2019年信息安全工程师案例分析真题与答案试题五（共17分）

阅读下列说明和图，回答问题1至问题4,将解答填入答题纸的对应栏内。

【说明】

信息系统安全开发生命周期（security development life cycle（sdlc））是微软提出的从安全角度指导软件开发过程的管理模式，它将安全纳入信息系统开发生命周期的所有阶段，各阶段的安全措施与步骤如下图5.1所示。

【问题1】（4分）

在培训阶段，需要对员工进行安全意识培训，要求员工向弱口令说不！针对弱口令最有效的攻击方式是什么？以下口令中，密码强度最高的是（  ）。

a. security2019

b. 2019security

c. security@2019

d. security2019

【问题2】（6分）

在大数据时代,个人数据正被动地被企业搜集并利用。在需求分析阶段,需要考虑采用隐私保护技术防止隐私泄露。从数据挖掘的角度,隐私保护技术主要有:基于数据失真的隐私保护技术、基于数据加密的隐私保护技术、基于数据匿名隐私保护技术。

请问以下隐私保护技术分别属于上述三种隐私保护技术的哪一种?

（1）随机化过程修改敏感数据

（2）基于泛化的隐私保护技术

（3）安全多方计算隐私保护技术

【问题3】（4分）

有下述口令验证代码：

请问调用verify_password函数的参数满足什么条件，就可以在不知道真实口令的情况下绕过口令验证功能？

【问题4】（3分）

sdlc安全开发模型的实现阶段给出了 3种可以采取的安全措施，请结合问题3的代码举例说明？

信管网2019年信息安全工程师案例分析真题试题五参考答案

【问题1】

针对弱口令最有效的攻击方式是穷举攻击。（2分）

c（2分）

【问题2】

（1）随机化过程修改敏感数据属于基于数据失真的隐私保护技术

（2）基于泛化的隐私保护技术基于数据失真匿名化的隐私保护技术

（3）安全多方计算隐私保护技术基于数据加密的隐私保护技术

【问题3】

参数password的值满足的条件为：

password数组长度大于等于12 个字符，其中，password[8] ~password[11]这部分每个字符均为空字符。

【问题4】

（1）使用批准工具：编写安全代码。

（2）禁用不安全函数：禁用c语言中有隐患的函数。

（3）静态分析：检测程序指针的完整性。

最终答案以信管网题库为准：http://www.cnitpm.com/st/411642133.html