国家电网信息安全基础知识考试(信息系统研发安全基础知识) .pdfVIP

国家电网信息安全基础知识考试(信息系统研发安全基础知识)

[判断题]

1、管理信息系统定级结果应报国网信通部进行备案，电力二次系统定级应报国

调中心进行备案。

参考答案：对

参考解析：参考《国网公司信通部关于深入推进信息系统研发安全工作的通

知》

[判断题]

2、软件著作权资料移交完成与否不影响系统上线试运行。

参考答案：错

[判断题]

3、终端安全防护是对信息外网的桌面办公计算机终端以及接入信息外网的各种

业务终端进行安全防护，而信息内网的终端处于相对较安全的环境，不需要进

行安全防护。

参考答案：错

[判断题]

4、系统上线部署前应该保留软件程序代码中不需要的代码和那些不能完成任何

功能的代码，防止系统功能出现缺陷。

参考答案：错

[判断题]

5、对称密钥主要用于对称密钥的管理、数字签名等，一般不用于数据、信息的

传输加密。非对称密钥用于数据、信息的加密/解密。

参考答案：错

参考解析：非对称密钥主要用于对称密钥的管理、数字签名等，一般不用于数

据、信息的传输加密。对称密钥用于数据、信息的加密/解密。

[判断题]

6、应在传递的参数中使用真实的文件名进行传输。

参考答案：错

参考解析：应避免在传递的参数中直接使用真实的文件名，尽量使用索引值来

映射实际的文件路径。

[判断题]

7、跨站脚本欺骗漏洞能造成用户非法转账的危害。

参考答案：对

[判断题]

8、检查用户访问权限能有效防止不安全的直接对象引用。

参考答案：对

参考解析：检查用户访问权限能有效防止不安全的直接对象引用。

[判断题]

9、对上传任意文件漏洞，只需要在客户端对上传文件大小、上传文件类型进行

限制。

参考答案：错

参考解析：对上传任意文件漏洞，不仅需要在客户端进行验证，还应需要在服

务端进行验证。

[判断题]

10、0day漏洞是指还没有被任何人发现的漏洞。

参考答案：错

参考解析：0day漏洞已经被发现（有可能未被公开），而官方还没有相关补丁

的漏洞。

[判断题]

11、在对缓存区填充数据库，可以无限填充数据，因为操作系统会自动增大缓

存区大小。

参考答案：错

参考解析：上述会造成缓存溢出。

[判断题]

12、在数据库安全配置中，system账号的默认口令是change_on_install。

参考答案：错

参考解析：system账号的默认口令是manager。

[单项选择题]

13、审查及批复属于信息系统安全全过程管理的（）阶段。

A.需求

B.测试

C.可研

D.上线

参考答案：D

[单项选择题]

14、（）级及以上系统，对外服务系统应单独编制安全需求分析文档。

A.一

B.二

C.三

D.四

参考答案：C

[单项选择题]

15、由（）负责在运系统日常监控，及时发现、反馈异常事件。

A.信息安全试验室

B.运维单位

C.研发单位

D.实施单位

参考答案：B

[单项选择题]

16、在数据库的安全性控制中，为了保护用户只能存取他有权存取的数据。在

授权的定义中，数据对象的（），授权子系统就越灵活。

A.范围越小

B.范围越大

C.约束越细致

D.恢复

参考答案：A

[单项选择题]

17、可以被数据完整性机制防止的攻击方式是（）

A.假冒源地址或用户的地址欺骗攻击

B.抵赖做过信息的递交行为

C.数据中途被攻击者窃听获取

D.数据在中途被攻击者篡改或破坏

参考答案：D