思極位置研發(fā)、部署安全考試附有答案

思極位置研發(fā)、部署安全考試[復(fù)制]您的姓名：[填空題]*_________________________________所屬省份：[填空題]*_________________________________一、單選題（每題4分，共40分）1.以下密碼不屬于弱口令的是（）.[單選題]*A.P@sswordB.LoRi7wN3^!pV#19h(正確答案)C.PD.123qweasd2.高風(fēng)險(xiǎn)漏洞的安全補(bǔ)丁應(yīng)在漏洞發(fā)布（）個(gè)工作日（外網(wǎng)3個(gè)工作日）內(nèi)完成制作與自測(cè)工作，中（低）風(fēng)險(xiǎn)漏洞的安全補(bǔ)丁應(yīng)在漏洞發(fā)布15個(gè)工作日內(nèi)完成制作與自測(cè)工作。[單選題]*A.12B.5C.7(正確答案)D.83.電科院常規(guī)申請(qǐng)應(yīng)于每月（）號(hào)之前提交下個(gè)月度（次月10日至再次月10日）測(cè)試計(jì)劃申請(qǐng)單，同時(shí)完成測(cè)試云平臺(tái)線上申請(qǐng)。功能/非功能、安全第一輪測(cè)試同時(shí)完成后，承建單位需在個(gè)（B）工作日內(nèi)完成整改后（移動(dòng)APP為6個(gè)工作日），向中國(guó)電科院提交第二輪測(cè)試；如兩輪測(cè)試仍未通過，須重新提交申請(qǐng)。[單選題]*A.10，20B.20，10(正確答案)C.15，8D.20，154.在編碼中對(duì)文件上傳處理不當(dāng)可能會(huì)導(dǎo)致任意文件上傳漏洞，以下對(duì)上傳的處理不正確的是（）。[單選題]*A.對(duì)上傳文件類型進(jìn)行限制，做到允許上傳格式類型最小化B.對(duì)上傳文件的大小不用做限制，瀏覽器會(huì)對(duì)上傳文件的大小做限制的(正確答案)C.文件上傳路徑限制，上傳路徑中禁止出現(xiàn)相對(duì)路徑操作符D.關(guān)閉文件上傳目錄的執(zhí)行權(quán)限5.上傳文件必須檢查文件的類型、名稱等，并使用正則表達(dá)式等對(duì)文件名做嚴(yán)格的檢查，限定文件名只能包括（），同時(shí)限制文件的操作權(quán)限，并對(duì)文件的訪問路徑進(jìn)行驗(yàn)證。[單選題]*A.字母和數(shù)字(正確答案)B.字母、數(shù)字和下劃線C.字母D.數(shù)字6.研發(fā)實(shí)施單位測(cè)試前需進(jìn)行哪些準(zhǔn)備（）。[單選題]*A.確認(rèn)可研、功能需求、概要設(shè)計(jì)和詳細(xì)設(shè)計(jì)，四者是否保持一致B.確認(rèn)測(cè)試用例是否全覆蓋C.確認(rèn)是否已經(jīng)與ISC、I6000完成集成并拿到聯(lián)調(diào)測(cè)試確認(rèn)單(報(bào)告)D.以上都是(正確答案)7.控制寫入日志的信息，能夠有效的防護(hù)日志篡改問題，以下措施不正確的是（）。[單選題]*A.如果日志數(shù)據(jù)中包含輸入數(shù)據(jù)，應(yīng)對(duì)輸入數(shù)據(jù)進(jìn)行驗(yàn)證，禁止攻擊者能夠?qū)懭我獾臄?shù)據(jù)到日志中，應(yīng)該過濾掉換行符"%0d""\r""%0a""\n"B.對(duì)用戶輸入的數(shù)據(jù)寫入日志時(shí)只要做好了數(shù)據(jù)驗(yàn)證，可以不用設(shè)置日志文件的操作權(quán)限(正確答案)C.讓非授權(quán)用戶無法提升權(quán)限，或增加篡改日志文件的難度D.提升系統(tǒng)自身防護(hù)，防止非權(quán)限用戶入侵系統(tǒng)8.對(duì)錯(cuò)誤或者異常信息的處理不正確的選項(xiàng)是（）。[單選題]*A.提示信息越詳細(xì)越好，便于定位異常位置(正確答案)B.除了必要的注釋之外，將所有的調(diào)試語(yǔ)句刪除C.對(duì)返回客戶端的提示信息進(jìn)行轉(zhuǎn)換和格式化D.制作統(tǒng)一的出錯(cuò)提示頁(yè)面9.嚴(yán)禁將智能移動(dòng)終端如手機(jī)、平板電腦等以（）等方式非法接入分部?jī)?nèi)外網(wǎng)絡(luò)。[單選題]*A.使用網(wǎng)絡(luò)共享軟件B.修改克隆MAC地址C.使用wifi熱點(diǎn)D.以上均是(正確答案)10.信息內(nèi)外網(wǎng)之間要部署公司專用信息網(wǎng)絡(luò)（）。[單選題]*A.防火墻B.審計(jì)設(shè)備C.隔離裝置(正確答案)D.網(wǎng)關(guān)設(shè)備二、多選題（每題4分，共40分，每題選出正確的選項(xiàng)，多選或少選均不得分）1.國(guó)網(wǎng)信通產(chǎn)業(yè)集團(tuán)研發(fā)安全“十不放過”中違規(guī)外聯(lián)不放過的核心風(fēng)險(xiǎn)點(diǎn)是（）*A.禁止研發(fā)設(shè)備連通研發(fā)仿真環(huán)境及生產(chǎn)環(huán)境或互聯(lián)網(wǎng)環(huán)境(正確答案)B.禁止研發(fā)終端利用帶上網(wǎng)功能的第三方設(shè)備接入互聯(lián)網(wǎng)(正確答案)C.禁止開發(fā)環(huán)境、互聯(lián)網(wǎng)、工作網(wǎng)絡(luò)未進(jìn)行安全隔離(正確答案)D.禁止在互聯(lián)網(wǎng)提供服務(wù)的網(wǎng)絡(luò)和信息系統(tǒng)中存儲(chǔ)或運(yùn)行公司商業(yè)秘密數(shù)據(jù)2.下列那些數(shù)據(jù)屬于不可信來源數(shù)據(jù)（）*A.HTTP請(qǐng)求消息的全部字段(正確答案)B.第三方接口數(shù)據(jù)(正確答案)C.系統(tǒng)性能參數(shù)(正確答案)D.網(wǎng)絡(luò)服務(wù)(正確答案)3.國(guó)網(wǎng)信通產(chǎn)業(yè)集團(tuán)研發(fā)安全“十不放過”中違規(guī)部署不放過的核心風(fēng)險(xiǎn)點(diǎn)是（）*A.禁止將代碼或資料托管在百度云等網(wǎng)盤或Github等第三方代碼托管平臺(tái)(正確答案)B.禁止在阿里云、騰訊云等互聯(lián)網(wǎng)公有云、其他社會(huì)平臺(tái)部署信息系統(tǒng)或研發(fā)測(cè)試系統(tǒng)(正確答案)C.禁止未建立代碼內(nèi)部審查工作機(jī)制D.禁止未建立內(nèi)部測(cè)試工作機(jī)制4.國(guó)網(wǎng)信通產(chǎn)業(yè)集團(tuán)研發(fā)安全“十不放過”是哪十條？（）*A.違規(guī)外聯(lián)不放過(正確答案)B.數(shù)據(jù)外泄不放過(正確答案)C.私設(shè)后門不放過(正確答案)D.違規(guī)授權(quán)不放過(正確答案)E.違規(guī)部署不放過(正確答案)F.責(zé)任不清不放過(正確答案)G.安防不到位不放過(正確答案)H.管理不規(guī)范不放過(正確答案)I.違規(guī)發(fā)布不放過(正確答案)J.違規(guī)外包不放過(正確答案)5.開發(fā)過程中怎么預(yù)防敏感數(shù)據(jù)泄露（）*A.集中開發(fā)，內(nèi)外網(wǎng)隔離(正確答案)B.物理隔離，嚴(yán)禁U盤存儲(chǔ)介質(zhì)(正確答案)C.做好敏感數(shù)據(jù)宣傳，加強(qiáng)開發(fā)人員對(duì)敏感數(shù)據(jù)處理的意識(shí)(正確答案)D.建立獎(jiǎng)懲機(jī)制，對(duì)于違反規(guī)定的開發(fā)人員進(jìn)行警告等處理(正確答案)6.項(xiàng)目組成員應(yīng)遵守以下哪些規(guī)定（）*A.禁止在生產(chǎn)環(huán)境部署開發(fā)測(cè)試類程序(正確答案)B.不得隨意訪問生產(chǎn)環(huán)境(正確答案)C.將開發(fā)過程中程的測(cè)試程序發(fā)布到生產(chǎn)環(huán)境D.不得隨意變更已上線的各類應(yīng)用系統(tǒng)(正確答案)7.為保證項(xiàng)目組程序與上線部署在生產(chǎn)環(huán)境程序版本的一致性，應(yīng)遵守以下哪些項(xiàng)目測(cè)試上線流程（）*A.項(xiàng)目組自行確認(rèn)程序版本一致性，并部署到生產(chǎn)環(huán)境B.項(xiàng)目組提交待測(cè)試的部署包(正確答案)C.電科院測(cè)試通過后，將部署包內(nèi)的非配置類文件，如html、js、class等進(jìn)行簽名，生成簽名文件(正確答案)D.項(xiàng)目組根據(jù)電科院頒發(fā)證書，對(duì)war包中的文件進(jìn)行校驗(yàn)E.項(xiàng)目組將部署包提交信通公司，準(zhǔn)備上線，信通公司根據(jù)電科院頒發(fā)的公鑰證書，校驗(yàn)(正確答案)F.驗(yàn)證結(jié)果被篡改，退回項(xiàng)目組，禁止上線；驗(yàn)證結(jié)果未被篡改，項(xiàng)目組上線實(shí)施8.信息系統(tǒng)的開發(fā)建設(shè)應(yīng)嚴(yán)格遵循審查通過的安全防護(hù)方案、概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)，由承建單位的研發(fā)安全管控部門進(jìn)行監(jiān)管，在出廠測(cè)試、第三方安全測(cè)試和上線安全測(cè)試時(shí)，（）將作為檢測(cè)依據(jù)。*A.安全防護(hù)方案(正確答案)B.概要設(shè)計(jì)(正確答案)C.詳細(xì)設(shè)計(jì)D.需求設(shè)計(jì)9.應(yīng)用軟件系統(tǒng)應(yīng)設(shè)置獨(dú)立的系統(tǒng)管理員角色、審計(jì)管理員角色、業(yè)務(wù)配置員角色，其中（）角色應(yīng)為系統(tǒng)內(nèi)置角色。*A.系統(tǒng)管理員(正確答案)B.審計(jì)管理員(正確答案)C.業(yè)務(wù)配置員D.系統(tǒng)審核員10.關(guān)于日志處理，以下哪些描述是正確的？（）*A.日志的信息避免頻繁寫入，需控制日志輸出等級(jí)(正確答案)B.如果日志數(shù)據(jù)中包含輸入數(shù)據(jù)，應(yīng)對(duì)輸入數(shù)據(jù)進(jìn)行驗(yàn)證，禁止攻擊者寫任意的數(shù)據(jù)到日志中(正確答案)C.日志文件中禁止記錄敏感信息(正確答案)D.日志文件中可以記錄敏感信息三、判斷題（每題2分，共20分）1.依據(jù)《國(guó)家電網(wǎng)公司關(guān)于深入推進(jìn)信息系統(tǒng)研發(fā)安全工作的通知》（國(guó)家電網(wǎng)信通〔2013〕740號(hào)）、《國(guó)家電網(wǎng)公司信息系統(tǒng)研發(fā)與實(shí)施管理辦法》等規(guī)章制度要求及相關(guān)規(guī)定，對(duì)集團(tuán)研發(fā)安全工作從項(xiàng)目的規(guī)劃、可研、需求、設(shè)計(jì)、開發(fā)、測(cè)試、上線、運(yùn)行到下線的全生命周期階段進(jìn)行全面管理。（）[單選題]*A.正確(正確答案)B.錯(cuò)誤2.信息系統(tǒng)上線前，應(yīng)刪除臨時(shí)賬號(hào)、臨時(shí)數(shù)據(jù)，并修改系統(tǒng)賬號(hào)默認(rèn)口令。信息系統(tǒng)的過期賬號(hào)及其權(quán)限應(yīng)及時(shí)注銷或調(diào)整。信息設(shè)備變更用途或下線，應(yīng)擦除或銷毀其中數(shù)據(jù)。（）[單選題]*A.正確(正確答案)B.錯(cuò)誤3.在項(xiàng)目設(shè)計(jì)階段，研發(fā)項(xiàng)目組應(yīng)組織進(jìn)行信息安全防護(hù)專項(xiàng)設(shè)計(jì)，對(duì)于重要系統(tǒng)應(yīng)形成包含總體部署架構(gòu)、風(fēng)險(xiǎn)分析、防護(hù)目標(biāo)、邊界、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等防護(hù)措施的專項(xiàng)信息安全防護(hù)方案，并確保滿足安全需求。（）[單選題]*A.正確(正確答案)B.錯(cuò)誤4.網(wǎng)絡(luò)安全“十不準(zhǔn)中”，網(wǎng)絡(luò)U盤未經(jīng)安全檢查，嚴(yán)禁使用。（）[單選題]*A.正確(正確答案)B.錯(cuò)誤5.電科院測(cè)試項(xiàng)目組提交的部署包通過后，將部署包內(nèi)所有文件生成簽名文件。（）[單選題]*A.正確B.錯(cuò)誤(正確答案)6.程序默認(rèn)情況下應(yīng)對(duì)所有的輸入信息進(jìn)行驗(yàn)證，不能通過驗(yàn)證的數(shù)據(jù)應(yīng)予以拒絕。如HTTP請(qǐng)求消息的全部字段、不可信來源的文件、第三方接口數(shù)據(jù)、從數(shù)據(jù)庫(kù)中檢索出的數(shù)據(jù)等。（）[單選題]*A.正確(正確答案)B.錯(cuò)誤7.進(jìn)行第三方提測(cè)申請(qǐng)時(shí)，ISC集成測(cè)試報(bào)告需提交由項(xiàng)目經(jīng)理簽字確認(rèn)的紙質(zhì)版，且必須于測(cè)試開始前提交。（）[單選題]*A.正確(正確答案)B.錯(cuò)誤8.第三方測(cè)試在測(cè)試前要提交評(píng)審?fù)ㄟ^的防護(hù)方案，