下载文档原格式
软件安全复习题软件安全复习题随着信息技术的快速发展,软件安全问题日益凸显。
为了保护用户的个人信息和维护系统的稳定运行,软件安全成为了一项重要的任务。
在软件安全的学习中,我们需要掌握一些基本的知识和技能。
下面,我将针对软件安全的复习题进行一些讨论。
1. 什么是软件安全?软件安全是指保护软件免受恶意攻击和非法使用的一系列措施。
软件安全的目标是确保软件的机密性、完整性和可用性。
为了实现软件安全,我们需要采取一系列的防护措施,如加密、身份验证、访问控制等。
2. 软件漏洞是什么?软件漏洞是指软件中存在的安全缺陷,可以被攻击者利用来获取未授权的访问权限或者破坏系统的稳定性。
常见的软件漏洞包括缓冲区溢出、代码注入、跨站脚本等。
为了防止软件漏洞的发生,开发人员需要进行严格的代码审查和测试。
3. 什么是加密?加密是将明文转化为密文的过程,以保护数据的机密性。
常见的加密算法包括对称加密和非对称加密。
对称加密使用相同的密钥对数据进行加密和解密,而非对称加密使用一对密钥,其中一个用于加密,另一个用于解密。
加密技术在保护用户数据和网络通信中起着重要的作用。
4. 什么是身份验证?身份验证是确认用户身份的过程。
常见的身份验证方式包括密码验证、指纹识别、声纹识别等。
为了增强身份验证的安全性,我们可以采用多因素身份验证,即使用多个不同的身份验证方式来确认用户身份。
5. 什么是访问控制?访问控制是限制用户对系统资源的访问权限的一种机制。
通过访问控制,我们可以确保只有授权用户才能访问系统中的敏感数据和功能。
访问控制可以通过角色权限、访问令牌等方式来实现。
6. 什么是安全审计?安全审计是对系统中安全事件和操作进行记录和分析的过程。
通过安全审计,我们可以追踪和监控系统中的安全事件,及时发现和应对潜在的安全威胁。
安全审计可以帮助我们了解系统的安全状况,发现潜在的安全漏洞。
7. 什么是网络安全?网络安全是指保护计算机网络免受恶意攻击和非法使用的一系列措施。
一、填空题1.软件生存周期一般可分为问题定义、可行性研究、需求分析、软件设计、程序编写、软件测试、运阶段。
2.软件生存期分计划、开发、运行三大阶段3.可行性研究的目的不是去开发一个软件项目,而是研究这个软件项目是否有可行的解、_是否值得去解决_。
4.系统流程图是描述_物理系统__的传统工具。
5.数据流图和数据字典共同构成系统的逻辑模型。
6.结构化分析方法是面向数据流进行需求分析的方法。
7.一个模块的作用范围应该在其控制范围之内,且判定所在模块应与受其影响的模块在层次上尽量靠近8.模块之间联系越紧密,其耦合性就越强,模块的独立性就越弱。
9.PAD图清晰地反映了程序的层次结构,图中的竖线为程序的层次线。
10.JSP方法定义了一组以数据结构为指导的映射过程,它根据输入、输出的数据结构,按一定的规则映射成软件的过程描述,即程序结构,而不是软件的体系结构,因此该方法适用于详细设计阶段。
11.任何程序都可由顺序、选择、重复三种基本结构组成,这三种基本结构的共同点是单入口、单出口。
12.源程序中加注释是帮助理解程序的重要手段,注释分为序言性注释和功能性注释。
13.为了提高程序的易读性,同时减少错误,提高软件开发效率,编码时注意养成良好的程序设计风格。
14.效率是一个性能要求,目标应在需求分析阶段给出。
15.可移植性是指程序从一个计算机环境移植到另一个计算机环境的容易程度。
16.用黑盒技术设计测试用例的方法有等价划分类、边值分析、因果图和错误推测。
17.集成测试是在单元测试的基础上,将所有模块按照设计要求组装成一个完整的系统进行测试,故也称组装测试。
18.动态测试方法中根据测试用例的设计方法不同,分为黑盒测试与白盒测试两类。
19.调试的目的是确定错误的位置和原因,并改正错误。
20.软件维护的内容有完善性维护、适应性维护改正性维护和预防性维护。
二、判断题1.耦合是指一个模块内各个元素彼此结合的紧密程度。
( F )2.内聚是指一个软件结构内各个模块之间互连程度的度量。
