第第PAGE\MERGEFORMAT1頁(yè)共NUMPAGES\MERGEFORMAT1頁(yè)比亞迪信息安全考試題庫(kù)及答案解析（含答案及解析）姓名：科室/部門/班級(jí)：得分：題型單選題多選題判斷題填空題簡(jiǎn)答題案例分析題總分得分

一、單選題（共20分）

1.比亞迪內(nèi)部信息系統(tǒng)中，處理敏感數(shù)據(jù)（如員工個(gè)人信息）時(shí)，以下哪項(xiàng)操作不符合信息安全等級(jí)保護(hù)的要求？

（）A.對(duì)敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)

（）B.限制非授權(quán)人員訪問(wèn)權(quán)限

（）C.使用簡(jiǎn)單密碼（如“123456”）登錄系統(tǒng)

（）D.定期進(jìn)行數(shù)據(jù)備份

2.在比亞迪供應(yīng)鏈協(xié)同平臺(tái)中，供應(yīng)商上傳零部件質(zhì)檢報(bào)告時(shí)，系統(tǒng)默認(rèn)的文件傳輸協(xié)議是哪種？

（）A.FTP

（）B.SFTP

（）C.HTTP

（）D.Telnet

3.根據(jù)比亞迪《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案》，當(dāng)發(fā)生重要系統(tǒng)無(wú)法訪問(wèn)時(shí)，安全團(tuán)隊(duì)?wèi)?yīng)優(yōu)先采取以下哪項(xiàng)措施？

（）A.立即恢復(fù)系統(tǒng)上線，避免業(yè)務(wù)中斷

（）B.首先確認(rèn)是否為外部攻擊導(dǎo)致，并隔離受影響主機(jī)

（）C.要求所有員工停止使用辦公設(shè)備，防止病毒傳播

（）D.向公眾媒體發(fā)布道歉聲明

4.比亞迪研發(fā)部門使用的堡壘機(jī)（JumpServer）主要用于？

（）A.集中管理辦公設(shè)備資產(chǎn)

（）B.實(shí)現(xiàn)多層級(jí)網(wǎng)絡(luò)訪問(wèn)控制

（）C.自動(dòng)化生成財(cái)務(wù)報(bào)表

（）D.監(jiān)控生產(chǎn)線實(shí)時(shí)數(shù)據(jù)

5.在處理比亞迪新能源汽車電池生產(chǎn)數(shù)據(jù)時(shí)，以下哪項(xiàng)屬于物理安全范疇？

（）A.對(duì)數(shù)據(jù)庫(kù)進(jìn)行訪問(wèn)日志審計(jì)

（）B.設(shè)置數(shù)據(jù)庫(kù)外鍵約束

（）C.限制電池設(shè)計(jì)圖紙的紙質(zhì)文件外借

（）D.使用雙因素認(rèn)證登錄系統(tǒng)

6.比亞迪內(nèi)部郵件系統(tǒng)啟用SPF記錄的主要目的是？

（）A.加密郵件傳輸過(guò)程

（）B.防止郵件被偽造發(fā)件人

（）C.提高郵件加載速度

（）D.壓縮郵件附件大小

7.根據(jù)《個(gè)人信息保護(hù)法》，比亞迪在收集用戶駕駛行為數(shù)據(jù)時(shí)，以下哪項(xiàng)表述是合規(guī)的？

（）A.“本功能需收集您的駕駛數(shù)據(jù)，用于優(yōu)化導(dǎo)航服務(wù)”

（）B.“收集數(shù)據(jù)用于內(nèi)部研究，但未經(jīng)您同意不得用于其他用途”

（）C.“數(shù)據(jù)僅用于系統(tǒng)優(yōu)化，但無(wú)法保證匿名化處理”

（）D.“不收集個(gè)人數(shù)據(jù)，但需您同意此條款才能使用”

