新员工特训营-MAG网络安全（关联转正考试：网络安全考试）

简单350

国内某知名外包公司在给荣耀终端公司代招的新员工入职考试之一：MAG网络安全
  \1.在对称密钥密码体制中，加、解密双方的密钥( )：
双方拥有相同的密钥
\2. 以下哪个是端口扫描工具( )：
Nmap
\3.[单选题] 0/2
以下关于有加密算法及密钥描述，正确的是( )：
在敏感数据的安全传输上，优先使用业界的标准安全协议，并确保密钥可配置。
\4.[单选题] 0/2
以下对敏感数据存储采取的措施，不合理的是( D)：
A:禁止在cookie中以明文存放敏感数据。
B:禁止将敏感数据以明文存放在隐藏域中。
C:禁止将敏感数据存储在代码中。
D:将密钥或口令存放在数据库文件中。

\5. [单选题] 0/2
以下对Web安全描述错误的是( D )：
A:在Web应用认证中，可以通过验证码或者多次连续尝试登录失败后锁定帐号或IP来防暴力破解。
B:用户产生的数据要在服务端进行校验。
C:数据在输出到客户端前必须先进行HTML编码，以防止执行恶意代码、跨站脚本攻击。
D:如采用多次连续尝试登录失败后锁定帐号或IP的方式，需支持连续登录失败锁定策略的“允许连续失败的次数”可固定为一个合理的次数。
\6. [单选题] 0/2
下列属于安全总体要求中A类的是( B )：
A:口令安全。
B:访问通道控制。
C:安全资料。
D:web应用安全。
\7. [单选题] 2/2
下列对通讯矩阵描述错误的是( A )：
A:通讯矩阵文档只用于提供给客户用于端口业务用途的自我澄清。
B:通讯矩阵文档并已纳入到产品资料清单中，需要随产品正式发布。
C:通信矩阵中所描述的所有端口都是系统运行和维护所必需的，且描述正确。
D:通信矩阵中描述的侦听接口须明确限定在一个合理的范围之内，并与实际的动态侦听接口范围保持一致。
\8. [单选题] 2/2
未公开接口引起的风险，以下说法正确的是( )：
D:未公开接口容易被客户质疑为产品后门，且容易被恶意攻击者利用，从而增加我司产品的安全风险。
\9. [单选题] 0/2
网络级安全所面临的主要攻击是( C )：
A:自然灾害。
B:网络应用软件的缺陷。
C:窃听、欺骗。
D:盗窃。
\10. [单选题] 2/2
数据信息是否被篡改由哪些技术来判断( D )：
A:身份识别技术
B:入侵检测技术
C:访问控制技术
D:数据完整性控制技术
\11. [单选题] 2/2
敏感数据保护主要是加强哪些方面的保护( D )：
A:通过认证、授权和加密机制加强敏感数据的访问安全。
B:通过加密保护加强系统对敏感数据的存储的安全。
C:通过安全传输通道加强敏感数据在非信任网络之间进行传输安全。
D:以上都是。
\12. [单选题] 2/2
关于连接数据库系统的帐号，以下说法正确的是( D )
A:无所谓，高级别和低级别帐号都行。
B:可以使用高级别权限帐号。
C:可以使用sa等管理帐号。
D:尽可能使用低级别权限帐号。
\13. [单选题] 2/2
关于口令复杂度要求，以下说法正确的是( B )：
B:口令不能和帐号或者帐号的逆序相同。

\14. [单选题] 2/2
对于日志安全设计规则描述中，不包括下列那一项 ( A )：
A:应该开放对安全日志的访问
B:系统必须对安全事件及操作事件进行日志记录
C:对日志模块占有资源有可配置的限制机制
D:安全事件的结果，不管成功还是失败，都要记录日志

\15. [单选题] 2/2
对用户面与管理面的隔离，下列哪个说法错误的( A )：
A:可以通过认证及权限控制来实现用户面与管理面的隔离。
B:可以通过防火墙来实现用户面与管理面的隔离。
C:可以通过VLAN方式来实现用户面与管理面的隔离。
D:可以通过ACL方式来实现用户面与管理面的隔离。

