作者：sid

身份鉴别
1:配置口令复杂度要求的文件是如下哪个？
[‘/etc/pam.d/system.auth’, ‘/etc/pam.d/config.auth’, ‘/etc/passwd’, ‘/etc/issue’]
答案：[‘1’]

2:”passwd -l root“ 为锁定root用户。
[‘正确’, ‘错误’]
答案：加微信看答案

访问控制
3:禁止未授权用户访问系统资源应该配置etc下的hosts.deny 两个文件hosts.allow。
[‘正确’, ‘错误’]
答案：

4:限制用户对su的使用应该开启wheel组。
[‘正确’, ‘错误’]
答案：

日志审计
5:查看syslogd（rsyslogd）服务进程是否已启动可以判断系统审计的开错误。
[‘正确’, ‘错误’]
答案：

6:系统日志远程存储是为了保护系统日志不被删除，进行保护。
[‘正确’, ‘错误’]
答案：[‘1’]

安全传输、资源控制及安全管理
7:telnet和ssh都是安全加密的远程管理方法。
[‘正确’, ‘错误’]
答案：加微信看答案

8:Ssh 5.3版本以上都是安全稳定的。
[‘正确’, ‘错误’]
答案：

9:会话超时仅仅配置/etc/profile文件就可以。
[‘正确’, ‘错误’]
答案：

10:vi /etc/security/limits.conf配置文件，设置用户对系统资源的最大使用阈值。
[‘正确’, ‘错误’]
答案：

11:关闭不必要的端口和服务。
[‘正确’, ‘错误’]
答案：[‘1’]

12:系统安全补丁可以直接打，不用测试补丁。
[‘正确’, ‘错误’]
答案：加微信看答案

剩余信息保护及其他安全要求
13:隐藏系统登录信息仅仅配置etc下的issue文件就行。
[‘正确’, ‘错误’]
答案：

14:用户使用过的旧命令条数应该限制，防止信息泄露。
[‘正确’, ‘错误’]
答案：

15:时钟不同步，应该配置ntp服务开启。
[‘正确’, ‘错误’]
答案：

16:缺省的运行级别为字符界面，运行级别为5。
[‘正确’, ‘错误’]
答案：[‘2’]

Linux安全加固基础
17:Linux下设置密码更新周期和密码过期之前警告信息的配置文件是如下哪个？
[‘/etc/login.conf’, ‘/etc/login.defs’, ‘/etc/login.auth’, ‘/etc/passwd’]
答案：加微信看答案

18:对修改启动引导文件进行身份鉴别,应该设置如下哪个文件？
[‘/boot/grub/grub.conf’, ‘/boot/grub/grub.auth’, ‘/boot/grub.conf’, ‘/etc/ssh/ssh_config’]
答案：

19:限制用户对su的使用时候，应该使用以下哪个命令移动用户到wheel组？
[‘usermod’, ‘useradd’, ‘groupadd’, ‘gpasswd’]
答案：

20:Ssh 禁止root远程登录，应该在配置文件里面添加那一项？
[‘RhostsAuthentication no’, ‘PermitRootLogin no’, ‘RhostsRSAAuthentication no’, ‘PermitEmptyPasswords no’]
答案：

21:使用以下哪个命令查看系统的所有限制？
[‘Ulimit’, ‘Unlimit’, ‘Limit’, ‘dlimit’]
答案：[‘1’]

应用安全风险
1:以下哪一种风险不属于OWASP 2017 Top 10应用安全风险？
[‘敏感数据泄露。’, ‘跨站脚本（XSS）。’, ‘失效的访问控制。’, ‘跨站点请求伪造（CSRF）。’]
答案：[‘4’]

2:如果一个web服务的数据库配置不当，黑客可以通过SQL注入漏洞，篡改数据库中的内容。
[‘正确’, ‘错误’]
答案：加微信看答案

如何应对安全风险
3:对于安全开发人员，提升应用程序和接口的安全很重要，但是不如在应用开发初始阶段就进行安全设计这样节省成本。
[‘正确’, ‘错误’]
答案：

4:企业组织应该建立安全可视化和可量化机制，让所有不同角色的人都能理解应用程序的安全态势。
[‘正确’, ‘错误’]
答案：

软件安全开发生命周期及小结
5:以下哪一个不属于需求阶段的安全活动？
[‘建立威胁模型。’, ‘明确软件产品的安全要求。’, ‘建立Bug标准，确定Bug等级。’, ‘风险评估，找出软件的高风险点。’]
答案：

