信管网试题库

第1题：

以下关于“最小特权”安全管理原则理解正确的是：（）

A．组织机构内的敏感岗位不能由一个人长期负责

B．对重要的工作进行分解，分配给不同人员完成

C．一个人有且仅有其执行岗位所足够的许可和权限

D．防止员工由一个岗位变动到另一个岗位，累积越来越多的权限

信管网参考答案：C

信管网参考解析：最小特权原则是系统安全中最基本的原则之一。所谓最小特权（least privilege），指的是"在完成某种操作时所赋予网络中每个主体（用户或进程）必不可少的特权"。最小特权原则，则是指"应限定网络中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小"。

第2题

关于源代码审核，描述正确的是（）

A.源代码审核过程遵循信息安全保障技术框架模型，执行时应一步一步严格执行

B.源代码审核有利于发现软件编码中存在的安全问题，相关的审核工具既有商业开源工具

C.源代码审核如果想要有效率高，则主要要依赖人工审核而不是工具审核，因为人工智能的，需要人的脑袋来判断

D.源代码审核能起到很好的安全保证作用，如果执行了源代码审核，则不需要安全测试

信管网参考答案：B

信管网参考解析：代码评审也称代码复查，是指通过阅读代码来检查源代码与编码标准的符合性以及代码质量的活动。

代码评审的好处：编辑

提高代码质量

在项目的早期发现缺陷，将损失降至最低

评审的过程也是重新梳理思路的过程，双方都加深了对系统的理解

促进团队沟通、促进知识共享、共同提高

交叉评审——代码走查：团队成员互相检查代码

参与者可以是任意两个组员，或开发组长分别与每个组员结对进行

时机可以选择在下班前半小时，对当天改动的模块进行评审

代码作者讲解如何以及为何这样实现、评审者提出问题和建议

每次解决的问题要记录到svn注释或jira

每次评审不要贪多，如下图所示：当一次评审超过400行代码时，能发现缺陷数显著降低——事倍功半

会审：以项目为单位，召开专门的代码评审会议

参与者：包括项目组全体成员，其它组的开发组长也应尽量参加

时机选择：开发进行到某一阶段时，对共性问题进行总结，对好的做法进行提炼和推广