A、 信息安全管理体系 (ISMS)
B、 信息安全等级保护
C、 ISO 270000 系列
D、 NIST SP800
答案:B
解析:解析:信息安全等级保护制度 (等保) 是一项强制性基础制度。P75 页。
A、 信息安全管理体系 (ISMS)
B、 信息安全等级保护
C、 ISO 270000 系列
D、 NIST SP800
答案:B
解析:解析:信息安全等级保护制度 (等保) 是一项强制性基础制度。P75 页。
A. 数字签名
B. 非安全信道的密钥交换
C. 消息认证码
D. 身份认证
解析:解析:ABD 都是是公钥密码应用的范畴。
A. 网络和基础设施;安全保护问题;本地的计算机环境;多点防御;分层防御
B. 安全保护问题;本地的计算机环境;多点防御;网络和基础设施;分层防御
C. 安全保护问题;本地的计算机环境;网络和基础设施;多点防御;分层防御
D. 本地的计算环境;安全保护问题;网络和基础设施;多点防御;分层防御
解析:解析:参考 P29 页,IATF 4 个焦点领域。
A. 在软件开发的各个周期都要考虑安全因素
B. 软件安全开发生命周期要综合采用技术、管理和工程等手段
C. 测试阶段是发现并改正软件安全漏洞的最佳环节,过早或过晚检测修改漏洞都将增大软件开发成本
D. 在设计阶段就尽可能发现并改正安全隐患,将极大减少整个软件开发成本
解析:解析:设计阶段是发现和改正问题的最佳阶段。
A. HTTPD协议
B. HTIP1.0协议
C. HTTPS协议
D. HTTP 1.1协议
解析:解析:HTTPS 协议,是以安全为目标的 HTTP 通道,在 HTTP 的基础上通过传输加密和身份认证保证了传输过程的安全性。
A. 减少系统日志的系统开销
B. 禁用或删除不需要的服务,降低服务运行权限
C. 设置策略避免系统出现弱口令并对口令猜测进行防护
D. 对系统连续进行限制, 通过软件防火墙等技术实现对系统的端口连续进行控制
解析:解析:系统日志不应该减少
A. 监控和反馈 ISMS
B. 批准和监督 ISMS
C. 监视和评审 ISMS
D. 沟通和咨询 ISMS
A. 进程可以放弃自己的某些权能
B. 普通用户及其 shell 没有任何权能,而超级用户及其 shell在系统启动之初拥有全部权能
C. 当普通用户的某些操作设计特权操作时,仍然通过 setuid 实现
D. 系统管理员可以剥夺和恢复超级用户的某些权能
解析:解析:在 Linux 操作系统中,root用户是最高权限用户,系统管理员不可以剥夺和恢复超级用户的某些权能
A. 设计了用户权限分级机制和最小特权原则,导致软件在发布运行后,系统管理员不能查看系统审计信息
B. 设计了缓存用户隐私数据机制以加快系统处理性能,导致软件在发布运行后,被黑客攻击获取到用户隐私数据
C. 设计了采用不加盐(SALT)的 SHA-1 算法对用户口令进行加密存储,导致软件在发布运行后,不同的用户如使用了相同的口令会得到相同的加密结果,从而可以假冒其他用户登录
D. 设计了采用自行设计的加密算法对网络传输数据进行保护,导致软件在发布运行后,被攻击对手截获网络数据并破解后得到明文
解析:解析:首先是软件设计缺陷,其次对应的设计有缺陷导致某一后果。用户权限分级机制和最小特权原则导致系统管理员不能查看系统审计信息,这个在安全、保密等领域是专门这样设计的;BCD 都是由软件缺陷引起的。
A. 信息安全管理;独立审查;报告工具; 技能和经验;定期评审
B. 信息安全管理;技能和经验; 独立审查;定期评审;报告工具
C. 独立审查;信息安全管理;技能和经验;定期评审;报告工具
D. 信息安全管理;独立审查;技能和经验;定期评审;报告工具
A. 信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充
B. 信息安全风险评估应以检查评估为主,自评估和检查评估相互结合、互为补充
C. 自评估和检查评估是相互排斥的,单位应慎重地从两种工作形式选择一个,并长期使用
D. 自评估和检查评估是相互排斥的,无特殊理由单位均应选择检查评估,以保证安全效果
解析:解析:信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充。