軟通新員工網(wǎng)絡(luò)安全考試答案

1、1 .單選題2/2網(wǎng)絡(luò)級安全所面臨的主要攻擊是（）：A：竊聽、欺騙。B：自然災(zāi)害。C：盜竊。D：網(wǎng)絡(luò)應(yīng)用軟件的缺陷。您的答案：A2 .單選題2/2關(guān)于連接數(shù)據(jù)庫系統(tǒng)的帳號，以下說法正確的是（A：可以使用sa等管理帳號。B：可以使用高級別權(quán)限帳號。C：盡可能使用低級別權(quán)限帳號。D：無所謂，高級別和低級別帳號都行。您的答案：C3單選題2/2以下哪個(gè)是端口掃描工具（）：A:NmapB:SnoopC:Firewall-2D:NETXRay您的答案：A4單選題2/2下列屬于安全總體要求中A類的是（）：A： 口令安全。B：訪問通道控制。C:web應(yīng)用安全。D:安全資料。您的答案：B5 .單選題2/2數(shù)據(jù)信

2、息是否被篡改由哪些技術(shù)來判斷（）：A：數(shù)據(jù)完整性控制技術(shù)B：身份識別技術(shù)C：訪問控制技術(shù)D：入侵檢測技術(shù)您的答案：A6 .單選題2/2在對稱密鑰密碼體制中，力口、解密雙方的密鑰（）：A：雙方各自擁有不同的密鑰B：雙方的密鑰可相同也可不同C：雙方擁有相同的密鑰D：雙方的密鑰可隨意改變您的答案：C7 .單選題2/2對合作方產(chǎn)品滿足網(wǎng)絡(luò)安全總體要求，下面那個(gè)說法正確的（）：A：所有合作方產(chǎn)品現(xiàn)有版本可以保持現(xiàn)狀，不對安全要求進(jìn)行整改。B：所有合作方產(chǎn)品現(xiàn)有版本需在2012年之前滿足A類安全要求。C：所有合作方產(chǎn)品現(xiàn)有版本需在2013年底前滿足全部安全要求。D：所有合作方新立項(xiàng)產(chǎn)品版本優(yōu)先滿足A類要求

3、。您的答案：B8 .單選題2/2對管理訪問通道安全要求，下而說法正確的是（）：A：系統(tǒng)的管理功能和業(yè)務(wù)功能可以部署在同一臺主機(jī)上綁定同一個(gè)端口。B：只能通過安全域劃分來控制最終用戶不能訪問管理接口。C：設(shè)備外部可見的管理訪問通道需要有接入認(rèn)證機(jī)制。D:系統(tǒng)的管理功能和業(yè)務(wù)功能必須部署在不同主機(jī)上。您的答案：C9 .單選題2/2對用戶而與管理面的隔離，下列哪個(gè)說法錯誤的（）：A：可以通過ACL方式來實(shí)現(xiàn)用戶而與管理而的隔離。B：可以通過VLAN方式來實(shí)現(xiàn)用戶面與管理面的隔離。C：可以通過防火墻來實(shí)現(xiàn)用戶而與管理而的隔離。D：可以通過認(rèn)證及權(quán)限控制來實(shí)現(xiàn)用戶而與管理面的隔離。您的答案：D10 .單

4、選題2/2對操作系統(tǒng)安全，下面說法正確的是（）：A:操作系統(tǒng)安全主要是針對主流通用操作系統(tǒng)（如Windows、Linux等），對嵌入式操作系統(tǒng) 沒有要求。B:操作系統(tǒng)安全中要求使用Nessus等漏洞掃描軟件進(jìn)行安全掃描，不存在高風(fēng)險(xiǎn)級別的漏 洞。C:操作系統(tǒng)進(jìn)行了防病毒兼容性測試后，可以不進(jìn)行系統(tǒng)加固。D:對于合作方，華為公司接受其使用任何一款主流防病毒軟件對操作系統(tǒng)的兼容性測試結(jié) 果。您的答案：B11 .單選題2/2下列對通訊矩陣描述錯誤的是（）：A：通信矩陣中所描述的所有端口都是系統(tǒng)運(yùn)行和維護(hù)所必需的，且描述正確。B：通信矩陣中描述的偵聽接口須明確限定在一個(gè)合理的范圍之內(nèi)，并與實(shí)際的動態(tài)偵