6:下列哪一项不属于安全编码的最佳实践？
[‘避免缓冲区溢出。’, ‘采用代码静态分析工具。’, ‘加强单元测试。’, ‘定义安全开发代码规范并执行。’]
答案：[‘3’]

7:模糊测试最初被用于发现可靠性bug，但后来也被证明是一种发现安全bug行之有效的方式。包括文件、网络协议、API等方式构造畸形数据进行测试。
[‘正确’, ‘错误’]
答案：加微信看答案

软件安全开发
8:安全测试就是定期对产品进行安全扫描或渗透测试，提供安全相关信息。
[‘正确’, ‘错误’]
答案：

9:以下哪一个开发模型不属于安全开发模型？
[‘SDL’, ‘CMMI’, ‘SAMM’, ‘BSIMM’]
答案：

10:SDL定义的安全活动的实施，不能够干扰正常的软件开发过程，应该找时间独立统一实施。
[‘正确’, ‘错误’]
答案：

11:不属于基本软件安全培训应涵盖的基础概念的是？
[‘安全设计。’, ‘安全响应。’, ‘威胁建模。’, ‘安全编码。’]
答案：[‘2’]

《期货公司柜台系统数据接口规范》解读
1:根据期货公司柜台系统数据接口规范，柜台系统分为交易、清算、账户与资金、风控四个子系统。
[‘正确’, ‘错误’]
答案：[‘1’]

2:各子系统之间数据交互方式包括非实时文件方式和实时报文方式。
[‘正确’, ‘错误’]
答案：加微信看答案

3:开盘前交易系统上场的数据包括（）。
[‘账户数据’, ‘费率数据’, ‘成交数据’, ‘昨持仓数据’]
答案：

4:盘后交易系统下场的数据包括（）。
[‘账户数据’, ‘费率数据’, ‘成交数据’, ‘昨持仓数据’]
答案：

5:清算系统输入的数据包括（）。
[‘账户数据’, ‘费率数据’, ‘成交数据’, ‘昨持仓数据’]
答案：

OWASP简介
1:关于OWASP说法正确的是？
[‘OWASP是一个开源的专注于Web安全问题得组织。’, ‘OWASP是一个美国开放的安全机构。’, ‘OWASP是一个专注渗透测试的开源组织。’, ‘OWASP是一个开源的专注于SQL安全问题得组织。’]
答案：[‘1’]

2:已知某个链接存在SQL注入漏洞，网址是http://www.xxx.com.cn/product.asp?id=20，以下哪个URL访问之后，页面不会报错？
[‘http://www.xxx.com.cn/product_more.asp?id=20’, ‘http://www.xxx.com.cn/product_more.asp?id=20 and 1=1’, ‘http://www.xxx.com.cn/product_more.asp?id=20 and 1=2’, ‘http://www.xxx.com.cn/product_more.asp?id=20 and 99*9<100'] 答案：加微信看答案

OWASP TOP 10 2017
3:2018年8月份汉庭酒店发生信息泄露事件，据报道原因是由于运维人员将数据库账户信息同步到了github上了，关于信息泄露说法正确的是？
[‘Web站点轻易不会发生信息泄露事件。’, ‘信息泄露事件一般影响不大。’, ‘信息泄露事件只发生在酒店行业。’, ‘信息泄露可能会导致例如用户账户、密码、身份信息、电话等数据泄露，会对个人的安全产生严重影响。’]
答案：

4:关于访问控制说法错误的是？
[‘对于Web站点的安全问题可以通过WAF来实现安全控制。’, ‘访问控制只能实现对外的连接，对内不能。’, ‘MySQL、MSSql等数据库可以通过修改配置文件实现安全加固措施。’, ‘Web站点只能通过买防火墙等安全设备进行访问控制等安全加固措施。’]
答案：

