信息安全知识竞赛测试试题

信息安全知识竞赛试题
————————————————————————————————作者：————————————————————————————————日期：
2
一、单选题（60）
1. 银行发生计算机安全事件后，按照逐级上报程序，由事件发生单位在事件发生____小时内向本系统上级单位报告。

（ C ）
A．1小时 B.6小时 C.12小时 D.24小时
2、建立健全各级信息安全管理机构，分支机构应设立_____岗位。

（A）
A. 信息安全管理
B.综合管理
C.保密管理
D.数据管理
3、加大人才培养力度，实行信息安全管理岗位任职资格考试制度，根据人民银行组织制定的银行信息安全管理岗位任职资格培训标准和要求，______年内逐步实现持证上岗。

（C）
A. 1
B.2
C.3
D.4
4、建立_____，对检查中发现的违规行为，按规定处罚相关责任人，对检查中发现的安全问题和隐患，明确责任部门和责任人，限期整改。

（B）
A.首问责任制度
B.责任通报制度
C.责任条线制度
D.风险等级制度
5、在开展合规性检查的同时，应综合运用检测工具，明确安全控制目标，加强深度的专项安全检查工作，保证检查工作的_____。

( D )
A.重要性、针对性和深入性
B.全面性、深入性和时效性
C.审慎性、广泛性和针对性
D.针对性、深入性和时效性
6、要实施流程化管理，借鉴信息技术基础框架库(ITIL)等国际管理规范，建立标准统一的服务管理流程，严格过程控制和操作规程，完
善_____。

( A )
A.内控机制
B.管理机制
C.保密机制
D.服务机制
7、要建立有效的部门间协作机制，严格变更管理，杜绝生产变更的_____。

（ C ）
A.无序性
B.有序性
C.随意性
D.任意性
8、变更前要进行必要的_____评估，并做好应急准备。

( C )
A.数据
B.审计
C.风险
D.价值
9、有停机风险的变更原则上放在业务_____进行。

（ B ）
A. 高峰期
B.低峰期
C.顶峰期
D.平静期
10、落实岗位责任制，杜绝混岗、_____和一人多岗现象。

（ D ）
A.无岗
B.空岗
C.监岗
D.代岗
11、要采取主动预防措施，加强日常巡检，_____进行重要设备的深度可用性检查。

（ B ）
A.不定期
B.定期
C.每日
D.每月
12、关键运行设备应从高可用性要求上升到高_____要求，合理确定淘汰预期.( D )
A.前瞻性
B.重要性
C.时效性
D.可靠性
13、要实施自动化管理，加强系统及网络的_____审计，实现数据中心各项操作的有效稽核。

（ B ）
A.风险
B.安全
C.保密
D.合规
14、提升操作_____，减少人为误操作，实现管理制度的强制执行。

（ A ）
A.控制力
B.准确度
C.容易度
D.审慎性
15、_____运行状况，实现对数据中心生产运行全局性把握和有效指挥。

（ B ）
A.分散监控
B.集中监控
C.实时监控
D.按时监控
16、要从信息系统立项规划伊始，有效提高信息系统安全保障水平，建立信息安全_____制度。

（ D ）
A.稽核
B.排查
C.风险
D.审查
17、对重要信息的传输、存储要采取一定强度的_____措施，规范和强化密钥管理。

( D )
A.密级
B.绝密
C.保密
D.加密
18、利用国际互联网提供金融服务的信息系统要与办公网实现_____。

（ D ）
A.完全隔离
B.物理隔离
C.软件隔离
D.安全隔离
19、统筹兼顾，综合考虑自我能力、价值成本和风险控制等因素，合理引入_____。

（ B ）
A.自主营销机制
B.服务外包机制
C.考核机制
D.审核机制
20、根据国家和行业监管部门信息安全相关规定，审慎选择服务商，明确_____，签订数据保密协议。