8.比亞迪IT環(huán)境中，使用“白名單策略”主要針對(duì)哪種安全風(fēng)險(xiǎn)？

（）A.惡意軟件入侵

（）B.數(shù)據(jù)泄露

（）C.訪問(wèn)控制失效

（）D.系統(tǒng)性能下降

9.在比亞迪ERP系統(tǒng)中，操作員張三因誤操作刪除了上月銷售數(shù)據(jù)，系統(tǒng)自動(dòng)恢復(fù)功能最有效的應(yīng)用場(chǎng)景是？

（）A.操作日志記錄

（）B.備份恢復(fù)

（）C.審計(jì)追蹤

（）D.自動(dòng)化審批

10.比亞迪云存儲(chǔ)服務(wù)中，對(duì)加密密鑰的管理應(yīng)遵循什么原則？

（）A.由運(yùn)維人員集中保管

（）B.分散存儲(chǔ)在多個(gè)服務(wù)器

（）C.僅授權(quán)給系統(tǒng)管理員

（）D.存儲(chǔ)在用戶個(gè)人設(shè)備中

11.比亞迪辦公網(wǎng)絡(luò)中，使用VPN的主要目的是？

（）A.提高網(wǎng)絡(luò)傳輸帶寬

（）B.實(shí)現(xiàn)遠(yuǎn)程安全接入

（）C.減少網(wǎng)絡(luò)設(shè)備成本

（）D.統(tǒng)一管理終端設(shè)備

12.在比亞迪信息安全意識(shí)培訓(xùn)中，以下哪項(xiàng)屬于社會(huì)工程學(xué)攻擊的典型手法？

（）A.利用漏洞掃描工具探測(cè)系統(tǒng)

（）B.發(fā)送釣魚郵件騙取賬號(hào)密碼

（）C.使用暴力破解密碼

（）D.在網(wǎng)絡(luò)中注入惡意代碼

13.比亞迪服務(wù)器操作系統(tǒng)定期進(jìn)行安全加固時(shí)，以下哪項(xiàng)操作不屬于基線配置要求？

（）A.禁用不必要的服務(wù)端口

（）B.關(guān)閉所有用戶遠(yuǎn)程登錄權(quán)限

（）C.設(shè)置最小權(quán)限原則

（）D.安裝最新安全補(bǔ)丁

14.比亞迪開發(fā)團(tuán)隊(duì)在代碼提交前進(jìn)行靜態(tài)掃描，主要檢測(cè)哪種風(fēng)險(xiǎn)？

（）A.運(yùn)行時(shí)內(nèi)存泄漏

（）B.代碼邏輯漏洞

（）C.網(wǎng)絡(luò)傳輸延遲

（）D.數(shù)據(jù)庫(kù)連接錯(cuò)誤

15.根據(jù)《網(wǎng)絡(luò)安全法》，比亞迪作為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者，需滿足以下哪項(xiàng)要求？

（）A.每年至少進(jìn)行一次安全評(píng)估

（）B.立即響應(yīng)所有安全事件

（）C.保障系統(tǒng)7×24小時(shí)運(yùn)行

（）D.不受網(wǎng)絡(luò)安全等級(jí)保護(hù)制度約束

16.比亞迪內(nèi)部知識(shí)庫(kù)中，用戶上傳的技術(shù)文檔默認(rèn)權(quán)限設(shè)置為？

（）A.僅自己可見

（）B.小組可見

（）C.全體員工可見

（）D.僅部門主管可見

17.在比亞迪遠(yuǎn)程辦公場(chǎng)景中，使用MFA（多因素認(rèn)證）的主要作用是？

（）A.加快登錄速度

（）B.提高密碼安全性

（）C.簡(jiǎn)化登錄流程

（）D.自動(dòng)同步設(shè)備信息

18.比亞迪數(shù)據(jù)庫(kù)審計(jì)日志中，記錄“用戶刪除表T1的記錄”屬于哪種日志類型？

（）A.登錄日志

（）B.操作日志

（）C.安全日志

（）D.系統(tǒng)日志

19.在比亞迪生產(chǎn)車間WMS系統(tǒng)中，以下哪項(xiàng)措施可防止數(shù)據(jù)篡改？

（）A.定期導(dǎo)出數(shù)據(jù)備份

（）B.設(shè)置數(shù)據(jù)寫入水印

（）C.使用分布式存儲(chǔ)

