A、 安全需求可通过安全措施得以满足,不需要结合资产价值考虑实能成本
B、 风险评估要识别资产相关要素的关系,从而判断资产面临的风险大小,在对这些要素的评估过程中,不需要充分考虑与这些基本要素相关的各类性对这些要素的评估过程中,需要充分考虑与这些基本要素相关的各类属性
C、 风险评估要识别资产相关要素的关系,从而判断资产面临的风险大小,在在对这些要素的评估过程中,需要充分考虑与这些基本要素相关的各类属性。
D、 信息系统的风险在实施了安全措施后可以降为零
答案:C
解析:解析:信息安全风险评估的过程包括信息安全风险评估准备、风险因素识别、风险程度分析和风险等级评价4个阶段。风险评估要识别资产相关要素的关系,从而判断资产面临的风险大小。
A、 安全需求可通过安全措施得以满足,不需要结合资产价值考虑实能成本
B、 风险评估要识别资产相关要素的关系,从而判断资产面临的风险大小,在对这些要素的评估过程中,不需要充分考虑与这些基本要素相关的各类性对这些要素的评估过程中,需要充分考虑与这些基本要素相关的各类属性
C、 风险评估要识别资产相关要素的关系,从而判断资产面临的风险大小,在在对这些要素的评估过程中,需要充分考虑与这些基本要素相关的各类属性。
D、 信息系统的风险在实施了安全措施后可以降为零
答案:C
解析:解析:信息安全风险评估的过程包括信息安全风险评估准备、风险因素识别、风险程度分析和风险等级评价4个阶段。风险评估要识别资产相关要素的关系,从而判断资产面临的风险大小。
A. 要求有关部门、机构和人员及时收集、报告有关信息,加强对网络安全风险的监测
B. 组织有关部门、机构和专业人员,对网络安全风险信息进行分析评估
C. 向社会发布网络安全风险预警,发布避免、减轻危害的措施
D. 要求单位和个人协助抓跑嫌犯
E. 预测事件发生的可能性、影响范围和危害程度
解析:解析:《中华人民共和国网络安全法》第五十四条规定,网络安全事件发生的风险增大时,省级以上人民政府有关部门应当按照规定的权限和程序,并根据网络安全风险的特点和可能造成的危害,采取下列措施:
(1)要求有关部门、机构和人员及时收集、报告有关信息,加强对网络安全风险的监测;
(2)组织有关部门、机构和专业人员,对网络安全风险信息进行分析评估,预测事件发生的可能性、影响范围和危害程度;
(3)向社会发布网络安全风险预警,发布避免、减轻危害的措施。
A. 完整
B. 可用性
C. 保密性
D. 不可抵赖性
解析:解析:保密性(Conidentialily),是指信息仅被合法用户访问(浏览、阅读、打印等),不被泄露给非授权的用户、实体或过程。般分为自主访问控制模型和强制访问控制模型。以下属于自主访问控制模型
A. 鉴别服务
B. 数据包过滤
C. 访问控制
D. 数据完整性
解析:解析:ISO安全体系结构的5种安全服务包括:鉴别服务、访问控制、数据完整性、数据保密性、抗抵赖性。数据包不属于该体系结构。
A. 保证绝对安全
B. 每轮操作都有置换和代换
C. 最后一轮迭代的输出为64位
D. 每轮的置换函数不同
E. 采用64位的密钥长度
解析:解析:DES 算法是 IBM公司于1975年研究成功并公开发表的。DES算法采用了64位的分组长度和56位的密码长度,解密使用相同的步骤和相同的密码,在 DES 算法加密中,每轮操作都有置换和代换,每轮的置换函数都一样。 DES算法明文处理经过3个步骤:(1)64位的明文经过置换而被重新排列;(2)进行16轮相同函数作用;(3)最后一轮迭代的输出有64位,他是输入明文和密钥的函数。因此,选项 BC 符合题意。
A. 保证绝对安全
B. 将公共密钥和特定实体进行绑定
C. ITU制定了CA的标准
D. CA保管用户的私有密钥
E. 政府的CA比商业的CA更安全
解析:解析:认证中心(Cerificate Authority,CA)是一个可信媒介,用来验证一个公共密钥是否属于一个特殊实体(一个人或者一个网络实体)。认证中心负责将公共密钥和特定实体进行绑定,它的工作是证明身份的具实性和发放证书,CA具有以下作用:(1)CA验证实体(个人,路由器等)的身份。(2)一旦CA 验证了实体的身份,CA就可以产生一个证书,将这个公共密钥和身份进行绑定。国际电信联盟(ITU)和IETF 制定了认证中心的标准。没有证据表明,认证中心可以保证密码的绝对安全,也没有证据表明,政府的 CA 比商业的更安全。因此,选项BC符合题意。
A. 误用检测根据对用户正常行为的了解和掌握来识别入侵行为
B. 误用检测根据掌握的关于人侵或攻击的知识来识别入侵行为
C. 误用检测不需要建立人侵或攻击的行为特征库
D. 误用检测需要建立用户的正常行为特征轮廓
解析:解析:(1)异常检测(也称基于行为的检测):把用户习惯行为特征存入特征库,将用户当前行为特征与特征数据库中存放的特征比较,若偏差较大,则认为出现异常。
(2)误用检测:通常由安全专家根据对攻击特征、系统漏洞进行分析,然后手工的编写相应的检测规则、特征模型。误用检测假定攻击者会按某种规则、针对同一弱点进行再次攻击。
A. 计算机信息系统安全保护等级测评
B. 监督、检查、指导计算机信息系统安全保护工作
C. 查处危害计算机信息系统安全的违法犯罪案件
D. 计算机信息系统项目集中采购
E. 履行计算机信息系统安全保护工作的其他监督职责
解析:解析:《中华人民共和国计算机信息系统安全保护条例》第十七条规
定,公安机关对计算机信息系统安全保护工作行使下列监督职权:
(1)监督、检查、指导计算机信息系统安全保护工作;
(2)查处危害计算机信息系统安全的违法犯罪案件;
(3)履行计算机信息系统安全保护工作的其他监督职责。
A. 以无线电波作为传输介质
B. 协议标准是 IEEE 802.11
C. 可采用直接序列扩频技术
D. 可作为有线局域网的补充
E. 仅支持基于 AP 的访问模式
解析:解析:无线局域网络利用微波、激光和红外线等无线电波作为传输介质,它是有线局域网的补充。按采用的传输技术可以分为3类:红外线局域网、扩频局域网(调频扩频或直接序列扩频)、窄带微波局域网,采用 IEEE 802.11标准,支持基于漫游访问(Nomadic Access) 和无线访问接入点(Wireless Access Point,AP)访问模式。因此,选项 ABCD 符合题意。
A. 信息系统安全保障目的
B. 环境安全保障目的
C. 信息系统安全保障目的和环境安全保障目的
D. 信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的
解析:解析:根据《信息系统安全保障评估框架》(GB/T20274)的规定,安全保障评估框架从整体、管理、技术和工程方面进行评估。
A. 5年内
B. 4年内
C. 3年内
D. 2年内
解析:解析:《中华人民共和国网络安全法》第六十三条规定,违反本法第二
十七条规定,受到治安管理处罚的人员,5年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。
