2022年10月27日来源:信管网 作者:cnitpm
信息安全工程师案例分析当天每日一练试题地址:www.cnitpm.com/exam/ExamDayAL.aspx?t1=6
往期信息安全工程师每日一练试题汇总:www.cnitpm.com/class/27/e6_1.html
信息安全工程师案例分析每日一练试题(2022/10/26)在线测试:www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2022/10/26
点击查看:更多信息安全工程师习题与指导
信息安全工程师案例分析每日一练试题内容(2022/10/26)
阅读下列说明和图,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】
信息系统安全开发生命周期(Security Development Life Cycle(SDLC))是微软提出的从安全角度指导软件开发过程的管理模式,它将安全纳入信息系统开发生命周期的所有阶段,各阶段的安全措施与步骤如下图5.1所示。
【问题1】(4分)
在培训阶段,需要对员工进行安全意识培训,要求员工向弱口令说不!针对弱口令最有效的攻击方式是什么?以下口令中,密码强度最高的是( )。
A. security2019
B. 2019Security
C. Security@2019
D. Security2019
【问题2】(6分)
在大数据时代,个人数据正被动地被企业搜集并利用。在需求分析阶段,需要考虑采用隐私保护技术防止隐私泄露。从数据挖掘的角度,隐私保护技术主要有:基于数据失真的隐私保护技术、基于数据加密的隐私保护技术、基于数据匿名隐私保护技术。
请问以下隐私保护技术分别属于上述三种隐私保护技术的哪一种?
(1)随机化过程修改敏感数据
(2)基于泛化的隐私保护技术
(3)安全多方计算隐私保护技术
【问题3】(4分)
有下述口令验证代码:
请问调用verify_password函数的参数满足什么条件,就可以在不知道真实口令的情况下绕过口令验证功能?
【问题4】(3分)
SDLC安全开发模型的实现阶段给出了 3种可以采取的安全措施,请结合问题3的代码举例说明?
信管网试题答案与解析:www.cnitpm.com/st/411642133.html信管网考友试题答案分享:
信管网sk_yyj:
问题1、暴力破解;c
问题2、基于数据加密的隐私保护技术、基于数据失真的隐私保护技术、基于数据匿名化的隐私保护技术
问题3、数组下标越界
问题4、禁用不安全函数:验证函数的参数需要实现对下标越界问题进行处理
信管网小爱20220718:
问题1:c。
问题2:(1)基于数据失真的隐私保护技术;(2)基于数据匿名的隐私保护技术;(3)基于数据加密的隐私保护技术。
问题3:口令超过8个字节则可以绕过口令验证功能。
问题4:(1)使用被批准的工具保障其安全;(2)禁用不安全的函数,例如禁用不安全的函数strcpy ,改用安全的函数 strncpy;(3)使用静态分析工具。
信管网jiangliyo:
1、口令爆破或穷举攻击 c
2、(1)基于数据失真;(2)基于数据匿名;(3)基于数据加密
3、8位完整字符串
4、(1)使用批准工具;(2)禁用危险函数;(3)静态分析工具。
信管网jiangliyo:
1、密码复杂强度,多种组合 c
2、(1)基于数据失真;(2)基于数据匿名;(3)基于数据加密
3、非空并长度为8位的任意字符串
4、阿发
信管网velen000:
1、穷举攻击 c
2、数据失真 数据匿名 数据加密
3、8-12位录入空
4、使用批准工具:使用安全的编码工具
禁用不安全函数:防止堆栈溢出
静态分析: 代码审查
温馨提示:因考试政策、内容不断变化与调整,信管网提供的以上信息仅供参考,如有异议,请考生以权威部门公布的内容为准!
相关推荐