@myyzs
2021-12-10T10:09:16.000000Z
字数 5140
阅读 27
一、单选题 (20题,共40分)
1. 因开发人员、400人员、测试等人员日常工作中存在需要访问数据库排查问题,应开通数据库( )权限。(2分)
A. 修改权限
B. 只读权限
C. 修改、删除权限
D. 读和修改权限
你的回答B
对于三、四级信息安全违规,根据以下( )条件判断责任人直接上级是否连带处罚。(2分)
A. 员工无意违规,且责任人领导未进行审批授权的,不进行连带处罚;
B. 员工无意违规,但责任人领导进行包庇的,在事实确认的基础上,进行连带处罚;
C. 若所管理部门一个月内发生2次(含)以上故意违规或者4次(含)以上无意违规事件,对直接上级进行连带处罚。
D. 以上都是
你的回答D
明源云的信息安全范围包括哪些业务?(2分)
A. 明源云SAAS业务,如云客、云链、云空间、云助手、云采购等
B. 明源ERP产品和项目
C. 明源内部IT
D. 以上都是
你的回答D
浏览网页时,不正确的做法是( )(2分)
A. 不下载未经安全认证的内容
B. 定期清理浏览器缓存和上网历史记录
C. 定期清理浏览器Cookie
D. 在他人计算机上使用“自动登录”和“记住密码”功能
你的回答D
数据备份中数据是指( )(2分)
A. 数据库
B. 文件(如审批流程中的附件)和源代码
C. 数据库、文件(如审批流程中的附件)、可执行代码
D. 源代码、数据库
你的回答C
因迭代发布内容影响较大,正式上线前会在预发布环境上获取租户真实数据库搭建仿真环境进行验证,应如何处理 ( )(2分)
A. 将生产环境数据库直接还原到仿真环境
B. 测试人员向技术负责人申请,批准后,运维人员将生产环境数据脱敏后还原到仿真环境
C. 测试人员直接找运维人员,然后运维人员将生产环境数据备份给测试人员
D. 测试人员直接找研发人员,然后研发人员将生产环境数据备份给测试人员
你的回答B
网络属于公众场所,网络上散布违规言论可能需要承担法律责任,下面哪些责任是需要承担的? ( )(2分)
A. 承担民事责任
B. 承担行政责任
C. 承担刑事责任
D. 以上都是
你的回答D
以下哪些做法是不正确的?( )(2分)
A. 批量看到的敏感数据是加密显示
B. 运营可以持有客户生产环境数据库帐号和密码
C. 客户数据下线、解密必须有审批且有多人签字确认
D. 仅允许通过研发DB管理平台和系统后台访问租户数据库,同时所有访问要支持可审计
你的回答B
企业数据泄露,绝大部分来自于那里( )(2分)
A. 黑客攻击
B. 第三方
C. 企业内部
D. 客户
你的回答C
明源云的安全目标是( )(2分)
A. 为客户提供安全稳定的明源云产品服务
B. 产品不能有安全漏洞
C. 数据不能有漏洞
D. 服务器7*24运行
你的回答A
以下关于信息安全资产的答案哪个是正确的?( )(2分)
A. 人员是资产
B. 公司形象是资产
C. 数据是资产
D. 以上都是
你的回答D
同事之间工作内容、工作性质不同,有权看到的信息内容、密级也可能不同。当你离开电脑时,正确的做法是( )(2分)
A. 电脑一直打开;
B. 短时间离开电脑请锁屏,同时设置屏保程序,建议在5分钟以内自动启动;
C. 将电脑放在公共区域且允许他人使用;
D. 以上都是
你的回答B
下面哪些口令设置是相对安全的( )(2分)
A. 123、123456、Mysoft123456
B. 123456789、95938
C. 生日、名字+123456
D. 英文(至少有一位大写)+数字+特殊字符、至少8位
你的回答D
故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,将受到____处罚( )(2分)
A. 处五年以下有期徒刑或者拘役
B. 拘留
C. 罚款
D. 警告
你的回答A
数据是客户的重要资产,我们需要获得以下哪类授权( ),否则绝不主动触碰客户数据。(2分)
A. 私人电子邮件
B. 客户的微信或电话
C. 客户的书面授权或客户通过公司邮箱发送的授权邮件
D. 明源上级领导审批邮件
你的回答C
发生一二级重大信息安全事件违规时,( )需要承担直接和间接责任 (2分)
A. 安全团队
B. QA
C. 违规者直接上级和部门经理
D. 以上都不是
你的回答C