\16. [单选题] 2/2
对系统管理及维护安全描述正确的是( D )：
A:管理面所有的用户活动、操作指令必须记录日志，日志内容要能支撑事后的审计。
B:系统的管理平面和近端维护终端、网管维护终端间，支持使用合适的安全协议。
C:系统自身操作维护类口令满足“口令安全要求”。
D:以上都是。

\17. [单选题] 2/2
对日志审计描述正确的是( D )：
A:详细的日志记录一方面可以帮助客户撇清与我方不相关的责任（如运营商的失误），也可以帮助回溯历史操作，提高现网问题定位的效率。
B:日志记录是安全事件中事后追溯，定位问题原因及划分事故责任的重要手段。
C:管理面所有的用户活动、操作指令必须记录日志，日志内容要能支撑事后的审计。
D:以上都是。

\18. [单选题] 0/2
对合作方产品满足网络安全总体要求，下面那个说法正确的( B )：
A:所有合作方新立项产品版本优先满足A类要求。
B:所有合作方产品现有版本需在2013年底前满足全部安全要求。
C:所有合作方产品现有版本需在2012年之前满足A类安全要求。
D:所有合作方产品现有版本可以保持现状，不对安全要求进行整改。

\19. [单选题] 2/2
对管理访问通道安全要求，下面说法正确的是( D )：
D:设备外部可见的管理访问通道需要有接入认证机制。

\20. [单选题] 2/2
对操作系统安全，下面说法正确的是( D )：
D:操作系统安全中要求使用Nessus等漏洞扫描软件进行安全扫描，不存在高风险级别的漏洞。

---

多选题
\21. [多选题] 0/2
下列哪些属于需要记录在日志中的管理层活动？( AB,CD )
A:登录和注销
B:用户的锁定和解锁，禁用和恢复
C:对系统进行启动、关闭、重启、暂停、恢复、倒换
D:所有帐户的命令行操作命令

\22. [多选题] 2/2
下列哪些属于Web安全要求？( ABCD )：
A:认证模块必须采用防暴力破解机制。
B:对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作，以防止URL越权。
C:登录过程中，往服务器端传递用户名和口令时，必须采用HTTPS安全协议也就是带服务器端证书的SSL），只提供本机接入、登录，做设备管理使用的场景暂时不要求。
D:使用主流Web安全扫描工具扫描Web服务器和Web应用，不存在“高”级别的漏洞。

\23. [多选题] 0/2
未公开接口主要指以下哪几类接口( CD )：
A:用于系统管理功能的接口。
B:用于产品内部测试阶段使用，但在正式发布中已删除的接口。
C:因受限使用而隐藏或未文档化的命令/参数/端口。
D:绕过安全鉴权机制访问系统的接口

\24. [多选题] 0/2
为了保证操作系统的安全，除了设置用户口令和控制文件的使用权限，还需要采取哪些措施？ ( BC )：
A:设备的完整性
B:防病毒
C:定期检查安全日志和系统状态
D:关键设备的隔离

\25. [多选题] 2/2
管理平面的接口的访问保护主要有哪些要求( ABCD)：
A:系统的管理功能和业务功能应能够分别部署在不同的主机上。
B:系统的管理功能和业务功能如果部署在同一主机上，应能够分别绑定不同的IP地址或不同的端口。
C:通过安全域划分、防火墙访问控制，最终用户不能访问管理接口。
D:所有能对系统进行管理的逻辑通信端口及协议都需具备接入认证机制（协议标准定义中无认证机制的除外）。

\26. [多选题] 2/2
关于口令安全，描述正确的是( ABCD )：
A:口令不能在网络中明文传输，口令等认证凭证在传输过程中必须加密，使用高安全等级的加密算法
B:用户可修改自己的口令，需满足如下要求：1) 用户修改自己口令时必须验证旧口令；2) 不允许修改除自身帐号以外的帐号的口令（管理员除外）
C:操作界面中的口令不能明文显示
D:口令输入框不支持拷贝功能

\27. [多选题] 2/2
对用户产生的数据必须在服务端进行校验，下面说法正确的是( ABCD )：
A:如果对用户产生的数据放到客户端校验，容易被绕过，校验如同虚设，恶意用户可以随意构造数据。
B:防止跨站脚本攻击。
C:防止执行恶意代码。
D:防止SQL注入、命令注入、缓冲区溢出等。

