B．暴力破解

C．拒绝服务攻击

D．社会工程学攻击 24

公司甲做了很多政府网站安全项目，在为网游公司乙的网站设计安全保障方案时，借鉴以前项目经验，为乙设计了多重数据加密安全措施，但用户提出不需要这些加密措施，理由是影响了网站性能，使用户访问量受限，双方引起争议。下面说法哪个是错误的：

A．乙对信息安全不重视，低估了黑客能力，不舍得花钱

B．甲在需求分析阶段没有进行风险评估，所部署的加密针对性不足，造成浪费

C．甲未充分考虑网游网站的业务与政府网站业务的区别

D．乙要综合考虑业务.合规性和风险，与甲共同确定网站安全需求 25

进入21世纪以来，信息安全成为世界各国安全战略关注的重点，纷纷制定并颁布网络空间安全战略，但各国历史.国情和文化不同，网络空间安全战略的内容也各不相同，以下说法不正确的是：

A．与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点

B．美国尚未设立中央政府级的专门机构处理网络信息安全问题，信息安全管理职能由不同政府部门的多个机构共同承担

C．各国普遍重视信息安全事件的应急响应和处理

D．在网络安全战略中，各国均强调加强政府管理力度，充分利用社会资源，发挥政府与企业之间的合作关系 26

下列哪一种方法属于基于实体“所有”鉴别方法：

A．用户通过自己设置的口令登录系统，完成身份鉴别

B．用户使用个人指纹，通过指纹识别系统的身份鉴别

C．用户利用和系统协商的秘密函数，对系统发送的挑战进行正确应答，通过身份鉴别

D．用户使用集成电路卡(如智能卡)完成身份鉴别 27

某单位开发了一个面向互联网提供服务的应用网站，该单位委托软件测评机构对软件进行了源代码分析.模糊测试等软件安全性测试，在应用上线前，项目经理提出了还需要对应用网站进行一次渗透性测试，作为安全主管，你需要提出渗透性测试相比源代码测试.模糊测试的优势给领导做决策，以下哪条是渗透性测试的优势?

A．渗透测试以攻击者的思维模拟真实攻击，能发现如配置错误等运行维护期产生的漏洞

B．渗透测试是用软件代替人工的一种测试方法，因此测试效率更高

C．渗透测试使用人工进行测试，不依赖软件，因此测试更准确

D．渗透测试中必须要查看软件源代码，因此测试中发现的漏洞更多 28

软件安全设计和开发中应考虑用户稳私包，以下关于用户隐私保护的说法哪个是错误的?

A．告诉用户需要收集什么数据及搜集到的数据会如何被使用

B．当用户的数据由于某种原因要被使用时，给用户选择是否允许

C．用户提交的用户名和密码属于稳私数据，其它都不是

D．确保数据的使用符合国家.地方.行业的相关法律法规 29

以下场景描述了基于角色的访问控制模型(Role-based Access Control．RBAC)：根据组织的业务要求或管理要求，在业务系统中设置若干岗位.职位或分工，管理员负责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。关于RBAC模型，下列说法错误的是：

A．当用户请求访问某资源时，如果其操作权限不在用户当前被激活角色的授权范围内，访问请求将被拒绝

B．业务系统中的岗位.职位或者分工，可对应RBAC模型中的角色

C．通过角色，可实现对信息资源访问的控制

D．RBAC模型不能实现多级安全中的访问控制 30

某公司已有漏洞扫描和入侵检测系统(Intrusien Detection System，IDS)产品，需要购买防火墙，以下做法应当优先考虑的是：

A．选购当前技术最先进的防火墙即可

B．选购任意一款品牌防火墙

C．任意选购一款价格合适的防火墙产品

D．选购一款同已有安全产品联动的防火墙 31

某单位人员管理系统在人员离职时进行账号删除，需要离职员工所在部门主管经理和人事部门人员同时进行确认才能在系统上执行，该设计是遵循了软件安全设计中的哪项原则?

A．最小权限

B．权限分离

C．不信任

D．纵深防御

32

某电子商务网站在开发设计时，使用了威胁建模方法来分折电子商务网站所面临的威胁，STRIDE是微软SDL中提出的威胁建模方法，将威胁分为六类，为每一类威胁提供了标准的消减措施，Spoofing是STRIDE中欺骗类的威胁，以下威胁中哪个可以归入此类威胁?

A．网站竞争对手可能雇佣攻击者实施DDoS攻击，降低网站访问速度

B．网站使用http协议进行浏览等操作，未对数据进行加密，可能导致用户传输信息泄露，例如购买的商品金额等

C．网站使用http协议进行浏览等操作，无法确认数据与用户发出的是否一致，可能数据被中途篡改 D．网站使用用户名.密码进行登录验证，攻击者可能会利用弱口令或其他方式获得用户密码，以该用户身份登录修改用户订单等信息 33

相比文件配置表(FAT)文件系统，以下哪个不是新技术文件系统(NTFS)所具有的优势?

A．NTFS使用事务日志自动记录所有文件夹和文件更新，当出现系统损坏和电源故障等闯题而引起操作失败后，系统能利用日志文件重做或恢复未成功的操作

B．NTFS的分区上，可以为每个文件或文件夹设置单独的许可权限

C．对于大磁盘，NTFS文件系统比FAT有更高的磁盘利用率

D．相比FAT文件系统，NTFS文件系统能有效的兼容Linux下EXT2文件格式 34

某公司系统管理员最近正在部署一台Web服务器，使用的操作系统是Windows，在进行日志安全管理设置时，系统管理员拟定四条日志安全策略给领导进行参考，其中能有效应对攻击者获得系统权限后对日志进行修改的策略是：

A．在网络中单独部署syslog服务器，将Web服务器的日志自动发送并存储到该syslog日志服务器中