新员工网络安全
1. [单选题] 3/3以下对Web安全描述错误的是( ):
A:在Web应用认证中,可以通过验证码或者多次连续尝试登录失败后锁定帐号或IP来防暴力破解。
B:用户产生的数据要在服务端进行校验。
C:数据在输出到客户端前必须先进行HTML编码,以防止执行恶意代码、跨站脚本攻击。
D:如采用多次连续尝试登录失败后锁定帐号或IP的方式,需支持连续登录失败锁定策略的“允许连续失败的次数”可固定为一个合理的次数。
您的答案:D
2. [单选题] 3/3
下列属于安全总体要求中A类的是( ):
A:口令安全。
B:访问通道控制。
C:安全资料。
D:web应用安全。
您的答案:B
3. [单选题] 3/3
未公开接口引起的风险,以下说法正确的是( ):
A:只要加强未公开接口的访问控制,即使未文档化产品也不会有任何影响。
B:只要产品不在敏感市场使用,未公开接口不会给产品或公司带来风险。
C:未公开接口只要不在资料中说明,客户也不知道怎么用,不会给产品带来任何风险。
D:未公开接口容易被客户质疑为产品后门,且容易被恶意攻击者利用,从而增加我司产品的安全风险。
您的答案:D
4. [单选题] 3/3
网络级安全所面临的主要攻击是( ):
A:自然灾害。
B:网络应用软件的缺陷。
C:窃听、欺骗。
D:盗窃。
您的答案:C
5. [单选题] 3/3
数据信息是否被篡改由哪些技术来判断( ):
A:身份识别技术
B:入侵检测技术
C:访问控制技术
D:数据完整性控制技术
您的答案:D
6. [单选题] 3/3
敏感数据保护主要是加强哪些方面的保护( ):
A:通过认证、授权和加密机制加强敏感数据的访问安全。
B:通过加密保护加强系统对敏感数据的存储的安全。
C:通过安全传输通道加强敏感数据在非信任网络之间进行传输安全。
D:以上都是。
您的答案:D
7. [单选题] 3/3
关于连接数据库系统的帐号,以下说法正确的是( )
A:无所谓,高级别和低级别帐号都行。
B:可以使用高级别权限帐号。
C:可以使用sa等管理帐号。
D:尽可能使用低级别权限帐号。
您的答案:D
8. [单选题] 3/3
关于口令复杂度要求,以下说法正确的是( ):
A:普通用户及特权用户的口令长度要求都是一样的,至少6个字符。
B:口令不能和帐号或者帐号的逆序相同。
C:口令不能包含数字。
D:口令不能包含空格。
您的答案:B
9. [单选题] 3/3
对于日志安全设计规则描述中,不包括下列那一项 ( ):
A:应该开放对安全日志的访问
B:系统必须对安全事件及操作事件进行日志记录
C:对日志模块占有资源有可配置的限制机制
D:安全事件的结果,不管成功还是失败,都要记录日志
您的答案:A
10. [单选题] 3/3
对用户面与管理面的隔离,下列哪个说法错误的( ):
A:可以通过认证及权限控制来实现用户面与管理面的隔离。
B:可以通过防火墙来实现用户面与管理面的隔离。
C:可以通过VLAN方式来实现用户面与管理面的隔离。
D:可以通过ACL方式来实现用户面与管理面的隔离。
您的答案:A
11. [单选题] 3/3
对系统管理及维护安全描述正确的是( ):
A:管理面所有的用户活动、操作指令必须记录日志,日志内容要能支撑事后的审计。
B:系统的管理平面和近端维护终端、网管维护终端间,支持使用合适的安全协议。
C:系统自身操作维护类口令满足“口令安全要求”。
D:以上都是。
您的答案:D
12. [单选题] 3/3
对管理访问通道安全要求,下面说法正确的是( ):
A:只能通过安全域划分来控制最终用户不能访问管理接口。
B:系统的管理功能和业务功能可以部署在同一台主机上绑定同一个端口。
C:系统的管理功能和业务功能必须部署在不同主机上。
D:设备外部可见的管理访问通道需要有接入认证机制。
您的答案:D
13. [多选题] 3/3
在网络安全总体要求中,下面属于B类安全要求的是( ):
