2023年金九银十网络安全考试试题

1.关于数据使用说法错误的是:
A.在知识分享、案例中如涉及客户网络数据，应取敏感化，不得直接使用
B.在公开场合、公共媒体等谈论、传播或发布客户网络中的数据，需获得客户书面授权或取敏感化，公开渠道获得的除外。
C 客户网络数据应在授权范围内使用，禁止用于其他目的。
D.项目结束后，若客户未明确要求，可以保存一些客户网络中数据在工作电脑上，以便日后用于对外交流，研讨等引用。
正确答案: D

2.下面哪项 不符合客户书面授权方式:
A 电子流
B 邮件
C.口头承诺
D.传真
E.会议纪要
正确答案: C

3.网络安全违规行为举报邮箱是:
A.ISMS@chinasoftinc.com
B.CSPP@chinasoftinc.com
C.CSPP@chinasofti.com
D.BCGcomplain@chinasofti.com
正确答案:B

4.所有网变更操作都获得三个审批，不属于三审批范围的是:
A.直接主管
B.客户审批
C.项目审批
D.技术审批
正确答案:A

5.网络安全违规的规定依据是：
A.违规导致的结果
B.违规行为
C.客户满意度
D.行为人是否有主管恶意
正确答案:B

6.在客户交流、演示时，使用的资料或讲解中，误用敏感词汇使客户对华为产生网络安全的误解，属于（）违规。
A.一级
B.二级
C.三级
D.四级
正确答案:B

7.以下有关个人隐私数据处理原则描述错误的是()
A.对于能够识别数据主体的个人数据，其储存时间可以超过其处理目的所必须的时间。
B.处理过程中应确保个人数据的安全，采取合理的技术手段、组织措施、避免数据未经授权即被处理或遭到非法处理，避免数据发生意外毁损或灭失。
C.个人数据的处理目的应当是为了实现数据处理目的而适当的、相关的和必要的。
D.个人数据应当是准备的，如有必要，必须及时更新；必须采取合理措施确保不准确的个人数据，即违反初始目的的个人数据，及时得到擦除或更正。
正确答案:A

8.网络安全是在法律合规下保护()的可用性、完整性、机密性、可追溯性和抗攻击性，及保护其所承载的()、客观的信息流动。
A 产品、解决方案；客户的产品和系统信息
B 产品、解决方案和服务；客户的产品和系统信息
C 产品、解决方案和服务；客户或用户的通信内容、个人数据及隐私
D 产品、服务；客户或用户的通信内容、个人数据及隐私。
正确答案:C

9.使用他人账号或非授权账号登录设备进行操作，属于网络安全()违规。
A 一级
B 二级
C 三级
D 四级

正确答案: A

10.关于数据处置，下列说法错误的是:（）
A.包含客户网络数据的纸件废弃时必须销毁。
B.员工转岗时，应移交并删除本人所保留的客户网络数据，并申请取消响应信息系统的访问权限。
C.报废设备的客户网络数据可不销毁
D.禁止私自携带客户网络数据(含个人数据)的设备或存储介质离开客户场所。
正确答案:C

11.下面那些操作需要提前获得客户的书面授权：（）
A.查看设备数据
B.接入客户网络
C.采集设备数据
D.修改设备数据
E.转移客户和网络数据
正确答案:ABCDE

12.中软国际内部运营管理中涉及的个人隐私数据包含哪些:()
A.员工信息
B.劳务(输入和输出)人员信息
C.求职者信息
D.以上都不是
正确答案:ABC

13.关于个人隐私的基本概念，描述错误的是：（）
A.个人数据：是与一个身份与被识别或者身份可识别的自然（数据主题）相关的任何信息；身份可识别的自然人食指其身份可以通过注入姓名、身份这个号、位置数据等识别码或者通过注入姓名、身份证号码、位置数据等识别码或者通过一个或多个与自然人的身体、生理、精神、经济、文化、或者社会相关的特定因素来直接的被识别的自然人。
B.数据主体：是指通过个人数据可以直接或间接被识别的自然人。如华为产品、服务的用户、顾问、应聘人员、员工等。
C.数据控制者：是指单独或者与他们共同确定个人数据处理目的和手段的自然人、法人、公共机构、政府部门或其他机构，当多个或多个机构共同决定数据处理的目的和方式，他们被认为是共同控制者。如按照华为的要求为其提供维保服务，中软国际是数据控制者。
D.数据处理者，是指代表数据控制者处理个人数据的自然人、法人、公共机构、政府部门或者其他机构。如针对用户在华为云的注册信息，中软国际是数据处理者。

