新员工特训营-MAG网络安全(关联转正考试:网络安全考试)

这篇具有很好参考价值的文章主要介绍了新员工特训营-MAG网络安全(关联转正考试:网络安全考试)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

国内某知名外包公司在给荣耀终端公司代招的新员工入职考试之一:MAG网络安全

\1.在对称密钥密码体制中,加、解密双方的密钥( ):

双方拥有相同的密钥

\2. 以下哪个是端口扫描工具( ):

Nmap

\3.[单选题] 0/2

以下关于有加密算法及密钥描述,正确的是( ):

在敏感数据的安全传输上,优先使用业界的标准安全协议,并确保密钥可配置。

\4.[单选题] 0/2

以下对敏感数据存储采取的措施,不合理的是( D):

A:禁止在cookie中以明文存放敏感数据。

B:禁止将敏感数据以明文存放在隐藏域中。

C:禁止将敏感数据存储在代码中。

D:将密钥或口令存放在数据库文件中。

\5. [单选题] 0/2

以下对Web安全描述错误的是( D ):

A:在Web应用认证中,可以通过验证码或者多次连续尝试登录失败后锁定帐号或IP来防暴力破解。

B:用户产生的数据要在服务端进行校验。

C:数据在输出到客户端前必须先进行HTML编码,以防止执行恶意代码、跨站脚本攻击。

D:如采用多次连续尝试登录失败后锁定帐号或IP的方式,需支持连续登录失败锁定策略的“允许连续失败的次数”可固定为一个合理的次数。

\6. [单选题] 0/2

下列属于安全总体要求中A类的是( B ):

A:口令安全。

B:访问通道控制。

C:安全资料。

D:web应用安全。

\7. [单选题] 2/2

下列对通讯矩阵描述错误的是( A ):

A:通讯矩阵文档只用于提供给客户用于端口业务用途的自我澄清。

B:通讯矩阵文档并已纳入到产品资料清单中,需要随产品正式发布。

C:通信矩阵中所描述的所有端口都是系统运行和维护所必需的,且描述正确。

D:通信矩阵中描述的侦听接口须明确限定在一个合理的范围之内,并与实际的动态侦听接口范围保持一致。

\8. [单选题] 2/2

未公开接口引起的风险,以下说法正确的是( ):

D:未公开接口容易被客户质疑为产品后门,且容易被恶意攻击者利用,从而增加我司产品的安全风险。

\9. [单选题] 0/2

网络级安全所面临的主要攻击是( C ):

A:自然灾害。

B:网络应用软件的缺陷。

C:窃听、欺骗。

D:盗窃。

\10. [单选题] 2/2

数据信息是否被篡改由哪些技术来判断( D ):

A:身份识别技术

B:入侵检测技术

C:访问控制技术

D:数据完整性控制技术

\11. [单选题] 2/2

敏感数据保护主要是加强哪些方面的保护( D ):

A:通过认证、授权和加密机制加强敏感数据的访问安全。

B:通过加密保护加强系统对敏感数据的存储的安全。

C:通过安全传输通道加强敏感数据在非信任网络之间进行传输安全。

D:以上都是。

\12. [单选题] 2/2

关于连接数据库系统的帐号,以下说法正确的是( D )

A:无所谓,高级别和低级别帐号都行。

B:可以使用高级别权限帐号。

C:可以使用sa等管理帐号。

D:尽可能使用低级别权限帐号。

\13. [单选题] 2/2

关于口令复杂度要求,以下说法正确的是( B ):

B:口令不能和帐号或者帐号的逆序相同。

\14. [单选题] 2/2

对于日志安全设计规则描述中,不包括下列那一项 ( A ):

A:应该开放对安全日志的访问

B:系统必须对安全事件及操作事件进行日志记录

C:对日志模块占有资源有可配置的限制机制

D:安全事件的结果,不管成功还是失败,都要记录日志

\15. [单选题] 2/2

对用户面与管理面的隔离,下列哪个说法错误的( A ):

A:可以通过认证及权限控制来实现用户面与管理面的隔离。

B:可以通过防火墙来实现用户面与管理面的隔离。

C:可以通过VLAN方式来实现用户面与管理面的隔离。

D:可以通过ACL方式来实现用户面与管理面的隔离。

\16. [单选题] 2/2

对系统管理及维护安全描述正确的是( D ):

