D．实施了信息安全风险评估工作，探索了风险评估工作的基本规律和方法，检验并修改完善了有关标准，培养和锻炼了人才队伍。 12

为保障信息系统的安全，某经营公众服务系统的公司准备并编制一份针对性的信息安全保障方案，并严格编制任务交给了小王，为此，小王决定首先编制出一份信息安全需求描述报告，关于此项工作，下面说法错误的是（ ）

A．信息安全需求是安全方案设计和安全措施实施的依据

B．信息安全需求应当是从信息系统所有者（用户）的角度出发，使用规范化，结构化的语言来描述信息系统安全保障需求

C．信息安全需求应当基于信息安全风险评估结果，业务需求和有关政策法规和标准的合规性要求得到

D．信息安全需求来自于该公众服务信息系统的功能设计方案 13

下列我国哪一个政策性文件明确了我国信息安全保障工作的方针和总体要求以及加强信息安全工作的主要原则？ A．《关于加强政府信息系统安全和保密管理工作的通知》 B．《中华人民共和国计算机信息系统安全保护条例 》 C．《国家信息化领导小组关于加强信息安全保障工作的意见》 D．《关于开展信息安全风险评估工作的意见》 14

以下关于软件安全测试说法正确的是？

A．软件安全测试就是黑盒测试

B．Fuzz测试是经常采用的安全测试方法之一

C．软件安全测试关注的是软件的功能

D．软件安全测试可以发现软件中产生的所有安全问题 15

以下哪个属性不会出现在防火墙的访问控制策略配置中？

A．本局域网内地址

B．百度服务器地址

C．HTTP协议

D．病毒类型 16

对入侵检测系统的测试评估包括功能测试和性能测试。请指出下列哪项属于性能测试指标。

A．攻击识别能力

B．自身抵抗攻击能力

C．报警机制

D．IDS引擎的吞吐量 17

关于恶意代码，以下说法错误的是：

A．从传播范围来看，恶意代码呈现多平台传播的特征。

B．按照运行平台，恶意代码可以分为网络传播型病毒.文件传播型病毒。

C．不感染的依附性恶意代码无法单独执行

D．为了对目标系统实施攻击和破坏活动，传播途径是恶意代码赖以生存和繁殖的基本条件 18

当前，应用软件安全已经日益引起人们的重视，每年新发现的应用软件漏洞已经占新发现漏洞总数一半以上。下列选项中，哪个与应用软件漏洞成因无关：

A．传统的软件开发工程未能充分考虑安全因素

B．开发人员对信息安全知识掌握不足

C．相比操作系统而言，应用软件编码所采用的高级语言更容易出现漏洞

D．应用软件的功能越来越多，软件越来越复杂，更容易出现漏洞 19

下面哪个模型和软件安全开发无关（ ）？

A．微软提出的“安全开发生命周期（Security Development Lifecycle,SDL）”

B．Gray McGraw等提出的“使安全成为软件开发必须的部分（Building Security IN，BSI）”

C．OWASP维护的“软件保证成熟度模型（Software Assurance Maturity Mode,SAMM）” D．美国提出的“信息安全保障技术框架（Information Assurance Technical Framework，IATF）” 20

某单位门户网站开发完成后，测试人员使用模糊测试进行安全性测试，以下关于模糊测试过程的说法正确的是：

A．模拟正常用户输入行为，生成大量数据包作为测试用例

B．数据处理点.数据通道的入口点和可信边界点往往不是测试对象

C．监测和记录输入数据后程序正常运行的情况

D．深入分析网站测试过程中产生崩溃或异常的原因，必要时需要测试人员手工重现并分析 21

以下关于模糊测试过程的说法正确的是：

A．模糊测试的效果与覆盖能力，与输入样本选择不相关

B．为保障安全测试的效果和自动化过程，关键是将发现的异常进行现场保护记录，系统可能无法恢复异常状态进行后续的测试

C．通过异常样本重现异常，人工分析异常原因，判断是否为潜在的安全漏洞，如果是安全漏洞，就需要进一步分析其危害性.影响范围和修复建议

D．对于可能产生的大量异常报告，需要人工全部分析异常报告 22

以下关于Windows系统的账号存储管理机制SAM（Security Accounts Manager）的说法哪个是正确的：

A．存储在注册表中的账号数据是管理员组用户都可以访问，具有较高的安全性

B．存储在注册表中的账号数据只有administrator账户才有权访问，具有较高的安全性

C．存储在注册表中的账号数据任何用户都可以直接访问，灵活方便

D．存储在注册表中的账号数据只有System账户才能访问，具有较高的安全性 23

张三将微信个人头像换成微信群中某好友头像，并将昵称改为该好友昵称，然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻击？

A．口令攻击