1. 下列术语中,哪个的具体定义是:(通过对个人数据的技术处理,使其在不借助额外数据的情况下,无法识别个人数据主体的过程。()
A.数据脱敏;
B.去标识化;
C.匿名化;
D.假名化;
2.个人数据通过哪些操作处理后,不再属于个人数据。()
A.数据脱敏;
B.去标识化;
C.匿名化;
D.假名化;
3.下列的数据操作,哪种的数据隐私保密性最高。()
4.用户数据安全定级中,要求正确的是。()
A. 应考虑多个低等级数据存在可多维关联而升级为为高安全等级的数据的可能;
B. 对于同一数据,若存在定级判断模糊不清的情况,应优先按较高安全等级予以定级;
C. 对于结构化数据,应以数据整体结构粒度确定安全等级;
D. 高安全等级数据通过相应脱敏措施后的数据可以转变为低安全等级的数据;
5. SEEWO 对用户数据使用的范围和深度的视角将用户数据从宽松到严格划分为 S4-S0 五个安全等级,下面属于S1安全等级的是()
A.淫秽图片;
B.用户为备份上传的自拍;
C.用户的身份证正面照;
D.用户个人微信二维码截图;
6. SEEWO 对用户数据使用的范围和深度的视角将用户数据从宽松到严格划分为 S4-S0 五个安全等级,下面属于S0安全等级的是()
A.用户有关政治观点的言论;
B.用户上传的账号密码文档;
C.用户的身份证正面照;
D.用户备份的个人通讯录;
7. SEEWO 对用户数据使用的范围和深度的视角将用户数据从宽松到严格划分为 S4-S0 五个安全等级,下面属于S2安全等级的是()
A.用户学习产生的数据;
B.用户手机号;
C.用户上传的账号密码文档;
D.用户备份的个人通讯录;
8. SEEWO 对用户数据使用的范围和深度的视角将用户数据从宽松到严格划分为 S4-S0 五个安全等级,下面属于S0安全等级的是()
A.用户的指纹;
B.未满16岁的个人信息数据;
C.用户的行政处罚信息;
D.用户备份的个人通讯录;
9. SEEWO 对用户数据使用的范围和深度的视角将用户数据从宽松到严格划分为 S4-S0 五个安全等级,下面属于S1安全等级的是()
A.用户生活习惯、业余爱好;
B.用户自主选择再CVTE上公开的媒体数据;
C.用户的性取向;
D.用户与其他联系人往来的邮件;
10. SEEWO 对用户数据使用的范围和深度的视角将用户数据从宽松到严格划分为 S4-S0 五个安全等级,下面属于S4安全等级的是()
A.用户终端安装应用列表;
B.用户行政区、县级定位位置数据;
C.用户终端的cpu、内存信息;
D.用户终端最近使用网络浏览器访问的网址;
11.下列对数据收集要求说法正确的是()
A.只要通过用户允许,可以收集S0级数据;
B.对S1级数据的处理应优先考虑回传服务器的方案;
C.在满足业务必要性的前提下收集S2-S1级数据应基于应用的场景告知用户并获取用户同意;
D.S3级及以上数据的收集可以不获取用户的同意;
12.下列对传输安全要求时,说法错误的是()
A.用户的身份证正面照的传输应加密后传输;
B.用户的旅游风景照的传输应支持完整性校验,保证传输完整性;
C.不同机房之间的数据传输应基于安全传输通道;
D.用户通讯录的备份,通过http协议传输;
13.下列对存储安全要求说法正确的是()
A.除法规政策或行政条例明确注明的用途外,不可在SEEWO服务器上存储S0级的用户数据;
B.S2及以上数据应加密存储在业务系统或大数据平台上,建议采用不低于DES安全强度的密码算法;
C.在技术可行的情况下,S1数据的加密宜支持一个用户一个密钥;
D.以上选项全正确;
14.下列对内部数据使用要求说法错误的是()
A.任何业务系统不可使用S0数据,除了法规政策或行政条规有明文要求;
B.内部确因业务需要,在符合用户隐私政策的情况下,可直接访问S2级用户数据的;
C.相关系统应支持数据操作员、安全管理员、审计人员的角色分离设置;
D.S1级数据原则上应仅限在本业务系统内处理,且除用户外,任何人员均不得访问;
15.下列对外部数据使用要求说法错误的是()
A.外部第三方因业务需要,共享seewo用户数据,应走业务数据和隐私保护合规评审流程流,提交用户数据第三方共享/ 披露申请;
B.S2级及以上级别的数据原则上不得与第三方共享;
