信息安全竞赛题库
1.《中国电信四川公司重大网络与信息安全事件管理办法》中的网络与信息安全管理对应的各类业务和平台包括:自营和合作类业务、直接接入网站、ISP商接入网站、各类支撑系统、业务平台、通信系统、自营或合作类网站。
2.重大网络与信息安全事件发生后,责任单位是第一责任人。
3.重大网络与信息安全事件管控,核心和重点在于风险的预防和管控。
4.对造成网络与信息安全重大事件的相关责任单位,及其领导班子、主要责任人予以考核问责,主要依据事件的情节轻重和造成的影响。
5.对造成网络与信息安全重大事件的相关责任单位,及其领导班子、主要责任人的考核处置方式包括绩效扣分、通报批评、取消评优评先资格、直至问责。
6.网络信息安全管理管理体系分为决策层、管理层和执行层。
7.安全策略体系的建设工作是以动态管理和闭环管理为方法,并是一个持续完善的过程。
8.互联网安全角设置中主要角包括安全管理角、安全预警/统计分析角、安全事件处理角、日常安全维护角。
10.访问控制是指基于业务的安全需求对系统和数据的访问进行控制。
11.访问控制包括限制访问权限与能力、限制进入物理区域、限制使用网络与信息处理系统及存储数据,具体包括:账号口令管理、网络访问控制、操作系统和应用系统的访问控制、远程访问控制。
12.网络与系统风险评估要求各安全域维护单位应建立风险评估管理办法,定期对所辖定级网络与系统进行风险评估,形成风险评估报告。
13.安全事件与应急响应要求各安全域维护单位必须遵循并贯彻“积极预防,及时发现,快速响应,确保恢复”的方针,建立安全事件报告机制及应急响应机制。
14.安全审计管理明确安全审计的范围应该包括各类网络与系统,业务平台与信息资产、组织与人员、业务流程等。
15.安全审计应作为安全日常工作的一部分定期开展。
16.安全事件就来源不同可分为外部发现和内部发现两类。
17.网络信息安全指通过采取必要的措施,防范对网络攻击、入侵、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络存储、传输、处理信息的完整性、保密性、可用性的能力。
18.信息安全指在中国电信范围内,采取有效使网络数据与网络信息不受偶然或恶意的威胁,保障网络数据与网络信息的完整性、保密性、可用性以及合法合规性的能力;在发生信息安全事件时,能够最大程度降低信息安全事件所造成的影响。
19.信息安全基础管理原则包括一把手责任制和分级管理。
20.信息安全管理办法按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”原则,对责任单位划分为统筹管理部门、归口管理部门、业务运营管理部门、支撑管理部门四类。
21.网络数据和信息保存、提取、使用中,明确了必须遵守“合法、正当、必要”的原则。
22.责任单位必须对访问、提取使用、传递、消除等操作定期进行审计,履行信息安全管理责任。
23.合作方可以访问或使用的中国电信内部网络数据与网络信息,由责任单位承担管理和安全防护责任。
24.信息安全事件按照影响程度分为特大、重大、一般信息安全事件。
25.发生信息安全事件时,要按照要求立即进行上报并组织开展处置,其中特大和重大事件10分钟内上报省公司,处置情况20分钟内简要报送,24小时内简要书面报告,4个工作日内专题报告。
26.未实现电子化管理的用户信息资料必须落实到具体的使用人员,以权限最小化的原则进行查阅、使用和销毁。
27.所有涉及用户信息保护的人员签订保密协议,涉及用户信息查阅的支撑账号按季度定期审计。
28.互联网新技术、新业务信息安全评估指运用科学的方法和手段,系统地识别互联网业务经营过程中存在的信息安全风险,评估风险导致的信息安全事件一旦发生可能造成危害程度,进而提出综合性和可操作性的预防信息安全事件发生的管理对策和安全措施。
29.双新业务评估的对象包括基础电信企业及增值电信企业运营的互联网业务,以及可能被不法分子利用实施通讯信息的电信业务。
30.重点存量业务未经安全评估,业务部门必须立即停止发展。
31.双新业务评估工作要求必须梳理两张清单,不得漏报。包括市州公司的全量业务清单和当年需要开展安全评估的业务清单。
32.已上线业务每6个月将由安全评估牵头管理部门组织对业务是否符合评估启动条件进行核查,并留存核查记录。
33.互联网接入服务是指通过IDC、专线等方式接入电信网络资源,为用户提供的互联网接入服务。
34.互联网接入服务信息安全管理同时须根据“谁接入谁负责,谁主管谁负责,谁运营谁负责”的信息安全管理总体原则。
35.网站接入单位对用户开办的经营性网站,应该严格审核其增值电信业务经营许可证。
36.网站备案管理应该严格遵循“先备案后接入”原则。
37.备案系统信息同客户实际接入情况须完全相符,如有变动须调整同步。
38.垃圾短信的治理原则包括“综合风险防范,果断严厉处置”“归口牵头,协同合作,各施其职”“瞻前顾后,风险比对”。
39.短信端口必须报备报批,建立内容审核“先审后发”机制和短信发送审批机制,行业短信必须在合同中明确垃圾短信治理责任。
40.严禁使用自有端口向客户发送非电信服务和业务短信。
41.对垃圾短信实施按日监控,按周统计,按月分析,并对投诉突增情况核查原因,及时发布预警信息。