A:管理面所有的用户活动、操作指令必须记录日志,日志内容要能支撑事后的审计。

B:系统的管理平面和近端维护终端、网管维护终端间,支持使用合适的安全协议。

C:系统自身操作维护类口令满足“口令安全要求”。

D:以上都是。

\17. [单选题] 2/2

对日志审计描述正确的是( D ):

A:详细的日志记录一方面可以帮助客户撇清与我方不相关的责任(如运营商的失误),也可以帮助回溯历史操作,提高现网问题定位的效率。

B:日志记录是安全事件中事后追溯,定位问题原因及划分事故责任的重要手段。

C:管理面所有的用户活动、操作指令必须记录日志,日志内容要能支撑事后的审计。

D:以上都是。

\18. [单选题] 0/2

对合作方产品满足网络安全总体要求,下面那个说法正确的( B ):

A:所有合作方新立项产品版本优先满足A类要求。

B:所有合作方产品现有版本需在2013年底前满足全部安全要求。

C:所有合作方产品现有版本需在2012年之前满足A类安全要求。

D:所有合作方产品现有版本可以保持现状,不对安全要求进行整改。

\19. [单选题] 2/2

对管理访问通道安全要求,下面说法正确的是( D ):

D:设备外部可见的管理访问通道需要有接入认证机制。

\20. [单选题] 2/2

对操作系统安全,下面说法正确的是( D ):

D:操作系统安全中要求使用Nessus等漏洞扫描软件进行安全扫描,不存在高风险级别的漏洞。


多选题

\21. [多选题] 0/2

下列哪些属于需要记录在日志中的管理层活动?( AB,CD )

A:登录和注销

B:用户的锁定和解锁,禁用和恢复

C:对系统进行启动、关闭、重启、暂停、恢复、倒换

D:所有帐户的命令行操作命令

\22. [多选题] 2/2

下列哪些属于Web安全要求?( ABCD ):

A:认证模块必须采用防暴力破解机制。

B:对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作,以防止URL越权。

C:登录过程中,往服务器端传递用户名和口令时,必须采用HTTPS安全协议也就是带服务器端证书的SSL),只提供本机接入、登录,做设备管理使用的场景暂时不要求。

D:使用主流Web安全扫描工具扫描Web服务器和Web应用,不存在“高”级别的漏洞。

\23. [多选题] 0/2

未公开接口主要指以下哪几类接口( CD ):

A:用于系统管理功能的接口。

B:用于产品内部测试阶段使用,但在正式发布中已删除的接口。

C:因受限使用而隐藏或未文档化的命令/参数/端口。

D:绕过安全鉴权机制访问系统的接口

\24. [多选题] 0/2

为了保证操作系统的安全,除了设置用户口令和控制文件的使用权限,还需要采取哪些措施? ( BC ):

A:设备的完整性

B:防病毒

C:定期检查安全日志和系统状态

D:关键设备的隔离

\25. [多选题] 2/2

管理平面的接口的访问保护主要有哪些要求( ABCD):

A:系统的管理功能和业务功能应能够分别部署在不同的主机上。

B:系统的管理功能和业务功能如果部署在同一主机上,应能够分别绑定不同的IP地址或不同的端口。

C:通过安全域划分、防火墙访问控制,最终用户不能访问管理接口。

D:所有能对系统进行管理的逻辑通信端口及协议都需具备接入认证机制(协议标准定义中无认证机制的除外)。

\26. [多选题] 2/2

关于口令安全,描述正确的是( ABCD ):

A:口令不能在网络中明文传输,口令等认证凭证在传输过程中必须加密,使用高安全等级的加密算法

B:用户可修改自己的口令,需满足如下要求:1) 用户修改自己口令时必须验证旧口令;2) 不允许修改除自身帐号以外的帐号的口令(管理员除外)

C:操作界面中的口令不能明文显示

D:口令输入框不支持拷贝功能

\27. [多选题] 2/2

对用户产生的数据必须在服务端进行校验,下面说法正确的是( ABCD ):

A:如果对用户产生的数据放到客户端校验,容易被绕过,校验如同虚设,恶意用户可以随意构造数据。

B:防止跨站脚本攻击。

C:防止执行恶意代码。

D:防止SQL注入、命令注入、缓冲区溢出等。

\28. [多选题] 0/2

对系统所有对外通讯连接必须是系统必须的理解正确的是( ACD ):

