全面总结和评价，并形成相应的验收意见

D．信息化建设要建立信息化项目后评估制度。各单位信息化项目的后评估结果不需要上报国网信通部

答案：ABC

解析：选项D，需要上报国网信通部。

13．下列情况()是指系统下线，不再提供任何应用服务。 A．系统退出正常运行B．进入退役 C．报废状态D系统异常报错 答案：ABC

14．信息系统由()等构成其全部生命周期。 A．开发阶段 B．上线试运行阶段 C．上线正式运行阶段D．系统下线 答案：ABCD 15．《国家电网公司信息系统上下线管理方法》中规定系统上线试运行在具备下列条件()后，可以由系统建设开发单位负责向信息化管理部门申请系统上线试运行验收。

A．系统上线试运行期间连续稳定运行

B．系统建设开发单位完成用户应用培训、运行维护培训，配合运行维护单位制订系统备份方案、系统监控方案、安全策略配置方案、应急预案等运行技术文档

C．系统建设开发单位完成系统的全面移交，移交内容包括系统日常维护手册、系统管理员手册、系统培训手册、系统核心参数及端口配置表、系统用户及口令配置表(需含口令修改关联关系)、技术支持服务联系人及联系方式等

D．信息化职能管理部门、业务主管部门及运行维护单位应确定系统服务级别，建立保证信息系统正常运行的运行维护管理办法和考核制度，明确系统各级维护管理和应用人员的职责，确保信息的及时、准确、全面和安全

答案：ABCD 16．《国家电网公司信息系统版本管理方法》中的版本计划管理规定版本计划 应包括()。

A．业务应用或系统名称B．当前版本标识 C．计划版本标识 D．版本更新内容说明 答案：ABCD

17．下列关于《国家电网公司信息系统版本管理方法》中的版本测试管理说法 正确的是()。

A．研发单位向测评机构申请进行第三方认证测试，测评机构根据《国家电网公司信息系统测试管理办法》组织进行新版本测试工作

B．安全测评通过后，开发单位向软件著作权管理与保护部门移交与安全测试通过版本一致的软件著作权资料，并配合开展资料的审核和验证工作

C．测评完成后，根据《国家电网公司信息系统上下线管理办法》开展上线和试运行相关工作

D．试运行完成后，确认新版本安全稳定后，由运维部门向业务部门和信息通信职能管理部门提交新版本试运行相关信息，由信息系统建设单位统一下发新版本使用通知

答案：ABC

解析：试运行完成，确认新版本安全稳定后，由运维部门向业务部门和信息通信职能管理部门提交新版本试运行相关信息，由总部统一下发新版本使用通知。

18．《国家电网公司信息系统版本管理方法》中的版本发布管理中规定版本升级方案应

包含( )。

A．升级目的B．升级内容

C．升级各步骤的时间估算D升级涉及范围及对业务的影响 答案：ABCD

19．下列关于《国家电网公司应用软件通用安全要求》中系统开发和安全性保证的说法正确的是( )。

A．应用软件的开发应严格按照系统的需求说明书和设计说明书进行 B．应用软件的开发能在任何的开发环境中进行

C．开发人员不得对外泄漏开发内容、程序及数据结构

D．对于处于运维阶段的应用软件，在进行一次开发时，需要考虑开发时对于现有系统的影响，在系统升级时，应该制订相应的安全预案，保证系统升级时不能影响原有系统的正常运行

答案：ACD 解析：应用软件的开发应该在专用的开发环境中进行，开发人员不得对外泄漏开发内容、程序及数据结构。

20下列关于应用软件同基础主机环境间的安全交互的说法正确的是()。 A．应用软件应该防止用户绕过其安全控制机制直接尝试访问基础主机环境

B．在应用软件运行期间，应该不执行、并且应该不能被用于执行任何可能改变主机安全配置、安全文件、操作环境或平台安全程序的功能

C．应用软件能完全依赖当前基础主机环境提供的安全机制来确保应用本身和它的数据不受到破坏或拒绝服务

D．应用软件能够修改属于基础主机环境的文件和功能 答案：AB 解析：应用软件的安全设计和实现应该具有独立性，不能完全依赖当前基础主机环境提供的安全机制来确保应用本身和它的数据不受到破坏或拒绝服务，也不能破坏或试图破坏属于基础主机环境的文件和功能。

21．下列应用软件的鉴别和认证机制中，()可以用来替代或者作为用户 名+静态口令方式的补充。 A．公钥基础设施B．硬件令牌

C．生物识别认证D．一次性动态口令 答案：ABCD

22．应用系统统开发平台(SG-UAP)是融合了平台()并进一步创新 而形成的。

A．SotowerB．P13000C． UCMLD． OBPS 答案：AB

23 SG—UAP技术服务工作主要是通过在应用系统的()环节提供必要的技术服务支撑，使基于SG-UAP建设的应用系统的研发和运维工作得以顺利开展。

A．技术方案论证B．技术方案的设计及评审 C．功能开发D．上线运行 答案：ABCD 24．《国家电网公司信息系统非功能性需求规范(试行)》中规定当系统进行多用户并发操作时，应满足( )要求。