正确答案:BC

14.对管理责任人的问责，下列说法正确的是:
A.存在管理不力、知情不作为、放任等情形时，需对违规责任人直接或间接主管问责。
B.当出现群体事件或包庇违规人等不诚信行为时，对管理者可加重或从重处罚。
C.违规人员处罚等级为一、二级时，对管理者的处罚可参考执行二三级。
D.直接或间接主管无需承担管理连带责任。
正确答案:ABC

15.对于网络安全误解的是:
A 网络安全=信息安全
B 网络安全=人身安全
C 网络安全=网络平安、网络保障、网络运行稳定
D 各国政府、运营商、设备商、分包商和最终用户都很关注网络安全
正确答案:ABC

16.如下有关GDPR说法正确的是？
A. 只要关于欧盟成员国境内设立的公司，必须保护欧盟成员国居民的个人隐私西悉尼，此为属地原则
B.即使公司不在欧盟境内成立，但又涉及接触欧盟成员国居民的个人隐私信息，也必循遵守GDPR,此为属人原则。
C.如果你收集欧盟公民的数据，你就受到GDPR的管辖。除非你的公司非常严格的排除了欧盟，否则你还是得处理GDPR得合规问题，所以GDPR全休适用。
D.我就是普通研发人员，GDPR似乎跟我没有关系。
正确答案:ABC

17.关于产品安全要求，以下说法正确的是：
A.在编码阶段进行代码安全扫描，解决高风险的代码安全问题。
B.产品如含有开源软件，则须对开源软件的漏洞进行监测，并对存在的安全漏洞进行修复。
C.为完善产品的功能特性，可以对自己对产品进行修改，无需与客户沟通。
D.所有员工员工入职时必循签署《网络安全及用户隐私保护承诺函》
正确答案:ABD

18.处理个人数据的基本原则有哪些?
A 公开、透明
B 可问责
C 保密性
D 数据最小化
正确答案: BCD

19.关于配置管理，以下说法正确的是:
A 在产品需求、设计、开发、测试、发布等环节需对研发文档进行记录和管理
B 对版本/有效管理，包含但不限于系统软件版本管理、硬件版本管理、其他配套件版本管理等。
C 对变更的各类需求、变更流程及关键控制点KCP进行有效管理
D 可以使用网络下载工具和配置
正确答案:ABC

20.目前，全球网络安全面临的挑战。如下正确的是:
A 各国立法越来越严格，欧盟对通信隐私保护愈加严格
B 业界频繁曝光的网络安全事件，对运营商和设备商带来了巨大的压力。
C 网络安全事故对客户正常业务带来了风险和损失，必须加强网络安全预防，降低网络安全的管理和运维成本。
D.设备商和分包商被要求遵守当地的网络安全和相关法律。
正确答案:ABCD

21.下面那些行为，属于网络安全一级违规:
A 在提供的产品或服务中植入任何恶意代码、恶意软件、后门，预留任何未公开接口和账号。
B 未经客户书面授权，携带含客户网络数据（含个人数据）的设备或存储介质离开客户场所。
C 商用或转维后，保留或使用之前的管理员账号及其非授权账号。
D 扩散未经华为正式发布仅在研发活动使用的软件工具
E 项目正式结束后u，未按要求将涉及的数据（如工作电脑或服务器）及时移交给客户。
正确答案:ABCE

22.哪些选项属于隐私保护七原则
A 合法、正当、透明
B 数据最小化
C 存储周期限最小化
D 可共享
E 准确性
F目的限制性
正确答案： ABCEF

23.关于工具软件的使用，下列说法正确的是:
A 来源要合规:禁止下载、使用来自非华为正式渠道的软件版本、产品版本、服务交付工具。
B 使用用合规:华为正式发布的软件和工具应严格按照说明书要求的使用场景、使用范围、EOX公告、产品变更通知的相关要求使用。
C 客户工具要授权:使用客户提供的服务工具需由客户书面授权，明确使用要求（如使用对象、网络、范围、期限等），并由客户提供具体软件试题或下载地址。使用者应妥善保存并归档客户书面授权书。
D 违规要问责：对于违规的直接责任人将依据《中软国际华为业务群网络安全违规问责制度》进行问责
正确答案:ABCD

24.产品安全管理制度中违规员工的处罚正确的是:
A 一级违规：解除劳动关系，予以出名，且用不录用
B 触犯国家法律法规，公司依法追究其法律责任
C 对于员工出现违规的主管不用承担责任
D 员工如违反产品安全行为规范，将按相应违规等级进行处罚，主管承担相应的连带责任
正确答案:ABD