5、聽接口 范圍保持一致。C:通訊矩陣文檔并已納入到產(chǎn)品資料清單中，需要隨產(chǎn)品正式發(fā)布。D:通訊矩陣文檔只用于提供給客戶用于端口業(yè)務(wù)用途的自我澄清。您的答案：D12單選題2/2以下對Web安全描述錯誤的是（）：A:在Web應(yīng)用認(rèn)證中，可以通過驗(yàn)證碼或者多次連續(xù)嘗試登錄失敗后鎖定帳號或IP來防暴 力破解。B:如采用多次連續(xù)嘗試登錄失敗后鎖定帳號或IP的方式，需支持連續(xù)登錄失敗鎖定策略的 "允許連續(xù)失敗的次數(shù)”可固定為一個(gè)合理的次數(shù)。C:數(shù)據(jù)在輸出到客戶端前必須先進(jìn)行HTML編碼，以防止執(zhí)行惡意代碼、跨站腳本攻擊。D:用戶產(chǎn)生的數(shù)據(jù)要在服務(wù)端進(jìn)行校驗(yàn)。您的答案：B13.單選題2/2以下關(guān)于有

6、加密算法及密鑰描述，正確的是（）：A：產(chǎn)品可以根據(jù)需要采用私有加密算法。B:AES是屬于非對稱加密算法。C：在敏感數(shù)據(jù)的安全傳愉上，優(yōu)先使用業(yè)界的標(biāo)準(zhǔn)安全協(xié)議，并確保密鑰可配置。D：加密算法中使用的密鑰，可以硬編碼在代碼中。您的答案：C14單選題2/2未公開接口引起的風(fēng)險(xiǎn)，以下說法正確的是（）：A：未公開接口容易被客戶質(zhì)疑為產(chǎn)品后門，且容易被惡意攻擊者利用，從而增加我司產(chǎn)品的 安全風(fēng)險(xiǎn)。B：未公開接口只要不在資料中說明，客戶也不知道怎么用，不會給產(chǎn)品帶來任何風(fēng)險(xiǎn)。C：只要加強(qiáng)未公開接口的訪問控制，即使未文檔化產(chǎn)品也不會有任何影響。D:只要產(chǎn)品不在敏感市場使用，未公開接口不會給產(chǎn)品或公司帶來風(fēng)險(xiǎn)

7、。您的答案：A15單選題2/2敏感數(shù)據(jù)保護(hù)主要是加強(qiáng)哪些方面的保護(hù)（）：A：通過加密保護(hù)加強(qiáng)系統(tǒng)對敏感數(shù)據(jù)的存儲的安全。B：通過認(rèn)證、授權(quán)和加密機(jī)制加強(qiáng)敏感數(shù)據(jù)的訪問安全。C：通過安全傳輸通道加強(qiáng)敏感數(shù)據(jù)在非信任網(wǎng)絡(luò)之間進(jìn)行傳輸安全。D：以上全是您的答案：D16單選題2/2對系統(tǒng)管理及維護(hù)安全描述正確的是（）：A：系統(tǒng)自身操作維護(hù)類口令滿足"口令安全要求"。B：管理面所有的用戶活動、操作指令必須記錄日志，日志內(nèi)容要能支撐事后的審計(jì)。C：系統(tǒng)的管理平而和近端維護(hù)終端、網(wǎng)管維護(hù)終端間，支持使用合適的安全協(xié)議。D：以上全是您的答案：D17 .單選題2/2關(guān)于口令復(fù)雜度要求，以下說

