国家电网信息安全基础知识考试真题精选.docx

1、国家电网信息安全基础知识考试真题精选2020年国家电网信息安全基础知识考试真题精选判断题1、国家电网公司信息系统口令管理暂行规定规定软件开发商在开发应用软件期间，应充分考虑应用软件的设计，设计应保证用户名和口令不以明文的形式存放在配置文件、注册表或数据库中。参考答案：对多项选择题2、（）是不安全的直接对象引用而造成的危害。A.用户无需授权访问其他用户的资料B.用户无需授权访问支持系统文件资料C.修改数据库信息D.用户无需授权访问权限外信息参考答案：A,B,D判断题3、国家电网公司信息系统口令管理暂行规定规定信息系统使用人员要妥善保管系统的账号密码，做到密码定期更换，对于密码遗失，要及时联系修改

2、。参考答案：对参考解析：重点做好口令密码的保管多项选择题4、（）是有失效的身份认证和会话管理而造成的危害。A.窃取用户凭证和会话信息B.冒充用户身份查看或者变更记录，甚至执行事务C.访问未授权的页面和资源D.执行超越权限操作参考答案：A,B,C,D判断题5、应用软件应该提供给审核管理员用户一个产生和修改用户授权的管理工具，并且保证在每次产生或修改权限后不需要重启系统就能立即生效。参考答案：错参考解析：应该提供给系统管理员。多项选择题6、（）漏洞是由于没有对输入数据进行验证而引起的。A.缓冲区溢出B.跨站脚本C.SQL注入D.信息泄露参考答案：A,B,C参考解析：ABC选项都是由于没有对输入数据

3、进行验证而引起的漏洞。判断题7、国家电网公司信息化建设管理办法中的“信息化保障体系“包含信息安全防护体系、标准规范体系、管理调控体系、评价考核体系、技术研究体系和人才队伍体系等内容。参考答案：对多项选择题8、下列能防止不安全的加密存储的是（）。A.存储密码是用SHA-256等健壮哈希算法进行处理B.使用足够强度的加密算法C.产生的密钥不应与加密信息一起存放D.严格控制对加密存储的访问参考答案：A,B,C,D判断题9、信息化项目建设要严格执行有关信息安全及保密管理规定。坚持信息安全是信息化项目有机组成部分的原则，按照信息安全措施与信息化项目同步规划、同步建设和同步投入运行的要求，切实落实信息化项

4、目中安全措施建设工作。参考答案：对多项选择题10、下列能解决安全配置错误的是（）。A.自定义出错页面，统一错误页面提示B.安装最新版本的软件及最小化按照（只安装需要的组件）C.避免使用默认路径，修改默认账号和密码，禁用预设账号D.使用参数化查询语句参考答案：A,B,C判断题11、国家电网公司信息系统上下线管理办法中规定信息系统在上线试运行测试完成前，不对外提供服务。参考答案：对多项选择题12、下列可以引起安全配置错误的是（）。A.服务器没有及时安全补丁B.没有对用户输入数据进行验证C.没有对系统输出数据进行处理D.网站没有禁止目录浏览功能参考答案：A,D判断题13、自开发平台类系统新版本开发测

5、试完成后想测评部门提出第三方测评需求时，不需要同时提供业务应用新版本变更说明书。参考答案：错参考解析：应同时提供业务应用新版本变更说明书。多项选择题14、下列方法中（）可以作为防止跨站脚本的方法。A.验证输入数据类型是否正确B.使用白名单对输入数据进行验证C.使用黑名单对输入数据进行安全检查或过滤D.对输出数据进行净化参考答案：A,B,C,D判断题15、国家电网公司信息系统版本管理办法中的版本运行管理中规定版本变更后，各单位运行维护部门需跟踪新版本的使用情况，及时将使用中出现的问题或缺先提交研发单位并抄送国网公司信通部，有研发单位对问题进行验证、确认。参考答案：错参考解析：提交研发单位并抄送国

6、网信通公司。多项选择题16、文件操作中应对上传文件进行限制，下列操作中（）能对上传文件进行限制。A.上传文件类型应遵循最小化原则，仅允许上传必须的文件类型B.上传文件大小限制，应限制上传文件大小的范围C.上传文件保存路径限制，过滤文件名或路径名中的特殊字符D.应关闭文件上传目录的执行权限参考答案：A,B,C,D参考解析： 应对文件的类型、文件的大小、文件的保存路径和文件上传目录的执行权限进行限制。 判断题17、应用软件的安全设计和实现应该具有共享性，能依赖当前基础主机环境提供的安全机制来确保应用本身和它的数据不受到破坏或拒绝服务。参考答案：错参考解析： 应用软件的安全设计和实现应该具有独立性，