常用Web安全工具
5:下列不属于安全配置的选项是？
[‘检查上传文件的大小、类型、后缀格式等属性，防止上传恶意文件。’, ‘Web网站安装并运行并不需要的服务，比如FTP或SMTP。’, ‘对于站点的所有输入进行过滤转义，防止有SQL注入攻击。’, ‘在登录页面选择POST方法传递账户信息，并在后台做校验，防止万能密码登录。’]
答案：

6:日志记录监控是Web安全非常重要的一个安全问题，请问网络安全法中关于日志保留时间说法正确的是？
[‘1个月’, ‘3个月’, ‘6个月’, ‘1年’]
答案：[‘3’]

OWASP TOP 10与常见Web应用安全风险介绍
7:Sqlmap经常用来做注入检测，下面关于Sqlmap语法表述错误的是？
[‘–current-db 表示获取当前数据库名称。’, ‘–-tables –D security 表示获取security数据库的表信息。’, ‘–dbs 表示枚举处mysql数据库中当前所有的数据库信息。’, ‘–dump –column username,password 表示抓取字段值。’]
答案：加微信看答案

8:以下哪项是burpsuite不具备的功能？
[‘代理抓取HTTP数据包。’, ‘修改HTTP数据包。’, ‘可以爆破账户信息。’, ‘可以修改HTTP的返回值。’]
答案：

9:下面关于网络安全工具说法不正确的是？
[‘Brupsuite是一款非常流行的Web安全工具。’, ‘Wireshark在网络安全领域不怎么受欢迎。’, ‘nmap是一款网络扫描工具。’, ‘AWVS经常用来做漏扫工作。’]
答案：

10:一般来说，通过WEB运行http服务的子进程时，我们会选择（ ）的用户权限方式，这样可以保证系统的安全。
[‘root’, ‘httpd’, ‘guest’, ‘nobody’]
答案：

应急预案制定
1:以下哪个选项一般不是制定应急预案的参考依据 ?
[‘《中华人民共和国突发事件应对法》’, ‘《中华人民共和国网络安全法》’, ‘《证券期货业信息安全事件报告与调查处理办法》’, ‘《中华人民共和国证券法》’]
答案：[‘4’]

2: 从证券期货行业突发事件划分惯例看，突发事件划分为几级较为合适？
[‘三级。’, ‘四级。’, ‘五级。’, ‘六级。’]
答案：加微信看答案

应急演练工作要点
3:针对不同的演练场景下参与方。以下哪个选项描述最准确？

1. 组织机构。2.部门。3．人员。4.关联方
[‘只包含1、2。’, ‘只包含1、3、4。’, ‘只包含1、2、3。’, ‘可能包含1、2、3、4。’]
答案：

4:通常所说的应急演练方式，不包括一下哪个选项？
[‘桌面推演。’, ‘功能演练。’, ‘全面演练。’, ‘行业演练。’]
答案：

应急预案制定及应急演练工作要点
5:从应急预案层级划分的角度，以下哪个不属于应急预案层级性关键材料？
[‘总预案。’, ‘分预案。’, ‘应急通讯录。’, ‘应急操作手册。’]
答案：

6:以下选项是关于突发事件分级响应和处置的主要内容描述最全面的？1. 报告和处置原则。2.不同级别的处置流程。
3．向有关部门报告。 4.主要的处置措施。5. 向行业相关部门通报情况。
[‘1、2、3。’, ‘1、3、4、5。’, ‘1、2、3、4。’, ‘1、2、3、4、5以上全是。’]
答案：[‘4’]

7:应急演练需进行完备记录，以下哪个选项描述最合适？
[‘至少需记录时间、地点、人员、操作内容、操作结果。’, ‘至少需记录时间、人员、操作内容、操作结果。’, ‘至少需记录时间、人员、操作内容、操作结果、异常情况。’, ‘至少需记录时间、地点、人员、操作内容。’]
答案：加微信看答案