A:系统指交付给客户运行的整体系统,包括自研的软件、软件运行的操作系统及应用服务在内。

B:系统对外通讯连接是指基于TCP等连接协议建立的管理连接。

C:平台应通过解耦降低端口间的耦合关系,以便产品按需选择端口。

D:产品在设计时要遵循端口最小开放原则,非业务以及维护需要的端口应默认关闭。

\29. [多选题] 0/2

对提供合法监听接口的产品版本的要求,以下说法正确的是?( CD )

A:产品提供软件安装包拆分为:基本软件安装包和合法监听插件安装包。根据市场的安全要求,选择是否安装合法监听插件安装包

B:产品提供两个版本的软件安装包:一个支持合法监听,一个不支持合法监听。根据市场的安全要求,选择对应的软件安装包进行部署

C:产品可以通过License控制带合法监听接口的版本在某个地区或国家销售或使用

D:必须通过版本隔离确保版本中只存在符合当地合法监听接口标准的代码

\30. [多选题] 2/2

产品开发、发布和安装安全要求正确的是( ABCD ):

A:禁止存在任何“未公开接口”。

B:合作方需在产品资料中公开人机交互接口、与第三方系统对接接口(推荐通过技术手段限制第三方只能访问业务必须的端口)、需经常人工改动的配置文件等。

C:内部通信的机机接口应能够通过安全的综合手段保障(如组网等),不需要公开,但需要在资料说说明安全保障手段。

D:在软件包(含补丁包)发布前,需要经过至少一款主流防病毒软件扫描,保证防病毒软件不产生告警,特殊情况下对告警作出解释说明。扫描记录(防病毒软件名称、软件版本、病毒库版本、扫描时间、扫描结果等)存档并随软件包(含补丁包)发布给客户。

\31. [多选题] 0/2

在网络安全总体要求中,下面属于B类安全要求的是( ACD ):

A:协议防攻击

B:软件完整性保护

C:操作系统加固与防病毒

D:web应用安全

\32. [多选题] 2/2

在口令安全要求中,系统可以通过如下那几种方式提供解锁用户的机制( ABC ):

A:在锁定时间内,仅能允许应用安全管理员角色所属帐号手动解锁该用户

B:用户被锁时间达到预定义时间,可自动解锁该用户,或者也可通过安全管理员手工解锁该用户

C:对于口令尝试N次失败被锁定的用户,系统要能够设置自动解锁时间。

D:被锁用户通过进行密码修改来达到自动解锁

\33. [多选题] 0/2

应用层主要的安全需求是( ABC ):

A:身份认证

B:访问控制

C:防止物理破坏

D:防止人为攻击

34. [多选题] 2/2

以下针对数据库安全说法正确的是( ABC ):

A:数据库若存在多个默认帐号,必须将不使用的帐号禁用或删除。

B:使用主流的系统扫描软件进行安全扫描,不存在“高”级别的漏洞。

C:使用单独的操作系统帐号来运行数据库,数据库中的敏感文件,需要严格控制访问权限。

D:数据库口令可以使用数据库厂商的缺省口令。

\35. [多选题] 0/2

以下哪些属于监听接口安全要求( ABC ):

A:在正常业务流程和标准协议之外,禁止提供采集最终用户原始通信内容(语音类、短信/彩信类、传真类、数据业务类)的功能,即使出于保障网络运营和服务目的

B:在没有客户明确需求的情况下,严禁开发具有监听性质的功能和接口,无论该功能和接口是否要遵循相应的国家标准和国际标准

C:在客户对合法监听接口有需求的情况下,合作方需根据客户提供的监听功能或接口的文件中的要求开发

D:系统支持无法从用户面直接登陆连接管理接口(不支持独立的管理IP地址的产品除外)

\36. [多选题] 0/2

以下关于通讯矩阵描述正确的是( ABC ):

A:业务部署形态不一样,配置也不一样,开放的端口也不一样,通讯矩阵仅仅需要记录业务系统对外的端口。

B:通讯矩阵可以指导现网防火墙的配置。

C:通讯矩阵还可以用作产品端口业务用途的自我澄清。

D:动态监听接口可以不在通讯矩阵中进行描述。

\37. [多选题] 0/2

下面哪些安全保护是针对敏感数据的?( ABCD )