（）D.增加網(wǎng)絡(luò)帶寬

20.比亞迪信息安全部門每年組織滲透測(cè)試時(shí)，主要目的是？

（）A.評(píng)估系統(tǒng)性能

（）B.發(fā)現(xiàn)安全漏洞

（）C.測(cè)試網(wǎng)絡(luò)速度

（）D.優(yōu)化系統(tǒng)界面

二、多選題（共15分，多選、錯(cuò)選不得分）

21.比亞迪符合《數(shù)據(jù)安全法》要求的合規(guī)措施包括哪些？

（）A.制定數(shù)據(jù)分類分級(jí)制度

（）B.對(duì)核心數(shù)據(jù)實(shí)施加密存儲(chǔ)

（）C.定期對(duì)員工進(jìn)行安全培訓(xùn)

（）D.將數(shù)據(jù)存儲(chǔ)在境外服務(wù)器

（）E.簽訂數(shù)據(jù)跨境傳輸協(xié)議

22.在比亞迪辦公網(wǎng)絡(luò)中，配置防火墻策略時(shí)需考慮以下哪些因素？

（）A.IP地址段

（）B.協(xié)議類型

（）C.應(yīng)用端口

（）D.用戶賬號(hào)

（）E.設(shè)備MAC地址

23.比亞迪開發(fā)過(guò)程中防止代碼泄露的措施包括？

（）A.代碼倉(cāng)庫(kù)權(quán)限控制

（）B.使用代碼混淆工具

（）C.內(nèi)部代碼審查

（）D.限制代碼外傳設(shè)備

（）E.設(shè)置訪問(wèn)堡壘機(jī)跳板

24.根據(jù)《個(gè)人信息保護(hù)法》，比亞迪在處理用戶敏感信息時(shí)，以下哪些行為需取得單獨(dú)同意？

（）A.收集生物識(shí)別信息

（）B.推送營(yíng)銷短信

（）C.與第三方共享數(shù)據(jù)

（）D.個(gè)性化推薦商品

（）E.調(diào)用麥克風(fēng)采集語(yǔ)音

25.比亞迪運(yùn)維團(tuán)隊(duì)處理安全事件時(shí)，需記錄的關(guān)鍵信息包括？

（）A.事件發(fā)生時(shí)間

（）B.受影響范圍

（）C.響應(yīng)措施

（）D.恢復(fù)時(shí)間

（）E.事件根本原因

三、判斷題（共10分，每題0.5分）

26.比亞迪員工離職時(shí)，其郵箱中的所有數(shù)據(jù)應(yīng)立即刪除。（×）

27.在比亞迪內(nèi)部系統(tǒng)登錄時(shí)，使用生日作為密碼是安全的。（×）

28.云服務(wù)比本地服務(wù)器更易遭受勒索軟件攻擊。（×）

29.比亞迪所有網(wǎng)絡(luò)設(shè)備出廠時(shí)已預(yù)置安全配置。（×）

30.數(shù)據(jù)脫敏處理可以完全消除數(shù)據(jù)泄露風(fēng)險(xiǎn)。（×）

31.比亞迪的敏感數(shù)據(jù)傳輸必須使用TLS1.3加密協(xié)議。（√）

32.企業(yè)內(nèi)部文件共享默認(rèn)應(yīng)開啟遠(yuǎn)程預(yù)覽功能。（×）

33.比亞迪數(shù)據(jù)庫(kù)主從復(fù)制可以提高數(shù)據(jù)安全性。（√）

34.社會(huì)工程學(xué)攻擊主要依賴技術(shù)漏洞而非人為心理。（×）

35.比亞迪所有系統(tǒng)管理員需通過(guò)安全背景審查。（√）

四、填空題（共10空，每空1分）

36.比亞迪信息安全管理制度中，涉及“最小權(quán)限原則”的條款編號(hào)是______。

37.處理比亞迪新能源汽車核心設(shè)計(jì)圖紙時(shí)，應(yīng)采用______級(jí)別的物理訪問(wèn)控制。

38.根據(jù)《網(wǎng)絡(luò)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者需建立______機(jī)制，定期監(jiān)測(cè)網(wǎng)絡(luò)安全狀況。

