第第PAGE\MERGEFORMAT1頁共NUMPAGES\MERGEFORMAT1頁掌上安全考試題庫及答案解析（含答案及解析）姓名：科室/部門/班級：得分：題型單選題多選題判斷題填空題簡答題案例分析題總分得分

一、單選題（共20分）

1.在進行移動設備安全風險評估時，以下哪項指標不屬于常用的性能指標？

A.設備電池續(xù)航時間

B.應用程序安裝數(shù)量

C.系統(tǒng)可用存儲空間

D.設備運行溫度

2.根據(jù)等保2.0標準要求，三級信息系統(tǒng)安全等級保護測評中，以下哪個環(huán)節(jié)不屬于安全測評的必要步驟？

A.安全策略符合性檢查

B.數(shù)據(jù)備份恢復測試

C.用戶權限管理審計

D.網(wǎng)絡設備物理環(huán)境勘查

3.當移動應用出現(xiàn)數(shù)據(jù)泄露時，以下哪種應急響應措施應優(yōu)先采取？

A.立即下架應用

B.通知受影響用戶

C.啟動數(shù)據(jù)溯源分析

D.更新應用安全補丁

4.在移動設備加密存儲方案中，采用AES-256算法的主要優(yōu)勢是？

A.加密速度更快

B.對稱密鑰更短

C.抗破解能力更強

D.部署成本更低

5.根據(jù)OWASP移動安全指南，以下哪項行為最容易導致移動應用遭受中間人攻擊？

A.使用HTTPS傳輸數(shù)據(jù)

B.HTTP請求未進行加密

C.配置HSTS頭部

D.使用CORS策略

6.企業(yè)移動設備管理（MDM）方案中，以下哪項功能不屬于強制執(zhí)行類策略？

A.設備密碼復雜度要求

B.應用安裝白名單

C.遠程數(shù)據(jù)擦除

D.定時屏幕鎖定

7.在移動支付安全方案中，動態(tài)口令（OTP）的主要作用是？

A.加密交易數(shù)據(jù)

B.驗證用戶身份

C.壓縮傳輸流量

D.提高網(wǎng)絡速度

8.根據(jù)GDPR法規(guī)，移動應用收集用戶位置信息時，以下哪項做法符合合規(guī)要求？

A.默認開啟位置權限

B.僅在必要場景請求權限

C.使用模糊化位置數(shù)據(jù)

D.未經(jīng)用戶同意傳輸數(shù)據(jù)

