<ol id="qaqnm"></ol>
<blockquote id="qaqnm"></blockquote>
<thead id="qaqnm"><rt id="qaqnm"><noscript id="qaqnm"></noscript></rt></thead>
深夜av在线免费观看,4hu44四虎www在线影院麻豆,日本欧美一区二区三区在线播放,一本精品99久久精品77,国产午夜亚洲精品国产成人,国产不卡一区二区四区,无码日韩精品一区二区三区免费,美女把尿囗扒开让男人添
信息系統(tǒng)應(yīng)用安全基線要求培訓(xùn)考試
您的部門:
您的姓名:
1、根據(jù)信息系統(tǒng)應(yīng)用安全基線要求,用戶名唯一性判斷的實(shí)現(xiàn)位置應(yīng)為?
僅在瀏覽器端實(shí)現(xiàn)
僅在客戶端實(shí)現(xiàn)
必須在服務(wù)器端實(shí)現(xiàn)
瀏覽器端和服務(wù)器端均可
2、以下哪項(xiàng)不應(yīng)作為特權(quán)賬號(hào)名稱使用?
administrator
app_admin_2024
system_manager
sec_admin_888
3、一般口令(含初始口令、默認(rèn)口令)的最小長(zhǎng)度要求是?
6位
8位
10位
12位
4、等保三級(jí)及以上系統(tǒng)的重要口令長(zhǎng)度要求是?
8位以上
10位以上
12位以上
16位以上
5、密碼應(yīng)包含以下哪些字符組合?
僅數(shù)字
僅字母
大小字母、數(shù)字、特殊字符中的兩種或兩種以上
僅特殊字符
6、以下哪種密碼符合安全要求?
11111111
abcdefgh
Adefmin@2024
password
7、以下哪種密碼存儲(chǔ)方式是允許的?
明文存儲(chǔ)
未加鹽的MD5加密存儲(chǔ)
加鹽的SHA256加密存儲(chǔ)
簡(jiǎn)單BASE64編碼存儲(chǔ)
8、登錄密碼在傳輸過程中的正確處理方式是?
明文傳輸
采用加密傳輸
僅在客戶端加密
使用BASE64編碼傳輸
9、關(guān)于短信驗(yàn)證碼,以下說法正確的是?
必須加密傳輸
不需要設(shè)置有效期
可以不加密,但要設(shè)置有效期
有效期應(yīng)設(shè)置為24小時(shí)
10、用戶輸入密碼時(shí),屏幕顯示應(yīng)采用哪種方式?
明文完整顯示
用*號(hào)或其他符號(hào)隱藏顯示
顯示前半部分字符
顯示后半部分字符
11、關(guān)于管理賬號(hào)密碼,以下要求正確的是?
可以使用弱口令
不需要定期更換
沒有弱口令,上線前已刪除測(cè)試賬號(hào)
可以與普通用戶密碼相同
12、當(dāng)密碼不符合強(qiáng)口令規(guī)則時(shí),系統(tǒng)應(yīng)如何處理?
直接允許使用
進(jìn)行提醒但仍允許使用
進(jìn)行提醒且不允許使用
自動(dòng)修改密碼
13、當(dāng)密碼與賬戶名相同時(shí),系統(tǒng)應(yīng)?
允許使用
提醒用戶但允許使用
提醒用戶且不允許使用
自動(dòng)修改賬戶名
14、服務(wù)器端判斷密碼強(qiáng)度時(shí),不需要檢測(cè)的字符集是?
數(shù)字字符集
字母字符集
特殊字符集
表情符號(hào)字符集
15、系統(tǒng)應(yīng)具備什么功能來(lái)防范特權(quán)賬號(hào)風(fēng)險(xiǎn)?
判斷用戶ID是否為容易猜解特權(quán)ID的功能
允許隨意創(chuàng)建特權(quán)ID
不限制特權(quán)ID的使用
隱藏特權(quán)ID的存在
16、系統(tǒng)應(yīng)具備的會(huì)話控制基本功能是?
會(huì)話時(shí)長(zhǎng)無(wú)限制
會(huì)話時(shí)長(zhǎng)限制功能
僅客戶端限制會(huì)話時(shí)長(zhǎng)
會(huì)話超時(shí)后自動(dòng)登錄
17、會(huì)話實(shí)例單例控制功能的作用是?