8:关于应急演练完成后，以下的哪个选项是最重要的？
[‘宣布演练完成。’, ‘汇报演练成果。’, ‘完善应急预案。’, ‘进行总结表彰。’]
答案：

行业软件测试现阶段探索
1:关于测试设计方法表述错误的是？
[‘边界值分析法是对等价类划分法的一种补充。’, ‘正交实验法（Pairwise） 比全正交（判定表法）覆盖强度更高。’, ‘等价类划分是全正交（判定表法）的基础，划分的粒度越精细，全正交覆盖率越高。’, ‘穷尽法覆盖强度最高，但成本过高难以实现。’]
答案：[‘2’]

2:关于正交实验法（Pairwise）表述错误的是？
[‘基于两两组合的策略。’, ‘覆盖两个因子的交互作用产生的用例集合性价比最高。’, ‘是对全正交设计法进行了优化，适当的提高了效率。’, ‘可以有效应对极细测试粒度下的叠加场景引发的缺陷。’]
答案：加微信看答案

人工智能对软件测试影响
3:人工智能所需的三要素分别是: 数据量,计算能力和算法。
[‘正确’, ‘错误’]
答案：

4:低技能,处理大数据量的工作是人工智能的替代路径, 将逐步被人工智能取代。
[‘正确’, ‘错误’]
答案：

记忆神经网络（LSTM）实现仿真测试
5:关于人工智能表述错误的是？
[‘人工智能可以代替人类实现识别，认知，分析，决策等多种功能。’, ‘在特定领域，特定需求条件下，弱人工智能的表现已经明显优于人类。’, ‘弱人工智能具有比较好的可解释性。’, ‘人工智能还将长期处于弱人工智能时代。’]
答案：

6:单纯增加深度神经网络层数, 不增加数据量也可以明显提升学习效果 。
[‘正确’, ‘错误’]
答案：[‘2’]

人工智能在软件测试中的应用探索
7:关于深度神经网络正确的表述是？
[‘属于强人工智能。’, ‘层数越深,学习数据量越大,学习效果越好。’, ‘深度神经网络是依靠做定性分析来完成判断和预测。’, ‘无法还原非线性的复杂原函数。’]
答案：加微信看答案

8:下面最适合使用LSTM记忆神经网络的场景是？
[‘识别一张图片是否有猫存在。’, ‘根据肿瘤的大小,形状,血流情况的输入判断是否属于良性。’, ‘根据用户某些特征,对相似用户进行聚类。’, ‘识别一段文字描述所表达的含义。’]
答案：

9:LSTM记忆 神经网络可以基于上一次已经预测的结果进行继续预测。
[‘正确’, ‘错误’]
答案：

10:聚类算法通常都会作为其他人工智能算法的前驱过程。
[‘正确’, ‘错误’]
答案：

非上市股权投资估值
1:下列哪个关于行业指标法的描述是错误的是（ ）。
[‘行业指标法通常只在有限情况下运用’, ‘行业指标法通常用来对别的方法进行验证’, ‘行业指标法是市场法的一种应用’, ‘行业指标法一般可以单独使用’]
答案：[‘4’]

2:下列哪项关于成本法的描述是错误的是（ ）。
[‘在估计非上市股权的公允价值时，通常使用的成本法为净资产法’, ‘成本法通常适用于重资产或控股型的被投资企业’, ‘成本法中的成本是指历史投资成本’, ‘成本法是估值技术的一种’]
答案：加微信看答案

3:下列关于情景分析方式的说法，正确的是（ ） 。
[‘情景分析方法下可以综合运用多种估值方法’, ‘情景分析需要考虑每种情景的发生概率’, ‘情景分析方法必须采用市场法、收益法和成本法三种方法’, ‘情景分析方法必须采用三种以上情景’]
答案：

4:参考最近融资价格法属于估值技术中的哪一种？
[‘市场法’, ‘收益法’, ‘成本法’, ‘无法判定’]
答案：

5:下列哪些因素通常用来判断最近融资价格的公允性？
[‘是否有新的投资人参与最近融资’, ‘最近融资价格与更早的融资价格相比是否表现出较大增幅’, ‘最近融资金额对被投资企业而言是否重大’, ‘最近融资是否完成了工商登记’]
答案：