A:协议防攻击
B:软件完整性保护
C:操作系统加固与防病毒
D:web应用安全
您的答案: A C D
14. [多选题] 3/3
在口令安全要求中,系统可以通过如下那几种方式提供解锁用户的机制( ):
A:在锁定时间内,仅能允许应用安全管理员角色所属帐号手动解锁该用户
B:用户被锁时间达到预定义时间,可自动解锁该用户,或者也可通过安全管理员手工解锁该用户
C:对于口令尝试N次失败被锁定的用户,系统要能够设置自动解锁时间。
D:被锁用户通过进行密码修改来达到自动解锁
您的答案: A B C
15. [多选题] 0/3
应用层主要的安全需求是( ):
A:身份认证
B:访问控制
C:防止物理破坏
D:防止人为攻击
您的答案: A B D
16. [多选题] 3/3
以下针对数据库安全说法正确的是( ):
A:数据库若存在多个默认帐号,必须将不使用的帐号禁用或删除。
B:使用主流的系统扫描软件进行安全扫描,不存在“高”级别的漏洞。
C:使用单独的操作系统帐号来运行数据库,数据库中的敏感文件,需要严格控制访问权限。
D:数据库口令可以使用数据库厂商的缺省口令。
您的答案: A B C
17. [多选题] 3/3
以下哪些属于监听接口安全要求( ):
A:在正常业务流程和标准协议之外,禁止提供采集最终用户原始通信内容(语音类、短信/彩信类、传真类、数据业务类)的功能,即使出于保障网络运营和服务目的
B:在没有客户明确需求的情况下,严禁开发具有监听性质的功能和接口,无论该功能和接口是否要遵循相应的国家标准和国际标准
C:在客户对合法监听接口有需求的情况下,合作方需根据客户提供的监听功能或接口的文件中的要求开发
D:系统支持无法从用户面直接登陆连接管理接口(不支持独立的管理IP地址的产品除外)
您的答案: A B C
18. [多选题] 3/3
下面哪些安全保护是针对敏感数据的?( )
A:口令不明文存储在系统中,通过加密进行保护。
B:对银行账号等敏感数据的访问要有认证、授权和加密机制。
C:在非信任网络之间进行敏感数据(包括口令,银行帐号,批量个人数据等)的传输须采用安全传输通道或者加密后传输,有标准协议规定除外。
D:系统的管理平面和近端维护终端(如LMT)、网管维护终端间,支持使用合适的安全协议进行通信。
您的答案: A B C D
19. [多选题] 3/3
下列协议哪些属于安全访问协议?( ):
A:SSL
B:SFTP
C:IPSec
D:HTTP
您的答案: A B C
20. [多选题] 3/3
下列属于安全资料内容的是( ):
A:产品防病毒、加固指南
B:产品安装指南
C:产品安全维护手册
D:产品安全特性描述
您的答案: A C D
21. [多选题] 3/3
下列那些行为是属于对操作系统进行安全保护的?( ):
A:使用主流漏洞扫描软件对操作系统进行安全扫描,不存在高风险级别的漏洞。
B:对操作系统进行加固。
C:对操作系统进行防病毒扫描及兼容性测试,扫描结果随版本发布。
D:操作系统打安全补丁。
您的答案: A B C D
22. [多选题] 3/3
下列哪些属于需要记录在日志中的管理层活动?( )
A:登录和注销
B:用户的锁定和解锁,禁用和恢复
C:对系统进行启动、关闭、重启、暂停、恢复、倒换
D:所有帐户的命令行操作命令
您的答案: A B C D
23. [多选题] 3/3
下列哪些属于Web安全要求?( ):
A:认证模块必须采用防暴力破解机制。
B:对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作,以防止URL越权。
C:登录过程中,往服务器端传递用户名和口令时,必须采用HTTPS安全协议也就是带服务器端证书的SSL),只提供本机接入、登录,做设备管理使用的场景暂时不要求。
D:使用主流Web安全扫描工具扫描Web服务器和Web应用,不存在“高”级别的漏洞。
