[单选题]对程序源代码进行访问控制管理时,下列哪一种做法是错误的?()A . 若有可能,在实际生产系统中不保留源程序库B . 对源程序库的访问进行严格的审计C . 技术支持人员应可以不受限制地访问源程序D . 对源程序库的拷贝应受到严格的控制规程的制约
[单选题]开发人员认为系统架构设计不合理,需要讨论调整后,再次进入编码阶段。开发团队可能采取的开发方法为()A . 瀑布模型B . 净室模型C . XP模型D . 迭代模型
[单选题]以下哪项机制与数据处理完整性相关()A . 数据库事务完整性机制B . 数据库自动备份复制机制C . 双机并行处理,并相互验证D . 加密算法
[单选题]输入参数过滤可以预防以下哪些攻击()A . SQL注入、跨站脚本、缓冲区溢出B . SQL注入、跨站脚本、DNS毒药C . SQL注入、跨站请求伪造、网络窃听D . 跨站请求伪造、跨站脚本、DNS毒药
[单选题]下面对自由访问控制(DAC)描述正确的是()A . 比较强制访问控制而言不太灵活B . 基于安全标签C . 关注信息流D . 在商业环境中广泛使用
[单选题]以下哪一个不是风险控制的主要方式()A . 规避方式B . 转移方式C . 降低方式D . 隔离方式
[单选题]为了预防逻辑炸弹,项目经理采取的最有效的措施应该是()A . 对每日提交的新代码进行人工审计B . 代码安全扫描C . 安全意识教育D . 安全编码培训教育
[单选题]如果恶意开发人员想在代码中隐藏逻辑炸弹,什么预防方式最有效?()A . 源代码周期性安全扫描B . 源代码人工审计C . 渗透测试D . 对系统的运行情况进行不间断监测记录
[单选题]从安全的角度来看,数据库视图(view)的主要用途是:()A . 确保相关完整性B . 方便访问数据C . 限制用户对数据的访问.D . 提供审计跟踪
[单选题]下列哪一项体现了适当的职责分离?()A . 磁带操作员被允许使用系统控制台。B . 操作员是不允许修改系统时间。C . 允许程序员使用系统控制台。D . 控制台操作员被允许装载磁带和磁盘。
[单选题]以下哪项活动对安全编码没有帮助()A . 代码审计B . 安全编码规范C . 编码培训D . 代码版本管理
[单选题]下列对于CC的“评估保证级”(EAL)的说法最准确的是:()A . 代表着不同的访问控制强度B . 描述了对抗安全威胁的能力级别C . 是信息技术产品或信息技术系统对安全行为和安全功能的不同要求D . 由一系列保证组件构成的包,可以代表预先定义的保证尺度
[单选题]下列哪一种密码算法是基于大数分解难题的?()A . ECCB . RSAC . DESD . Diffie-Hellman
[单选题]对于Linux的安全加固项说法错误的是哪项?()A . 使用uname-a确认其内核是否有漏洞B . 检查系统是否有重复的UID用户C . 查看login.defs文件对于密码的限制D . 查看hosts文件确保Tcpwapper生效
[单选题]下列关于Kerberos的描述,哪一项是正确的?()A . 埃及神话中的有三个头的狗。B . 安全模型。C . 远程身份验证拨入用户服务器。D . 一个值得信赖的第三方认证协议。
[单选题]以下哪项行为可能使用嗅探泄露系统的管理员密码?()A . 使用root用户访问FTP程序B . 使用root用户连接SSH服务C . 使用root进行SCP文件传输D . 在本地使用root用户登录
[单选题]Kerberos可以防止以下哪种攻击?()A . 隧道攻击。B . 重放攻击。C . 破坏性攻击。D . 处理攻击。
[单选题]对系统安全需求进行评审,以下那类人不适合参与()A . 系统分析员B . 业务代表C . 安全专家D . 合规代表
[单选题]风险分析的目标是达到:()A .风险影响和保护性措施之间的价值平衡B .风险影响和保护性措施之间的操作平衡C .风险影响和保护性措施之间的技术平衡D .风险影响和保护性措施之间的逻辑平衡
[单选题]项目经理欲提高信息系统安全性,他首先要做的工作是()A . 考虑安全开发需要什么样的资源与预算B . 考虑安全开发在开发生命周期各阶段应开展哪些工作C . 对开发团队进行信息安全培训D . 购买一定的安全工具,如代码扫描工具等
[单选题]下列对于蠕虫病毒的描述错误的是:()A . 蠕虫的传播无需用户操作B . 蠕虫会消耗内存或网络带宽,导致DOSC . 蠕虫的传播需要通过“宿主”程序或文件D . 蠕虫程序一般由“传播模块”、“隐藏模块”和“目的功能模块”构成
[单选题]灾难恢复SHARE78的第三层是指()A . 卡车运送B . 电子链接C . 活动状态的备份中心D . 0数据丢失
[单选题]下列哪项不是Kerberos密钥分发服务(KDS)的一部分?()A . Kerberos票证授予服务器(TGS)。B . Kerberos身份验证服务器(KAS)。C . 存放用户名和密码的数据库。D . Kerberos票证吊销服务器(TRS)。
[单选题]作为信息安全管理人员,你认为变更管理过程最重要的是?()A . 变更过程要留痕B . 变更申请与上线提出要经过审批C . 变更过程要坚持环境分离和人员分离原则D . 变更要与容灾预案同步
[单选题]某公司的业务部门用户需要访问业务数据,这些用户不能直接访问业务数据,而只能通过外部程序来操作业务数据,这种情况属于下列哪种安全模型的一部分?()A . Bell-LaPadula模型B . Biba模型C . 信息流模型D . Clark-Wilson模型
[单选题]为了达到组织灾难恢复的要求,备份时间间隔不能超过:()A .服务水平目标(SLO)B .恢复时间目标(RTO)C .恢复点目标(RPO)D .停用的最大可接受程度(MAO)
[单选题]非对称密码算法具有很多优点,其中不包括:()A . 可提供数字签名、零知识证明等额外服务B . 加密/解密速度快,不需占用较多资源C . 通信双方事先不需要通过保密信道交换密钥D . 密钥持有量大大减少
[单选题]指纹、虹膜、语音识别技术是以下哪一种鉴别方式的实例:()A . 你是什么B . 你有什么C . 你知道什么D . 你做了什么
[单选题]以下哪一项是防范SQL注入攻击最有效的手段?()A . 删除存在注入点的网页B . 对数据库系统的管理权限进行严格的控制C . 通过网络防火墙严格限制Internet用户对web服务器的访问D . 对web用户输入的数据进行严格的过滤
[单选题]以下描述中不属于SSH用途的为?()A . 用于远程的安全管理,使用SSH客户端连接远程SSH服务器,建立安全的Shell交互环境B . 用于本地到远程隧道的建立,进而提供安全通道,保证某些业务安全传输C . 进行对本地数据使用SSH的秘钥进行加密报错,以提高其业务的可靠性D . SCP远程安全数据复制借助SSH协议进行传输,SSH提供其安全隧道保障