1.关于数据使用说法错误的是:
A.在知识分享、案例中如涉及客户网络数据,应取敏感化,不得直接使用
B.在公开场合、公共媒体等谈论、传播或发布客户网络中的数据,需获得客户书面授权或取敏感化,公开渠道获得的除外。
C 客户网络数据应在授权范围内使用,禁止用于其他目的。
D.项目结束后,若客户未明确要求,可以保存一些客户网络中数据在工作电脑上,以便日后用于对外交流,研讨等引用。
正确答案: D
2.下面哪项 不符合客户书面授权方式:
A 电子流
B 邮件
C.口头承诺
D.传真
E.会议纪要
正确答案: C
3.网络安全违规行为举报邮箱是:
[email protected]
[email protected]
[email protected]
[email protected]
正确答案:B
4.所有网变更操作都获得三个审批,不属于三审批范围的是:
A.直接主管
B.客户审批
C.项目审批
D.技术审批
正确答案:A
5.网络安全违规的规定依据是:
A.违规导致的结果
B.违规行为
C.客户满意度
D.行为人是否有主管恶意
正确答案:B
6.在客户交流、演示时,使用的资料或讲解中,误用敏感词汇使客户对华为产生网络安全的误解,属于()违规。
A.一级
B.二级
C.三级
D.四级
正确答案:B
7.以下有关个人隐私数据处理原则描述错误的是()
A.对于能够识别数据主体的个人数据,其储存时间可以超过其处理目的所必须的时间。
B.处理过程中应确保个人数据的安全,采取合理的技术手段、组织措施、避免数据未经授权即被处理或遭到非法处理,避免数据发生意外毁损或灭失。
C.个人数据的处理目的应当是为了实现数据处理目的而适当的、相关的和必要的。
D.个人数据应当是准备的,如有必要,必须及时更新;必须采取合理措施确保不准确的个人数据,即违反初始目的的个人数据,及时得到擦除或更正。
正确答案:A
8.网络安全是在法律合规下保护()的可用性、完整性、机密性、可追溯性和抗攻击性,及保护其所承载的()、客观的信息流动。
A 产品、解决方案;客户的产品和系统信息
B 产品、解决方案和服务;客户的产品和系统信息
C 产品、解决方案和服务;客户或用户的通信内容、个人数据及隐私
D 产品、服务;客户或用户的通信内容、个人数据及隐私。
正确答案:C
9.使用他人账号或非授权账号登录设备进行操作,属于网络安全()违规。
A 一级
B 二级
C 三级
D 四级
正确答案: A
10.关于数据处置,下列说法错误的是:()
A.包含客户网络数据的纸件废弃时必须销毁。
B.员工转岗时,应移交并删除本人所保留的客户网络数据,并申请取消响应信息系统的访问权限。
C.报废设备的客户网络数据可不销毁
D.禁止私自携带客户网络数据(含个人数据)的设备或存储介质离开客户场所。
正确答案:C
11.下面那些操作需要提前获得客户的书面授权:()
A.查看设备数据
B.接入客户网络
C.采集设备数据
D.修改设备数据
E.转移客户和网络数据
正确答案:ABCDE
12.中软国际内部运营管理中涉及的个人隐私数据包含哪些:()
A.员工信息
B.劳务(输入和输出)人员信息
C.求职者信息
D.以上都不是
正确答案:ABC
13.关于个人隐私的基本概念,描述错误的是:()
A.个人数据:是与一个身份与被识别或者身份可识别的自然(数据主题)相关的任何信息;身份可识别的自然人食指其身份可以通过注入姓名、身份这个号、位置数据等识别码或者通过注入姓名、身份证号码、位置数据等识别码或者通过一个或多个与自然人的身体、生理、精神、经济、文化、或者社会相关的特定因素来直接的被识别的自然人。
B.数据主体:是指通过个人数据可以直接或间接被识别的自然人。如华为产品、服务的用户、顾问、应聘人员、员工等。
C.数据控制者:是指单独或者与他们共同确定个人数据处理目的和手段的自然人、法人、公共机构、政府部门或其他机构,当多个或多个机构共同决定数据处理的目的和方式,他们被认为是共同控制者。如按照华为的要求为其提供维保服务,中软国际是数据控制者。
D.数据处理者,是指代表数据控制者处理个人数据的自然人、法人、公共机构、政府部门或者其他机构。如针对用户在华为云的注册信息,中软国际是数据处理者。
正确答案:BC
14.对管理责任人的问责,下列说法正确的是:
A.存在管理不力、知情不作为、放任等情形时,需对违规责任人直接或间接主管问责。
B.当出现群体事件或包庇违规人等不诚信行为时,对管理者可加重或从重处罚。
C.违规人员处罚等级为一、二级时,对管理者的处罚可参考执行二三级。
D.直接或间接主管无需承担管理连带责任。
正确答案:ABC
15.对于网络安全误解的是:
A 网络安全=信息安全
B 网络安全=人身安全
C 网络安全=网络平安、网络保障、网络运行稳定
D 各国政府、运营商、设备商、分包商和最终用户都很关注网络安全
正确答案:ABC
16.如下有关GDPR说法正确的是?
