【文章內容簡介】 N或郵件發(fā)給別人，或者通過制作BT木馬種子進行快速擴散D、與從互聯(lián)網(wǎng)上下載的免費游戲軟件進行捆綁。被激活后，它就會將自己復制到WINDOWS的系統(tǒng)文件夾中，并向注冊表添加鍵值，保證它在啟動時被執(zhí)行三、多選題1. 數(shù)字證書含有的信息包括（）。ABDA、用戶的名稱 B、用戶的公鑰 C、用戶的私鑰 D、證書有效期2. OSI安全體系為異構計算機的進程與進程之間的通信安全性，定義了五類安全服務，以下屬于這五類安全服務的是（）ABCDA、機密性 B、完整性 C、鑒別 D、防抵賴3. 下列關于入侵檢測說法正確的是（）BCDA、能夠精確檢測所有入侵事件B、可判斷應用層的入侵事情C、可以識別來自本網(wǎng)段、其他網(wǎng)段、以及外部網(wǎng)絡的攻擊D、通常部署于防火墻之后4. 下列屬于病毒檢測方法的是（）ABCDA、特征代碼法 B、校驗和法 C、行為檢測法 D、軟件模擬法5. 防范IP欺騙的技術包括（）ACA、反查路徑RPF，即針對報文源IP反查路由表B、針對報文的目的IP查找路由表C、IP與MAC綁定D、部署入侵檢測系統(tǒng)6. 降低計算機病毒的影響范圍就必須有效的控制計算機病毒的傳播途徑，下列屬于計算機病毒傳播途徑的是（）ABCDA、通過文件共享傳播 B、通過電子郵件傳播C、通過WEB網(wǎng)頁傳播 D、通過系統(tǒng)漏洞傳播7. 下列屬于數(shù)據(jù)備份常用方式的是（）ABCA、完全備份 B、差異備份 C、增量備份 D、臨時備份8. 下列關于防火墻主要功能的說法正確的是（）ABA、能夠對進出網(wǎng)絡的數(shù)據(jù)包進行檢測與篩選B、過濾掉不安全的服務和非法用戶C、能夠完全防止用戶傳送已感染病毒的軟件或者文件D、能夠防范數(shù)據(jù)驅動型的攻擊9. 外網(wǎng)郵件用戶的密碼要求為（）ABCA、首次登錄外網(wǎng)郵件系統(tǒng)后應立即更改初始密碼B、密碼長度不得小于八位C、密碼必須包含字母和數(shù)字D、外網(wǎng)郵件用戶應每6個月更改一次密碼10. 在配置信息內外網(wǎng)邏輯強隔離裝置時，以下（）是必需的步驟ABCA、配置數(shù)據(jù)庫信息 B、配置應用信息 C、配置策略關聯(lián) D、重新啟動設備11. 下列情況違反“五禁止”的包括（）ABCDA、在信息內網(wǎng)計算機上存儲國家秘密信息B、在信息外網(wǎng)計算機上存儲企業(yè)秘密信息C、在信息內網(wǎng)和信息外網(wǎng)計算機上交叉使用普通U盤D、在信息內網(wǎng)和信息外網(wǎng)計算機上交叉使用普通掃描儀12. VPN技術采用的主要協(xié)議包括（）ABDA、IPSec B、PPTP C、WEP D、L2TP13. 邏輯強隔離裝置部署在應用服務器與數(shù)據(jù)庫服務器之間，實現(xiàn)（）功能ABCDA、訪問控制 B、網(wǎng)絡強隔離 C、地址綁定 D、防SQL注入攻擊14. 下列情況（）會給公司帶來安全隱患ABCDA、外部技術支持人員私自接入信息內網(wǎng)B、使用無線鍵盤處理涉案及敏感信息C、某業(yè)務系統(tǒng)數(shù)據(jù)庫審計功能未開啟D、為方便將開發(fā)測試環(huán)境和業(yè)務系統(tǒng)運行環(huán)境置于同一機房15. WINDOWS日志文件包括（）ABCA、應用程序日志 B、安全日志 C、系統(tǒng)日志 D、賬戶日志16. ISS安全事件的分級主要考慮（）、（）、（）三個要素ABCA、信息系統(tǒng)的重要程度 B、系統(tǒng)損失C、社會影響 D、國家安全17. 下列說法屬于等級保護三級備份和恢復要求的是（）ABCA、能夠對重要數(shù)據(jù)進行備份和恢復B、能夠提供設備和通信線路的硬件冗余C、提出數(shù)據(jù)的異地備份和防止關鍵節(jié)點單點故障的要求D、要求能夠實現(xiàn)異地的數(shù)據(jù)實時備份和業(yè)務應用的實時無縫切換18. 