36、以下哪个不是导致地址解析协议(ARP)欺骗的根源之一？

A.ARP协议是一个无状态的协议

B.为提高效率，ARP信息在系统中会缓存

C.ARP缓存是动态的，可被改写

D.ARP协议是用于寻址的一个重要协议

答案：D

解析：D不是导致欺骗的根源。

37、张三将微信个人头像换成微信群中某好友头像，并将昵称改为该好友的昵称，然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻击？

A.口令攻击

B.暴力破解

C.拒绝服务攻击

D.社会工程学攻击

答案：D

解析：D属于社会工程学攻击。

38、关于软件安全开发生命周期(SDL),下面说法错误的是：

A.在软件开发的各个周期都要考虑安全因素

B.软件安全开发生命周期要综合釆用技术、管理和工程等手段

C.测试阶段是发现并改正软件安全漏洞的最佳环节，过早或过晚检测修改漏洞都将增大软件开发成本

D.在设计阶段就尽可能发现并改正安全隐患，将极大减少整个软件开发成本

答案：C

解析：设计阶段是发现和改正问题的最佳阶段。

39、在软件保障成熟度模型(Software Assurance Maturity Mode,SAMM)中，规定了软件开发过程中的核心业务功能，下列哪个选项不属于核心业务功能：

A.治理，主要是管理软件开发的过程和活动

B.构造，主要是在开发项目中确定目标并开发软件的过程与活动

C.验证，主要是测试和验证软件的过程与活动

D.购置，主要是购买第三方商业软件或者釆用开源组件的相关管理过程与活动

答案：D

解析：SAMM模型四个部分是治理、构造、验证和部署。

40、从系统工程的角度来处理信息安全问题，以下说法错误的是：

A.系统安全工程旨在了解企业存在的安全风险，建立一组平衡的安全需求，融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。

B.系统安全工程需对安全机制的正确性和有效性做出诠释，证明安全系统的信任度能够达到企业的要求，或系统遗留的安全薄弱性在可容许范围之内。

C.系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法，是一种使用面向开发的方法。

D.系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上，通过对安全工作过程进行管理的途径，将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科。

答案：C

解析：SSE-CMM是面向工程过程质量控制的一套方法，CC标准面向开发、评估、交付的标准。