简答题

阅读下列说明和图，回答问题1至问题 4，将解答填入答题纸的对应栏内

【说明】

信息系统安全开发生命周期（ Security Development Life Cycle，SDLC）是微软提出的从安全角度指导软件开发过程的管理模式，它将安全纳入信息系统开发生命期的所有阶段，各阶段的安全施与步骤如下图 5.1 所示

【问题1】（4分）

在培训阶段，需要对员工进行安全意识培训，要求员工向弱口令说不！针对弱口令最有效的攻击方式是什么？以下口令中，密码强度最高的是（）

A.security2019

B.2019Security

C.Security@2019

D.Security2019

【问题2】（6分）

大数据时代，个人数据正被动的被企业搜集并利用，在需求分析阶段，需要考虑采用隐私保护技术防止隐私泄露，从数据挖掘的角度，隐私保护技术主要有：基于数据失真的隐私保护技术、基于数据加密的隐私保护技术、基于数据匿名隐私保护技术。

请问以下隐私保护技术分别于上述三种隐私保护技术的哪一种？

（1）随机化过程修改敏感数据

（2）基于泛化的隐私保护技术

（3）安全多方计算隐私保护技术

【问题3】（4分）

有下述口令验证代码：

#define PASSWORD“1234567”

int verity password（char password）

{

int authenticated;

char buffer[8];

authenticated="strcmp（password，PASSWORD）;

strcpy（buffer， password）;

retun authenticated;

}

int main（int argc， charargy[]）

{

int valid-flag=0

char password[1024]

while（1）

{

printf（"please input password: "）;

scanf（"%s”,password）;

valid_flag= verity password（password）;/验证口令

if（valid-flag）// 口令无效

{

printf（"incorrect password!\n\n "）

}

else∥口令有效

{

printf（Congratulation! You have passed the verification!\n"）.

break;

}

}

}

其中main函数在调用verify-password函数进行口令验证时，堆栈的布局如图5.2所示

请问调用 verify password 函数的参数满足什么条件，就可以在不知道真实口令的情况下绕过口令验证功能？

【问题4】（3分）

SDLC 安全开发模型的实现阶段给出了3 种可以采取的安全措施，请结合问题3 的代码举例说明？

使用微信搜索喵呜刷题，轻松应对考试！

答案：

【问题1】

针对弱口令最有效的攻击方式是穷举攻击。（2分）

C（2分）

【问题2】

（1）随机化过程修改敏感数据属于基于数据失真的隐私保护技术

（2）基于泛化的隐私保护技术基于数据失真匿名化的隐私保护技术

（3）安全多方计算隐私保护技术基于数据加密的隐私保护技术

【问题3】

参数password的值满足的条件为：

password数组长度大于等于12 个字符，其中，password[8] ~password[11]这部分每个字符均为空字符。

【问题4】

（1）使用批准工具：编写安全代码。

（2）禁用不安全函数：禁用C语言中有隐患的函数。

（3）静态分析：检测程序指针的完整性。

解析：

问题1主要考察了对弱口令攻击方式和密码强度知识的理解。弱口令最容易受到穷举攻击，而强密码应包含多种字符类型，难以被猜测。
问题2考察了隐私保护技术的分类和理解。需要根据描述的隐私保护技术来判断它们分别属于哪种类型的隐私保护技术。
问题3涉及到口令验证代码的分析和安全漏洞的理解。需要理解代码中口令验证的过程，并找出在不知道真实口令的情况下绕过验证的条件。
问题4要求结合问题3的代码来举例说明SDLC安全开发模型的实现阶段可以采取的安全措施。这需要理解SDLC的基本原则和措施，并结合代码示例来说明如何应用这些措施来提高代码的安全性。

创作类型：

原创

本文链接：阅读下列说明和图，回答问题1至问题 4，将解答填入答题纸的对应栏内【说明】信息系统安全开发生命周

让学习像火箭一样快速，微信扫码，获取考试解析、体验刷题服务，开启你的学习加速器！