某政府机构委托开发商开发了一个OA系统,其中公文分发功能使用了FTP协议,该系统运行过程中被攻击者通过FTP对OA系统中的脚本文件进行了篡改,安全专家提出使用HTTP下载代替了FTP功能以解决以上问题,该安全问题的产生主要是在哪个阶段产生的:
(A)程序员在进行安全需求分析时,没有分析出OA系统开发的安全需求
(B)程序员在软件设计时,没遵循降低攻击面的原则,设计了不安全的功能
(C)程序员在软件编码时,缺乏足够的经验,编写了不安全的代码
(D)程序员在进行软件测试时,没有针对软件安全需求进行安全测试
参考答案
继续答题:下一题
更多CISP证书试题
- 1下面哪一项不属于集中访问控制管理技术?
- 2作为一个组织的信息系统普通用户,以下哪一项不是必须了解的?
- 3IPv4 协议在设计之初并没有过多地考虑安全问题,为了能够使网络方便地进行互联,互通,仅仅依靠IP头部的校验和字段来保证IP包的安全,因此IP包很容易被篡改,并重新计算校验和,IETF于1994年开始制定IPSec协议标准,其设计目标是IPv4和IPv6环境中为网络层流量提供灵活,透明的安全服务,保护TCP/IP通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击,同时保持易用性,下列选项中说法错误的是:
- 4小王是某大学计算机科学与技术专业的学生,最近因为生病缺席了几堂信息安全课程,这几次课的内容是自主访问控制与强制访问控制。为了赶上课程进度,他向同班的小李借来了课堂笔记,进行自学。而小李在听课时由于经常走神,所以笔记中会出现一些错误。下列选项是小李笔记中关于强制访问控制模型的内容,其中出现错误的选项是( )。
- 5IP地址用来标识不同的网络,子网以及网络中的主机,所谓IP地址规划,是指根据IP编址特点,为所设计的网络中的节点,网络设备分配合适的IP地址,如某个小型网络拥有10个与互联网直接连接的IP地址,但是该网络内有15台个人计算机,假如这些计算机不会同时开机并连接互联网,那么可以将这10个互联网地址集中起来使用,当任意一台个人计算机开机并连接网络时,管理中心从这10个地址中任意抽取一个尚未分配的Ip地址分配给这台计算机,他关机时,管理中心将该地址收回,并重新设置为未分配,那么上述的IP分配方式属于:
- 6美国国防部提出的《信息保障技术框架》(IATF)在描述信息系统的安全需求时,将信息技术信息分为:
