40.下面四款安全测试软件中，主要用于WEB安全扫描的是()

A. 对软件开发商提出安全相关要求，确保软件开发商对安全足够的重视，投入资源解决软件安全问题

B. 要求软件开发人员进行安全开发培训，使开发人员掌握基本软件安全开发知识

C. 要求软件开发商使用Java而不是ASP作为开发语言，避免SQL注入漏洞

D. 要求软件开发商对软件进行模块化设计，各模块明确输入和输出数据格式，并在使用前对数据进行校验

A. 治理，主要是管理软件开发的过程和活动

B. 构造，主要是在开发项目中确定目标并开发软件的过程与活动

C. 验证，主要是测试和验证软件的过程和活动

D. 购置，主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动

A. 软件安全开发生命周期较长，阶段较多，而其中最重要的是要在软件的编码阶段做好安全措施，就可以解决90%以上的安全问题

B. 应当尽早在软件开发的需求和设计阶段就增加一定的安全措施，这样可以比在软件发布以后进行漏洞修复所花的代价少的多。

C. 和传统的软件开发阶段相比，微软提出的安全开发生命周期的最大特点是增加了一个抓们的安全编码阶段

D. 软件的安全测试也很重要，考虑到程序员的专业性，如果该开发人员已经对软件进行了安全性测试，就没有必要再组织第三方进行安全性测试

A. 设计了三层Web架构，但是软件存在SQL注入漏洞，导致被黑客攻击后能直接访问数据库

B. 使用C语言开发时，采用了一些存在安全问题的字符串处理函数，导致存在缓冲区溢出漏洞

C. 设计了缓存用户隐私数据机制以加快系统处理性能，导致软件在发布运行后，被黑客攻击获取到用户隐私数据

D. 使用了符合要求的密码算法，但在使用算法接口时，没有按照要求生成密钥，导致黑客攻击后能破解并得到明文数据

A. A.0.00049

B. B.0.049

C. C.0.49

D. D.49

A. 由于共享导致了安全问题，应直接关闭日志共享，禁止总部提取日志进行分析

B. 为配合总部的安全策略，会带来一定安全问题，但不影响系统使用，因此接受此风险

C. 日志的存在就是安全风险，最好的办法就是取消日志，通过设置前置机不记录日志

D. 只允许特定IP地址从前置机提取日志，对日志共享设置访问密码且限定访问的时间

A. 攻击者利用软件存在的逻辑错误，通过发送某种类型数据导致运算进入死循环，CPU资源占用始终100%

B. 攻击者利用软件脚本使用多重嵌套咨询，在数据量大时会导致查询效率低，通过发送大量的查询导致数据库响应缓慢

C. 攻击者利用软件不自动释放连接的问题，通过发送大量连接消耗软件并发连接数，导致并发连接数耗尽而无法访问

D. 攻击者买通IDC人员，将某软件运行服务器的网线拔掉导致无法访问

A. 权限分离原则

B. 最小特权原则

C. 保护最薄弱环节的原则

D. 纵深防御的原则

A. 某用户在登陆系统并下载数据后，却声称“我没有下载过数据”，软件系统中的这种威胁就属于R威胁

B. 解决R威胁，可以选择使用抗抵赖性服务技术来解决，如强认证、数字签名、安全审计等技术措施

C. R威胁是STRIDE六种威胁中第三严重的威胁，比D威胁和E威胁的严重程度更高

D. 解决R威胁，也应按照确定建模对象、识别威胁、评估威胁以及消减威胁等四个步骤来进行

A. 信息安全管理是组织整体管理的重要、固有组成部分，它是组织实现其业务目标的重要保障

B. 信息安全管理是一个不断演进、循环发展的动态过程，不是一成不变的

C. 信息安全建设中，技术是基础，管理是拔高，既有效的管理依赖于良好的技术基础

D. 坚持管理与技术并重的原则，是我国加强信息安全保障工作的主要原则之一