2025年信息系统安全专家移动应用安全策略制定专题试卷及解析.pdfVIP

2025年信息系统安全专家移动应用安全策略制定专题试卷及解析1

2025年信息系统安全专家移动应用安全策略制定专题试卷

及解析

2025年信息系统安全专家移动应用安全策略制定专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在移动应用安全开发生命周期（SDL）中，哪个阶段最需要重点进行威胁建模？

A、需求分析阶段

B、设计阶段

C、编码阶段

D、测试阶段

【答案】B

【解析】正确答案是B。威胁建模是在设计阶段进行的关键活动，它帮助识别潜在

的安全威胁并制定相应的缓解措施。在设计阶段进行威胁建模可以更早地发现安全问

题，降低修复成本。A选项需求分析阶段主要关注功能需求，C选项编码阶段关注代码

实现，D选项测试阶段主要验证安全性，但威胁建模应在设计阶段完成。知识点：SDL

安全流程。易错点：容易混淆威胁建模与安全测试的时机。

2、移动应用中，哪种加密算法最适合用于保护用户敏感数据的长期存储？

A、MD5

B、AES256

C、SHA1

D、Base64

【答案】B

【解析】正确答案是B。AES256是一种对称加密算法，提供强大的加密强度，适合

保护敏感数据的长期存储。A选项MD5是哈希算法，不适用于加密；C选项SHA1也

是哈希算法，且已被证明不安全；D选项Base64是编码方式，不是加密算法。知识点：

加密算法选择。易错点：容易混淆哈希算法与加密算法的用途。

3、在移动应用安全测试中，哪种方法最适合检测运行时内存泄露？

A、静态代码分析

B、动态分析

C、模糊测试

D、渗透测试

【答案】B

【解析】正确答案是B。动态分析通过运行应用并监控其行为，能够有效检测内存

泄露问题。A选项静态代码分析无法检测运行时问题；C选项模糊测试主要用于发现输

2025年信息系统安全专家移动应用安全策略制定专题试卷及解析2

入验证漏洞；D选项渗透测试关注整体安全性而非内存管理。知识点：移动应用安全测

试方法。易错点：容易混淆静态分析与动态分析的适用场景。

4、移动应用中，哪种权限管理方式最符合最小权限原则？

A、请求所有可能的权限

B、仅在需要时请求权限

C、在安装时请求所有权限

D、隐藏权限请求

【答案】B

【解析】正确答案是B。最小权限原则要求应用仅请求其功能所必需的权限，并在

需要时动态请求。A选项请求所有权限违反最小权限原则；C选项安装时请求所有权限

可能导致用户拒绝；D选项隐藏权限请求违反透明性原则。知识点：权限管理原则。易

错点：容易忽视权限请求的时机和必要性。

5、在移动应用安全中，哪种措施最能有效防止中间人攻击？

A、使用HTTPS

B、隐藏API密钥

C、代码混淆

D、输入验证

【答案】A

【解析】正确答案是A。HTTPS通过SSL/TLS加密通信内容，能够有效防止中间

人攻击。B选项隐藏API密钥不能防止通信被窃听；C选项代码混淆主要保护代码逻

辑；D选项输入验证防止注入攻击。知识点：通信安全。易错点：容易混淆不同安全措

施的防护目标。

6、移动应用中，哪种存储方式最不适合保存敏感数据？

A、Keychain（iOS）

B、SharedPreferences（Android）

C、加密数据库

D、安全硬件模块

【答案】B

【解析】正确答案是B。SharedPreferences在Android中默认未加密，容易被恶意

应用读取，不适合保存敏感数据。A选项Keychain是iOS的安全存储；C选项加密数

据库提供保护；D选项安全硬件模块提供最高级别的保护。知识点：移动应用数据存储

安全。易错点：容易忽视不同存储方式的安全性差异。

7、在移动应用安全中，哪种措施最能有效防止逆向工程？

A、代码签名

B、代码混淆

2025年信息系统安全专家移动应用安全策略制定专题试