外網(wǎng)郵件用戶的密碼要求為（）BCDA、外網(wǎng)郵件用戶應每6個月更換一次密碼B、首次登錄外網(wǎng)郵件系統(tǒng)后應立即更改初始密碼C、密碼長度不得小于八位D、密碼必須包含字母和數(shù)字19. SQL注入攻擊有可能產(chǎn)生（）危害ABCDA、網(wǎng)頁被掛木馬 B、惡意篡改網(wǎng)頁內容C、未經(jīng)授權狀況下操作數(shù)據(jù)庫中的數(shù)據(jù) D、私自添加系統(tǒng)賬號20. 風險評估的內容包括（）ABCDA、識別網(wǎng)絡和信息系統(tǒng)等信息資產(chǎn)的價值B、發(fā)現(xiàn)信息資產(chǎn)在技術、管理等方面存在的脆弱性、威脅C、評估威脅發(fā)生概率、安全事件影響，計算安全風險D、有針對性地提出改進措施、技術方案和管理要求21. 以下加密算法中，（）已經(jīng)被破解ABCA、LanManager散列算法 B、WEP C、MD5 D、WPA222. 以下關于對稱密鑰加密的說法正確的是（）BCDA、對稱加密算法的密鑰易于管理B、加解密雙方使用同樣的密鑰C、DES算法屬于對稱加密算法D、相對于非對稱加密算法，加解密處理速度比較快23. 相對于對稱加密算法，非對稱密鑰加密算法（）ACDA、加密數(shù)據(jù)的速率較低B、更適合于現(xiàn)有網(wǎng)絡中以所傳輸數(shù)據(jù)（明文）的加解密處理C、安全性更好D、加密和解密的密鑰不同24. 防火墻的缺陷主要有（）ABCDA、限制有用的網(wǎng)絡服務B、無法防護內部網(wǎng)絡用戶的攻擊C、不能防備新的網(wǎng)絡安全問題D、不能完全防止傳送已感染病毒的軟件或文件25. IPSEC的工作模式是（）ABA、傳輸模式 B、隧道模式 C、穿越模式 D、嵌套模式26. 關于“云安全”技術，下列描述中（）是正確的ABDA、“云安全”技術是應對病毒流行和發(fā)展趨勢的有效和必然選擇B、“云安全”技術是“云計算”在安全領域的應用C、“云安全”將安全防護轉移到了“云”，所以不需要用戶的參與D、WEB信譽服務是“云安全”技術應用的一種形式27. “網(wǎng)絡釣魚”的主要技術包括（）ABCA、發(fā)送電子郵件，以虛假信息引誘用戶中圈套B、建立假冒網(wǎng)站，騙取用戶賬號密碼實施盜竊C、利用虛假的電子商務進行詐騙D、利用木馬和黑客技術等手段竊取用戶信息后實施盜竊活動28. 計算機網(wǎng)絡系統(tǒng)設備安全應采取（）為主要手段ABCA、計算機網(wǎng)絡系統(tǒng)設備的安全管理和維護B、信息存儲媒體的管理C、計算機網(wǎng)絡系統(tǒng)設備的電磁兼容技術D、通信線路防竊聽技術29. 屬于安全閉環(huán)組成部分的是（）ABCDA、檢測 B、響應 C、防護 D、預警30. 信息安全是個攻守不平衡的博弈，為避免信息安全事件的發(fā)生應該（）ABCDA、定期進行漏洞掃描 B、定期進行風險評估C、及時給系統(tǒng)打補丁 D、加強信息安全管理31. 信息安全的CIA模型指的是（）三個信息安全中心目標ABCA、保密性 B、完整性 C、可用性 D、可按性32. 信息安全漏洞主要表現(xiàn)在（）ABCDA、非法用戶得以獲得訪問權B、系統(tǒng)存在安全方面的脆弱性C、合法用戶未經(jīng)授權提高訪問權限D、系統(tǒng)易受來自各方面的攻擊33. 加密的強度主要取決于（）ABDA、算法的強度 B、密鑰的保密性 C、明文的長度 D、密鑰的強度第二部分 公司信息安全管理要求一、判斷題1．《國家電網(wǎng)公司信息系統(tǒng)口令管理暫行規(guī)定》規(guī)定不同權限人員應嚴格保管、保密各自職責的口令，嚴格限定使用范圍，不得向非相關人員泄露，允許多人共同使用一個賬戶和口令。()答案：錯解析：原則不允許多人共同使用一個賬號和口令。2．