线上考评系统安全加固师岗位招聘考试试卷及答案

线上考评系统安全加固师岗位招聘考试试卷及答案一、填空题（共10题，每题1分）1.网络安全漏洞中，最常见的注入攻击类型是______注入。（SQL）2.HTTPS默认使用的端口是______。（443）3.用于检测网络端口开放情况的常用工具是______。（Nmap）4.信息安全等级保护分为______个级别。（5）5.常见的Web应用防火墙简称是______。（WAF）6.数据加密算法中，AES属于______加密算法。（对称）7.防止SQL注入的常用方法是使用______语句。（预编译）8.网络安全中，DDoS攻击的全称是______。（分布式拒绝服务攻击）9.用于验证文件完整性的哈希算法常用的有SHA-256和______。（MD5）10.线上考评系统中，用户密码应采用______存储。（加盐哈希）二、单项选择题（共10题，每题2分）1.以下哪种攻击属于主动攻击？（B）A.窃听B.篡改C.流量分析D.信息泄露2.线上考评系统中，防止未授权访问后台应优先配置？（C）A.日志审计B.数据备份C.权限控制D.负载均衡3.以下哪个不是常见Web漏洞？（D）A.XSSB.CSRFC.SQL注入D.ARP欺骗4.HTTPS基于哪个协议加密传输？（A）A.TLS/SSLB.SSHC.FTPD.HTTP5.可用于漏洞扫描的工具是？（B）A.WiresharkB.NessusC.PuttyD.WinSCP6.“最小权限原则”指的是？（A）A.仅授予必要最小权限B.只给管理员权限C.权限越大越好D.随意调整权限7.防止XSS攻击的措施不包括？（D）A.输入过滤B.输出编码C.CSP配置D.端口关闭8.线上考评系统应用层加固措施是？（C）A.防火墙规则B.服务器补丁C.代码审计D.网络分段9.合法IP地址是？（B）A.56B.C.2D..110.信息安全“保密性”指？（A）A.数据不被未授权访问B.数据不被篡改C.数据可用D.数据完整三、多项选择题（共10题，每题2分，多选/少选/错选不得分）1.线上考评系统安全加固需考虑的层面包括？（ABD）A.网络层B.应用层C.仅数据层D.物理层2.常见身份认证方式有？（ACD）A.用户名密码B.明文传输C.双因素认证D.生物识别3.DDoS攻击防护措施有？（ABC）A.CDN加速B.流量清洗C.黑洞路由D.关闭所有端口4.防止SQL注入的方法有？（ABD）A.预编译语句B.存储过程C.拼接SQLD.输入验证5.信息安全三大核心属性是？（ABC）A.保密性B.完整性C.可用性D.可扩展性6.线上考评系统数据备份的重要性包括？（ABCD）A.防止数据丢失B.灾难恢复C.合规要求D.业务连续性7.属于Web应用漏洞的是？（ACD）A.XSSB.ARP欺骗C.CSRFD.命令注入8.服务器安全加固措施有？（ABD）A.关闭不必要服务B.及时打补丁C.开放所有端口D.禁用默认账户9.安全编码原则包括？（ABC）A.输入验证B.输出编码C.最小权限D.随意拼接参数10.线上考评系统日志审计的作用是？（ABCD）A.事后追溯B.异常行为检测C.合规审计D.故障排查四、判断题（共10题，每题2分，正确填“对”，错误填“错”）1.SQL注入攻击只能影响Web应用。（错）2.HTTPS比HTTP更安全，因加密传输数据。（对）3.双因素认证比单因素认证更安全。（对）4.关闭所有端口可完全防止网络攻击。（错）5.信息安全等级保护是国家强制要求。（对）6.日志审计不需要保留足够时间。（错）7.XSS攻击分为存储型和反射型。（对）8.预编译语句可完全防止SQL注入。（错）9.数据加密存储可防止数据泄露。（对）10.线上考评系统不需要考虑物理安全。（错）五、简答题（共4题，每题5分）1.简述线上考评系统SQL注入攻击的危害及防护措施。危害：窃取用户账号密码、篡改考评成绩、删除数据库表、获取服务器权限，导致系统瘫痪、数据泄露，影响考试公平性与公信力。防护措施：①用预编译语句替代SQL拼接；②输入过滤特殊字符（如'、;、--）；③数据库仅授予必要操作权限；④部署WAF拦截注入请求；⑤定期代码审计与漏洞扫描。2.线上考评系统身份认证环节的核心要求是什么？核心要求：①强密码策略（长度≥8位，含大小写/数字/特殊字符）；②双因素认证（短信+密码、生物识别）；③登录失败多次锁定账号；④权限最小化（考生仅能访问自身数据）；⑤密码加盐哈希存储，禁用明文。3.简述DDoS攻击对线上考评系统的影响及防护方法。影响：系统响应缓慢、无法访问，考生无法正常考试，业务中断，损害用户体验与机构信誉。防护方法：①部署CDN分散流量；②流量清洗过滤异常请求；③云服务商高防IP防护；④系统容量扩容；⑤定期压力测试验证抗攻击能力。4.线上考评系统数据安全防护需覆盖哪些环节？需覆盖：①数据采集（输入验证防恶意数据）；②数据存储（敏感数据加密，定期备份）；③数据传输（HTTPS加密）；④数据使用（权限控制）；⑤数据销毁（彻底删除无用数据）；⑥异地备份与恢复测试。六、讨论题（共2题，每题5分）1.线上考评系统“考试作弊”与“系统安全”如何平衡？平衡需兼顾防作弊与隐私安全：①防作弊用生物识别（人脸）+实时监控，但需端到端加密监控数据，仅授权监考访问；②禁止切屏功能需检测前端代码无XSS漏洞，不泄露系统信息；③避免过度收集考生数据（如全程录音），仅保留必要身份验证数据；④定期测试防作弊功能安全性，防止被破解同时不引入新漏洞，确保系统稳定与考生隐私安全。2.线上考评系统如何满足“等保2.0”合规要求？列举3项核心措施。满足等保2.0需从多维度：①安全通信网络：用HTTPS加