信息安全工程師案例分析當天每日一練試題地址：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：m.xiexiliangjiufa.com/class/27/e6_1.html

信息安全工程師案例分析每日一練試題（2022/3/19）在線測試：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2022/3/19

點擊查看：更多信息安全工程師習題與指導

信息安全工程師案例分析每日一練試題內容（2022/3/19）

閱讀下列說明和圖，回答問題1至問題4,將解答填入答題紙的對應欄內。

【說明】

信息系統(tǒng)安全開發(fā)生命周期（Security Development Life Cycle（SDLC））是微軟提出的從安全角度指導軟件開發(fā)過程的管理模式，它將安全納入信息系統(tǒng)開發(fā)生命周期的所有階段，各階段的安全措施與步驟如下圖5.1所示。

【問題1】（4分）

在培訓階段，需要對員工進行安全意識培訓，要求員工向弱口令說不！針對弱口令最有效的攻擊方式是什么？以下口令中，密碼強度最高的是（  ）。

A. security2019

B. 2019Security

C. Security@2019

D. Security2019

【問題2】（6分）

在大數(shù)據(jù)時代，個人數(shù)據(jù)正被動地被企業(yè)搜集并利用。在需求分析階段，需要考慮采用隱私保護技術防止隱私泄露。從數(shù)據(jù)挖掘的角度，隱私保護技術主要有：基于數(shù)據(jù)失真的隱私保護技術、基于數(shù)據(jù)加密的隱私保護技術、基于數(shù)據(jù)匿名隱私保護技術。

請問以下隱私保護技術分別屬于上述三種隱私保護技術的哪一種?

（1）隨機化過程修改敏感數(shù)據(jù)

（2）基于泛化的隱私保護技術

（3）安全多方計算隱私保護技術

【問題3】（4分）

有下述口令驗證代碼：

請問調用verify_password函數(shù)的參數(shù)滿足什么條件，就可以在不知道真實口令的情況下繞過口令驗證功能？

【問題4】（3分）

SDLC安全開發(fā)模型的實現(xiàn)階段給出了 3種可以采取的安全措施，請結合問題3的代碼舉例說明？

信管網cnitpm492170600355：
窮舉攻擊 c 隨失 泛 加 安匿 輸入大于等于12個字符，后8到11必須為空字符 使用批準工具編寫安全代碼 警用不安全函數(shù)警用c語言中有隱患函數(shù) 靜態(tài)分析 對指針完整性

信管網cnitpm492009413874：
1.c 2.（1）基于數(shù)據(jù)匿名隱私保護技術 （2）基于數(shù)據(jù)失真的隱私保護技術 （3）基于數(shù)據(jù)加密的隱私保護技術 3. 口令長度是任意八位即可 4. 使用安全函數(shù)，禁止使用strcpy函數(shù)； 靜態(tài)分析：不運行代碼進行代碼逐行分析掃描 ； 使用批準工具：使用安全編譯工具。

信管網cnitpm489858407735：
窮舉攻擊，c 失真，匿名，加密 完整8個字符即可 使用批準工具（安全編譯工具） 禁用危險函數(shù)（strcpy，scanf） 靜態(tài)分析工具

信管網cnitpm486949370532：
第一題：c 第二題：隨機化過程修改敏感數(shù)據(jù)-基于數(shù)據(jù)加密的隱私保護技術；基于泛化的隱私保護技術-基于數(shù)據(jù)匿名隱私保護技術；安全多方計算隱私保護技術-基于數(shù)據(jù)失真的隱私保護技術 第三題：調用verify_password 中strcpy（buffer，password），得到buffer 地址，進而可以確定buffer對應的password（即密碼） 第四題： 使用批準工具：使用加密工具 禁用不安全函數(shù)：禁用strcop（buffer，password）函數(shù) 靜態(tài)分析：密碼過于簡單，應設置成更復雜的密碼，并且3次失敗后，鎖定賬號，不允許再次輸入

信管網cnitpm472555540195：
【1】 c 【2】 1.基于數(shù)據(jù)失真的隱私保護技術 2.基于數(shù)據(jù)匿名的隱私保護技術 3.基于數(shù)據(jù)加密的隱私保護技術 【3】 任意十六位字符，只要其前八位與后八位相同 【4】