期末软件测试复习题1. 软件测试的⽬的是( D )A. 表明软件的正确性B. 评价软件质量C. 判定软件是否合格D. 尽可能发现软件中的错误2. 单元测试中⽤来模拟被测模块调⽤者的模块是( B )A. ⽗模块B. 驱动模块C. ⼦模块D. 桩模块3. 为了提⾼测试的效率,应该( A )A. 选择发现错误可能性⼤的数据作为测试数据B. 取⼀切可能的输⼊数据作为测试数据C. 在完成编码以后制定软件的测试计划D. 随机地选取测试数据4. 侧重于观察资源耗尽情况下的软件表现的系统测试被称为( C)A. 强度测试B. 容量测试C. 压⼒测试D. 性能测试5. 下⾯四种说法正确的是( C )A. 因果图法是建⽴在决策表法基础上的⼀种⽩盒测试⽅法B. 等价类划法是边界值分析法的基础C. 健壮性等价类测试的测试⽤例要求在有效等价类中取值D. 在任何情况下的⿊盒测试皆应⾸先考虑使⽤错误推断法6. 不属于单元测试的内容是(D )A. ⽤户界⾯测试B. 局部数据结构测试C. 路径测试D. 模块接⼝测试7. 下列项⽬不属于测试⽂档的是( C )、管路敷设技术通过管线不仅可以解决吊顶层配置不规范⾼中资料试卷问题,⽽且可保障各类管路习题到位。
在管路敷设过程中,要加强看护关于管路⾼中资料试卷连接管⼝处理⾼中资料试卷弯扁度固定盒位置保护层防腐跨接地线弯曲半径标等,要求技术交底。
管线敷设技术中包含线槽、管架等多项⽅式,为解决⾼中语⽂电⽓课件中管壁薄、接⼝不严等问题,合理利⽤管线敷设技术。
线缆敷设原则:在分线盒处,当不同电压回路交叉时,应采⽤⾦属隔板进⾏隔开处理;同⼀线槽内强电回路须同时切断习题电源,线缆敷设完毕,要进⾏检查和检测处理。
、电⽓课件中调试对全部⾼中资料试卷电⽓设备,在安装过程中以及安装结束后进⾏⾼中资料试卷调整试验;通电检查所有设备⾼中资料试卷相互作⽤与相互关系,根据⽣产⼯艺⾼中资料试卷要求,对电⽓设备进⾏空载与带负荷下⾼中资料试卷调控试验;对设备进⾏调整使其在正常⼯况下与过度⼯作下都可以正常⼯作;对于继电保护进⾏整核对定值,审核与校对图纸,编写复杂设备与装置⾼中资料试卷调试⽅案,编写重要设备⾼中资料试卷试验⽅案以及系统启动⽅案;对整套启动过程中⾼中资料试卷电⽓设备进⾏调试⼯作并且进⾏过关运⾏⾼中资料试卷技术指导。
网络安全习题二一、判断题(本大题共20道小题,每小题1分,共20分。
描述正确请填写“T”,错误请填写“F”)1、访问控制是网络防范和保护的主要策略。
()2、用户名或用户帐号是所有计算机系统中最基本的安全形式。
()3、在公钥密码中,收信方和发信方使用的密钥是相同的。
()4、用直接侦听、截获信息、合法窃取、破译分析、从遗弃的媒体分析获取信息等手段窃取信息属于主动攻击。
()5、防火墙具有基于源地址基础上的区分或拒绝某些访问的能力。
()6、使用SSL安全机制可以确保数据传输的安全性,不会影响系统的性能。
()7、公开密钥密码体制比对称密钥密码体制更为安全。
( )8、我的公钥证书是不能在网络上公开的,否则其他人可能假冒我的身份或伪造我的数字签名。
( )9、由于S/MIME用于非实时的通信环境,无法实时的协商会话密钥,因此对信息的加密只能使用公开密钥加密算法。
( )10、IPSec体系中,AH只能实现地址源发认证和数据完整性服务,ESP只能实现信息保密性数据加密服务。
( )11、PGP协议缺省的压缩算法是ZIP,压缩后的数据由于冗余信息很少,更容易抵御密码分析类型的攻击。
()12、误用检测虽然比异常检测的准确率高,但是不能检测未知的攻击类型。
()13、可以在局域网的网关处安装一个病毒防火墙,从而解决整个局域网的防病毒问题。
()14、DES是一种block(块)密文的加密算法,是把数据加密成64bit的块。
()15、3DES是一种加强了的DES加密算法,它的密钥长度和DES相比是其的3倍。
()16、防火墙可以检查进出内部网的通信量。
()17、防火墙可以使用应用网关技术在应用层上建立协议过滤和转发功能。
()18、安装入侵检测工具既可以监控单位内部网络环境,也可以监控单位外部网络。
()19、防火墙可以使用过滤技术在网络层对数据包进行选择。
