A、 网络和基础设施;安全保护问题;本地的计算机环境;多点防御;分层防御
B、 安全保护问题;本地的计算机环境;多点防御;网络和基础设施;分层防御
C、 安全保护问题;本地的计算机环境;网络和基础设施;多点防御;分层防御
D、 本地的计算环境;安全保护问题;网络和基础设施;多点防御;分层防御
答案:C
解析:解析:参考 P29 页,IATF 4 个焦点领域。
A、 网络和基础设施;安全保护问题;本地的计算机环境;多点防御;分层防御
B、 安全保护问题;本地的计算机环境;多点防御;网络和基础设施;分层防御
C、 安全保护问题;本地的计算机环境;网络和基础设施;多点防御;分层防御
D、 本地的计算环境;安全保护问题;网络和基础设施;多点防御;分层防御
答案:C
解析:解析:参考 P29 页,IATF 4 个焦点领域。
A. 软件部署时所需选用服务性能不高,导致软件执行效率低。
B. 应用软件来考虑多线程技术,在对用户服务时按序排队提供服务
C. 应用软件存在 SQL 注入漏洞,若被黑客利用能窃取数据库所用数据
D. 软件受许可证(license)限制,不能在多台电脑上安装。
解析:解析:ABD 与安全无关。
A. 告诉用户需要收集什么数据及搜集到的数据会如何被使用
B. 当用户的数据由于某种原因要被使用时,给客户选择是否允许
C. 用户提交的用户名和密码属于隐私数据,其他都不是
D. 确保数据的使用符合国家、地方、行业的相关法律法规
解析:解析:客户的私人信息都是隐私数据而不仅仅是用户名和密码。
A. 信息安全法律环境是信息安全保障体系中的必要环节
B. 明确违反信息安全的行为,并对行为进行相应的处罚,以打击信息安全犯罪活动
C. 信息安全主要是技术问题,技术漏洞是信息犯罪的根源
D. 信息安全产业的逐渐形成,需要成熟的技术标准和完善的技术体系
解析:解析:信息安全问题是多方面存在的,不能认为主要为技术问题,同时技术漏洞不是犯罪的根源所在。
A. 确保采购定制的设备、软件和其他系统组件满足已定义的安全要求
B. 确保整个系统已按照领导要求进行了部署和配置
C. 确保系统使用人员已具备使用系统安全功能和安全特性的能力
D. 确保信息系统的使用已得到授权
解析:解析:B 是错误的,不是按照领导要求进行了部署和配置。
A. 检查评估可依据相关标准的要求,实施完整的风险评估过程;也可在自评估的基础上,对关键环节或重点内容实施抽样评估
B. 检查评估可以由上级管理部门组织,也可以由本级单位发起,其重点是针对存在的问题进行检查和评测
C. 检查评估可以由上级管理部门组织,并委托有资质的第三方技术机构实施
D. 检查评估是通过行政手段加强信息安全管理的重要措施,具有强制性的特点
解析:解析:自评估由本级单位发起,检查评估由被评估组织的上级管理机关或业务主管机关发起,P247 页。
A. 关于网站身份鉴别技术方面安全知识的培训
B. 针对 OpenSSL 心脏出血漏洞方面安全知识的培训
C. 针对 SQL 注入漏洞的安全编程培训
D. 关于 ARM 系统漏洞挖掘方面安全知识的培训
解析:解析:D 属于 ARM 系统,不属于 WEB 安全领域。
A. 日志的存在就是安全风险,最好的办法就是取消日志,通过设置让前置机不记录日志
B. 只允许特定的 IP 地址从前置机提取日志,对日志共享设置访问密码且限定访问的时间
C. 由于共享导致了安全问题,应直接关闭日志共享,禁止总部提取日志进行分析
D. 为配合总部的安全策略,会带来一定的安全问题,但不影响系统使用,因此接受此风险
解析:解析:通过 IP 指定和访问策略的设定,有效的降低被攻击几率。
A. 程序员在进行安全需求分析时,没有分析出OA 系统开发的安全需求
B. 程序员在软件设计时,没遵循降低攻击面的原则,设计了不安全的功能
C. 程序员在软件编码时,缺乏足够的经验,编写了不安全的代码
D. 程序员在进行软件测试时,没有针对软件安全需求进行安全测试
解析:解析:FTP 功能本身没有问题,但是不太安全容易被攻击,所以选 B 。
A. 通过信息安全培训,使相关信息发布人员了解信息收集风险,发布信息最小化原则
B. 减少系统对外服务的端口数量,修改服务旗标
C. 关闭不必要的服务,部署防火墙、IDS 等措施
D. 系统安全管理员使用漏洞扫描软件对系统进行安全审计
A. 动态分配地址
B. 配置虚拟专用网络
C. VLAN 划分
D. 为路由交换设备修改默认口令
解析:解析:VLAN 划分可以有效的限制广播域。