25.不得从事任何危害客户网络安全的行为如:
A 在研发过程中植入恶意代码、恶意软件、后门，预留任何未公开的接口和账号等。
B 开发可绕过系统安全机制（认证、权限控制、日志记录）对系统或数据进行访问的功能
C 利用网络从事任何危害国家安全、社会公共利益，窃取或者破坏他人信息、损害他人合法权益的活动。
D 攻击、破坏客户网络等通信设施、破解客户账户密码
正确答案:ABCD

26.哪些属于个人敏感数据?
A 姓名
B 性取向
C 宗教或哲学信仰
D 工资
正确答案: BCD

27.研发工程师到客户现场服务交付时，经客户授权分配给研发工程师1个账户和密码，研发工程师通过邮件把账户密码转发给其他多名研发工程师和客户工程师使用，下列说法正确的是：
A 研发工程师非故意传播账户和密码，不涉及网络安全违规。
B 账号密码提供给多名客户工程师，不涉及网络安全违规
C 研发工程师应该仔细确认客户授权的范围。
D 传播/共享账户和密码，涉及网络安全违规
正确答案:CD

28.下列关于网络安全的理解，正确的是:
A 管理者和员工要真正认识到网络安全的重要性，改变思想意识
B 网络安全风险首先是缺乏网络安全意识，不能认为主观上没有恶意就没问题，关键是行为要符合网络安全规范，提供的产品和服务等不能给客户带来网络安全风险。
C 每个员工都是自己做的产品的第一安全负责人。
D 所交付的产品和服务出现任何问题，都要经得起法律的追溯，但不用承担相应法律责任。
正确答案 : ABC

29.关于系统账号管理和访问权限控制描述正确的是:
A 确保每个人员有唯一的用户身份证明和密码，仅供本人使用
B 定期对账号进行清理，清理不用的离职或调岗员工账号
C 定期对设备所有密码进行更新，并保证密码的复杂度
D 对访问权限进行必要的限制，遵从分权分域、最小授权原则。
正确答案:ABCD

30.以下哪些是产品安全要求的安全属性？
A 禁止后门、病毒
B 开源软件安全
C 安全测试
D 交付安全
正确答案:ABCD

31.下面哪些行为，属于网络安全二级违规：
A 测试的安全问题隐瞒不报
B 在对外交流中，未经客户书面授权，展示和披露网络安全红线问题或漏洞信息。
C 接入客户网络的电脑、通信终端、存储介质等未进行杀毒，导致客户网络或检测出病毒。
D 未经客户书面授权，传播、使用共享账号和密码
E 客户授权到期后，未删除和销毁持有的客户网络数据。
F 未经书面授权，在公开场合、公共媒体等谈论、传播或发布客户网络中的任何数据和信息
正确答案:BCDEF

32.下列行为中，哪些属于产品安全违规行为：
A 在产品中预留任何隐藏功能
B 测试出的安全问题隐瞒不报
C 借用他人配置库账号登陆配置库、修改代码、文档
D 使用他人账号或非授权账号登陆设备进行操作
正确答案:ABCD

33.<<华为业务群网络安全违规问责制度>>中明确规定，违规员工或相关责任人如触犯网络安全相关法律规定，公司依法追究其法律责任或保留依法追究法律责任的权利
正确 错误
正确答案 ：正确

34.A公司客户反馈，设备存在通话中断问题要求尽快解决。A公司委任工程师Z去现网进行问题分析定位。经客户书面授权后，工程师Z现场采集了数据惊醒分析定位，但问题一直无法解决。两周后问题重现，Z为了抓住转瞬即逝的定位实际，未经客户书面授权，接入客户网络，快速定位分析并解决了问题，该员工行为不涉及我那个罗安全违规。
正确 错误
正确答案 :错误

35.网络安全问题不仅是技术问题，已上什未法律问题、政治问题，我们应避免网络安全问题而导致公司崩溃的政治风险和法律后果。
正确 错误
正确答案: 正确

36.GDPR规定数据控制者和处理者对于能够识别数据主题个人数据的保存时限不得超过数据处理目的的必要。
正确 错误
正确答案: 正确

37.网络安全行为红线是有条件强制要求的在与业务冲突时，需优先满足业务需要。
正确 错误
正确答案 错误

38.任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能等危害网络安全的活动。
正确 错误

正确答案 正确

39. 获得客户书面授权，可以允许共享账号使用，并严格限定在授权的客户网络账号使用者范围内。
    正确 错误
    正确答案： 正确
    接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

学习基础 时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境 时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段

已经入门并且找到工作之后又该怎么进阶？详情看下图

给新手小白的入门建议：
新手入门学习最好还是从视频入手进行学习，视频的浅显易懂相比起晦涩的文字而言更容易吸收，这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦！