單項選擇題某政府機構(gòu)委托開發(fā)商開發(fā)了一個OA系統(tǒng),其中公文分發(fā)功能使用了FTP協(xié)議,該系統(tǒng)運行過程中被攻擊者通過FTP對OA系統(tǒng)中的腳本文件進行了篡改,安全專家提出使用HTTP下載代替了FTP功能以解決以上問題,該安全問題的產(chǎn)生主要是在哪個階段產(chǎn)生的:()

A.程序員在進行安全需求分析時,沒有分析出OA系統(tǒng)開發(fā)的安全需求
B.程序員在軟件設(shè)計時,沒遵循降低攻擊面的原則,設(shè)計了不安全的功能
C.程序員在軟件編碼時,缺乏足夠的經(jīng)驗,編寫了不安全的代碼
D.程序員在進行軟件測試時,沒有針對軟件安全需求進行安全測試


您可能感興趣的試卷

你可能感興趣的試題

1.單項選擇題在信息安全保障工作中,人才是非常重要的因素,近年來,我國一直高度重視我國信息安全人才隊伍的培養(yǎng)和建設(shè),在以下關(guān)于我國關(guān)于人才培養(yǎng)工作的描述中,錯誤的是()

A.在《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)【2003】27號文)中,針對信息安全人才建設(shè)與培養(yǎng)工作提出了“加快信息安全人才培養(yǎng)”,增強全民信息安全意識”的指導(dǎo)精神
B.2015年,為加快網(wǎng)絡(luò)空間安全高層次人才培養(yǎng),經(jīng)報國務(wù)院學(xué)位委員會批準,國務(wù)院學(xué)位委員會,教育部決定在“工學(xué)”門類下增設(shè)“網(wǎng)絡(luò)空間安全”一級學(xué)科,這對于我國網(wǎng)絡(luò)信息安全人才成體系化,規(guī)?;?,系統(tǒng)化培養(yǎng)起到積極推動作用
C.經(jīng)過十余年的發(fā)展,我國信息安全人才培養(yǎng)已經(jīng)成熟和體系化,每年培養(yǎng)的信息安全從業(yè)人員的數(shù)量較多,基本能同社會實際需求相匹配,同時高校信息安全專業(yè)畢業(yè)人才的綜合能力要求高,知識更全面,因而社會化培養(yǎng)應(yīng)重點放在非安全專業(yè)人才培養(yǎng)上
D.除正規(guī)大學(xué)教育外,我國信息安全非學(xué)歷教育已基本形成了各種認證為核心,輔以各種職業(yè)技能培訓(xùn)的信息安全人才培訓(xùn)體系,包括“注冊信息安全專業(yè)人員(CISP)”資質(zhì)認證和一些大型企業(yè)的信息安全資質(zhì)認證

2.單項選擇題有關(guān)能力成熟度模型(CMM),錯誤的理解是()

A.CMM的基本思想是,因為問題是由技術(shù)落后引起的,所以新技術(shù)的運用會在一定程度上提高質(zhì)量、生產(chǎn)率和利潤率
B.CMM的思想來源于項目管理和質(zhì)量管理
C.CMM是一種衡量工程實施能力的方法,是一種面向工程過程的方法
D.CMM是建立在統(tǒng)計過程控制理論基礎(chǔ)上的,它基于這樣一個假設(shè),即“生產(chǎn)過程的高質(zhì)量和在過程中組織實施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品”

3.單項選擇題為防范網(wǎng)絡(luò)欺詐確保交易安全,網(wǎng)銀系統(tǒng)首先要求用戶安全登錄,然后使用“智能卡+短信認證”模式進行網(wǎng)上轉(zhuǎn)賬等交易。在此場景中用到下列哪些鑒別方法?()

A.實體“所知”以及實體“所有”的鑒別方法
B.實體“所有”以及實體“特征”的鑒別方法
C.實體“所知”以及實體“特征”的鑒別方法
D.實體“所有”以及實體“行為”的鑒別方法

5.單項選擇題作為信息安全從業(yè)人員,以下哪種行為違反了CISP職業(yè)道德準則()

A.抵制通過網(wǎng)絡(luò)系統(tǒng)侵犯公眾合法權(quán)益
B.通過公眾網(wǎng)絡(luò)傳播非法軟件
C.不在計算機網(wǎng)絡(luò)系統(tǒng)中進行造謠,欺詐,誹謗等活動
D.幫助和指導(dǎo)信息安全同行提升信息安全保障知識和能力

