^{<blockquote id="qaqnm"></blockquote>}

信息系統應用安全基線要求培訓考試

您的部門：

您的姓名：

1、根據信息系統應用安全基線要求，用戶名唯一性判斷的實現位置應為？

僅在瀏覽器端實現僅在客戶端實現必須在服務器端實現瀏覽器端和服務器端均可

2、以下哪項不應作為特權賬號名稱使用？

administratorapp_admin_2024system_managersec_admin_888

3、一般口令（含初始口令、默認口令）的最小長度要求是？

6位8位10位12位

4、等保三級及以上系統的重要口令長度要求是？

8位以上10位以上12位以上16位以上

5、密碼應包含以下哪些字符組合？

僅數字僅字母大小字母、數字、特殊字符中的兩種或兩種以上僅特殊字符

6、以下哪種密碼符合安全要求？

11111111abcdefghAdefmin@2024password

7、以下哪種密碼存儲方式是允許的？

明文存儲未加鹽的MD5加密存儲加鹽的SHA256加密存儲簡單BASE64編碼存儲

8、登錄密碼在傳輸過程中的正確處理方式是？

明文傳輸采用加密傳輸僅在客戶端加密使用BASE64編碼傳輸

9、關于短信驗證碼，以下說法正確的是？

必須加密傳輸不需要設置有效期可以不加密，但要設置有效期有效期應設置為24小時

10、用戶輸入密碼時，屏幕顯示應采用哪種方式？

明文完整顯示用*號或其他符號隱藏顯示顯示前半部分字符顯示后半部分字符

11、關于管理賬號密碼，以下要求正確的是？

可以使用弱口令不需要定期更換沒有弱口令，上線前已刪除測試賬號可以與普通用戶密碼相同

12、當密碼不符合強口令規則時，系統應如何處理？

直接允許使用進行提醒但仍允許使用進行提醒且不允許使用自動修改密碼

13、當密碼與賬戶名相同時，系統應？

允許使用提醒用戶但允許使用提醒用戶且不允許使用自動修改賬戶名

14、服務器端判斷密碼強度時，不需要檢測的字符集是？

數字字符集字母字符集特殊字符集表情符號字符集

15、系統應具備什么功能來防范特權賬號風險？

判斷用戶ID是否為容易猜解特權ID的功能允許隨意創建特權ID不限制特權ID的使用隱藏特權ID的存在

16、系統應具備的會話控制基本功能是？

會話時長無限制會話時長限制功能僅客戶端限制會話時長會話超時后自動登錄

17、會話實例單例控制功能的作用是？

允許同一賬號同時在多個終端登錄限制同一賬號同時在多個終端登錄允許無限創建會話實例不限制會話實例數量

18、會話注銷時，系統應立即執行的操作是？

僅關閉瀏覽器窗口清理當前用戶會話，并記錄日志保留會話信息以便下次使用僅通知用戶已注銷

19、會話超時后，系統正確的處理方式是？

保持會話狀態自動退出登錄并清理會話允許繼續操作無需重新登錄僅在客戶端清理會話

20、關于會話標識，以下做法正確的是？

使用固定的會話標識每次登錄生成新的會話標識會話標識可以明文傳輸會話標識不需要加密存儲

21、系統應提供的用戶身份賬戶管理機制不包括？

用戶注冊用戶登錄用戶權限修改允許匿名訪問所有功能

22、關于身份信息變動，系統應？

不記錄變動歷史記錄身份信息的變動歷史，并監控賬戶狀態僅記錄部分變動歷史記錄后可隨意刪除

23、系統應支持的訪問控制粒度級別是？

僅功能級功能級、菜單級和數據級僅數據級不需要細粒度控制

24、以下哪種措施不能防范未認證訪問？

細粒度訪問控制匿名訪問開放所有接口接口訪問身份驗證頁面訪問權限檢查

25、權限分配應遵循的基本原則是？

最小必要權限原則最大權限原則所有用戶相同權限隨意分配權限

26、用戶權限變更時，系統應？

無需審批直接變更經過審批流程并記錄日志僅管理員可隨意變更不記錄變更歷史

27、數據級訪問控制的目的是？

控制用戶訪問系統功能控制用戶訪問特定數據控制用戶登錄系統控制用戶使用菜單

28、關于訪問控制審計，以下要求正確的是？

不需要審計訪問控制操作審計訪問控制相關的關鍵操作審計記錄可隨意刪除僅審計成功的訪問操作

29、審計記錄內容不應包含以下哪項信息？

日期和時間主體標識客體標識用戶的私人聊天內容

30、系統應對哪些操作進行日志記錄？

僅用戶登錄操作關鍵操作與關鍵接口的調用僅用戶退出操作不需要記錄任何操作

31、審計日志的保存要求是？

可隨意刪除按規定期限保存，不可隨意刪除保存7天后自動刪除不需要長期保存

32、為保證審計日志完整性，不應采取的措施是？

日志加密存儲日志篡改檢測允許普通用戶修改日志日志備份機制

33、為防范緩沖區溢出，系統應對輸入數據進行哪些校驗？

僅校驗數據長度長度、邊界、數據范圍域等校驗僅校驗數據格式不需要校驗

34、以下哪種措施不能防范SQL注入攻擊？

使用參數化查詢輸入數據過濾直接拼接SQL語句使用ORM框架

35、防范XSS攻擊的有效措施是？

允許HTML標簽直接輸出對輸出數據進行編碼處理不限制用戶輸入內容關閉瀏覽器JavaScript功能

36、系統出錯時，向用戶顯示錯誤信息應遵循的原則是？

顯示詳細的錯誤堆棧信息顯示簡潔的用戶友好提示，不包含敏感信息不顯示任何錯誤信息顯示數據庫連接信息

37、完善的異常處理機制不應包含以下哪項？

捕獲并處理異常記錄異常日志忽略所有異常優雅地恢復系統狀態

38、輸入數據驗證的正確實現位置是？

僅客戶端驗證僅服務器端驗證客戶端和服務器端雙重驗證不需要驗證

39、文件上傳時，不需要進行的校驗是？

文件類型校驗文件大小校驗文件內容合法性校驗文件創建時間校驗

40、對外接口的容錯處理不應包括？

接口參數校驗超時重試機制不限制接口調用頻率錯誤碼規范

41、防范非法數據上傳時，不需要校驗的是？

文件的類型文件的格式文件的上傳位置文件的所有者姓名

42、防止任意文件下載的關鍵措施是？

允許用戶指定任意文件路徑限制下載文件的路徑范圍不驗證文件路徑參數直接使用用戶輸入的文件路徑

43、防范任意用戶密碼重置的有效措施是？

僅通過用戶名即可重置密碼多重身份驗證后重置密碼不驗證身份直接重置密碼重置鏈接長期有效

44、業務數據傳輸過程中應？

明文傳輸加密傳輸僅在內部網絡加密不需要保護

45、以下哪項不屬于業務邏輯漏洞防范措施？

業務流程完整性校驗關鍵操作二次確認不驗證業務狀態變更業務權限細粒度控制

46、關于系統關鍵信息保存，正確的做法是？

將配置文件保存于互聯網將軟件源碼保存于公開服務器不在互聯網保存系統關鍵信息將數據庫備份公開訪問

47、代碼注釋中不應包含的信息是？

代碼功能說明系統敏感信息代碼修改歷史算法說明

48、對微信小程序前端代碼應采取的安全措施是？

不進行任何處理進行代碼混淆明文發布代碼包含敏感信息在代碼中

49、使用第三方組件時，不需要進行的安全檢查是？

組件版本安全性組件是否存在已知漏洞組件的開發公司規模組件的授權許可

50、發現系統安全漏洞后，正確的處理流程是？

忽略漏洞不處理及時評估風險并制定修復方案僅在發生安全事件后修復公開漏洞詳情

更多問卷復制此問卷