2015cisp模拟重要试题101-216教程.docx

101．最小特权是软件安全设计的基本原则，某应用程序在设计时，设计人员给出了以下四种策略，其中有一个违反了最小特权的原则，作为评审专家，请指出是哪一个? A．软件在Linux 下按照时，设定运行时使用nobody 用户运行实例 B．软件的日志备份模块由于需要备份所有数据库数据，在备份模块运行时，以数据库备份操作员账号连接数据库 C．软件的日志模块由于要向数据库中的日志表中写入日志信息，使用了一个日志用户账 号连接数据库，该账号仅对日志表拥有权限 D.为了保证软件在Windows 下能稳定的运行，设定运行权限为system，确保系统运行正常，不会因为权限不足产生运行错误 102．某单位计划在今年开发一套办公自动化(OA)系统，将集团公司各地的机构通过互联网进行协同办公，在OA 系统的设计方案评审会上，提出了不少安全开发的建议，作为安全专家，请指出大家提的建议中不太合适的一条? A．对软件开发商提出安全相关要求，确保软件开发商对安全足够的重视，投入资源解决软件安全问题 B．要求软件开发人员进行安全开发培训，使开发人员掌握基本软件安全开发知识 C.要求软件开发商使用Java 而不是ASP 作为开发语言，避免产生SQL 注入漏洞 D．要求软件开发商对软件进行模块化设计，各模块明确输入和输出数据格式，并在使用前对输入数据进行校验 103．某单位根据业务需要准备立项开发一个业务软件，对于软件开发安全投入经费研讨时开发部门和信息中心就发生了分歧，开发部门认为开发阶段无需投入，软件开发完成后发现问题后再针对性的解决，比前期安全投入要成本更低；信息中心则认为应在软件安全开发 阶段投入，后期解决代价太大，双方争执不下，作为信息安全专家，请选择对软件开发安全投入的准确说法? A．信息中心的考虑是正确的，在软件立项投入解决软件安全问题，总体经费投入比软件运行后的费用要低 B．软件开发部门的说法是正确的，因为软件发现问题后更清楚问题所在，安排人员进行代码修订更简单，因此费用更低 C．双方的说法都正确，需要根据具体情况分析是开发阶段投入解决问题还是在上线后再解决问题费用更低 D．双方的说法都错误，软件安全问题在任何时候投入解决都可以，只要是一样的问题，解决的代价相同 104．某集团公司根据业务需要，在各地分支机构部署前置机，为了保证安全，集团总部要求前置机开放日志共享，由总部服务器采集进行集中分析，在运行过程中发现攻击者也可通过共享从前置机中提取日志，从而导致部分敏感信息泄露，根据降低攻击面的原则，应采 取以下哪项处理措施? A．由于共享导致了安全问题，应直接关闭日志共享，禁止总部提取日志进行分析 B．为配合总部的安全策略，会带来一定的安全问题，但不影响系统使用，因此接受此风险 C．日志的存在就是安全风险，最好的办法就是取消日志，通过设置让前置机不记录日志 D．只允许特定的IP 地址从前置机提取日志，对日志共享设置访问密码且限定访问的时间 105．如图1 所示，主机A 向主机B 发出的数据采用AH 或ESP 的传输模式对流量进行保护时，主机A 和主机B 的IP 地址在应该在下列哪个范围? A．10．0．0．0～10．255．255．255 B．172．16．0．0～172．31．255．255 C、192．168．0．0～192．168．255．255 D.不在上述范围内 106．某电子商务网站最近发生了一起安全事件，出现了一个价值1000 元的商品用1 元被买走的情况，经分析是由于设计时出于性能考虑，在浏览时使用Http 协议，攻击者通过伪造数据包使得向购物车添加商品的价格被修改．利用此漏洞，攻击者将价值1000 元的商品以 1 元添加到购物车中，而付款时又没有验证的环节，导致以上问题，对于网站的这个问题原因分析及解决措施。最正确的说法应该是? A．该问题的产生是由于使用了不安全的协议导致的，为了避免再发生类似的闯题，应对全网站进行安全改造，所有的访问都强制要求使用https B．该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位，没有找到该威胁并采取相应的消减措施 C．该问题的产生是由于编码缺陷，通过对网站进行修改，在进行订单付款时进行商品价格验证就可以解决 D．该问题的产生不是网站的问题，应报警要求寻求警察介入，严惩攻击者即可 107．针对软件的拒绝服务攻击是通过消耗系统资源使软件无法响应正常请求的一种攻击方式，在软件开发时分析拒绝服务攻击的威胁，以下哪个不是需要考虑的攻击方式： A．攻击者利用软件存在逻辑错误，通过发送某种类型数据导致运算进入死循环，CPU 资源占用始终100％ B．攻击者利用软件脚本使用多重嵌套查询，在数据量大时会导致查询效率低，通过发送大量的查询导致数据库响应缓慢 C．攻击者利用软件不自动释放连接的问题，通过