( D )
A.岗位职责
B.风险程度
C.人员分工
D.服务等级责任
21、要适时、有效开展风险评估，重要信息系统至少每_____年进行一次评估.( B )
A.1
B. 2
C.3
D.4
22、要审慎选择外部商业评估队伍，同时做好评估全过程的_____工作。

（ A ）
A.安全保密
B.真实性
C.审计
D.事实确认
23、根据信息资产重要程度，合理定级，实施信息_____。

( D )
A.风险评估
B.合规审计
C.加密
D.安全等级保护
24、对于跨地域的大系统，实行_____和属地保护相结合的方式。

（ B ）
A..横向保护
B.纵向保护
C.深度保护
D.广度保护
25、实施数据集中的银行业金融机构应同步规划、_____、同步运行信息系统灾难恢复系统。

（ A ）
A.同步建设
B.同步实施
C.同步创造
D.同步备份
26、以下选项错误的是：（ D ）
A.全国性大型银行，原则上应同时采用同城和异地灾难备份和恢复策略；
B.区域性银行可采用同城或异地灾难备份和恢复策略；
C.对于核心业务系统，应实施应用级备份，以保证灾难发生时，能尽快恢复业务运营；
D.对于其他应用系统，可按实际需要自定义备份。

27、要适时备份和安全保存业务数据，定期对冗余备份系统、备份介质进行深度_____检查。

（ A ）
A. 可用性B、安全性C、时效性 D.合理性
28、已建立灾难备份系统的单位，原则上备份系统与生产系统的切换要至少每_____演练一次。

（ D ）
A.月
B.季度
C.半年
D.年
29、涉及跨行业的应急协调工作，按照_____制定的《银行重要信息系统应急协调预案》处置。

( C )
A.国务院 B银监局 C.人民银行 D.银行业协会
30、加强对银行卡发卡、转接、收单、第三方服务等环节的安全管理，确保银行卡交易信息及持卡人信息的安全，建立针对_____的处罚机制和赔偿机制.( C )
A.银行
B.持卡人
C. 相关责任方
D.保险公司
31、以下说法正确的是：（ B ）
A．银行无需调查和通报泄密事件，直接移交司法部门处理；
B. 银行应及时向发卡、转接、收单机构和持卡人发出风险提示；
C.银行卡业务外包无需签订信息数据保密协议；
D. 银行无需建立应急反应机制。

32、各发卡机构发行的境内卡在境内使用和人民币卡在境外使用时，发卡机构与银行卡清算组织应以_____结算，并在境内完成交易信息处理及资金清算。

( )
A.美元
B.欧元
C.人民币
D.实际货币
33、境内发卡机构应在境内建立发卡主机及数据系统，确保银行卡交易数据和持卡人信息的完整性和安全性。

34、境内发卡机构应在境内建立发卡主机及数据系统，确保银行卡交易数据和持卡人信息的完整性和_____。

( A )
A. 安全性
B.真实性
C.合规性
D.有效性
35、由分支机构自主建设、面向地区服务，且符合信息安全保护等级_____级以上的重要信息系统也列为定级对象。

（ B ）
A.一
B.二
C.三
D.四
36、各单位对信息安全保护等级_____级以上(含_____级)的定级对象，要认真填写《定级信息系统安全等级保护备案表》及要求的相关材料，做好备案工作.( B )
A.一
B.二
C.三
D.四
37、各单位负责汇总全辖范围内所有_____级以上重要信息系统的备案材料，同时报送人民银行总行和银监会。

( B )
A.一
B.二
C.三
D.四
38、除银监会及其派出机构外，驻京各单位将面向全国服务的跨省或全国联网运行的_____级以上重要信息系统的备案材料报送人民银行总行，由人民银行总行汇总后统一向公安部备案。

( B )
A.一
B.二
C.三
D.四
39、京外各单位将面向全国服务的跨省或全国联网运行的_____级以上重要信息系统的备案材料直接向当地市级以上公安机关备案。

