C.个人网银系统对用户身份的单向鉴别 D.用户对个人网银系统合法性的单向鉴别
12.如下图所示,Alice 用Bob 的密钥加密明文,将密文发送给Bob。Bob 再用自己的私钥解密,恢复出明文。以下说法正确的是:
A.此密码体制为对称密码体制 B.此密码体制为私钥密码体制 C.此密码体制为单钥密码体制 D.此密码体制为公钥密码体制
13.下列哪一种方法属于基于实体“所有”鉴别方法: A.用户通过自己设置的口令登录系统,完成身份鉴别 B.用户使用个人指纹,通过指纹识别系统的身份鉴别
C.用户利用和系统协商的秘密函数,对系统发送的挑战进行正确应答,通过身份鉴别
D.用户使用集成电路卡(如智能卡)完成身份鉴别
14.为防范网络欺诈确保交易安全,网银系统首先要求用户安全登录,然后使用“智能卡+短信认证”模式进行网上转账等交易,在此场景
中用到下列哪些鉴别方法?
A.实体“所知”以及实体“所有”的鉴别方法 B.实体“所有”以及实体“特征”的鉴别方法 C.实体“所知”以及实体“特征”的鉴别方法 D.实体“所有”以及实体“行为”的鉴别方法
15.某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试、 模糊测试的优势给领导做决策,以下哪条是渗透性测试的优势? A.渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞
B.渗透测试是用软件代替人工的一种测试方法,因此测试效率更高 C.渗透测试使用人工进行测试,不依赖软件,因此测试更准确 D.渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多 16.软件安全设计和开发中应考虑用户稳私包,以下关于用户隐私保护的说法哪个是错误的?
A.告诉用户需要收集什么数据及搜集到的数据会如何披使用 B.当用户的数据由于某种原因要被使用时,给用户选择是否允许 C.用户提交的用户名和密码属于稳私数据,其它都不是 D.确保数据的使用符合国家、地方、行业的相关法律法规 17.软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思
想,在有限资源前提下实现软件安全最优防护,避免防范不足带来的直接损失,也需要关注过度防范造成的间接损失。在以下软件安全开发策略中,不符合软件安全保障思想的是:
A.在软件立项时考虑到软件安全相关费用,经费中预留了安全测试、安全评审相关费用,确保安全经费得到落实
B.在软件安全设计时,邀请软件安全开发专家对软件架构设计进行评审,及时发现架构设计中存在的安全不足
C.确保对软编码人员进行安全培训,使开发人员了解安全编码基本原则和方法,确保开发人员编写出安全的代码
D.在软件上线前对软件进行全面安全性测试,包括源代码分析、模糊测试、渗透测试,未经以上测试的软件不允许上线运行 18.以下哪一项不是工作在网络第二层的隧道协议: A.VTP B.L2F C.PPTP D.L2TP
19.如圈所示,主体S 对客体01 有读(R)权限,对客体02 有读(R)、写(W)、拥有(Own)权限,该图所示的访问控制实现方法是:
A.访问控制表(ACL) B.访问控制矩阵 C.能力表(CL) D.前缀表(Profiles)
20.以下场景描述了基于角色的访问控制模型(Role-based Access Control.RBAC):根据组织的业务要求或管理要求,在业务系统中设置若干岗位、职位或分工,管理员负责将权限(不同类别和级别的)分别赋予承担不同工作职责的用户。关于RBAC 模型,下列说法错误的是:
A.当用户请求访问某资源时,如果其操作权限不在用户当前被激活角色的授权范围内,访问请求将被拒绝
B.业务系统中的岗位、职位或者分工,可对应RBAC 模型中的角色 C.通过角色,可实现对信息资源访问的控制 D.RBAC 模型不能实现多级安全中的访问控制 21.下面哪一项不是虚拟专用网络(VPN)协议标准:
A.第二层隧道协议(L2TP) B.Internet 安全性(IPSEC)
C.终端访问控制器访问控制系统(TACACS+) D.点对点隧道协议(PPTP)
22.下列对网络认证协议(Kerberos)描述正确的是: A.该协议使用非对称密钥加密机制
B.密钥分发中心由认证服务器、票据授权服务器和客户机三个部分组成
C.该协议完成身份鉴别后将获取用户票据许可票据 D.使用该协议不需要时钟基本同步的环境
23.鉴别的基本途径有三种:所知、所有和个人特征,以下哪一项不是基于你所知道的: A.口令 B.令牌 C.知识 D.密码
24.在ISO 的OSI 安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务? A.加密 B.数字签名 C.访问控制 D.路由控制