允許同一賬號(hào)同時(shí)在多個(gè)終端登錄
限制同一賬號(hào)同時(shí)在多個(gè)終端登錄
允許無(wú)限創(chuàng)建會(huì)話實(shí)例
不限制會(huì)話實(shí)例數(shù)量
18、會(huì)話注銷時(shí),系統(tǒng)應(yīng)立即執(zhí)行的操作是?
僅關(guān)閉瀏覽器窗口
清理當(dāng)前用戶會(huì)話,并記錄日志
保留會(huì)話信息以便下次使用
僅通知用戶已注銷
19、會(huì)話超時(shí)后,系統(tǒng)正確的處理方式是?
保持會(huì)話狀態(tài)
自動(dòng)退出登錄并清理會(huì)話
允許繼續(xù)操作無(wú)需重新登錄
僅在客戶端清理會(huì)話
20、關(guān)于會(huì)話標(biāo)識(shí),以下做法正確的是?
使用固定的會(huì)話標(biāo)識(shí)
每次登錄生成新的會(huì)話標(biāo)識(shí)
會(huì)話標(biāo)識(shí)可以明文傳輸
會(huì)話標(biāo)識(shí)不需要加密存儲(chǔ)
21、系統(tǒng)應(yīng)提供的用戶身份賬戶管理機(jī)制不包括?
用戶注冊(cè)
用戶登錄
用戶權(quán)限修改
允許匿名訪問所有功能
22、關(guān)于身份信息變動(dòng),系統(tǒng)應(yīng)?
不記錄變動(dòng)歷史
記錄身份信息的變動(dòng)歷史,并監(jiān)控賬戶狀態(tài)
僅記錄部分變動(dòng)歷史
記錄后可隨意刪除
23、系統(tǒng)應(yīng)支持的訪問控制粒度級(jí)別是?
僅功能級(jí)
功能級(jí)、菜單級(jí)和數(shù)據(jù)級(jí)
僅數(shù)據(jù)級(jí)
不需要細(xì)粒度控制
24、以下哪種措施不能防范未認(rèn)證訪問?
細(xì)粒度訪問控制
匿名訪問開放所有接口
接口訪問身份驗(yàn)證
頁(yè)面訪問權(quán)限檢查
25、權(quán)限分配應(yīng)遵循的基本原則是?
最小必要權(quán)限原則
最大權(quán)限原則
所有用戶相同權(quán)限
隨意分配權(quán)限
26、用戶權(quán)限變更時(shí),系統(tǒng)應(yīng)?
無(wú)需審批直接變更
經(jīng)過審批流程并記錄日志
僅管理員可隨意變更
不記錄變更歷史
27、數(shù)據(jù)級(jí)訪問控制的目的是?
控制用戶訪問系統(tǒng)功能
控制用戶訪問特定數(shù)據(jù)
控制用戶登錄系統(tǒng)
控制用戶使用菜單
28、關(guān)于訪問控制審計(jì),以下要求正確的是?
不需要審計(jì)訪問控制操作
審計(jì)訪問控制相關(guān)的關(guān)鍵操作
審計(jì)記錄可隨意刪除
僅審計(jì)成功的訪問操作
29、審計(jì)記錄內(nèi)容不應(yīng)包含以下哪項(xiàng)信息?
日期和時(shí)間
主體標(biāo)識(shí)
客體標(biāo)識(shí)
用戶的私人聊天內(nèi)容
30、系統(tǒng)應(yīng)對(duì)哪些操作進(jìn)行日志記錄?
僅用戶登錄操作
關(guān)鍵操作與關(guān)鍵接口的調(diào)用
僅用戶退出操作
不需要記錄任何操作
31、審計(jì)日志的保存要求是?
可隨意刪除
按規(guī)定期限保存,不可隨意刪除
保存7天后自動(dòng)刪除
不需要長(zhǎng)期保存
32、為保證審計(jì)日志完整性,不應(yīng)采取的措施是?
日志加密存儲(chǔ)
日志篡改檢測(cè)
允許普通用戶修改日志
日志備份機(jī)制
33、為防范緩沖區(qū)溢出,系統(tǒng)應(yīng)對(duì)輸入數(shù)據(jù)進(jìn)行哪些校驗(yàn)?
僅校驗(yàn)數(shù)據(jù)長(zhǎng)度
長(zhǎng)度、邊界、數(shù)據(jù)范圍域等校驗(yàn)
僅校驗(yàn)數(shù)據(jù)格式
不需要校驗(yàn)
34、以下哪種措施不能防范SQL注入攻擊?
