2025年信息系统安全专家移动应用安全架构设计专题试卷及解析.pdfVIP

2025年信息系统安全专家移动应用安全架构设计专题试卷及解析1

2025年信息系统安全专家移动应用安全架构设计专题试卷

及解析

2025年信息系统安全专家移动应用安全架构设计专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在移动应用安全架构设计中，为了防止应用被逆向工程，最有效的技术手段是？

A、代码混淆

B、数据加密

C、安全传输

D、权限控制

【答案】A

【解析】正确答案是A。代码混淆通过改变代码结构、变量名等，使逆向工程变得

极其困难，是保护应用知识产权和核心逻辑的直接手段。B选项数据加密主要保护存储

和传输中的数据安全，但无法防止代码本身被分析。C选项安全传输保障网络通信安

全，与代码保护无关。D选项权限控制是运行时安全机制，不涉及代码层面的保护。知

识点：移动应用代码保护技术。易错点：混淆数据加密与代码混淆的作用范围。

2、移动应用进行安全架构设计时，以下哪种做法最符合“最小权限原则”？

A、应用启动时请求所有可能用到的权限

B、根据功能模块动态申请所需权限

C、优先使用高风险权限以提升用户体验

D、仅在安装时一次性申请所有权限

【答案】B

【解析】正确答案是B。最小权限原则要求应用仅在需要时申请和使用最小必要权

限，动态申请能精确控制权限范围。A和D选项一次性申请过多权限，违反最小权限

原则。C选项滥用高风险权限会增大安全风险。知识点：移动应用权限管理模型。易错

点：忽视权限申请的“必要性”和“时效性”。

3、在移动应用安全架构中，用于防止中间人攻击的核心机制是？

A、输入验证

B、证书固定（CertificatePinning）

C、本地存储加密

D、组件导出限制

【答案】B

【解析】正确答案是B。证书固定通过预置服务器证书或公钥，可彻底规避伪造证

书攻击，是防御中间人攻击的强效手段。A选项输入验证主要防止注入类攻击。C选项

2025年信息系统安全专家移动应用安全架构设计专题试卷及解析2

本地存储加密保护设备端数据。D选项组件导出限制防止组件被恶意调用。知识点：移

动应用通信安全。易错点：混淆通信层安全与存储层安全的防护目标。

4、移动应用安全架构中，以下哪种技术最适合保护用户敏感数据（如密码、Token）

的本地存储？

A、SharedPreferences（Android）或UserDefaults（iOS）

B、SQLite数据库加密

C、明文存储在应用私有目录

D、使用KeyStore/Keychain机制

【答案】D

【解析】正确答案是D。KeyStore（Android）和Keychain（iOS）是系统级安全容器，

提供硬件级加密和隔离存储，专门用于保护敏感数据。B选项SQLite加密虽安全，但

依赖第三方实现且可能存在密钥管理问题。A和C选项均存在明文或弱加密风险。知

识点：移动端敏感数据存储。易错点：忽视系统级安全组件的优先级。

5、在移动应用安全架构设计中，以下哪种方式最能有效防止重放攻击？

A、使用HTTPS通信

B、添加随机数（Nonce）和时间戳

C、限制API调用频率

D、对请求参数签名

【答案】B

【解析】正确答案是B。随机数和时间戳组合可确保每次请求的唯一性，是防御重

放攻击的标准做法。A选项HTTPS仅保障传输加密，无法防止请求被重复提交。C选

项频率限制可缓解但无法根除重放攻击。D选项签名验证请求完整性，但不保证时效

性。知识点：移动应用API安全防护。易错点：混淆“完整性”与“时效性”防护。

6、移动应用安全架构中，以下哪种组件最容易受到“意图劫持”（IntentHijacking）

攻击？

A、Activity（Android）

B、Service（Android）

C、ContentProvider（Android）

D、BroadcastReceiver