( B )
A.一
B.二
C.三
D.四
40、银监会及其派出机构的_____级以上重要信息系统由银监会统一进行定级，直接向公安部备案。

( B )
A.一
B.二
C.三
D.四
41、各单位分支机构自主建设、面向地区服务的_____级以上重要信息系统的备案材料直接向当地市级以上公安机关备案。

( B )
42、中国人民银行分支行接到银行系统的计算机安全事件报告后，应当在_____小时内报告至人民银行分行、营业管理部、省会（首府）城市中心支行计算机安全主管部门。

（ C ）
A．1小时 B.6小时 C.12小时 D.24小时
43、接到报告的中国人民银行各分行、营业管理部、省会（首府）城市中心支行，应当在事件发生_____小时内报告人民银行总行计算机安全主管部门。

（ D ）
A．1小时 B.6小时 C.12小时 D.24小时
44、接到报告的人民银行有关部门应当立即对报告进行初步_____.( A )
A. 评估
B.检查
C.判断
D.处置
45、灾难恢复的需求应定期进行再分析，再分析周期最长为_____年。

( C )
A.一
B.二
C.三
D.四
46、单位应定期根据最新的灾难恢复策略复审和修订灾难恢复预案。

每年应至少组织一次灾难恢复预案的审查和批准工作。

（ D ）
A.月
B.季度
C.半年
D.年
47、单位应根据风险分析、业务功能分析和业务中断影响分析的结论，将信息系统按时间敏感性分成_____类需求等级。

( C )
A.一
B.二
C.三
D.四
48、单位应确定灾难恢复所需的_____个方面资源要素.( C )
49、信息系统根据灾难恢复需求等级，最低应达到以下灾难恢复能力等级，第一类：_____级, 第一类：_____级, 第一类：_____级.( B )
A.643
B.532
C.754
D.543
50、用于灾难恢复的通信网络包括生产中心和灾难备份中心间的备份网络和最终用户访问灾难备份中心的网络，通信线路应至少有_____种以上不同的物理线路.( B )
A.一
B.二
C.三
D.四
51、应独立运营管理灾难备份中心，且机房的可用性应至少达到99.9%,其所能提供的灾难恢复能力等级应达到_____级以上（含_____级）。

（ C ）
A.3
B.4
C.5
D.6
52、灾难备份中心基础设施建设包括机房和辅助设施建设等。

灾难备份中心的选址、规划、设计、建设和验收，应符合国家和金融行业有关标准和规范要求。

机房可用性应至少达到_____%。

( D )
A.98
B.99
C.90
D.99.9
53. “十一五”期间，我国银行业金融机构信息安全保障工作的主要任务之一是加快以_____为基础的网络信任体系建设。

（ A ）
A．密码技术应用 B.规范制度执行 C.信息交互安全 D.风险防范优先
54. 灾难恢复的需求分析主要包含 ____分析和____分析。

（ A ） A．风险、业务影响 B.成因、恢复指数 C.规模、影响层面
D. 要素、灾难指标
55.信息系统安全管理是对一个组织机构中信息系统的______全过程实施符合安全等级责任要求的管理。

（ C ）
A.数据访问
B.建设实施
C. 生存周期
D.服务运行
56. 计算机信息系统雷电防护措施主要有______、阻塞分流、均压、规范接地等手段。

（ B ）
A.滤波
B.屏蔽
C. 三相分离
D.避雷防护
57.凡在年均雷暴日大于___天以上的地区，计算机信息系统应安装SPD。

（ D ）
A.2天
B.3天
C.4天
D.5天
58.采用“共地”方式的地线接地电阻值应不大于1Ω，对于地处少雷区时，其接地电阻值可放宽至_____。

（ C ） A．1.5Ω B．2Ω C．4Ω D.5Ω
59.对于基于密钥的网上银行系统，其系统密钥不低于__位。

（ D ） A．12位 B．24位 C.36位 D.80位
60.客户登录网上银行所输入的密码等敏感信息应在_______层保持端到端加密。

（ C ） A．物理层 B．数据链路层 C.应用层 D.会话层
二、多选题（20）
1. 符合以下哪些条件的计算机安全事件必须报告：（ ABCD ）
A.计算机信息系统中断或运行不正常超过4小时；
B.造成直接经济损失超过100万元；
C.严重威胁银行资金安全；
D.因计算机安全事件造成银行不能正常运营，且影响范围超过一个县级行政区域。

