安全策略 B、教员工认识网络设备 C、设置双重异构防火墙 D、定期组织企业内部的全员信息安全意识强化培训 信息安全管理领域权威的标准是（）C

A、ISO15408 B、ISO9001 C、ISO27001 D、ISO14001

网络安全最终是一个折中的方案，即安全强度和安全操作的折中，除增加安全设施投资外，还应考虑（）D

A、用户的方便性 B、管理的复杂性

92.

93. 94.

95.

96.

97.

98.

99.

100.

101. 102. 103.

C、对现有系统的影响及不同平台的支持 D、以上三项都是 关于信息内网网络边界安全防护说法不准确的是（）。B A、要按照公司总体防护方案要求进行 B、纵向边界的网络访问可以不进行控制 C、应加强信息内网网络横向边界的安全防护

D、要加强上、下级单位和同级单位信息内网网络边界的安全防护

安全等级是国这信息安全监督管理部门对计算机信息系统（）的确认。C A、规模 B、安全保护能力 C、重要性 D、网络结构 建立信息安全管理体系时，首先应（）B

A、建立安全管理组织 B、建立信息安全方针和目标 C、风险评估 D、制订安全策略

隔离装置主要通过（）实现立体访问控制。D A、捕获网络报文进行分析、存储和转发 B、捕获网络报文进行分析、存储和转发 C、捕获网络报文进行分析、算法加密和转发 D、捕获网络报文进行分析、过滤和转发 网络扫描器不可能发现的是（）B

A、用户的弱口令 B、用户的键盘动作 C、系统的服务类型 D、系统的版本 移动存储介质按需求可以划分为（）。A A、交换区和保密区 B、验证区和保密区 C、交换区和数据区 D、数据区和验证区

关于WINDOWS用户口令的有效期，下列描述正确的是（）B A、超过有效期后系统会自动废止当前的用户口令，用户必须重新向管理员申请口令 B、即使设置了有效期，在有效期之内和之外，用户依然可以随意更改口令 C、系统只允许每个用户设置自己口令的有效期 D、可以在计算机管理中设置口令的有效期 下面情景（）属于授权。C

A、用户依照系统提示输入用户名和口令

B、用户使用加密软件对自己编写的OFFICE文档进行加密，以阻止其他人得到这份拷贝后提到文档中的内容

C、用户在网络上共享了自己编写的一份OFFICE文档，并设定哪些用户可以阅读，哪些用户可以修改

D、某个人尝试登录到你的计算机中，但是口令输入的不对，系统提示口令错误，并将这次失败的登录过程记录在系统日志中 （）不包含在信息安全AAA中。B A、Authentication(认证) B、Access(接入) C、Authorization(授权) D、Accounting(计费) （）通信协议不是加密传输的。B

A、SFTP B、TFTP C、SSH D、HTTPS 802.1X是基于（）的一项安全技术B A、IP地址 B、物理端口 C、应用类型 D、物理地址 属于SNMP、TELNET、FTP共性的安全问题是（）B A、主要的服务守护进程存在严重的系统漏洞

104. 105.

106. 107. 108. 109.

110.

111.

112.

113.

114.

115.

116.

B、明文传输特性

C、在建立连接过程中，缺少认证手段 D、都可以匿名连接

利用TCP连接三次握手弱点进行攻击的方式是（）A A、SYN Flood B、嗅探 C、会话劫持 D、以上都是 下列不属于DOS攻击的是（）D A、Smurf攻击 B、Ping Of Death C、Land攻击 D、TFN攻击

ARP欺骗可以对局域网用户产生（）威胁。D

A、挂马 B、局域网网络中断 C、中间人攻击 D、以上均是 仅设立防火墙系统，而没有（）防火墙就形同虚设。C A、管理员 B、安全操作系统 C、安全策略 D、防毒系统

通过防火墙或交换机防止病毒攻击端口，下列不应该关闭的端口是A A、22 B、445 C、1434 D、135 加密技术不能实现（）D

A、数据信息的完整性 B、基于密码技术的身份认证 C、机密文件加密 D、基于IP头信息的包过滤

以下关于“最小特权”安全管理原则理解正确的是（）C A、组织机构内的敏感岗位不能由一个人长期负责 B、对重要的工作进行分解，分给不同人员完成 C、一个人有且仅有其执行岗位所足够的许可和权限

D、防止员工由一个岗位变动到另一岗位，累积越来越多的权限

当员工或外单位的工作人员离开组织或岗位变化时，下列不属于必要的管理程序的是（）D

A、明确此人不再具有以前的职责 B、确保归还应当归还宾资产

C、确保属于以前职责的访问权限被撤销 D、安全管理员陪同此人离开工作场所

在数据库向因特网开放前，下列步骤（）是可能忽略的。B A、安全安装和配置操作系统和数据库系统 B、应用系统应该在内网试运行3个月

C、对应用软件如WEB页面、ASP脚本等进行安全性检查 D、网络安全策略已经生效

公钥加密与传统加密体制的主要区别是（）D A、加密强度高 B、密钥管理方便 C、密钥长度大

D、使用一个公共密钥用来对数据进行加密，而一个私有密钥用来对数据进行解密 数据加密标准DES是一种分组密码，将明文分成大小（）位的块进行加密，密钥长度为（）位D

A、128，32 B、128，56 C、64，32 D、64，56

三重DES是一种加强了的DES加密算法，它的有效密钥长度是DES算法的（）倍。B

A、2 B、3 C、4 D、5

DES的解密和加密使用相同的算法，只是将（）的使用次序反过来C A、密码 B、密文 C、子密钥 D、密钥

117.

118. 119. 120. 121.

122.

123.

PKI的全称是（）D

A、Private Key Intrusion B、Public Key Intrusion C、Private Key Infrastructure D、Public Key Infrastructure 目前，安全认证系统主要采用基本（）的数字证书来实现。A A、PKI B、KMI C、VPN D、IDS 数字证书是在（）国际标准中定义的D A、X.400 B、X.25 C、X.12 D、X.509

基本密码技术的（）是防止数据传输泄密的主要防护手段。C A、连接控制 B、访问控制 C、传输控制 D、保护控制 用于实现身份鉴别的安全机制是（）A A、加密机制和数字签名机制 B、加密机制和访问控制机制

C、数字签名机制和路由控制机制 D、访问控制机制和路由控制机制 加密、认证实施中首要解决的问题是（）C

A、信息的包装与用户授权 B、信息的分布与用户的分级 C、信息的分级与用户的分类 D、信息的包装与用户的分级 网页挂马是指（）A

A、攻击者通过在正常的页面中（通常是网站的主页）插入一段代码。浏览者在打开该页面的时候，这段代码被执行，然后下载并运行某木马的服务器端程序，进而控制浏览者的主机

B、黑客们利用人们的猎奇、贪心等心理伪装构造一个链接或者一个网页，利用社会工程学欺骗方法，引诱点击，当用户打开一个看似正常的页面时，网页代码随之运行，隐蔽性极高

C、把木马服务端和某个游戏/软件捆绑成一个文件通过QQ/MSN或邮件发给别人，或者通过制作BT木马种子进行快速扩散

D、与从互联网上下载的免费游戏软件进行捆绑。被激活后，它就会将自己复制到WINDOWS的系统文件夹中，并向注册表添加键值，保证它在启动时被执行

三、多选题

1. 2.

数字证书含有的信息包括（）。ABD A、用户的名称 B、用户的公钥 C、用户的私钥 D、证书有效期

OSI安全体系为异构计算机的进程与进程之间的通信安全性，定义了五类安全服务，以下属于这五类安全服务的是（）ABCD A、机密性 B、完整性 C、鉴别 D、防抵赖 下列关于入侵检测说法正确的是（）BCD A、能够精确检测所有入侵事件 B、可判断应用层的入侵事情

C、可以识别来自本网段、其他网段、以及外部网络的攻击 D、通常部署于防火墙之后

下列属于病毒检测方法的是（）ABCD A、特征代码法 B、校验和法 C、行为检测法 D、软件模拟法 防范IP欺骗的技术包括（）AC

A、反查路径RPF，即针对报文源IP反查路由表 B、针对报文的目的IP查找路由表

3.

4. 5.

6.

7. 8.

9.

10.

11.

12. 13. 14.

15. 16.

17.

C、IP与MAC绑定 D、部署入侵检测系统

降低计算机病毒的影响范围就必须有效的控制计算机病毒的传播途径，下列属于计算机病毒传播途径的是（）ABCD

A、通过文件共享传播 B、通过电子邮件传播 C、通过WEB网页传播 D、通过系统漏洞传播 下列属于数据备份常用方式的是（）ABC

A、完全备份 B、差异备份 C、增量备份 D、临时备份 下列关于防火墙主要功能的说法正确的是（）AB A、能够对进出网络的数据包进行检测与筛选 B、过滤掉不安全的服务和非法用户

C、能够完全防止用户传送已感染病毒的软件或者文件 D、能够防范数据驱动型的攻击

外网邮件用户的密码要求为（）ABC

A、首次登录外网邮件系统后应立即更改初始密码 B、密码长度不得小于八位 C、密码必须包含字母和数字

D、外网邮件用户应每6个月更改一次密码

在配置信息内外网逻辑强隔离装置时，以下（）是必需的步骤ABC A、配置数据库信息 B、配置应用信息 C、配置策略关联 D、重新启动设备

下列情况违反“五禁止”的包括（）ABCD A、在信息内网计算机上存储国家秘密信息 B、在信息外网计算机上存储企业秘密信息

C、在信息内网和信息外网计算机上交叉使用普通U盘 D、在信息内网和信息外网计算机上交叉使用普通扫描仪 VPN技术采用的主要协议包括（）ABD A、IPSec B、PPTP C、WEP D、L2TP

逻辑强隔离装置部署在应用服务器与数据库服务器之间，实现（）功能ABCD A、访问控制 B、网络强隔离 C、地址绑定 D、防SQL注入攻击 下列情况（）会给公司带来安全隐患ABCD A、外部技术支持人员私自接入信息内网 B、使用无线键盘处理涉案及敏感信息 C、某业务系统数据库审计功能未开启

D、为方便将开发测试环境和业务系统运行环境置于同一机房 WINDOWS日志文件包括（）ABC

A、应用程序日志 B、安全日志 C、系统日志 D、账户日志 ISS安全事件的分级主要考虑（）、（）、（）三个要素ABC A、信息系统的重要程度 B、系统损失 C、社会影响 D、国家安全

下列说法属于等级保护三级备份和恢复要求的是（）ABC A、能够对重要数据进行备份和恢复 B、能够提供设备和通信线路的硬件冗余

C、提出数据的异地备份和防止关键节点单点故障的要求

18.

19.

20.

21. 22.

23.

24.

25. 26.

27.

28.

D、要求能够实现异地的数据实时备份和业务应用的实时无缝切换 外网邮件用户的密码要求为（）BCD

A、外网邮件用户应每6个月更换一次密码

B、首次登录外网邮件系统后应立即更改初始密码 C、密码长度不得小于八位 D、密码必须包含字母和数字

SQL注入攻击有可能产生（）危害ABCD A、网页被挂木马 B、恶意篡改网页内容

C、未经授权状况下操作数据库中的数据 D、私自添加系统账号 风险评估的内容包括（）ABCD

A、识别网络和信息系统等信息资产的价值

B、发现信息资产在技术、管理等方面存在的脆弱性、威胁 C、评估威胁发生概率、安全事件影响，计算安全风险 D、有针对性地提出改进措施、技术方案和管理要求 以下加密算法中，（）已经被破解ABC

A、LanManager散列算法 B、WEP C、MD5 D、WPA2 以下关于对称密钥加密的说法正确的是（）BCD A、对称加密算法的密钥易于管理 B、加解密双方使用同样的密钥 C、DES算法属于对称加密算法

D、相对于非对称加密算法，加解密处理速度比较快 相对于对称加密算法，非对称密钥加密算法（）ACD A、加密数据的速率较低

B、更适合于现有网络中以所传输数据（明文）的加解密处理 C、安全性更好

D、加密和解密的密钥不同 防火墙的缺陷主要有（）ABCD A、限制有用的网络服务

B、无法防护内部网络用户的攻击 C、不能防备新的网络安全问题

D、不能完全防止传送已感染病毒的软件或文件 IPSEC的工作模式是（）AB

A、传输模式 B、隧道模式 C、穿越模式 D、嵌套模式 关于“云安全”技术，下列描述中（）是正确的ABD A、“云安全”技术是应对病毒流行和发展趋势的有效和必然选择 B、“云安全”技术是“云计算”在安全领域的应用 C、“云安全”将安全防护转移到了“云”，所以不需要用户的参与 D、WEB信誉服务是“云安全”技术应用的一种形式 “网络钓鱼”的主要技术包括（）ABC

A、发送电子邮件，以虚假信息引诱用户中圈套 B、建立假冒网站，骗取用户账号密码实施盗窃 C、利用虚假的电子商务进行诈骗

D、利用木马和黑客技术等手段窃取用户信息后实施盗窃活动 计算机网络系统设备安全应采取（）为主要手段ABC

29. 30.

31. 32.

33.

A、计算机网络系统设备的安全管理和维护 B、信息存储媒体的管理

C、计算机网络系统设备的电磁兼容技术 D、通信线路防窃听技术

属于安全闭环组成部分的是（）ABCD A、检测 B、响应 C、防护 D、预警

信息安全是个攻守不平衡的博弈，为避免信息安全事件的发生应该（）ABCD A、定期进行漏洞扫描 B、定期进行风险评估 C、及时给系统打补丁 D、加强信息安全管理

信息安全的CIA模型指的是（）三个信息安全中心目标ABC A、保密性 B、完整性 C、可用性 D、可按性 信息安全漏洞主要表现在（）ABCD A、非法用户得以获得访问权 B、系统存在安全方面的脆弱性 C、合法用户未经授权提高访问权限 D、系统易受来自各方面的攻击 加密的强度主要取决于（）ABD A、算法的强度 B、密钥的保密性 C、明文的长度 D、密钥的强度

第二部分公司信息安全管理要求

一、判断题

1．《国家电网公司信息系统口令管理暂行规定》规定不同权限人员应严格保管、保密各自职责的口令，严格限定使用范围，不得向非相关人员泄露，允许多人共同使用一个账户和口令。()

答案：错

解析：原则不允许多人共同使用一个账号和口令。 2．《国家电网公司信息系统口令管理暂行规定》规定软件开发商在开发应用软件期间，应充分考虑应用软件的安全设计，设计应保证用户名和口令不以明文的形式存放在配置文件、注册表或数据库中。()

答案：对 3．《国家电网公司信息系统口令管理暂行规定》规定用户因职责变动，而不需要使用其原有职责的信息资源，必须移交全部技术资料，明确其离岗后的保密义务，并立即更换有关口令和密钥，继续将其专用账户移交给他人使用。()

答案：错

解析：必须注销其专用账户。 4．《国家电网公司信息系统口令管理暂行规定》规定信息系统使用人员要妥善保管系统的账号密码，做到密码定期更换，对于密码遗失，要及时联系修改。()

答案：对

解析：重点做好口令密码的保管。

5．除非提供公共信息访问，应用系统不应该内置匿名账户，也不允许匿名用户的登录。()

答案：对

6．应用软件应该提供给审核管理员用户一个产生和修改用户授权的管理工具，并且保证在每次产生或修改权限后不需要重启系统就能立即生效。()

答案：错

解析：应该提供给系统管理员。 7.应用软件使用中，应该保证审核管理员账号(角色)与系统管理员账号(角色)不能为同一人。( )

答案：对

8. 应用软件应该能够根据业务特性，设置权限互斥的原则，保证用户、权限合理对应关系，避免任何可能产生安全问题的权限分配方式或结果。()

答案：对

9.《国家电网公司信息化建设管理办法》中的“信息化保障体系”包含信息安全防护体系、标准规范体系、管理调控体系、评价考核体系、技术研究体系和人才队伍体系等内容。()

答案；对

10．各单位各自制定企业信息化业务架构、应用架构、数据架构、技术架构(含安全架构)，对企业信息化建设实行总体架构管控。()

答案：错

解析：公司总部统一制定企业信息化业务架构、应用架构、数据架构、技术 架构(含安全架构)，对企业信息化建设实行总体架构管控。 11．信息化项目建设要严格执行有关信息安全及保密管理规定。坚持信息安全是信息化项目有机组成部分的原则，按照信息安全措施与信息化项目同步规划、同步建设和同步投入运行的要求，切实落实信息化项目中安全措施建设工作。()

答案：对 12．系统上线指信息系统在生产环境部署并提供给用户实际使用，主要是指上线正式运行阶段。()

答案：错

解析：包括上线试运行和上线正式运行两个阶段。

13.《国家电网公司信息系统上下线管理方法》中规定信息系统在上线试运行测试完成前，不对外提供服务。( )

答案：对

14.《国家电网公司信息系统上下线管理方法》中规定系统下线后，运行维护单位应根据业务主管部门的要求对应用程序和数据进行销毁。()

答案：错 解析：运行维护单位应根据业务主管部门的要求对应用程序和数据进行备份及迁移工作。备份数据保存时间由业务主管部门确定。

15. 信息系统由大的变动或升级引起版本变更，应一次递增副版本号。信息系统有小的变动时，应依次递增补丁号。()

答案：错

解析：信息系统由大的变动或升级引起版本变更，应依次递增主版本号。信息系统有小的变动时，应依次递增副版本号。信息系统由缺陷修复引起版本变更，应依次递增补丁号。

16.自开发平台类系统新版本开发测试完成后向测评部门提出第三方测评需求时，不需要同时提供业务应用新版本变更说明书。()

答案：错

解析：应同时提供业务应用新版本变更说明书。

17.《国家电网公司信息系统版布管理方法》中的版本发布管理规定为了保证信息系统安全稳定运行，每个系统升级次数不能过于频繁，原则上每个月不能超过一次。()

答案：对 18．《国家电网公司信息系统版本管理方法》中的版本运行管理中规定版本变更后，各单位运行维护部门需跟踪新版本的使用情况，及时将使用中出现的问题或缺陷提交研发单位并抄送国网公司信通部，由研发单位对问题进行验证、确认。()

答案：错

解析：提交研发单位并抄送国网信通公司。

19. 应用软件正式投入运行后，应指定专人对应用软件进行管理，删除或者禁用不使用的系统缺省账户，更改缺省口令。()

答案：对

20应用软件的安全设计和实现应该具有共享性，能依赖当前基础主机环境提供的安全机制来确保应用本身和它的数据不受到破坏或拒绝服务。()

答案：错 解析：应用软件的安全设计和实现应该具有独立性，不能完全依赖当前基础主机环境提供的安全机制来确保应用本身和它的数据不受到破坏或拒绝服务。

21．对外包开发的软件要执行全面的安全性测试，关键程序应检查源代码以有效地防止和杜绝条件触发的、内嵌的、潜在不安全程序的存存。()

答案；对

22．应用软件可以允许多个客户端用户同时执行互斥的操作。() 答案：错

解析：应用软件应该禁止多个客户端用户同时执行互斥的操作。 23. SG-UAP的全称是公司应用系统统一开发平台。() 答案：对

24. SG-UAP技术服务实行两级模式，即核心技术服务和一线技术服务。 () 答案：对

25. 信息系统非功能性需求是指除业务功能需求之外，从便于系统运行维护、提高用户体验、确保系统安全与稳定等方面对系统开发提出的要求。()

答案：对

26. 系统使用的系统账号(运行环境中的)应该有尽可能低的权限。不得使用“Administrator”，“root”，“sa”，“sysman”，“Supervisor’’或其他所有的特权用户运行应用程序或连接到网站服务器、数据库或中间件。()

答案：对 27．审计日志应至少包含以下内容：用户ID或引起这个事件的处理程序ID事件的日期、时间(时间戳)、事件类型、事件内容、事件是否成功，请求的来源、用户敏感信息。（ )

答案：错

解析：不能包含用户敏感信息。

28. 信息外网计算机是公司资产且信息外网台式机部署的物理位置可控，因此信息外网台式计算机可以处理公司的企业秘密信息。()

答案：错

解析：严禁将涉及国家秘密的计算机、存储设备与信息内、外网和其他公共信息网络连接，严禁在信息内网计算机存储、处理国家秘密信息，严禁在连接互联网的计算机上处理、存储涉及国家秘密和企业秘密信息。

29. 因为某员工离职，因此可以将该员工的信息内网办公计算机不做处理直接给其他员工进行使用。

答案：错 解析：信息内网办公计算机及外部设备和存储设备在变更用途，或不再用于处理信息内网信息或不再使用，或需要数据恢复时，要报计算机运行维护部门，由运行维护部门负责采取安全可靠的手段恢复、销毁和擦除存储部件中的信息，禁止通过外部单位进行数据恢复、销毁和擦除工作。

30．信息内网是相对安全的，因此没有必要定期开展病毒更新、补丁更新等工作。() 答案：错

31. 国家电网公司管理信息系统安全防护策略是双网双机、分区防护、综合治理、多层防御。( )

答案：错

解析：国家电网公司管理信息系统安全防护策略是双网双机、分区分域、等级防护、多层防御。

32．“SGl86工程”中的“6”，是建立健全六个信息化保障体系，分别是信息化安全防护体系、标准规范体系，管理调控体系、评价考核体系、技术研究体系和人才队伍体系。( )

答案：对

二、单选题

1．《国家电网公司信息系统安全管理办法》中明确定义：()是本单位网络与信息安全第一责任人，各单位信息化领导小组负责本单位网络与信息安全重大事项的决策和协调。()

A．各单位主要负责人B．信息部门领导 C. 信息安全专责 D．信息系统用户 答案：A 2．《国家电网公司信息系统安全管理办法》关于加强网络安全技术工作中要求，对重要网段要采取()技术措施。

A． 网络层地址与数据链路层地址绑定 B．限制网络最大流量数及网络连接数 c．强制性统一身份认证 D. 必要的安全隔离 答案：A

3. 《国家电网公司信息系统安全管理办法》规定：信息系统安全防护措施应按照“三同步”原则，与信息系统建设同步规划、同步( )、同步投入运行。

A建设B批准C施工D安装 答案：A

4《国家电网公司信息系统口令管理暂行规定》规定口令创建时必须具有一定强度、长度和复杂度，长度不得小于( )字符串。

A 5位B．6位C．7位D 8位

答案：D

解析；长度不得小于8位字符串。

5《国家电网公司信息系统口令管理暂行规定》规定口令要及时更新，要建立定期修改制度，其中系统管理员口令修改间隔不得超过()个月，并且不得重复使用前()次以内的口令。

A．3，3B. 3，4C. 4，4D. 2，3 答案：A

解析：修改间隔不得超过3个月，不得重复使用前3次以内的口令。 6．《国家电网公司信息系统口令管理暂行规定》规定用户登录事件要有记录和审计，同时限制同一用户连续失败登录次数，一般不得超过()次。

A．2B 3C 4D 5 答案：B

解析：连续失败次数，一般不得超过3次。 7．下列()不属于防止口令猜测的措施。

A．限制密码尝试次数 B．使用隐藏符显示输入的口令 C．防止用户使用太短的口令D．增加验证码 答案：B 8．《关于进一步加强公司信息系统账号权限及访问控制管理的通知》规定在账号权限及访问控制管理等核心信息系统运维工作方面，严格遵守“三到位”原则，即()。

A．建设到位、安全控制到位、主业人员到位 B．管理到位、安全控制到位、主业人员到位 C．建设到位、风险控制到位、从业人员到位 D．建设到位、风险控制到位、主业人员到位 答案：D

9根据《国家电网公司信息安全风险评估实施细则(试行)》，在风险评估中，资产评估包含信息资产()、资产赋值等内容。

A．识别B．安全要求识别 C．安全D．实体 答案：A 10．《国家电网公司应用软件通用安全要求》规定了应用软件的用户分类管理，下列关于应用软件的角色说法错误的是。()

A．应用软件应该将系统的管理权限(包括用户管理、权限管理、配置定制)单独赋予系统管理员账号(角色)，这类账号(角色)仅负责进行系统级的管理，不具备任何业务操作的权限

B．安全管理员账号对系统中所有的安全功能进行管理或监视，以监督和查证系统管理员、业务员正常行使权限

C．应用软件使用中，安全管理员账号与系统管理员账号能为同一人

D．审核管理员账号对关键的系统管理和特殊要求的、业务操作行为实施不可 绕行的审批，没有经过审批的操作将不能生效 答案：C

解析：应用软件使用中，安全管理员账号与系统管理员账号不能为同一人。

11．下列关于实现账号权限在管理者、使用者、监督者三类角色间实现相互制衡的说法错误的是()。

A．审计员账号仅能监控其他各类用户的操作轨迹及系统日志

B．管理员账号仅能配置不涉及业务数据及系统功能的普通用户的角色及权限

C．审核员账号仅能对管理员账号进行相关操作的复核和批准 D．普通用户仅能使用已授权系统功能，操作未授权的业务数据 答案：D

解析：普通用户仅能使用已授权系统功能，操作已授权的业务数据。 12. 下列关于信息化项目设计管理的说法错误的是()。

A．公司总部统一制定信息化标准体系，统一制订全公司信息标准编制计划。各单位必须严格按照公司确定的信息化标准体系和标准编制计划开展相关工作

B．公司信息化建设要严格遵循公司总部统一组织制定的企业信息化架构及信息标准 C．国网信通部负责组织总部项目和统一组织建设项目，以及各单位信息化项目的设计方案评审

D．信息化项目的设计方案可委托有相应资质的规划设计单位编写。业务应用信息化项目设计方案要以业务需求为依据

答案：C 解析：国网信通部负责组织总部项目和统一组织建设项目的设计方案评审；各单位信息化职能管理部门负责组织各单位信息化项目的设计方案评审。

13. 信息化项目建设完成后，应遵循()原则，由信息运行维护部门统一 负责系统的运行维护工作。

A．主业化、标准化、专业化B．主业化、规范化、标准化 C．主业化、集中化、规范化D．主业化、集中化、专业化 答案：D

14．下列关于信息化项目建设管理的说法错误的是()。 A．信息化项目原则上实行招投标制

B．对于业务应用相关的信息化项目，由相关业务部门和信息化职能管理部门共同配合招投标管理部门，开展招投标工作

C．信息化项目建设应建立项目组织机构，建立和执行信息化项目建设协调会议制度 D．信息化项目建设完成后，由项目承建单位提交试运行申请。信息化职能管理部门会同相关业务部门、项目承建单位进行充分的功能、技术(含标准符合度和软硬件兼容性等)、安全出厂及用户测试，测试通过后才能上线运行

答案：D

解析：测试通过后才能上线试运行。

15.《国家电网公司信息化建设管理办法》规定为了确保建成一体化企业级信息系统，公司信息化建设必须贯彻落实“四统一”原则，即()。

A．统一领导、统一规划、统一建设、统一组织维护 B．统一领导、统一设计、统一建设、统一组织实施 C．统一领导、统一规划、统一标准、统一组织实施 D．统一领导、统一设计、统一标准、统一组织实施 答案：c

16．下列不是系统申请上线试运行必须满足的条件的是()。

A．系统建设开发单位完成各个层次重点用户的培训工作，包括系统最终用户和运行维护单位有关人员的培训工作

B．系统文档资料齐全．符合有关标准

C．系统建设开发单位、运行维护单位共同检查系统的安装环境，确认满足安装所需的服务器、网络、电源等环境保障条件

D．系统建设开发单位对系统进行严格的测试，包括系统的功能实现、性能、可用性、

兼容性、集成性方面，并形成测试报告

答案：D

解析：测试需要包括系统的安全性。 17《国家电网公司信息系统上下线管理方法》中规定信息化管理部门和业务主管部门共同确定系统上线试运行开始时间和上线试运行的期限，原则上上线试运行期为()个月，具体可根据系统的复杂程度不同，按照能够全面检验系统运行质量的原则确定合理的运行时间或实际发生业务数量。

A 1B．2C．3D．4 答案：c 18．《国家电网公司信息系统上下线管理方法》中规定上线试运行的初期安排一定时间的观察期，观察期原则上不短于上线试运行期的1／3，一般为()个月。

A 1B．2C 3D．4 答案：A

19．下列关于系统上线正式运行的说法正确的是()。

A．过上线试运行验收后，系统完成建转运工作，该信息系统即为正式在运信息系统 B．运行维护单位负责系统的日常运行维护，除保证系统所需网络和软硬件环境正常外，还应对系统应用情况进行实时监控，做好应用统计，保证系统安全、可靠和稳定运行

C．建设开发单位需按合同规定指定专人负责配合运行维护单位开展系统的 售后服务和技术支持工作，由运行维护单位具体负责系统的程序代码维护

D为保障系统安全，在根据需要安排建设开发单位人员进行维护操作时，运行维护单位应安排专人进行监护。维护操作完成后，运行维护单位应及时收回临时分配出的所有权限

答案：C 解析：《国家电网公司信息系统上下线管理方法》规定，建设开发单位需按合同规定指定专人负责配合运行维护单位开展系统的售后服务和技术支持工作，并具体负责系统的程序代码维护。

20．《国家电网公司信息系统版本管理方法》中版本标识管理规定为保证版本有序传递，应建立统一的版本标识，具体的版本标识是()。

A <系统代码>一<版本号>一[补丁号]一[各单位编号] B <系统代码>一[补丁号]一[各单位编号]

C <<系统代码>一<版本号>一[各单位编号]一[补丁号] D <系统代码>一<版本号>一[补丁号] 答案：A 21．《国家电网公司信息系统版本管理方法》中版本标识管理规定信息系统上线试运行试发布的初始版本号应为()。

A．V1.0B． V0.0C． V1.000 D．V1.1 答案：C

22下列关于《国家电网公司信息系统版本管理方法》中的版本计划管理说法错误的是( )。

A．版本升级计划作为版本测试、发布的必要依据，由总部定期发布

B．研发单位在系统首次上线时，经过系统运行一段时间后，应提交版本升级策略和整体计划

C．自开发平台类系统研发厂商应根据应用需求和自身版本规划及时制订半年度版本升级计划，于每年5月30日和11月30日前报国网信通部

D．国网信通部每年组织评估、审核后，于每年12月30日前下发第三方平台类系统版

本次年升级计划

答案：B

解析：研发单位在系统首次上线时，应提交版本升级策略和整体计划。 23．《国家电网公司应用软件通用安全要求》中指出信息系统的安全目标体现在()方面。

A．机密性保障、安全性保障、可用性保障和可控性保障 B．机密性保障、完整性保障、保密性保障和可控性保障 C．机密性保障、安全性保障、保密性保障和可控性保障 D．机密性保障、完整性保障、可用性保障和可控性保障 答案：D

24．下列关于《国家电网公司应用软件通用安全要求》中密码技术的说法错误的是()。 A．应用软件中选择的密码算法在强度上应该等于或大于公司规定和用户提出的安全强度要求

B．应用软件需要在密钥生成、存储、分配、销毁的整个生命周期中对其实施保护，确保密钥明文不能被其他进程、程序和应用中非相关组件访问到

C．应用软件应该确保能够对系统中使用的证书进行正确鉴别，而且不会接受或继续使用非法的或者无效的证书

D．应用软件中可以直接选择MD5作为密码算法 答案：D

解析：MD5是公认的不安全的加密算法。

25．下列关于应用软件在运维和废弃阶段安全管理错误的是()。

A．应根据业务需求和安全分析确定应用软件的访问控制策略，用于控制分配 数据、信息、文件及服务的访问权限

B．应对应用软件账户进行分类管理，权限设定应当遵循最方便使用授权要求

C．应用软件废弃时，应确保系统中的所有数据被有效转移或可靠销毁，并确保系统更新过程是在一个安全、系统化的状态下完成

D．应用软件正式投入运行后，应指定专人对应用软件进行管理。删除或者禁 用不使用的系统默认账户，更改默认口令 答案：B

解析：应用软件正式投入运行后，应指定专人对应用软件进行管理，删除或者禁用不使用的系统默认账户更改默认口令。

26《国家电网公司应用软件通用安全要求》规定，应用软件部署后，下列()是可以存在的用户或口令。

A．实施过程中使用的临时用户 B．隐藏用户和匿名用户 C．管理员的初始默认口令

D．管理员分发给用户并经用户修改过的口令 答案：D

27．下列不属于SG—UAP技术服务工作范围的是()。 A．技术咨询B．辅助编码 C．培训考核D．运维支撑 答案：B

28．下列说法错误的是( )。

A．禁止明文传输用户登录信息及身份凭证

B．应采用SSL加密隧道确保用户密码的传输安全 C．禁止在数据库或文件系统中明文存储用户密码 D．可将用户名和密码保存在Cookie中 答案：D

解析：禁止在Cookie中保存用户密码。 29．《国家电网公司信息系统非功能性需求规范(试行)》中『规定系统密码策略应满足公司有关规范：密码长度不得低于()位，上限不得高于()位；必须支持数字及字母搭配组合。

A 6，17B．7，18C．8，20 D．9，21 答案：C

30《国家电网公司信息系统非功能性需求规范(试行)》中规定对于重要系统，应图形验证码来增强身份认证安全；图形验证码要求长度至少()位，随机生成且包含字母与数字的组合，经过一定的噪点和扭曲干扰，能够抵抗工具的自动识别但同时不影响用户的正常使用。

A 3B．4C 5 D．6 答案：B 31．《国家电网公司信息系统非功能性需求规范(试行)》中规定的接口方式安 全要求，下列说法错误的是()。

A．系统互联应仅通过接口设备(前置机、接口机、通信服务器、应用服务器 等设备)进行，特殊情况下可以直接访问核心数据库

B．接口设备上的应用只能包含实现系统互联所必需的业务功能，不包含信息 系统的所有功能

C．禁止明文传输，传输的敏感数据必须经过加密，可以采用加密传输协议， 如HTTPS，对于密码、密钥必须在传输先进行加密

D．各种收发数据、消息的日志都应予以保存，以备审计与核对 答案：A

32．国家电网公司办公计算机信息安全和保密管理遵循()的基本 原则。

A．涉密不上网、上网不涉密

B．双网双机、分区分域、等级防护、多层防御 C．业务工作谁主管，保密工作谁负责

D．严禁在信息外网处理涉及国家秘密的信息 答案：A

解析：国家电网公司办公计算机信息安全和保密管理遵循“涉密不上网、上 网不涉密”的原则。

33．下列信息中()不是公司商秘文件应标注的内容。 A．密级B．保密期限

c．知悉范围D．文件制定人 答案：D

34国家电网公司“SGl86”工程信息安全防护策略是()。 A．双网双机、分区分域、等级防护、多层防御 B．网络隔离、分区防护、综合治理、技术为主 C．安全第一、以人为本、预防为主、管控结合 D．访问控制、严防泄密、主动防御、积极管理 答案：A

三、多选题

1．“三个纳入”是指( )。

A．将信息安全纳入公司安全生产管理体系 B．将等级保护纳入信息安全日常管理中 C．将信息安全纳入信息化工作中 D．将信息安全纳入绩效考核中 答案：ABC

2．信息安全与信息系统的“三个同步”是指()。 A．同步规划B．同步建设

C．同步投入运行D．同步管理 答案：ABC

3．信息安全“三个不发生”是指( )。

A．确保不发生大面积信息系统故障停运事故 B．确保不发生恶性信息泄密事故 C．确保不发生信息内网非法外联事故

D．确保不发生信息外网网站被恶意篡改事故 答案：ABD

4．常态安全巡检包括( )。 A．定期巡检病毒木马感染情况

B．定期巡检责任范围内互联网出口攻击与非正常访问情况 C．定期巡检安全移动存储介质使用及内容安全交换情况

D．定期巡检信息内外网络、信息系统及设备漏洞及弱口令情况 答案：ABCD

5．下列关于口令管理的说法正确的是()。 A．口令必须具有一定强度、长度和复杂度 B．口令长度不得小于8位 C．口令可以全部有字母组成 D．口令可以和用户名相同 答案：AB

解析：口令要求是字母和数字或特殊字符的混合，用户名和口令禁止相同。 6．下列关于系统管理员和数据库管理员权限的说法正确的是()。 A．在人员不足时，系统管理员能同时拥有数据库管理员(DBA)的权限

B．数据库管理员为了方便应用系统的数据库管理员操作数据库，应为所有的 应用数据库的管理员授予DBA的权限

C．不同应用数据库的管理员一般不能具备访问其他应用数据库的权限

D．系统上线后，应删除测试账户，严禁系统开发人员掌握系统管理员口令 答案：CD

解析：系统管理员不得拥有数据库管理员(DBA)的权限，数据库管理员也不得同时拥有系统管理员的权限；数据库管理员应为不同应用系统的数据库建立不同的用户并仅作为该应用数据库的管理员。

7．下列关于应用软件的口令管理的说法正确的是()。

A．软件开发商在开发应用软件期间，应充分考虑应用软件的安全设计，设计应保证用

户名和口令不以明文的形式存放在配置文件、注册表或数据库中

B．访问数据库的用户名和口令能直接以明文的形式写入配置文件或者应用软件中 C．口令必须能方便地配置、修改和加密。按照人员进行口令分配和认证，一 能仅按照角色进行口令的分配