A:口令不明文存储在系统中,通过加密进行保护。

B:对银行账号等敏感数据的访问要有认证、授权和加密机制。

C:在非信任网络之间进行敏感数据(包括口令,银行帐号,批量个人数据等)的传输须采用安全传输通道或者加密后传输,有标准协议规定除外。

D:系统的管理平面和近端维护终端(如LMT)、网管维护终端间,支持使用合适的安全协议进行通信。

\38. [多选题] 2/2

下列协议哪些属于安全访问协议?( ABC ):

A:SSL

B:SFTP

C:IPSec

D:HTTP

\39. [多选题] 0/2

下列属于安全资料内容的是( ACD ):

A:产品防病毒、加固指南

B:产品安装指南

C:产品安全维护手册

D:产品安全特性描述

\40. [多选题] 0/2

下列那些行为是属于对操作系统进行安全保护的?( ABCD ):

A:使用主流漏洞扫描软件对操作系统进行安全扫描,不存在高风险级别的漏洞。

B:对操作系统进行加固。

C:对操作系统进行防病毒扫描及兼容性测试,扫描结果随版本发布。

D:操作系统打安全补丁。


\41. [判断题] 1/1

客户网络安全红线总体要求分A类及B类,其中A类属于产品核心功能,如果没有此功能产品不可用或存在重大安全隐患。

A:正确

\42. [判断题] 1/1

对于合作方的产品要求,新立项的产品版本可以优先满足网络安全总体要求中A类要求,B类要求可以暂时不满足;

B:错误文章来源地址https://www.toymoban.com/news/detail-449246.html

\43. [判断题] 1/1

Web安全中,验证码可以多次使用,新的连接可以不需要重新生成新的验证码;

B:错误

\44. [判断题] 1/1

在非对称密钥密码体制中,发信方与收信方使用不同的密钥;

A:正确

\45. [判断题] 0/1

对于涉及产品知识产权、高危操作、可外部调用的内部接口等不期望向所有客户人员公开的内容,不能通过任何方式向客户公开;

B:错误

\46. [判断题] 1/1

计算机系统的脆弱性主要来自于网络操作系统的不安全性;

A:正确

\47. [判断题] 1/1

操作系统中超级用户和普通用户的访问权限没有差别;

B:错误

\48. [判断题] 1/1

保护帐户、口令和控制访问权限可以提高操作系统的安全性;

A:正确

\49. [判断题] 1/1

管理通道安全主要是系统支持对管理平面的接口的访问保护;

A:正确

\50. [判断题] 1/1

操作系统安全只要求对系统进行防病毒处理;

B:错误

\51. [判断题] 1/1

定期检查操作系统的安全日志和系统状态可以有助于提高操作系统安全;

A:正确

\52. [判断题] 0/1

对操作系统的防病毒处理中,只要合作方使用主流防病毒软件,客户可以以合作方的扫描结果为准;

B:错误

\53. [判断题] 0/1

登录过程中,往服务器端传递用户名和口令时,任何场景下都需要采用HTTPS安全协议;

B:错误

\54. [判断题] 0/1

Web应用中,对用户的认证可以在客户端进行,也可以在服务端集中进行;

B:错误

\55. [判断题] 0/1

用作内部测试使用的接口,只要不在资料中公开,可以在产品正式发布中保留;

B:错误

\56. [判断题] 0/1

只要进行严格测试且有完整的测试数据及报告,产品中可以使用私有加密算法;

B:错误

\57. [判断题] 1/1

用于敏感数据传输加密的密钥,可以硬编码在代码中;

B:错误

\58. [判断题] 1/1

只要控制日志、话单等文件的访问权限,可以在日志、话单等文件中可以记录口令、银行账号等敏感数据;

B:错误

\59. [判断题] 1/1

GDPR(General Data Protection Regulation)是欧盟制定统一数据保护法,不遵守GDPR,将导致罚款:高达2000万欧元或公司全球总营业额4%(以较大者为准)。

A:正确

\60. [判断题] 0/1

只要遵循国际标准及所在国的法律要求,合作方可以在产品中提供合法监听接口及能力;

B:错误

到了这里,关于新员工特训营-MAG网络安全(关联转正考试:网络安全考试)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 软通动力新员工转正考试-新员工转正考试题

