国家电网信息安全基础知识考试真题精选.docx
《国家电网信息安全基础知识考试真题精选.docx》由会员分享,可在线阅读,更多相关《国家电网信息安全基础知识考试真题精选.docx(17页珍藏版)》请在冰豆网上搜索。
国家电网信息安全基础知识考试真题精选
2020年国家电网信息安全基础知识考试真题精选
[判断题]
1、《国家电网公司信息系统口令管理暂行规定》规定软件开发商在开发应用软件期间,应充分考虑应用软件的设计,设计应保证用户名和口令不以明文的形式存放在配置文件、注册表或数据库中。
参考答案:
对
[多项选择题]
2、()是不安全的直接对象引用而造成的危害。
A.用户无需授权访问其他用户的资料
B.用户无需授权访问支持系统文件资料
C.修改数据库信息
D.用户无需授权访问权限外信息
参考答案:
A,B,D
[判断题]
3、《国家电网公司信息系统口令管理暂行规定》规定信息系统使用人员要妥善保管系统的账号密码,做到密码定期更换,对于密码遗失,要及时联系修改。
参考答案:
对
参考解析:
重点做好口令密码的保管
[多项选择题]
4、()是有失效的身份认证和会话管理而造成的危害。
A.窃取用户凭证和会话信息
B.冒充用户身份查看或者变更记录,甚至执行事务
C.访问未授权的页面和资源
D.执行超越权限操作
参考答案:
A,B,C,D
[判断题]
5、应用软件应该提供给审核管理员用户一个产生和修改用户授权的管理工具,并且保证在每次产生或修改权限后不需要重启系统就能立即生效。
参考答案:
错
参考解析:
应该提供给系统管理员。
[多项选择题]
6、()漏洞是由于没有对输入数据进行验证而引起的。
A.缓冲区溢出
B.跨站脚本
C.SQL注入
D.信息泄露
参考答案:
A,B,C
参考解析:
ABC选项都是由于没有对输入数据进行验证而引起的漏洞。
[判断题]
7、《国家电网公司信息化建设管理办法》中的“信息化保障体系“包含信息安全防护体系、标准规范体系、管理调控体系、评价考核体系、技术研究体系和人才队伍体系等内容。
参考答案:
对
[多项选择题]
8、下列能防止不安全的加密存储的是()。
A.存储密码是用SHA-256等健壮哈希算法进行处理
B.使用足够强度的加密算法
C.产生的密钥不应与加密信息一起存放
D.严格控制对加密存储的访问
参考答案:
A,B,C,D
[判断题]
9、信息化项目建设要严格执行有关信息安全及保密管理规定。
坚持信息安全是信息化项目有机组成部分的原则,按照信息安全措施与信息化项目同步规划、同步建设和同步投入运行的要求,切实落实信息化项目中安全措施建设工作。
参考答案:
对
[多项选择题]
10、下列能解决安全配置错误的是()。
A.自定义出错页面,统一错误页面提示
B.安装最新版本的软件及最小化按照(只安装需要的组件)
C.避免使用默认路径,修改默认账号和密码,禁用预设账号
D.使用参数化查询语句
参考答案:
A,B,C
[判断题]
11、《国家电网公司信息系统上下线管理办法》中规定信息系统在上线试运行测试完成前,不对外提供服务。
参考答案:
对
[多项选择题]
12、下列可以引起安全配置错误的是()。
A.服务器没有及时安全补丁
B.没有对用户输入数据进行验证
C.没有对系统输出数据进行处理
D.网站没有禁止目录浏览功能
参考答案:
A,D
[判断题]
13、自开发平台类系统新版本开发测试完成后想测评部门提出第三方测评需求时,不需要同时提供业务应用新版本变更说明书。
参考答案:
错
参考解析:
应同时提供业务应用新版本变更说明书。
[多项选择题]
14、下列方法中()可以作为防止跨站脚本的方法。
A.验证输入数据类型是否正确
B.使用白名单对输入数据进行验证
C.使用黑名单对输入数据进行安全检查或过滤
D.对输出数据进行净化
参考答案:
A,B,C,D
[判断题]
