C.业务需求最终通过系统变更实现 D.业务需求可以由企业业务部门直接提报总部信息部

12. 在信息系统向因特网开放前，下列哪几个步骤是必须要做的？（ ）

A. 正确安装和配置操作系统和数据库系统 B. 应用系统已经在内网试运行3个月 C. 对应用软件进行安全性检查 D. 网络安全策略已经生效

13. 信息系统安全主要从几个方面进行评估？（ ）

A. 技术 B.技术、管理 C.技术、管理、工程 D.技术、管理、工程、应用 14. 在某个攻击中，入侵者通过由系统用户或系统管理员主动泄漏的可以访问系统资源的信息，获得系统访问权限的行为被称作：（ ）

A. 社会工程 B.非法窃取 C.电子欺骗 D.电子窃听 15. ERP系统用户不能登录ERP系统可能原因有哪些？（ ）

A. 网络故障 B.ERP系统故障 C.Sap Logon登录配置不正确

D.系统中没有维护用户ID对应的用户姓名 16. ERP的变更管理流程包括哪些？（ ）

A. 审批 B.开发 C.测试 D.传输

17. 软件的供应商或是制造商可以在他们自己的产品中或是客户的计算机系统上安装一个“后门”程序。这种情况可能带来以下哪种风险？（ ）

A. 软件中止和黑客入侵 B.远程监控和远程维护 C.软件中止和远程监控 D.远程维护和黑客入侵 18. 以下哪些方式使用OA系统处理公文是不安全的。（ ）

A. 出差或繁忙时可将自己的账户密码转交他人代为处理。 B. 把单位的公文系统直接建设在外网，方便出差时文件办理。

C. 出差时用可接入石化内网的VPN或单位提供的安全网络内使用公文系统。 D. 任何方式使用公文系统都是安全的。 19. 资金集中管理系统不相容流程节点设置有：（ ）

A. 资金计划编制和复核 B.付款单据录入和复核 C.授信合同的录入和复核 D.应收票据收票的录入和复核 20. 会计集中核算系统以下功能需要进审核操作的有：（ ）

A. 凭证制单 B.备查簿单据 C.新增主数据 D.合同字典录入

三、简答题（每题5分，共3题，合计15分）

1. 为了提高ERP系统客户主数据质量，避免系统中出现一个客户名称对应多个税务登记号、

一个税务登记号对应多个客户编码、一个税务登记号对应多个客户名称等问题所带来的税务风险，实现一户一码的管理要求，目前中石化的ERP系统采用何种方式实现该项管理需

13

求？

参考答案:

2. 简述资金集中管理系统采取的系统应用安全保护措施。 参考答案:

3. 为什么要使用USBKEY？ 参考答案:

第五部分 信息安全管理部分

一、 单项选择题（每题0.5分，共10题，合计5分）

1.COBIT框架包含多少个高级控制目标？（ ）

A. 4 B.34 C.318 E.250

2.______是进行等级确定和等级保护管理的最终对象。（ ）

A. 业务系统 B.功能模块 C.信息系统 E.网络系统

3.关于信息系统安全建设整改工作工作方法说法中不正确的是：（ ）

A. 突出重要系统，涉及所有等级, 试点示范，行业推广，国家强制执行。 B. 利用信息安全等级保护综合工作平台使等级保护工作常态化。 C. 管理制度建设和技术措施建设同步或分步实施。

D. 加固改造，缺什么补什么，也可以进行总体安全建设整改规划。 4.以下对于信息安全管理体系的叙述，哪个是不正确的？（ ）

A. 只规范公司高层与信息安全人员的行为；

B. 针对组织内部所使用的信息，实施全面性的管理； C. 为了妥善保护信息的机密性、完整性和可用性； D. 降低信息安全事件的冲击至可承受的范围；

5.信息安全管理体系（ISMS）是基于 方法，建立、实施、运行、监视、评审、保持和改进信息安全的体系，是一个组织整体管理体系的一部分。（ ） A. 系统风险 B.业务风险 C.管理风险 D.技术风险 6.风险分析的3个基本要素是指：（ ）

A. 资产、威胁、安全事件 B.威胁、安全事件、脆弱性

14

C.资产、安全事件、脆弱性 D.资产、威胁、脆弱性

7.输入参数过滤可以预防以下哪些攻击：（ ）

A. SQL注入、跨站脚本、DNS毒药 B. B. SQL注入、跨站脚本、缓冲区溢出 C. SQL注入、跨站请求伪造、网络窃听 D. 跨站请求伪造、跨站脚本、DNS毒药 8.减少与网络钓鱼相关的风险的最有效控制是：（ ）

A. 系统的集中监控 B.钓鱼的信号包括在防病毒软件中

C.在内部网络上发布反钓鱼策略 D.对所有用户进行安全培训 9.以下哪些是可能存在的威胁因素？（ ）

A. 设备老化故障 B.病毒和蠕虫 C.系统设计缺陷 D.保安工作不得力

10.网络安全协议普遍使用公钥密码技术和对称密码技术，这么设计的一般原理是以下哪一条？

A. 公钥和对称密码的结合，一方面利用公钥便于密钥分配、保护数据完整性的优点，另

一方面利用对称密钥加密强、速度快的优点

B. 公钥密码技术能实现数字签名，安全协议都需要用到数字签名

C. 对称密码技术不能保护信息完整性，必须加入公钥密码技术才能弥补这个缺陷 D. 公钥密码技术加密效果不好，必须加入对称密码技术才能弥补这个缺陷

二、不定项选择题（每题1.5分，共10题，合计15分；少选得0.5分，多选不得分）

1. IT风险种类包括：（ ）

A. IT规划和架构风险 B.财务报告风险

C.应用系统风险 D.IT基础设施风险 2. 以下哪些属于IT 整体控制内容？（ ）

A. 信息与沟通 B.企业政策制订 C.IT风险管理 D.监督与检查

3. 在系统建设阶段应进行安全方案设计，根据《信息安全等级保护要求》二级系统应满足以

下要求：（ ）

A. 应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和

审定，并且经过批准后，才能正式实施；

B. 应根据系统的安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全

措施；

C. 应以书面形式描述对系统的安全保护要求、策略和措施等内容，形成系统的安全方案； D. 应对安全方案进行细化，形成能指导安全系统建设、安全产品采购和使用的详细设计

方案；

4. 根据定级指南，信息系统安全包括哪两个方面的安全？（ ）

A. 业务信息安全 B.系统服务安全 C.系统运维安全 D.系统建设安全

5. 《信息安全等级保护要求》对于主机安全的身份鉴别进行了明确要求，以下哪条不是对二

级系统的要求？（ ）

A. 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； B. 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别；

15

C. 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；

D. 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。 6. 作为定级对象的信息系统应具有如下基本特征：（ ）

A. 具有唯一确定的安全责任单位 B.具有信息系统的基本要素 C.承载单一或相对独立的业务应用 D.单位具有独立的法人

7. 下列那些项目不属于ISO27001认证标准所涵盖的11个管理要项？（ ）

A. 信息安全政策 B.组织安全 C.人员安全 D.系统复杂性 E.访问控制

8. 有关信息系统的设计、开发、实施、运行和维护过程中的安全问题，以下描述正确的是：

（ ）

A. 信息系统的开发设计，应该越早考虑系统的安全需求越好

B. 信息系统的设计、开发、实施、运行和维护过程中的安全问题，不仅仅要考虑提供一

个安全的开发环境，同时还要考虑开发出安全的系统 C. 信息系统在加密技术的应用方面，其关键是选择密码算法，而不是密钥的管理 D. 运营系统上的敏感、真实数据直接用作测试数据将带来很大的安全风险 9. 以下对于PDCA（计划\\执行\\检查\\行动）的叙述，哪个是不正确的？（ ）

A. 其中的重点在于 P（计划）；

B. 依据 PDCA的顺序顺利执行完一次，即可确保信息安全；

C. 需依据管理层审查结果采取矫正与预防措施，以达到持续改进的目的； D. 如果整体执行过程中C（检查）的过程过于繁复，可予以略过；

10. 风险评估的准备是整个风险评估过程有效性的保证，在风险评估实施前应 （ ）

A. 确定风险评估的目标 B.编写风险处置方案 C.确定风险评估的范围 D.确定评估依据和方法 11. 风险管理的重点：（ ）

A. 将风险降低到可以接受的程度 B.不计代价的降低风险 C.将风险转移给第三方 D.惩罚违反安全策略规定的雇员 12. 降低风险的防护措施有很多，常见的措施有（ ）

A. 在网络上部署防火墙 B.对网络上传输的数据进行加密 C.制定机房安全管理制度 D.购买物理场所的财产保险 13. 典型的混合式入侵检测系统主要由哪几个部件组成？（ ）

A. 传感器 B.管理控制台 C.存储器 D.主机控制 14. 根据入侵检测系统的分析技术，将入侵检测系统分为：（ ）

A. 实时检测 B.对比检测 C.异常检测 D.特征检测 15. 下列各选项属于主动性攻击的是（ ）

A. 拒绝服务攻击（DOS） B.中间人攻击（MITM） C.网络钓鱼攻击(Phishing) D.社会工程学攻击

16. 拒绝服务式攻击(DoS)，顾名思义就是让被攻击的系统无法正常进行，DoS常见的攻击方式

16