下列情形中,属于非法获取计算机信息系统数据或者非法控制计算机信息系统,同时依据刑法第二百八十五条第二款规定,是属于“情节严重”。( )(2分)
A. 获取身份认证信息五百组以上的;
B. 非法控制计算机信息系统二十台以上的;
C. 违法所得五千元以上或者造成经济损失一万元以上的。
D. 以上都是
你的回答D
一线顾问、400、产品经理、开发、测试人员、交付、运营人员因工作需要均可以接触到客户敏感业务数据,我们应如何处理( )(2分)
A. 禁止在工作场景以外情况通过任何方式如拷贝、截图、下载等手段使用客户数据
B. 可以拷贝客户数据存放到个人电脑
C. 导出并下载客户数据存放到个人电脑或非工作场景外进行分享
D. 在微信、企业微信大群中进行分享
你的回答A
重要数据要及时进行( ),以防出现以外情况导致数据丢失(2分)
A. 杀毒
B. 加密
C. 备份
D. 存档
你的回答C
明源云最重要的资产是什么?( )(2分)
A. 客户数据(含文件)、源代码、明源云自身运营数据
B. 明源内部信息系统的数据
C. 财务系统中数据
D. ERP和Saas系统
你的回答A
二、多选题 (15题,共45分)
21. 以下哪些是生产数据安全访问红线( )(3分)
A. 公司授权运维人员对数据进行管理,原则上只有运维人员对数据库拥有读写操作。
B. 日常工作中存在需要访问数据库排查问题,仅对其开通查询权限,且运维机制上可审计、可追溯。
C. 接触到客户生产环境的账号和密码,禁止非工作场景以外情况通过任何方式分享、传递、使用。
D. 如果没有获得客户给我们的书面授权,明源云承诺绝不主动触碰客户数据。
你的回答A、B、C、D
哪些角色是产品信息安全的直接责任人( )(3分)
A. 产品经理
B. SM
C. 安全团队
D. QA
你的回答A、B
明源云承诺,除非以下( )情况,明源云内部员工绝不会主动触碰任何客户数据。(3分)
A. 内部同事业务需要,并已向上级发送申请邮件
B. 因提供服务或排错的需要,并经过客户明确授权
C. 开发和测试排查bug,需要更真实的客户数据,并已获得上级批准
D. 国家或地方政府部门关于犯罪事件的调查等符合国家法律法规的情况
你的回答B、D
下面哪些行为属于不安全操作( )(3分)
A. 在需求单中将客户生产环境服务器帐号和密码进行明文显示
B. 在微信大群中将生产环境帐号和密码或敏感文件进行分享
C. 不通过VPN直接访问阿里云生产环境
D. 通过堡垒机访问生产环境服务器
你的回答A、B、C
在公司服务器安全使用规范中,下列哪些行为是不正确的()(3分)
A. 在公共服务器(如ftp、文件服务器等)存放公司或客户敏感数据
B. 实施服务环节或者运维期间需要代客户操作系统、数据的行为,需要客户出具操作委托书
C. 登录生产服务器(包括集团云端生产环境服务器,客户服务器)统一通过堡垒机登录
D. 在服务器上安装非程序需要的软件,如teamviewer,客户VPN软件,QQ ,迅雷等
你的回答A、D
聊天群(微信、QQ等)在方便沟通的同时,也隐藏着巨大的隐患,比如可能是冒名进来的不怀好意的人,被盗号后群聊信息泄露,离职后仍在工作沟通群中等,下面哪些做法是正确的( )(3分)
A. 工作相关聊天群尽可能使用明源云企业微信;
B. 公共即时通讯平台上的聊天群,管理员要严格审核加群人员,并及时踢出离职或离开项目组人员;
C. 聊天群内直接分享发送账号密码、文档、用户信息;
D. 群主及小伙伴有责任共同维护明源云业务安全。
你的回答A、B、D
为保护客户数据安全,一线实施&服务团队以下哪些做法是正确的( )(3分)
A. 当员工离职、转岗、服务交接等情况出现,新接手一线交付员工必须对明源所使用的系统帐号和密码进行修改。
B. 通过公司提供的云运维平台对客户进行应用巡检。
C. 一线员工可使用客户数据库搭建私有的测试环境。
D. 项目正式验收后,需将系统中的管理员以及员工使用的所有帐号全部回收,并交接给客户,同时客户签字验收。
你的回答A、B、D
为维护网络资源安全,下列哪些行为需要大家共同遵守( )(3分)
A. 通过互联网下载的软件和文件,需要经过防病毒软件的检查确认安全后才能打开使用
B. 禁止下载并在工作电脑上安装使用破解版&绿色版的软件,如因工作需求需向IT报备。
C. 公司内网IP地址由IT统筹规划,不允许更改任何设备的IP地址,特殊情况需向IT申请处理。