7、不能完全依赖当前基础主机环境提供的安全机制来确保应用本身和它的数据不受到破坏或拒绝服务。 多项选择题18、在安全编码中，应建立错误信息保护机制。下列措施（）是错误信息保护机制。A.对错误信息进行规整和清理后在返回到客户端B.禁止将详细错误信息直接反馈到客户端C.应只向客户端返回错误码，详细错误信息可记录在后台服务器D.可将错误信息不经过处理后返回给客户端参考答案：A,B,C判断题19、SG-UAP的全称是公司应用系统统一开发平台。参考答案：对多项选择题20、安全编码中应具有设计错误、异常处理机制，下列手段（）是设计错误，异常处理机制。A.错误和异常检测B.错误和异常记录、断电保护C.数据回滚D

8、.安全错误通知参考答案：A,B,C,D参考解析：应建立防止系统锁死的机制，异常情况的处理和恢复机制，具体包括错误和异常检测、数据回滚、安全错误通知、错误和异常记录、断电保护等。判断题21、信息系统非功能性需求是指除业务功能需求之外从便于系统运行维护提高用户体验、确保系统安全和稳定等方面对系统开发提供的要求。参考答案：对更多内容请访问睦霖题库微信公众号多项选择题22、（）能有效地防止信息泄露和不恰当的错误处理。A.不给用户任何提示信息B.除了必要的注释外，将所有的调试语句删除C.对返回客户端的提示信息进行统一和格式化D.制作统一的出错提示页面参考答案：B,C,D判断题23、审计日志应至少包含以下

9、内容：用户ID或引起这个事件的处理程序ID事件的日期、事件（时间戳）、事件类型、实践内容、事件是否成功，请求的来源、用户敏感信息。参考答案：错参考解析： 不能包含用户敏感信息。 多项选择题24、为了防止SQL注入，下列特殊字符（）需要进行转义。A.（单引号）B.%（百分号）C.；（分号）D.”（双引号）参考答案：A,B,C,D判断题25、因为某员工离职，因此可以将该员工的信息内网办公计算机不做处理直接给其他员工进行使用参考答案：错参考解析：信息内网办公计算机及外部设备和存储设备在变更用途，或不再用于处理内网信息，或不再使用，或需要数据恢复时，要报计算机运行维护部门，由运行维护部门负责采取安全可

10、靠的手段恢复、销毁和擦除存储部件中的信息，禁止通过外部单位进行数据恢复、销毁和擦除工作。多项选择题26、由于跨站脚本攻击漏洞而造成的危害的是（）。A.网站挂马B.盗窃企业重要的具有商业价值的资料C.访问未授权的页面和资源D.盗取各类用户账号参考答案：A,B,D判断题27、“SG186工程”中的“6”，是建立健全六个信息化保障体系，分别是信息化安全防护体系、标准规范体系、管理调控体系、评价考核体系、技术研究体系和人才队伍体系。参考答案：对多项选择题28、应根据情况综合采用多种输入验证的方法，以下输入验证方法需要采用（）。A.检查数据是否符合期望的类型B.检查数据是否符合期望的长度C.检查数值数据

11、是否符合期望的数值范围D.检查数据是否包含特殊字符参考答案：A,B,C,D单项选择题29、国家电网公司信息系统安全管理办法规定：在规划和建设信息系统时，信息系统安全防护措施应按照“三同步”原则，与信息系统建设同步规划、同步（）、同步投入运行。A.建设B.批准C.施工D.安装参考答案：A多项选择题30、程序默认情况下应对所有的输入信息进行验证，不能通过验证的数据应会被拒绝。以下输入需要进行验证的是（）。A.HTTP请求消息B.第三方接口数据C.不可信来源的文件D.临时文件参考答案：A,B,C,D单项选择题31、国家电网公司信息系统口令管理暂行规定规定口令要及时更新，要建立定期修改制度，其中系统管

12、理员口令修改间隔不得超过（）个月，并且不得重复使用前（）次以内的口令。A.3；3B.3；4C.4；4D.2；3参考答案：A参考解析：修改间隔不得超过3个月，不得重复使用前3次以内的口令多项选择题32、下列方法能保证业务日志的安全存储与访问的是（）。A.将业务日志保存到WEB目录下B.对业务日志进行数字签名来实现防篡改C.日志保存期限应与系统应有等级相匹配D.日志记录应采用只读方式归档保存参考答案：B,C,D单项选择题33、根据国家电网公司信息系统安全风险评估实施细则（试行），在风险评估中，资产评估包含信息资产（）、资产赋值等内容。A.识别B.安全要求识别C.安全D.实体参考答案：A多项选择题3

