1
您的位置: 线上活动  >  在线答题  >  答题题库

多选

2025-11-03 15:45:38.226.0.69812

多选 在线考试 答题题目
1、(多选题) 下列说法正确的包括
  • A、哈希表是一个在时间和空间上做出权衡的经典例子
  • B、线性表实现相对比较简单
  • C、平衡二叉树的各项操作时间复杂度一样
  • D、平衡二叉树的插入结点比较快


    • 2、(多选题) 以下关于我行各类密钥描述正确的是:
  • A、点到点密钥:AB两个安全节点使用同一密钥对信息进行加密、解密。当需要将信息传输给其它节点时,对解密后的明文进行转加密处理。
  • B、端到端密钥:发起端用与终端协商的密钥对敏感信息进行加密,经过中间节点时不对敏感信息的密文进行处理,直接穿透,在终端解密。
  • C、存储密钥:用于数据库数据或磁盘文件存储加解密。
  • D、AK密钥:安全节点与KMC的通信密钥,保护SA与KMC之间数据的安全传输。


    • 3、(多选题) 下列对撤回授权的同意描述正确的是?
  • A、应向个人信息主体提供撤回收集、使用其个人信息的授权同意的方法。
  • B、撤回授权同意后,个人信息控制者后续可以再处理相应的个人信息
  • C、应保障个人信息主体拒绝接收基于个人信息推送商业广告的权利
  • D、对外共享、转让、公开披露个人信息,应向个人信息主体提供撤回授权同意的方法


    • 4、(多选题) 以下哪些属于场景的故障隔离规避措施?
  • A、业务拆分: 公共类组件需要按照业务权重、 交易量等进行垂直拆分, 隔离业务之间影响。
  • B、数据拆分: 通过数据的水平或垂直拆分, 规避数据库、 文件存储等的单点失效风险或性能瓶颈。
  • C、部署拆分:部分应用系统AP和数据库采用融合部署, 造成不同业务的关联影响。
  • D、服务容错:组件关联系统多, 交易链路长, 关键节点故障会影响整体可用性, 需要强化流控、 熔断及自动恢复等容错设计。


    • 5、(多选题) 安全可靠的AI系统需求包括?
  • A、可验证
  • B、可抵御恶意的攻击
  • C、可审查
  • D、无偏见


    • 6、(多选题) 系统级应用架构师的职责包括:
  • A、负责面向应用交付完整架构方案,保证对企业级架构原则、标准和规范的遵循。
  • B、负责系统级应用架构管理,落实各项应用架构目标,建立管理基线,可承担技术架构、安全架构要求的贯彻落实。
  • C、持续开展架构治理,定期对系统架构进行评估,推进架构迭代演进,保持架构先进性。
  • D、负责按架构资产管理要求,及时提交系统架构资产,保证架构资产质量。
  • E、负责建立和维护应用架构原则、标准和规范,指导、规范IT项目设计


    • 7、(多选题) 以下哪项属于基础设施高可用?
  • A、计算服务高可用
  • B、存储服务高可用
  • C、中间件高可用
  • D、应用高可用


    • 8、(多选题) 外部输入数据默认都是不安全的,对外部数据有效的检测方法包括?
  • A、拒绝验证失败的数据,不试图对其进行修复。
  • B、如果攻击者可以控制写进日志文件的信息,他们就可以在输入中混入伪造的日志条目来伪造系统事件,但不能控制主机。
  • C、验证来自HTTP请求中的所有数据,恶意数据可以从表单域,URL参数,cookie,http头以及URL自身传入。
  • D、对来自命令行、系统属性,环境变量以及配置文件的输入都需要进行校验来保证它们是一致的和健全的。


    • 9、(多选题) 安全开发中对于用户输入的处理应包括哪些步骤?
  • A、立即进行规范化处理
  • B、使用专门的库进行验证
  • C、存储未经处理的输入
  • D、使用白名单验证


    • 10、(多选题) 在共享目录中操作文件会存在哪些风险?
  • A、攻击者可以借助高权限文件提权
  • B、在非安全目录中操作文件,可能产生漏洞
  • C、攻击者可以利用文件系统的特性和功能,在不具备权限的情况下对文件进行越权访问
  • D、除管理员外,多用户操作同一目录是不安全的


    • 11、(多选题) 下列关于传输安全相关描述中,说法错误的有?
  • A、当在不安全的传输通道中传输大量敏感数据时,程序必须使用javnet.Socket类,因为SSL性能开销较大。
  • B、Socket提供加密、认证和完整性校验等功能
  • C、如果处理的包含敏感数据的数据量不大时可以使用HTTP协议
  • D、Socket的性能开销小于SSLSocket