\28. [多选题] 0/2
对系统所有对外通讯连接必须是系统必须的理解正确的是( ACD )：
A:系统指交付给客户运行的整体系统，包括自研的软件、软件运行的操作系统及应用服务在内。
B:系统对外通讯连接是指基于TCP等连接协议建立的管理连接。
C:平台应通过解耦降低端口间的耦合关系，以便产品按需选择端口。
D:产品在设计时要遵循端口最小开放原则，非业务以及维护需要的端口应默认关闭。

\29. [多选题] 0/2
对提供合法监听接口的产品版本的要求，以下说法正确的是？( CD )
A:产品提供软件安装包拆分为：基本软件安装包和合法监听插件安装包。根据市场的安全要求，选择是否安装合法监听插件安装包
B:产品提供两个版本的软件安装包：一个支持合法监听，一个不支持合法监听。根据市场的安全要求，选择对应的软件安装包进行部署
C:产品可以通过License控制带合法监听接口的版本在某个地区或国家销售或使用
D:必须通过版本隔离确保版本中只存在符合当地合法监听接口标准的代码

\30. [多选题] 2/2
产品开发、发布和安装安全要求正确的是( ABCD )：
A:禁止存在任何“未公开接口”。
B:合作方需在产品资料中公开人机交互接口、与第三方系统对接接口（推荐通过技术手段限制第三方只能访问业务必须的端口）、需经常人工改动的配置文件等。
C:内部通信的机机接口应能够通过安全的综合手段保障（如组网等），不需要公开，但需要在资料说说明安全保障手段。
D:在软件包（含补丁包）发布前，需要经过至少一款主流防病毒软件扫描，保证防病毒软件不产生告警，特殊情况下对告警作出解释说明。扫描记录（防病毒软件名称、软件版本、病毒库版本、扫描时间、扫描结果等）存档并随软件包（含补丁包）发布给客户。

\31. [多选题] 0/2
在网络安全总体要求中，下面属于B类安全要求的是( ACD )：
A:协议防攻击
B:软件完整性保护
C:操作系统加固与防病毒
D:web应用安全

\32. [多选题] 2/2
在口令安全要求中，系统可以通过如下那几种方式提供解锁用户的机制( ABC )：
A:在锁定时间内，仅能允许应用安全管理员角色所属帐号手动解锁该用户
B:用户被锁时间达到预定义时间，可自动解锁该用户，或者也可通过安全管理员手工解锁该用户
C:对于口令尝试N次失败被锁定的用户，系统要能够设置自动解锁时间。
D:被锁用户通过进行密码修改来达到自动解锁

\33. [多选题] 0/2
应用层主要的安全需求是( ABC )：
A:身份认证
B:访问控制
C:防止物理破坏
D:防止人为攻击

34. [多选题] 2/2
以下针对数据库安全说法正确的是( ABC )：
A:数据库若存在多个默认帐号，必须将不使用的帐号禁用或删除。
B:使用主流的系统扫描软件进行安全扫描，不存在“高”级别的漏洞。
C:使用单独的操作系统帐号来运行数据库，数据库中的敏感文件，需要严格控制访问权限。
D:数据库口令可以使用数据库厂商的缺省口令。

\35. [多选题] 0/2
以下哪些属于监听接口安全要求( ABC )：
A:在正常业务流程和标准协议之外，禁止提供采集最终用户原始通信内容（语音类、短信/彩信类、传真类、数据业务类）的功能，即使出于保障网络运营和服务目的
B:在没有客户明确需求的情况下，严禁开发具有监听性质的功能和接口，无论该功能和接口是否要遵循相应的国家标准和国际标准
C:在客户对合法监听接口有需求的情况下，合作方需根据客户提供的监听功能或接口的文件中的要求开发
D:系统支持无法从用户面直接登陆连接管理接口（不支持独立的管理IP地址的产品除外）
\36. [多选题] 0/2
以下关于通讯矩阵描述正确的是( ABC )：
A:业务部署形态不一样，配置也不一样，开放的端口也不一样，通讯矩阵仅仅需要记录业务系统对外的端口。
B:通讯矩阵可以指导现网防火墙的配置。
C:通讯矩阵还可以用作产品端口业务用途的自我澄清。
D:动态监听接口可以不在通讯矩阵中进行描述。

