C.业务需求通过系统变更最终实现 D.业务需求可以由企业业务部门直接上报总部信息部
12. 信息系统可以向Internet 开放之前必须采取以下哪些步骤?( )
A. 正确安装和配置操作系统和数据库系统 B. 应用系统在内网试运行3个月 C. 检查应用软件的安全性 D. 网络安全策略已经生效
13. 信息系统安全主要从几个方面进行评估?( )
A. 技术 B. 技术、管理 C. 技术、管理、工程 D. 技术、管理、工程、应用 14. 在攻击中,入侵者可以传递有关访问系统资源的信息,以及获取的行为系统访问权限称为:( )
A. 社会工程 B. 非法盗窃 C. 电子欺骗 D. 电子窃听 15. ERP系统用户无法登录ERP系统的可能原因有哪些?( )
A. 网络故障 B. ERP 系统故障 C. Sap Logon 登录配置不正确
D、用户ID对应的用户名16.在系统中没有维护。什么是ERP变更管理流程?( )
A. 批准 B. 开发 C. 测试 D. 传输
17. 软件供应商或制造商可能会在他们自己的产品或客户的计算机系统中安装“后门”程序。这种情况可能会带来以下哪些风险?( )
A. 软件暂停和黑客攻击 B. 远程监控和远程维护 C. 软件暂停和远程监控 D. 远程维护和黑客攻击 18. 使用OA系统处理官方文档,以下哪种方法不安全。( )
A.当您出差或忙碌时,您可以将您的账号密码交给他人处理。B、单位公文系统直接建立在外网,方便出差期间的公文处理。
C. 出差时使用可连接石化内网或单位提供的安全网络的VPN中的公文系统。D. 以任何方式使用公文系统都是安全的。19.中心化资金管理系统不兼容的进程节点设置为:( )
A. 资金筹划编制与审核 B. 支付单据录入与审核 C. 信用合同录入与审核 D. 应收票据的录入与审核 20. 集中记账系统需要审核的功能有: ( )
A. 凭证准备 B. 参考书文件 C. 新主数据 D. 合同字典条目
三、简答题(每题5分,共3题,共15分)
1.为了提高ERP系统中客户主数据的质量,避免一个客户名称对应多个税务登记号的情况,
一个税务登记号对应多个客户代码,一个税务登记号对应多个客户名称等,实现一个账户、一个代码等的管理要求。中石化的ERP系统是通过什么方式来实现这种管理的?需要
13
乞讨?
参考答案:
2. 简述资金集中管理系统所采取的系统应用安全保护措施。参考答案:
3. 为什么要使用 USBKEY?参考答案:
第五部分信息安全管理部分
一、 选择题(每题5分0.下列关于网络信息安全说法正确的有,共10题,共5分)
1.COBIT 框架包含多少高级控制对象?( )
A.4 B.34 C.318 E.250
2.______是电平确定和电平保护管理的最终对象。( )
A.业务系统 B.功能模块 C.信息系统 E.网络系统
3.关于信息系统安全建设和整改工作方法的错误说法是:( )
(一)突出重要制度,涉及各级、试点示范、产业促进、国家执法。B、利用信息安全等级保护综合工作平台,规范等级保护工作。C、管理体系建设与技术措施建设应同时或分步实施。
D、加固改造也可以弥补不足,也可以进行全面的安全建设和整改规划。4.下列关于信息安全管理体系的说法不正确的是?( )
A.只规范公司高级管理人员和信息安全人员的行为;
B、对组织内部使用的信息实施综合管理;C. 为了妥善保护信息的机密性、完整性和可用性;D. 将信息安全事件的影响降低到可以容忍的范围内;
5.信息安全管理系统 (ISMS) 是一个基于方法的系统,用于建立、实施、操作、监控、审查、维护和改进信息安全,是组织整体管理系统的一部分。( ) A. 系统风险 B. 业务风险 C. 管理风险 D. 技术风险 6.风险分析的三个基本要素是: ( )
A. 资产、威胁、安全事件 B. 威胁、安全事件、漏洞
14
C. 资产、安全事件、漏洞 D. 资产、威胁、漏洞
7.输入参数过滤可以防止以下哪种攻击:( )
A. SQL 注入、跨站点脚本、DNS Poison BB SQL 注入、跨站点脚本、缓冲区溢出 C. SQL 注入、跨站点请求伪造、网络窃听 D. 跨站点请求伪造、跨站点脚本、DNS 中毒 8.@ > 降低网络钓鱼相关风险的最有效控制措施是:( )
A. 系统的集中监控 B. 防病毒软件中包含的网络钓鱼信号
C. 在内网发布反钓鱼策略 D. 为所有用户提供安全培训 9.以下哪些是可能的威胁?( )
A. 设备老化故障 B. 病毒和蠕虫 C. 系统设计缺陷 D. 安全工作无效
10.网络安全协议一般使用公钥加密和对称加密。以下哪项是该设计的一般原则?
A. 公钥和对称密码学的结合,一方面利用公钥的优势,方便密钥分发,保护数据完整性
一方面,利用了对称密钥加密强、快的优点
B、公钥密码学可以实现数字签名,所有安全协议都需要使用数字签名
C. 对称密码不能保护信息的完整性,必须加公钥密码来弥补这个缺陷 D. 公钥密码加密效果差,必须加对称密码来弥补这个缺陷
二、变量选择题(每题5分1.,共10题,共15分;少选0.5分,多选不分)
1. IT 风险类别包括: ( )
A. IT 规划和架构风险 B. 财务报告风险
C. 应用系统风险 D. IT 基础设施风险 2. 以下哪项属于 IT 整体控制的一部分?( )
A. 信息与沟通 B. 公司政策制定 C. IT风险管理 D. 监督检查
3. 安全方案设计应在系统建设阶段进行。
以下要求: ( )
A、组织有关部门和相关安全技术专家对安全设计方案的合理性和正确性进行论证和验证。
经批准,方可正式实施;
B、应根据系统的安全防护等级选择基本的安全措施,并根据风险分析的结果对安全措施进行补充和调整
措施;
C、应以书面形式描述系统的安全保护要求、策略和措施,形成系统安全计划;D、细化安防方案下列关于网络信息安全说法正确的有,形成能指导安防系统建设、安防产品购买和使用的详细设计
程序;
4. 根据评级指南,信息系统安全包括哪两个方面?( )
A.业务信息安全 B.系统服务安全 C.系统运维安全 D.系统建设安全
5.《信息安全等级保护要求》明确要求主机安全的身份认证。以下哪一项不属于
等级系统要求?( )
A、应开启登录失败处理功能,并采取结束会话、限制非法登录次数、自动退出等措施;B. 应使用两种或两种以上的认证技术组合来识别管理用户;
15
C、远程管理服务器时,应采取必要措施,防止认证信息在网络传输过程中被窃听;
D. 操作系统和数据库系统的不同用户应分配不同的用户名,以保证用户名的唯一性。6. 作为评级对象的信息系统应具有以下基本特征: ( )
A. 具有唯一确定的安全责任单位 B. 具有信息系统的基本要素 C. 承载单一或相对独立的业务应用 D. 单位具有独立的法人
7. ISO27001认证标准涵盖的11项管理要素中,下列哪一项不属于?( )
A. 信息安全政策 B. 组织安全 C. 人员安全 D. 系统复杂性 E. 访问控制
8. 关于信息系统设计、开发、实施、运维过程中的安全问题,以下描述正确:
( )
A、在信息系统的开发和设计中,越早考虑系统的安全要求越好
B. 信息系统的设计、开发、实施、操作和维护中的安全问题不应仅仅考虑提供
一个安全的开发环境,同时考虑开发一个安全的系统 C. 加密技术在信息系统中的应用,关键是选择密码算法,而不是密钥的管理 D. 操作上的敏感和真实数据系统直接用作测试数据存在重大安全风险9. 以下关于PDCA(plan\do\check\action)的说法不正确的是?( )
A、重点是P(计划);
B、按照PDCA的先后顺序,一次可以成功执行,保证信息安全;
C、需要根据管理评审的结果采取纠正和预防措施,以达到持续改进的目的;D、如果整体实现过程中C(inspection)的过程过于复杂,可以跳过;
10.风险评估的准备工作是整个风险评估过程有效性的保证。在进行风险评估之前,( )
A. 确定风险评估的目标 B. 编写风险处置计划 C. 确定风险评估的范围 D. 确定评估依据和方法 11. 风险管理的重点:( )
A. 将风险降低到可接受的水平 B. 不惜一切代价降低风险 C. 将风险转移给第三方 D. 惩罚违反安全政策的员工 12. 降低风险有很多保障措施,常见的措施是( )
A. 在网络上部署防火墙 B. 对网络上传输的数据进行加密 C. 制定机房安全管理制度 D. 为物理位置购买财产保险 13.混合入侵检测系统?组件?( )
A. 传感器 B. 管理控制台 C. 存储 D. 主机控制 14. 根据入侵检测系统的分析技术,入侵检测系统分为: ( )
A. 实时检测 B. 对比检测 C. 异常检测 D. 特征检测 15. 以下选项为主动攻击( )
A. 拒绝服务攻击 (DOS) B. 中间人攻击 (MITM) C. 网络钓鱼攻击 (Phishing) D. 社会工程攻击
16.拒绝服务攻击(DoS),顾名思义就是使被攻击的系统无法正常运行,DoS的一种常见攻击方式
16
