《安全生產(chǎn)底線》考試

滿分100分，100分合格；

不合格需要進(jìn)行補(bǔ)考，補(bǔ)考不限次數(shù)；

基本信息：

工號

是否為補(bǔ)考：

是否

1、關(guān)于登錄管理，以下哪項(xiàng)做法比較合理？

A、客戶端在10分鐘內(nèi)有5次連續(xù)嘗試登錄失敗時，服務(wù)端執(zhí)行連續(xù)登錄失敗鎖定策略B、服務(wù)端不執(zhí)行連續(xù)登錄失敗鎖定策略C、只累計(jì)連續(xù)登錄失敗次數(shù)達(dá)到5次就執(zhí)行連續(xù)登陸失敗鎖定策略，不需要限定在一定時間范圍內(nèi)D、統(tǒng)計(jì)用戶在一天內(nèi)登錄失敗的總次數(shù)（非連續(xù)），只要達(dá)到失敗達(dá)到總記錄數(shù)后就不允許登陸

2、以下哪種口令保存方式比較安全不容易泄露？

A、只要將數(shù)據(jù)庫接入和訪問安全管理，應(yīng)用的口令可以明文保存在數(shù)據(jù)庫表中B、以安全AES-256的加密形式保存在配置文件中C、瀏覽器的cookie，一般用戶不知道怎么查看，因此可以將Web的登錄口令存放在cookie當(dāng)中D、使用BASE64將口令編碼后與原口令不一樣并且不需要維護(hù)密鑰，該方式是便捷和安全的

3、關(guān)于授權(quán)和用戶角色數(shù)據(jù)的處理，以下描述哪個描述比較合理？

A、用戶角色權(quán)限數(shù)據(jù)存放在服務(wù)器端并且用戶請求應(yīng)該在服務(wù)器端上進(jìn)行鑒權(quán)B、客戶端向服務(wù)端查詢用戶角色權(quán)限數(shù)據(jù)后，在客戶端本地對用戶的請求進(jìn)行鑒權(quán)C、客戶端存放用戶的角色權(quán)限數(shù)據(jù)，當(dāng)用戶請求時將客戶端本地權(quán)限數(shù)據(jù)與業(yè)務(wù)請求一同發(fā)給服務(wù)端進(jìn)行鑒權(quán)和業(yè)務(wù)處理D、用戶登錄后不需要進(jìn)行用戶的權(quán)限進(jìn)行鑒權(quán)，因?yàn)椴僮鲉T都是專業(yè)人員不會訪問或操作無權(quán)的業(yè)務(wù)

4、以下哪些場景可以不需要配置主機(jī)本地的防火墻？

A、主機(jī)上的應(yīng)用訪問其它主機(jī)和網(wǎng)絡(luò)時都會經(jīng)過硬件防火墻的監(jiān)控時可以不用配置當(dāng)前主機(jī)的本地防火墻B、局域網(wǎng)內(nèi)部網(wǎng)絡(luò)危險較低，即使沒有任務(wù)防火墻措施都可以C、使用https協(xié)議對外提供服務(wù)的主機(jī)可以不使用防火墻，因?yàn)閔ttps協(xié)議是安全的傳輸協(xié)議D、未部署任務(wù)應(yīng)用的主機(jī)，可以不采取防火墻等安全措施，因?yàn)槲床渴饝?yīng)用受攻擊沒有什么損失

5、關(guān)于重要參數(shù)需要服務(wù)端二次驗(yàn)證，以下哪些參數(shù)可以不需要做二次驗(yàn)證

A、用戶充值的金額參數(shù)B、訂單請求的訂購產(chǎn)品ID參數(shù)C、秒殺活動中的產(chǎn)品數(shù)量參數(shù)D、查詢產(chǎn)品信息返回的分頁參數(shù)

6、哪些掃描工具不具備安全漏洞或代碼編碼安全的功能？（公司推薦的工具不包括哪個）

A、安全漏洞Findsecbugs插件B、DICSonarC、360安全殺毒D、公司代碼審計(jì)平臺

7、安全工具掃描和漏洞掃描中哪些可以延后修復(fù)或暫時不處理？

A、安全工具DICSonar掃描出來的阻斷類問題（可以引起應(yīng)用運(yùn)行崩潰的問題）B、漏洞掃描出來的低危安全漏洞C、漏洞掃描出來的高危安全漏洞D、公司代碼審計(jì)平臺掃描出來的高危類安全問題