6:在选用合适的市场乘数时，通常考虑的因素包括（）。
[‘被投资企业所处的行业’, ‘被投资企业所处的发展阶段’, ‘被投资企业的财务杠杆水平’, ‘被投资企业的部门组织架构’]
答案：[‘1’, ‘2’, ‘3’]

IRR简介
7:通常基金IRR与LP IRR的关系是（ ）。
[‘基金 IRR>LP IRR’, ‘基金 IRR加微信看答案

8:按照美国通用会计准则的规定，在计算IRR时所用的现金流频率是（ ）。
[‘每日’, ‘每月’, ‘每季度’, ‘每年’]
答案：

9:按照全球投资业绩标准（GIPS）的规定，在计算IRR时所用的现金流频率是（ ）。
[‘每日’, ‘每月’, ‘每季度’, ‘每年’]
答案：

流动性折扣模型的理论基础
1:2017年9月6日，中国基金业协会发布《证券投资基金投资流通受限股票估值指引（试行）》中，对于流通受限股票采用的估值模型是（ ）。
[‘亚式期权模型’, ‘欧式期权模型’, ‘二元期权模型’, ‘美式期权模型’]
答案：[‘1’]

其他估值问题和解决思路探讨
2:在对非上市股权估值时，“参考最近融资价格法”主要适用于以下哪一类公司的发展阶段（ ）。
[‘初创成长期’, ‘企业成熟期’, ‘清算破产阶段’, ‘企业稳定发展期’]
答案：加微信看答案

流动性折扣模型的理论基础
3:流通受限股票与自由流通股票在估值中的主要差异是（ ）。
[‘收益权差异，流通受限股票无法获得公司分红’, ‘流动性差异，流通受限股票无法在解禁日前自由卖出’, ‘投票权差异，流通受限股票无法获得正常投票权’]
答案：

4:为了计算流通受限股票在估值时相对于流通股的折扣，Chaffe（1993）引入了衍生品的概念，提出（ ）。
[‘在持有流通受限股票时，购买一份看跌期权来保护限售期间的潜在价格下跌损失。’, ‘在持有流通受限股票时，卖出一份看涨期权来保护限售期间的潜在价格下跌损失。’, ‘在持有流通受限股票时，买入一份股指期货来对冲限售期间的潜在价格下跌损失。’]
答案：

流动性折扣模型的参数解析
5:在Finnerty（2012）的亚式看跌期权模型定价模型中，下面对于各个参数与亚式看跌期权价值的关系阐述正确的是（ ）。
[‘波动率越高，看跌期权价值越低’, ‘剩余期限越长，看跌期权价值越低’, ‘股息率越高，看跌期权价值越低’]
答案：

6:在Finnerty（2012）的亚式看跌期权模型定价模型中，对于市场投资者的行为假设是（ ）。
[‘有一定择时能力，能以不低于最新市价的价格出售股票’, ‘有完美择时能力，能以剩余期限内的最高价出售股票’, ‘无择时能力，能以剩余期限内的平均价格出售股票’]
答案：[‘3’]

7:在采用亚式看跌期权模型对限售股进行估值时，下面哪个因素与最终的限售股估值结果无关（ ）。
[‘该公司对应流通股的最新交易价格’, ‘该公司限售股的初始获取成本’, ‘该公司限售股的剩余限售期限’]
答案：加微信看答案

其他估值问题和解决思路探讨
8:对于国内市场的停牌股票，下面哪个不是《中国证券业协会基金估值工作小组关于停牌股票估值的参考方法》中列出估值方法（ ）。
[‘指数收益法’, ‘可比公司法’, ‘市场价格模型法’, ‘期权定价法’]
答案：

9:在采用指数收益法对停牌股票进行估值时，应该使用下面哪个系列的指数（ ）。
[‘AMAC行业指数’, ‘沪深300行业指数’, ‘中证500行业指数’, ‘国证1000行业指数’]
答案：

