×
单选题
53.某购物网站开发项目经过需求分析进入系统设计阶段,为了保证用户帐户的安全,项目开发人员决定用户登录时除了用户名口令认证方式外,还加入基于数字证书的身份认证功能,同时用户口令使用SHA-1 算法加密后存放在后台数据库中,请问以上安全设计遵循的是哪项安全设计原则()
A
职责分离原则织
B
最小特权原则
C
最少共享机制原则
D
深防御原则
答案解析
正确答案:D
解析:
好的,让我们一起来解析这道题,并通过一些生动的例子来帮助你理解。
### 题目解析
首先,我们要明确题目中的几个关键点:
1. 用户登录时除了用户名和口令认证外,还加入了基于数字证书的身份认证。
2. 用户口令使用 SHA-1 算法加密后存储在后台数据库中。
这些措施都是为了增强系统的安全性。
### 选项分析
我们需要了解每个选项的含义:
- **A: 职责分离原则**:确保不同的任务由不同的人或角色完成,防止单一角色拥有过多权限。例如,在公司里,财务审批和财务执行由不同的人来做。
- **B: 最小特权原则**:每个人或角色只拥有完成工作所需的最小权限。例如,普通员工只能访问自己的工资单,而不能查看其他员工的信息。
- **C: 最少共享机制原则**:减少不同组件之间的共享资源,降低风险。例如,不同的部门使用不同的文件服务器,避免数据泄露。
- **D: 深度防御原则**:采用多层安全措施来保护系统,即使某一层被突破,还有其他层可以继续防护。例如,银行不仅有门禁系统,还有监控摄像头、报警系统等多重保障。
### 解析与举例
题目中提到的两个措施:
1. 使用数字证书进行身份认证;
2. 用户口令用 SHA-1 加密存储。
这两个措施分别在不同层面增加了系统的安全性。即使其中一种认证方式被攻破,另一种方式还能提供额外的保护。
这正是 **深度防御原则** 的体现。通过多种防护措施来提高整体的安全性,即使某一层防护失效,还有其他层防护可以继续发挥作用。
### 结论
综上所述,题目中的安全设计遵循的是 **D: 深度防御原则**。
希望这个解析能帮助你更好地理解和记忆这个知识点!
题目纠错
20240515-CISP复习题(300题)加上nisp二级证书
相关题目
单选题
47、为了保障系统安全,某单位需要对其跨地区大型网络实时应用系统进行滲透测试,以下关于渗透测试过程的说法不正确的是 ( )
单选题
46、某购物网站开发项目经过需求分析进入系统设计阶段,为了保证用户账户的安全,项目开发人员决定用户登录时如用户名或口令输入错误,给用户返回用户名或口令输入错误”信息,输入错误达到三次,将暂时禁止登录该账户,请问以上安全设计遵循的是哪项安全设计原则: ( )
单选题
45、下面有关软件安全问题的描述中,哪项不是由于软件设计缺陷引起的 ( )
单选题
44、某网站为了更好向用户提供服务,在新版本设计时提供了用户快捷登陆功能,用户如果使用上次的 IP 地址进行访问,就可以无需验证直接登录,该功能推出后,导致大量用户账号被盗用,关于以上问题的说法正确的是 ( )
单选题
43、针对软件的拒绝服务攻击时通过消耗系统资源是软件无法响应正常请求的一种攻击方式,在软件开发时分析拒绝服务攻击的威胁,以下哪个不是需要考虑的攻击方式 ( )
单选题
42、在软件保障成熟度模型( Software Assurance Maturity Mode,SAMM)中规定了软件开发过程中的核心业务功能,下列哪个选项不属于核心业务功能 ( )
单选题
41、关于 ARP 欺骗原理和防范措施,下面理解错误的是 ( )
单选题
40、下面四款安全测试软件中,主要用于 WEB 安全扫描的是 ( )
单选题
39、某网站管理员小邓在流量监测中发现近期网站的入站 ICMP 流量上升 250%尽管网站没有发现任何的性能下降或其他问题,但为了安全起见,他仍然向主管领导提出了应对措施,作为主管负责人,请选择有效的针对此问题的应对措施:( )
单选题
38.为达到预期的攻击目的,恶意代码通常会被采用各种方法将自己隐藏起来。关于隐藏方法,下面理解错误的是 ( )