39.比亞迪郵件系統(tǒng)中，阻止偽造發(fā)件人的技術(shù)是______記錄。

40.對(duì)比亞迪服務(wù)器進(jìn)行安全加固時(shí)，需禁用不必要的服務(wù)，如______、FTP等。

41.用戶在比亞迪內(nèi)部系統(tǒng)修改密碼時(shí)，舊密碼必須保留______天。

42.根據(jù)《個(gè)人信息保護(hù)法》，比亞迪收集用戶駕駛行為數(shù)據(jù)需明確告知用途，且需獲得用戶的______同意。

43.比亞迪數(shù)據(jù)庫(kù)備份策略中，全量備份每月執(zhí)行一次，增量備份______小時(shí)執(zhí)行一次。

44.防止比亞迪內(nèi)部系統(tǒng)遭受未授權(quán)訪問(wèn)，應(yīng)啟用______認(rèn)證。

45.比亞迪安全意識(shí)培訓(xùn)中強(qiáng)調(diào)，收到疑似釣魚郵件時(shí)，不應(yīng)直接______鏈接。

五、簡(jiǎn)答題（共25分）

46.簡(jiǎn)述比亞迪信息系統(tǒng)進(jìn)行安全等級(jí)保護(hù)測(cè)評(píng)的五個(gè)主要階段。

47.比亞迪在開發(fā)過(guò)程中如何實(shí)施代碼安全管控，請(qǐng)列舉至少三種措施。

48.根據(jù)《數(shù)據(jù)安全法》，比亞迪在處理個(gè)人信息時(shí)需遵循哪些基本原則？

六、案例分析題（共30分）

某日，比亞迪ERP系統(tǒng)管理員發(fā)現(xiàn)部分供應(yīng)商訂單數(shù)據(jù)被篡改，金額被異常抬高。初步調(diào)查顯示，攻擊者通過(guò)泄露的采購(gòu)部門賬號(hào)登錄系統(tǒng)，利用操作員權(quán)限修改了100筆訂單數(shù)據(jù)。安全團(tuán)隊(duì)立即采取措施：隔離受影響主機(jī)、恢復(fù)數(shù)據(jù)備份、修改所有采購(gòu)部門賬號(hào)密碼、加強(qiáng)權(quán)限審計(jì)。事后分析發(fā)現(xiàn)，泄露賬號(hào)的根源是員工使用默認(rèn)密碼，且系統(tǒng)未開啟操作行為監(jiān)控。

問(wèn)題：

（1）分析該案例中數(shù)據(jù)篡改的主要原因及潛在影響；

（2）提出防止類似事件再次發(fā)生的具體措施；

（3）總結(jié)該案例對(duì)比亞迪信息安全管理的啟示。

參考答案及解析部分

參考答案及解析

一、單選題

1.C

解析：簡(jiǎn)單密碼易被暴力破解，違反《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中關(guān)于“系統(tǒng)訪問(wèn)控制”的規(guī)定。

2.B

解析：SFTP是安全的文件傳輸協(xié)議，符合比亞迪供應(yīng)鏈平臺(tái)對(duì)數(shù)據(jù)傳輸加密的要求（依據(jù)《信息安全技術(shù)供應(yīng)鏈安全管理規(guī)范》）。

3.B

解析：應(yīng)急響應(yīng)流程強(qiáng)調(diào)先隔離、再處置，符合《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案》中的處置原則。

4.B

解析：堡壘機(jī)用于集中授權(quán)訪問(wèn)生產(chǎn)環(huán)境，符合比亞迪“零信任”安全架構(gòu)要求。

5.C

解析：限制紙質(zhì)文件外借屬于物理安全措施，其他選項(xiàng)均為邏輯/技術(shù)安全范疇。

6.B

解析：SPF記錄驗(yàn)證發(fā)件人身份，防止郵件偽造（依據(jù)RFC7208標(biāo)準(zhǔn)）。

7.A

解析：明確告知收集目的屬于“告知同意”原則（根據(jù)《個(gè)人信息保護(hù)法》第5條）。

8.A

解析：白名單策略僅允許授權(quán)應(yīng)用運(yùn)行，可有效防范惡意軟件（參考《信息安全技術(shù)應(yīng)急響應(yīng)規(guī)范》）。

9.B

解析：備份恢復(fù)是誤操作恢復(fù)最直接有效的方式。

10.A

解析：密鑰集中管理便于審計(jì)，符合《密碼管理規(guī)范》要求。

11.B

解析：VPN實(shí)現(xiàn)遠(yuǎn)程安全接入，符合《遠(yuǎn)程辦公安全指南》。

12.B

解析：釣魚郵件利用心理誘導(dǎo)，屬于社會(huì)工程學(xué)攻擊（參考《信息安全意識(shí)培訓(xùn)教材》）。

13.B

解析：遠(yuǎn)程登錄在特定場(chǎng)景下是必要的，禁用不符合業(yè)務(wù)需求。

14.B

解析：靜態(tài)掃描檢測(cè)代碼層面的漏洞（如SQL注入、XSS）。

15.A

解析：關(guān)鍵信息基礎(chǔ)設(shè)施需每年進(jìn)行安全評(píng)估（依據(jù)《網(wǎng)絡(luò)安全法》第33條）。

16.A

解析：知識(shí)庫(kù)默認(rèn)權(quán)限遵循“最小權(quán)限”原則。

17.B

解析：MFA提高密碼抗破解能力（依據(jù)NISTSP800-63B標(biāo)準(zhǔn)）。

18.B

解析：操作日志記錄數(shù)據(jù)變更行為（參考《數(shù)據(jù)庫(kù)安全審計(jì)指南》）。

19.B

解析：數(shù)據(jù)水印可追溯篡改痕跡。

20.B

解析：滲透測(cè)試核心是發(fā)現(xiàn)并驗(yàn)證漏洞。

二、多選題

21.ABCE

解析：D選項(xiàng)違反數(shù)據(jù)跨境安全要求。

22.ABC

解析：防火墻策略基于網(wǎng)絡(luò)層信息（參考《防火墻技術(shù)白皮書》）。

23.ABC

解析：DE屬于物理安全措施。

24.ACE

解析：BD需區(qū)分場(chǎng)景判斷是否單獨(dú)同意。

25.ABCDE

解析：完整事件記錄需包含所有要素。

三、判斷題

26.×

解析：應(yīng)保留離職員工數(shù)據(jù)一定期限，符合《檔案管理辦法》。

27.×

解析：生日密碼易被猜到，違反《密碼安全規(guī)范》。

28.×

解析：云服務(wù)通過(guò)專業(yè)防護(hù)降低風(fēng)險(xiǎn)。

29.×

解析：需按基線配置逐項(xiàng)核查。

30.×

解析：脫敏仍可能泄露隱含信息。

31.√

解析：TLS1.3是強(qiáng)加密標(biāo)準(zhǔn)（依據(jù)《加密算法應(yīng)用指南》）。

32.×

解析：預(yù)覽功能可能泄露敏感內(nèi)容。

33.√

解析：主從復(fù)制提高數(shù)據(jù)可用性和一致性。

34.×

解析：社會(huì)工程學(xué)依賴心理操縱。

35.√

解析：符合《人員安全管理制度》。

四、填空題

36.《比亞迪信息安全管理制度》第5.2條

37.5

38.網(wǎng)絡(luò)安全監(jiān)測(cè)

39.SPF

40.Telnet

41.30

42.明確

43.12

44.雙因素

45.點(diǎn)擊

五、簡(jiǎn)答題

46.答：