APP下载

首页

IT互联网

注册信息安全专业人员试题

搜索

注册信息安全专业人员试题

题目内容

(

单选题

)

48.关于软件安全开发生命周期( ),下面说法错误的是:

A、　在软件开发的各个周期都要考虑安全因素

B、　软件安全开发生命周期要综合采用技术、管理和工程等手段

C、　测试阶段是发现并改正软件安全漏洞的最佳环节,过早或过晚检测修改漏洞都将增大软件开发成本

D、　在设计阶段就尽可能发现并改正安全隐患,将极大减少整个软件开发成本

答案：C

解析：解析:设计阶段是发现和改正问题的最佳阶段。

注册信息安全专业人员试题

33.某电子商务网站在开发设计时,使用了威胁建模方法来分析电子商务网站所面临的威胁。 STRIDE是微软 SDL 中提出的威胁建模方法,将威胁分为六类, 为每一类威胁提供了标准的消减措施, Spoofing 是 STRIDE 中欺骗类的威胁, 以下威胁中哪个可以归入此类威胁( )

点击查看题目

85.某政府机构委托开发商开发了一个 OA 系统。其中公交分发功能使用了FTP 协议,该系统运行过程中被攻击者通过 FTP 对 OA 系统中的脚本文件进行了篡改,安全专家提出使用Http 下载代替 FTP 功能以解决以上问题,该安全问题的产生主要是在哪个阶段产生的()

点击查看题目

82.美国系统工程专家霍尔( )在 1969 年利用机构分析法提出著名的霍尔三维结构,使系统工程的工作阶段和步骤更为清晰明了,如图所示,霍尔三维结构是将系统工程整个活动过程分为前后紧密衔接的()阶段和()步骤,同时还考虑了为完全这些阶段和步骤所需要的各种()。这样,就形成了由()、()、和知识维所组成的三维空间结构。

点击查看题目

95.风险分析师风险评估工作的一个重要内容,GB/T 20984-2007 在资料性附录中给出了一种矩阵法来计算信息安全风险大小,如下图所示,图中括号应填那个?()

点击查看题目

78.为了保证系统日志可靠有效,以下哪一项不是日志必需具备的特征。

点击查看题目

50.以下关于灾难恢复和数据备份的理解,说法正确的是 () 。

点击查看题目

2.下列关于 kerckhof 准则的说法正确的是:

点击查看题目

9.设计信息系统安全保障方案时,以下哪个做法是错误的:

点击查看题目

44.Linux 系统的安全设置主要从磁盘分区、账户安全设置、禁用危险服务、远程登录安全、用户鉴别安全、审计策略、保护root 账户、使用网络防火墙和文件权限操作共 10 个方面来完成。小张在学习了Linux 系统安全的相关知识后,尝试为自己计算机上的 Linux 系统进行安全配置。下列选项是他的部分操作,其中不合理的是 () 。

点击查看题目

76.信息安全风险管理过程的模型如图所示。按照流程,请问,信息安全风险管理包括()六个方面的内容。( ) 是信息安全风险管理的四个基本步骤,()则贯穿于这四个基本步骤中.;

题目内容

(

单选题

)

手机预览

注册信息安全专业人员试题

48.关于软件安全开发生命周期( ),下面说法错误的是:

A、　在软件开发的各个周期都要考虑安全因素

B、　软件安全开发生命周期要综合采用技术、管理和工程等手段

C、　测试阶段是发现并改正软件安全漏洞的最佳环节,过早或过晚检测修改漏洞都将增大软件开发成本

D、　在设计阶段就尽可能发现并改正安全隐患,将极大减少整个软件开发成本

答案：C

解析：解析:设计阶段是发现和改正问题的最佳阶段。

相关题目

A. 　网站竞争对手可能雇佣攻击者实施 DDoS 攻击,降低网站访问速度

B. 　网站使用用户名、密码进行登录验证,攻击者可能会利用弱口令或其他方式获得用户密码,以该用户身份登录修改用户订单等信息

C. 　网站使用使用 http 协议进行浏览等操作,无法确认数据与用户发出的是否一致,可能数据被中途篡改

D. 　网站使用使用 http 协议进行浏览等操作,未对数据进行加密,可能导致用户传输信息泄露,例如购买的商品金额等

解析：解析:A属于拒绝服务威胁; C属于篡改威胁; D属于信息泄露威胁。 P405页。

点击查看答案

A. 　程序员在进行安全需求分析时,没有分析出OA 系统开发的安全需求

B. 　程序员在软件设计时,没遵循降低攻击面的原则,设计了不安全的功能

C. 　程序员在软件编码时,缺乏足够的经验,编写了不安全的代码

D. 　程序员在进行软件测试时,没有针对软件安全需求进行安全测试

解析：解析:FTP 功能本身没有问题,但是不太安全容易被攻击,所以选 B 。

点击查看答案

A. 　五个;七个;专业知识和技能;时间维;逻辑维

B. 　七个;七个;专业知识和技能;时间维;逻辑维

C. 　七个;六个;专业知识和技能;时间维;逻辑维

D. 　七个;六个;专业知识和技能;时间维;空间维

点击查看答案

95.风险分析师风险评估工作的一个重要内容,GB/T 20984-2007 在资料性附录中给出了一种矩阵法来计算信息安全风险大小,如下图所示,图中括号应填那个?()

A. 　安全资产价值大小等级

B. 　脆弱性严重程度等级

C. 　安全风险隐患严重等级

D. 　安全事件造成损失大小

点击查看答案

78.为了保证系统日志可靠有效,以下哪一项不是日志必需具备的特征。

A. 　统一而精确地的时间

B. 　全面覆盖系统资产

C. 　包括访问源、访问目标和访问活动等重要信息

D. 　可以让系统的所有用户方便的读取

解析：解析:日志只有授权用户可以读取。

点击查看答案

50.以下关于灾难恢复和数据备份的理解,说法正确的是 () 。

A. 　依据具备的灾难恢复资源程度的不同,灾难恢复能力分为 7 个等级

B. 　使用差分备份,数据恢复时只需最后一次的标准备份与差分备份,如果每天都有大量数据变化,差分备份工作非常费时

C. 　数据备份按数据类型划分可以划分为操作系统备份和数据库备份

D. 　增量备份是备份从上次完全备份后更新的全部数据文件

解析：解析:A 依据具备的灾难恢复资源程度的不同,灾难恢复能力分为 6 个等级;C:数据备份按数据类型划分可以划分为系统数据备份和业务数据备份;D 差分备份是备份从上次完全备份后更新的全部数据文件。

点击查看答案

2.下列关于 kerckhof 准则的说法正确的是:

A. 　保持算法的秘密性比保持密钥的秘密性要困难的多

B. 　密钥一旦泄漏,也可以方便的更换

C. 　在一个密码系统中,密码算法是可以公开的,密钥应保证安全

D. 　公开的算法能够经过更严格的安全性分析

解析：解析:柯克霍夫原则:密码系统的安全性依赖于密钥而不依赖于算法。

点击查看答案

9.设计信息系统安全保障方案时,以下哪个做法是错误的:

A. 　要充分切合信息安全需求并且实际可行

B. 　要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本

C. 　要充分采取新技术,在使用过程中不断完善成熟,精益求精,实现技术投入保值要求

D. 　要充分考虑用户管理和文化的可接受性,减少系统方案实施障碍

解析：解析:安全领域一般选择经过检验的、成熟、安全的技术方案,一般不选最新的。

点击查看答案

A. 　编辑文件/etc/pam.d/system-auth,设置 auth required pam_tally.soonerr=fail deny=6 unlock_time=300

B. 　编辑文件/etc/profile,设置 TMOUT=600

C. 　编辑文件/etc/passwd,检查文件中用户 ID,禁用所有 ID=0 的用户

D. 　编辑文件/etc/ssh/sshd_config,将 PermitRootLogin 设置为 no

解析：解析:ID 为 0 的用户为root用户,通常不使用root用户远程运维,但也不应本地禁用。

点击查看答案

A. 　背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询;背景建立、风险评估、风险处理和批准监督;监控审查和沟通咨询;

B. 　背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询;背景建立、风险评估、风险处理和监控审查;批准监督和沟通咨询;

C. 　背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询;背景建立、风险评估、风险处理和沟通咨询;监控审查和批准监督;

D. 　背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询;背景建立、风险评估、监控审查和批准监督;风险处理和沟通咨询。

解析：解析:背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询。

类似热门题库

HCNA-Security知识练习复习题库

大学信息技术基础_复习资料

网上培训练习题库

网络理论测试答案