产品线级研发安全管理员结业考试B卷

姓名

学号

关于研发测试环境的安全管理,以下哪种做法是正确的?

A.定期进行安全漏洞扫描和隐患排查,但不记录处理结果
B.仅在项目结束后进行一次安全漏洞扫描
C.定期对研发测试环境进行安全漏洞扫描和隐患排查,对于扫描发现的漏洞及配置弱点应及时进行处理,并保存相关记录
D.依赖开发人员自行检查,不进行系统性的安全漏洞扫描

根据规定,以下哪项行为是被禁止的?

A.在互联网上传输公司业务数据
B.在公司内部网络中存储敏感文件
C.在公有云上存储个人照片
D.在公司授权的私有云中运行重要系统配置文件

为了确保核心代码的安全和管理,公司应采取以下哪种措施?

A.不对核心代码进行特别管理,与其他代码同等对待
B.建立核心代码认定机制,加强核心代码管控
C.仅在项目结束时对核心代码进行审查化运行
D.依赖开发人员的自觉性来保护核心代码

在开展研发测试工作时,应该使用()。

A.个人搭建的代码库和依赖库
B.集团二级代码库和依赖库
C.任何可用的开源代码库和依赖库
D.项目组私自搭建的代码库和依赖库

在进行系统安全检测时,关于端口管理的以下做法不符合规范要求的是?

A.禁止开放如22、21、445、3389等高危端口,并要求对所有开放端口进行说明,无关端口应予关闭。
B.将操作系统的管理端口从默认值基础上增加10000,避免使用任何默认配置的端口。
C.数据传输端口应保持使用各自协议的默认端口号,以确保最佳兼容性。
D.业务访问端口优先使用80或443,如被占用则依次考虑8080、8000端口作为替代。

关于源代码审核,描述正确的是()。

A.源代码审核过程遵循信息安全保障技术框架模型(ATF),在执行时应一步一步严格执行
B.源代码审核有利于发现软件编码中存在的安全问题,相关的审核工具既有商业又有开源工具
C.源代码审核如果想要有效率高,则主要依赖人工审核而不是工具审核
D.源代码审核能起到很好的安全保证作用,如果执行了源代码审核,则不需要安全测试

国家电网公司研发安全“十不放过”要求:()外联不放过。

A.数据
B.终端
C.设备
D.违规

国家电网公司研发安全“十不放过”要求:()不规范不放过。

A.责任
B.管理
C.任务
D.安防

国家电网公司研发安全“十不放过”要求:()不到位不放过。

A.责任
B.工作
C.任务
D.安防

在研发测试过程中,以下哪种做法是正确的?

A.使用数据库超级管理员账号进行开发调试
B.使用具有必要权限的普通账号进行开发调试
C.共享一个超级管理员账号给所有开发人员
D.不使用任何数据库账号,仅通过模拟数据进行开发调试

研发终端安全应做到的内容,以下哪些是错误的()

A.实名准入
B.防病毒
C.放外联
D.虚拟主机防护

使用什么系统对代码进行统一集中管理,并建立核心代码认定机制?

A.SWAG
B.集团代码库
C.集团依赖库
D.集团镜像库

涉及研发系统的相关文档、代码,禁止在互联网传输、存储、运行,这属于什么安全内容?

A.研发环境安全
B.研发人员安全
C.研发数据安全
D.供应链安全

各单位大部分项目应在研发测试环境哪个区开展研发工作?

A.红区
B.蓝区
C.绿区
D.以上都不是

国网公司哪年发布《公司数字化项目研发安全防护体系设计方案》?

A.2026年
B.2025年
C.2024年
D.2023年

研发安全制度与集团研发安全体系解读的讲师是谁?

A.孙晓明
B.张虹婕
C.张振强
D.常晓荣

研发安全督查的核心依据文件是()

A.企业临时规定
B.研发安全督查手册
C.行业通用标准
D.地方法规

研发安全督查采用的主要形式不包括()

A.访谈
B.文档查阅
C.现场查看
D.网络投票

网络边界安全督查周期为()

A.1次/月
B.1次/半年
C.1次/季度
D.1次/年

研发人员上岗前必须全员签订的文件不包括()

A.保密承诺书
B.网络安全承诺书
C.安全责任书
D.绩效承诺书

研发网笔记本电脑禁止使用哪种方式接入网络

A.网线
B.WIFI
C.光纤
D.有线

研发数据使用中,研发仿真环境数据()

A.禁止导出
B.可随意导出
C.仅外包人员可导出
D.仅管理员可导出

代码管理要求按()原则设置访问权限

A.最大化
B.最小化
C.随意化
D.公开化

研发安全事件处理需落实()要求

A.四不放过
B.三不原则
C.二查一改
D.一查了之

机房备用供电需满足主要设备断电后正常运行()

