A、 微软提出的“安全开发生命周期(SecurityDevelopmentLifecycle,SDL)”
B、 GrayMcGraw等提出的“使安全成为软件开发必须的部分(BuildingSecurityIN,BSI)”
C、 OWASP维护的“软件保证成熟度模型(SoftwareAssuranceMaturityMode,SAMM)”
D、 “信息安全保障技术框架(InformationAssuranceTechnicalFramework,IATF)”
答案:D
解析:解析:解释:D与软件安全开发无关,ABC均是软件安全开发模型。
A、 微软提出的“安全开发生命周期(SecurityDevelopmentLifecycle,SDL)”
B、 GrayMcGraw等提出的“使安全成为软件开发必须的部分(BuildingSecurityIN,BSI)”
C、 OWASP维护的“软件保证成熟度模型(SoftwareAssuranceMaturityMode,SAMM)”
D、 “信息安全保障技术框架(InformationAssuranceTechnicalFramework,IATF)”
答案:D
解析:解析:解释:D与软件安全开发无关,ABC均是软件安全开发模型。
A. 模拟正常用户输入行为,生成大量数据包作为测试用例
B. 数据处理点、数据通道的入口点和可信边界点往往不是测试对象
C. 监测和记录输入数据后程序正常运行的情况
D. 深入分析测试过程中产生崩溃或异常的原因,必要时需要测试人员手工重现并分析
解析:解析:解释:A错,模糊测试是模拟异常输入;B错,入口与边界点是测试对象;C模糊测试记录和检测异常运行情况。
A. 模糊测试的效果与覆盖能力,与输入样本选择不相关
B. 为保障安全测试的效果和自动化过程,关键是将发现的异常进行现场保护记录,系统可能无法恢复异常状态进行后续的测试
C. 通过异常样本重现异常,人工分析异常原因,判断是否为潜在的安全漏洞,如果是安全漏洞,就需要进一步分析其危害性、影响范围和修复建议
D. 对于可能产生的大量异常报告,需要人工全部分析异常报告
解析:解析:解释:C为模糊测试的涵义解释。
A. WPA是有线局域安全协议,而WPA2是无线局域网协议
B. WPA是适用于中国的无线局域安全协议,WPA2是使用于全世界的无线局域网协议
C. WPA没有使用密码算法对接入进行认证,而WPA2使用了密码算法对接入进行认证
D. WPA是依照802.11i标准草案制定的,而WPA2是按照802.11i正式标准制定的
解析:解析:解释:答案为D。
A. 既能物理隔离,又能逻辑隔离
B. 能物理隔离,但不能逻辑隔离
C. 不能物理隔离,但是能逻辑隔离
D. 不能物理隔离,也不能逻辑隔离
解析:解析:解释:答案为C。
A. 在异常入侵检测中,观察的不是已知的入侵行为,而是系统运行过程中的异常现象
B. 实施异常入侵检测,是将当前获取行为数据和已知入侵攻击行为特征相比较,若匹配则认为有攻击发生
C. 异常入侵检测可以通过获得的网络运行状态数据,判断其中是否含有攻击的企图,并通过多种手段向管理员报警
D. 异常入侵检测不但可以发现从外部的攻击,也可以发现内部的恶意行为
解析:解析:解释:实施误用入侵检测(或特征检测),是将当前获取行为数据和已知入侵攻击行为特征相比较,若匹配则认为有攻击发生。
A. 总部使用服务器、用户终端统一使用10.0.1.x、各分支机构服务器和用户终端使用192.168.2.x---192.168.20.x
B. 总部服务器使用10.0.1.1—11、用户终端使用10.0.1.12—212,分支机构IP地址随意确定即可
C. 总部服务器使用10.0.1.x、用户端根据部门划分使用10.0.2.x,每个分支机构分配两个A类地址段,一个用做服务器地址段、另外一个做用户终端地址段
D. 因为通过互联网连接,访问的是互联网地址,内部地址经NAT映射,因此IP地址无需特别规划,各机构自行决定即可。
解析:解析:解释:答案为C,考核的是IP地址规划的体系化。
A. A类和B类地址中没有私有地址,C类地址中可以设置私有地址
B. A类地址中没有私有地址,B类和C类地址中可以设置私有地址
C. A类、B类和C类地址中都可以设置私有地址
D. A类、B类和C类地址中都没有私有地址
解析:解析:解释:答案为C。
A. 密码策略主要作用是通过策略避免拥护生成弱口令及对用户的口令使用进行管控
B. 密码策略对系统中所有的用户都有效
C. 账户锁定策略的主要作用是应对口令暴力破解攻击,能有效地保护所有系统用户应对口令暴力破解攻击
D. 账户锁定策略只适用于普通用户,无法保护管理员administrator账户应对口令暴力破解攻击
解析:解析:解释:.账户锁定策略也适用于administrator账户。
A. 安装Windows系统时要确保文件格式适用的是NTFS.因为Windows的ACL机制需要NTFS文件格式的支持
B. 由于Windows操作系统自身有大量文件和目录,因此很难对每个文件和目录设置严格的访问权限,为了使用上的便利,Windows上的ACL存在默认设置安全性不高的问题
C. Windows的ACL机制中,文件和文件夹的权限是主体进行关联的,即文件夹和文件的访问权限信息是写在用户数据库中的
D. 由于ACL具有很好灵活性,在实际使用中可以为每一个文件设定独立拥护的权限
解析:解析:解释:Windows的ACL机制中,文件和文件夹的权限是客体关联的,即文件夹和文件的访问权限信息是写在客体文件和文件夹属性数据库中。
A. 设置账户锁定策略后,攻击者无法再进行口令暴力破解,所有输错的密码的拥护就会被锁住
B. 如果正常用户部小心输错了3次密码,那么该账户就会被锁定10分钟,10分钟内即使输入正确的密码,也无法登录系统
C. 如果正常用户不小心连续输入错误密码3次,那么该拥护帐号被锁定5分钟,5分钟内即使交了正确的密码,也无法登录系统
D. 攻击者在进行口令破解时,只要连续输错3次密码,该账户就被锁定10分钟,而正常拥护登陆不受影响
解析:解析:解释:答案为B,全部解释为5分钟计数器时间内错误3次则锁定10分钟。