2. 要充实信息安全管理人员，应加大安全监督检查工作力度，充分发挥_______的组织保障作用。

（ AD ）
A.纵向衔接
B.横向衔接
C.纵向协调
D.横向协调
3. 根据国家密码管理相关规定，合理运用密码技术和产品，规范和加强以____、____、____等为主要内容的网络信任体系建设。

（ ABC ）
A.身份认证
B.授权管理
C.跟踪审计
D.加密防护
4.根据国家风险评估有关标准，采取以自评估为主，____和____为辅的方式，在信息系统方案设计、建设投产和运行维护各个阶段实施必要的风险评估。

（ BC ）
A.运行评估
B. 委托评估
C. 检查评估
D. 阶段评估
5.在进行信息安全风险评估时，要综合运用评估工具，在常规评估内容的基础上，加强________和________，重视对系统结构与配置的安全评估。

（ CD ）
A.阶段风险性测试
B. 模块分离性测试
C. 渗透性验证测试
D. 密码脆弱性测试
6.根据信息资产重要程度，合理定级，实施信息安全等级保护，对于跨地域的大系统，实行____和____相结合的方式。

（ AD ）
A. 纵向保护
B. 横向保护
C. 异地保护
D. 属地保护
7. 数据中心及备份中心建设要坚持__________的原则，全面提高银
行的灾难备份恢复能力。

（ BCD ）
A. 集中管理
B. 统筹规划
C. 资源共享
D. 平战结合
8. 灾难恢复策略主要包括：（ ABCD ）
A．灾难恢复建设计划 B.灾难恢复能力等级
C. 灾难恢复建设模式
D.灾难备份中心布局
9.用于灾难恢复的数据备份系统和备用数据处理系统设备，其获取方式包括：（ ABCD ）A．自行采购 B.与供应商签订紧急供货协议 C.租赁 D.外包
10. 电源线上安装的SPD（三相或单相），一般应安装在（ ACD ）
A. 计算机机房所在建筑物的总电源配电柜输入端处
B. 计算机机房所在建筑物的总电源配电柜输出端处
C. 计算机所在机房低压配电柜后或稳压电源、UPS设备前处
D. 计算机终端电源插头前
11. 网上银行系统主要由_____、_____和_____组成。

（ ABC ）
A. 客户端
B. 通信网络
C. 服务器端
D. 客服中心
12. 网上银行信息安全规范可分为____、____、___。

（ BCD ）
A. 安全使用规范
B. 安全技术规范
C. 安全管理规范
D. 业务运作安全规范
13. 客户使用网上银行进行登录和交易时，所使用的图形认证码应满足哪些条件：（ ABCD ） A．由数字和字母组成
B．随机产生
C．包含足够的噪音干扰信息
D．具有使用时间限制并仅能使用一次
14.数据库管理系统的安全性主要体现在：（ ABCD ）
A.保密性
B. 完整性
C. 一致性
D. 可用性
15．“十一五”期间，属于我国银行业金融机构信息安全保障工作的主要任务的选项有：（ABCDE）
A. 加强组织领导，健全信息安全管理体制，建立跨部门、跨行业协调机制；
B.加强信息安全队伍建设，落实岗位职责制，推行信息安全管理持证上岗制度；
C.保证信息安全建设资金的投入，不断完善信息安全基础设施建设；
D.进一步加强信息安全制度和标准规范体系建设；加大信息安全监督检查力度；
E.加快以密码技术应用为基础的网络信任体系建设；
16. 灾难恢复组织机构应分为哪几层？ ( ABC )
A.决策层
B.管理层
C.执行层
D.监督层
17.用于灾难恢复的通信网络包括生产中心和灾难备份中心间的备份网络和最终用户访问灾难备份中心的网络，通信线路应至少有两种以上不同的物理线路，其获取方式包括：（ AB ）
A.自行建设
B.租用运营商线路
C.共同使用
D.无线网络
18.技术支持服务对象包括数据备份系统、备用数据处理系统和通信
网络等，其获取方式包括：（ ABC ）
A.自有技术支持队伍
B.专业服务提供商
C.设备提供商
D.网络咨询
19. 信息系统安全管理按等级划分应分为哪几级？（ABCDE）
A.用户自主保护级
B.系统审计保护级
C.安全标记保护级
D.结构化保护级
E.访问验证保护级
20. 生命周期管理主要包括哪几个层面？（ABC）
A.规划和立项管理
B.建设过程管理
C.系统启动和终止管理
D.模块更新和维护管理
三、判断题（20）
1. 中国人民银行分支行接到银行系统的计算机安全事件报告后，应当在6小时内报告至人民银行分行、营业管理部、省会（首府）城市中心支行计算机安全主管部门。

（×）
2. 要适时、有效开展风险评估，重要信息系统应至少每年进行一次评估。

（×）
3. 区域性银行，原则上应同时采用同城或异地灾难备份和恢复策略。

（×）4.已建立灾难备份系统的单位，原则上备份系统与生产系统的切换要至少每半年演练一次。

（×）5. 各发卡机构发行的境内卡在境内使用和人民币卡在境外使用时，发卡机构与银行卡清算组织应以人民币结算，并在境内完成交易信息处理及资金清算。

（√）6. 《银行计算机安全事件报告制度》不适用于在中华人民共和国境内的外资商业银行。

（×）7. 银行计算机安全事件的报告必须做到快速及时、客观真实，并实行集中管理、统一报告的原则。

（×）8. 银行计算机安全事件报告制度执行情况应列为银行计算机安全检查内容。

（√）
9.灾难恢复需求应定期进行再分析，再分析周期最长为三年。

（√）
10. 单位应定期根据最新的灾难恢复策略复审和修订灾难恢复预案。

每年应至少组织一次灾难恢复预案的审查和批准工作。

（√）11.灾难恢复服务外包提供商所能提供的灾难恢复能力等级应达到
4级以上（含 4 级）。

（×）12. 模拟演练就是组织相关的灾难恢复组织机构人员，以会议形式模拟各种灾难场景，集中讨论应急响应和恢复流程中的管理与指挥协调，验证灾难恢复预案的决策和指挥能力。

（×）13. 单位应根据信息系统的灾难恢复工作情况，确定审计频率，每半
年至少组织一次内部灾难恢复工作审计。

（×）14.对于地市级银行和县级银行机房，当机房低压配电柜与计算机终端设备处于同一楼层或室内电源馈线水平长度不超过50m时，可省略机房低压配电柜后、UPS前的电源SPD。

（√）15．安全域是一个物理的划分，它是遵守相同的安全策略的用户和系统的集合。

（×）16. 基于C/S模式客户端的网上银行文件证书，其用于签名的公私钥对应在客户端生成，禁止由服务器生成。

（√）17. 由于指纹识别的唯一性，可以通过远程身份鉴别方式对指纹进行鉴别。

（×）18. 客户端到服务器的SSL加密密钥长度应不低于128位，用于签名的RSA密钥长度应不低于1024位，用于签名的ECC密钥长度应不低于160位。

（√）19. 根据国家风险评估有关标准，采取以委托评估和检查评估为主的方式，在信息系统方案设计、建设投产和运行维护各个阶段实施必要的风险评估，加强对信息系统投产运行和重大应用变更前的风险评估。

（×）20. 从信息安全的角度讲，信息系统的完整性即数据的完整性。

（×）。