()20、防火墙可以阻止来自内部的威胁和攻击。
()-二、单项选择题(本大题共20道小题,每小题1分,共20分。
1.网络安全的威胁主要来源于以下几个方面:人为的疏忽、人为的恶意攻击、网络软件的漏洞、非授权访问、信息泄露或丢失、破坏数据完整性。
2.人为攻击具有下述特性:智能性、严重性、隐蔽性、多样性。
3.计算机安全应当包括以下几项主要内容:物理安全、逻辑安全、操作系统安全、联网安全。
4.计算机安全的物理安全包括三方面:环境安全、设备安全、媒体安全。
5.计算机网络安全的特性有:保密性、完整性、可用性、实用性、真实性、占有性。
6.危害网络安全的三种人是:故意破坏者、不遵守规则者、刺探秘密者。
7.常见的主动防御技术有:数据加密、身份验证、存取控制、权限设置、虚拟局域网。
8.常见的被动防御技术有:防火墙技术、入侵检测系统、安全扫描器、密码验证、审计跟踪、物理保护及安全管理。
9.内部安全危害分为三大类,分别是操作失误、存心捣乱及用户无知。
10.TCP/IP是一组协议,它包括上百种功能的协议,如远程登录、文件传输和电子邮件等,而TCP协议和IP协议是保证数据完整传输的两个基本的重要协议。
11.网卡的四种接收方式:广播方式、组播方式、直接方式、混杂方式。
12.为使个人用户和企业用户对上网和网上交易有更大的安全感,主要采用以下措施来保证:加密技术、数字签名和认证技术、VPN技术。
13.密码体制从原理上分为三大类:对称密码体制、非对称密码体制、混合密码体制。
14. PKI公钥基础设施体系主要由密钥管理中心、CA认证机构、RA注册审核机构、证书/CRL发布系统和应用接口系统五部分组成。
15.认证中心主要由以下三部分组成:注册服务器、证书申请受理和审核机构、认证中心服务器。
16.电子邮件可能遇到的安全风险有:E-mail的漏洞、匿名转发邮件、垃圾电子邮件。
17.网络防火墙的任务是:执行安全策略、创建一个阻塞点、记录网络活动、限制网络暴露。
18.防火墙技术的分类:包过滤防火墙技术、IP级包过滤型防火墙、代理防火墙技术、其他类型的防火墙。
⽹络安全期末复习题及答案解析⽹络安全期末复习题及答案⼀、选择题:1.计算机⽹络安全的⽬标不包括( A)A.可移植性B.保密性C.可控性D.可⽤性2.SNMP的中⽂含义为( B)A.公⽤管理信息协议B.简单⽹络管理协议C.分布式安全管理协议D.简单邮件传输协议3.端⼝扫描技术( D)A.只能作为攻击⼯具B.只能作为防御⼯具C.只能作为检查系统漏洞的⼯具D.既可以作为攻击⼯具,也可以作为防御⼯具4.在以下⼈为的恶意攻击⾏为中,属于主动攻击的是( A)A、⾝份假冒B、数据解密C、数据流分析D、⾮法访问5.⿊客利⽤IP地址进⾏攻击的⽅法有:( A)A. IP欺骗B. 解密C. 窃取⼝令D. 发送病毒6.使⽹络服务器中充斥着⼤量要求回复的信息,消耗带宽,导致⽹络或系统停⽌正常服务,这属于什么攻击类型( A)A、拒绝服务B、⽂件共享C、BIND漏洞D、远程过程调⽤7.向有限的空间输⼊超长的字符串是哪⼀种攻击⼿段( A)A、缓冲区溢出B、⽹络监听C、拒绝服务D、IP欺骗8.⽤户收到了⼀封可疑的电⼦邮件,要求⽤户提供银⾏账户及密码,这是属于何种攻击⼿段( B)A、缓存溢出攻击B、钓鱼攻击C、暗门攻击D、DDOS攻击9.Windows NT 和Windows 2000系统能设置为在⼏次⽆效登录后锁定帐号,这可以防⽌:( B )A、⽊马B、暴⼒攻击C、IP欺骗D、缓存溢出攻击10.当你感觉到你的Win2003运⾏速度明显减慢,当你打开任务管理器后发现CPU的使⽤率达到了百分之百,你最有可能认为你受到了哪⼀种攻击。
( B)A、特洛伊⽊马B、拒绝服务C、欺骗D、中间⼈攻击11.假如你向⼀台远程主机发送特定的数据包,却不想远程主机响应你的数据包。
