11、[单选题]11、为防范网络欺诈确保交易安全,网银系统首先要求用户安全登录,然后使用“智能卡+短信认证”模式进行网上转账等交易,在此场景中用到下列哪些鉴别方法?
A、实体“所知”以及实体“所有”的鉴别方法
B、实体“所有”以及实体“特征”的鉴别方法
C、实体“所知”以及实体“特征”的鉴别方法
D、实体“所有”以及实体“行为”的鉴别方法
答案:A
解析:题目中安全登录会涉及到账号密码为实体所知,智能卡和短信是实体所有。
12、[单选题]12、某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试、模糊测试的优势给领导做决策,以下哪条是渗透性测试的优势?
A、渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞
B、渗透测试是用软件代替人工的一种测试方法,因此测试效率更高
C、渗透测试使用人工进行测试,不依赖软件,因此测试更准确
D、渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多
答案:A
解析:渗透测试是模拟攻击的黑盒测试,有利于发现系统明显的问题。
13、[单选题]13、软件安全设计和开发中应考虑用户隐私包,以下关于用户隐私保护的说法哪个是错误的?
A、告诉用户需要收集什么数据及搜集到的数据会如何去使用
B、当用户的数据由于某种原因要被使用时,给用户选择是否允许
C、用户提交的用户名和密码属于隐私数据,其它都不是
D、确保数据的使用符合国家、地方、行业的相关法律法规
答案:C
解析:个人隐私包括但不限于用户名密码、位置、行为习惯等信息。
14、[单选题]14、软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想,在有限资源前提下实现软件安全最优防护,避免防范不足带来的直接损失,也需要关注过度防范造成的间接损失。在以下软件安全开发策略中,不符合软件安全保障思想的是.
A、曷软件盖务时考虑到软件安全相关费用,经费中预留了安全测试、安全评审相关费用,确保安全经费得到落实
B、在软件安全设计时,邀请软件安全开发专家对软件架构设计进行评审,及时发现架构设计中存在的安全不足
C、确保对软编码人员进行安全培训,开发人员了解安全编码基本原则和方法,确保开发人员编写出安全的代码
D、在软件上线前对软件进行全面安全性测试,包括源代码分析、模糊测试、渗透测试,未经以上测试的软件不允许上线运行
答案:D
解析:软件的安全测试根据实际情况进行测试措施的选择和组合。
15、[单选题]15、以下哪一项不是工作在网络第二层的隧道协议:
A、VTP
B、L2F
C、PPTP
D、L2TP
答案:A
解析:L2F、PPTP、L2TP均为二层隧道协议。