1. 在人员离开电脑前,应将计算机锁定 √
2. 办公环境安全是物业保安部的事,和信息安全无关 ╳
3. 密码越复杂越好 ╳
4. 电话诈骗也是社会工程学的一种方法 √
5. 在外工作连上网络就可以直接访问公司内网了 ╳
6. 北方天气干燥,机房不需要控制湿度 ╳
7. 自己公司的员工出入机房,没有登记也没关系 ╳
8. 公司应用系统都在内网,人员离职不需要回收其访问权限,反正他也访问不到内网 ╳
9. 汇哲的老师是非常熟悉的合作伙伴了,来访就不需要登记了 ╳
10. 人员调岗时,不仅要变更其岗位角色,还要变更其账户权限 √
11. 信息安全是信息安全部门的事,应用开发人员在开发设计阶段不需要考虑信息 ╳
安全功能
12. 开发人员所处的办公环境也属于安全开发环境保护范围之内 √
13. 开发人员在编写代码是必须遵守编码规范 √
14. 安全设计原则是安全设计中的一部分,根据已定的安全设计原则进行 √
设计,能够为之后的具体开发过程打下良好的安全基础
15. 安全目标通常从保密性、完整性及可用性三个方面去考虑 ╳
16. 威胁建模师以预防和验证功能为中心 ╳
17. 威胁建模也不能解决一些现实上的缺陷,如:缓冲区溢出、内存泄露及过时的 √
数据库等
18. 安全漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷 √
19. 产品测试过程中的安全测试应由专人负责 √
20. 系统维护阶段修复漏洞的代价就是需求阶段的200倍 √
21. 软件安全开发流程分为5个步骤:准备—需求—设计—编码---测试 ╳
22. 设计安全需求时,主要针对信息资产的机密性、完整性及可用性进行规划设计 ╳
23. 根据账号的不同分类应制定不同的定期审阅策略,高权限账号每半年审阅一次 ╳
24. 笔记本的基础安全措施有三点,杀毒软件,系统升级及账户密码 √
25. HDD密码只要换了内存就没用了 ╳
26. 只要数据有备份,笔记本电脑丢了也没什么太大关系 ╳
27. 杀毒软件只能清除已经感染的病毒,并不能起到屏蔽作用 ╳
28. TRM芯片与BIOS密码是相辅相成的 √
29. 在使用人员离开笔记本时,需锁定电脑屏幕 √
30. 公司笔记本电脑坏了,应及时保修,避免影响正常工作 ╳
31. 在公共场所应使用VPN连接办公网络,在自己家里是不需要的 ╳
32. 购物是女性的天性,女性在上班访问购物网站是应该允许的 ╳
33. 工作中有个不常用的软件需要下载使用,应该用最大带宽下载速度下载, ╳
减少影响他人正常上网的时间
34. 好莱坞女星的艳照门,大家都在下,我也下个看看 ╳
35. “听说太平洋保险汽车报废最低只要一元”——某论坛发帖 ╳
36. 社会工程学是把对物的研究方法全盘运用到对人本身的研究上,并将 ╳
其变成人为控制的工具
37. 社会工程学说白了就是使用各种手段欺骗
38. 反向社会工程学是指攻击者通过技术或者非技术的手段给网络或者计算机应用制造“问题”,使其公司员工深信,诱使工作人员或者网络管理人员透露或者泄漏攻击者需要获取的信息。 √
39. 安全审核工作是社会工程学攻击防范主要手段之一 √
40. 含有恶意代码的软件也是社会工程学的手段之一 √
41. 数据的威胁不包括被破坏,因为恢复被破坏的数据的方法有很多 ╳
42. 在远程办公时使用VPN连接,可以保障数据传递过程中的完整性和可用性 √
43. 数据是无形的,不能定义其价值 ╳
44. 数据只要使用复杂的加密就可以了,不用设置访问权限 ╳
45. 自然灾害并不是数据的主要威胁之一 √
46. 只要把无线网络的SSID隐藏了,密码复不复杂就无所谓了,反正别人也看不到 ╳
47. 无线网络就是为了方便大家的移动设备上网,所以范围一定要大 ╳
48. 使用无线网络的很多设备都不是公司的资产,难以控制,所以无线网络一定不能访问公司内部网络 ╳
49. 凡是未经用户许可就强行发送到用户的邮箱中的任何电子邮件都可称为垃圾邮件 √
50. 垃圾邮件的主要危害是占用网络带宽,并不会对信息数据造成危害 ╳
51. 回复邮件应直接使用“回复”功能,防止误发邮件; √
52. 在外办事自己的电脑没带,可借用同时的邮箱收发邮件 ╳
