信息安全工程师案例分析当天每日一练试题地址：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总：www.cnitpm.com/class/27/e6_1.html

信息安全工程师案例分析每日一练试题（2021/10/9）在线测试：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2021/10/9

点击查看：更多信息安全工程师习题与指导

信息安全工程师案例分析每日一练试题内容（2021/10/9）

阅读下列说明和图，回答问题1至问题4,将解答填入答题纸的对应栏内。

【说明】

信息系统安全开发生命周期（Security Development Life Cycle（SDLC））是微软提出的从安全角度指导软件开发过程的管理模式，它将安全纳入信息系统开发生命周期的所有阶段，各阶段的安全措施与步骤如下图5.1所示。

【问题1】（4分）

在培训阶段，需要对员工进行安全意识培训，要求员工向弱口令说不！针对弱口令最有效的攻击方式是什么？以下口令中，密码强度最高的是（  ）。

A. security2019

B. 2019Security

C. Security@2019

D. Security2019

【问题2】（6分）

在大数据时代，个人数据正被动地被企业搜集并利用。在需求分析阶段，需要考虑采用隐私保护技术防止隐私泄露。从数据挖掘的角度，隐私保护技术主要有：基于数据失真的隐私保护技术、基于数据加密的隐私保护技术、基于数据匿名隐私保护技术。

请问以下隐私保护技术分别属于上述三种隐私保护技术的哪一种?

（1）随机化过程修改敏感数据

（2）基于泛化的隐私保护技术

（3）安全多方计算隐私保护技术

【问题3】（4分）

有下述口令验证代码：

请问调用verify_password函数的参数满足什么条件，就可以在不知道真实口令的情况下绕过口令验证功能？

【问题4】（3分）

SDLC安全开发模型的实现阶段给出了 3种可以采取的安全措施，请结合问题3的代码举例说明？

信管网cnitpm28151895373：
1.穷举攻击＜br＞   c＜br＞2.失真，匿名化，加密＜br＞3.前八个不变，第9-12个为0＜br＞4.禁止使用不安全的函数，对输入进行加入判断语句

信管网cnitpm3780691964：
1.c＜br＞2.＜br＞（1）失真 （2）匿名（3）数据加密＜br＞3.超过1字节 覆盖buffer地址＜br＞4.＜br＞培训、禁用不安全函数、安全评估

信管网cnitpm452183885267：
问题1：c 问题2：（1）基于数据失真的隐私保护技术（2）基于数据匿名隐私保护技术（3）基于数据加密的隐私保护技术 问题3：

信管网chenyuntao：
问题1：穷举攻击。c＜br＞问题2：（1）数据失真（2）数据匿名（3）数据加密＜br＞问题3：输入字符串长度大于8个，第九个字符为空字符。＜br＞问题4：（1）使用批准工具，编写安全代码。＜br＞（2）禁用不安全函数，禁用c语言中有隐患的函数。＜br＞（3）静态分析，检测程序的完整性。＜br＞

信管网大碗带汤刀削面：
1.c 2.基于数据失真的，基于匿名的，基于数据加密的 3. 4.使用批准的工作，禁用不安全的函数，静态分析代码