A. 只要关于欧盟成员国境内设立的公司,必须保护欧盟成员国居民的个人隐私西悉尼,此为属地原则
B.即使公司不在欧盟境内成立,但又涉及接触欧盟成员国居民的个人隐私信息,也必循遵守GDPR,此为属人原则。
C.如果你收集欧盟公民的数据,你就受到GDPR的管辖。除非你的公司非常严格的排除了欧盟,否则你还是得处理GDPR得合规问题,所以GDPR全休适用。
D.我就是普通研发人员,GDPR似乎跟我没有关系。
正确答案:ABC
17.关于产品安全要求,以下说法正确的是:
A.在编码阶段进行代码安全扫描,解决高风险的代码安全问题。
B.产品如含有开源软件,则须对开源软件的漏洞进行监测,并对存在的安全漏洞进行修复。
C.为完善产品的功能特性,可以对自己对产品进行修改,无需与客户沟通。
D.所有员工员工入职时必循签署《网络安全及用户隐私保护承诺函》
正确答案:ABD
18.处理个人数据的基本原则有哪些?
A 公开、透明
B 可问责
C 保密性
D 数据最小化
正确答案: BCD
19.关于配置管理,以下说法正确的是:
A 在产品需求、设计、开发、测试、发布等环节需对研发文档进行记录和管理
B 对版本/有效管理,包含但不限于系统软件版本管理、硬件版本管理、其他配套件版本管理等。
C 对变更的各类需求、变更流程及关键控制点KCP进行有效管理
D 可以使用网络下载工具和配置
正确答案:ABC
20.目前,全球网络安全面临的挑战。如下正确的是:
A 各国立法越来越严格,欧盟对通信隐私保护愈加严格
B 业界频繁曝光的网络安全事件,对运营商和设备商带来了巨大的压力。
C 网络安全事故对客户正常业务带来了风险和损失,必须加强网络安全预防,降低网络安全的管理和运维成本。
D.设备商和分包商被要求遵守当地的网络安全和相关法律。
正确答案:ABCD
21.下面那些行为,属于网络安全一级违规:
A 在提供的产品或服务中植入任何恶意代码、恶意软件、后门,预留任何未公开接口和账号。
B 未经客户书面授权,携带含客户网络数据(含个人数据)的设备或存储介质离开客户场所。
C 商用或转维后,保留或使用之前的管理员账号及其非授权账号。
D 扩散未经华为正式发布仅在研发活动使用的软件工具
E 项目正式结束后u,未按要求将涉及的数据(如工作电脑或服务器)及时移交给客户。
正确答案:ABCE
22.哪些选项属于隐私保护七原则
A 合法、正当、透明
B 数据最小化
C 存储周期限最小化
D 可共享
E 准确性
F目的限制性
正确答案: ABCEF
23.关于工具软件的使用,下列说法正确的是:
A 来源要合规:禁止下载、使用来自非华为正式渠道的软件版本、产品版本、服务交付工具。
B 使用用合规:华为正式发布的软件和工具应严格按照说明书要求的使用场景、使用范围、EOX公告、产品变更通知的相关要求使用。
C 客户工具要授权:使用客户提供的服务工具需由客户书面授权,明确使用要求(如使用对象、网络、范围、期限等),并由客户提供具体软件试题或下载地址。使用者应妥善保存并归档客户书面授权书。
D 违规要问责:对于违规的直接责任人将依据《中软国际华为业务群网络安全违规问责制度》进行问责
正确答案:ABCD
24.产品安全管理制度中违规员工的处罚正确的是:
A 一级违规:解除劳动关系,予以出名,且用不录用
B 触犯国家法律法规,公司依法追究其法律责任
C 对于员工出现违规的主管不用承担责任
D 员工如违反产品安全行为规范,将按相应违规等级进行处罚,主管承担相应的连带责任
正确答案:ABD
25.不得从事任何危害客户网络安全的行为如:
A 在研发过程中植入恶意代码、恶意软件、后门,预留任何未公开的接口和账号等。
B 开发可绕过系统安全机制(认证、权限控制、日志记录)对系统或数据进行访问的功能
C 利用网络从事任何危害国家安全、社会公共利益,窃取或者破坏他人信息、损害他人合法权益的活动。
D 攻击、破坏客户网络等通信设施、破解客户账户密码
正确答案:ABCD
26.哪些属于个人敏感数据?