15、《国家电网公司信息系统版本管理办法》中的版本运行管理中规定版本变更后,各单位运行维护部门需跟踪新版本的使用情况,及时将使用中出现的问题或缺先提交研发单位并抄送国网公司信通部,有研发单位对问题进行验证、确认。
参考答案:
错
参考解析:
提交研发单位并抄送国网信通公司。
[多项选择题]
16、文件操作中应对上传文件进行限制,下列操作中()能对上传文件进行限制。
A.上传文件类型应遵循最小化原则,仅允许上传必须的文件类型
B.上传文件大小限制,应限制上传文件大小的范围
C.上传文件保存路径限制,过滤文件名或路径名中的特殊字符
D.应关闭文件上传目录的执行权限
参考答案:
A,B,C,D
参考解析:
应对文件的类型、文件的大小、文件的保存路径和文件上传目录的执行权限进行限制。
[判断题]
17、应用软件的安全设计和实现应该具有共享性,能依赖当前基础主机环境提供的安全机制来确保应用本身和它的数据不受到破坏或拒绝服务。
参考答案:
错
参考解析:
应用软件的安全设计和实现应该具有独立性,不能完全依赖当前基础主机环境提供的安全机制来确保应用本身和它的数据不受到破坏或拒绝服务。
[多项选择题]
18、在安全编码中,应建立错误信息保护机制。
下列措施()是错误信息保护机制。
A.对错误信息进行规整和清理后在返回到客户端
B.禁止将详细错误信息直接反馈到客户端
C.应只向客户端返回错误码,详细错误信息可记录在后台服务器
D.可将错误信息不经过处理后返回给客户端
参考答案:
A,B,C
[判断题]
19、SG-UAP的全称是公司应用系统统一开发平台。
参考答案:
对
[多项选择题]
20、安全编码中应具有设计错误、异常处理机制,下列手段()是设计错误,异常处理机制。
A.错误和异常检测
B.错误和异常记录、断电保护
C.数据回滚
D.安全错误通知
参考答案:
A,B,C,D
参考解析:
应建立防止系统锁死的机制,异常情况的处理和恢复机制,具体包括错误和异常检测、数据回滚、安全错误通知、错误和异常记录、断电保护等。
[判断题]
21、信息系统非功能性需求是指除业务功能需求之外从便于系统运行维护提高用户体验、确保系统安全和稳定等方面对系统开发提供的要求。
参考答案:
对
更多内容请访问《睦霖题库》微信公众号
[多项选择题]
22、()能有效地防止信息泄露和不恰当的错误处理。
A.不给用户任何提示信息
B.除了必要的注释外,将所有的调试语句删除
C.对返回客户端的提示信息进行统一和格式化
D.制作统一的出错提示页面
参考答案:
B,C,D
[判断题]
23、审计日志应至少包含以下内容:
用户ID或引起这个事件的处理程序ID事件的日期、事件(时间戳)、事件类型、实践内容、事件是否成功,请求的来源、用户敏感信息。
参考答案:
错
参考解析:
不能包含用户敏感信息。
[多项选择题]
24、为了防止SQL注入,下列特殊字符()需要进行转义。
A.‘(单引号)
B.%(百分号)
C.;(分号)
D.”(双引号)
参考答案:
A,B,C,D
[判断题]
25、因为某员工离职,因此可以将该员工的信息内网办公计算机不做处理直接给其他员工进行使用
参考答案:
错
参考解析:
信息内网办公计算机及外部设备和存储设备在变更用途,或不再用于处理内网信息,或不再使用,或需要数据恢复时,要报计算机运行维护部门,由运行维护部门负责采取安全可靠的手段恢复、销毁和擦除存储部件中的信息,禁止通过外部单位进行数据恢复、销毁和擦除工作。
[多项选择题]
26、由于跨站脚本攻击漏洞而造成的危害的是()。
A.网站挂马
B.盗窃企业重要的具有商业价值的资料
C.访问未授权的页面和资源
D.盗取各类用户账号
参考答案:
A,B,D
[判断题]
27、“SG186工程”中的“6”,是建立健全六个信息化保障体系,分别是信息化安全防护体系、标准规范体系、管理调控体系、评价考核体系、技术研究体系和人才队伍体系。