这时你使⽤哪⼀种类型的进攻⼿段( B )A、缓冲区溢出B、地址欺骗C、拒绝服务D、暴⼒攻击12.⼩李在使⽤super scan对⽬标⽹络进⾏扫描时发现,某⼀个主机开放了25和110端⼝,此主机最有可能是什么( B)A、⽂件服务器B、邮件服务器C、WEB服务器D、DNS服务器13.你想发现到达⽬标⽹络需要经过哪些路由器,你应该使⽤什么命令( C)A、pingB、nslookupC、tracertD、ipconfig14.⿊客要想控制某些⽤户,需要把⽊马程序安装到⽤户的机器中,实际上安装的是( B)A.⽊马的控制端程序B.⽊马的服务器端程序C.不⽤安装D.控制端、服务端程序都必需安装15.为了保证⼝令的安全,哪项做法是不正确的( C )A ⽤户⼝令长度不少于6个字符B ⼝令字符最好是数字、字母和其他字符的混合C ⼝令显⽰在显⽰屏上D 对⽤户⼝令进⾏加密16.以下说法正确的是( B)A.⽊马不像病毒那样有破坏性B.⽊马不像病毒那样能够⾃我复制C.⽊马不像病毒那样是独⽴运⾏的程序D.⽊马与病毒都是独⽴运⾏的程序17.端⼝扫描的原理是向⽬标主机的________端⼝发送探测数据包,并记录⽬标主机的响应。
一、选择题1.在软件危机中表现出来的软件质量差的问题,其原因是___没有软件质量标准____。
2.在软件质量因素中,软件在异常条件下仍能运行的能力成为软件的___健壮性__。
3.在下列测试技术中,___逻辑覆盖___不属于黑盒测试技术。
4.___封装___是把对象的属性和操作结合在一起,构成一个独立的对象,其内部信息对外界是隐蔽的,外界只能通过有限的接口与对象发生联系。
5.软件测试时为了___发现错误_____而执行程序的过程。
6.在软件系统中,一个模块应具有什么样的功能,这是由___需求分析__决定的。
7.面向对象分析是对系统进行___需求分析_____的一种方法。
8.软件文档是软件工程实施中的重要部分,它不仅是软件开发各阶段的重要依据,而且影响软件的___可维护性____。
9.模块内聚度越高,说明模块内各成分彼此结合的程序越____紧密__。
10.软件开发的瀑布模型,一般都将开发过程划分为:分析、设计、编码、测试和维护等阶段,一般认为可能占用人员最多的阶段是_维护阶段__。
11.常用的面向对象的软件过程模型是__喷泉模型_____。
生命周期模型A.瀑布模型(规范化,阶段性取得前进)B.喷泉模型(面向对象,开发活动间没明显边界,无缝过渡)C.原型模型(快速,线性顺序,不带反馈环)D.增量模型(产品分解为一系列增量构件,开发中逐步加入)E.螺旋模型(瀑布&快速原型结合,每阶段加风险评估)12.面向对象的分析阶段建立的系统模型不包括____数据模型____。
有对象模型、动态模型、功能模型13.提高软件的可维护性可采用很多措施,下列哪个不在措施之列?提供没有错误的程序。
措施:建立质量保证制度、改进程序文档质量、明确软件质量标准14.计算机系统可以划分为软件系统和硬件系统,软件是一种逻辑产品。
15. 可行性分析研究的主要目的是项目是否值得开发16.在下列四种模块的耦合性中,信息隐蔽性能最好的是(C数据耦合)A.控制耦合B.内容耦合C. 数据耦合D. 特征耦合17.需求分析是回答系统必须(D做什么)的问题。
1.软件工程学概述一、填空题1.软件=()+()。
2.软件生存周期一般可分为系统工程、()、()、()、测试、运行与维护阶段。
3.在瀑布模型中,将软件开发划分为若干个时期,软件项目的可行性研究一般被归属于()。
4.根据软件工程学的七项基本原则,DOS中把标准输入、输出设备视为文件,这一思想体现了软件工程学的()原则。
二、判断题1.软件是一种逻辑实体,而不是具体的物理实体。
()2.软件工程是开发、运行、维护和修复软件的系统方法。
()3.螺旋模型是利用笛卡尔坐标的四个象限分别代表四个方面的活动来表示,()4.在软件开发中,采用原型系统策略的主要困难是时间问题。
()三、选择题1.软件工程的概念是哪年提出的()。
A.1988B.1968C.1948D.19282.软件文档是软件工程实施中的重要成分,它不仅是软件开发各阶段的重要依据而且也影响软件的()。
A.可维护性B.可靠性C.可移植性D.安全性3.就软件产品的特点,以下说法错误的是()。
A.软件具有高度抽象性,软件及软件生产过程具有不可见性B.同一功能软件的多样性,软件生产过程中的易错性C.软件在开发和维护过程中的不变性D.不同开发者之间思维碰撞的易发性4.瀑布模型的关键不足在于()。
A.过于简单B.各个阶段需要进行评审C.过于灵活D.不能适应需求的动态变更5.以下哪一项不是软件危机的表现形式()。
A.开发的软件不满足用户需要B.开发的软件可维护性差C.开发的软件价格便宜D.开发的软件可靠性差6.以下说法错误的是()。
A.文档仅仅描述和规定了软件的使用范围及相关的操作命令B.文档也是软件产品的一部分,没有文档的软件就不成软件C.软件文档的编制在软件开发工作中占有突出的地位和相当大的工作量D.高质量文档对于发挥软件产品的效益有着重要的意义7.下列哪个阶段不是软件生存期三个阶段的内容()。
A.计划阶段B.开发阶段C.编码阶段D.维护阶段8.软件是一种()。
一.单项选择题(每题2分,共30分)1.安全性攻击分为被动攻击和主动攻击,其中的被动攻击包括:A. 假冒、重放、篡改消息、拒绝服务B. 假冒、重放、篡改消息、信息收集C. 信息收集、流量分析D. 假冒、重放、流量分析、拒绝服务2.以下算法中属于非对称算法的是()A. DESB. 三重DESC. AESD. RSA算法3.凯撒密码实际上就是:A.现代密码B.移位密码C.多表替代密码D.单表替代密码4.散列函数是:A. 输入可变长度的消息明文,输出固定长度的散列码B. 输入可变长度的消息明文,输出可变长度的散列码C. 输入固定长度的消息明文,输出可变长度的散列码D. 输入固定长度的消息明文,输出固定长度的散列码5.加密工具PGP是:A. 只能运行在Windows操作系统B. 一个完整的安全电子邮件(协议)软件包C. 提供了保密性、认证、数字签名功能,但不提供压缩和分段功能D. 提供了压缩和分段功能,但不提供保密性、认证、数字签名功能指的是:A. 虚拟专用网B.加密认证C.证书授权机构D.安全套接层8.对于数字签名,下面说法正确的是:A. 数字签名机制可以使用对称或非对称密码算法B. 数字签名不是对数据单元所作的密码变换C. 数字签名技术不能用来提供诸如抗抵赖与鉴别等安全服务D. 数字签名可以是附加在数据单元上的一些数据9.以下关于计算机病毒的特征说法正确的是:A.计算机病毒只具有破坏性,没有其他特征B.计算机病毒具有破坏性,不具有传染性C.破坏性和传染性是计算机病毒的两大主要特征D.计算机病毒只具有传染性,不具有破坏性10.加密技术不能实现:A.数据信息的完整性B.基于密码技术的身份认证C.机密文件加密D.基于IP头信息的包过滤11. 数据信息是否被篡改由哪项技术来判断:A. 数据完整性控制技术B. 身份识别技术C. 访问控制技术D. 入侵检测技术12.以下关于对称密钥加密说法正确的是:A.加密方和解密方可以使用不同的算法B.加密密钥和解密密钥可以是不同的C.加密密钥和解密密钥必须是相同的D.密钥的管理非常简单13.在以下人为的恶意攻击行为中,属于被动攻击的是A.数据篡改及破坏B. 数据窃听C. 数据流分析D. 以上都是15. 在非对称密钥密码体制中,加、解密双方的密钥:A. 双方拥有相同的密钥B. 双方各自拥有不同的密钥C. 双方的密钥可相同也可不同D. 双方的密钥可随意改变二.填空题(每空1分,共15分)1.移位和置换是密码技术的基础,如果采用移位算法,密钥K=3,则ACF经过加密转换之后的密文是:__________。
1、十进制数11/128可用二进制数码序列表示为( ) 。
A)1011/1000000 B)1011/100000000 C) 0.001011 D) 0.00010112、算式(2047)10-(3FF)16+(2000)8的结果是( ) 。
A)(2048)10 B)(2049)10 C) (3746)8 D) (1AF7)163、已知x=(0.1011010)2,则[x/2] =( ) 2。
A) 0.1011101. B) 11110110 C) 0.0101101 D) 0.1001104、已知A=35H,则A∧05H∨A∧3OH的结果是:( ) 。
A)3OH B)05H C) 35H D) 53H5、[x]补码=10011000,其原码为( )A)011001111 B)11101000 C)11100110 D)011001016、下列无符号数中,最小的数是()A.(11011001)2B.(75)10C.(37)8D.(2A)167、计算机的运算速度取决于给定的时间内,它的处理器所能处理的数据量。
处理器一次能处理的数据量叫字长。
已知64位的奔腾处理器一次能处理64个信息位,相当于()字节。
A.8个B.1个C.16个D. 2个8、在24*24点阵的“字库”中,汉字“一”与“编”的字模占用字节数分别是()A.32,32B.32,72C.72,72D.72,329、计算机中的数有浮点数与定点数两种,其中用浮点数表示的数,通常由()这两部分组成。
A.指数与基数B. 尾数与小数C. 阶码与尾数D.整数与小数10、十进制算术表达式:3*512+7*64+4*8+5的运算结果,用二进制表示为().A. 10111100101B.11111100101C1111l0100101 D.1111110110111、组成’教授’(jiao shou )’副教授’(fu jiao shou )与’讲师’( jiang shi)这三个词的汉字,在GB2312-80字符集中都是一级汉字.对这三个词排序的结果是(). A教授,副教授,讲师 B.副教授,教授,讲师C讲师,副教授,教授 D.副教授,讲师,教授12、GB2312-80规定了一级汉字3755个,二级汉字3008个,其中二级汉字字库中的汉字是以()为序排列的。
软件安全复习题一、选择题1、目前对软件通俗的解释为( A )A、软件= 程序+ 数据+文档资料B、软件= 程序+ 方法+规则、C、软件= 程序+ 数据+方法D、软件= 程序+ 数据+规则2、Windows的三个主要子系统是( D )A、应用系统、数据系统、内核系统B、数据库系统、应用程序、系统程序C、Kernel、User 和APID、Kernel、User和GDI3、安全软件的核心属性有( A )A、保密性、完整性、可用性、责任性、抗抵抗性B、保密性、完整性、可用性、可预测性、正确性C、保密性、完整性、可用性、可依赖性、可靠性D、保密性、完整性、可用性、复杂性、可追踪性4、在安全知识中攻击模式采用较( C )来描述常见的攻击程序,这种形式能够应用于跨越多个系统的情形。
A、实例化的形式B、代码扫描的形式C、抽象的形式D、安全原则至上的形式5、软件安全切入点指的是在软件开发生命周期中保障软件安全的一套最佳实际操作方法。
这一套最佳实践方法包括:( A )A、代码审核,体系结构风险分析,渗透测试,基于风险的安全测试,滥用案例,安全需求和安全操作。
B、代码审核,体系结构风险分析,黑箱测试,基于风险的安全测试,滥用案例,安全需求和安全操作。
C、安全原则,体系结构风险分析,黑箱测试,基于风险的安全测试,滥用案例,安全需求和安全操作。
D、代码审核,体系结构风险分析,fuzz测试,基于风险的安全测试,滥用案例,安全需求和安全操作。
6、描述性知识包括( D )A、实例、检测和架构B、案例、说明、架构C、需求描述、安全操作和安全原则D、原则、方针、和规则。
7、弱点知识是对真实系统中出现过并报告的软件( B )的描述A、缺陷B、弱点C、漏洞D、风险8、逆向工程是编译过程的逆过程,即( C )A、从高级语言恢复机器码的结构和语义的过程。
B、从汇编码恢复到高级语言的结构和语义的过程。
C、从机器码恢复高级语言的结构和语义的过程。
D、从高级语言的结构和语义恢复到系统编码的过程。
9、诊断性知识:攻击模式、攻击程序和弱点。
诊断性知识不仅包括关于实践的描述性陈述,其更重要的目标是帮助操作人员识别和处理导致( B )的常见问题。
A、病毒感染B、安全攻击C、系统风险D、缺陷10、下面对病毒描述正确的是( A )。
A、病毒(virus)是一种人为制造的、能够进行自我复制的、具有对计算机资源的破坏作用的一组程序和指令的集合。
B、病毒与生物病毒不一样,没有其自身的病毒体(病毒程序)和寄生体(宿主HOST,病毒载体,携带者)。
C、所谓感染或寄生,是指病毒将自身嵌入到非宿主指令序列中。
D、寄生体为病毒提供一种生存环境,不是一种合法程序。
二、填空题1、一般将方法、工具和过程成为软件工程的三要素2、软件工程以质量为关注焦点,全面(质量管理)及相关的现代管理理念为软件工程奠定强有力的根基。
3、软件保证是计划和系统行动集合来确保软件过程和产品符合需求,标准和规程以达到如下两个目标:可信性和执行的(可预见性)。
4、软件可靠性工程的研究范围主要是:软件可靠性定量评测、软件可靠性的(设计与管理)、软件可靠性保证技术。
5、调试器可以让软件开发人员在程序运行的同时观察程序的运行过程和状态。
它的两个基本功能是:(设置断点)和代码跟踪。
6、Windows提供两个发送消息的函数PostMessage()和SendMessage(),其中函数(PostMessage() )是将消息发出去就返回,不管该消息是否被处理了。
7、根据漏洞出现的阶段,软件安全漏洞可分为两大类:设计漏洞和(实现漏洞)。
8、木马实施网络入侵的基本步骤:(配置木马)、传播木马、运行木马、信息反馈、建立连接、远程控制。
9、网页恶意脚本程序利用.asp、.html、.vbs、.js类型的文件进行传播的基于VB Script和Java Script(脚本语言)并由Windows Scripting Host解释执行的一类恶意程序。
10、安全软件开发的体系安全需要考虑(威胁建模)、安全风险分析、安全风险管理三个方面。
三、判断题1、软件保证关系到两个软件属性:一个是质量,也就是说软件保证是软件质量保障的简短形式,另一个属性是可靠性,特别是可靠性中最重要的内容--安全。
( 正确)2、软件容错性是指软件运行时,能对非正常因素引起的运行错误给出适当地处理或信息提示,使软件运行正常结束。
( 正确)3、对寄存器的解释:处理器用于存储信息的地方。
所有处理器都在寄存器上完成操作。
( 正确)4、在big-edian系统上,最重要的位的字节首先被存储。
( 正确)5、反汇编器可以将二进制代码作为输入、生成包含整个或部分程序的汇编语言代码的文本文件的程序。
( 正确)6、反编译器接收可执行的二进制文件,试图从中生成可读性好的高级语言代码。
其思想是逆向编译的过程,以获取最初的源代码文件或与接近于最初源代码的文件。
( 正确)7、修补工具是指可以修改二进制可执行代码以改变其行为的过程。
( 正确)8、如果处理器将多字节中最不重要的字节存储在低端地址,将最重要的字节存储在高端地址内,就是little-endian方式。
反之,是big-endian方式。
(正确)9、每个进程的虚拟内存被分为内核地址空间和用户地址空间。
(正确)10、分割型蛀穴病毒(fractionated cavity)是蛀穴病毒的一个变形,即病毒代码被分割成一个装入例程和N个片断,这些片断位于包含闲散空间的节中。
(正确)11、在白箱测试中,对于测试人员来说,所有关于被测试的系统的信息都是已知的。
(正确)12、黑箱测试又叫功能测试,它主要关注的是被测试软件功能的实现,而不是内部逻辑。
(正确)13、灰箱测试是指在安全测试期间,一起使用白箱和黑箱两种测试技术。
(正确)14、渗透测试是从攻击的角度测试软件系统是否安全,其价值在于可以测试软件发布到实际系统中的安全状况。
(正确)15、数字水印技术用信号处理的方法在数字化的多媒体数据中嵌入隐蔽的标记,这种标记通常是不可见的,只有通过专用的检测器或阅读器才能提取。
(正确)16、从技术角度来讲,“可信的”未必意味着对用户而言是“值得信赖的”。
(正确)四、简答题1、软件安全是指采取工程的方法使得软件在敌对攻击的情况下仍能够继续正常工作。
即采用系统化、规范化、和数量化的方法来指导构建安全的软件。
2、软件工程它是一门研究如何使用系统化、规范化、数量化等工程原则和方法去进行软件的开发和维护的学科。
软件工程采用工程的概念、原理、技术和方法来开发维护软件,把经过时间考验而证明正确的管理方法和最先进的软件开发技术结合起来,应用到软件开发和维护过程中,来解决软件危机问题,生产出无故障的、及时交付的、在预算之内的和满足用户需求的软件。