10:下面哪些情形会导致指数收益率自身失真，无法反应市场和行业真实情况。导致基于指数收益法的后续估值偏离公允价值（ ）。
[‘成分股大量停牌：2015年7月，行业指数中大量成分股临时停牌，导致行业指数收益率无法体现全市场大跌的真实情况。’, ‘成分股数量过少：行业数量分布部分行业指数成分股数量过少，指数收益率受少量个股影响过大。’, ‘指数定期调整：行业指数根据指数规则进行样本定期调整，指数成分股名单发生变化。’]
答案：

信义义务的制度起源与内涵界定
1:信义义务也称受信义务，是民事义务中的一种责任重大的义务，它包含忠实义务和勤勉义务两种内涵。
[‘正确’, ‘错误’]
答案：[‘1’]

2:忠诚义务也称注意义务、善管义务、谨慎义务。
[‘正确’, ‘错误’]
答案：加微信看答案

公司语境中的信义义务
3:董事有权查阅公司的财务资料，有权要求公司的财务部门向其回报财务收支情形。
[‘正确’, ‘错误’]
答案：

4:董事主张商业判断规则的保护，应具备的条件是（ ）。
[‘董事在作出公司决定时没有存在利益冲突’, ‘董事在决策时已经掌握必要的信息咨讯，不存在盲目冲动’, ‘董事有理由说明当时的决策是符合公司的最大利益的’]
答案：

有限合伙型基金语境中的信义义务
5:依据合伙的法律原理及我国合伙企业法的规定，有限合伙人只以投资为限对合伙企业债务负责。 
[‘正确’, ‘错误’]
答案：

资管纠纷的成因
1:资管纠纷“爆发”可能成因包括（ ）。
[‘“大资管”业务总体量的高速增长提供了基础’, ‘《监管新规》的直接推动作用’, ‘金融审判政策的调整为“大资管”诉讼提供了司法资源支持’, ‘违反监管规定对合同效力的影响’]
答案：[‘1’, ‘2’, ‘3’, ‘4’]

资管纠纷类型之——“收益权”项目的合法性
2:目前各种资产收益权的常见类型不包括（ ）。
[‘以债权作为基础资产的收益权’, ‘以股权作为基础资产的收益权’, ‘以信贷资产作为基础资产的收益权（如信托受益权的收益权）’, ‘以期权作为基础资产的收益权’]
答案：加微信看答案

3:《新规》私募产品的投资范围由合同约定，可以投资债权类资产、上市或挂牌交易的股票、未上市企业股权（含债转股）和受（收）益权以及符合法规规定的其他资产。
[‘正确’, ‘错误’]
答案：

资管纠纷类型之——明股实债类资管的裁判规则
4:明股实债，是指投资回报不与被投资企业的经营业绩挂钩，不是根据企业的投资收益或亏损进行分配，而是向投资者提供保本保收益承诺，根据约定定期向投资者支付固定收益，并在满足特定条件后由被投资企业赎回股权或者偿还本息的投资方式，常见形式包括回购、第三方收购、对赌、定期分红等。
[‘正确’, ‘错误’]
答案：

5:“明股实债”可能产生的风险包括（ ）。
[‘无法收回款项’, ‘承担出资不实的补充赔偿责任’, ‘目标公司为“股权回购”行为提供的担保无效’]
答案：

资管纠纷类型之——非典型担保类增信措施引发的纠纷
6:优先/劣后级的交易结构和设置第三人回购是常见的资管增信措施。
[‘正确’, ‘错误’]
答案：[‘1’]

资管纠纷类型之——管理人义务
7:参照信托法律关系，管理人义务的内容包括勤勉、诚实、信用、谨慎和公平对待。
[‘正确’, ‘错误’]
答案：加微信看答案

8:以下属于资管新规规定的合格投资者的的是（ ）。
[‘具有两年以上证券、基金、期货、黄金、外汇等投资经历，且满足以下条件之一：金融资产不低于500万元，或者最近3年个人年均收入不低于50万元。’, ‘具有两年以上投资经历，且满足以下条件之一：家庭金融净资产不低于300万元，家庭金融资产不低于500万元，或者近3年本人年均收不低于40万元。’, ‘最近1年末净资产不低于1000万元的法人单位。’, ‘最近1年末金融资产不低于1000万元的法人单位。’]
答案：