第第PAGE\MERGEFORMAT1頁共NUMPAGES\MERGEFORMAT1頁移動(dòng)商務(wù)安全題庫及答案解析（含答案及解析）姓名：科室/部門/班級(jí)：得分：題型單選題多選題判斷題填空題簡答題案例分析題總分得分

一、單選題（共20分）

1.在移動(dòng)支付交易過程中，以下哪種安全技術(shù)屬于動(dòng)態(tài)驗(yàn)證手段？（）

A.數(shù)字簽名

B.動(dòng)態(tài)口令

C.指紋識(shí)別

D.激光紋理驗(yàn)證

2.根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者應(yīng)當(dāng)在網(wǎng)絡(luò)安全事件發(fā)生后（）小時(shí)內(nèi)向有關(guān)主管部門報(bào)告。（）

A.12

B.24

C.48

D.72

3.以下哪種移動(dòng)應(yīng)用權(quán)限申請(qǐng)方式最符合最小權(quán)限原則？（）

A.默認(rèn)授予所有權(quán)限，用戶可選擇關(guān)閉

B.僅在首次使用時(shí)請(qǐng)求必要權(quán)限，后續(xù)不再提示

C.通過隱私政策告知用戶權(quán)限用途，用戶確認(rèn)后授予

D.一次性請(qǐng)求所有權(quán)限，并在應(yīng)用中無差別調(diào)用

4.在移動(dòng)設(shè)備丟失后，以下哪種措施最能有效保護(hù)個(gè)人信息安全？（）

A.啟用屏幕鎖定密碼

B.關(guān)閉定位服務(wù)

C.禁用生物識(shí)別功能

D.降低設(shè)備存儲(chǔ)空間

5.根據(jù)ISO/IEC27005標(biāo)準(zhǔn)，移動(dòng)商務(wù)系統(tǒng)面臨的主要威脅類型不包括？（）

A.網(wǎng)絡(luò)釣魚

B.設(shè)備物理丟失

C.數(shù)據(jù)庫完整性破壞

D.社交工程學(xué)攻擊

6.以下哪種加密算法常用于移動(dòng)端數(shù)據(jù)傳輸加密？（）

A.RSA

B.AES

C.DES

D.ECC

7.在移動(dòng)支付風(fēng)控體系中，以下哪種策略屬于基于行為分析的異常檢測方法？（）

A.交易限額設(shè)置

B.設(shè)備指紋比對(duì)

C.IP地址黑白名單

D.雙因素認(rèn)證

8.根據(jù)歐盟GDPR法規(guī)，移動(dòng)應(yīng)用收集用戶地理位置信息時(shí)，以下哪種做法不合規(guī)？（）

A.在隱私政策中明確說明用途

B.默認(rèn)開啟位置權(quán)限，用戶可選擇關(guān)閉

C.僅在用戶主動(dòng)操作時(shí)請(qǐng)求權(quán)限

D.傳輸數(shù)據(jù)時(shí)采用端到端加密

9.在移動(dòng)APP代碼審計(jì)中，以下哪種漏洞類型最易通過靜態(tài)分析發(fā)現(xiàn)？（）

A.SQL注入

B.邏輯漏洞

C.權(quán)限繞過

D.重放攻擊

10.根據(jù)OWASP移動(dòng)安全指南，以下哪種安全開發(fā)實(shí)踐最能有效減少代碼層面的安全風(fēng)險(xiǎn)？（）

A.定期進(jìn)行代碼審查

B.自動(dòng)化測試覆蓋100%

C.使用第三方安全組件

D.無代碼開發(fā)平臺(tái)

11.在移動(dòng)商務(wù)場景中，以下哪種攻擊方式利用了SSL證書信任鏈的缺陷？（）

A.中間人攻擊

B.惡意軟件植入

C.交叉網(wǎng)站腳本（XSS）

D.暴力破解

12.根據(jù)中國《個(gè)人信息保護(hù)法》，移動(dòng)應(yīng)用處理敏感個(gè)人信息時(shí)，以下哪種情形不屬于例外情況？（）

A.經(jīng)過用戶書面同意

B.為提供商品或服務(wù)所必需

C.未經(jīng)用戶同意直接用于廣告推送

D.為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件

13.在移動(dòng)支付交易過程中，以下哪種安全技術(shù)屬于靜態(tài)驗(yàn)證手段？（）

A.一次性密碼（OTP）

B.證書認(rèn)證

C.設(shè)備綁定

D.動(dòng)態(tài)行為分析

14.根據(jù)NISTSP800-53標(biāo)準(zhǔn)，移動(dòng)商務(wù)系統(tǒng)應(yīng)實(shí)施的訪問控制措施不包括？（）