最新試題

計算機漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。在病毒肆意的信息不安全時代,某公司為減少計算機系統(tǒng)漏洞,對公司計算機系統(tǒng)進行了如下措施,其中錯誤的是()。

題型:單項選擇題

與PDR模型相比,P2DR模型則更強調(diào)(),即強調(diào)系統(tǒng)安全的(),并且以安全檢測、()和自適應(yīng)填充“安全間隙“為循環(huán)來提高()。

題型:單項選擇題

目前應(yīng)用面臨的威脅越來越多,越來越難發(fā)現(xiàn)。對應(yīng)用系統(tǒng)潛在的威脅目前還沒有統(tǒng)一的分類,但小趙認為同事小李從對應(yīng)用系統(tǒng)的攻擊手段角度出發(fā)所列出的四項例子中有一項不對,請問是下面哪一項?()

題型:單項選擇題

風(fēng)險評估文檔是指在整個風(fēng)險評估過程中產(chǎn)生的評估過程文檔和評估結(jié)果文檔,其中,明確評估的目的、職責(zé)、過程、相關(guān)的文檔要求,以及實施本次評估所需要的各種資產(chǎn)、威脅、脆弱性識別和判斷依據(jù)的文檔是()。

題型:單項選擇題

以下哪個組織所屬的行業(yè)的信息系統(tǒng)不屬于關(guān)鍵信息基礎(chǔ)設(shè)施?()

題型:單項選擇題

組織應(yīng)依照已確定的訪問控制策略限制對信息和()功能的訪問。對訪問的限制要基于各個業(yè)務(wù)應(yīng)用要求,訪問控制策略還要與組織訪問策略一致。應(yīng)建立安全登錄規(guī)程控制實現(xiàn)對系統(tǒng)和應(yīng)用的訪問。宜選擇合適的身份驗證技術(shù)以驗證用戶身份。在需要強認證和()時,宜使用加密、智能卡、令牌或生物手段等替代密碼的身份驗證方法。應(yīng)建立交互式的口令管理系統(tǒng),并確保使用優(yōu)質(zhì)的口令。對于可能覆蓋系統(tǒng)和應(yīng)用的控制措施的實用工具和程序的使用,應(yīng)加以限制并()。對程序源代碼和相關(guān)事項(例如設(shè)計、說明書、驗證計劃和確認計劃)的訪問宜嚴格控制,以防引入非授權(quán)功能、避免無意識的變更和維持有價值的知識產(chǎn)權(quán)的()。對于程序源代碼的保存,可以通過這種代碼的中央存儲控制來實現(xiàn),更好的是放在()中。

題型:單項選擇題

分析針對Web的攻擊前,先要明白http協(xié)議本身是不存在安全性的問題的,就是說攻擊者不會把它當(dāng)作攻擊的對象。而是應(yīng)用了http協(xié)議的服務(wù)器或則客戶端、以及運行的服務(wù)器的wed應(yīng)用資源才是攻擊的目標。針對Web應(yīng)用的攻擊,我們歸納出了12種,小陳列舉了其中的4種,在這四種當(dāng)中錯誤的是()。

題型:單項選擇題

災(zāi)備指標是指信息安全系統(tǒng)的容災(zāi)抗毀能力,主要包括四個具體指標:恢復(fù)時間目標(Recovery Time Ohjective,RTO).恢復(fù)點目標(Recovery Point Objective,RPO)降級操作目標(Degraded Operations Objective-DOO)和網(wǎng)絡(luò)恢復(fù)目標(NeLwork Recovery Ob jective-NRO),小華準備為其工作的信息系統(tǒng)擬定恢復(fù)點目標 RPO-O,以下描述中,正確的是()。

題型:單項選擇題

某集團公司信息安全管理員根據(jù)領(lǐng)導(dǎo)安排制定了下一年度的培訓(xùn)工作計劃,提出了四個培訓(xùn)任務(wù)和目標。關(guān)于這四個培訓(xùn)任務(wù)和目標。作為主管領(lǐng)導(dǎo),以下選項中正確的是()。

題型:單項選擇題

在設(shè)計信息系統(tǒng)安全保障方案時,以下哪個做法是錯誤的?()

題型:單項選擇題