8、以下哪些操作可能引起敏感信息泄漏并不被允許的？

A、應(yīng)研發(fā)的要求將現(xiàn)場的客戶資料導(dǎo)出，未做脫敏處理提供研發(fā)做產(chǎn)品測試B、協(xié)助客戶查詢工作中指定的用戶資料并將資料提供給客戶使用C、對客戶資料按運(yùn)維手冊在監(jiān)管下定期做數(shù)據(jù)備份D、應(yīng)研發(fā)的要求提供現(xiàn)場某一業(yè)務(wù)的建表腳本，用以搭建研發(fā)側(cè)的測試環(huán)境

9、以下關(guān)于版本上線后驗(yàn)證操作的說明錯誤的是？

A、需要對版本上線后的業(yè)務(wù)進(jìn)行功能驗(yàn)證B、需要對版本上線后的數(shù)據(jù)進(jìn)行稽核C、需要對版本上線后的應(yīng)用運(yùn)行情況進(jìn)行跟蹤D、版本上線前已做過功能測試，版本上線后可以馬上離場

10、關(guān)于部署方案或上線操作手冊說法錯誤的是？

A、需要包含操作步驟B、需要包含上線后的測試驗(yàn)證C、需要包含上線失敗的回退方案D、以上的3種都不需要包含

11、系統(tǒng)要求用戶設(shè)置密碼時，以下哪項(xiàng)不符合安全要求？

A、F1re@Wall$2023B、賬號是Admin@134,密碼設(shè)置和賬號一致C、8Boat&HorseD、P@ssw0rd2024!

12、如果管理后臺登錄界面缺少驗(yàn)證碼可能存在哪些危害？

A、暴力破解，獲取賬號密碼B、一旦攻擊者成功登錄后臺，易造成敏感信息泄露C、攻擊者可以利用后臺進(jìn)行惡意操作D、以上都對

13、在產(chǎn)品研發(fā)中，以下哪項(xiàng)行為是被禁止的？

A、留有后門B、留有惡意程序C、留有隱藏賬號和口令D、所有上述行為

14、用戶定期更換密碼的好處有哪些？

A、降低密碼破解風(fēng)險B、防止密碼泄露C、減少賬號被接管的風(fēng)險D、以上都對

15、作為系統(tǒng)管理員，你發(fā)現(xiàn)系統(tǒng)日志中有未經(jīng)授權(quán)的用戶訪問記錄。這些用戶通過修改URL和POST參數(shù)訪問了他們沒有權(quán)限查看的數(shù)據(jù)。你應(yīng)該采取什么措施來防止這種情況？

A、忽略這些記錄，因?yàn)樗鼈兛赡懿皇前踩珕栴}B、如果訪問的不是敏感頁面，可以不用管C、審查和加強(qiáng)權(quán)限驗(yàn)證機(jī)制，確保用戶只能訪問他們被授權(quán)的數(shù)據(jù)D、允許這種訪問，因?yàn)樗@示了系統(tǒng)的靈活性

16、以下哪種資源在特定條件下可不經(jīng)額外授權(quán)直接用于商業(yè)用途？

A、具有版權(quán)的專業(yè)字體B、受著作權(quán)保護(hù)的各類圖片C、原創(chuàng)的文學(xué)或知識類文章D、遵循開源協(xié)議的代碼

17、關(guān)于開源組件或開源代碼在項(xiàng)目中選型、采用，以下哪些選型的準(zhǔn)則不正確？

A、確保所選擇的開源組件的許可協(xié)議與你的項(xiàng)目要求兼容。特別是要注意GPL等具有傳染性的許可證可能會對整個項(xiàng)目的授權(quán)產(chǎn)生影響。B、使用安全漏洞掃描工具來檢測已知的安全漏洞，并通過靜態(tài)分析工具檢查開源代碼的質(zhì)量，包括編碼規(guī)范、錯誤處理機(jī)制等方面。C、選擇那些有積極維護(hù)者和強(qiáng)大社區(qū)支持的項(xiàng)目，有良好的文檔可以幫助更好地理解和集成開源組件D、只需要開源組件獲取的點(diǎn)贊或星多，可以直接在項(xiàng)目中使用，不需要經(jīng)過技術(shù)選型討論會或內(nèi)部的質(zhì)量場景對標(biāo)