A.多因素認(rèn)證

B.會(huì)話超時(shí)設(shè)置

C.自動(dòng)重置密碼

D.權(quán)限分級(jí)管理

15.在移動(dòng)APP上架過程中，以下哪種安全檢測流程屬于第三方安全機(jī)構(gòu)審核范疇？（）

A.系統(tǒng)漏洞掃描

B.代碼混淆處理

C.功能兼容性測試

D.UI界面優(yōu)化

16.根據(jù)PCIDSS3.2標(biāo)準(zhǔn)，移動(dòng)支付接口應(yīng)滿足以下哪項(xiàng)安全要求？（）

A.數(shù)據(jù)傳輸必須使用HTTP協(xié)議

B.傳輸數(shù)據(jù)時(shí)需脫敏處理

C.支付密碼需存儲(chǔ)在本地設(shè)備

D.接口訪問無需IP白名單

17.在移動(dòng)設(shè)備生物識(shí)別技術(shù)應(yīng)用中，以下哪種場景最易引發(fā)隱私爭議？（）

A.支付驗(yàn)證

B.設(shè)備解鎖

C.應(yīng)用權(quán)限控制

D.位置信息綁定

18.根據(jù)中國《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度》，移動(dòng)商務(wù)系統(tǒng)若屬于三級(jí)系統(tǒng)，應(yīng)滿足以下哪項(xiàng)要求？（）

A.具備數(shù)據(jù)本地存儲(chǔ)能力

B.必須使用國密算法

C.具備災(zāi)備恢復(fù)能力

D.系統(tǒng)需通過公安部檢測

19.在移動(dòng)支付交易過程中，以下哪種安全技術(shù)屬于非對(duì)稱加密應(yīng)用？（）

A.對(duì)稱加密

B.消息摘要

C.數(shù)字簽名

D.隨機(jī)數(shù)生成

20.根據(jù)ISO/IEC27040標(biāo)準(zhǔn)，移動(dòng)商務(wù)系統(tǒng)安全運(yùn)維應(yīng)重點(diǎn)關(guān)注以下哪項(xiàng)指標(biāo)？（）

A.用戶活躍度

B.設(shè)備在線率

C.安全事件響應(yīng)時(shí)間

D.廣告點(diǎn)擊率

二、多選題（共15分，多選、錯(cuò)選不得分）

21.移動(dòng)商務(wù)系統(tǒng)常見的安全威脅類型包括？（）

A.跨站腳本（XSS）

B.跨站請(qǐng)求偽造（CSRF）

C.惡意軟件植入

D.DNS劫持

E.API接口未授權(quán)訪問

22.根據(jù)GDPR法規(guī)，移動(dòng)應(yīng)用收集用戶數(shù)據(jù)時(shí)，以下哪些做法屬于合規(guī)要求？（）

A.提供數(shù)據(jù)刪除選項(xiàng)

B.明確告知數(shù)據(jù)用途

C.設(shè)置7天無理由退訂功能

D.自動(dòng)獲取所有權(quán)限

E.定期進(jìn)行數(shù)據(jù)匿名化

23.在移動(dòng)支付風(fēng)控體系中，以下哪些策略屬于機(jī)器學(xué)習(xí)應(yīng)用場景？（）

A.交易行為建模

B.異常交易識(shí)別

C.風(fēng)險(xiǎn)評(píng)分卡

D.人工審核規(guī)則

E.證書撤銷管理

24.根據(jù)OWASP移動(dòng)安全指南，以下哪些代碼審計(jì)要點(diǎn)最易被忽略？（）

A.邏輯漏洞檢測

B.第三方組件安全

C.代碼混淆處理

D.注入攻擊防護(hù)

E.數(shù)據(jù)加密配置

25.在移動(dòng)設(shè)備丟失后，以下哪些安全措施最能有效保護(hù)數(shù)據(jù)？（）

A.遠(yuǎn)程數(shù)據(jù)擦除

B.屏幕鎖定密碼

C.定位服務(wù)開啟

D.自動(dòng)鎖定功能

E.權(quán)限分組管理

三、判斷題（共10分，每題0.5分）

26.根據(jù)中國《網(wǎng)絡(luò)安全法》，移動(dòng)應(yīng)用運(yùn)營者無需對(duì)用戶數(shù)據(jù)承擔(dān)安全保障責(zé)任。