A.1小时
B.2小时
C.3小时
D.4小时

外包人员不得承担()研发测试任务

A.普通功能
B.界面开发
C.核心代码
D.文档编写

产品线研发安全管理员的核心定位是

A.监督执法人员
B.安全教练与赋能伙伴
C.考核处罚专员
D.流程管控人员

产品线研发安全管理员工作核心侧重点是()

A.查找问题、惩处问题
B.培育能力、防范问题
C.事后追责、整改处罚
D.日常巡查、记录问题

安全管理最终要实现的转变是()

A.主动守规转为被动合规
B.被动合规转为主动守规
C.自主防范转为监督约束
D.技能学习转为制度遵守

关于产品线研发安全管理员岗位安全风险防控工作要求,以下说法正确的是()

A.需掌握岗位安全风险、危险因素、防范及应急措施,开展岗位危险源辨识与评价
B.仅需了解岗位安全风险,无需开展危险源辨识评价
C.危险源辨识评价由上级统一负责,岗位人员无需参与
D.只需排查隐患,无需掌握事故应急措施

针对安全隐患整改与问题管控,岗位需对阻断事项和高风险问题采取的核心举措是()

A.口头记录、随缘整改
B.仅上报问题无需跟进整改
C.待统一检查后再集中处理
D.建立台账并推动整改闭环

按照工作记录要求,产品线研发安全管理员岗位需按月形成的安全材料是()

A.研发安全风险报告
B.安全生产工作总结
C.隐患处罚台账
D.岗位日常工作日报

软件测试的目的是()。

A.证明软件的正确性
B.尽可能多地发现软件系统中的错误
C.找出软件中的所有错误
D.证明软件系统中存在错误

在编写代码时,以下哪项行为是被禁止的?

A.遵循安全编码规范
B.使用公司提供的安全工具
C.在代码中预置调试后门
D.进行代码审查和安全审计

针对源代码安全管理,严禁出现的操作是()

A.代码提交前进行安全自查
B.源代码中写入口令、服务器IP等敏感信息
C.规范标注代码功能信息
D.对代码进行权限管控

在研发测试工作中,属于一般违章的操作是()

A.使用脱敏后的测试数据开展开发测试
B.使用未经脱敏的生产数据进行开发测试
C.按需申请专用测试数据资源
D.测试完成后及时清理测试数据

以下属于研发安全一般违章操作的是()

A.经审批后部署系统至指定平台
B.未经审批,私自将信息系统或研发测试系统部署在互联网企业平台上
C.定期核查系统部署合规性
D.按规范流程完成系统部署备案

以下属于研发数据安全重大违规行为的是()

A.严格审批后对外提供工作数据
B.未经批准,向外部单位提供国家电网公司涉密及重要数据
C.定期清理无用工作数据
D.按规范留存业务数据

信息收集过程中不属于敏感文件、目录信息的是()

A.网站安装包
B.网站上传目录
C.WEB一INF/wexml文件
D.网站地址

计算机病毒是一种()。

A.软件故障
B.硬件故障
C.程序
D.黑客

在安全开发模型中,体系较为完善,实施要求严格,适合于大型机构使用。这种模型是()

A.SDL系列
B.BSI系列
C.CLASP
D.SAMM

根据信息安规规定,中间件检修前,应备份()。

A.配置文件
B.业务数据
C.运行参数
D.日志文件

人员离岗离职时,应采取以下哪些措施?

A.收回设备、软件、门禁、资料等资产,并及时清除离岗离职人员账号访问权限;签订离岗安全责任承诺书
B.仅收回设备和软件,不处理门禁和资料
C.清除离岗离职人员账号访问权限,但不收回设备和资料
D.不采取任何措施,直接办理离岗离职手续

通过以下哪个命令可以查看本机端口和外部连接状况()。

A.netstat-an
B.netconn-an
C.netport-a
D.netstat-all

按漏洞成因分类,SQL注入、跨站脚本执行属于()

A.逻辑错误类
B.输入验证类
C.设计错误类
D.配置错误类

由于频繁出现计算机运行时被黑客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是()

A.要求所有的开发人员参加软件安全开发知识培训
B.要求增加软件源代码审核环节,加强对软件代码的安全性审查
C.要求统一采用Windows10系统进行开发,不能采用之前的Windows版本
D.要求邀请专业队伍进行第三方安全性测试,尽量从多角度发现软件安全问题。

在开展研发测试工作时,应该使用()

A.个人搭建的代码库和依赖库
B.集团二级代码库和依赖库
C.任何可用的开源代码库和依赖库
D.项目组私自搭建的代码库和依赖库

研发测试环境的安全漏洞扫描和隐患排查应该()

A.仅在项目开始时进行一次
B.定期进行
C.只有在发生安全事件后进行
D.完全不需要进行

渗透性测试属于()所采用的方法。

A.资产识别
B.脆弱性识别
C.威胁识别
D.安全措施识别

以下关于软件安全保障说法错误的是?()

A.软件安全保障以风险管理为基础
B.软件安全保障的目标是在软件开发生命周期中提升安全性
C.没有考虑风险管理的软件安全是不完整的
D.软件安全保障是对“软件可以规避安全漏洞而按照预期方式执行其功能”的客观证明

研发安全“十不放过”中责任不清包括哪些要点()?