A．首页访问平均响应时间不得超过3秒 B．系统登录平均响应时间不得超过5秒

C．执行复杂的综合业务(同时包括查询、添加、删除等操作请求)时，平均 响应时间不得超过8秒

D执行简单查询、添加和删除业务时，平均响应时间不得超过5秒 答案：ABCD

25《国家电网公司信息系统非功能性需求规范(试行)》中规定系统应设计使 用多种输入多种输入验证的方法，包括()。 A．检查数据是否符合期望的类型 B．检查数据是否符合期望的长度

C．检查数值数据是否符合期望的数值范围 D．检查数据是否包含特殊字符，如：<、>、”、’、％、(、)、＆、+、＼、\\’、\\” 等；应使用正则表达式进行白名单检查 答案：ABCD

26．审计日志应禁止包含( )。 A．用户敏感信息(如密码信息等) B．客户完整交易信息

C．客户的隐私信息(如银行卡信息、密码信息、身份信息等) D．时间 答案：ABC

27．对于信息内网计算机不可开展()工作。 A．处理国家秘密信息 B．处理企业秘密信息 C．使用无线鼠标

D．连接信息外网或其他公用网络 答案：ACD 解析：严禁在信息内网计算机存储、处理国家秘密信息；信息内网办公计算机不能配置、使用毛线上网卡等无线设备，严禁通过电话拨号、无线等各种方式与信息外网和互联网络互联。

28．公司商业秘密信息密级标注主要包括()。 A．核心商秘B．普通商秘C．．绝密D．机密 答案：AB

29信息内网办公计算机部署于信息内网桌面终端安全域．信息外网办公计算机部署于信息外网桌面终端安全域．桌面终端安全域要采取()等安全防护措施。

A．安全准入管理B．访问控制 C．病毒防护D．桌面资产管理 答案：ABCD

解析：桌面终端安全域要采取安全准入管理、访问控制、入侵监测、病毒防护、恶意代码过滤、补丁管理、事件审计、桌面资产管理、保密检测、数据保护与监控等措施进行安全防护。

第三部分公司信息安全技术措施

一、判断题

1. 安全域是由一组具有相同安全保障需求、并相互信任的系统组成的逻辑区域，同一安全

域的系统共享相同的安全保障策略。（对）

2. 智能电网业务系统中，用电信息采集系统定为二级系统，按照三级系统的防护要求进行

建设防护。错

3. 信息安全保障体系是“SG186”工程中六大保障体系之一。对 4. 进行边界安全防护的首要任务是明确网络边界。对

5. 智能电网各信息系统具有集成度高、交互性多、用户广泛的特点，信息系统安全防护分

域遵照“同级系统统一成域”的原则。（）对

6. 无线网络环境安全防护的原则是信息内网办公环境不能使用无线组网，远程无线专线接

入必须使用安全接入系统。（）对

7. 智能电网防护方案的防护对象为部署于管理信息大区的发电、输电、变电、配电、用电、

调度、跨环节相关业务系统，主要包括输变电设备状态在线监测系统、用电信息采集系统、电动汽车智能充换电网络运行系统、电力光纤到户、95598等。（）对 8. 智能电网安全防护策略为“双网双机、分区分域、等级防护、多层防御”。（错）

9. 智能电网防护策略中的“全面防护”在“分区分域、安全接入、动态感知、精益管理”

基础上，在屋里、网络、主机三个层次提升等级保护纵深防御能力，加强安全基础设施建设，覆盖防护各层次，各环节，各对象。（错）

10. “十一五”期间公司按照“双网双机、分区分域、等级防护、多层防御”的信息安全防

护总体策略，建设了信息安全“三道防线”，其中第一道防线指信息外网与互联网之间的边界防御。（）对

11. 安全接入平台中PC终端安装加固后，不需要USBKEY也能正常进入系统。（错） 12. 移动接入网关作为平台的核心设置之一，具有安全隔断信息内、外网的功能。（错） 13. 云终端系统可以通过VPN进行接入。（错

14. 云终端系统可以提供跨广域网进行随时无障碍访问。（对） 15. 云终端系统发布的专用桌面可以支持安全U盘的使用。（对）

16. 在没有网络的情况下，用户仍然可以使用云终端系统的虚拟桌面。（错）

17. 当通过网页发送有件事，其产生的流量会计入互联网访问行为中的邮件流量中。（错） 18. ISS系统是在原有信息内外网边界安全监测系统的基础上增加互联网出口内容审计、网

络行为分析与流量监测、病毒木马监测、网站攻击监测与防护、桌面终端挂历功能，构建新版信息外网安全监测系统作为原有信息内、外网边界安全监测系统的升级版本。（对） 19. ISS属于公司统推项目，采用旁路部署模式，属于国网以及部署系统。（对） 20. 桌面终端管理系统不仅仅只监控客户端，还包括主机服务器。（错）

21. IMS对于桌面终端、杀毒软件使用情况、服务器补丁漏洞等监控都是自身实现的。（错） 22. IMS系统通过了信息网络安全实验室的安全测评，达到了GB/T 22239-2008 《信息安全

技术信息系统安全等级保护基本要求》第二级应用安全的技术要求。（对） 23. 办公计算机保密自动检测系统不支持用户手动配置关键字进行检测。（错） 24. 办公计算机保密自动检测系统支持加密数据的内容检测。（错）

25. 办公计算机保密自动检测系统布恩那个对磁盘的剩余空间进行粉碎。（错）