本次年升级计划
答案:B
解析:研发单位在系统首次上线时,应提交版本升级策略和整体计划。 23.《国家电网公司应用软件通用安全要求》中指出信息系统的安全目标体现在()方面。
A.机密性保障、安全性保障、可用性保障和可控性保障 B.机密性保障、完整性保障、保密性保障和可控性保障 C.机密性保障、安全性保障、保密性保障和可控性保障 D.机密性保障、完整性保障、可用性保障和可控性保障 答案:D
24.下列关于《国家电网公司应用软件通用安全要求》中密码技术的说法错误的是()。 A.应用软件中选择的密码算法在强度上应该等于或大于公司规定和用户提出的安全强度要求
B.应用软件需要在密钥生成、存储、分配、销毁的整个生命周期中对其实施保护,确保密钥明文不能被其他进程、程序和应用中非相关组件访问到
C.应用软件应该确保能够对系统中使用的证书进行正确鉴别,而且不会接受或继续使用非法的或者无效的证书
D.应用软件中可以直接选择MD5作为密码算法 答案:D
解析:MD5是公认的不安全的加密算法。
25.下列关于应用软件在运维和废弃阶段安全管理错误的是()。
A.应根据业务需求和安全分析确定应用软件的访问控制策略,用于控制分配 数据、信息、文件及服务的访问权限
B.应对应用软件账户进行分类管理,权限设定应当遵循最方便使用授权要求
C.应用软件废弃时,应确保系统中的所有数据被有效转移或可靠销毁,并确保系统更新过程是在一个安全、系统化的状态下完成
D.应用软件正式投入运行后,应指定专人对应用软件进行管理。删除或者禁 用不使用的系统默认账户,更改默认口令 答案:B
解析:应用软件正式投入运行后,应指定专人对应用软件进行管理,删除或者禁用不使用的系统默认账户更改默认口令。
26《国家电网公司应用软件通用安全要求》规定,应用软件部署后,下列()是可以存在的用户或口令。
A.实施过程中使用的临时用户 B.隐藏用户和匿名用户 C.管理员的初始默认口令
D.管理员分发给用户并经用户修改过的口令 答案:D
27.下列不属于SG—UAP技术服务工作范围的是()。 A.技术咨询B.辅助编码 C.培训考核D.运维支撑 答案:B
28.下列说法错误的是( )。
A.禁止明文传输用户登录信息及身份凭证
B.应采用SSL加密隧道确保用户密码的传输安全 C.禁止在数据库或文件系统中明文存储用户密码 D.可将用户名和密码保存在Cookie中 答案:D
解析:禁止在Cookie中保存用户密码。 29.《国家电网公司信息系统非功能性需求规范(试行)》中『规定系统密码策略应满足公司有关规范:密码长度不得低于()位,上限不得高于()位;必须支持数字及字母搭配组合。
A 6,17B.7,18C.8,20 D.9,21 答案:C
30《国家电网公司信息系统非功能性需求规范(试行)》中规定对于重要系统,应图形验证码来增强身份认证安全;图形验证码要求长度至少()位,随机生成且包含字母与数字的组合,经过一定的噪点和扭曲干扰,能够抵抗工具的自动识别但同时不影响用户的正常使用。
A 3B.4C 5 D.6 答案:B 31.《国家电网公司信息系统非功能性需求规范(试行)》中规定的接口方式安 全要求,下列说法错误的是()。
A.系统互联应仅通过接口设备(前置机、接口机、通信服务器、应用服务器 等设备)进行,特殊情况下可以直接访问核心数据库
B.接口设备上的应用只能包含实现系统互联所必需的业务功能,不包含信息 系统的所有功能
C.禁止明文传输,传输的敏感数据必须经过加密,可以采用加密传输协议, 如HTTPS,对于密码、密钥必须在传输先进行加密
D.各种收发数据、消息的日志都应予以保存,以备审计与核对 答案:A
32.国家电网公司办公计算机信息安全和保密管理遵循()的基本 原则。
A.涉密不上网、上网不涉密
B.双网双机、分区分域、等级防护、多层防御 C.业务工作谁主管,保密工作谁负责
D.严禁在信息外网处理涉及国家秘密的信息 答案:A
解析:国家电网公司办公计算机信息安全和保密管理遵循“涉密不上网、上 网不涉密”的原则。
33.下列信息中()不是公司商秘文件应标注的内容。 A.密级B.保密期限
c.知悉范围D.文件制定人 答案:D
34国家电网公司“SGl86”工程信息安全防护策略是()。 A.双网双机、分区分域、等级防护、多层防御 B.网络隔离、分区防护、综合治理、技术为主 C.安全第一、以人为本、预防为主、管控结合 D.访问控制、严防泄密、主动防御、积极管理 答案:A
三、多选题
1.“三个纳入”是指( )。
A.将信息安全纳入公司安全生产管理体系 B.将等级保护纳入信息安全日常管理中 C.将信息安全纳入信息化工作中 D.将信息安全纳入绩效考核中 答案:ABC
2.信息安全与信息系统的“三个同步”是指()。 A.同步规划B.同步建设
C.同步投入运行D.同步管理 答案:ABC
3.信息安全“三个不发生”是指( )。
A.确保不发生大面积信息系统故障停运事故 B.确保不发生恶性信息泄密事故 C.确保不发生信息内网非法外联事故
D.确保不发生信息外网网站被恶意篡改事故 答案:ABD
4.常态安全巡检包括( )。 A.定期巡检病毒木马感染情况
B.定期巡检责任范围内互联网出口攻击与非正常访问情况 C.定期巡检安全移动存储介质使用及内容安全交换情况
D.定期巡检信息内外网络、信息系统及设备漏洞及弱口令情况 答案:ABCD
5.下列关于口令管理的说法正确的是()。 A.口令必须具有一定强度、长度和复杂度 B.口令长度不得小于8位 C.口令可以全部有字母组成 D.口令可以和用户名相同 答案:AB
解析:口令要求是字母和数字或特殊字符的混合,用户名和口令禁止相同。 6.下列关于系统管理员和数据库管理员权限的说法正确的是()。 A.在人员不足时,系统管理员能同时拥有数据库管理员(DBA)的权限
B.数据库管理员为了方便应用系统的数据库管理员操作数据库,应为所有的 应用数据库的管理员授予DBA的权限
C.不同应用数据库的管理员一般不能具备访问其他应用数据库的权限
D.系统上线后,应删除测试账户,严禁系统开发人员掌握系统管理员口令 答案:CD
解析:系统管理员不得拥有数据库管理员(DBA)的权限,数据库管理员也不得同时拥有系统管理员的权限;数据库管理员应为不同应用系统的数据库建立不同的用户并仅作为该应用数据库的管理员。
7.下列关于应用软件的口令管理的说法正确的是()。
A.软件开发商在开发应用软件期间,应充分考虑应用软件的安全设计,设计应保证用
户名和口令不以明文的形式存放在配置文件、注册表或数据库中
B.访问数据库的用户名和口令能直接以明文的形式写入配置文件或者应用软件中 C.口令必须能方便地配置、修改和加密。按照人员进行口令分配和认证,一 能仅按照角色进行口令的分配
D.对不同用户共享的资源进行访问必须进行用户身份的控制和认证 答案:ACD
解析:访问数据库的用户名和口令不能直接以明文的形式写入配置文件或应用软件中,也不能固化在应用软件中或者直接写在数据库中。
8.《国家电网公司信息通信部关于进一步加强公司信息系统账号权限及访控制管理的通知》规定在账号权限及访问控制管理等核心信息系统运维工作方面,要全面实现“四确保”目标,下面关十“四确保”的说法正确的是()。
A.确保信息系统用户账号与实体用户一一对应
B.确保各类信息系统账号不误删、不错调、不越权、不限用 C.确保账号权限管理贯穿项目建设及系统运行的各个阶段
D.确保账号权限在管理者、使用者、监督者三类角色间实现相互制衡 答案:ABCD
9.应用软件应该将用户角色分为()类。
A.安全管理员账号(角色)B.审核管理员账号(角色) C.系统管理员账号(角色)D.非管理员账号(角色) 答案:ABCD
10.信息化项目建设要坚持标准化建设原则,按照(),统一组织开展典型设计、试点先行、分步推广等工作,确保公司建成一体化集团企业资源计划系统。
A.统一功能规范B.统一技术标准
C.统一开发平台D.统一产品选型的要求 答案:ABCD
11.下列关于信息化项日建设管理的说法正确的是()。
A.信息系统上线试运行前,须认真做好项目开发过程中形成的应用软件源代码(包括二次开发源代码)、各类技术文档等资料的移交及相应的知识转移上作,履行必要手续后进入上线试运行阶段
B.试运行前,业务部门、信息化职能管理部门要组织项目承建单位开展项目应用及相关运行维护人员的培训工作,使相关人员熟练使用和维护系统,并具备一般的故障处理能力
C.系统在上线试运行期间,按照上线试运行的要求管理,严格执行公司关于信息系统运行维护及安全管理的有关规定,做好数据备份,保证系统及用户数据的安全
D.国网信通部统一组织开展公司信息化项目建设的评优管理工作,评优工作 每两年开展一次 答案:ABCD
解析:按照上线正式运行的要求管理.评优工作每两年开展一次。 1 2.下列关于信息化项目验收和后评估管理的说法正确的是()。
A.国网信通部会同相关业务部门负责组织总部信息化项目、公司统一组织建设信息化项目的验收工作
B.信息系统上线试运行结束后,项目承建单位应完成隐患问题处理,确定系统达到稳定运行条件后,及时填写项目竣工验收申请单,并提供齐全的验收资料
C.信息化项目验收需成立验收组织机构,开展必要的测试、核查工作,对项目的完成情况、实现功能和性能、质量控制、档案完整性、项目取得的成果及主要技术经济指标进行