第1題：

以下關于“最小特權”安全管理原則理解正確的是：（）

A．組織機構內的敏感崗位不能由一個人長期負責

B．對重要的工作進行分解，分配給不同人員完成

C．一個人有且僅有其執(zhí)行崗位所足夠的許可和權限

D．防止員工由一個崗位變動到另一個崗位，累積越來越多的權限

信管網(wǎng)參考答案：C

信管網(wǎng)參考解析：最小特權原則是系統(tǒng)安全中最基本的原則之一。所謂最小特權（least privilege），指的是"在完成某種操作時所賦予網(wǎng)絡中每個主體（用戶或進程）必不可少的特權"。最小特權原則，則是指"應限定網(wǎng)絡中每個主體所必須的最小特權，確?？赡艿氖鹿省㈠e誤、網(wǎng)絡部件的篡改等原因造成的損失最小"。

第2題

關于源代碼審核，描述正確的是（）

A.源代碼審核過程遵循信息安全保障技術框架模型，執(zhí)行時應一步一步嚴格執(zhí)行

B.源代碼審核有利于發(fā)現(xiàn)軟件編碼中存在的安全問題，相關的審核工具既有商業(yè)開源工具

C.源代碼審核如果想要有效率高，則主要要依賴人工審核而不是工具審核，因為人工智能的，需要人的腦袋來判斷

D.源代碼審核能起到很好的安全保證作用，如果執(zhí)行了源代碼審核，則不需要安全測試

信管網(wǎng)參考答案：B

信管網(wǎng)參考解析：代碼評審也稱代碼復查，是指通過閱讀代碼來檢查源代碼與編碼標準的符合性以及代碼質量的活動。

代碼評審的好處：編輯

提高代碼質量

在項目的早期發(fā)現(xiàn)缺陷，將損失降至最低

評審的過程也是重新梳理思路的過程，雙方都加深了對系統(tǒng)的理解

促進團隊溝通、促進知識共享、共同提高

交叉評審——代碼走查：團隊成員互相檢查代碼

參與者可以是任意兩個組員，或開發(fā)組長分別與每個組員結對進行

時機可以選擇在下班前半小時，對當天改動的模塊進行評審

代碼作者講解如何以及為何這樣實現(xiàn)、評審者提出問題和建議

每次解決的問題要記錄到svn注釋或jira

每次評審不要貪多，如下圖所示：當一次評審超過400行代碼時，能發(fā)現(xiàn)缺陷數(shù)顯著降低——事倍功半

會審：以項目為單位，召開專門的代碼評審會議

參與者：包括項目組全體成員，其它組的開發(fā)組長也應盡量參加

時機選擇：開發(fā)進行到某一階段時，對共性問題進行總結，對好的做法進行提煉和推廣