C17021S证券行业信息安全管理(100分)

证券行业信息安全管理(100分)

倒计时：00:35:53

单选题（共4题，每题10分）

1 . 以下关于测试安全的说法哪项不正确？ A

∙ A.测试系统不需要安全管理

∙ B.生产系统和测试系统应严格隔离避免混淆

∙ C.如果使用生产系统参与测试，在测试完成后应还原

∙ D.对导入测试系统中的初始数据进行脱密处理

2 . 关于网络安全防护的说法以下哪一项是错误的？ B

∙ A.防火墙、IDS/IPS等设备用于实现网络层的安全域边界防护

∙ B.网络安全设备只需要使用默认配置即可

∙ C.白名单形式的访问控制策略指的是设置为“默认禁止，按需开放”

∙ D.网络安全设备的选型除了考虑功能，还需考虑性能指标

3 . 关于信息系统下线的说法以下哪一项是错误的？ D

∙ A.信息系统下线时应完成必要的数据备份

∙ B.信息系统下线后应归还所使用的资源

∙ C.信息系统下线前应确保其与其它信息系统的数据流断开

∙ D.保存有客户资料的设备未经脱密或敏感信息销毁处理直接交与厂商维修

4 . 关于主机安全的说法以下哪一项是错误的？ C

∙ A.主机应安装防病毒软件，并自动更新病毒库

∙ B.可以通过堡垒机接管主机访问权限，避免直接访问主机

∙ C.主机打任何补丁之前都不需要进行任何测试

∙ D.安全配置基线可以融入装机规范，在装机时即完成必要的安全配置

多选题（共3题，每题10分）

1 . 信息泄密的可能原因有哪些？ABCD

∙ A.测试系统中未屏蔽敏感信息

∙ B.权限配置不当，导致操作人员访问到超出权限的信息

∙ C.未经允许擅自导出数据到U盘上，并将U盘借给他人使用

∙ D.黑客攻击盗取数据

2 . 以下哪些做法是正确的？AD

∙ A.服务器的密码设置为12位以上数字、字母、符号的组合

∙ B.将服务器操作系统的密码或系统管理员密码告诉外包人员

∙ C.服务器或系统沿用安装时的初始密码

∙ D.通过堡垒机上收和集中管理服务器的操作系统密码

3 . 以下哪些说法是正确的？ABC

∙ A.信息系统权限的开通、冻结、注销等必须经过申请审批通过后方可进行

∙ B.操作人员调岗或离职后，必须对权限进行相应的调整

∙ C.信息系统权限的分配应基于“实现业务操作所必须的最小权限”的原则

∙ D.测试系统的权限不必严格管理，系统管理员账号可以用来进行业务测试

判断题（共3题，每题10分）

1 . 运维人员可以使用系统管理员权限参与业务操作。X

对错

2 . 所有信息安全工作都可以完全外包给外部机构完成。X

对错

3 . 信息安全工作应前置到信息系统规划和建设阶段。√

对错