13、4、软件输出应该限制返回给客户与业务办理无关的信息，防止把重点保护数据返回给不信任的用户，避免信息外泄，因此软件应有一套输出保护的方法，具体包括（）。A.检查输出是否含有非必要的信息B.检查输出是否含有不符合业务管理规定的信息C.检查输出是否有重点保护数据D.输出返回信息应尽可能精简，甚至只返回是或者否参考答案：A,B,C单项选择题35、下列关于实现账号权限在管理者、使用者、监督者三类角色间实现相互制衡的说法错误的是（）。A.审计院长郝仅能监控其他各类用户的操作轨迹及系统日志B.管理员帐号仅能配置不涉及业务数据及系统功能的普通用户的角色及权限C.审核员账号仅能对管理员账号进行相关操作的复核和批

14、准D.普通用户仅能使用已授权系统功能，操作未授权的业务数据参考答案：D参考解析：普通用户仅能使用已授权系统功能，操作已授权的业务数据。多项选择题36、根据“没有明确允许的就默认禁止”原则，软件不应包含只是在将来某个时间需要但需求说明书中没有包括的功能，软件在最小功能建设方面应遵循如下原则，包括（）。A.可以运行未明确定义的功能B.系统调用只在确实需要的时候C.只有在上一个任务完成后才开始下一个任务D.只有在确实需要的时候访问数据参考答案：B,C,D单项选择题37、信息化项目建设完成后，应遵循（）原则，有信息运行维护部门统一负责系统的运行维护工作。A.主业化、标准化、专业化B.主业化、规范化、标

15、准化C.主业化、集中化、规范化D.主业化、集中化、专业化参考答案：D多项选择题38、异常信息包含了针对开发和维护人员调试使用的系统信息，为了避免攻击者发现潜在缺陷并进行攻击的情况，在设计异常信息时应注意（）。A.使用结构化异常处理机制B.程序发生异常时，应终止当前业务，并对当前业务进行回滚操作C.通信双方中一方在一段时间内未作反应，另一方应自动结束回话D.程序发生异常时，应在日志中记录详细的错误消息参考答案：A,B,C,D单项选择题39、下列不是系统申请上线试运行必须满足的条件是（）。A.系统建设开发单位完成各个层次重点用户的培训工作，包括系统最终用户和运行维护单位有关人员的培训工作。B.系统

16、文档资料齐全，符合有关标准。C.系统建设开发单位、运行维护单位共同检查系统的安装环境，确认满足安装所需的服务器、网络、电源等环境保障条件D.系统建设开发单位对系统进行严格的测试，包括系统的功能实现、性能、可用性、兼容性、集成性方面，并形成测试报告。参考答案：D参考解析：测试需要包括系统的安全性。多项选择题40、操作参数攻击是一种更改在客户端和WEB应用程序之间发送的参数数据的攻击，为了避免参数攻击，应注意（）。A.避免使用包含敏感数据或者影响服务器安全逻辑的查询字符串参数B.使用会话标识符来标识客户端，并将敏感项存储在服务器上的会话存储区中C.禁止使用HTTPGET方式D.加密查询字符串参数参

17、考答案：A,B,D单项选择题41、国家电网公司信息系统上下线管理办法中规定上线试运行的初期安排一定时间的观察期，观察期原则上不短于上线试运行期的1/3，一般为（）。A.1B.2C.3D.4参考答案：A多项选择题42、日志记录的事件宜包括（）。A.审计功能的启动和关闭B.配置变化C.用户权限的变更D.用户密码的变更及密码内容参考答案：A,B,C单项选择题43、国家电网公司信息系统版本管理办法中版本标识管理规定为保证版本有序传递，应建立统一的版本标识，具体的版本标识是（）。A.系统代码版本号补丁号各单位编号B.系统代码补丁号各单位编号C.系统代码版本号各单位编号补丁号D.系统代码版本号补丁号参考答

18、案：A多项选择题44、软件设计开发时应建立防止系统死锁的机制、异常情况的处理和恢复机制，具体包括（）。A.错误和异常检测B.断点保护C.安全错误通知D.错误和异常记录参考答案：A,B,C,D单项选择题45、下列关于国家电网公司信息系统版本管理办法中版本计划管理说法错误的是（）。A.版本升级计划作为版本测试、发布的必要依据，由总部定期发布B.研发单位在系统首次上线时，经过系统运行一段时间后，应提交版本升级策略和整体计划C.自开发平台类系统研发厂商应根据应用需求和自身版本规划及时制订半年度版本升级计划，于每年5月30日和11月30日前报国网信通部D.国网信通部每年组织评估、审核后，于每年12月30

19、日前下发第三方平台类系统版本次年升级计划参考答案：B参考解析：研发单位在系统首次上线时，应提交版本升级策略和整体计划。多项选择题46、下列情形中会引起内存溢出的有（）。A.未对缓存区填充数据时进行边界检查B.系统资源未及时释放和服务连接未及时关闭C.数据库查询操作，如果查询返回的结果较多时，未分次提取D.每次内存分配未检查是否分配失败参考答案：A,B,C,D单项选择题47、下列关于应用软件在运维和废弃阶段安全管理错误的是（）A.应根据业务需求和安全分析确定应用软件的访问控制策略，用于控制分配数据、信息、文件及服务的访问权限B.应对应用软件账户进行分类管理，权限设定应当遵循最方便使用授权要求C.