A 姓名
B 性取向
C 宗教或哲学信仰
D 工资
正确答案: BCD
27.研发工程师到客户现场服务交付时,经客户授权分配给研发工程师1个账户和密码,研发工程师通过邮件把账户密码转发给其他多名研发工程师和客户工程师使用,下列说法正确的是:
A 研发工程师非故意传播账户和密码,不涉及网络安全违规。
B 账号密码提供给多名客户工程师,不涉及网络安全违规
C 研发工程师应该仔细确认客户授权的范围。
D 传播/共享账户和密码,涉及网络安全违规
正确答案:CD
28.下列关于网络安全的理解,正确的是:
A 管理者和员工要真正认识到网络安全的重要性,改变思想意识
B 网络安全风险首先是缺乏网络安全意识,不能认为主观上没有恶意就没问题,关键是行为要符合网络安全规范,提供的产品和服务等不能给客户带来网络安全风险。
C 每个员工都是自己做的产品的第一安全负责人。
D 所交付的产品和服务出现任何问题,都要经得起法律的追溯,但不用承担相应法律责任。
正确答案 : ABC
29.关于系统账号管理和访问权限控制描述正确的是:
A 确保每个人员有唯一的用户身份证明和密码,仅供本人使用
B 定期对账号进行清理,清理不用的离职或调岗员工账号
C 定期对设备所有密码进行更新,并保证密码的复杂度
D 对访问权限进行必要的限制,遵从分权分域、最小授权原则。
正确答案:ABCD
30.以下哪些是产品安全要求的安全属性?
A 禁止后门、病毒
B 开源软件安全
C 安全测试
D 交付安全
正确答案:ABCD
31.下面哪些行为,属于网络安全二级违规:
A 测试的安全问题隐瞒不报
B 在对外交流中,未经客户书面授权,展示和披露网络安全红线问题或漏洞信息。
C 接入客户网络的电脑、通信终端、存储介质等未进行杀毒,导致客户网络或检测出病毒。
D 未经客户书面授权,传播、使用共享账号和密码
E 客户授权到期后,未删除和销毁持有的客户网络数据。
F 未经书面授权,在公开场合、公共媒体等谈论、传播或发布客户网络中的任何数据和信息
正确答案:BCDEF
32.下列行为中,哪些属于产品安全违规行为:
A 在产品中预留任何隐藏功能
B 测试出的安全问题隐瞒不报
C 借用他人配置库账号登陆配置库、修改代码、文档
D 使用他人账号或非授权账号登陆设备进行操作
正确答案:ABCD
33.<<华为业务群网络安全违规问责制度>>中明确规定,违规员工或相关责任人如触犯网络安全相关法律规定,公司依法追究其法律责任或保留依法追究法律责任的权利
正确 错误
正确答案 :正确
34.A公司客户反馈,设备存在通话中断问题要求尽快解决。A公司委任工程师Z去现网进行问题分析定位。经客户书面授权后,工程师Z现场采集了数据惊醒分析定位,但问题一直无法解决。两周后问题重现,Z为了抓住转瞬即逝的定位实际,未经客户书面授权,接入客户网络,快速定位分析并解决了问题,该员工行为不涉及我那个罗安全违规。
正确 错误
正确答案 :错误
35.网络安全问题不仅是技术问题,已上什未法律问题、政治问题,我们应避免网络安全问题而导致公司崩溃的政治风险和法律后果。
正确 错误
正确答案: 正确
36.GDPR规定数据控制者和处理者对于能够识别数据主题个人数据的保存时限不得超过数据处理目的的必要。
正确 错误
正确答案: 正确
37.网络安全行为红线是有条件强制要求的在与业务冲突时,需优先满足业务需要。
正确 错误
正确答案 错误
38.任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能等危害网络安全的活动。
正确 错误
正确答案 正确
这是一份网络安全从零基础到进阶的学习路线大纲全览,小伙伴们记得点个收藏!
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-v19T846c-1677167179814)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sRoDZu4K-1677167179814)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]
网络安全导论
渗透测试基础
网络基础
操作系统基础
Web安全基础
数据库基础
编程基础
CTF基础
该阶段学完即可年薪15w+
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-il25GFVz-1677167179815)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]
弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞
该阶段学完年薪25w+
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ITOSD3Gz-1677167179816)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]
反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练
该阶段学完即可年薪30w+
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SKCwwld2-1677167179818)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]
蓝队基础
蓝队进阶
该部分主攻蓝队的防御,即更容易被大家理解的网络安全工程师。
攻防兼备,年薪收入可以达到40w+
需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!