D．对不同用户共享的资源进行访问必须进行用户身份的控制和认证 答案：ACD

解析：访问数据库的用户名和口令不能直接以明文的形式写入配置文件或应用软件中，也不能固化在应用软件中或者直接写在数据库中。

8．《国家电网公司信息通信部关于进一步加强公司信息系统账号权限及访控制管理的通知》规定在账号权限及访问控制管理等核心信息系统运维工作方面，要全面实现“四确保”目标，下面关十“四确保”的说法正确的是()。

A．确保信息系统用户账号与实体用户一一对应

B．确保各类信息系统账号不误删、不错调、不越权、不限用 C．确保账号权限管理贯穿项目建设及系统运行的各个阶段

D．确保账号权限在管理者、使用者、监督者三类角色间实现相互制衡 答案：ABCD

9．应用软件应该将用户角色分为()类。

A．安全管理员账号(角色)B．审核管理员账号(角色) C．系统管理员账号(角色)D．非管理员账号(角色) 答案：ABCD

10．信息化项目建设要坚持标准化建设原则，按照()，统一组织开展典型设计、试点先行、分步推广等工作，确保公司建成一体化集团企业资源计划系统。

A．统一功能规范B．统一技术标准

C．统一开发平台D．统一产品选型的要求 答案：ABCD

11．下列关于信息化项日建设管理的说法正确的是()。

A．信息系统上线试运行前，须认真做好项目开发过程中形成的应用软件源代码(包括二次开发源代码)、各类技术文档等资料的移交及相应的知识转移上作，履行必要手续后进入上线试运行阶段

B．试运行前，业务部门、信息化职能管理部门要组织项目承建单位开展项目应用及相关运行维护人员的培训工作，使相关人员熟练使用和维护系统，并具备一般的故障处理能力

C．系统在上线试运行期间，按照上线试运行的要求管理，严格执行公司关于信息系统运行维护及安全管理的有关规定，做好数据备份，保证系统及用户数据的安全

D．国网信通部统一组织开展公司信息化项目建设的评优管理工作，评优工作 每两年开展一次 答案：ABCD

解析：按照上线正式运行的要求管理．评优工作每两年开展一次。 1 2．下列关于信息化项目验收和后评估管理的说法正确的是()。

A．国网信通部会同相关业务部门负责组织总部信息化项目、公司统一组织建设信息化项目的验收工作

B．信息系统上线试运行结束后，项目承建单位应完成隐患问题处理，确定系统达到稳定运行条件后，及时填写项目竣工验收申请单，并提供齐全的验收资料

C．信息化项目验收需成立验收组织机构，开展必要的测试、核查工作，对项目的完成情况、实现功能和性能、质量控制、档案完整性、项目取得的成果及主要技术经济指标进行

全面总结和评价，并形成相应的验收意见

D．信息化建设要建立信息化项目后评估制度。各单位信息化项目的后评估结果不需要上报国网信通部

答案：ABC

解析：选项D，需要上报国网信通部。

13．下列情况()是指系统下线，不再提供任何应用服务。 A．系统退出正常运行B．进入退役 C．报废状态D系统异常报错 答案：ABC

14．信息系统由()等构成其全部生命周期。 A．开发阶段 B．上线试运行阶段 C．上线正式运行阶段D．系统下线 答案：ABCD 15．《国家电网公司信息系统上下线管理方法》中规定系统上线试运行在具备下列条件()后，可以由系统建设开发单位负责向信息化管理部门申请系统上线试运行验收。

A．系统上线试运行期间连续稳定运行

B．系统建设开发单位完成用户应用培训、运行维护培训，配合运行维护单位制订系统备份方案、系统监控方案、安全策略配置方案、应急预案等运行技术文档

C．系统建设开发单位完成系统的全面移交，移交内容包括系统日常维护手册、系统管理员手册、系统培训手册、系统核心参数及端口配置表、系统用户及口令配置表(需含口令修改关联关系)、技术支持服务联系人及联系方式等

D．信息化职能管理部门、业务主管部门及运行维护单位应确定系统服务级别，建立保证信息系统正常运行的运行维护管理办法和考核制度，明确系统各级维护管理和应用人员的职责，确保信息的及时、准确、全面和安全

答案：ABCD 16．《国家电网公司信息系统版本管理方法》中的版本计划管理规定版本计划 应包括()。

A．业务应用或系统名称B．当前版本标识 C．计划版本标识 D．版本更新内容说明 答案：ABCD

17．下列关于《国家电网公司信息系统版本管理方法》中的版本测试管理说法 正确的是()。

A．研发单位向测评机构申请进行第三方认证测试，测评机构根据《国家电网公司信息系统测试管理办法》组织进行新版本测试工作

B．安全测评通过后，开发单位向软件著作权管理与保护部门移交与安全测试通过版本一致的软件著作权资料，并配合开展资料的审核和验证工作

C．测评完成后，根据《国家电网公司信息系统上下线管理办法》开展上线和试运行相关工作

D．试运行完成后，确认新版本安全稳定后，由运维部门向业务部门和信息通信职能管理部门提交新版本试运行相关信息，由信息系统建设单位统一下发新版本使用通知

答案：ABC

解析：试运行完成，确认新版本安全稳定后，由运维部门向业务部门和信息通信职能管理部门提交新版本试运行相关信息，由总部统一下发新版本使用通知。

18．《国家电网公司信息系统版本管理方法》中的版本发布管理中规定版本升级方案应

包含( )。

A．升级目的B．升级内容

C．升级各步骤的时间估算D升级涉及范围及对业务的影响 答案：ABCD

19．下列关于《国家电网公司应用软件通用安全要求》中系统开发和安全性保证的说法正确的是( )。

A．应用软件的开发应严格按照系统的需求说明书和设计说明书进行 B．应用软件的开发能在任何的开发环境中进行

C．开发人员不得对外泄漏开发内容、程序及数据结构

D．对于处于运维阶段的应用软件，在进行一次开发时，需要考虑开发时对于现有系统的影响，在系统升级时，应该制订相应的安全预案，保证系统升级时不能影响原有系统的正常运行

答案：ACD 解析：应用软件的开发应该在专用的开发环境中进行，开发人员不得对外泄漏开发内容、程序及数据结构。

20下列关于应用软件同基础主机环境间的安全交互的说法正确的是()。 A．应用软件应该防止用户绕过其安全控制机制直接尝试访问基础主机环境

B．在应用软件运行期间，应该不执行、并且应该不能被用于执行任何可能改变主机安全配置、安全文件、操作环境或平台安全程序的功能

C．应用软件能完全依赖当前基础主机环境提供的安全机制来确保应用本身和它的数据不受到破坏或拒绝服务

D．应用软件能够修改属于基础主机环境的文件和功能 答案：AB 解析：应用软件的安全设计和实现应该具有独立性，不能完全依赖当前基础主机环境提供的安全机制来确保应用本身和它的数据不受到破坏或拒绝服务，也不能破坏或试图破坏属于基础主机环境的文件和功能。

21．下列应用软件的鉴别和认证机制中，()可以用来替代或者作为用户 名+静态口令方式的补充。 A．公钥基础设施B．硬件令牌

C．生物识别认证D．一次性动态口令 答案：ABCD

22．应用系统统开发平台(SG-UAP)是融合了平台()并进一步创新 而形成的。

A．SotowerB．P13000C． UCMLD． OBPS 答案：AB

23 SG—UAP技术服务工作主要是通过在应用系统的()环节提供必要的技术服务支撑，使基于SG-UAP建设的应用系统的研发和运维工作得以顺利开展。

A．技术方案论证B．技术方案的设计及评审 C．功能开发D．上线运行 答案：ABCD 24．《国家电网公司信息系统非功能性需求规范(试行)》中规定当系统进行多用户并发操作时，应满足( )要求。

A．首页访问平均响应时间不得超过3秒 B．系统登录平均响应时间不得超过5秒

C．执行复杂的综合业务(同时包括查询、添加、删除等操作请求)时，平均 响应时间不得超过8秒

D执行简单查询、添加和删除业务时，平均响应时间不得超过5秒 答案：ABCD

25《国家电网公司信息系统非功能性需求规范(试行)》中规定系统应设计使 用多种输入多种输入验证的方法，包括()。 A．检查数据是否符合期望的类型 B．检查数据是否符合期望的长度

C．检查数值数据是否符合期望的数值范围 D．检查数据是否包含特殊字符，如：<、>、”、’、％、(、)、＆、+、＼、\\’、\\” 等；应使用正则表达式进行白名单检查 答案：ABCD

26．审计日志应禁止包含( )。 A．用户敏感信息(如密码信息等) B．客户完整交易信息

C．客户的隐私信息(如银行卡信息、密码信息、身份信息等) D．时间 答案：ABC

27．对于信息内网计算机不可开展()工作。 A．处理国家秘密信息 B．处理企业秘密信息 C．使用无线鼠标

D．连接信息外网或其他公用网络 答案：ACD 解析：严禁在信息内网计算机存储、处理国家秘密信息；信息内网办公计算机不能配置、使用毛线上网卡等无线设备，严禁通过电话拨号、无线等各种方式与信息外网和互联网络互联。

28．公司商业秘密信息密级标注主要包括()。 A．核心商秘B．普通商秘C．．绝密D．机密 答案：AB

29信息内网办公计算机部署于信息内网桌面终端安全域．信息外网办公计算机部署于信息外网桌面终端安全域．桌面终端安全域要采取()等安全防护措施。

A．安全准入管理B．访问控制 C．病毒防护D．桌面资产管理 答案：ABCD

解析：桌面终端安全域要采取安全准入管理、访问控制、入侵监测、病毒防护、恶意代码过滤、补丁管理、事件审计、桌面资产管理、保密检测、数据保护与监控等措施进行安全防护。

第三部分公司信息安全技术措施

一、判断题

1. 安全域是由一组具有相同安全保障需求、并相互信任的系统组成的逻辑区域，同一安全

域的系统共享相同的安全保障策略。（对）

2. 智能电网业务系统中，用电信息采集系统定为二级系统，按照三级系统的防护要求进行

建设防护。错

3. 信息安全保障体系是“SG186”工程中六大保障体系之一。对 4. 进行边界安全防护的首要任务是明确网络边界。对

5. 智能电网各信息系统具有集成度高、交互性多、用户广泛的特点，信息系统安全防护分

域遵照“同级系统统一成域”的原则。（）对

6. 无线网络环境安全防护的原则是信息内网办公环境不能使用无线组网，远程无线专线接

入必须使用安全接入系统。（）对

7. 智能电网防护方案的防护对象为部署于管理信息大区的发电、输电、变电、配电、用电、

调度、跨环节相关业务系统，主要包括输变电设备状态在线监测系统、用电信息采集系统、电动汽车智能充换电网络运行系统、电力光纤到户、95598等。（）对 8. 智能电网安全防护策略为“双网双机、分区分域、等级防护、多层防御”。（错）

9. 智能电网防护策略中的“全面防护”在“分区分域、安全接入、动态感知、精益管理”

基础上，在屋里、网络、主机三个层次提升等级保护纵深防御能力，加强安全基础设施建设，覆盖防护各层次，各环节，各对象。（错）

10. “十一五”期间公司按照“双网双机、分区分域、等级防护、多层防御”的信息安全防

护总体策略，建设了信息安全“三道防线”，其中第一道防线指信息外网与互联网之间的边界防御。（）对

11. 安全接入平台中PC终端安装加固后，不需要USBKEY也能正常进入系统。（错） 12. 移动接入网关作为平台的核心设置之一，具有安全隔断信息内、外网的功能。（错） 13. 云终端系统可以通过VPN进行接入。（错

14. 云终端系统可以提供跨广域网进行随时无障碍访问。（对） 15. 云终端系统发布的专用桌面可以支持安全U盘的使用。（对）

16. 在没有网络的情况下，用户仍然可以使用云终端系统的虚拟桌面。（错）

17. 当通过网页发送有件事，其产生的流量会计入互联网访问行为中的邮件流量中。（错） 18. ISS系统是在原有信息内外网边界安全监测系统的基础上增加互联网出口内容审计、网

络行为分析与流量监测、病毒木马监测、网站攻击监测与防护、桌面终端挂历功能，构建新版信息外网安全监测系统作为原有信息内、外网边界安全监测系统的升级版本。（对） 19. ISS属于公司统推项目，采用旁路部署模式，属于国网以及部署系统。（对） 20. 桌面终端管理系统不仅仅只监控客户端，还包括主机服务器。（错）

21. IMS对于桌面终端、杀毒软件使用情况、服务器补丁漏洞等监控都是自身实现的。（错） 22. IMS系统通过了信息网络安全实验室的安全测评，达到了GB/T 22239-2008 《信息安全

技术信息系统安全等级保护基本要求》第二级应用安全的技术要求。（对） 23. 办公计算机保密自动检测系统不支持用户手动配置关键字进行检测。（错） 24. 办公计算机保密自动检测系统支持加密数据的内容检测。（错）

25. 办公计算机保密自动检测系统布恩那个对磁盘的剩余空间进行粉碎。（错）

26. 办公计算机保密自动检测系统可以进行上网记录检查。（对）

27. 第二代信息安全网络隔离装置的核心安全防护功能是反SQL注入功能，主要通过反SQL

注入功能保障内网安全。（错）

28. 第二代信息安全网络隔离装置向业务系统提供内网数据库的透明访问，业务系统只需面

向数据库服务进行开发调试，无需进行针对性的开发和测试（错）

29. 外网业务系统需只能对第二代信息安全网络隔离装置SQL代理服务进行专项测试和适应

性改造后方可使用该服务访问内网数据库服务，这种专项测试和改造在开发阶段完成即可，软件升级改造无需重新进行测试。（错）

30. 第二代信息安安全网络隔离装置支持集群部署方式，可以实现主要性能指标的线性扩展，

一般情况下，处于避免单点故障的考虑，第二代信息安全网络隔离装置在部署时最少的集群规模为2 。（对）

31. 漏洞是指任何可以造成破坏系统或信息的弱点。（对）

32. 漏洞补丁系统中可检索漏洞信息项包括漏洞编号、漏洞名称、漏洞级别、详细描述、解

决方案。（对）

33. 统一漏洞补丁管理系统在设计阶段经过与国内多家厂商的协调与沟通提出了多厂商漏

洞扫描设备的统一接口，是目前既符合公司信息化特点、管理发展要求，又可减容管理主流厂商产品的唯一方案，具有与多家厂商设备联动，统一管理、统一执行、统一漏洞数据库信息的特点。（对）

二、单选题

1. 智能电网防护方案中，信息系统安全防护分域遵照（ A ）的原则。 A．同级系统统一成域。 B.所有系统统一成域

C．二级系统统一成域，三级系统独立分域 D.三级系统统一成域，二级系统独立成域 2.请选择国家电网公司管理信息系统最新信息安全防护策略是（A ） A．双亡双击、分区分域、安全接入、动态感知、全面防护、准入备案 B．网络隔离、分区防护、综合治理、技术为主 C．安全第一、以人为本、预防为主、管控结合 D．访问控制、严防泄密、主动防御、积极管理

3.等级保护规定（ C ）以上的信息系统，在身份鉴别是提出了双因素鉴别的要求。 A.一级 B.二级 C.三级 D.四级

4.根据GB/T 17859-1999《计算机信息系统安全保护等级划分准则》，计算机系统安全保护能力不包括（ C ）

A．用户自主保护级 B.结构化保护级 C.强制保护级 D.访问验证保护级

5.（ C）是针对各安全域间的通信数据流传输和各系统跨安全域进行数据交换，部署访问控制、入侵检测等安全防护措施。

A.信息外网第三方边界 B.信息内外网边界 C.横向域间边界 D.信息内网纵向边界 6.公司智能电网业务系统信息安全防护划分为物理环境安全防护，（ B），边界安全防护、网络环境安全防护、主机系统安全防护、应用与数据安全防护六个层级进行主动全面的安全防护措施设计。

A．生产大区安全防护 B.业务终端安全防护 C.信息大区安全防护 D.信息内网安全防护 7.下列不属于应用系统安全防护措施的是 ( D )

A.身份鉴别及访问控制 B 数据加密 C 应用安全加固 D 入侵检测 8.下列业务系统中，（ D ）不属于管理信息大区。

A 输变电设备状态在线检测系统 B 用电信息采集系统

C 电动汽车只能充换电网络运营系统 D 只能变电站及集中监控系统

9.“十一五”期间公司按照“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体策略，建设了信息安全“三道防线”，其中第一道防线是（B ） A．生产控制大区与管理信息大区的边界防御 B．信息外网与互联网的边界防御

C．管理大区信息内外网之间的边界防御 D．信息内网横向域的边界防御

10.“十一五”期间公司按照“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体策略，建设了信息安全“三道防线”，其中第二道防线是（ C） A．生产控制大区与管理信息大区的边界防御 B．信息外网与互联网的边界防御

C．管理大区信息内外网之间的边界防御 D．信息内网横向域的边界防御

11.“十一五”期间公司按照“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体策略，建设了信息安全“三道防线”，其中第三道防线是（A ） A．生产控制大区与管理信息大区的边界防御 B．信息外网与互联网的边界防御

C．管理大区信息内外网之间的边界防御 D．信息内网横向域的边界防御

12.“十一五”期间公司按照“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体策略，建设了信息安全“三道防线”，其中第二道防线是管理大区信息内外网之间的边界防御，它具体部署的防护措施是（ C ）

A 防火墙 B IDS C 信息网络安全隔离装置 D 接入平台

13.“十一五”期间公司按照“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体策略，建设了信息安全“三道防线”，其中第三道防线是生产控制大区与管理信息大区的边界防御，它具体部署的防护措施是（B ）

A 防火墙 B 正反向隔离装置 C 信息网络安全隔离装置 D 接入平台 14．下面设备中，（ A ）不包含在安全接入平台系统中。

A 入侵检测系统 B 身份认证系统 C 集中监管系统 D 数据交换系统

15.PDA终端上的安全客户端软件通过手机该终端的若干特征信息与注册时信息对比来确保终端的完整性和合法性，这些特征信息不包括（ B ）

A 终端证书信息 B终端使用人信息 C 终端TF卡卡号 D 终端SIM卡IMSI 16.云终端系统支持从（A ）身份验证技术同步用户数据，并进行登录认证 A active directory B domino C tivoli directory server D novell ldap

17.云终端服务器底层操作系统是（B ） Awindows B linux C unix D mac os

18.桌面虚拟化技术的核心是桌面显示传输协议，具有安全可靠性，并且网络占用率非常低，云终端系统采用的是（ A ）传输协议。 A ICA B PCOIP C RDP D HTTP

19.用户在使用云终端系统时，用户数据（D ） A 不会被保存 B 由云终端系统保存到后台数据库 C 在用户登出后丢失 D 保存在后的虚拟数据文件中 20.下列词语中不能被ISS系统认为是敏感信息的是（ D ）

A 方案 B 内部资料 C 规划 D 计划

21．目前ISS敏感字功能只开放了针对（A ）协议的检测。 A smtp B pop3 C http D https

22.以下（ D ）不属于病毒木马种类（该题删除） A 黑客工具 B 后门程序 C 病毒木马Ｄ SQL注入 23.下列（ C ）不是公司信息通信部安全申报中ISS考核指标。

A 安全威胁数 B 敏感字 C 外网邮箱弱口令 D 外网桌面终端两率 24.配置脆弱性指标的来源是（A ）

A 服务器 B 桌面终端Ｃ 防火墙等安全设备 Ｄ 其他 25.下列（ D ）不是IMS系统中安全管理子系统的主要功能

A.漏洞扫描 B 日志分析 C 配置脆弱性扫描 D 网络隔离

26.IMS系统实现了完善的账号安全控制机制，下列功能（B ）不在IMS系统的账号安全机制考虑范围内。

Ａ密码复杂度检测 B 多次登录失败账号自动删除 C．限制统一账号多处登录 D 登录会话超时时间设定

27.IMS系统是基于（B ）平台开发的，其权限控制是基于平台实现的。 A 项目组自主研发 B PI3000 C sotower D SG-UAP 28.下列（ A ）不是保密检测系统功能

A 安装杀毒软件检测 B 敏感信息检查 C 文件粉碎 D 弱口令检测 29.保密检测系统的检测模式是（ D）

A 单机检测 B 网络检测 C 人工检测 D 单机检测和网络检测

30.办公计算机奥秘自动检测系统客户端检查结果支持导出的格式为（ B ） A word B excel C RAR D ppt

31.下列（ D ）不是办公计算机保密自动检测系统中的检查配置的模块、

A 检查文件类型配置 B 检查网页记录配置 C 系统弱口令配置 D 检查时间配置 32.第二代信息安全网络隔离装置适用于（B ） A互联网与信息网边界 B 信息内外网边界 C 调度网与信息网边界 D信息网与专网边界

33.第二代信息安全网络隔离装置是基于（ A ）的隔离产品 A 协议隔离 B 物理隔离 C 空气开关隔离 D 数据转播隔离

34.信息安全网络隔离装置SQl代理服务提供的数据库方位驱动基于规范（ A ） A JDBC B ODBC C OCI D DAO

35．第二代信息安全网络隔离装置与业务系统之间通过应用协议（ C ）通信 A http B TNS C 私有安全协议 D JDBC

36.统一漏洞补丁管理系统通过对各单位内外网（ A ）设备的统一管理，实现对公司各单位漏洞的采集、分析、发布、描述的集中统一管理，及历史漏洞情况的汇总分析、展现和管理。

A漏洞扫描设备 B 防火墙 C IPS D 桌面终端管理

37.统一漏洞补丁管理系统实现补丁（包括升级程序）统一收集、（A ）、安装情况收集等功能，实现对各单位内外网补丁安装及下载情况的监管。 A 统一下发 B 统一安装 C 统一推送 D 统一实施

38.统一漏洞补丁管理系统采用“漏洞监控”模块对网络风险进行全方位挂历和分析，管理员通过此模块可以对所有信息资产设备进行资产风险管理。对于大规模网络用户，网络资产繁多，IP地址记忆非常繁琐，通过资产管理与（ A ）的紧密结合，以规范的命

名方式统一对网络资产进行挂历。

A 用户组织机构 B 用户账户 C 设备管理 D 信息管理 39.统一漏洞补丁管理系统采用“一级平台、两级探针、（A ）”的部署方式，在总部实现集中管理，省公司及分布实现内外网数据汇聚转发。 A 三级应用 B 集中应用 C 一级应用 D 二级应用

三、多选题

1.智能电网具有以下（ ABCD ）等显著特点

A 网络更广 B 交互更多 C 技术更新 D 用户更泛

2.信息系统安全等级顶级工作中，决定信息系统的重要性的要素包括（ ABD ） A 信息系统的影像深度 B 信息系统的影像广度 C 信息系统的影像维度 D 信息的安全性

3.信息系统安全保护等级中信息系统的重要性由以下要素决定：信息系统的影像深度，信息系统的影像广度，信息的安全性，包括信息的（ABC ） A 机密性 B 完整性 C 可用性 D 重要性

4.智能电网防护方案中，关注的终端类型包括（ ABC ）

A 信息内外网办公计算机终端 B 不在公司信息内外网区域，但经过终端安全加固后，通过公司专用安全可信专线和安全接入平台接入信息内外网的移动办公而后异动作业终端 C 信息采集类终端 D 员工个人使用的移动通信终端 5.边界安全防护中有效的检测机制包括（ AB ）

A 基于网络的入侵检测（IDS） B边界的内容访问过滤 C 虚拟专用网（VPN ） D 远程安全接入 6.信息内网纵向安全边界包括（ AB ）

A 国网公司总部与各网省公司间的网络边界 B 各网省公司与地市公司的网络边界 C 各网省公司与因特网间的网络边界 D 国网公司总部与因特网间的网络边界 7.国网公司智能电网信息安全防护体系建设的总体目标是（ ABCD ） A增强智能电网信息安全防护能力，提升信息安全自主可控能力

B 防止电网智能终端被恶意控制

C 防止关键业务信息系统数据或信息被窃取或篡改 D 防止网络被恶意渗透或监听

8.智能电网业务采用边界安全、通道安全和终端安全防护措施和手段接入公司的信息内往往，实现业务终端的（ ABC ）

A 防泄漏 B 防篡改 C 反控制 D 防遗失

9.智能电网防护方案中网络环境主要是指（ ABCD ）

A 路由 B 交换设备 C 安全设备 D 网络基础服务设施 10.智能电网业务系统中，被定为三级系统的是（ AB ）

A 95598 B 用电信息采集系统 C 电动汽车智能充换电网络运营系统 D CMS

11.“十一五”期间公司按照“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体策略，建设了信息安全“三道防线”，，分别是指（ ABC ） A．生产控制大区与管理信息大区的边界防御 B．信息外网与互联网的边界防御

C．管理大区信息内外网之间的边界防御 D．信息内网横向域的边界防御

12.“十一五”期间公司按照“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体策略，建设了信息安全“三道防线”，其中第一道防线是指信息外网与互联网的边界防御，它具体部署的安全措施包括（ ABC ） A 防火墙 B IDS C IPS D 隔离装置

13.目前安全接入平台支持的终端操作系统包括（ AC ）

A windows mobile 6.1 B 苹果IOS C windows Xp D 诺基亚 symbian

14.安全接入平台中各部分相互右击融合，形成一套全面系统的安全防护体系，该系统分为几个层次，包括（ ABCD ）

A 安全接入终端层 B 安全通道层 C 安全接入平台层 D 业务访问层 15.用户可以使用设备（ABCD ）访问云终端系统额个人办公桌面。 A PC机，安装了相关连接软件 B 瘦终端，自带连接软件

C ipad 安装了相关连接软件 D 安卓系统安装了相关连接软件 16.云终端系统采用的是（ ACD ）等虚拟化技术

A 服务器虚拟化Ｂ中间件虚拟化 Ｃ 桌面虚拟化 Ｄ 应用虚拟化 17.ISS系统中上网行为检测，检测的内容包括（ ABCD ） A 网页浏览 B 电子邮件 C 即时通信 D 网络视频 18.目前ISS敏感字信息可以定位到（ ABCD ） A 发件人 B 收件人 C 发件时间 D 邮件主题

19.在内网机上的（AC ）行为可能产生非法违规外联。 A 手机充电 B 使用非加密优盘 C 上网卡 D 拔掉网线

20.IMS系统已监控的安全指标包括（ ABCD ） A 保密检测系统安装率 B 内网爆发病毒数量 C 内网违规外联告警数量 D 昨日安全事件数量

21 下列属于办公计算机保密检测系统功能的是（ABC ）

A 开关机记录 B 已删除文件检查 C u盘使用记录检查 D 木马检测

22.办公计算机保密自动检测系统中白名单管理可以对文件进行（ ABC ）操作。 Ａ 移除 Ｂ 删除 C 粉碎 D 隔离

23.信息安全网络隔离装置SQL代理服务目前支持的数据库产品包括（ ABC ） A oracle B sqlserver C db2 D mysql

24.以下关于第二代信息安全网络隔离装置信息交互特征的描述正确的是（ AD ） A 仅支持单项的数据访问请求 B 支持双向的数据访问请求 C 仅支持单线额数据流交互 D 支持双向的数据流交互 25.应对操作系统安全漏洞的基本方法是（ ABC ）

