C17021S 证券行业信息安全管理

1:关于数据安全的说法以下哪一项是正确的？ A
A.按照公司业务连续性要求做好数据备份
B.客户数据是公司资产，所有员工都可以随意访问任何客户的数据
C.客户资料可以批量导出通过U盘拷走，到网吧办公时使用
D.在开发环境中可以存放客户的真实数据供开发人员使用

2:以下关于测试安全的说法哪项不正确？加微信看答案
A.测试系统不需要安全管理
B.生产系统和测试系统应严格隔离避免混淆
C.如果使用生产系统参与测试，在测试完成后应还原
D.对导入测试系统中的初始数据进行脱密处理

3:信息安全事件发生后采取以下哪些措施是正确的？
A.根据应急预案采取技术处置措施
B.信息安全事件发生后应该按照监管要求和公司要求进行外部报告和内部通报
C.无论信息系统发生任何故障，都必须立即切换至灾备系统
D.信息安全事件发生后，为逃避处罚，而向监管部门隐瞒事件

4:信息安全的目标在于保障信息系统和数据的（）。
A.机密性
B.完整性
C.可用性
D.便利性

5:以下哪些说法是正确的？
A.信息系统权限的开通、冻结、注销等必须经过申请审批通过后方可进行
B.操作人员调岗或离职后，必须对权限进行相应的调整
C.信息系统权限的分配应基于“实现业务操作所必须的最小权限”的原则
D.测试系统的权限不必严格管理，系统管理员账号可以用来进行业务测试

6:证券行业信息安全的特点包括（）。 ABCD
A.证券业务对信息系统的依赖程度极高
B.信息系统对实时性、安全性、可靠性要求极高
C.证券行业信息系统目标显著，是黑客攻击的重点目标
D.证券行业的信息安全工作复杂、难度很高

7:病毒木马的传播方式有哪些？加微信看答案
A.通过U盘传播
B.从不正规的来源下载软件
C.邮件和附件中含有病毒木马
D.在公共场所使用公共WIFI被黑客植入病毒木马

8:信息泄密的可能原因有哪些？
A.测试系统中未屏蔽敏感信息
B.权限配置不当，导致操作人员访问到超出权限的信息
C.未经允许擅自导出数据到U盘上，并将U盘借给他人使用
D.黑客攻击盗取数据

9:以下哪些说法是正确的？
A.在信息系统规划和建设阶段即做好安全设计
B.制订开发安全规范，要求开发团队遵守
C.业务部门提出的需求即使违背信息安全也必须受理
D.系统变更前，必须制定可行的变更方案，并经过必要的评审

10:以下哪些说法是正确的？
A.信息安全应达到安全和效率之间的动态平衡
B.信息安全工作应定位于“救火队员”
C.信息安全工作应该将技术和管理相结合，避免“纯技术论”
D.信息安全工作是一个动态持续的过程

11:以下哪些做法是正确的？ AD
A.服务器的密码设置为12位以上数字、字母、符号的组合
B.将服务器操作系统的密码或系统管理员密码告诉外包人员
C.服务器或系统沿用安装时的初始密码
D.通过堡垒机上收和集中管理服务器的操作系统密码

12:关于网络安全防护的说法以下哪一项是错误的？加微信看答案
A.防火墙、IDS/IPS等设备用于实现网络层的安全域边界防护
B.网络安全设备只需要使用默认配置即可
C.白名单形式的访问控制策略指的是设置为“默认禁止，按需开放”
D.网络安全设备的选型除了考虑功能，还需考虑性能指标

13:以下哪些方式是不正确的？
A.离开工位时将办公电脑锁屏
B.为方便使用，办公电脑不必设密码
C.防病毒软件进行定期扫描时未经许可中途停止或退出扫描
D.由外包人员自行对生产系统进行升级变更

14:关于主机安全的说法以下哪一项是错误的？
A.主机应安装防病毒软件，并自动更新病毒库
B.可以通过堡垒机接管主机访问权限，避免直接访问主机
C.主机打任何补丁之前都不需要进行任何测试
D.安全配置基线可以融入装机规范，在装机时即完成必要的安全配置

15:关于信息安全制度的说法以下哪一项是错误的？
A.信息安全制度应该体系化、层次化
B.在设计制度时即应考虑如何确保制度的执行
C.<p>信息安全制度发布后不需要再定期审视和修订</p>
D.制订信息安全制度应首先符合监管和行业的要求

16:关于安全教育的说法以下哪一项不正确？ C
A.对开发人员可以进行安全开发培训
B.普通员工也需要提升信息安全意识，培养安全的办公电脑操作习惯
C.外包人员不属于公司人员，无需进行安全管理
D.信息安全团队自身也应提升安全技能

17:以下哪一项不是信息安全工作的依据？加微信看答案
A.监管要求
B.公司IT战略的总体规划
C.等保要求
D.业务人员为了方便使用系统，不设置密码强度要求

18:以下哪一项不属于信息安全工作的内容？
A.制定信息安全规划
B.制定信息安全管理制度
C.制定主机的安全配置基线
D.参与项目开发编码

19:关于信息系统下线的说法以下哪一项是错误的？
A.信息系统下线时应完成必要的数据备份
B.信息系统下线后应归还所使用的资源
C.信息系统下线前应确保其与其它信息系统的数据流断开
D.保存有客户资料的设备未经脱密或敏感信息销毁处理直接交与厂商维修

20:关于安全域的说法以下哪一项是错误的？
A.应对不同的安全域设置不同的安全防护级别
B.不同级别的安全域间应该有效隔离
C.低安全等级的安全域默认不能访问高安全等级的安全域
D.安全域间可以通过双网卡直接打通

21:信息安全工作的目标是满足一切业务需求。错
对错

22:采用了HTTPS后，WEB信息系统就不可能被攻破了。加微信看答案
对错

23:渗透测试就是指漏洞扫描。
对错

24:所有信息安全工作都可以完全外包给外部机构完成。
对错

25:运维人员可以使用系统管理员权限参与业务操作。
对错

26:安全设备已经全部配备，公司信息安全即万无一失了。错
对错

27:敏感数据不暴露在公网上就可以保证不会泄漏。加微信看答案
对错

28:安全设备的默认安全策略不需要改动。
对错

29:信息安全工作应前置到信息系统规划和建设阶段。
对错

30:信息系统上线前应进行安全评估和检测，完成必要的加固。
对错