C.S4-S3级数据在符合业务需求的情况下,无需其他考虑可与第三方合作共享;
D. 与第三方合作伙伴共享的数据类别、起止时间、数据规模、责任部门/人员等应记录在案
16.下列对用户数据安全定级规则说法正确的是()
A.对于结构化数据,应以字段粒度确定安全等级
B.对于同一数据,若存在定级判断模糊不清的情况,应优先按较高安全等级予以定级。
C.应考虑多个低等级数据存在可多维关联而升级为为高安全等级的数据的可能;
D.高安全等级数据通过相应脱敏措施后的数据可以转变为低安全等级的数据,以便合规地处理;
17.在对称加密算法中,下面符合安全加密的算法是()
A.DES
B.AES/ECB
C.AES/GCM
D.DESX
18.再HASH算法中,下面符合安全标准的算法是()
A.MD5
B.SHA1
C.HAVAL
D.SHA2
19.对于RSA算法,下面错误的是()
A.服务端开源或第三方私钥可明文存储,但需要确保其访问权限;
B.密钥长度没做限制
C.禁止私钥硬编码或明文存储
D.禁止使用PKCS# 1 v1.5填充模式;
20.下列属于安全传输协议中,安全等级最高的是()
A.SSL V1
B.TLS V1
C.TLS V1.2
D.SSL V3
21.加密算法中,下面说法错误的是()
A.AES/GCM 密钥使用安全随机数生成,长度至少128bit;
B.禁止在数字签名生成场景使用SHA1;
C.算法若涉及密钥、IV、salt等密码学相关参数生成,都需要使用安全随机数,确保其不可预测性;
D.MD5禁止用于文件完整性校验场景;
22.hash算法中,下面说法正确的是()
A.MD5算法可用于口令加密场景;
B.SHA2是安全算法,推荐使用;
C.SHA1算法可用于数字签名生成场景;
D.MD5可用于文件完整性校验场景;
23.登录认证中,下面正确的是()
A.用户密码、口令必须满足一定的复杂度,以防止被暴力破解;
B.有管理职能用户的核心高危操作要进行二次认证;
C.所有登录接口必须使用https加密传输;
D.超级管理员系统必须内网访问,账号使用域账号登录;
24.登录或找回密码过程中,下面说法错误的是()
A.用户名或密码错误时,服务端返回的提示信息需具体到账户不存在、或密码错误;
B.需要限制登录失败次数;
C.找回密码过程需要接入二次校验;
25.对于登录成功后的会话,描述错误的是()
A.登录成功会话id必须采用随机算法生成;
B.登录成功后,必须更新会话id;
C.用户长时间无操作,会话超时登出;
D.用户退出登录后,无需对会话进行操作;
26.对文件上传相关的规定,错误的是()
A.所有文件存储必须接入希沃存储,禁止直接上传到服务器;
B.业务端不需要限定好可以上传的文件类型,cstore可检测文件类型;
C.产品用户上传的文件必须存储为私人型文件;
D.私有上传功能可以直接使用cstore的内容检查功能;
27.内部管理后台,需要满足()
A.原则上内部管理后台只允许内部访问,禁止开放至互联网;
B.内部管理后台的登录必须统一接入域账号;
C.内部管理后台系统统一接入权限管理系统完成认证授权和访问控制;
D.内部管理后台系统必须开发或接入日志审计系统,实现操作日志的安全审计
28.对于数据安全,下面说法正确的是
A. 敏感数据展示时需在服务端完成脱敏,再将脱敏后的数据传输到客户端展示;
B. 禁止数据库、日志文件中明文存储用户密码、支付密码、手机号、银行卡卡号、有效期、持卡人姓名、身份证号码等交易敏感数据;
C. 所有请求都是需要使用https加密传输,要求=TLS1.2;
D. S0、S1级敏感数据需要额外加密再传输;
29.针对接口安全,下面说法正确的是
A. 在访问三方服务提供的接口时,需要验证服务方的可信性,建议通过https协议进行访问;
B. 废弃的接口或无用的接口要及时下线,需要在服务端彻底删除或注释该接口,而不是依旧运行在服务端;
C. 在对第三方提供接口服务时,必须通过开放平台提供https的安全服务;
D. 针对涉及重要敏感数据交互的接口,需考虑增加接口的频率限制或访问时间段的限制
30.在业务安全中,说法正确的是
A. 验证码使用后失效、且需要有效时间;
B. 短信验证码,只能在接收手机号号使用,不可越权使用;
C. 服务端做数据校验
D. 复杂流程需要做流程事务控制