A.禁止研发人员未签订《保密承诺书》、《网络安全承诺书》和《安全责任书》
B.禁止研发安全责任不落实
C.禁止公司数字化系统核心功能代码外包
D.禁止未履行手续违规外包

研发安全“十不放过”中违规部署包括哪些检查要点()?

A.检查百度云等网盘或Github等第三方代码托管平台等各类文档库、代码托管网站,是否存在公司所属代码、资料相关关键词的敏感数据
B.检查互联网中,是否存在使用相关公司Logo、公司名称及简写等特征的信息系统或测试系统|
C.检查信息系统在运系统第三方测试主版本与生产环境是否存在版本不一致
D.检查在运系统测试报告版本与在运系统版本是否一致

以下密码属于弱口令的是()。

A.P@ssword
B.LoRi7wN3^!pV#19h
C.Ph123.com
D.123qweasd

研发安全“十不放过”中数据外泄包括哪些要点()?

A.禁止将数据从研发仿真环境中导出
B.禁止在互联网提供服务的网络和信息系统中存储或运行公司商业秘密数据
C.禁止研发仿真环境的数据不按按脱敏规则脱敏
D.禁止研发终端利用带上网功能的第三方设备接入互联网

集团研发项目应使用集团三库进行建设,三库主要包括()。

A.代码库
B.镜像库
C.依赖库
D.文档库

集团研发安全管理框架的“全要素”包括哪些?

A.研发安全通识、技术防护手段
B.研发环境安全、研发人员安全
C.信息系统安全、研发代码安全
D.研发数据安全

集团研发安全管理框架的“关键流程”包括哪3个环节?

A.业务设计阶段
B.研发集成阶段
C.测试验证阶段
D.上线验收阶段

研发测试环境中的“分区分域”设计,共分为哪些区?

A.红区
B.蓝区
C.绿区
D.白区

研发外包人员入场时必须签订哪些责任书?

A.保密承诺书
B.网络安全承诺书
C.安全责任书
D.研发安全典型问题“二十条”防控承诺书

测试验证阶段,重点关注哪三方内容?

A.代码质量
B.安全基线
C.敏感信息
D.以上都不是

研发安全督查核心内容包含()

A.研发安全管理体系
B.环境安全
C.人员安全
D.过程安全

研发安全督查常用检查方法有()

A.文档审查
B.现场检查
C.人员访谈
D.口头询问

人员安全督查包含哪些阶段()

A.上岗前
B.离职离岗
C.休假中
D.日常培训

研发过程安全督查覆盖哪些阶段()

A.需求阶段
B.设计阶段
C.开发阶段
D.测试阶段

数据安全督查重点包括()

A.违规部署
B.数据脱敏
C.数据销毁
D.数据使用

常见Web攻击方法有以下哪种?()

A.SQLInjection
B.Cookie欺骗
C.跨站脚本攻击
D.信息泄露漏洞

开源代码审核需参考下列哪些标准()

A.谨慎使用GPL协议,使用BSD、Apache协议的开源代码
B.要足够稳定(稳定性测试)、文档齐全、扩展性性好
C.性能要求较高的需要有性能对比测试
D.不存在已发布的漏洞或者已发布的漏洞未修改的情况

以下哪几项属于用户的敏感数据?

A.用户登录的账号
B.用户登录的密码
C.用户所属的公司名称、地址
D.用户的收入、从事行业、休息时间

下列那些数据属于不可信来源数据()

A.HTTP请求消息的全部字段
B.第三方接口数据
C.系统性能参数
D.网络服务

控制写入日志的信息,能够有效的防护日志篡改问题,以下措施正确的是()

A.如果日志数据中包含输入数据,应对输入数据进行验证,禁止攻击者能够写任意的数据到日志中,应该过滤掉换行符"%0d""\r""%0a""\n";
B.提升系统自身防护,防止非权限用户入侵系统;
C.让非授权用户无法提升权限,或增加篡改日志文件的难度
D.将日志文件进行备份

办公区私搭无线或局域网络,属于不属于()违章。

A.管理违章
B.行为违章
C.装置违章
D.生产违章

信息收集主要对哪些信息进行收集?

A.端口、服务信息
B.子域名
C.Web应用信息
D.敏感文件、目录信息

()是不安全的直接对象引用而造成的危害。

A.用户无需授权访问其他用户的资料
B.用户无需授权访问支持系统文件资料
C.修改数据库信息
D.用户无需授权访问权限外信息

()是有失效的身份认证和会话管理而造成的危害。

A.窃取用户凭证和会话信息
B.冒充用户身份查看或者变更记录,甚至执行事务
C.访问未授权的页面和资源
D.执行超越权限操作

()漏洞是由于没有对输入数据进行验证而引起的。

A.缓冲区溢出
B.跨站脚本
C.SQL注入
D.信息泄露漏洞