A 对默认安装进行必要的调整 B 给所有用户设置严格的口令 C 及时安装最新的安全补丁 D 更换到另一种操作系统

第四部分信息系统研发安全基础知识

一、判断题

1. 不需要在信息系统设计阶段识别关键的业务安全需求和安全风险。（）

答案：错

2. 威胁建模是一种结构化标识、定量、定位威胁的方法，应用于信息系统开发过程，在信息

系统设计阶段发现和定义威胁。（） 答案：对

3. 研发单位进行内部测试包括功能和性能测试，不包括安全测试。（） 答案：错

4. 已投运系统进行版本升级过程中不需要进行业务影响分析。（） 答案：错

5. 可研阶段需要对可研报告中涉及的安全内容进行专项评审，无安全相关内容或不完善的均

不得通过评审。（） 答案：对

6. 已投运系统进行版本升级过程中不需要进行业务影响分析。（） 答案：错

7. 各省市公司、直属单位自建系统应由各单位自行评审，不需要想公司报备评审结果。（） 答案：错

8. 管理信息系统定级结果应报国网信通部进行备案，电力二次系统定级应报国调中心进行备

案。（） 答案：对

9. 各省市公司、直属单位自建系统应由各单位自行评审并向公司报备。（） 答案：错

10. 系统在软硬件选型时只能选用公司统一集采范围内的软硬件设备。（） 答案：错

11. 各省市公司、直属单位其他自建系统安全防护方案由总公司总部组织评审并备案。（） 答案：错

12. 开发环境和测试环境不需要和实际运行环境及办公环境安全隔离。（） 答案：错

13. 测试环境可以使用生产数据。（） 答案：错

14. 开发人员在开发过程中应避免采用无安全性保障的第三方软件及插件。（） 答案：对

15. 未经过内部代码安全监测的系统可以进行上线前功能和安全测评。（） 答案：错

16. 软件著作权资料移交完成与否不影响系统上线试运行。 答案：错

17. 系统重要升级前应进行全面测试及整改加固。 答案：对

18. 从事研发核心岗位（产品经理、项目经理、开发经理等）工作必须取得相应安全技能资质。

答案：对

19. 对称密码体制的特征是：加密秘钥和解密秘钥完全相同，或者一个秘钥很容易从另一个秘

钥中导出。 答案：对

20. 公钥密码体制算法用一个秘钥进行加密，而用另一个不通但是有关的秘钥进行解密。 答案：对

21. 应用安全功能设计时应考虑设计图形验证码，增强身份认证安全，且图形验证码长度至少

4位，随机生成且包含字母与数据的组合。 答案：对

22. 为了方便多个管理员同时登陆，应用功能设计时应考虑同一账户同时多个在线的情况。 答案：错

23. 安全审计就是日志的记录。 答案：错

24. 终端安全防护是对信息外网的桌面桌面办公计算机终端以及接入信息外网的各种业务终

端进行安全保护，而信息内网的终端处于相对较安全的环境，不需要进行安全防护。 答案：错

25. 身份鉴别设计时应设计账号锁定功能来限制连续失败登陆。 答案：对

26. 权限设计时可根据应用程序的角色和功能分类，同时为了方便管理员使用系统，授权粒度

应尽可能大。 答案：错

27. 设计输入输出验证时，需要对客户端进行输入验证，无需对服务端进行输入验证。 答案：错

28. 应用系统互联时应仅通过接口设备（前置机、接口机、通信服务器、应用服务器等设备）

进行，不能直接访问核心数据库。 答案：对

29. 安全日志需要对一些重要事件进行记录和分析。 答案：对

30. 安全日志可以记录在独立的日志文件里，也可以记录在日志数据库中。 答案：对

31. 软件应该提供对安全日志内容进行删除、修改和利用个人设备（U盘、移动硬盘灯）拷贝

的方法。 答案：错

32. 系统上线部署前应该保留软件程序代码中不需要的代码和那些不能完成任何功能的代码，

防止系统功能出现缺陷。 答案：错

33. 为了方便开发人员开发，在开发环境下可以使用超级用户或者其他特权用户进行软件开发。 答案：错

34. 为保证运行数据的完整性和可用性，软件开发必须设计有效的备份策略，根据业务和系统

维护需要提供定期或不定期，自动或者手动方式的备份机制。 答案：对

35. 软件应包含对安全日志进行定期归档和备份的功能，归档周期可配置。 答案：对

36. 软件应该保持用户界面只提供必须的功能，必要的情况下应允许用户通过用户界面直接访

问数据或者被保护对象。 答案：错

37. 出于机密性要求，应禁止在程序代码中直接写用户名和口令等用户访问控制信息。 答案：对

38. 接口方式安全性设计时，接口设备上的应用宜只包含实现系统互联所必须的业务功能，不

包含业务系统的所有功能。 答案：对

39. 一个准确完整的软件安全需求说明书应能在软件的生命周期中尽早地发现应用的安全弱

点和漏洞，并用最小的代价来预防和消除这些安全弱点和漏洞。 答案：对

40. 对称秘钥主要用于对称秘钥的管理、数字签名等，一般不用于数据、信息的传输家吗。非

对称秘钥用于数据、信息的加密解密。

答案：错

41. String sql=”select * from item where account=’“+account+”’and sku=’”sku”’;

Resultset rs=stmt.execute(query); 上述代码不存在SQL注入漏洞。 答案：错

42. 使用Preparedstatement参数化方式能有效地防止一般的SQL注入。 答案：对

43. String sql=”select * from item order by “ + colname此类SQL查询语句能使用

Preparedstatement参数化查询方式有效地防止SQL注入。 答案：错

44. 应采用适当的身份验证和权限分配模式，确保程序功能实现严格遵循“最小权限”和“需

要知道”的安全原则。 答案：对

45. 用户界面应提供详细的功能，确保用户能通过用户界面直接访问数据或者直接访问被保护

对象。 答案：错

46. 为了方便用户使用，应对于软件的普通用户进程，赋予改类进程特权用户权限。 答案：错

47. 仅在客户端进行安全验证是安全的，不需要在服务器端进行验证。 答案：错

48. 应保证数据库访问在不需要使用的时候被释放，例如连接、游标等。 答案：对

49. 应在传递的参数中使用真实的文件名进行传输。 答案：错

50. 应禁止将明文密码存储在配置文件、数据库或者其他外部数据源中。 答案：对

51. 在开发环境中，应该将核心研发环境中计算机USB口原则上进行封存。 答案：对

52. <%String eid=request.getparameter(“eid”);%> …

EmployeeID:<%=eid%> 上述代码存在跨站脚本漏洞。 答案：对 53. <%...

Resultset rs=stmt.executequery(SQL); If (rs!=null) Rs.next();

String name=rs.getstring(“name”): %>employee name:<%=name%> 上述代码中不存在跨站脚本漏洞。 答案：错

54. 缓冲区溢出漏洞能修改内存中变量的值，能劫持进程，执行恶意代码，最终获得主机的控

制权。 答案：对

55. SQL注入攻击能够查看、修改或者删除数据库条目和表。 答案：对

56. 如果username字段仅允许字母数据字符，其不区分大小写，则能使用正则表达式

^[a-zA-Z0-9]*$对username字段数据进行验证。 答案：对

57. 在对特殊字符进行转义时，可以将>转义成任意字符来防止漏洞发生。 答案：错

58. 跨站脚本欺骗漏洞能造成用户非法转账的危害。 答案：对

59. Cookie是存储在服务端的，具有很高的安全性。 答案：错

60. 编码宜使用简单的代码，清除不必要的功能，防止采用信息隐藏方式进行数据保护。 答案：对

61. 禁止返回给客户与业务处理无关的信息，禁止把重点保护数据返回给不信任的用户，避免

信息外漏。 答案：对

62. 日志数据都是由系统自动生成，在读取日志数据时，不需要做任何验证。 答案：错

63. 禁止将数据库DBA权限分配给应用程序。 答案：对

64. 数据库连接账户和密码信息应加密后在保存在配置文件中。 答案：错

65. 存储型跨站是指包含在动态内容中的数据在没有经过安全检测就存储到数据库中提供给

用户使用。 答案：对

66. 检查用户访问权限能有效防止不安全的直接对象引用。 答案：对

67. 跨站请求伪造漏洞能造成数据库表被篡改或者删除。 答案：对

68. 使用一次性令牌可以有效防止跨站请求伪造。 答案：对

69. 不安全的加密存储能造成机密资料容易被攻击者破解，造成资料外泄。 答案：对

70. MD5是最强的加密算法，可以有效地防止不安全的加密存储。 答案：错

71. 防止未经授权的URL访问，应该默认情况下拒绝所有的访问，同时针对每个功能页面明

确授予特定的用户和角色允许访问。 答案：对

72. HTTPS是安全的传输方式，能够有效地防止传输层保护不足。 答案：对

73. 系统在未经安全验证进行转发和重定向的页面时，直接进行转发和重定向不存在任何安全

风险。 答案：错

74. 对上传任意文件漏洞，只需要在客户端对上传文件大小、上传文件类型进行限制。 答案：错

75. 上传任意文件漏洞能够使攻击者通过上传木马文件，最终获得目标服务器的控制权限。 答案：对

76. 对返回客户端的错误提示信息进行统一和格式化能防止信息泄露。 答案：对

77. 未验证的重定向和转发能造成用户受到钓鱼攻击。 答案：对

78. http://example.com/login.jsp?backurl=234不直接从输入中获取URL，该方法能有效防止未

验证的重定向和转发。 答案：对

79. 只要使用了安全的传输协议（SSL/TLS）就能防止传输层保护不足。 答案：错

80. 由于客户端是不可信任的，可以将敏感数据存放在客户端。 答案：错

81. 在C语言中，为了防止没有释放内存资源，可以将内存释放多次。 答案：错

82. 0day漏洞是指还没有被任何人发现的漏洞。 答案：错

83. 用户登录某个银行系统后，成功注销登录后，还一定能受到画展请求伪造攻击。 答案：错

84. 系统中每次提交表单时，都在表单中加入一个固定值的令牌来防止画展请求伪造。 答案：错

85. 在输入处理中，对于来自存储在数据库中数据不需要进行输入处理，数据是完全可信任的。

答案：错

86. 宜使用结构化的编程语言，尽量避免使用递归和Goto声明语句。 答案：对

87. 系统注册表值是来自系统本身的，系统可以直接调用使用，不需要进行输入处理。 答案：错

88. ”>click me,该代码存在跨站脚本攻击。 答案：对

89. String name=request.getparameter (“name”);

If (null !=name)

Name = name.replaceall(“