使用參數(shù)化查詢
輸入數(shù)據(jù)過濾
直接拼接SQL語(yǔ)句
使用ORM框架
35、防范XSS攻擊的有效措施是?
允許HTML標(biāo)簽直接輸出
對(duì)輸出數(shù)據(jù)進(jìn)行編碼處理
不限制用戶輸入內(nèi)容
關(guān)閉瀏覽器JavaScript功能
36、系統(tǒng)出錯(cuò)時(shí),向用戶顯示錯(cuò)誤信息應(yīng)遵循的原則是?
顯示詳細(xì)的錯(cuò)誤堆棧信息
顯示簡(jiǎn)潔的用戶友好提示,不包含敏感信息
不顯示任何錯(cuò)誤信息
顯示數(shù)據(jù)庫(kù)連接信息
37、完善的異常處理機(jī)制不應(yīng)包含以下哪項(xiàng)?
捕獲并處理異常
記錄異常日志
忽略所有異常
優(yōu)雅地恢復(fù)系統(tǒng)狀態(tài)
38、輸入數(shù)據(jù)驗(yàn)證的正確實(shí)現(xiàn)位置是?
僅客戶端驗(yàn)證
僅服務(wù)器端驗(yàn)證
客戶端和服務(wù)器端雙重驗(yàn)證
不需要驗(yàn)證
39、文件上傳時(shí),不需要進(jìn)行的校驗(yàn)是?
文件類型校驗(yàn)
文件大小校驗(yàn)
文件內(nèi)容合法性校驗(yàn)
文件創(chuàng)建時(shí)間校驗(yàn)
40、對(duì)外接口的容錯(cuò)處理不應(yīng)包括?
接口參數(shù)校驗(yàn)
超時(shí)重試機(jī)制
不限制接口調(diào)用頻率
錯(cuò)誤碼規(guī)范
41、防范非法數(shù)據(jù)上傳時(shí),不需要校驗(yàn)的是?
文件的類型
文件的格式
文件的上傳位置
文件的所有者姓名
42、防止任意文件下載的關(guān)鍵措施是?
允許用戶指定任意文件路徑
限制下載文件的路徑范圍
不驗(yàn)證文件路徑參數(shù)
直接使用用戶輸入的文件路徑
43、防范任意用戶密碼重置的有效措施是?
僅通過用戶名即可重置密碼
多重身份驗(yàn)證后重置密碼
不驗(yàn)證身份直接重置
密碼重置鏈接長(zhǎng)期有效
44、業(yè)務(wù)數(shù)據(jù)傳輸過程中應(yīng)?
明文傳輸
加密傳輸
僅在內(nèi)部網(wǎng)絡(luò)加密
不需要保護(hù)
45、以下哪項(xiàng)不屬于業(yè)務(wù)邏輯漏洞防范措施?
業(yè)務(wù)流程完整性校驗(yàn)
關(guān)鍵操作二次確認(rèn)
不驗(yàn)證業(yè)務(wù)狀態(tài)變更
業(yè)務(wù)權(quán)限細(xì)粒度控制
46、關(guān)于系統(tǒng)關(guān)鍵信息保存,正確的做法是?
將配置文件保存于互聯(lián)網(wǎng)
將軟件源碼保存于公開服務(wù)器
不在互聯(lián)網(wǎng)保存系統(tǒng)關(guān)鍵信息
將數(shù)據(jù)庫(kù)備份公開訪問
47、代碼注釋中不應(yīng)包含的信息是?
代碼功能說明
系統(tǒng)敏感信息
代碼修改歷史
算法說明
48、對(duì)微信小程序前端代碼應(yīng)采取的安全措施是?
不進(jìn)行任何處理
進(jìn)行代碼混淆
明文發(fā)布代碼
包含敏感信息在代碼中
49、使用第三方組件時(shí),不需要進(jìn)行的安全檢查是?
組件版本安全性
組件是否存在已知漏洞
組件的開發(fā)公司規(guī)模
組件的授權(quán)許可
50、發(fā)現(xiàn)系統(tǒng)安全漏洞后,正確的處理流程是?
忽略漏洞不處理
及時(shí)評(píng)估風(fēng)險(xiǎn)并制定修復(fù)方案
僅在發(fā)生安全事件后修復(fù)
公開漏洞詳情
關(guān)閉
更多問卷
復(fù)制此問卷