9.在移動應用代碼審計中，以下哪種漏洞類型屬于邏輯漏洞？

A.SQL注入

B.跨站腳本（XSS）

C.權限繞過

D.證書解析錯誤

10.根據(jù)NISTSP800-171標準，移動設備離線使用時，以下哪項措施最能有效防止數(shù)據(jù)泄露？

A.啟用自動同步功能

B.設置設備加密鎖

C.關閉藍牙連接

D.限制外部存儲訪問

11.在移動設備物理安全防護中，以下哪項措施屬于“縱深防御”策略？

A.安裝防摔殼

B.設置屏幕密碼

C.使用安全鎖扣

D.限制USB數(shù)據(jù)傳輸

12.根據(jù)GMFV（全球移動設備安全框架），以下哪項場景屬于“數(shù)據(jù)傳輸”階段的安全風險？

A.設備存儲加密

B.網(wǎng)絡傳輸加密

C.應用權限管理

D.日志審計監(jiān)控

13.在移動應用安全測試中，以下哪種方法最適合檢測本地數(shù)據(jù)存儲漏洞？

A.網(wǎng)絡抓包分析

B.代碼靜態(tài)分析

C.模糊測試

D.動態(tài)內存監(jiān)測

14.根據(jù)ISO27001標準，移動設備安全管理應遵循的PDCA循環(huán)階段是？

A.規(guī)劃（Plan）

B.實施與運行（Do）

C.檢查（Check）

D.以上都是

15.在移動應用API安全防護中，以下哪項措施能有效防止重放攻擊？

A.使用HTTPS協(xié)議

B.設置請求時效限制

C.限制并發(fā)訪問量

D.增加請求頭復雜度

16.根據(jù)CIS安全基準，移動設備管理策略中，以下哪項屬于“認證與身份管理”范疇？

A.設備注冊流程

B.文件加密配置

C.應用白名單

D.遠程鎖屏

17.在移動應用權限管理中，以下哪項做法符合最小權限原則？

A.應用請求全部權限

B.按需申請權限

C.權限分組管理

D.權限永久存儲

18.根據(jù)FCPA（聯(lián)邦貿易委員會法案），移動應用推送營銷時，以下哪項做法可能引發(fā)合規(guī)風險？

A.提供退訂選項

B.自動開啟推送服務

C.明確告知推送目的

D.使用服務提供商身份發(fā)送

19.在移動設備漏洞修復流程中，以下哪個環(huán)節(jié)屬于“處置”階段？

A.漏洞驗證

B.補丁開發(fā)