您的答案: A B C D
24. [多选题] 3/3
关于口令安全,描述正确的是( ):
A:口令不能在网络中明文传输,口令等认证凭证在传输过程中必须加密,使用高安全等级的加密算法
B:用户可修改自己的口令,需满足如下要求:1) 用户修改自己口令时必须验证旧口令;2) 不允许修改除自身帐号以外的帐号的口令(管理员除外)
C:操作界面中的口令不能明文显示
D:口令输入框不支持拷贝功能
您的答案: A B C D
25. [多选题] 3/3
对提供合法监听接口的产品版本的要求,以下说法正确的是?( )
A:产品提供软件安装包拆分为:基本软件安装包和合法监听插件安装包。根据市场的安全要求,选择是否安装合法监听插件安装包
B:产品提供两个版本的软件安装包:一个支持合法监听,一个不支持合法监听。根据市场的安全要求,选择对应的软件安装包进行部署
C:产品可以通过License控制带合法监听接口的版本在某个地区或国家销售或使用
D:必须通过版本隔离确保版本中只存在符合当地合法监听接口标准的代码
您的答案: A B D
26. [多选题] 3/3
产品开发、发布和安装安全要求正确的是( ):
A:禁止存在任何“未公开接口”。
B:合作方需在产品资料中公开人机交互接口、与第三方系统对接接口(推荐通过技术手段限制第三方只能访问业务必须的端口)、需经常人工改动的配置文件等。
C:内部通信的机机接口应能够通过安全的综合手段保障(如组网等),不需要公开,但需要在资料说说明安全保障手段。
D:在软件包(含补丁包)发布前,需要经过至少一款主流防病毒软件扫描,保证防病毒软件不产生告警,特殊情况下对告警作出解释说明。扫描记录(防病毒软件名称、软件版本、病毒库版本、扫描时间、扫描结果等)存档并随软件包(含补丁包)发布给客户。
您的答案: A B C D
27. [判断题] 0/2
只要遵循国际标准及所在国的法律要求,合作方可以在产品中提供合法监听接口及能力;
A:正确
B:错误
您的答案:B
28. [判断题] 2/2
用作内部测试使用的接口,只要不在资料中公开,可以在产品正式发布中保留;
A:正确
B:错误
您的答案:B
29. [判断题] 0/2
管理通道安全主要是系统支持对管理平面的接口的访问保护;
A:正确
B:错误
您的答案:B
30. [判断题] 0/2
对于涉及产品知识产权、高危操作、可外部调用的内部接口等不期望向所有客户人员公开的内容,不能通过任何方式向客户公开;
A:正确
B:错误
您的答案:A
31. [判断题] 2/2
对于合作方的产品要求,新立项的产品版本可以优先满足网络安全总体要求中正确类要求,错误类要求可以暂时不满足;
A:正确
B:错误
您的答案:B
32. [判断题] 2/2
定期检查操作系统的安全日志和系统状态可以有助于提高操作系统安全;
A:正确
B:错误
您的答案:A
33. [判断题] 0/2
操作系统中超级用户和普通用户的访问权限没有差别;
A:正确
B:错误
您的答案:A
34. [判断题] 2/2
操作系统安全只要求对系统进行防病毒处理;
A:正确
B:错误
您的答案:B
35. [判断题] 2/2
保护帐户、口令和控制访问权限可以提高操作系统的安全性;
A:正确
B:错误
您的答案:A
36. [判断题] 2/2
We错误安全中,验证码可以多次使用,新的连接可以不需要重新生成新的验证码;
A:正确
B:错误
您的答案:B
37. [判断题] 2/2
GDPR(General Data Protection Regulation)是欧盟制定统一数据保护法,不遵守GDPR,将导致罚款:高达2000万欧元或公司全球总营业额4%(以较大者为准)。
A:正确
B:错误
您的答案:A 太硬核了哥们 感谢分享,非常有用,刚好这周要考试 收藏,真用心。 竟然出试卷了 大佬666
居然能在这里做题! 不错的题库,谢谢楼主分享 这个值得学学挺好 已收藏,感谢!
页:
[1]
2