96.信息安全风险值应该是以下哪些因素的函数? ()
A. 信息资产的价值、面临的威胁以及自身存在的脆弱性
B. 病毒、黑客、漏洞等
C. 保密信息如国家秘密、商业秘密等
D. 网络、系统、应用的复杂程度
解析:解析: 信息安全风险三要素:资产、威胁、脆弱性
https://www.shititong.cn/cha-kan/shiti/00022009-5940-83d2-c0a6-5ac6b1259100.html
点击查看答案
4.有关质量管理, 错误的理解是( )。
A. 质量管理是与指挥和控制组织质量相关的一系列相互协调的活动,是为了实现质量目标,而进行的所有管理性质的活动
B. 规范质量管理体系相关活动的标准是 ISO 9000 系列标准
C. 质量管理体系将资源与结果结合, 以结果管理方法进行系统的管理
D. 质量管理体系从机构, 程序、过程和总结四个方面进行规范来提升质量
解析:解析:质量管理体系是组织内部建立的、为实现质量目标所必需的系统性质量管理模式,是组织的一项战略决策。它将资源与过程结合, P177页
https://www.shititong.cn/cha-kan/shiti/00022009-593f-b621-c0a6-5ac6b1259100.html
点击查看答案
36 .下列关于软件安全开发中的 BSI (Build Security In)系列模型说法错误的是() 。软件安全的三根支柱是风险管理、软件安全触点和安全知识含义是指将安全内建到软件开发过程中,而不是可有可无,更不是游离于软件开发生命周期之外系列模型强调安全测试的重要性,要求安全测试贯穿整个开发过程及软件生命周期软件安全触点是软件开发生命周期中一套轻量级最优工程化方法,它提供了从不同角度保障安全的行为方式
解析:解析: BSI认为软件安全有 3根支柱:风险管理、软件安全接触点和安全知识, 其强调了在软件的整个生命周期中风险管理的重要性,并要求风险管理框架贯穿整个开发过程。P403页。
https://www.shititong.cn/cha-kan/shiti/00022009-593f-eefa-c0a6-5ac6b1259100.html
点击查看答案
28.CC标准是目前系统安全认证方面最权威的标准,以下哪一项没有体现 CC标准的先进性()实用性, 将 CC的安全性要求具体应用到 IT产品的开发、生产、测试和评估过程中结构的开放性,即功能和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化和扩展表达方式的通用性,即给出通用的表达方式独立性, 它强调将安全的功能和保证分离
解析:解析: CC标准充分突出了“保护轮廓”这一概念,将评估过程分“功能”和“保证”两部分。 CC是对已有安全准则的总结和兼容,有通用的表达方式, ITSEC首先提出功能和保证分离,
https://www.shititong.cn/cha-kan/shiti/00022009-593f-e3fe-c0a6-5ac6b1259100.html
点击查看答案
63.现如今的时代是信息的时代, 每天都会有大量的信息流通或交互,但自从斯诺登曝光美国政府的“棱镜”计划之后,信息安全问题也成为了每个人乃至整个国家所不得不重视的问题,而网络信息对抗技术与电子信息对抗技术也成为了这个问题的核心。某公司为有效对抗信息收集和分析,让该公司一位网络工程师提出可行的参考建议,在该网络工程师的建议中,错误的是()
A. 通过信息安全培训,使相关信息发布人员了解信息收集的风险
B. 发布信息应采取最小原则,所有不是必要的信息都不发布
C. 重点单位应建立信息发布审查机制,对发布的信息进行审核,避免敏感信息的泄露
D. 增加系统中对外服务的端口数量, 提高会话效率
解析:解析: 增加对外服务端口数量会有助于攻击者进行信息收集
https://www.shititong.cn/cha-kan/shiti/00022009-5940-37c4-c0a6-5ac6b1259100.html
点击查看答案
54 .下面哪一项情景属于身份鉴别(Authentication)过程?()
A. 用户依照系统提示输入用户名和口令
B. 用户在网络上共享了自己编写的一份 Office文档进行加密,以阻止其他人得到这份拷贝后到文档中的内容
C. 中的内容用户使用加密软件对自己家编写的 Office文档进行加密,以阻止其他人得到这份拷贝后到文档中的内容
D. 某个人尝试登陆到你的计算机中,但是口令输入的不对,系统提示口令错误, 并将这次失败的登陆过程记录在系统日志中
解析:解析:
https://www.shititong.cn/cha-kan/shiti/00022009-5940-231d-c0a6-5ac6b1259100.html
点击查看答案
21.在国家标准 GB/T 20274.1-2006《信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型》中,信息系统安全保障模型包含哪几个方面?()保障要素、生命周期和运行维护保障要素、生命周期和安全特征规划组织、生命周期和安全特征规划组织、生命周期和运行维护
解析:解析:在国家标准 GB/T 20274.1-2006《信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型》中,信息系统安全保障模型包含保障要素、生命周期和安全特征 3方面。P35页。
https://www.shititong.cn/cha-kan/shiti/00022009-593f-d699-c0a6-5ac6b1259100.html
点击查看答案
66.2016 年 12 月 27 日,经中央网络安全和信息化领导小组批准, 国家互联网信息办公室发布《国家网络空间安全战略》(以下简称:“战略”) 。全文共计()部分,6000余字。除了提出网络安全空间总体发展 () 之外,其中主要对我国当前面临的网络空间安全 7大机遇思想,阐明了中国关于网络空间发展和安全的重大立场和主张, 明确了战略方针和主要任务,切实维护国家在网络空间的主权、安全、发展利益, 是指导国家网络安全工作的纲领性文件。《战略》指出,网络空间机遇和挑战并存,机遇大于挑战。必须坚持积极利用、科学发展、依法管理、确保安全,坚决维护网络安全, 最大限度利用网络空间发展潜力,更好惠及 13 亿多中国人民,造福全人类,()。《战略》要求, 要以() ,贯彻落实创新、协调、绿色、开放、共享的发展理念,增强风险意识和危机意识, 统筹国内国际两个大局,统筹发展安全两件大事, 积极防御、有效应对, 推进网络空间和平、安全、开放、合作、有序,维护国家主权、安全、发展利益,实现建设网络强国的()。
A. 4 个;总体目标; 坚定维护世界和平; 总体国家安全观为指导; 战略目标
B. 5 个;基本目标; 坚定维护世界和平; 总体国家安全观为指导; 战略目标
C. 6 个;总体目标; 坚定维护世界和平; 总体国家安全观为指导; 战略目标
D. 7 个;基本目标; 坚定维护世界和平; 总体国家安全观为指导; 战略目标
解析:解析: 《国家网络空间安全战略》原文
https://www.shititong.cn/cha-kan/shiti/00022009-5940-3e24-c0a6-5ac6b1259100.html
点击查看答案
93.某网盘被发现泄露了大量私人信息,通过第三方网盘搜索引擎可查询到该网盘用户的大量照片、通讯录。盘建议用户使用“加密分享”功能,以避免消息泄露,“加密分享”可以采用以下哪些算法( )。
A. MD5 算法,SHA-1 算法
B. DSA 算法,RSA 算法
C. SHA-1 算法, SM2 算法
D. RSA 算法,SM2 算法
解析:解析: 加密分享是通过加密手段进行文件数据的分享,可以加密并解密,MD5、SHA-1 是单项函数用于数据完整性保护, DSA 是一种数字签名的算法,RSA 和SM2 是公钥加密算法。
https://www.shititong.cn/cha-kan/shiti/00022009-5940-7d0e-c0a6-5ac6b1259100.html
点击查看答案
29.某单位根据业务需要准备立项开发一个业务软件,对于软件开发安全投入经费研讨时开发部门和信息中心就发生了分歧,开发部门认为开发阶段无需投入,软件开发完成后发现问题后再针对性的解决,比前期安全投入要成本更低; 信息中心则认为应在软件安全开发阶段投入, 后期解决代价太大, 双方争执不下,作为信息安全专家,请选择对软件开发安全投入的准确说法()双方的说法都错误,软件安全问题在任何时候投入解决都可以,只要是一样的问题,解决的代价相同信息中心的考虑是正确的, 在软件开发需求分析阶段开始考虑安全问题,总体经费投入比软件运行后的费用要低双方的说法都正确,需要根据具体情况分析是开发阶段投入解决问题还是在上线后再解决问题费用更低软件开发部门的说法是正确的,因为软件出现安全问题后更清楚问题所在, 安排人员进行代码修订更简单, 因此费用更低
解析:解析: 软件安全开发阶段投入, 后期解决代价比前期解决代价大的多。
https://www.shititong.cn/cha-kan/shiti/00022009-593f-e5ef-c0a6-5ac6b1259100.html
点击查看答案
