A、 向公司管理层提出此问题,要求立即立项重新开发此业务系统,避免单位中存在这样的安全风险
B、 既然此问题不是新发现的问题,之前已经存在,因此与自己无关,可以不予理会
C、 让安全管理人员重新评估此漏洞存在的安全风险并给出进一步的防护措施后再考虑如何处理
D、 让安全管理员找出验收材料看看有没有该业务系统源代码,自己修改解决这个漏洞
答案:C
解析:解析:C 项更为合适一些。
A、 向公司管理层提出此问题,要求立即立项重新开发此业务系统,避免单位中存在这样的安全风险
B、 既然此问题不是新发现的问题,之前已经存在,因此与自己无关,可以不予理会
C、 让安全管理人员重新评估此漏洞存在的安全风险并给出进一步的防护措施后再考虑如何处理
D、 让安全管理员找出验收材料看看有没有该业务系统源代码,自己修改解决这个漏洞
答案:C
解析:解析:C 项更为合适一些。
A. 自动文件条目
B. 磁带库管理程序
C. 访问控制软件
D. 锁定库
A. 从某种角度上讲,白盒测试与墨盒测试都属于动态测试
B. 功能测试属于黑盒测试
C. 结构测试属于白盒测试
D. 对功能的测试通常是要考虑程序的内部结构的
解析:解析:白盒测试是在程序员十分了解程序的前提下,对程序的逻辑结构进行的测试。而黑盒测试则将程序视为一个黑盒子,仅仅是测试人员提供输入数据,观察输出数据,并不了解程序是如何运行的,结构测试属于白盒测试,关注的是如何选择合适的程序或子程序路径来执行有效的检查。功能测试则属于黑盒测试,对功能的测试通常通过提供输入数据,检查实际输出的结果,很少考虑程序的内部结构。
A. 法律法规与合同条约的要求
B. 组织的原则、目标和规定
C. 风险评估的结果
D. 安全架构和安全厂商发布的病毒、漏洞预警
解析:解析:安全需求来源于内部驱动,D 是外部参考要素,不属于信息安全需求的主要来源。
A. 威胁建模、源代码审核和模糊测试
B. 应用风险管理、软件安全接触点和安全知识
C. 威胁建模、渗透测试和软件安全接触点
D. 源代码审核、风险分析和渗透测试
解析:解析:BSI 认为软件安全有 3 根支柱:风险管理、软件安全接触点和安全知识, 其强调了在软件的整个生命周期中风险管理的重要性,并要求风险管理框架贯穿整个开发过程。P403页。
A. 为了提高 Apache 软件运行效率
B. 为了提高 Apache 软件的可靠性
C. 为了避免攻击者通过 Apache 获得 root 权限
D. 为了减少 Apache 上存在的漏洞
解析:解析:避免攻击者通过 Apache 获得 root 权限。
A. 文件映像处理
B. 电子链接
C. 硬盘镜像
D. 热备中心配置
A. 用户名
B. 用户口令明文
C. 用户主目录
D. 用户登录后使用的 SHELL
解析:解析:在 Linux,操作系统中,用户口令是通过哈希后保存在/etc/shadow 文件中的
A. FAT16
B. NTFS
C. FAT32
D. EXT3
A. 与生产中心不在同一城市
B. 与生产中心距离 100 公里以上
C. 与生产中心距离 200 公里以上
D. 与生产中心面临相同区域性风险的机率很小
解析:解析:答案为 D,建立异地备份中心的核心思想是减少相同区域性风险。
A. 确认已有的安全措施并赋值
B. 脆弱性识别并赋值
C. 威胁识别并赋值
D. 资产识别并赋值
解析:解析:依据资产列表逐个分析可能危害这些资产的主体、动机、途径等多种因素,分析这些因素出现及造成损失的可能性大小,并为其赋值,属于 C 威胁识别并赋值。