1、軟件安全性測(cè)試培訓(xùn)考試試卷部門：姓名：一、單選題（30分，每題2分）1、信息安全系統(tǒng)安全保護(hù)等級(jí)分為（ C）。A 3級(jí) B 、4級(jí) C、5級(jí)D、6級(jí)2、從信息安全發(fā)展角度，目前主要是確保什么安全？ （ D ）。A、通信 B、計(jì)算機(jī) C、人 D、信息和信息系統(tǒng)資產(chǎn)3、防火墻的原則是什么（B）。A防攻擊能力好B 、一切未被允許的就是禁止的！C 一切未被禁止的都是允許的！D、是否漏電4、IDS和IPS的部署模式是（ D ）。A都是旁路模式B、都是在線模式C IDS在線模式、IPS旁路模式 D、IDS旁路模式、IPS在線模式5、VPN是 什么？ （ D）。A安全設(shè)備 B 、防病毒軟件C 、安全測(cè)試軟件

2、D虛擬專用網(wǎng)絡(luò)6、下列哪個(gè)不是常見(jiàn)的安全設(shè)計(jì)問(wèn)題（A）。A數(shù)據(jù)庫(kù)表太多 B 、密碼技術(shù)使用的敗筆C創(chuàng)建自己的密碼技術(shù) D、錯(cuò)誤的處理私密信息7、下面哪個(gè)不是VPN分類包括的（A）。C VPN網(wǎng)關(guān)對(duì) VPN網(wǎng)關(guān) D、遠(yuǎn)程用戶對(duì) VPN網(wǎng)關(guān)8、動(dòng)態(tài)測(cè)試方法不包括（ D）。A、手動(dòng)分析技術(shù)B安全掃描C滲透測(cè)試D用戶測(cè)試9、最新的WE療統(tǒng)版本是（D）。A、B 、 C 、 D 、10、 滲透測(cè)試模擬什么角色進(jìn)行（ A）。A、模擬黑客B、模擬用戶C、模擬系統(tǒng)管理員 D、模擬開(kāi)發(fā)11、 信息系統(tǒng)安全問(wèn)題產(chǎn)生的外因是什么（B ）。A、過(guò)程復(fù)雜B、對(duì)手的威脅與破壞C結(jié)構(gòu)復(fù)雜D、使用復(fù)雜12、關(guān)于測(cè)試的思想轉(zhuǎn)變，

3、描述正確的是（ A）。A、所有系統(tǒng)不允許的事件都去想辦法允許。B所有系統(tǒng)允許的事件都去想辦法不允許。C根據(jù)用戶指定內(nèi)容進(jìn)行測(cè)試。D根據(jù)開(kāi)發(fā)人員指定內(nèi)容進(jìn)行測(cè)試。13、以下不屬于安全測(cè)試的輔助工具的是（ D ）。A、 wireshark B 、APPSCAN C、Zenmap D 、QTP14、 下列哪種不屬于 WEB系統(tǒng)文件上傳功能安全隱患（D）。A、未限制擴(kuò)展名B、未檢查文件內(nèi)容C未查殺病毒文件D、未檢查文件大小15、以下哪種說(shuō)法是對(duì)的（ B）。A、 關(guān)系數(shù)據(jù)庫(kù)不需要進(jìn)行安全測(cè)試。B、通過(guò)軟件安全測(cè)試能夠降低安全隱患。C、通過(guò)軟件安全測(cè)試能夠杜絕安全隱患。D、一個(gè)應(yīng)用系統(tǒng)只需要一種測(cè)試工具測(cè)

4、試。二、多選題（ 30分，每題 3 分，少選給 2 分，多選無(wú)分）1、以下屬于軟件安全產(chǎn)品的是（ CD ）。A、交換機(jī)B、路由器 C、防火墻D、IDS/IPS2、主機(jī) IDS 監(jiān)測(cè)的資源主要包括（ ABCD ）。A、網(wǎng)絡(luò) B、文件 C、進(jìn)程 D、系統(tǒng)日志3、關(guān)于軟件安全開(kāi)發(fā)周期正確的說(shuō)法是（ AD ）A、軟件安全生命周期納入到軟件生命周期。B軟件生命周期貫穿軟件安全生命周期中的每個(gè)階段。C軟件生命周期納入到軟件安全生命周期。D軟件安全生命周期貫穿軟件生命周期中的每個(gè)階段。4、測(cè)試實(shí)施階段的工作包括（A、白盒測(cè)試 B、黑盒測(cè)試5、安全測(cè)試七個(gè)接觸點(diǎn)包括（A、代碼審核B、濫用案例ABC）。C 、灰

5、盒測(cè)試D、藍(lán)盒測(cè)試ABCD）。C 、安全操作D、滲透測(cè)試6、根據(jù)滲透目標(biāo)分類，滲透測(cè)試包括（ ABCD）。A、主機(jī)操作系統(tǒng)滲透 B、數(shù)據(jù)庫(kù)系統(tǒng)滲透C應(yīng)用系統(tǒng)滲透 D、網(wǎng)絡(luò)設(shè)備滲透7、下面哪種是跨站腳本的攻擊形式（ ABCD ）A 盜取 CookieB、釣魚(yú)C操縱受害者的瀏覽器D 、蠕蟲(chóng)攻擊8WEB系統(tǒng)動(dòng)態(tài)安全測(cè)試手段包括（ ABC ）。A、手動(dòng)檢查/配置檢查B 、滲透測(cè)試C安全掃描D、用戶測(cè)試9、Wet應(yīng)用系統(tǒng)十大漏洞包括（ABCD ）。A、反射型跨站 B、存儲(chǔ)型跨站C、DOM跨站D跨站腳本10、軟件安全開(kāi)發(fā)周期包括（ABC）。A、安全需求-攻擊用例B、架構(gòu)和設(shè)計(jì)評(píng)審/威脅建模C安全編碼原則D 、軟件版本更新三、填空題（30分，每空3分）1、信息系統(tǒng)安全由 物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、安全管理等五部分組成。2、信息系統(tǒng)安全等級(jí)中，第 級(jí)是用戶自主保護(hù) 。3、等級(jí)保護(hù)評(píng)估手段包括管理評(píng)估、技術(shù)評(píng)估。4、防火墻的類型包括包過(guò)濾防火墻、應(yīng)用網(wǎng)關(guān)（應(yīng)用代理）防火墻、狀態(tài)檢測(cè)包過(guò)濾防火墻等。5、IDS中文名稱是入侵檢測(cè)系統(tǒng)。6、軟件安全測(cè)試應(yīng)該像攻擊者一樣思考。7、隔離網(wǎng)閘由 外部系統(tǒng)、內(nèi)部系統(tǒng)和數(shù)據(jù)父換系統(tǒng)（開(kāi)關(guān)系統(tǒng)）組成。8根據(jù)滲透方法分類，滲透測(cè)試包括：黑箱測(cè)試、白盒測(cè)試、隱秘測(cè)試。9、安全測(cè)試法包括靜態(tài)測(cè)試和動(dòng)態(tài)測(cè)試。10、 隱藏在軟