单选题 软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想,在有限资源前提 下实现软件安全最优防护,避免防范不足带来的直接损失,也需要关注过度防范造成 的间接损失。在以下软件安全开发策略中,不符合软件安全保障思想的是:
A、A.在软件立项时考虑到软件安全相关费用,经费中预留了安全测试、安全评审相关费 用,确保安全经费得到落实
B、B.在软件安全设计时,邀请软件安全开发专家对软件架构设计进行评审,及时发现 架构设计中存在的安全不足
C、C.确保对软编码人员进行安全培训,使开发人员了解安全编码基本原则和方法,确 保开发人员编写出安全的代码
D、D.在软件上线前对软件进行全面安全性测试,包括源代码分析、模糊测试、渗透测 试,未经以上测试的软件不允许上线运行
单选题 某集团公司信息安全管理员根据领导安排制定了下一年度的培训工作计划,提出了四大培训任务和目标,关于这四个培训任务和目标,作为主管领导,以下选项中正确的是( )
A、A.由于网络安全上升到国家安全的高度,因此网络安全必须得到足够的重视,因此安排了对集团公司下属公司的总经理(一把手)的网络安全法培训
B、B.对下级单位的网络安全管理岗人员实施全面培训,计划全员通过CISP持证培训以确保人员能力得到保障
C、C.对其他信息化相关人员(网络管理员、软件开发人员)也进行安全基础培训,使相关人员对网络安全有所了解
D、D.对全体员工安全信息安全意识及基础安全知识培训,实现全员信息安全意识教育
单选题 美国的关键信息基础设施(Critical Information Infrastructure,Cn)包括商用核设施、政策设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防 工业基地等等,美国政府强调重点保障这些基础设施信息安全,其主要原因不包括:
A、A.这些行业都关系到国计民生,对经济运行和国家安全影响深远
B、B.这些行业都是信息化应用广泛的领域
C、C.这些行业信息系统普遍存在安全隐患,而且信息安全专业人才缺乏的现象比其他行 业更突出
D、D.这些行业发生信息安全事件,会造成广泛而严重的损失。
单选题 某网站在设计时经过了威胁建模和攻击面分析,在开发时要求程序员编写安全的代码,但是在部署时由于管理员将备份存放在Web目录下导致了攻击者可直接下载备份,为了发现系统中是否存在其他类似问题,以下哪种测试方式是最佳的测试方式:( )
A、A.模糊测试
B、B.源代码测试
C、C.渗透测试
D、D.软件功能测试
单选题 有关系统安全工程-能力成熟度模型(SSE-CMM)中基本实施(Base Practice)正确的理解是:
A、A.BP不限定于特定的方法工具,不同业务背景中可以使用不同的方法
B、B.BP不是根据广泛的现有资料,实施和专家意见综合得出的
C、C.BP不代表信息安全工程领域的最佳实践
D、D.BP不是过程区域(Process Areas, PA )的强制项
单选题 在软件保障成熟度模型(Software Assurance Maturity Mode,SAMM)中规定了软件开发过程中的核心业务功能,下列哪个选项不属于核心业务功能:( )
A、A.治理,主要是管理软件开发的过程和活动
B、B.构造,主要是在开发项目中确定目标并开发软件的过程与活动
C、C.验证,主要是测试和验证软件的过程与活动
D、D.购置,主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动
单选题 关于信息安全管理体系的作用,下面理解错误的是( )
A、A.对内而言,有助于建立起文档化的信息安全管理规范,实现有“法”可依,有据可查
B、B.对内而言,是一个光花钱不挣钱的事情,需要组织通过其他方法收入来弥补投入
C、C.对外而言,有助于使各科室相关方对组织充满信心
D、D.对外而言,规范工作流程要求,帮助界定双方各自信息安全责任
单选题 王明买了一个新的蓝牙耳机,但王明听说使用蓝牙设备有一定的安全威胁,于是王明找到了对蓝牙技术有所了解的王红,希望王红能够给自己一点建议,以下哪一条建议不可取( )
A、A.再选择使用蓝牙设备时,应考虑设备的技术实现及设置是否举办防止上述安全威胁的能力
B、B.选择使用功能合适的设备而不是功能尽可能多的设备,尽量关闭不使用的服务及功能
C、C.如果蓝牙设备丢失,最好不要做任何操作
D、D.在配对时使用随机生成的密钥,不使用时设置不可被其他蓝牙设备发现
2024-04-20
共669道