参考答案:
对
[多项选择题]
28、应根据情况综合采用多种输入验证的方法,以下输入验证方法需要采用()。
A.检查数据是否符合期望的类型
B.检查数据是否符合期望的长度
C.检查数值数据是否符合期望的数值范围
D.检查数据是否包含特殊字符
参考答案:
A,B,C,D
[单项选择题]
29、《国家电网公司信息系统安全管理办法》规定:
在规划和建设信息系统时,信息系统安全防护措施应按照“三同步”原则,与信息系统建设同步规划、同步()、同步投入运行。
A.建设
B.批准
C.施工
D.安装
参考答案:
A
[多项选择题]
30、程序默认情况下应对所有的输入信息进行验证,不能通过验证的数据应会被拒绝。
以下输入需要进行验证的是()。
A.HTTP请求消息
B.第三方接口数据
C.不可信来源的文件
D.临时文件
参考答案:
A,B,C,D
[单项选择题]
31、《国家电网公司信息系统口令管理暂行规定》规定口令要及时更新,要建立定期修改制度,其中系统管理员口令修改间隔不得超过()个月,并且不得重复使用前()次以内的口令。
A.3;3
B.3;4
C.4;4
D.2;3
参考答案:
A
参考解析:
修改间隔不得超过3个月,不得重复使用前3次以内的口令
[多项选择题]
32、下列方法能保证业务日志的安全存储与访问的是()。
A.将业务日志保存到WEB目录下
B.对业务日志进行数字签名来实现防篡改
C.日志保存期限应与系统应有等级相匹配
D.日志记录应采用只读方式归档保存
参考答案:
B,C,D
[单项选择题]
33、根据《国家电网公司信息系统安全风险评估实施细则(试行)》,在风险评估中,资产评估包含信息资产()、资产赋值等内容。
A.识别
B.安全要求识别
C.安全
D.实体
参考答案:
A
[多项选择题]
34、软件输出应该限制返回给客户与业务办理无关的信息,防止把重点保护数据返回给不信任的用户,避免信息外泄,因此软件应有一套输出保护的方法,具体包括()。
A.检查输出是否含有非必要的信息
B.检查输出是否含有不符合业务管理规定的信息
C.检查输出是否有重点保护数据
D.输出返回信息应尽可能精简,甚至只返回是或者否
参考答案:
A,B,C
[单项选择题]
35、下列关于实现账号权限在管理者、使用者、监督者三类角色间实现相互制衡的说法错误的是()。
A.审计院长郝仅能监控其他各类用户的操作轨迹及系统日志
B.管理员帐号仅能配置不涉及业务数据及系统功能的普通用户的角色及权限
C.审核员账号仅能对管理员账号进行相关操作的复核和批准
D.普通用户仅能使用已授权系统功能,操作未授权的业务数据
参考答案:
D
参考解析:
普通用户仅能使用已授权系统功能,操作已授权的业务数据。
[多项选择题]
36、根据“没有明确允许的就默认禁止”原则,软件不应包含只是在将来某个时间需要但需求说明书中没有包括的功能,软件在最小功能建设方面应遵循如下原则,包括()。
A.可以运行未明确定义的功能
B.系统调用只在确实需要的时候
C.只有在上一个任务完成后才开始下一个任务
D.只有在确实需要的时候访问数据
参考答案:
B,C,D
[单项选择题]
37、信息化项目建设完成后,应遵循()原则,有信息运行维护部门统一负责系统的运行维护工作。
A.主业化、标准化、专业化
B.主业化、规范化、标准化
C.主业化、集中化、规范化
D.主业化、集中化、专业化
参考答案:
D
[多项选择题]
38、异常信息包含了针对开发和维护人员调试使用的系统信息,为了避免攻击者发现潜在缺陷并进行攻击的情况,在设计异常信息时应注意()。
A.使用结构化异常处理机制
B.程序发生异常时,应终止当前业务,并对当前业务进行回滚操作
C.通信双方中一方在一段时间内未作反应,另一方应自动结束回话
D.程序发生异常时,应在日志中记录详细的错误消息