27.動(dòng)態(tài)口令（OTP）屬于靜態(tài)驗(yàn)證手段。

28.移動(dòng)支付交易過程中，商家服務(wù)器必須存儲(chǔ)用戶銀行卡號(hào)。

29.根據(jù)ISO/IEC27001標(biāo)準(zhǔn)，移動(dòng)商務(wù)系統(tǒng)需建立安全事件響應(yīng)流程。

30.社交工程學(xué)攻擊可通過移動(dòng)APP推送消息實(shí)施。

31.移動(dòng)設(shè)備生物識(shí)別數(shù)據(jù)屬于個(gè)人敏感信息。

32.根據(jù)PCIDSS標(biāo)準(zhǔn)，移動(dòng)支付接口無需進(jìn)行安全測試。

33.在移動(dòng)APP上架過程中，應(yīng)用商店會(huì)進(jìn)行安全審核。

34.根據(jù)GDPR法規(guī)，移動(dòng)應(yīng)用可無條件收集用戶位置信息用于廣告推送。

35.移動(dòng)商務(wù)系統(tǒng)若使用國密算法，可豁免所有其他安全要求。

四、填空題（共10分，每空1分）

36.移動(dòng)商務(wù)系統(tǒng)需遵循的“CIA”安全原則分別指：________、________、________。

37.根據(jù)中國《個(gè)人信息保護(hù)法》，移動(dòng)應(yīng)用處理敏感個(gè)人信息需取得用戶的________同意。

38.移動(dòng)支付交易過程中，動(dòng)態(tài)口令（OTP）屬于________認(rèn)證方式。

39.根據(jù)OWASP移動(dòng)安全指南，移動(dòng)APP應(yīng)避免使用________協(xié)議傳輸敏感數(shù)據(jù)。

40.移動(dòng)設(shè)備丟失后，最有效的數(shù)據(jù)保護(hù)措施是________。

五、簡答題（共30分）

41.簡述移動(dòng)商務(wù)系統(tǒng)面臨的主要安全威脅類型及其防范措施。（10分）

42.根據(jù)GDPR法規(guī)，移動(dòng)應(yīng)用收集用戶數(shù)據(jù)需滿足哪些合規(guī)要求？（10分）

43.在移動(dòng)支付風(fēng)控體系中，如何結(jié)合機(jī)器學(xué)習(xí)技術(shù)提升異常交易識(shí)別能力？（10分）

六、案例分析題（共25分）

某電商APP用戶投訴其銀行卡頻繁被盜刷，經(jīng)調(diào)查發(fā)現(xiàn)：

1.用戶在公共Wi-Fi環(huán)境下使用APP支付；

2.APP未實(shí)施交易限額控制；

3.用戶設(shè)備存在惡意軟件，可自動(dòng)抓取密碼；

4.APP推送消息中包含“驗(yàn)證碼填寫”鏈接，點(diǎn)擊后跳轉(zhuǎn)至釣魚網(wǎng)站。

問題：

（1）分析上述案例中的安全漏洞類型及原因。（10分）

（2）提出針對(duì)性的安全改進(jìn)措施。（10分）

（3）總結(jié)移動(dòng)商務(wù)系統(tǒng)安全防護(hù)的關(guān)鍵要點(diǎn)。（5分）

參考答案及解析

參考答案

一、單選題

1.B2.B3.B4.A5.C6.B7.B8.D9.A10.A

11.A12.C13.B14.C15.A16.B17.D18.C19.C20.C

二、多選題

21.ABCDE22.AB23.ABC24.AB25.ABE

三、判斷題

26.×27.×28.×29.√30.√31.√32.×33.√34.×35.×

四、填空題

36.機(jī)密性、完整性、可用性

37.明確、單獨(dú)

38.雙因素

39.HTTP

40.遠(yuǎn)程數(shù)據(jù)擦除

五、簡答題

41.答：

（1）主要威脅類型及防范措施：

①跨站腳本（XSS）：通過輸入驗(yàn)證、輸出編碼、內(nèi)容安全策略（CSP）防范；

②跨站請(qǐng)求偽造（CSRF）：使用CSRF令牌、檢查Referer頭防范；

③惡意軟件植入：禁止安裝未知來源應(yīng)用、定期殺毒；

④DNS劫持：使用HTTPS、DNSSEC防范；

⑤API接口未授權(quán)訪問：設(shè)置API密鑰、權(quán)限控制。

42.答：

①明確告知數(shù)據(jù)用途（隱私政策）；

②用戶提供單獨(dú)同意選項(xiàng)（不可與其他功能捆綁）；

③提供數(shù)據(jù)刪除選項(xiàng)（“被遺忘權(quán)”）；

④數(shù)據(jù)最小化原則（僅收集必要信息）；

⑤定期進(jìn)行數(shù)據(jù)匿名化處理。

43.答：

①交易行為建模：通過機(jī)器學(xué)習(xí)分析用戶歷史交易特征，建立正常行為基線；

②異常交易識(shí)別：實(shí)時(shí)監(jiān)測交易金額、頻率、設(shè)備、IP等維度，識(shí)別偏離基線行為；

③風(fēng)險(xiǎn)評(píng)分卡：結(jié)合用戶信用、設(shè)備安全、交易場景等多維度數(shù)據(jù)，動(dòng)態(tài)評(píng)估風(fēng)險(xiǎn)等級(jí)。

六、案例分析題

（1）安全漏洞分析：

①網(wǎng)絡(luò)環(huán)境漏洞：公共Wi-Fi易被監(jiān)聽，未使用HTTPS導(dǎo)致傳輸數(shù)據(jù)可被截獲；

②風(fēng)控體系缺陷：未設(shè)置交易限額，導(dǎo)致盜刷金額不受控；

③設(shè)備安全漏洞：惡意軟件可抓取密碼，屬于終端防護(hù)不足；

④推送安全風(fēng)險(xiǎn)：釣魚鏈接誘導(dǎo)用戶輸入驗(yàn)證