D. 禁止员工在公司私接、搭设无线Wi-Fi设备,不允许公司台式机或笔记本电脑连接非公司授权或不认可的无线Wi-Fi。
你的回答A、B、C、D
接入公司网络的每台电脑,都需加入域进行统一管理,其中“每台电脑”包括以下哪些?( )(3分)
A. 个人采购公司报销笔记本
B. 临时公办使用的个人笔记本
C. 自带的办公笔记本
D. 公司配置的台式机
你的回答A、B、C、D
接入公司网络的每台电脑,都需要做以下哪些管理( )(3分)
A. 都需加入域进行统一管理
B. 不允许停用windows更新服务拒绝补丁推送或卸载、关闭防病毒软件
C. 需开启自动更新功能,启用系统自带防火墙
D. 人员离开电脑后、必须使电脑处于锁屏状态并设置唤醒密码
你的回答A、B、C、D
以下哪些是安全管理红线要求( )(3分)
A. 个人所用电脑要安装防病毒软件
B. 未经公司安全团队授权,员工不得私自安装使用黑客工具软件
C. 未经公司授权,员工不得私自将属于公司资产、敏感数据对外提供
D. 员工不得私自将明源云系统的源代码、各类账号和密码上传到GitHub等外网上
你的回答A、B、C、D
下面哪些敏感信息是属于明源云业务的敏感信息( )(3分)
A. 手机号码、身份证号码、家庭地址、银行帐号
B. 入围单位、回标价格、回标文档
C. 客户生产环境的帐号、密码
D. 生产环境的配置文件
你的回答A、B、C、D
有关个人计算机使用规范,以下哪些行为是正确的 ( )(3分)
A. 每台终端电脑需开启自动更新功能,并启用系统自带防火墙
B. 个人电脑上部署虚拟机应采取安全措施(安装防病毒软件以及安装更新)或按规定将其加入域。
C. 可移动存储设备接入公司办公电脑读取信息之前,须手动使用杀毒软件对其进行安全扫描,确认无病毒/木马后方可使用。
D. 可转借公司电脑给公司其他同事使用。
你的回答A、B、C
因工作需要,掌握客户业务系统帐号的人员,应如何正确使用客户系统帐号( )(3分)
A. 原则上不得操作客户的业务数据
B. 禁止在工作场景以外的情况下使用
C. 禁止泄露客户账号密码给无关人员
D. 对密码设置至少是英文+数字,且不少于8位
你的回答A、B、C、D
下面哪些是明源云客户数据安全底线原则( )(3分)
A. ERP和SAAS系统中的数据属于客户,明源云是客户数据管家
B. 没有获得客户的正式授权,员工禁止通过任何方式获取客户的任何数据
C. 禁止员工在个人的任何设备上以任何形式保留客户数据
D. 未经客户授权,禁止员工以任何形式对外提供客户数据及相关的资料
你的回答A、B、C、D
三、判断题 (15题,共15分)
36. 2018年8月28号,华住集团运营负责人报案称,有人在境外网站兜售华住旗下酒店数据,客户信息疑遭泄露,该事件发生的根据原因是内部员工安全意全意识不强造成的( )(1分)
对
错
你的回答对
获得客户正式授权后的数据库只能存放于公司统一指定的服务器上 ( )(1分)
对
错
你的回答对
公司测试环境的应用(站点)原则上不对外发布端口,特殊情况优先使用VPN连接进行公网测试 ( )(1分)
对
错
你的回答对
绝大部分信息安全事故都是因自企业内部自身原因造成的( )(1分)
对
错
你的回答对
远程连接访问客户生产环境,必须通过公共电脑堡垒机的方式连接客户数据库,运维团队同事监控 ( )(1分)
对
错
你的回答对
企业信息安全责任是属于公司的责任,个人行为跟公司信息安全无关( )(1分)
对
错
你的回答错
网络安全对个人职业生涯的影响,网络犯罪后刑满后,可以随时从事以前的相关职业( )(1分)
对
错
你的回答错
任何个人和组织都可以随意获取公民个人信息,并出售或者向他人提供个人信息( )(1分)
对
错
你的回答错
员工可以将公司或客户的敏感数据(如客户数据库)存放在公司公共服务器(如ftp、文件服务器等)或者第三方SAAS系统中( )(1分)
对
错
你的回答错
明源云各应用系统的安全都是安全团队的责任,个人不需要对系统的安全承担责任( )(1分)
对
错
你的回答错
员工可以使用百度网盘等外部网盘工具传输客户备份数据和文件。( )(1分)
对
错
你的回答错
服务器默认关闭访问互联网权限。特殊情况需向IT申请,且原则上只开通需要访问的资源( )(1分)
对
错
你的回答对
如果员工离职前造成的信息安全事件,员工离职后仍需要承担法律责任( )(1分)
对
错
你的回答对