CISP考试试题题型与答案解析4

13. 软件安全设计和开发中应考虑用户稳私包，以下关于用户隐私保护的说法哪个是错误的?

A．告诉用户需要收集什么数据及搜集到的数据会如何披使用

B．当用户的数据由于某种原因要被使用时，给用户选择是否允许

C．用户提交的用户名和密码属于稳私数据，其它都不是

D．确保数据的使用符合国家、地方、行业的相关法律法规

答案：C

解释：个人隐私包括但不限于用户名密码、位置、行为习惯等信息。

14.软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想，在有限资源前提下实现软件安全最优防护，

避免防范不足带来的直接损失，也需要关注过度防范造成的间接损失。在以下软件安全开发策略中，不符合软件保密

注册信息安全专业人员考试模拟考试试卷

4 / 16

安全保障思想的是：

A.在软件立项时考虑到软件安全相关费用，经费中预留了安全测试、安全评审相关费用，确保安全经费得到落实

B．在软件安全设计时，邀请软件安全开发专家对软件架构设计进行评审，及时发现架构设计中存在的安全不足

C．确保对软编码人员进行安全培训，开发人员了解安全编码基本原则和方法，确保开发人员编写出安全的代码

D．在软件上线前对软件进行全面安全性测试，包括源代码分析、模糊测试、渗透测试，未经以上测试的软件不

允许上线运行

答案：D

解释：软件的安全测试根据实际情况进行测试措施的选择和组合。

15. 以下哪一项不是工作在网络第二层的隧道协议：

A.VTP

B．L2F

C．PPTP

D．L2TP

答案：A

解释：L2F、PPTP、L2TP 均为二层隧道协议。

16.主体 S 对客体 01 有读(R)权限，对客体 02 有读(R)、写(W)、拥有(Own)权限，该访问控制实现方法是：

A．访问控制表(ACL)

B．访问控制矩阵

C．能力表(CL)

D．前缀表(Profiles)

答案：C

解释：定义主体访问客体的权限叫作 CL。定义客体被主体访问的权限叫 ACL。

17.以下场景描述了基于角色的访问控制模型(Role-based Access Control．RBAC)：根据组织的业务要求或管理要求，

在业务系统中设置若干岗位、职位或分工，管理员负责将权限(不同类别和级别的)分别赋予承担不同工作职责的

用户。关于 RBAC 模型，下列说法错误的是：

A．当用户请求访问某资源时，如果其操作权限不在用户当前被激活角色的授权范围内，访问请求将被拒绝

B．业务系统中的岗位、职位或者分工，可对应 RBAC 模型中的角色

C．通过角色，可实现对信息资源访问的控制

D．RBAC 模型不能实现多级安全中的访问控制

答案：D

解释：RBAC 模型能实现多级安全中的访问控制。