参考答案:
A,B,C,D
[单项选择题]
39、下列不是系统申请上线试运行必须满足的条件是()。
A.系统建设开发单位完成各个层次重点用户的培训工作,包括系统最终用户和运行维护单位有关人员的培训工作。
B.系统文档资料齐全,符合有关标准。
C.系统建设开发单位、运行维护单位共同检查系统的安装环境,确认满足安装所需的服务器、网络、电源等环境保障条件
D.系统建设开发单位对系统进行严格的测试,包括系统的功能实现、性能、可用性、兼容性、集成性方面,并形成测试报告。
参考答案:
D
参考解析:
测试需要包括系统的安全性。
[多项选择题]
40、操作参数攻击是一种更改在客户端和WEB应用程序之间发送的参数数据的攻击,为了避免参数攻击,应注意()。
A.避免使用包含敏感数据或者影响服务器安全逻辑的查询字符串参数
B.使用会话标识符来标识客户端,并将敏感项存储在服务器上的会话存储区中
C.禁止使用HTTP GET方式
D.加密查询字符串参数
参考答案:
A,B,D
[单项选择题]
41、《国家电网公司信息系统上下线管理办法》中规定上线试运行的初期安排一定时间的观察期,观察期原则上不短于上线试运行期的1/3,一般为()。
A.1
B.2
C.3
D.4
参考答案:
A
[多项选择题]
42、日志记录的事件宜包括()。
A.审计功能的启动和关闭
B.配置变化
C.用户权限的变更
D.用户密码的变更及密码内容
参考答案:
A,B,C
[单项选择题]
43、《国家电网公司信息系统版本管理办法》中版本标识管理规定为保证版本有序传递,应建立统一的版本标识,具体的版本标识是()。
A.<系统代码>-<版本号>-[补丁号]-[各单位编号]
B.<系统代码>-<补丁号>-[各单位编号]
C.<系统代码>-<版本号>-[各单位编号]-[补丁号]
D.<系统代码>-<版本号>-[补丁号]
参考答案:
A
[多项选择题]
44、软件设计开发时应建立防止系统死锁的机制、异常情况的处理和恢复机制,具体包括()。
A.错误和异常检测
B.断点保护
C.安全错误通知
D.错误和异常记录
参考答案:
A,B,C,D
[单项选择题]
45、下列关于《国家电网公司信息系统版本管理办法》中版本计划管理说法错误的是()。
A.版本升级计划作为版本测试、发布的必要依据,由总部定期发布
B.研发单位在系统首次上线时,经过系统运行一段时间后,应提交版本升级策略和整体计划
C.自开发平台类系统研发厂商应根据应用需求和自身版本规划及时制订半年度版本升级计划,于每年5月30日和11月30日前报国网信通部
D.国网信通部每年组织评估、审核后,于每年12月30日前下发第三方平台类系统版本次年升级计划
参考答案:
B
参考解析:
研发单位在系统首次上线时,应提交版本升级策略和整体计划。
[多项选择题]
46、下列情形中会引起内存溢出的有()。
A.未对缓存区填充数据时进行边界检查
B.系统资源未及时释放和服务连接未及时关闭
C.数据库查询操作,如果查询返回的结果较多时,未分次提取
D.每次内存分配未检查是否分配失败
参考答案:
A,B,C,D
[单项选择题]
47、下列关于应用软件在运维和废弃阶段安全管理错误的是()
A.应根据业务需求和安全分析确定应用软件的访问控制策略,用于控制分配数据、信息、文件及服务的访问权限
B.应对应用软件账户进行分类管理,权限设定应当遵循最方便使用授权要求
C.应用软件废弃时,应确保系统中的所有数据被有效转移或可靠销毁,并确保系统更新过程是在一个安全、系统化的状态下完成
D.应用软件正式投入运行后,应指定专人对应用软件进行管理,删除或者禁用不使用的系统默认账户,更改默认口令
参考答案:
B
参考解析:
应用软件正式投入运行后,应指定专人对应用软件进行管理,删除或者禁用不使用的系统默认账户,更改默认口令。
[多项选择题]