    [单选题] 10/10 根据《软通动力控贪反腐条例》处罚腐败的种类包括()。①记过、降级②降职、撤职、留用察看③责令辞职、开除④经济处罚 A:①②③ B:②③④ C:①③④ D:①②③④ 您的答案:D [单选题] 10/10 公司廉洁奖励,奖励的行为包括员工上交的包括()等形式商业贿赂

    2024年02月04日
    浏览(41)
  • CTF/AWD竞赛标准参考书+实战指南:《AWD特训营》

    随着网络安全问题日益凸显,国家对网络安全人才的需求持续增长,其中,网络安全竞赛在国家以及企业的人才培养和选拔中扮演着至关重要的角色。 在数字化时代,企业为了应对日益增长的攻击威胁,一般都在大量部署安全产品、安全设备,忙于查看各种安全设备、安全运

    2024年02月08日
    浏览(46)
  • 腾讯重磅技术创作特训营:创作避坑与AI提效指南 | 分享抽键盘长鹅

    技术创作的道路总是伴随着无数的问题,为何而作?写在哪里?写什么?这些问题构成了各式各样的「坑」,令技术创作者避之不及。而随着今年 AIGC 能力的爆发,借助 AI 来辅助创作,似乎提供了解答这些问题的新方案。但新的问题也接踵而至,AI+技术创作应该如何使用才能

    2024年02月08日
    浏览(43)
  • 外包能转正吗?外包员工能变正式员工吗?

    外包员工能变正式员工吗?这里辟谣一波,许多外包都说有转正机会。实际情况是几乎等于零。其中,三方外包更是可以直接和零划等号。三方外包的转正,往往就是给个内推机会,然后和面试官会熟悉一些。 然而这些都没什么价值。内推的机会,简直不要太好找的说。现在

    2024年02月11日
    浏览(52)
  • [管理与领导-59]:IT基层管理者 - 辅助技能 - 2 - 进行员工转正手续与面谈?

    目录 一、员工员工转正手续 二、试用期绩效评估 三、试用期评估指标(转正申请) 四、研发工位试用期评估指标 五、员工转正面谈 员工转正手续可能因所在国家和公司政策而有所不同,以下是一般情况下的员工转正手续: 评估员工表现: 在试用期结束前, 人力资源部或

    2024年02月11日
    浏览(38)
  • 网络安全引言(网络安全概述、计算机安全、OSI安全体系、网络安全模型)

    1.1 网络中的“安全”问题 信息安全经历两大变革: 从物理和管理方法 转变成 自动化工具保护信息安全 终端普遍使用 网络传输数据并保证数据安全 网络中的“安全”问题 监听 截获 篡改 假冒 假冒网点 Email截取 否认 1.2 网络安全定义 网络安全是一个跨多门学科的综合性科

    2024年02月19日
    浏览(50)
  • 网络安全与IP安全网络安全

    网络安全 是指网络系统的硬件,软件以及系统中的数据收到的保护。 保护的基本属性为:机密性,身份认证,完整性和可用性; 基本特征:相对性,时效性,相关性,不确定性,复杂性和重要性。 在该方向主要研究如下领域: 入侵者如何攻击网络, 如何防护网络对抗攻击

    2024年02月04日
    浏览(48)
  • 信息安全:网络安全体系 与 网络安全模型.

    网络安全保障是一项复杂的系统工程,是安全策略、多种技术、管理方法和人员安全素质的综合。一般而言,网络安全体系是网络安全保障系统的最高层概念抽象,是由各种网络安全单元按照一定的规则组成的,共同实现网络安全的目标。网络安全体系包括法律法规政策文件

    2024年02月15日
    浏览(52)
  • 【网络安全】-网络安全行业介绍

    网络安全,也称为信息技术安全,是保护计算机系统和网络不受信息泄露、盗窃或损坏以及硬件、软件或电子数据不受干扰或破坏的实践。现代社会对网络安全的需求越来越高,这是因为我们的个人、政府和企业活动越来越多地依赖于数字化网络。 数据保密性 :确保只有授

    2024年02月05日
    浏览(49)
  • 网络安全(网络安全)小白自学

    想自学网络安全(黑客技术)首先你得了解什么是网络安全!什么是黑客! 网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。 无论网络、Web、移动、桌面、

    2024年02月05日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包