53. 在接受邮件附件时,应先将附件下载到本地,再用防病毒软件对附件进行扫描,确认无误后方可打开 ╳
54. 为了方便处理一些个人事宜,可以将公司邮箱留给他人,方便在上班时间联系。 ╳
55. 防病毒软件工作都是自动的,不需要多余的人员管理 ╳
56. “防病毒软件是IT部门给装的,我又不懂这种技术的东西,平时没我什么事” ╳
57. 系统安装补丁更新和防病毒工作没有直接关系 ╳
58. BYOD设备的越狱和提权可以使得设备安装原本收费的安全防护软件,对BYOD的安全十分有帮助 ╳
59. BYOD设备很容丢失,不应将私密信息存放其中 ╳
60. 一个APP游戏需要访问通讯录,因为十分想玩只好妥协 ╳
61. BYOD设备一直在自己的身边,而且经常要用,不用麻烦的设置解锁密码 ╳
62. 我的IPHONE又要更新系统了,每次更新都用的不顺手,再也不更新了 ╳
63. BYOD属于个人设备,企业不应该管制 ╳
64. 信息安全是国家安全的组成部分 √
65. 信息安全受到刑罚的约束 √
66. 企业信息安全是企业正常运行的重要保障。 √
67. 完善、合理的信息安全工作,能够帮助企业提高核心竞争力 √
68. 企业信息安全最主要的威胁来自黑客 ╳
69. 在目前的信息安全工作中,大多数的管理或技术人员都选择使用后期补救的安全漏洞解决方法 √
70. 定义资产责任人的目的是使信息资产的管理具体落实到人,并且通过具体职责的界定,使信息资产的价值得到有效保证 √
71. 资产清单应包括所有为从灾难中恢复 而需要的信息,包括资产类型、格式、位置、备份信息、许可信息和业务价值 √
72. 信息资产的管理者应对信息资产进行合理的安全等级标识 √
73. 对于同类型资产应采用同样的资产标识 ╳
74. 敏感及重要信息资产的管理应符合国家及行业法律法规的要求 √
75. 应急演练应至少每年进行一次 √
76. 在发现自己能处理的安全事件时,启动应急响应太麻烦了,可以自己解决就自己解决,不用汇报,以免将小事扩大 ╳
77. 在启动应急响应程序时,应有专人向相关部门或人员发送通知 √
78. 在应急响应程序结束后,应由职能和业务部门负责系统及功能测试 √
79. 信息安全事件应分级处理 √
80. 信息安全意识培训应该只针对IT人员,业务人员不需要 ╳
81. 信息资产的分类主要依据为机密性、完整性及可用性 ╳
82. 使用公司邮箱地址在外部网站中注册是不安全的行为 √
83. 为了加强企业在互联网中的宣传,可以将公司的客户信息、重要战略目标等放在社交网络上。 ╳
84. 发现计算机感染了病毒后,首先应的的是立即拔掉网线,防止再次感染。 ╳
85. 数据应定期备份,可以选择全备份,也可以选择增量备份 ╳
86. 业务操作人员需要经常对系统进行一定的修改,可以给其系统管理员的权限,提高工作效率。 ╳
87. 打印错的合同或协议应该及时扔进垃圾桶处理 ╳
88. 使用了VPN,就不会因为远程连接服务器而导致服务器感染病毒 ╳
89. 应该设置一个较为复杂的密码防止被黑客破解,如果记不住可以写在自己 ╳
的笔记本上
90. “为保证密码不会被黑客猜解,我决定每周更换一次密码” ╳
91. 为了更好的保护BYOD,应该破解BYOD系统的管理员权限,使得个人拥有控制权 ╳
92. “领导邮箱发来的exe文件,说需要安全测试,先装来看看” ╳
93. 无线网络时需要频繁使用的,定期更换密码不方便大家的使用,所以不用定期更换 ╳
94. 机房的大楼是新造的,楼顶的避雷针完全能够保护机房遭受雷击的威胁。 ╳
95. “领导让我把备份介质锁起来,公司正好有个不用的带锁木质书柜,就锁里面好了” ╳
96. “机房如果发生严重的火灾,应立即拨打119,切断电源,并执行应急响应,切换到备用系统中” √
97. 每个产品都有安全漏洞,就连微软的windows系统都有,我们的产品有些小漏洞不用放在心上,只要事后能够补救就行。 ╳
98. 安全设计需要变更时,应遵守变更控制规则,并且要有安全方面的人员跟踪与审查,安全方面的人员需要评估变更是否影响现有的威胁和防御措施。 √
99. 社会工程学都是基于人的攻击,网络这种虚拟环境中不会发生 ╳
100. 信息安全意识的提高可以避免人员违规操作的发生,有利于信息安全工作的展开。 √