C.影響評估

D.恢復驗證

20.根據(jù)CMMI（能力成熟度模型集成），移動應用安全開發(fā)能力提升應重點關注？

A.過程定義度

B.技術復雜度

C.資源投入量

D.產品創(chuàng)新性

二、多選題（共15分，多選、錯選不得分）

21.移動設備面臨的主要安全威脅包括？

A.惡意軟件感染

B.網(wǎng)絡釣魚攻擊

C.物理丟失

D.API接口濫用

E.硬件故障

22.根據(jù)ISO/IEC27005標準，移動應用安全風險評估應考慮哪些因素？

A.資產價值

B.威脅可能性

C.漏洞嚴重性

D.修復成本

E.用戶數(shù)量

23.企業(yè)移動應用安全基線應包含哪些內容？

A.系統(tǒng)加固配置

B.應用權限管理

C.日志審計策略

D.數(shù)據(jù)加密標準

E.第三方庫檢測

24.移動應用安全測試中，以下哪些方法屬于動態(tài)測試？

A.代碼靜態(tài)分析

B.模糊測試

C.模擬攻擊

D.代碼審查

E.依賴庫掃描

25.根據(jù)CIS移動設備安全指南，以下哪些措施屬于“設備配置”范疇？

A.系統(tǒng)版本升級

B.屏幕鎖定策略

C.數(shù)據(jù)擦除配置

D.網(wǎng)絡訪問控制

E.應用安裝白名單

三、判斷題（共15分，每題0.5分）

26.在移動應用中，使用JWT（JSONWebToken）無需服務器存儲會話狀態(tài)。（√）

27.根據(jù)等保2.0，三級系統(tǒng)必須部署入侵檢測系統(tǒng)（IDS）。（√）

28.移動設備指紋技術可用于防止應用破解，屬于主動防御手段。（×）

29.GDPR法規(guī)要求企業(yè)必須刪除用戶數(shù)據(jù)，但無需提前通知用戶。（×）

30.MDM方案中，“強制執(zhí)行”策略比“建議性”策略優(yōu)先級更高。（√）

31.HTTP/2協(xié)議默認使用TLS加密傳輸。（×）

32.移動應用代碼混淆可以有效防止逆向工程。（×）

33.根據(jù)GMFV，設備丟失屬于“數(shù)據(jù)存儲”階段風險。（×）

34.NISTSP800-53標準要求所有系統(tǒng)必須實施多因素認證。（√）

35.移動支付應用必須使用銀行級加密算法。（√）

36.ISO27040標準專門針對移動設備安全管理。（×）

37.OWASP移動安全指南是強制性行業(yè)標準。（×）

38.企業(yè)內部移動應用開發(fā)無需考慮外部合規(guī)要求。（×）

39.動態(tài)口令（OTP）比靜態(tài)密碼安全性更高。（√）

40.移動設備安全策略應定期（至少每年）進行評估。（√）

四、填空題（共10空，每空1分，共10分）

41.移動設備安全防護應遵循______、______、______的layereddefense（縱深防御）原則。

42.根據(jù)GDPR，移動應用處理用戶生物信息時，必須滿足______、______和______三個核心原則。

43.企業(yè)移動應用安全基線應包含______、______和______三個維度。

44.移動應用安全測試中，______和______是兩種常用的靜態(tài)測試方法。

45.根據(jù)GMFV，移動應用安全生命周期包括______、______、______和______四個階段。

五、簡答題（共30分）

46.簡述移動應用遭受惡意軟件攻擊的主要途徑及防護措施。（6分）

47.根據(jù)等保2.0要求，三級信息系統(tǒng)安全等級保護測評中，應重點關注哪些安全控制措施？（8分）

48.結合實際案例，分析移動支付應用中常見的風險場景及應對策略。（10分）

49.企業(yè)在制定移動設備安全策略時應考慮哪些關鍵因素？（6分）

六、案例分析題（共25分）

案例背景：

某電商公司推出了一款移動購物應用，用戶可通過應用瀏覽商品、下單支付。近期發(fā)現(xiàn)部分用戶反映應用在連接公共Wi-Fi時出現(xiàn)數(shù)據(jù)泄露，同時應用后臺日志顯示存在異常的API調用記錄。經(jīng)初步排查，應用采用明文傳輸數(shù)據(jù)，且未實現(xiàn)設備丟失后的數(shù)據(jù)自動加密擦除功能。

問題：

1.分析本案例中存在的安全風險點及潛在原因。（8分）

2.提出針對上述問題的修復措施及預防建議。（10分）

3.結合案例場景，說明企業(yè)應如何完善移動應用安全管理體系？（7分）

參考答案及解析

參考答案

一、單選題

1.B

2.D

3.C

4.C

5.B

6.C

7.B

8.B

9.C

10.B

11.B

12.B

13.B

14.D

15.B

16.A

17.B

18.B

19.B

20.A

二、多選題

21.ABC

22.ABCD

23.ABCD

24.BCE

25.ABCDE

三、判斷題

26.√

27.√

28.×

29.×

30.√

31.×

32.×

33.×

34.√

35.√

36.×

37.×

38.×

39.√

40.√

四、填空題

41.身份認證，訪問控制，數(shù)據(jù)保護

42.合法性，目的性，最小化

43.系統(tǒng)配置，應用安全，數(shù)據(jù)安全

44.代碼審查，靜態(tài)代碼分析

45.設計，開發(fā)，測試，部署

五、簡答題

46.惡意軟件攻擊途徑：

①應用商店植入（通過仿冒應用或捆綁惡意代碼）；

②聯(lián)網(wǎng)環(huán)境攻擊（利用Wi-Fi嗅探或中間人攻擊）；

③用戶行為誘導（通過釣魚鏈接或偽基站發(fā)送惡意APK）。

防護措施：

①僅從官方渠道下載應用；

②啟用應用權限管理（如限制后臺數(shù)據(jù)訪問）；

③安裝安全防護應用；

④定期更新系統(tǒng)及應用補丁。

47.重點控制措施：

①訪問控制（身份認證、權限管理）；

②數(shù)據(jù)保護（加密存儲、傳輸加密、脫敏處理）；

③網(wǎng)絡通信安全（防火墻、入侵檢測、VPN接入）；

④設備安全（終端加固、物理防護）；

⑤日志審計（操作記錄、異常告警）。

48.風險場景及應對：

①風險場景：

a.支付接口未加密（通過抓包篡改金額）；

b.惡意SDK注入（竊取支付驗證碼）；

c.用戶賬號泄露（撞庫盜刷）。

②應對策略：

a.接口使用HMAC或RSA簽名驗證；

b.第三方SDK安全檢測（如CNCERT檢測工具）；

c.雙因素認證+設備綁定。

49.關鍵因素：

①安全需求（業(yè)務場景決定防護級別）；

②技術現(xiàn)狀（設備能力與兼容性）；

③法律合規(guī)（GDPR、等保等法規(guī)要求）；

④成本效益（投入產出比分析）；

⑤用戶接受度（策略對業(yè)務體驗的影響）。

六、案例分析題

1.風險點及原因：

①明文傳輸數(shù)據(jù)（采用HTTP協(xié)議，易被Wi-Fi嗅探）；

②缺失設備丟失防護（未配置遠程數(shù)據(jù)擦除）；

③API異常調用（可能存在未授權訪問或數(shù)據(jù)泄露）。

原因：

a.開發(fā)團隊忽視安全需求；

b.未遵循OWASP安全編碼規(guī)范；

c.后臺審計機制缺失。

2.