A、 中国
B、 美国
C、 欧盟
D、 俄罗斯
答案:B
解析:解析:信息安全保障技术框架由美国国家安全局发布,一般由英文翻译过来的大多数都是美国人弄出来的。P28 页。
A、 中国
B、 美国
C、 欧盟
D、 俄罗斯
答案:B
解析:解析:信息安全保障技术框架由美国国家安全局发布,一般由英文翻译过来的大多数都是美国人弄出来的。P28 页。
A. 操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞
B. 为了方便进行数据备份,安装 Windows 操作系统时只使用一个分区 C,所有数据和操作系统都存放在 C 盘
C. 操作系统上部署防病毒软件,以对抗病毒的威胁
D. 将默认的管理员账号 Administrator 改名,降低口令暴力破解攻击的发生可能
解析:解析:操作系统和应用安全装应分开不同磁盘部署。
A. 安装 Windows 系统时要确保文件格式使用的是 NTFS,因为 Windows 的 ACL 机制需要 NTFS文件格式的支持
B. 由于 Windows 操作系统自身有大量的文件和目录,因此很难对每个文件和目录设置严格的访问权限,为了使用上的便利,Windows 上的 ACL 存在默认设置安全性不高的问题
C. Windows 的 ACL 机制中,文件和文件夹的权限是与主体进行关联的,即文件夹和文件的访问权限信息是写在用户数据库中
D. 由于 ACL 具有很好的灵活性,在实际使用中可以为每一个文件设定独立用户的权限
解析:解析:C 项,与客体进行关联,用户的权限写在文件夹和文件的数据库中。
A. 该问题的产生是由于使用了不安全的协议导致的,为了避免再发生类似的闯题,应对全网站进行安全改造,所有的访问都强制要求使用 https
B. 该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位,没有找到该威胁并采取相应的消减措施
C. 该问题产生是由于编码缺陷,通过对网站进行修改,在进行订单付款时进行商品价格验证就可以解决
D. 该问题的产生不是网站的问题,应报警要求寻求警察介入,严惩攻击者即可
解析:解析:根据题干是采用 HTTP 的协议(明文传输)导致的,则答案为 A。
A. CMM 的基本思想是,因为问题是由技术落后引起的,所以新技术的运用会在一定程度上提高质量、生产率和利润率
B. CMM 是思想来源于项目管理和质量管理
C. CMM 是一种衡量工程实施能力的方法,是一种面向工程过程的方法
D. CMM 是建立在统计过程控制理论基础上的,它基于这样一个假设,即”生产过程的高质量和在过程中组织实施的成熟性可以低成本的生产出高质量产品
解析:解析:P178
A. 基于SSE-CMM的工程是独立工程,与软件工程、硬件工程、通信工程等分别规划实施
B. SSE-CMM可以使安全工程成为一个确定的、成熟的和可度量的科目
C. SSE-CMM要求实施组织与其他组织相互作用,如开发方、产品供应商、集成商和咨询服务商等
D. SSE-CMM覆盖整个组织的活动,包括管理、组织和工程活动等,而不仅仅是系统安全的工程活动
解析:解析:SSE-CMM 的工程不是独立工程, 而是与其他工程并行且相互作用, 包括企业工程、软件工程、硬件工程、通信工程等。 P179。
A. BS 7799.1.3
B. ISO 17799
C. AS/NZS 4630
D. NIST SP 800-37
A. 达到 SSE-CMM 最高级以后,工程队伍执行同一个过程,每次执行的结果质量必须相同
B. SSE-CMM强调系统安全工程与其他工程学科的区别性和独立性
C. 系统安全工程能力成熟度模型(SSE-CMM)定义了 3 个风险过程:评价威胁,评价脆弱性,评价影响
D. 系统安全工程能力成熟度模型(SSE-CMM)定义了6 个能力级别,当工程队伍不能执行一个过程域中的基本实践时,该过程域的过程能力是 0 级
解析:解析:A 错误,每次质量结果难以相同;B 错误,SSE-CMM 强调的是关联性而非独立性。C 错误, SSE-CMM 定义了一个风险过程, 包括四个部分,评估影响、评估威胁、评估脆弱性、评估安全风险。D 定义了6 个能力级别,分别是不可重复级、初始级、可重复级、已定义级、已管理级、优先级;
A. 《关于加强政府信息系统安全和保密管理工作的通知》
B. 《中华人民共和国计算机信息系统安全保护条例》
C. 《国家信息化领导小组关于加强信息安全保障工作的意见》
D. 《关于开展信息安全风险评估工作的意见》
A. 信息安全管理体系;安全管理制度; 规范;网络管理员;社会工程学攻击
B. 信息安全管理体系;安全管理制度; 网络管理员;规范;社会工程学攻击
C. 安全管理制度;信息安全管理体系; 规范;网络管理员;社会工程学攻击
D. 信息安全管理体系; 网络管理员;安全管理制度;规范;社会工程学攻击
A. 《保密法》;涉密程度;涉密信息系统;保密设施;检查合格
B. 《安全保密法》;涉密程度;涉密信息系统;保密设施;检查合格
C. 《国家保密法》;涉密程度;涉密系统;保密设施;检查合格
D. 《网络保密法》;涉密程度;涉密系统;保密设施;检查合格
解析:解析:《保密法》第二十三条规定存储、处理国家秘密的计算机信息系统 (以下简称涉密信息系统) 按照涉密程度实行分级保护。涉密信息系统应当按照国家保密标准配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划、同步建设、同步运行 (三同步) 。涉密信息系统应当按照规定,经检查合格后,方可投入使用。P57 页。