18、應(yīng)用對外提供服務(wù)的接口應(yīng)該具備必要的安全防范能力。對于接口防遍歷的理解正確的是？

A、確保對外提供的服務(wù)有相應(yīng)的鑒權(quán)機(jī)制；特別是鑒權(quán)驗(yàn)證碼要動態(tài)生成；B、對外提供的服務(wù)要進(jìn)行脫敏，或者也可以將服務(wù)報文進(jìn)行對稱加密；C、服務(wù)要保持將返回信息最小化符合請求方的要求；另外服務(wù)參數(shù)要有雙向驗(yàn)證機(jī)制，比如包含號碼+實(shí)例ID，防止調(diào)用端簡單模擬入?yún)⑦M(jìn)行遍歷；D、應(yīng)用服務(wù)部署主機(jī)或者負(fù)載側(cè)需要增加白名單限制訪問入口

19、重復(fù)使用驗(yàn)證碼對賬戶安全沒有威脅。

對錯

20、為了確保驗(yàn)證過程的安全性，長連接的認(rèn)證和短連接的認(rèn)證都需要在服務(wù)端進(jìn)行。

對錯

21、用戶能夠訪問的數(shù)據(jù)，只能是用戶管理權(quán)限下的，禁止通過修改url,post參數(shù)越權(quán)訪問其它數(shù)據(jù)。

對錯

22、禁止隱秘訪問方式包括隱藏賬號、隱藏口令、無鑒權(quán)的隱藏模式命令/參數(shù)、隱藏組合鍵訪問方式；隱藏的協(xié)議/端口/服務(wù)；隱藏的生產(chǎn)命令/端口、調(diào)試命令/端口；不記錄日志的非查詢操作等。

對錯

23、客戶端提交數(shù)據(jù)是不可信的，不可信數(shù)據(jù)輸出到前后端頁面時,根據(jù)業(yè)務(wù)場景需在服務(wù)端對其進(jìn)行二次驗(yàn)證。

對錯

24、禁止使用未經(jīng)授權(quán)和驗(yàn)證的代碼，因?yàn)槲唇?jīng)授權(quán)和驗(yàn)證的代碼可能包含惡意代碼，如病毒、木馬、間諜軟件和網(wǎng)絡(luò)攻擊等造成系統(tǒng)安全問題。

對錯

25、啟用登錄失敗鎖定策略是確保系統(tǒng)安全的有效措施之一。

對錯

26、登錄會話的Token/session可以不用設(shè)置超時機(jī)制

對錯

27、客戶保密信息和用戶敏感信息（姓名、證件、地址、賬單、用戶詳單、用戶位置等）屬于個人隱私的一部分，任何機(jī)構(gòu)和個人都不得擅自查看、使用或泄露。

對錯

28、軟件產(chǎn)品發(fā)布前不需要進(jìn)行安全漏洞掃描

對錯

29、無論是公司員工，還是客戶，都不允許在辦公區(qū)域吸煙，因?yàn)槲鼰熆赡芤鸹馂?zāi)，特別是在封閉的辦公環(huán)境中，一旦發(fā)生火災(zāi)，后果可能不堪設(shè)想。

對錯

30、禁止來路不明的人員遠(yuǎn)程控制是為了防止敏感信息丟失，如個人數(shù)據(jù)、公司機(jī)密等的丟失。

對錯

31、在生產(chǎn)時間內(nèi)對運(yùn)行中的系統(tǒng)進(jìn)行操作可能會引入新的風(fēng)險，如配置錯誤、軟件沖突或硬件故障，這些風(fēng)險可能導(dǎo)致數(shù)據(jù)丟失、系統(tǒng)崩潰或業(yè)務(wù)中斷。

對錯

32、禁止生產(chǎn)事故、服務(wù)事件、安全事件隱瞞不報或延遲通報，需第一時間向上通報，延遲通報可能會導(dǎo)致問題擴(kuò)大，增加處理難度。

對錯

考試建議

更多問卷復(fù)制此問卷