国家电网信息安全基础知识考试(信息系统研发安全基础知识)真题精选.pdf

国家电网信息安全基础知识考试(信息系统研发安全基础知识)真题精选

[多项选择题]

1、（）是不安全的直接对象引用而造成的危害。

A.用户无需授权访问其他用户的资料

B.用户无需授权访问支持系统文件资料

C.修改数据库信息

D.用户无需授权访问权限外信息

参考答案：A,B,D

[多项选择题]

2、（）是有失效的身份认证和会话管理而造成的危害。

A.窃取用户凭证和会话信息

B.冒充用户身份查看或者变更记录，甚至执行事务

C.访问未授权的页面和资源

D.执行超越权限操作

参考答案：A,B,C,D

[判断题]

3、管理信息系统定级结果应报国网信通部进行备案，电力二次系统定级应报国

调中心进行备案。

参考答案：对

参考解析：参考《国网公司信通部关于深入推进信息系统研发安全工作的通

知》

[多项选择题]

4、（）漏洞是由于没有对输入数据进行验证而引起的。

A.缓冲区溢出

B.跨站脚本

C.SQL注入

D.信息泄露

参考答案：A,B,C

参考解析：ABC选项都是由于没有对输入数据进行验证而引起的漏洞。

[多项选择题]

5、下列能防止不安全的加密存储的是（）。

A.存储密码是用SHA-256等健壮哈希算法进行处理

B.使用足够强度的加密算法

C.产生的密钥不应与加密信息一起存放

D.严格控制对加密存储的访问

参考答案：A,B,C,D

[判断题]

6、软件著作权资料移交完成与否不影响系统上线试运行。

参考答案：错

[多项选择题]

7、下列能解决安全配置错误的是（）。

A.自定义出错页面，统一错误页面提示

B.安装最新版本的软件及最小化按照（只安装需要的组件）

C.避免使用默认路径，修改默认账号和密码，禁用预设账号

D.使用参数化查询语句

参考答案：A,B,C

[判断题]

8、终端安全防护是对信息外网的桌面办公计算机终端以及接入信息外网的各种

业务终端进行安全防护，而信息内网的终端处于相对较安全的环境，不需要进

行安全防护。

参考答案：错

[多项选择题]

9、下列可以引起安全配置错误的是（）。

A.服务器没有及时安全补丁

B.没有对用户输入数据进行验证

C.没有对系统输出数据进行处理

D.网站没有禁止目录浏览功能

参考答案：A,D

[判断题]

10、系统上线部署前应该保留软件程序代码中不需要的代码和那些不能完成任

何功能的代码，防止系统功能出现缺陷。

参考答案：错

[多项选择题]

11、下列方法中（）可以作为防止跨站脚本的方法。

A.验证输入数据类型是否正确

B.使用白名单对输入数据进行验证

C.使用黑名单对输入数据进行安全检查或过滤

D.对输出数据进行净化

参考答案：A,B,C,D

[判断题]

12、对称密钥主要用于对称密钥的管理、数字签名等，一般不用于数据、信息

的传输加密。非对称密钥用于数据、信息的加密/解密。

参考答案：错

参考解析：非对称密钥主要用于对称密钥的管理、数字签名等，一般不用于数

据、信息的传输加密。对称密钥用于数据、信息的加密/解密。

[多项选择题]

13、文件操作中应对上传文件进行限制，下列操作中（）能对上传文件进行限

制。

A.上传文件类型应遵循最小化原则，仅允许上传必须的文件类型

B.上传文件大小限制，应限制上传文件大小的范围

C.上传文件保存路径限制，过滤文件名或路径名中的特殊字符

D.应关闭文件上传目录的执行权限

参考答案：A,B,C,D

参考解析：应对文件的类型、文件的大小、文件的保存路径和文件上传目录的

执行权限进行限制。

[判断题]

14、应在传递的参数中使用真实的文件名进行传输。

参考答案：错

参考解析：应避免在传递的参数中直接使用真实的文件名，尽量使用索引值来

映射实际的文件路径。

[多项选择题]

15、在安全编码中，应建立错误信息保护机制。下列措施（）是错误信息保护

机制。

A.对错误信息进行规整和清理后在返回到客户端

B.禁止将详细错误信息直接反馈到客户端

C.应只向客户端返回错误码，详细错误信息可记录在后台服务器

D.可将错误信息不经过处理后返回给客户端

参考答案：A,B,C