\37. [多选题] 0/2
下面哪些安全保护是针对敏感数据的？( ABCD )
A:口令不明文存储在系统中，通过加密进行保护。
B:对银行账号等敏感数据的访问要有认证、授权和加密机制。
C:在非信任网络之间进行敏感数据（包括口令，银行帐号，批量个人数据等）的传输须采用安全传输通道或者加密后传输，有标准协议规定除外。
D:系统的管理平面和近端维护终端(如LMT)、网管维护终端间，支持使用合适的安全协议进行通信。

\38. [多选题] 2/2
下列协议哪些属于安全访问协议？( ABC )：
A:SSL
B:SFTP
C:IPSec
D:HTTP

\39. [多选题] 0/2
下列属于安全资料内容的是( ACD )：
A:产品防病毒、加固指南
B:产品安装指南
C:产品安全维护手册
D:产品安全特性描述

\40. [多选题] 0/2
下列那些行为是属于对操作系统进行安全保护的？( ABCD )：
A:使用主流漏洞扫描软件对操作系统进行安全扫描，不存在高风险级别的漏洞。
B:对操作系统进行加固。
C:对操作系统进行防病毒扫描及兼容性测试，扫描结果随版本发布。
D:操作系统打安全补丁。

---

\41. [判断题] 1/1
客户网络安全红线总体要求分A类及B类，其中A类属于产品核心功能，如果没有此功能产品不可用或存在重大安全隐患。
A:正确
\42. [判断题] 1/1
对于合作方的产品要求，新立项的产品版本可以优先满足网络安全总体要求中A类要求，B类要求可以暂时不满足；
B:错误
\43. [判断题] 1/1
Web安全中，验证码可以多次使用，新的连接可以不需要重新生成新的验证码；
B:错误
\44. [判断题] 1/1
在非对称密钥密码体制中，发信方与收信方使用不同的密钥；
A:正确
\45. [判断题] 0/1
对于涉及产品知识产权、高危操作、可外部调用的内部接口等不期望向所有客户人员公开的内容，不能通过任何方式向客户公开；
B:错误
\46. [判断题] 1/1
计算机系统的脆弱性主要来自于网络操作系统的不安全性；
A:正确
\47. [判断题] 1/1
操作系统中超级用户和普通用户的访问权限没有差别；
B:错误
\48. [判断题] 1/1
保护帐户、口令和控制访问权限可以提高操作系统的安全性；
A:正确
\49. [判断题] 1/1
管理通道安全主要是系统支持对管理平面的接口的访问保护；
A:正确
\50. [判断题] 1/1
操作系统安全只要求对系统进行防病毒处理；
B:错误
\51. [判断题] 1/1
定期检查操作系统的安全日志和系统状态可以有助于提高操作系统安全；
A:正确
\52. [判断题] 0/1
对操作系统的防病毒处理中，只要合作方使用主流防病毒软件，客户可以以合作方的扫描结果为准；
B:错误
\53. [判断题] 0/1
登录过程中，往服务器端传递用户名和口令时，任何场景下都需要采用HTTPS安全协议；
B:错误
\54. [判断题] 0/1
Web应用中，对用户的认证可以在客户端进行，也可以在服务端集中进行；
B:错误
\55. [判断题] 0/1
用作内部测试使用的接口，只要不在资料中公开，可以在产品正式发布中保留；
B:错误
\56. [判断题] 0/1
只要进行严格测试且有完整的测试数据及报告，产品中可以使用私有加密算法；
B:错误
\57. [判断题] 1/1
用于敏感数据传输加密的密钥，可以硬编码在代码中；
B:错误
\58. [判断题] 1/1
只要控制日志、话单等文件的访问权限，可以在日志、话单等文件中可以记录口令、银行账号等敏感数据；
B:错误
\59. [判断题] 1/1
GDPR（General Data Protection Regulation）是欧盟制定统一数据保护法，不遵守GDPR，将导致罚款：高达2000万欧元或公司全球总营业额4%（以较大者为准）。
A:正确
\60. [判断题] 0/1
只要遵循国际标准及所在国的法律要求，合作方可以在产品中提供合法监听接口及能力；
B:错误


免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！