20、应用软件废弃时，应确保系统中的所有数据被有效转移或可靠销毁，并确保系统更新过程是在一个安全、系统化的状态下完成D.应用软件正式投入运行后，应指定专人对应用软件进行管理，删除或者禁用不使用的系统默认账户，更改默认口令参考答案：B参考解析：应用软件正式投入运行后，应指定专人对应用软件进行管理，删除或者禁用不使用的系统默认账户，更改默认口令。多项选择题48、下列属于会话管理设计要求的是（）。A.用户登陆成功后应建立新的会话B.确保会话数据的存储和传输安全C.避免跨站请求伪造D.设计合理的会话存活时间，超时后应销毁会话，并清除会话的信息参考答案：A,B,C,D单项选择题49、下列不属于SG-UAP技术

21、服务工作范围的是（）。A.技术咨询B.辅助编码C.培训考核D.运维支持参考答案：B多项选择题50、设计配置管理时应注意方面有（）。A.使用最少特权进程和服务帐户B.确保配置存储的安全C.允许应用程序调用底层系统资源D.单独分配管理特权参考答案：A,B,D单项选择题51、国家电网公司信息系统非功能性需求范围（试行）中规定系统密码策略应满足公司有关规范：密码长度不得低于（）位，上限不得高于（）位，必须支持数字及字母搭配组合。A.6；17B.7；18C.8；20D.9；21参考答案：C多项选择题52、下列属于配置存储安全要求的是（）。A.避免在WEB目录使用配置文件，以防止可能出现的服务器配置漏洞导

22、致配置文件被下载B.避免以纯文本形势存储重要配置，如数据库连接字符串或帐户凭据C.通过加密确保配置的安全，并限制对包含加密数据的注册表项、文件或表的访问权限D.确保对配置文件的修改、删除和访问等权限的变更，都验证授权并且详细记录参考答案：A,B,C,D单项选择题53、国家电网公司办公计算机信息安全和保密管理遵循（）的基本原则。A.涉密不上网、上网不涉密B.双网双机、分区分域、等级防护、多层防御C.业务工作谁主管，保密工作谁负责D.严禁在信息外网处理涉及国家秘密的信息参考答案：A参考解析：国家电网公司办公计算机信息安全和保密管理遵循“涉密不上网、上网不涉密”的基本原则多项选择题54、下列属于输入

23、验证方法的是（）。A.检查数据是否符合期望值的类型B.检查数据是否符合期望值的长度C.检查数值数据是否符合期望的数值范围D.检查数据是否包含特殊字符参考答案：A,B,C,D单项选择题55、国家电网公司“SG186”工程信息安全防护策略是（）。A.双网双机、分区分域、等级防护、多层防御B.网络隔离、分区防护、综合治理、技术为主C.安全第一、以人为本、防御为主、管控结合D.访问控制、严防泄密、主动防御、积极管理参考答案：A多项选择题56、下列属于授权设计要求的是（）。A.设计资源访问控制方案，验证用户访问权限B.限制用户对系统级资源的访问C.设计在服务器端实现访问控制，也可只在客户端实现访问控制D

24、.设计统一的访问控制机制参考答案：A,B,D多项选择题57、业务系统安全需求来源包括（）。A.应用系统风险评估B.项目经验积累C.法律法规要求D.操作系统风险评估参考答案：A,C多项选择题58、安全需求分析阶段的关键活动包括（）。A.识别相关法律、法规和标准的安全要求B.初步识别业务功能、流程及业务活动中需要保护的资产C.识别业务活动中面临的安全威胁D.确定安全威胁所对应的安全需求并分析数据在机密性、完整性和可用性方面的安全需求参考答案：A,B,C,D多项选择题59、在设计密码的存储和传输安全策略时应考虑的原则包括（）。A.禁止明文传输用户登陆信息及身份凭证B.禁止在数据库或文件系统中明文存储用户密码C.必要时可以考虑在COOKIE中保存用户密码D.应采用单项散列值在数据库中存储用户密码，并使用强密码，在生成单向散列值过程中加入随机值参考答案：A,B,D多项选择题60、等级保护三级以上系统应至少采用两种认证方式，下列属于认证方式的有（）。A.用户名、口令认证B.一次性口令、动态口令认证C.证书认证D.短信验证码参考答案：A,B,C