《國家電網(wǎng)公司信息系統(tǒng)口令管理暫行規(guī)定》規(guī)定軟件開發(fā)商在開發(fā)應用軟件期間，應充分考慮應用軟件的安全設計，設計應保證用戶名和口令不以明文的形式存放在配置文件、注冊表或數(shù)據(jù)庫中。()答案：對3．《國家電網(wǎng)公司信息系統(tǒng)口令管理暫行規(guī)定》規(guī)定用戶因職責變動，而不需要使用其原有職責的信息資源，必須移交全部技術資料，明確其離崗后的保密義務，并立即更換有關口令和密鑰，繼續(xù)將其專用賬戶移交給他人使用。()答案：錯解析：必須注銷其專用賬戶。4．《國家電網(wǎng)公司信息系統(tǒng)口令管理暫行規(guī)定》規(guī)定信息系統(tǒng)使用人員要妥善保管系統(tǒng)的賬號密碼，做到密碼定期更換，對于密碼遺失，要及時聯(lián)系修改。() 答案：對 解析：重點做好口令密碼的保管。 5．除非提供公共信息訪問，應用系統(tǒng)不應該內置匿名賬戶，也不允許匿名用戶的登錄。()答案：對6．應用軟件應該提供給審核管理員用戶一個產(chǎn)生和修改用戶授權的管理工具，并且保證在每次產(chǎn)生或修改權限后不需要重啟系統(tǒng)就能立即生效。()答案：錯解析：應該提供給系統(tǒng)管理員。，應該保證審核管理員賬號(角色)與系統(tǒng)管理員賬號(角色)不能為同一人。( ) 答案：對 8. 應用軟件應該能夠根據(jù)業(yè)務特性，設置權限互斥的原則，保證用戶、權限合理對應關系，避免任何可能產(chǎn)生安全問題的權限分配方式或結果。()答案：對9.《國家電網(wǎng)公司信息化建設管理辦法》中的“信息化保障體系”包含信息安全防護體系、標準規(guī)范體系、管理調控體系、評價考核體系、技術研究體系和人才隊伍體系等內容。()答案；對10．各單位各自制定企業(yè)信息化業(yè)務架構、應用架構、數(shù)據(jù)架構、技術架構(含安全架構)，對企業(yè)信息化建設實行總體架構管控。()答案：錯解析：公司總部統(tǒng)一制定企業(yè)信息化業(yè)務架構、應用架構、數(shù)據(jù)架構、技術架構(含安全架構)，對企業(yè)信息化建設實行總體架構管控。11．信息化項目建設要嚴格執(zhí)行有關信息安全及保密管理規(guī)定。堅持信息安全是信息化項目有機組成部分的原則，按照信息安全措施與信息化項目同步規(guī)劃、同步建設和同步投入運行的要求，切實落實信息化項目中安全措施建設工作。()答案：對12．系統(tǒng)上線指信息系統(tǒng)在生產(chǎn)環(huán)境部署并提供給用戶實際使用，主要是指上線正式運行階段。()答案：錯解析：包括上線試運行和上線正式運行兩個階段。13.《國家電網(wǎng)公司信息系統(tǒng)上下線管理方法》中規(guī)定信息系統(tǒng)在上線試運行測試完成前，不對外提供服務。( )答案：對14.《國家電網(wǎng)公司信息系統(tǒng)上下線管理方法》中規(guī)定系統(tǒng)下線后，運行維護單位應根據(jù)業(yè)務主管部門的要求對應用程序和數(shù)據(jù)進行銷毀。()答案：錯解析：運行維護單位應根據(jù)業(yè)務主管部門的要求對應用程序和數(shù)據(jù)進行備份及遷移工作。備份數(shù)據(jù)保存時間由業(yè)務主管部門確定。15. 信息系統(tǒng)由大的變動或升級引起版本變更，應一次遞增副版本號。信息系統(tǒng)有小的變動時，應依次遞增補丁號。()答案：錯解析：信息系統(tǒng)由大的變動或升級引起版本變更，應依次遞增主版本號。信息系統(tǒng)有小的變動時，應依次遞增副版本號。信息系統(tǒng)由缺陷修復引起版本變更，應依次遞增補丁號。，不需要同時提供業(yè)務應用新版本變更說明書。()答案：錯解析：應同時提供業(yè)務應用新版本變更說明書。17.《國家電網(wǎng)公司信息系統(tǒng)版布管理方法》中的版本發(fā)布管理規(guī)定為了保證信息系統(tǒng)安全穩(wěn)定運行，每個系統(tǒng)升級次數(shù)不能過于頻繁，原則上每個月不能超過一次。