48、下列属于会话管理设计要求的是()。
A.用户登陆成功后应建立新的会话
B.确保会话数据的存储和传输安全
C.避免跨站请求伪造
D.设计合理的会话存活时间,超时后应销毁会话,并清除会话的信息
参考答案:
A,B,C,D
[单项选择题]
49、下列不属于SG-UAP技术服务工作范围的是()。
A.技术咨询
B.辅助编码
C.培训考核
D.运维支持
参考答案:
B
[多项选择题]
50、设计配置管理时应注意方面有()。
A.使用最少特权进程和服务帐户
B.确保配置存储的安全
C.允许应用程序调用底层系统资源
D.单独分配管理特权
参考答案:
A,B,D
[单项选择题]
51、《国家电网公司信息系统非功能性需求范围(试行)》中规定系统密码策略应满足公司有关规范:
密码长度不得低于()位,上限不得高于()位,必须支持数字及字母搭配组合。
A.6;17
B.7;18
C.8;20
D.9;21
参考答案:
C
[多项选择题]
52、下列属于配置存储安全要求的是()。
A.避免在WEB目录使用配置文件,以防止可能出现的服务器配置漏洞导致配置文件被下载
B.避免以纯文本形势存储重要配置,如数据库连接字符串或帐户凭据
C.通过加密确保配置的安全,并限制对包含加密数据的注册表项、文件或表的访问权限
D.确保对配置文件的修改、删除和访问等权限的变更,都验证授权并且详细记录
参考答案:
A,B,C,D
[单项选择题]
53、国家电网公司办公计算机信息安全和保密管理遵循()的基本原则。
A.涉密不上网、上网不涉密
B.双网双机、分区分域、等级防护、多层防御
C.业务工作谁主管,保密工作谁负责
D.严禁在信息外网处理涉及国家秘密的信息
参考答案:
A
参考解析:
国家电网公司办公计算机信息安全和保密管理遵循“涉密不上网、上网不涉密”的基本原则
[多项选择题]
54、下列属于输入验证方法的是()。
A.检查数据是否符合期望值的类型
B.检查数据是否符合期望值的长度
C.检查数值数据是否符合期望的数值范围
D.检查数据是否包含特殊字符
参考答案:
A,B,C,D
[单项选择题]
55、国家电网公司“SG186”工程信息安全防护策略是()。
A.双网双机、分区分域、等级防护、多层防御
B.网络隔离、分区防护、综合治理、技术为主
C.安全第一、以人为本、防御为主、管控结合
D.访问控制、严防泄密、主动防御、积极管理
参考答案:
A
[多项选择题]
56、下列属于授权设计要求的是()。
A.设计资源访问控制方案,验证用户访问权限
B.限制用户对系统级资源的访问
C.设计在服务器端实现访问控制,也可只在客户端实现访问控制
D.设计统一的访问控制机制
参考答案:
A,B,D
[多项选择题]
57、业务系统安全需求来源包括()。
A.应用系统风险评估
B.项目经验积累
C.法律法规要求
D.操作系统风险评估
参考答案:
A,C
[多项选择题]
58、安全需求分析阶段的关键活动包括()。
A.识别相关法律、法规和标准的安全要求
B.初步识别业务功能、流程及业务活动中需要保护的资产
C.识别业务活动中面临的安全威胁
D.确定安全威胁所对应的安全需求并分析数据在机密性、完整性和可用性方面的安全需求
参考答案:
A,B,C,D
[多项选择题]
59、在设计密码的存储和传输安全策略时应考虑的原则包括()。
A.禁止明文传输用户登陆信息及身份凭证
B.禁止在数据库或文件系统中明文存储用户密码
C.必要时可以考虑在COOKIE中保存用户密码
D.应采用单项散列值在数据库中存储用户密码,并使用强密码,在生成单向散列值过程中加入随机值
参考答案:
A,B,D
[多项选择题]
60、等级保护三级以上系统应至少采用两种认证方式,下列属于认证方式的有()。
A.用户名、口令认证
B.一次性口令、动态口令认证
C.证书认证
D.短信验证码
参考答案:
A,B,C
升级会员 