第19章测试：安全架构 - 系统架构教程

1

以下哪个不是安全设计的基本原则？

最小权限原则
深度防御
最大便利原则
失败安全

解析：

最大便利原则不是安全设计原则。安全设计应该优先考虑安全性，而不是便利性。正确的安全原则包括最小权限、深度防御、失败安全等。

2

多因素认证（MFA）通常包括以下哪些因素？

知识因素、持有因素、生物因素
用户名、密码、验证码
IP地址、设备ID、时间戳
加密、签名、哈希

解析：

多因素认证基于三类因素：知识因素（你知道的，如密码）、持有因素（你拥有的，如手机）、生物因素（你是谁，如指纹）。

3

RBAC访问控制模型的核心概念是什么？

用户直接拥有权限
通过角色来管理权限
基于属性的动态授权
访问控制列表

解析：

RBAC（基于角色的访问控制）的核心是通过角色来管理权限。用户被分配角色，角色拥有权限，这样简化了权限管理。

4

以下哪种加密方式适合大量数据的加密？

RSA非对称加密
AES对称加密
SHA哈希算法
MD5哈希算法

解析：

AES对称加密速度快，适合大量数据加密。RSA非对称加密速度慢，通常用于加密密钥。SHA和MD5是哈希算法，不是加密算法。

5

安全审计日志应该包含哪些关键信息？

时间戳、用户标识、操作类型、资源对象
用户密码、加密密钥、私人信息
系统配置、源代码、数据库结构
网络拓扑、硬件信息、软件版本

解析：

安全审计日志应包含时间戳、用户标识、操作类型、资源对象等关键信息，用于追踪和分析安全事件。不应记录敏感信息如密码。

6

防止SQL注入攻击的最有效方法是？

使用参数化查询
过滤特殊字符
使用HTTPS
限制数据库权限

解析：

参数化查询是防止SQL注入最有效的方法，它将SQL代码和数据分离。虽然其他方法也有帮助，但参数化查询是最根本的解决方案。

7

JWT令牌的主要优势是什么？

无状态、可扩展
永不过期
不需要验证
包含用户密码

解析：

JWT的主要优势是无状态和可扩展性。服务器不需要存储会话信息，令牌包含所有必要信息，便于分布式系统使用。

8

以下哪个不是XSS攻击的防护措施？

输出编码
CSP策略
CSRF Token
HttpOnly Cookie

解析：

CSRF Token是防护CSRF攻击的措施，不是防护XSS攻击的。XSS防护措施包括输出编码、CSP策略、HttpOnly Cookie等。

9

密钥管理的最佳实践包括？

定期轮换、安全存储、访问控制
硬编码在代码中
明文存储在数据库
所有人都可以访问

解析：

密钥管理的最佳实践包括定期轮换密钥、安全存储（如使用HSM）、严格的访问控制等。绝不应该硬编码或明文存储密钥。

10

安全架构设计中的"零信任"原则是指？

不信任任何用户或设备，始终验证
完全不使用安全措施
只信任内网用户
信任所有认证用户

解析：

零信任原则是指不信任任何用户或设备，无论其位置如何，都需要验证身份和权限。这与传统的"内网可信"模型不同。

🔒 第19章测试：安全架构