3、软件缺陷产生的主要原因:需求规格说明书包含错误的需求、或漏掉一些需求,和没有准确表达客户所需要的内容。
需求规格说明书中有些功能不可能或无法实现;系统设计中的不合理性;程序设计中的错误;程序代码中的问题,包括错误的算法、复杂的逻辑等。
从外部看,软件缺陷是系统所需要实现的某种功能的失效或违背。
4、栈溢出的原因及危害其产生的原因是输入数据时,由于没有进行边界检查,导致输入的数据的数量超过了堆栈预留的存储空间,最终覆盖了堆栈中的返回地址,如果覆盖返回地址的是一个攻击程序的地址,则导致去执行这个恶意程序。
5、堆溢出原理和栈溢出是一样的,即堆的空间无法容量用户输入的数据,导致数据重写了堆块后的地址空间。
通常,堆采用链表的形式组织数据,在块数据之前或之后存在指向前一个和后一个堆块的指针。
这样,超过堆块末尾的地址空间上写入数据或者攻击代码的入口地址将会破坏个链表。
当堆管理器遍历链表时就会引起程序崩溃或者执行攻击代码。
由于堆块的大小总是动态计算的,故堆溢出比堆栈溢出要困难一些。
6、恶意软件及其分类恶意软件大致分为两类,该分类是从主机依赖的角度进行的分类(见图4.1):依赖主机程序的恶意软件和独立主机的恶意软件。
前者不能独立于应用程序或系统程序,即存在宿主文件,必须依赖宿主的运行而启动,包括病毒、木马、后门、逻辑炸弹等;后者是能在操作系统上运行的、独立的程序,包括蠕虫、细菌、拒绝服务攻击程序等。
7、简答病毒的检测方法比较法:比较法是用原始的或者正常的内容与被检测的进行比较。
校验和法:计算正常文件的内容的校验和,并将该校验和写入文件中保存。
扫描法:扫描法是根据每一种病毒含有的特征字符串,对被检测的对象进行扫描。
行为监测法:利用病毒的特有行为特性监测病毒的方法称为行为监测法。
感染实验法:感染实验是一种简单实用的检测方法,该方法可以检测出病毒检测工具不认识的新病毒,摆脱对病毒检测工具的依赖,自主的检测可疑的新病毒。
软件模拟法多态型病毒每次感染都改变其病毒密码,对付这种病毒时特征代码法会失效。
分析法:搞清楚病毒体的大致结构,提取特征识别用的字符串或者特征字,用于增添到病毒代码库供病毒扫描和识别程序使用。
其它高级方法:启发式代码扫描技术。
8、木马是一种恶意程序,是一种基于远程控制的攻击工具,它一旦入侵用户的计算机,就悄悄地在宿主计算机上运行,在用户毫无觉察的情况下,让攻击者获得远程访问和控制系统的权限,进而在用户的计算机中修改文件、修改注册表、控制鼠标、监视/控制键盘,或窃取用户信息,乃至实施远程控制。
它是攻击者的主要攻击手段之一,具有隐蔽性和非授权性等特点。
9、木马的结构系统通常采用服务器,客户端结构。
即分为服务端和客户端。
通常功能上由木马配置程序、控制程序和木马程序三个部分组成。
木马程序:木马程序也称为服务器程序,驻留在受害者的系统中,非法获取其操作权限,负责接收控制指令,并根据指令或配置发送数据给控制端。
木马配置程序:木马配置程序设置木马程序的端口号、触发条件、木马名称等,使其在服务器端隐藏得更隐蔽。
控制程序:控制程序控制远程木马服务器,统称为控制端程序,负责配置服务器、给服务器发送指令。
10、STRIDE威胁模型欺骗标识(Spoofing),典型的例子是使用其他用户的认证信息进行非法访问。
篡改数据(Tampering),在未授权的情况下恶意地修改数据。
这种修改可以是在数据库中保存的数据,也可能是在网络中传输的数据。
可抵赖(Repudiation),用户从事一项非法操作,但该用户拒绝承认,且没有方法可以证明她是在抵赖。
信息泄漏(Information disclosure):信息暴露给不允许对它访问的人。
例如用户读到没有给她赋予访问权限的文件的内容,信息在网络中传递时内容被泄密。
拒绝服务(Denial of service)拒绝对正当用户的服务。
权限提升(Elevation of privilege)一个没有特权的用户获得访问特权,从而有足够的权限作出摧毁整个系统的事情。
