中国政企网络安全服务上岗证（正错题库）

个人答题结果，可以参考一下！！！

判断题：（正确是o、错误为x）

x 项目组成员中途离开项目组无需书面提交客户删除账号密码，统一在项目移交时，将网络中的账号、密码信息移交客户，向客户提交账号密码更改建议。

x为了迅速解决问题，可以不经客户同意，将客户网络中的用户数据直接传回到设备厂商总部所在的国家进行分析。

x网络安全违规问责的定级标准主要是依据违规所导致的结果

x 为了使用方便，账号密码可以被明文上传到公共系统中。（如：eCare变更单附件或其他系统中包含了客户网络或VPN的密码）。

X接入客户网络之前，给客户打电话确认之后即可接入客户网络进行问题处理。

o账号密码的管理目的是：加强服务工程师对运维账号的管理，防止服务工程师因账号管控流程执行不严格，设置弱口令等造成运维账号泄露，运维平台被攻击的问题。

x新建工程单机调测期间，不属于客户现网，远程接入无需获取客户授权。

o客户在遇到现网漏洞补丁升级等技术问题联系TAC处理。

x网络韧性指的是网络业务中断后快速恢复业务的能力。

单选题：

当发现客户给的帐号权限不够收集相关故障信息时，应该怎么处理？

==》向客户申请刷新账号权限，权限应包含故障信息的收集。

根据公司对商业合作伙伴的网络安全要求对供应链的商业合作伙伴进行稽查和绩效评价等日常管理。每年对物流LSP、报废服务商至少进行（）次网络安全的现场稽查。

==>1

远程接入所需产品客户端软件、产品工具应提前从（）网站下载，禁止通过其他方式获取。

==>support

华为公司的最高纲领是？

==>网络安全与隐私保护

ASP资源认证参加网络安全上岗证考试的及格分数为（ ）分；有效期（ ）年。

==>80分 2年

针对用户在Vmall（华为商城）的注册信息，华为的角色是？

==>数据控制者

以下对网络安全理解错误的是？

==》保障网络安全是指网络的防病毒防攻击，或者是对设备的物理保护。

以下关于账号密码的描述不正确的是？

==》客户使用弱密码及设备默认密码，属于客户习惯，服务工程师没有必要提醒客户修改。

《网络安全与隐私保护违规问责定级标准》规定：“未经客户授权或超出授权范围接入/操作客户网络”属（
）级违规行为。“违反公司规定，收集/使用/留存/披露/跨境转移个人数据，造成实质损害后果。”属（ ）级违规行为。

==》二 二

以下说法正确的是哪一项？

==》产品线Leader每个月组织学习网络安全与隐私保护。

以下哪种行为不属于网络安全的违规行为？

==》使用来自公司正式渠道的软件版本、补丁、License。

关于病毒查杀以下说法正确的是？

==》员工需定期进行full scan模式杀毒，当发现或怀疑电脑/存储感染时禁止接入客户网络。

对敏感个人数据的描述，不正确的是？

==》敏感个人数据与个人数据在法律上的要求完全一致。

关于客户培训用户隐私保护以下说法错误的是？

==>如果客户无法线上注册报名、签到和满意度反馈特殊情况下，由代表处纸面收集客户信息及意见。

下面选项中哪一个不属于“三授权”？

==>领导授权

多选题(正确):

下面哪些操作需要提前获得客户的书面授权？(ABCD)

B. 查看设备数据

C. 采集设备数据

D. 修改设备数据

A. 接入客户网络

远程服务完成后，应该完成以下哪些操作？(ABC)

A. 通知客户关闭设备侧远程服务环境。

B. 从网络中断开远程服务连接、停止远程服务软件的运行。

D. 远程服务完成后断开连接即可，其他事情客户自有规范，我们不用提醒。

C. 提醒客户及时更新远程服务过程中使用过的登录账号、密码

以下是服务工具的软件有？(ABD)

B. TeamViewer

A. wireshark

D. FTPServer

C. Google Chrome

以下哪些行为容易导致网络安全问题？(ABCD)

A. 客户账号授权已过期，为解决问题继续使用。

B. 为了测试告警邮件，将个人私人邮箱加入客户系统告警通知邮件列表。

D. 电脑感染病毒一时又无法彻底清除，抱着侥幸心理接入客户网络。

C. 请求第三方公司服务支持，第三方服务工程师将定位信息直接发回其公司。

代表处人员出入场管理中，针对对象有哪些？(ABCD)

A. 代表处TD

D. 代表处ASP员工

C. 出差CSE

B. 研发出差人员

关于客户网络数据处理，以下说法正确的是？(ACD)

B. 邀请研发一起共享桌面，查看和分析敏感客户网络数据。

A. 敏感数据禁止传出客户网络。

D. 对于包含客户网络数据的系统/电脑/存储介质需妥善保管，严格控制访问权限。

C 仅限于授权范围内使用，发送过程中做到权限最小化

人员管理是指对以下哪些人员进行管理？(AB)

A. 自有员工

B. 租赁员工

C. CSP员工

D. ASP员工

以下哪些属于华为对隐私保护/个人数据处理的基本原则？(ABCDEF)

A. 合法、正当、透明

B. 目的限制

C. 数据最小化

D. 准确性

F. 完整性与保密性

E. 储期限最小化

G. 可共享

在实施解决方案的过程中应考虑如下要求？(ABCDE)

B. 个人电脑病毒扫描

E. 按照实施方案内容进行操作

A. 客户准入许可或操作授权

C. 准守客户数据中心管理要求

D. 设备安装规范

高危操作“六禁令”是哪些？(ABCDEF)

A. 严禁在非行业默许时间操作（含远程操作）现网运行设备！

D. 严禁无策划方案或方案未经审核，盲目操作设备！

B. 严禁未经客户许可，擅自操作客户设备！

C. 严禁使用未经申请的软件版本进行开局、升级 !

E. 设备操作完毕后务必进行业务和计费等相关测试，严禁未经测试擅自离场!

F. 一旦出现网络设备重大事故，务必按照重大事故通报流程第一时间向主管通报，严禁隐瞒不报或延迟通报！

服务工具来源合规途径正确的是？(ACD)

A. Support网站、SupportE网站

B. 华为3MS网站

C. 产品目录平台

D. 客户书面提供

E. 研发提供

关于远程接入以下说法正确的是？(ACD)

B. 临时处理问题接入敏感网络。

A. 接入前获取客户授权。

C. 远程接入必须使用erad平台，操作禁止超出授权范围，确保可管理、可回溯。

D. 工作结束后，书面提醒客户及时更新帐户和密码等。

E. 工程期间设备还未移交给客户，使用向日葵或QQ直接远程接入。

多选错题：（选项是错误的）

组织保障实施要求有哪些？（ACDE）

A. 各部门成立网络安全小组

B. 发布正式任命或正式通知

E. 定期对服务工程师全员进行培训赋能

D. 加强服务工程师的网络安全意识教育

C. 负责网络安全相关事务落地

华为对隐私保护/个人数据处理的基本原则是？(全选)

B. 目的限制

A. 合法、正当、透明

D. 准确性

C. 数据最小化

F. 完整性与保密性

E. 存储期限最小化

G. 可归责

26、

以下哪些属于服务工具？（ADE）

A. office软件

B. 数据库

C. QQ音乐

E. XFTP

D. teamviewer

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础 时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境 时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作 时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段

第三阶段：进阶

已经入门并且找到工作之后又该怎么进阶？详情看下图

给新手小白的入门建议：
新手入门学习最好还是从视频入手进行学习，视频的浅显易懂相比起晦涩的文字而言更容易吸收，这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦！

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！