()答案：對18．《國家電網(wǎng)公司信息系統(tǒng)版本管理方法》中的版本運行管理中規(guī)定版本變更后，各單位運行維護部門需跟蹤新版本的使用情況，及時將使用中出現(xiàn)的問題或缺陷提交研發(fā)單位并抄送國網(wǎng)公司信通部，由研發(fā)單位對問題進行驗證、確認。()答案：錯解析：提交研發(fā)單位并抄送國網(wǎng)信通公司。19. 應用軟件正式投入運行后，應指定專人對應用軟件進行管理，刪除或者禁用不使用的系統(tǒng)缺省賬戶，更改缺省口令。() 答案：對 20應用軟件的安全設計和實現(xiàn)應該具有共享性，能依賴當前基礎主機環(huán)境提供的安全機制來確保應用本身和它的數(shù)據(jù)不受到破壞或拒絕服務。() 答案：錯 解析：應用軟件的安全設計和實現(xiàn)應該具有獨立性，不能完全依賴當前基礎主機環(huán)境提供的安全機制來確保應用本身和它的數(shù)據(jù)不受到破壞或拒絕服務。21．對外包開發(fā)的軟件要執(zhí)行全面的安全性測試，關鍵程序應檢查源代碼以有效地防止和杜絕條件觸發(fā)的、內嵌的、潛在不安全程序的存存。()答案；對22．應用軟件可以允許多個客戶端用戶同時執(zhí)行互斥的操作。()答案：錯解析：應用軟件應該禁止多個客戶端用戶同時執(zhí)行互斥的操作。23. SGUAP的全稱是公司應用系統(tǒng)統(tǒng)一開發(fā)平臺。()答案：對24. SGUAP技術服務實行兩級模式，即核心技術服務和一線技術服務。()答案：對25. 信息系統(tǒng)非功能性需求是指除業(yè)務功能需求之外，從便于系統(tǒng)運行維護、提高用戶體驗、確保系統(tǒng)安全與穩(wěn)定等方面對系統(tǒng)開發(fā)提出的要求。()答案：對26. 系統(tǒng)使用的系統(tǒng)賬號(運行環(huán)境中的)應該有盡可能低的權限。不得使用“Administrator”，“root”，“sa”，“sysman”，“Supervisor’’或其他所有的特權用戶運行應用程序或連接到網(wǎng)站服務器、數(shù)據(jù)庫或中間件。()答案：對27．審計日志應至少包含以下內容：用戶ID或引起這個事件的處理程序ID事件的日期、時間(時間戳)、事件類型、事件內容、事件是否成功，請求的來源、用戶敏感信息。（ )答案：錯解析：不能包含用戶敏感信息。28. 信息外網(wǎng)計算機是公司資產(chǎn)且信息外網(wǎng)臺式機部署的物理位置可控，因此信息外網(wǎng)臺式計算機可以處理公司的企業(yè)秘密信息。()答案：錯解析：嚴禁將涉及國家秘密的計算機、存儲設備與信息內、外網(wǎng)和其他公共信息網(wǎng)絡連接，嚴禁在信息內網(wǎng)計算機存儲、處理國家秘密信息，嚴禁在連接互聯(lián)網(wǎng)的計算機上處理、存儲涉及國家秘密和企業(yè)秘密信息。29. 因為某員工離職，因此可以將該員工的信息內網(wǎng)辦公計算機不做處理直接給其他員工進行使用。答案：錯解析：信息內網(wǎng)辦公計算機及外部設備和存儲設備在變更用途，或不再用于處理信息內網(wǎng)信息或不再使用，或需要數(shù)據(jù)恢復時，要報計算機運行維護部門，由運行維護部門負責采取安全可靠的手段恢復、銷毀和擦除存儲部件中的信息，禁止通過外部單位進行數(shù)據(jù)恢復、銷毀和擦除工作。30．信息內網(wǎng)是相對安全的，因此沒有必要定期開展病毒更新、補丁更新等工作。()答案：錯31. 國家電網(wǎng)公司管理信息系統(tǒng)安全防護策略是雙網(wǎng)雙機、分區(qū)防護、綜合治理、多層防御。( ) 答案：錯 解析：國家電網(wǎng)公司管理信息系統(tǒng)安全防護策略是雙網(wǎng)雙機、分區(qū)分域、等級防護、多層防御。32．“SGl86工程”中的“6”，是建立健全六個信息化保障體系，分別是信息化安全防護體系、標準規(guī)范體系