    • 12、(多选题) 权限使用应满足哪些要求?
  • A、未经用户同意,不应更改用户的系统权限和业务功能设置
  • B、权限申请授权后输入个人信息的频率应在实现APP业务功能所必须的最低合理范围内
  • C、权限申请授权后应进访问满足业务功能需要的最少个人信息
  • D、权限的使用目的、使用场景发生变化,无需重新告知用户并取得同意


    • 13、(多选题) 关于身份认证功能设计,下列哪些是安全的?
  • A、软件应该提供强制用户定期更新口令机制,初始口令获取后首次使用时必须强制修改
  • B、修改及重置密码时必须提供原密码,同时服务器端应对用户和密码进行验证。如果忘记原始密码,需要从服务器端获取用户身份信息,防止身份伪造
  • C、用户口令必须加密存储在计算机系统中,严禁将口令写在代码或者配置文件中,严禁在网络上明文传输用户口令
  • D、所有用户初始口令可以一致


    • 14、(多选题) AI 系统的设计应该注重哪些方面的安全?
  • A、数据隐私保护
  • B、防止恶意攻击
  • C、确保算法公平性
  • D、全部都不是


    • 15、(多选题) 根据微服务设计规范中关于微服务设计和拆分原则的描述,以下正确的是:
  • A、根据业务特点进行领域建模,领域划分,按照领域边界拆分微服务
  • B、按照安全性要求等级不同拆分不同的微服务
  • C、按照可用性要求等级不同拆分不同的微服务
  • D、按照性能要求等级不同拆分不同的微服务
  • E、按照扩展性要求等级不同拆分不同的微服务。


    • 16、(多选题) 系统的每一个用户、每一个程序,都应该使用最小且必须的权限集来完成工作,下列符合最小权限的做法有?
  • A、最小权限原则要看是否给予了对象“必不可少”的权限
  • B、如果一个对象不需要某个访问权限,那这个对象就不应该被赋予相应的权限
  • C、交易类业务应根据业务类别、开通渠道及身份验证方式的不同,设置不同的交易限额,同时允许客户在银行设定的限额下自主设定交易限额
  • D、保证所有的对象都能在所赋予的权限内完成所需要完成的任务或操作


    • 17、(多选题) 下列属于弱加密算法或弱加密协议的有?
  • A、BASE64
  • B、3DES
  • C、RC4
  • D、SSLV3


    • 18、(多选题) 在图像处理中,为了提高安全性,以下哪种方法可以用来对抗对抗性攻击?
  • A、数据增强
  • B、深度学习模型的训练
  • C、图像加噪
  • D、闽值分割


    • 19、(多选题) 关于反序列化漏洞下列叙述正确的有?
  • A、声明了可序列化标识对象的所有字段在序列化时都会被输出为字节序列,想要获取到这些数据的值,需要依赖于该字段在类中的可访问性
  • B、敏感数据序列化之后是潜在对外暴露的,可访问序列化数据的攻击者可以借此获取敏感信息并确定对象的实现细节
  • C、永远不应该被序列化的敏感信息包括:密钥、数字证书、以及那些在序列化时引用敏感数据的类,防止敏感数据被无意识的序列化导致敏感信息泄露
  • D、声明了可序列化标识对象的所有字段在序列化时都会被输出为字节序列,能够解析这些字节序列的代码可以获取到这些数据的值


    • 20、(多选题) 涉及到金钱交易的功能中,应该做到?
  • A、像订单金额这样的信息不要放在页面上,可以定义一个字符型的字段代替金额的传输,或者直接由商品唯一标识来查询数据库得到金额。
  • B、签名校验是最重要的,将购买的商品、数量、金额(或替代字段)、订单的ID号生成一个校验字符串。在每次数据传输的过程中进行校验,当然这个校验的内容可以多次生成
  • C、支付前如果做了签名校验的话,支付时就不需要再进行签名校验了
  • D、银行或者第三方支付平台的支付接口都会检验商户的订单数据签名,否则会导致金额数据被篡改


    • 21、(多选题) 在对Cookie进行安全测试时发现Cookie的一些设置和特点有助于提高其安全性,以下特点中,有助于确保Cookie安全的有?
  • A、不可预测性:一个Cookie必须包含一定数量难以猜测的数据。
  • B、防算改:一个Cookie必须能抵制恶意篡改。
  • C、有效期:重要的Cookie必须只在适当的时期内有效并且使用后必须从磁盘/内存中制除,以避免重放的风险。
  • D、安全标志:如果cookie的值对会话的完整性起着重要作用,就应该将其标记成“Secure”,以便其按熙加密渠道传输,以防止窃听。


    • 22、(多选题) 下列关于敏感数据硬编码说法正确的有?
  • A、配置文件要比前端文件安全,所以可以直接把数据库连接账户和密码信息保存在配置文件中
  • B、传输加密用途的工作密钥不允许硬编码在代码里,硬编码在代码里的密钥无法更新
  • C、程序禁止硬拷贝绝对路径、用户名、密码、IP地址等信息,应将可能产生变化的应用参数进行配置化处理
  • D、IP、端口号、用户密码、数据库连接信息、主机名、日志路径、数据路径等参数应可配置,不能在程序中或脚本中固化


    • 23、(多选题) 以下属于应用高可用的要求是:
  • A、容错
  • B、限流
  • C、熔断
  • D、优雅上下线
  • E、故障隔离


    • 24、(多选题) 有助于短信短验证码安全性的做法有?
  • A、验证错误时,应立即失效当前验证码
  • B、6位以上
  • C、验证码允许错误2次
  • D、同一手机号每日错误不超过30次


    • 25、(多选题) 新建和重构类应用使用云原生技术栈的要求包括
  • A、使用分布式微服务框架开发
  • B、接入分布式微服务平台
  • C、应用进行容器化改造
  • D、使用穿山甲外联平台支持外联接入
  • E、使用敏捷研发平台提供的代码仓、流水线、制品库等


    • 26、(多选题) 哪些行为能有效且合理的控制用户登录?
  • A、对登录时间、IP地址和登录终端设备进行限制
  • B、同一用户连续5次以上登陆失败时,暂停该用户登录
  • C、锁定用户一定期限后,只能提供自动解锁机制
  • D、锁定用户一定期限后,只能使用人工解锁


    • 27、(多选题) 开发单位以业务需求作为输入,按容量管理相关技术标准设计应用软件、识别业务关键路径,包括(),原则上最长满足一年业务增长需求。
  • A、预估应用系统业务量
  • B、明确应用软件容量设计值
  • C、预估基础设施资源需求
  • D、进行非功能测试


    • 28、(多选题) 个人敏感信息的传输和存储要求有哪些?
  • A、传输个人敏感信息时无需加密等安全措施
  • B、传输个人敏感信息时需要加密等安全措施
  • C、个人生物识别信息需与个人身份信息分开存储
  • D、个人生物识别信息无需与个人身份信息分开储存


    • 29、(多选题) 以下哪些属于敏感数据?
  • A、个人身份信息
  • B、 个人财产信息
  • C、企业专有商业秘密
  • D、公开发布在网站上的数据


    • 30、(多选题) 关于异常捕获,说法正确的有?
  • A、编码人员常常会通过一个空的或者无意义的catch块来抑制捕获的已检查异常,这是不恰当的,每一个catch块都应该确保程序有效的情况下才会继续运行下去
  • B、catch块要么从异常情况中恢复,要么重新抛出另一个异常让外层try-catch语句块来进行恢复工作
  • C、异常会打断应用原本预期的控制流程
  • D、当对客户端从潜在问题恢复过来不抱期望时,好的做法是让异常被广播出来,而不是去捕获和抑制这个异常


    • 31、(多选题) 架构规范的常态运转流程包括:
  • A、识别规范缺失或优化的需求
  • B、架构管理部与研发机构协同修订架构规范
  • C、架构管理部统一管理、发布并宣贯架构规范


    • 32、(多选题) 我们应对输入的数据进行最小和最大长度的校验,因为()?
  • A、验证逻辑对合法值限定得越详细对系统的资源占用就越大,所以验证逻辑只需要满足最低的安全需求即可
  • B、对输入长度进行严格检测后,就不需要根据程序的上下文条件要求进行更深入的检测
  • C、对于一个很可能被用来进行跨站脚本攻击的输入域,如果攻击者可以输入任意长度的脚本,那么这显然要比限制输入长度更加危险
  • D、java的web应用程序经常用于和数据库或其它软件通信,通过JNI调用本地代码库等,而这些特性导致java应用程序成为缓冲区溢出威胁的“传递者”


    • 33、(多选题) 关于收集不满14周岁未成年人信息,包括?
  • A、APP运营者的名称或者姓名和联系方式
  • B、未成年个人信息的处理目的、处理方式
  • C、处理未成年人信息种类、保存和期限
  • D、处理未成年人个人信息的必要性


    • 34、(多选题) 下列哪些关于文件权限的说法是正确的?
  • A、文件的主人能够指定系统中哪些用户能够访问该文件的内容
  • B、文件系统使用权限和许可模型来保护文件访问
  • C、当一个文件被创建时,文件访问许可规定了哪些用户可以访问或者操作这个文件
  • D、多用户系统中的指定的文件通常归属于一个特定的用户


    • 35、(多选题) 需要超过中等安全级别的系统应该实行更加严格的口令安全需求,包括?
  • A、初始口令必须在3日内更换
  • B、口令需大于8位
  • C、禁止使用常见弱口令
  • D、禁止使用其他用户相近口令


    • 36、(多选题) 哪些做法可能会泄露会话标识?
  • A、使用get传输session
  • B、为cookie设置secure和httponly属性
  • C、从HTTP变成HTTPS时,生成一个新的会话标识符
  • D、在日志中打印session


    • 37、(多选题) 哪些情况下可以通过篡改HTTP命令来绕过应用程序的安全控制和身份认证方法?
  • A、使用列出HTTP命令的安全控制
  • B、接口只对合法的http命令进行响应
  • C、安全控制未能阻止没有列出的命令
  • D、应用程序根据GET请求或其他任意HTTP命令更新其状态


    • 38、(多选题) 哪些用户名不允许注册?
  • A、adminiso
  • B、110101200001011521
  • C、leo
  • D、pingguo


    • 39、(多选题) 以下哪些是我行用户认证组件提供的认证方式
  • A、手机令牌认证
  • B、RPA认证
  • C、二维码认证
  • D、数字证书


    • 40、(多选题) 对于采用无线接入技术的系统,应对所有敏感信息进行端到端加密。加密数据不得在传输途中解密。数据的加密可在那些层进行?
  • A、链路层
  • B、网络层
  • C、传输层
  • D、应用层


    • 41、(多选题) 哪些做法能增强图形验证码的安全性?
  • A、干扰线条、扭曲、随机位置
  • B、前端生成
  • C、时效性
  • D、验证错误时,应立即失效当前验证码


    • 42、(多选题) 关于cookie,下列哪些说法是正确的?
  • A、严禁在Cookie中包含私人数据或带有会话标识符
  • B、给Cookie设置secure标记
  • C、设置了HttpOnly属性时,浏览器只会通过HTTPS发送Cookie
  • D、通过未加密的通道发送 Cookie将使其受到Network Sniffing攻击


    • 43、(多选题) 中国建设银行通过以下哪些方式向应用方和用户提供应用程序接口服务,实现商业银行服务的对外输出:
  • A、API
  • B、H5
  • C、SDK


    • 44、(多选题) 根据中国建设银行开放银行开发规范的规定,按照接口身份认证安全要求,应用方身份认证应使用的验证要求包括以下哪些()
  • A、App_ID
  • B、App_Secret
  • C、用户名称
  • D、数字证书
  • E、公钥


    • 45、(多选题) 关于异常信息处理,下列哪些说法是正确的?
  • A、敏感数据包括口令、银行账号、个人信息、通讯记录、密钥等
  • B、异常中的文本消息会泄露敏感信息,而异常的类型不会,所以必须要对异常消息进行过滤
  • C、FileNotFoundException异常会透露文件系统的结构信息
  • D、public class ExceptionExample{ public static void main(String[] args) throws FileNotFoundException { // Linux stores a user‘s home directory path in // the environment variable $HOME, Windows in %APPDATA% // ... Other omitted code FileInputStream fis = new FileInputStream(System.getenv(“APPDATA“) + args[0]); } }


    • 46、(多选题) 向信任边界之外发送包含敏感信息数据时正确防御手段有?
  • A、使用安全的加密算法加密传输对象可以保护数据不被泄露
  • B、数字签名则可以防止对象被非法篡改,保持其完整性
  • C、序列化时先为对象加密然后再签名,这样能保证数据的真实可靠性
  • D、序列化时先为对象签名然后再加密,这样能防止“中间人攻击”


    • 47、(多选题) 以下哪些是我行UASS用户静态口令策略?
  • A、口令有效期为90天
  • B、必须包含大小写字母和数字
  • C、口令长度至少8个字符,最多32个字符
  • D、不能包含系统指定的字符串和弱口令,例如password等


    • 48、(多选题) 以下哪些是单笔交易一致性(事中)的保证手段?
  • A、冲正
  • B、查询
  • C、重发
  • D、反向交易


    • 49、(多选题) APP拒绝申请权限或业务功能使用同意时,应满足以下哪些要求?
  • A、不应强制退出或者关闭APP
  • B、不应拒绝提供APP基本业务功能或影响其他无关的业务功能使用
  • C、不应频繁申请授权干扰用户正常使用,除非主动出发业务功能
  • D、单个场景在用户拒绝授权后,48小时内弹出提示用户打开权限次数超过1次


    • 50、(多选题) 人工智能的安全性问题包括哪些?
  • A、技术滥用引发的安全威胁
  • B、技术缺陷导致的安全问题
  • C、管理的缺席导致的安全威胁
  • D、未来的超级智能引发的安全担忧


    • 51、(多选题) 在系统提供文件上传功能时,允许用户通过输入来控制文件系统操作使用的路径会使攻击者有机会注入危险内容或恶意代码,安全的做法包括?
  • A、最有效的,将文件上传目录直接设置为不可执行
  • B、使用随机数改写文件名和文件路径,使得用户不能轻易访问自己上传的文件
  • C、文件类型检查:使用黑名单方式,结合MIME Type、后缀检查等方式即可满足要求,没有必要使用白名单。
  • D、对上传文件的内容进行进行扫描,查杀病毒、木马、webshell等恶意内容


    • 52、(多选题) 物理报文的技术实现包括:
  • A、JSON
  • B、XML
  • C、EXCEL
  • D、TXT


    • 53、(多选题) 在软件安全测试中,SQL注入攻击是较为常见的攻击类型,SQL注入可能造成的安全威胁有?
  • A、从数据库中获取敏感数据
  • B、修改数据库数据(插入/更新/删除)
  • C、执行数据库管理操作(如关闭数据库管理系统)
  • D、恢复存在于数据库文件系统中的指定文件内容


    • 54、(多选题) 以下哪些是微服务架构的优点?
  • A、易于维护和测试
  • B、高度耦合
  • C、独立部署
  • D、资源利用率低


    • 55、(多选题) 应用程序应精心构造错误提示信息来防止重要的敏感信息泄漏,下列哪些做法是不安全的?
  • A、当用户多次登录失败时,可以封禁该用户的登陆行为,但不修改提示语句
  • B、登录失败时提示用户密码错误
  • C、返回报文中不应包含主机信息、软件版本信息、错误代码等信息,但可以包含网络信息、DNS详细信息。
  • D、为方便后期排查,可以将错误信息放在统一定制错误页面的注释里。


    • 56、(多选题) 下列哪些是欺骗误导用户下载APP行为?
  • A、点击广告页面自动下载APP
  • B、APP广告界面点击关闭功能自动下载软件
  • C、APP主屏广告点击领取红包自动下载软件
  • D、关闭并重新运行APP后,用户暂停或取消的APP自动恢复下载


    • 57、(多选题) 以下哪些原则是微服务设计原则
  • A、单一职责原则
  • B、服务隔离原则
  • C、轻量级原则
  • D、跨单元拆分原则
  • E、去中心化的设计和无状态原则


    • 58、(多选题) 以下哪些认证方式属于生物特征识别
  • A、设备指纹
  • B、人脸识别
  • C、短信口令
  • D、指纹识别


    • 59、(多选题) 以下哪些属于分布式平台提供的高可用能力?
  • A、租户隔离
  • B、服务注册与发现
  • C、负载均衡
  • D、流量治理


    • 60、(多选题) 如何避免任意文件下载漏洞?
  • A、应用程序应该尽量避免用户直接指定文件系统操作路径,特别是对文件的下载和上传功能的部分
  • B、防止任意文件下载的最佳方法是采用一些间接手段
  • C、必须对用户指定的路径、文件名等进行输入验证,对不符合程序要求的拒绝执行
  • D、对于来自于配置文件等外部资源的路径输入,同样应该进行输入验证,防止外部输入路径非法或者越


    • 微信扫一扫 在线答题 在线出卷 随机出题小程序 闯关答题软件 出题答题小程序
    微信咨询

    微信咨询

    官方微信

    官方微信

    扫一扫关注,获取最新资讯

    扫一扫关注,获取最新资讯

    TOP

    TOP
    联系我们 联系我们

    联系我们

    联系我们

    公司热线

    雷子

    晓阳

    小鲜

    秋峰