42.大数据对外合作业务是指,对非四川电信机构开发和销售的大数据产品或服务。
43.与他人开展大数据分析技术合作时,未经用户同意,原始数据不得离开本单位所有或运营的系统平台。
44.大数据产品不经过企业信息化部和网络安全管理部的安全评估不得上线上市。
45.中国电信四川公司IDC/ISP信息安全管理系统维护管理工作采取业务与应用统领,省市两级管理和维护的组织架构。
46.行业卡按照“谁发卡谁负责”原则,严禁出现二次销售和违规使用。
47.要加强渠道管理,渠道需签订实名制责任承诺书,对出现不登记、虚假登记、批量开卡、“养卡”等,立即取消代理资格,纳入渠道黑名单并从严追究责任。
48.可能产生通讯信息的风险业务包括语音专线、400、一号通、商务总机等。
49.对于外呼类业务必须报省公司审批,合同明确外呼号码或号段以及外呼用途,相应号码必须是属于我公司实际开通,属我公司分配的号码或号段。
50.按照舆情的影响范围和程度,一般将舆情分为高危舆情、重大舆情和一般舆情。
51.用户名的长度应该大于等于4个字符,密码的长度应该大于等于8个字符。
52.密码应至少包含下面四类字符中的三类:大写英文字母、小写英文字母、0-9基本数字,键盘上的特殊字符。
53.不应用与本人相关的姓名、生日、电话、门牌号等信息作为密码,不应选取常见的英文单词或汉语拼音作为密码。
54.密码必须至少每三个月更换一次,且新口令不能与前四次设置的口令重复。
55.工作中的账号密码不要与本人其他账号密码相同,尽量做到不同用途使用不同密码。
56.公共场合连接wifi时请仔细确认WiFi名称,没有密码的公共wifi请慎用。
57.在使用支付APP时请使用运营商4G网络,不要使用公共wifi。
58.办公网架构无线路由器是需要公司批准并进行安全检查的。
59.Wifi认证方式使用安全的WPA2算法,Wifi密码符合中国电信密码要求。
60.建议不要使用wifiAPP。
61.实现弱口令的源头治理需要完善网络安全组织架构,落实责任,加强人员安全意识教育。
62.账号密码的保存必须启用账号密码管理工具加密保存个人账号密码。
63.条件支持的情况下建设4A,实现账号密码的集中管理。
64.网络安全需要各单位做到守土有责,守土尽责。
65.工作聊需要谨慎信息传递,做到私密信息私下传。
66.敏感资料不要大面积乱发,扩散范围要根据资料信息属性进行确定。
67.外部打印要留心端口的安全性,U盘文件要提前备份,以防中毒。
68.共享目录为我们提供了工作便利,但切记不可上传敏感信息。
69.开机锁屏必须设置密码,SIM卡需设置PIN码。
70.系统应用需要及时进行升级,密码设置应该定时更新强化。
71.不要扫描无法确定安全性的二维码或点击来路不明的短信链接。
72.手机应用应通过官方应用商城进行下载安装,对于应用的后台权限要谨慎选择。
73.对手机进行报废丢弃前应该对其进行格式化。
74.手机失窃应该立即补卡,同时及时修改银行卡等重要账户的密码信息。
75.凡是自称公检法要求汇款的,要高度警惕是否是网络。
76.凡是通知中奖、领取补贴要你先交钱的,要高度警惕是否是网络。
77.凡是在电话中索要个人和银行卡信息的,要高度警惕是否是网络。
78.凡是陌生网站或链接要登记银行卡信息的,要高度警惕是否是网络。
79.计算机病毒是指程序或可执行代码,可通过复制自身来进行传播,会影响电脑的正常运行。
80.蠕虫可通过USB设备或附件等进行传播,会影响邮件收发。
81.木马不会自我繁殖,也不会刻意“感染”其他文件,但会使电脑失去防护,易于被黑客控制。
82.间谍软件是指未经你的同意而偷偷安装在你的电脑上,不断将你的信息反馈给控制该软件的人。
83.垃圾邮件可以被用来发送不同类型的恶意软件,也可能对邮件服务器造成不良影响。
84.网络钓鱼通过假冒的和伪造的Web站点来进行活动,受骗者往往会泄露重要私人资料。
85.网址嫁接是一种形式更加复杂的网络钓鱼,利用DNS系统,建立以假乱真的假网站,套取受骗者的信息。
86.键盘记录器可以记录用户在键盘上的操作,黑客可以搜寻特定信息,比如账号密码等。
87.不准将系统设计文档、网络拓扑等敏感作息存放于服务器上。
88.手机改自己家wifi密码不准允许来路不明的人员远程控制公司内各类设备或执行其告知的各项指令。
89.不准将网站或系统源代码上传至互联网上。
90.不准未经审批开通内部系统的互联网出口。
91.不准设置公司内业务系统为自动登录。
92.不准在互联网上的外部网站或应用(如论谈、微博、即时通信软件等)上使用与公司设备、系统上相同的账号或口令。
93.社会工程学攻击手段在英美普通法系中,这一行为一般是被认作侵犯隐私权的。
94.在计算机科学中,社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。
95.社会工程学攻击手段不是科学,因为它不是总能重复和成功,而且在信息充分多的情况下,会自动失效。
96.所有社会工程学攻击都建立在使人决断产生认知偏差的基础上。有时候这些偏差被称为“人类硬件漏洞”。
97.假托(pretexting)是一种制造虚假情形,以迫使针对受害人吐露平时不愿泄露的信息的手段。
发布评论