单选题 The following scenario will be used for questions 26, 27, and 28.Trent is the new manager of his company's internal software development department. He has been told by his management that the group needs to be compliant with the international standard that provides guidance to organizations in integrating security into the processes used for managing their applications. His new boss told him that he should join and get familiar with the Web Application Security Consortium, and Trent just received an e-mail stating that one of the company's currently deployed applications has a zero day vulnerability.

单选题 Which of the following is most likely the standard Trent's company wants to comply with?

A、 ISO/IEC 27005
B、 ISO/IEC 27001
C、 ISO/IEC 27034
D、 BS 7799

【正确答案】 C

【答案解析】解析：C正确。ISO／IEC 27034是一个国际标准，它为组织将安全性整合到用于管理应用程序的流程提供了指南。它适用于内部开发的应用程序、从第三方获得的应用程序以及应用程序的开发和运算是外包的情况。 A不正确。因为ISO／IEC 27005：2001为信息安全风险管理提供了指导方针。ISO／IEC 27005：2001支持ISO／IEC 27001，并且它的设计是为了帮助基于风险管理方法的信息安全的正确实现。 B不正确。因为ISO／IEC 27001：2005详细说明了在组织的整体业务风险的情况中，建立、实现、运行、监控、审查、维护和提高文档化的信息安全管理系统的需求。它还详细说明了依单个组织或单个组织的部分部门而定制的安全控制实现的需求。 D不正确。因为BS 7799是由英国政府的贸易与工业部所撰写的，它概述了信息安全管理体系(Information Security Management，ISMS，又叫安全项目)应该如何构建和维护。它的目的是为组织提供如何设计、实现和维护政策、过程和技术，以管理其敏感信息资产的风险提供指导方针。

单选题 Which of the following best describes the consortium Trent's boss wants him to join?

A、 Nonprofit organization that produces open-source software and follows widely agreed upon best-practice security standards for the World Wide Web.
B、 U.S. DHS group that provides best practices, tools, guidelines, rules, principles, and other resources for software developers, architects, and security practitioners to use.
C、 Group of experts who create proprietary software tools used to help improve the security of software worldwide.
D、 Group of experts and organizations who certify products based on an agreed-upon security criteria.

【正确答案】 A

【答案解析】解析：A正确。Web应用安全联盟(Web Application Security Consortium，WASC)是一个非盈利组织，它是由一群国际专家、行业从业者和组织的代表(他们为万维网制定了开源且被广泛同意的最佳实践安全标准)组成的。 B不正确。因为美国的国土安全部(Department of Homeland Security，DHS)提供了最佳实践、工具、指南、规则、原理和其他资源，可供软件开发人员、架构师和安全从业者在其开发的每个阶段将安全嵌入软件中。这个DHS首创了被称为开发必需的组成部分(BSI)的概念，它是不同行业的许多实体参与并提供有用材料的共同努力。 C不正确。因为这是一个干扰项。不存在某个官方组织为所列的目的提供合适的工具。 D不正确。因为Web应用安全联盟并不认证产品。相反，它为如何将安全性整合到软件提供指导方针和开源的最佳实践。

单选题 Which of the following best describes the type of vulnerability mentioned in this scenario?

A、 Dynamic vulnerability that is polymorphic
B、 Static vulnerability that is exploited by server-side injection parameters
C、 Vulnerability that does not currently have an associated solution
D、 Database vulnerability that directly affects concurrency

【正确答案】 C

【答案解析】解析：C正确。零日漏洞指的是目前还没有解决方法的漏洞。如果某个漏洞被识别，并且没有预先建立好的修复程序(补丁、配置、更新)，它就可以被看成零口漏洞。零日攻击指的是一种利用系统中先前不知道的漏洞的攻击，这意味着攻击发生的时间位于它被确认和解决方案准备好之间——即在此漏洞被发现之前。它给受害者留下零日作出反应和为漏洞打上补丁。 A不正确。因为零日漏洞是受害者和可能的受害者目前不能通过现存解决方案弥补的任何类型的漏洞。零口漏洞与动态多态漏洞一样，本身没什么特殊之处，它只是包含这种类型的漏洞和其他漏洞的一个通用类。多态攻击仅仅意味着它会改变自身，从而达到防止被检测到的目的。 B不正确。因为零日漏洞是受害者和可能的受害者目前不能通过现存的解决方案弥补的任何类型的漏洞。零日漏洞本质上并不像服务器端的注入一样是特定的，它只是一个包含这种漏洞和其他漏洞的一个通用类。服务器端包含(Server-Side Include，SSI)注入攻击允许通过在HTML页面中注入代码或远程执行任意代码来利用Web应用程序。 D不正确。因为数据库内的并发专门针对的是同时执行若干个事务。如果某个漏洞直接影响了数据库中事务的成功执行，那么就说明存在一个负面影响数据库软件所存储和处理的数据的完整性的风险。这与零日漏洞没有任何关系。