8、法正確的是（）：A：普通用戶及特權(quán)用戶的口令長度要求都是一樣的，至少6個(gè)字符。B： 口令不能和帳號或者帳號的逆序相同。C： 口令不能包含空格。D： 口令不能包含數(shù)字。您的答案：B18 .單選題2/2對于日志安全設(shè)計(jì)規(guī)則描述中，不包括下列那一項(xiàng)（）：A：系統(tǒng)必須對安全事件及操作事件進(jìn)行日志記錄B ：應(yīng)該開放對安全日志的訪問C：對日志模塊占有資源有可配置的限制機(jī)制D：安全事件的結(jié)果，不管成功還是失敗，都要記錄日志您的答案：B19 .單選題2/2對日志審計(jì)描述正確的是（）：A：日志記錄是安全事件中事后追溯，定位問題原因及劃分事故責(zé)任的重要手段。B：詳細(xì)的日志記錄一方面可以幫助華為撇清與我方不相關(guān)的責(zé)

9、任（如運(yùn)營商的失誤），也可 以幫助回溯歷史操作，提高現(xiàn)網(wǎng)問題定位的效率。C：管理面所有的用戶活動、操作指令必須記錄日志，日志內(nèi)容要能支撐事后的審計(jì)。D:以上都是6您的答案：D20 .單選題2/2以下對敏感數(shù)據(jù)存儲采取的措施，不合理的是（）：A：禁止將敏感數(shù)據(jù)存儲在代碼中。B：將密鑰或口令存放在數(shù)據(jù)庫文件中。C:禁止在cookie中以明文存放敏感數(shù)據(jù)。D:禁止將敏感數(shù)據(jù)以明文存放在隱藏域中。您的答案：B21多選題2/2未公開接口主要指以下哪幾類接口（）：A：繞過安全鑒權(quán)機(jī)制訪問系統(tǒng)的接口。B：因受限使用而隱藏或未文檔化的命令/參數(shù)/端口。C：用于系統(tǒng)管理功能的接口。D：用于產(chǎn)品內(nèi)部測試階段使用，

10、但在正式發(fā)布中已刪除的接口。您的答案：AB22 .多選題2/2以下針對數(shù)據(jù)庫安全說法正確的是（）：A：數(shù)據(jù)庫若存在多個(gè)默認(rèn)帳號，必須將不使用的帳號禁用或刪除。B：數(shù)據(jù)庠口令可以使用數(shù)據(jù)庫廠商的缺省口令。C：使用單獨(dú)的操作系統(tǒng)帳號來運(yùn)行數(shù)據(jù)庫，數(shù)據(jù)庫中的敏感文件，需要嚴(yán)格控制訪問權(quán)限。D：使用主流的系統(tǒng)掃描軟件進(jìn)行安全掃描，不存在"高"級別的漏洞。您的答案：ACD23 .修選題0/2應(yīng)用層主要的安全需求是（）：A：身份認(rèn)證B：防止物理破壞C:訪問控制D:防止人為攻擊您的答案：ACD24多選題2/2管理平面的接口的訪問保護(hù)主要有哪些要求（）：A：系統(tǒng)的管理功能和業(yè)務(wù)功能應(yīng)能夠分

11、別部署在不同的主機(jī)上。B：系統(tǒng)的管理功能和業(yè)務(wù)功能如果部署在同一主機(jī)上，應(yīng)能夠分別綁定不同的IP地址或不 同的端口。C：通過安全域劃分、防火墻訪問控制，最終用戶不能訪問管理接口。D：所有能對系統(tǒng)進(jìn)行管理的邏輯通信端口及協(xié)議都需具備接入認(rèn)證機(jī)制（協(xié)議標(biāo)準(zhǔn)定義中無 認(rèn)證機(jī)制的除外）。您的答案：ABCD25 .多選題2/2以下關(guān)于通訊矩陣描述正確的是（）：A：通訊矩陣可以指導(dǎo)現(xiàn)網(wǎng)防火墻的配置。B:通訊矩陣還可以用作產(chǎn)品端口業(yè)務(wù)用途的自我澄清。C：業(yè)務(wù)部署形態(tài)不一樣，配置也不一樣，開放的端口也不一樣，通訊矩陣僅僅需要記錄業(yè)務(wù) 系統(tǒng)對外的端口。D：動態(tài)監(jiān)聽接口可以不在通訊矩陣中進(jìn)行描述。您的答案：AB2

12、6 .多選題2/2對系統(tǒng)所有對外通訊連接必須是系統(tǒng)必須的理解正確的是（）：A：系統(tǒng)指交付給客戶運(yùn)行的整體系統(tǒng)，包括自研的軟件、軟件運(yùn)行的操作系統(tǒng)及應(yīng)用服務(wù)在 內(nèi)。B：產(chǎn)品在設(shè)計(jì)時(shí)要遵循端口最小開放原則，非業(yè)務(wù)以及維護(hù)需要的端口應(yīng)默認(rèn)關(guān)閉。C：平臺應(yīng)通過解耦降低端口間的耦合關(guān)系，以便產(chǎn)品按需選擇端口。D：系統(tǒng)對外通訊連接是指基于TCP等連接協(xié)議建立的管理連接。您的答案：ABC27多選題2/2下列那些行為是屬于對操作系統(tǒng)進(jìn)行安全保護(hù)的？（）:A：使用主流漏洞掃描軟件對操作系統(tǒng)進(jìn)行安全掃描，不存在高風(fēng)險(xiǎn)級別的漏澗。B:對操作系統(tǒng)進(jìn)行加固。C:對操作系統(tǒng)進(jìn)行防病毒掃描及兼容性測試，掃描結(jié)果隨版本發(fā)布。

13、D:操作系統(tǒng)打安全補(bǔ)丁。您的答案：ABC D28 .多選題2/2下列哪些屬于Web安全要求？（）：A:認(rèn)證模塊必須采用防暴力破解機(jī)制。B:對于每一個(gè)需要授權(quán)訪問的頁面或servlet的請求都必須核實(shí)用戶的會話標(biāo)識是否合法、 用戶是否被授權(quán)執(zhí)行這個(gè)操作，以防止URL越權(quán)。C:登錄過程中，往服務(wù)器端傳遞用戶名和口令時(shí)，必須采用HTTPS安全協(xié)議也就是帶服務(wù) 器端證書的SSL）,只提供本機(jī)接入、登錄，做設(shè)備管理使用的場景暫時(shí)不要求。D:使用主流Web安全掃描工具掃描Web服務(wù)器和Web應(yīng)用，不存在"高”級別的漏洞。您的答案：ABC D29 .多選題2/2對用戶產(chǎn)生的數(shù)據(jù)必須在服務(wù)端進(jìn)行校驗(yàn)

14、，下面說法正確的是（）：A：如果對用戶產(chǎn)生的數(shù)據(jù)放到客戶端校驗(yàn)，容易被繞過，校驗(yàn)如同虛設(shè)，惡意用戶可以隨意 構(gòu)造數(shù)據(jù)。B：防止跨站腳本攻擊。C：防止執(zhí)行惡意代碼。D：防止SQL注入、命令注入、緩沖區(qū)溢出等。您的答案：ABCD30 .多選題2/2下列協(xié)議哪些屬于安全訪問協(xié)議？（）：A：HTTPB：SFTPCJPSecD:SSL您的答案：BCD31多選題2/2產(chǎn)品開發(fā)、發(fā)布和安裝安全要求正確的是（）：A：禁止存在任何“未公開接口”。B：合作方需在產(chǎn)品資料中公開人機(jī)交互接口、與第三方系統(tǒng)對接接口（推薦通過技術(shù)手段限 制第三方只能訪問業(yè)務(wù)必須的端口）、需經(jīng)常人工改動的配置文件等。C：內(nèi)部通信的機(jī)機(jī)接口

15、應(yīng)能夠通過安全的綜合手段保障（如組網(wǎng)等），不需要公開，但需要 在資料說說明安全保障手段。D：在軟件包（含補(bǔ)丁包）發(fā)布前，需要經(jīng)過至少一款主流防病毒軟件掃描，保證防病毒軟件 不產(chǎn)生告警，特殊情況下對告警作出解釋說明。掃描記錄（防病毒軟件名稱、軟件版本、病 毒庫版本、掃描時(shí)間、掃描結(jié)果等）存檔并隨軟件包（含補(bǔ)丁包）發(fā)布給客戶。您的答案：ABC D32多選題2/2下面哪些安全保護(hù)是針對敏感數(shù)據(jù)的？（）A：口令不明文存儲在系統(tǒng)中，通過加密進(jìn)行保護(hù)。B：對銀行賬號等敏感數(shù)據(jù)的訪問要有認(rèn)證、授權(quán)和加密機(jī)制。C：在非信任網(wǎng)絡(luò)之間進(jìn)行敏感數(shù)據(jù)（包括口令，銀行帳號，批量個(gè)人數(shù)據(jù)等）的傳輸須采用 安全傳輸通道或者

16、加密后傳輸，有標(biāo)準(zhǔn)協(xié)議規(guī)定除外。D：系統(tǒng)的管理平面和近端維護(hù)終端（如LMT）、網(wǎng)管維護(hù)終端間，支持使用合適的安全協(xié)議進(jìn) 行通信。您的答案：ABCD33 .多選題2/2下列哪些屬于需要記錄在日志中的管理層活動？（）A：登錄和注銷B：用戶的鎖定和解鎖，禁用和恢復(fù)C：對系統(tǒng)進(jìn)行啟動、關(guān)閉、重啟、暫停、恢復(fù)、倒換D:所有帳戶的命令行操作命令您的答案：BCDA34 .多選題2/2):下列屬于安全資料內(nèi)容的是（A：產(chǎn)品安全特性描述B:產(chǎn)品防病毒、加固指南C:產(chǎn)品安裝指南D:產(chǎn)品安全維護(hù)手冊您的答案：ABD35 .多選題2/2以下哪些屬于監(jiān)聽接口安全要求（）：A：在沒有華為明確需求的情況下，嚴(yán)禁開發(fā)具有監(jiān)聽

17、性質(zhì)的功能和接口，無論該功能和接口 是否要遵循相應(yīng)的國家標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)B:在華為對合法監(jiān)聽接口有需求的情況下，合作方需根據(jù)華為提供的監(jiān)聽功能或接口的文件 中的要求開發(fā)C：在正常業(yè)務(wù)流程和標(biāo)準(zhǔn)協(xié)議之外，禁止提供采集最終用戶原始通信內(nèi)容（語音類、短信/ 彩信類、傳真類、數(shù)據(jù)業(yè)務(wù)類）的功能，即使出于保障網(wǎng)絡(luò)運(yùn)營和服務(wù)目的D：系統(tǒng)支持無法從用戶面直接登陸連接管理接口（不支持獨(dú)立的管理IP地址的產(chǎn)品除外）您的答案：ABC36 .多選題2/2對提供合法監(jiān)聽接口的產(chǎn)品版本的要求，以下說法正確的是？（）A：產(chǎn)品提供兩個(gè)版本的軟件安裝包：一個(gè)支持合法監(jiān)聽，一個(gè)不支持合法監(jiān)聽。根據(jù)市.場的 安全要求，選擇對應(yīng)的軟

18、件安裝包進(jìn)行部署B(yǎng)：產(chǎn)品提供軟件安裝包拆分為：基本軟件安裝包和合法監(jiān)聽插件安裝包。根據(jù)市場的安全要 求，選擇是否安裝合法監(jiān)聽插件安裝包C:產(chǎn)品可以通過License控制帶合法監(jiān)聽接口的版本在某個(gè)地區(qū)或國家銷售或使用D:必須通過版本隔離確保版本中只存在符合當(dāng)?shù)睾戏ūO(jiān)聽接口標(biāo)準(zhǔn)的代碼您的答案：BAD37多選題2/2在口令安全要求中，系統(tǒng)可以通過如下那幾種方式提供解鎖用戶的機(jī)制（）：A：對于口令嘗試N次失敗被鎖定的用戶，系統(tǒng)要能夠設(shè)置自動解鎖時(shí)間。B：用戶被鎖時(shí)間達(dá)到預(yù)定義時(shí)間，可自動解鎖該用戶，或者也可通過安全管理員手工解鎖該 用戶C:在鎖定時(shí)間內(nèi)，僅能允許應(yīng)用安全管理員角色所屬帳號手動解鎖該用戶

19、D:被鎖用戶通過進(jìn)行密碼修改來達(dá)到自動解鎖您的答案：ABC38 .多選題2/2關(guān)于口令安全，描述正確的是（）：A：口令不能在網(wǎng)絡(luò)中明文傳輸，口令等認(rèn)證憑證在傳輸過程中必須加密，使用高安全等級的 加密算法B：用戶可修改自己的口令，需滿足如下要求：1）用戶修改自己口令時(shí)必須驗(yàn)證舊口令；2）不 允許修改除自身帳號以外的帳號的口令（管理員除外）C：操作界而中的口令不能明文顯示D： 口令輸入框不支持拷貝功能您的答案：ABCD39 .多選題2/2為了保證操作系統(tǒng)的安全，除了設(shè)置用戶口令和控制文件的使用權(quán)限，還需要采取哪些措 施？（）：A：關(guān)鍵設(shè)備的隔離B：設(shè)備的完整性C：定期檢查安全日志和系統(tǒng)狀態(tài)D：防病

20、毒您的答案：CD40多選題2/2在網(wǎng)絡(luò)安全總體要求中，下而屬于B類安全要求的是（）：A：軟件完整性保護(hù)B:協(xié)議防攻擊C：操作系統(tǒng)加固與防病毒D:web應(yīng)用安全您的答案：BCD41 .判斷題1/1 華為網(wǎng)絡(luò)安全紅線總體要求分A類及B類，其中A類屬于產(chǎn)品核心功能，如果沒有此功能 產(chǎn)品不可用或存在重大安全隱患。A:正確B:錯誤您的答案：A42 .判斷題1/1對于合作方的產(chǎn)品要求，新立項(xiàng)的產(chǎn)品版本可以優(yōu)先滿足網(wǎng)絡(luò)安全總體要求中A類要求，B 類要求可以暫時(shí)不滿足：A:正確B:錯誤您的答案：B43 .判斷題1/1Web安全中，驗(yàn)證碼可以多次使用，新的連接可以不需要重新生成新的驗(yàn)證碼;A:正確B:錯誤您的答

21、案：B44判斷題1/1在非對稱密鑰密碼體制中，發(fā)信方與收信方使用不同的密鑰:A:正確B:錯誤您的答案：A45 .判斷題1/1對于涉及產(chǎn)品知識產(chǎn)權(quán)、高危操作、可外部調(diào)用的內(nèi)部接口等不期望向所有客戶人員公開的 內(nèi)容，不能通過任何方式向客戶公開；A:正確B:錯誤您的答案：B46 .判斷題1/1計(jì)算機(jī)系統(tǒng)的脆弱性主要來自于網(wǎng)絡(luò)操作系統(tǒng)的不安全性;A:正確B:錯誤您的答案：A47 .判斷題1/1操作系統(tǒng)中超級用戶和普通用戶的訪問權(quán)限沒有差別:A:正確B:錯誤您的答案：B48 .判斷題1/1保護(hù)帳戶、口令和控制訪問權(quán)限可以提高操作系統(tǒng)的安全性:A:正確B:錯誤您的答案：A49判斷題1/1管理通道安全主要是系統(tǒng)支持對管理平而的接口的訪問保護(hù):A:正確B:錯誤您的答案：A50判斷題1/1操作系