A：使用公司统一发布的可信工具软件;

B：未经授权，禁止下载和使用来源不可信的研发工具软件以及第三方工具包;

C：从互联网下载、安装未知来源的软件或非正版软件等;

D：为了保证服务器的运行效能和安全，除安装中间件、数据库等必要的软件外，服务器内原则上不安装其他非必要的软件;

A：代码必须存放于公司统一配置库，不得私自搭建配置库;

B：各项目应设置项目对代码等建立严格的访问控制，禁止任何未经授权的访问行为;

C：项目人员禁止将代码存放于外网电脑或上传、托管到互联网上;

D：将公司核心源代码等数据资产上传至私人Gitee;

A：部署前在研发环境进行测试;

B：可以使用个人终端连接生产环境进行升级;

C：部署系统前必须进行完整系统备份及数据备份，确保系统部署失败时可以及时回滚;

D：准备好系统部署的相关文档;

A：保护网络中各系统之间交换的数据，防止因数据被截获而造成泄密;

B：提供连接实体身份的鉴别;

C：防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致;

D：确保数据数据是由合法实体发出的;

A：Telnet

B：HTTPS

C：SFTP

D：SSH

A：密码长度

B：复杂度

C：更换周期

D：以上都是

A：终端存储明文密码本;

B：定期更新软件和操作系统;

C：使用公司授权的防病毒软件;

D：及时修补已知的安全漏洞;

A：使用公司内部加密邮件系统;

B：通过公司授权的即时通讯工具交流;

C：在公共无线网络上讨论项目细节;

D：通过VPN访问公司内部资料;

A：服务器内应用软件系统设置、项目测试环境维护等项目内具体的安全工作由产品研发中心统一负责;

B：服务器原则上应禁止匿名/默认帐号并且严格限制访问权限;

C：为了保证服务器的运行效能和安全，除安装中间件、数据库等必要的软件外，服务器内原则上不安装其他非必要的软件;

D：所有安装的中间件、数据库等应用软件服务应修改默认端口;

A：Githu

B：公司内部Gitla

C：码云

D：百度网盘

A：8

B：16

C：32

D：64

A：日志中需要记录系统中的所有业务操作、运行环境变化事件;

B：审计日志应宜包含如下内容：用户 ID 或引起这个事件的处理程序 ID，事件的日期、时间（时间戳），事件类型，事件内容，事件是否成功，请求的来源（例如请求的 IP 地址）;

C：应用软件系统应至少保证近 1 个月的审计记录无法被修改、删除和覆盖，1 个月或更早之前的审计记录可依据安全策略进行覆盖;

D：审计日志中如果包含敏感信息，需要进行脱敏处理;

A：随意分享用户数据以获取反馈;

B：仅在加密网络中传输用户数据;

C：将用户数据存储在未加密的外部硬盘上;

D：将用户数据打印出来并随意张贴;

A：禁止外包;

B：符合公司分包管理要求可以外包;

C：项目成员商议后可以外包;

D：隐瞒公司可以外包;

A：在研发阶段未遵守安全的编码规范，在系统不同模块中未使用统一的脱敏标准;

B：系统使用含有漏洞的第三方组件;

C：系统安全防护方案设计存在缺陷;

D：系统存在弱口令漏洞;

A：尝试sql注入;

B：尝试文件上传;

C：尝试命令执行;

D：长期未操作;

A：最小化原则：只保留业务需要的最少敏感信息;

B：保密性原则：敏感信息进行加密后再进行展示;

C：最大化原则：尽可能多的对敏感信息进行脱敏;

D：源端化原则：在敏感信息服务器源端进行脱敏;