信息系统应用安全基线要求培训考试
您的部门:
您的姓名:
1、根据信息系统应用安全基线要求,用户名唯一性判断的实现位置应为?
仅在浏览器端实现
仅在客户端实现
必须在服务器端实现
浏览器端和服务器端均可
2、以下哪项不应作为特权账号名称使用?
administrator
app_admin_2024
system_manager
sec_admin_888
3、一般口令(含初始口令、默认口令)的最小长度要求是?
6位
8位
10位
12位
4、等保三级及以上系统的重要口令长度要求是?
8位以上
10位以上
12位以上
16位以上
5、密码应包含以下哪些字符组合?
仅数字
仅字母
大小字母、数字、特殊字符中的两种或两种以上
仅特殊字符
6、以下哪种密码符合安全要求?
11111111
abcdefgh
Adefmin@2024
password
7、以下哪种密码存储方式是允许的?
明文存储
未加盐的MD5加密存储
加盐的SHA256加密存储
简单BASE64编码存储
8、登录密码在传输过程中的正确处理方式是?
明文传输
采用加密传输
仅在客户端加密
使用BASE64编码传输
9、关于短信验证码,以下说法正确的是?
必须加密传输
不需要设置有效期
可以不加密,但要设置有效期
有效期应设置为24小时
10、用户输入密码时,屏幕显示应采用哪种方式?
明文完整显示
用*号或其他符号隐藏显示
显示前半部分字符
显示后半部分字符
11、关于管理账号密码,以下要求正确的是?
可以使用弱口令
不需要定期更换
没有弱口令,上线前已删除测试账号
可以与普通用户密码相同
12、当密码不符合强口令规则时,系统应如何处理?
直接允许使用
进行提醒但仍允许使用
进行提醒且不允许使用
自动修改密码
13、当密码与账户名相同时,系统应?
允许使用
提醒用户但允许使用
提醒用户且不允许使用
自动修改账户名
14、服务器端判断密码强度时,不需要检测的字符集是?
数字字符集
字母字符集
特殊字符集
表情符号字符集
15、系统应具备什么功能来防范特权账号风险?
判断用户ID是否为容易猜解特权ID的功能
允许随意创建特权ID
不限制特权ID的使用
隐藏特权ID的存在
16、系统应具备的会话控制基本功能是?
会话时长无限制
会话时长限制功能
仅客户端限制会话时长
会话超时后自动登录
17、会话实例单例控制功能的作用是?
允许同一账号同时在多个终端登录
限制同一账号同时在多个终端登录
允许无限创建会话实例
不限制会话实例数量
18、会话注销时,系统应立即执行的操作是?
仅关闭浏览器窗口
清理当前用户会话,并记录日志
保留会话信息以便下次使用
仅通知用户已注销
19、会话超时后,系统正确的处理方式是?
保持会话状态
自动退出登录并清理会话
允许继续操作无需重新登录
仅在客户端清理会话
20、关于会话标识,以下做法正确的是?
使用固定的会话标识
每次登录生成新的会话标识
会话标识可以明文传输
会话标识不需要加密存储
21、系统应提供的用户身份账户管理机制不包括?
用户注册
用户登录
用户权限修改
允许匿名访问所有功能
22、关于身份信息变动,系统应?
不记录变动历史
记录身份信息的变动历史,并监控账户状态
仅记录部分变动历史
记录后可随意删除
23、系统应支持的访问控制粒度级别是?
仅功能级
功能级、菜单级和数据级
仅数据级
不需要细粒度控制
24、以下哪种措施不能防范未认证访问?
细粒度访问控制
匿名访问开放所有接口
接口访问身份验证
页面访问权限检查
25、权限分配应遵循的基本原则是?
最小必要权限原则
最大权限原则
所有用户相同权限
随意分配权限
26、用户权限变更时,系统应?
无需审批直接变更
经过审批流程并记录日志
仅管理员可随意变更
不记录变更历史
27、数据级访问控制的目的是?
控制用户访问系统功能
控制用户访问特定数据
控制用户登录系统
控制用户使用菜单
28、关于访问控制审计,以下要求正确的是?
不需要审计访问控制操作
审计访问控制相关的关键操作
审计记录可随意删除
仅审计成功的访问操作
29、审计记录内容不应包含以下哪项信息?
日期和时间
主体标识
客体标识
用户的私人聊天内容
30、系统应对哪些操作进行日志记录?
仅用户登录操作
关键操作与关键接口的调用
仅用户退出操作
不需要记录任何操作
31、审计日志的保存要求是?
可随意删除
按规定期限保存,不可随意删除
保存7天后自动删除
不需要长期保存
32、为保证审计日志完整性,不应采取的措施是?
日志加密存储
日志篡改检测
允许普通用户修改日志
日志备份机制
33、为防范缓冲区溢出,系统应对输入数据进行哪些校验?
仅校验数据长度
长度、边界、数据范围域等校验
仅校验数据格式
不需要校验
34、以下哪种措施不能防范SQL注入攻击?
使用参数化查询
输入数据过滤
直接拼接SQL语句
使用ORM框架
35、防范XSS攻击的有效措施是?
允许HTML标签直接输出
对输出数据进行编码处理
不限制用户输入内容
关闭浏览器JavaScript功能
36、系统出错时,向用户显示错误信息应遵循的原则是?
显示详细的错误堆栈信息
显示简洁的用户友好提示,不包含敏感信息
不显示任何错误信息
显示数据库连接信息
37、完善的异常处理机制不应包含以下哪项?
捕获并处理异常
记录异常日志
忽略所有异常
优雅地恢复系统状态
38、输入数据验证的正确实现位置是?
仅客户端验证
仅服务器端验证
客户端和服务器端双重验证
不需要验证
39、文件上传时,不需要进行的校验是?
文件类型校验
文件大小校验
文件内容合法性校验
文件创建时间校验
40、对外接口的容错处理不应包括?
接口参数校验
超时重试机制
不限制接口调用频率
错误码规范
41、防范非法数据上传时,不需要校验的是?
文件的类型
文件的格式
文件的上传位置
文件的所有者姓名
42、防止任意文件下载的关键措施是?
允许用户指定任意文件路径
限制下载文件的路径范围
不验证文件路径参数
直接使用用户输入的文件路径
43、防范任意用户密码重置的有效措施是?
仅通过用户名即可重置密码
多重身份验证后重置密码
不验证身份直接重置
密码重置链接长期有效
44、业务数据传输过程中应?
明文传输
加密传输
仅在内部网络加密
不需要保护
45、以下哪项不属于业务逻辑漏洞防范措施?
业务流程完整性校验
关键操作二次确认
不验证业务状态变更
业务权限细粒度控制
46、关于系统关键信息保存,正确的做法是?
将配置文件保存于互联网
将软件源码保存于公开服务器
不在互联网保存系统关键信息
将数据库备份公开访问
47、代码注释中不应包含的信息是?
代码功能说明
系统敏感信息
代码修改历史
算法说明
48、对微信小程序前端代码应采取的安全措施是?
不进行任何处理
进行代码混淆
明文发布代码
包含敏感信息在代码中
49、使用第三方组件时,不需要进行的安全检查是?
组件版本安全性
组件是否存在已知漏洞
组件的开发公司规模
组件的授权许可
50、发现系统安全漏洞后,正确的处理流程是?
忽略漏洞不处理
及时评估风险并制定修复方案
仅在发生安全事件后修复
公开漏洞详情
关闭
更多问卷
复制此问卷