33.软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想,在有限资源前提下实现软件安全最优防护,避免防范不足带来的直接损失,也需要关注过度防范造成的间接损失。在以下软件安全开发策略中,不符合软件安全保障思想的是:
A. 在软件立项时考虑到软件安全相关费用,经费中预留了安全测试、安全评审相关费用,确保安全经费得到落实
B. 在软件安全设计时,邀请软件安全开发专家对软件架构设计进行评审,及时发现架构设计中存在的安全不足
C. 确保对软编码人员进行安全培训,使开发人员了解安全编码基本原则和方法,确保开发人员编写出安全的代码
D. 在软件上线前对软件进行全面安全性测试,包括源代码分析、模糊测试、渗透测试,未经以上测试的软件不允许上线运行
解析:解析:软件的安全测试根据实际情况进行测试措施的选择和组合。
https://www.shititong.cn/cha-kan/shiti/0005fc54-67f9-c5a0-c0ba-f2840f59e011.html
点击查看答案
89.以下属于哪一种认证实现方式:用户登录时,认证服务器( )产生一个随机数发送给用户,用户用某种单向算法将自己的口令、种子密钥和随机数混合计算后作为一次性口令,并发送给 AS,AS 用同样的方法计算后,验证比较两个口令即可验证用户身份
A. 口令序列
B. 时间同步
C. 挑战/应答
D. 静态口令
解析:解析:题干描述的是 C 的解释。
https://www.shititong.cn/cha-kan/shiti/0005fc54-675f-4ea8-c0ba-f2840f59e001.html
点击查看答案
33.关于计算机取证描述不正确的是 () 。
A. 取证的目的包括:通过证据查找肇事者、通过证据推断犯罪过程、通过证据判断受害者损失程度及收集证据提供法律支持
B. 计算机取证的过程可以分为准备、保护、提取、分析和提交 5 个步骤
C. 电子证据是计算机系统运行过程中产生的各种信息记录及存储的电子化资料及物品。对于电子证据,取证工作主要围绕两方面进行:证据的获取和证据的保护
D. 计算机取证是使用先进的技术和工具,按照标准规程全面地检查计算机系统,以提取和保护有关计算机犯罪的相关证据的活动
解析:解析:对于电子证据,取证工作主要围绕两方面进行:证据的获取和证据的分析。P151 页。
https://www.shititong.cn/cha-kan/shiti/0005fc54-653c-b8e0-c0ba-f2840f59e00a.html
点击查看答案
54.数据链路层负责监督相邻网络节点的信息流动,用检错或纠错技术来确保正确的传输,确保解决该层的流量控制问题。数据链路层的数据单元是( )
解析:解析:P330 页
https://www.shititong.cn/cha-kan/shiti/0005fc54-66a2-05a0-c0ba-f2840f59e002.html
点击查看答案
75.小张在某单位是负责事信息安全风险管理方面工作的部门领导,主要负责对所在行业的新人进行基本业务素质培训。一次培训的时候,小张主要负责讲解风险评估工作形式,小张认为:1.风险评估工作形式包括:自评估和检查评估;2.自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行风险评估;3.检查评估是信息系统上级管理部门组织或者国家有关职能部门依法开展的风险评估;4.对信息系统的风险评估方式只能是”自评估”和”检查评估”中的一个,非此即彼.请问小张的所述论点中错误的是哪项:
A. 第一个观点
B. 第二个观点
C. 第三个观点
D. 第四个观点
解析:解析:正确的做法为”自评估”和”检查评估”相互结合和互为补充。
https://www.shititong.cn/cha-kan/shiti/0005fc54-675f-4ac0-c0ba-f2840f59e010.html
点击查看答案
89.信息收集是()攻击实施的基础,因此攻击者在实施前会对目标进行(),了解目标所有相关的()。这些资料和信息对很多组织机构来说都是公开或看无用的,然而对攻击者来说,这些信息都 是非常有价值的,这些信息收集得越多,离他们成功得实现()就越近。如果为信息没有价值或价值的非常低,组织机构通常不会采取措施(),这正是社会工程学攻击者所希望的。
A. 信息收集;社会工程学;资料和信息;身份伪装 ;进行保护
B. 社会工程学;信息收集;资料和信息;身份伪装 ;进行保护
C. 社会工程学;信息收集;身份伪装;资料和信息 ;进行保护
D. 信息收集;资料和信息;社会工程学;身份伪装 ;进行保护
https://www.shititong.cn/cha-kan/shiti/0005fc54-66a2-0988-c0ba-f2840f59e009.html
点击查看答案
30.某单位在一次信息安全风险管理活动中, 风险评估报告提出服务器 A 的 FTP 服务存在高风险漏洞。随后该单位在风险处理时选择了安装 FTP 服务漏洞补丁程序并加固 FTP服务安全措施, 请问该措施属于哪种风险处理方式( )
A. 风险转移
B. 风险接受
C. 风险规避
D. 风险降低
解析:解析:风险降低可采用预防性策略和反应性策略两种方案。P141 页。
https://www.shititong.cn/cha-kan/shiti/0005fc54-65f2-f150-c0ba-f2840f59e016.html
点击查看答案
46.某社交网站的用户点击了该网站上的一个广告。该广告含有一个跨站脚本,会将他的浏览器定向到旅游网站,旅游网站则获得了他的社交网络信息。虽然该用户没有主动访问该旅游网站,但旅游网站已经截获了他的社交网络信息(还有他的好友们的信息) ,于是犯罪分子便可以躲藏在社交网站的广告后面,截获用户的个人信息了。这种向Web 页面插入恶意html代码的攻击方式称为 ()
A. SQL 注入攻击
B. 缓冲区溢出攻击
C. 分布式拒绝服务攻击
D. 跨站脚本攻击
解析:解析:跨站脚本是由于网页支持脚本的执行,而程序员又没有对用户输入的数据进行严格控制,使得攻击者可以向Web 页面插入恶意 HTML 代码,当用户浏览网页时,嵌入其中的 HTML 代码会被执行,从而实现攻击者的特殊目的。
https://www.shititong.cn/cha-kan/shiti/0005fc54-653c-b8e0-c0ba-f2840f59e017.html
点击查看答案
20.AES 在抵抗差分密码分析及线性密码分析的能力比 DES 更有效,已经替代 DES 成为新的据加密标准。其算法的信息块长度和加密密钥是可变的,以下哪一种不是其可能的密钥长度?
A. 64bit
B. 128bit
C. 192bit
D. 256bit
解析:解析:AES 密钥长度由 128 位、192 位、256 位三种。
https://www.shititong.cn/cha-kan/shiti/0005fc54-675f-42f0-c0ba-f2840f59e011.html
点击查看答案
44.软件存在漏洞和缺陷是不可避免的, 实践中常使用软件缺陷密度( )来衡量软件的安全性。假设某个软件共有 296 万行源代码,总共被检测出 145 个缺陷, 则可以计算出其软件缺陷密度值是()。
A. 49
B. 0.49
C. 0.00049
D. 0.049
解析:解析:千行代码缺陷率=缺陷数/ (代码行数/1000)
https://www.shititong.cn/cha-kan/shiti/0005fc54-65f2-f538-c0ba-f2840f59e00c.html
点击查看答案
