2019年信息安全工程師案例分析真題與答案試題五（共17分）

閱讀下列說明和圖，回答問題1至問題4,將解答填入答題紙的對應欄內(nèi)。

【說明】

信息系統(tǒng)安全開發(fā)生命周期（security development life cycle（sdlc））是微軟提出的從安全角度指導軟件開發(fā)過程的管理模式，它將安全納入信息系統(tǒng)開發(fā)生命周期的所有階段，各階段的安全措施與步驟如下圖5.1所示。

【問題1】（4分）

在培訓階段，需要對員工進行安全意識培訓，要求員工向弱口令說不！針對弱口令最有效的攻擊方式是什么？以下口令中，密碼強度最高的是（  ）。

a. security2019

b. 2019security

c. security@2019

d. security2019

【問題2】（6分）

在大數(shù)據(jù)時代,個人數(shù)據(jù)正被動地被企業(yè)搜集并利用。在需求分析階段,需要考慮采用隱私保護技術(shù)防止隱私泄露。從數(shù)據(jù)挖掘的角度,隱私保護技術(shù)主要有:基于數(shù)據(jù)失真的隱私保護技術(shù)、基于數(shù)據(jù)加密的隱私保護技術(shù)、基于數(shù)據(jù)匿名隱私保護技術(shù)。

請問以下隱私保護技術(shù)分別屬于上述三種隱私保護技術(shù)的哪一種?

（1）隨機化過程修改敏感數(shù)據(jù)

（2）基于泛化的隱私保護技術(shù)

（3）安全多方計算隱私保護技術(shù)

【問題3】（4分）

有下述口令驗證代碼：

請問調(diào)用verify_password函數(shù)的參數(shù)滿足什么條件，就可以在不知道真實口令的情況下繞過口令驗證功能？

【問題4】（3分）

sdlc安全開發(fā)模型的實現(xiàn)階段給出了 3種可以采取的安全措施，請結(jié)合問題3的代碼舉例說明？

信管網(wǎng)2019年信息安全工程師案例分析真題試題五參考答案

【問題1】

針對弱口令最有效的攻擊方式是窮舉攻擊。（2分）

c（2分）

【問題2】

（1）隨機化過程修改敏感數(shù)據(jù)屬于基于數(shù)據(jù)失真的隱私保護技術(shù)

（2）基于泛化的隱私保護技術(shù)基于數(shù)據(jù)失真匿名化的隱私保護技術(shù)

（3）安全多方計算隱私保護技術(shù)基于數(shù)據(jù)加密的隱私保護技術(shù)

【問題3】

參數(shù)password的值滿足的條件為：

password數(shù)組長度大于等于12 個字符，其中，password[8] ~password[11]這部分每個字符均為空字符。

【問題4】

（1）使用批準工具：編寫安全代碼。

（2）禁用不安全函數(shù)：禁用c語言中有隱患的函數(shù)。

（3）靜態(tài)分析：檢測程序指針的完整性。

最終答案以信管網(wǎng)題庫為準：http://m.xiexiliangjiufa.com/st/411642133.html