A、 程序员在进行安全需求分析时,没有分析出OA 系统开发的安全需求
B、 程序员在软件设计时,没遵循降低攻击面的原则,设计了不安全的功能
C、 程序员在软件编码时,缺乏足够的经验,编写了不安全的代码
D、 程序员在进行软件测试时,没有针对软件安全需求进行安全测试
答案:B
解析:解析:FTP 功能本身没有问题,但是不太安全容易被攻击,所以选 B 。
A、 程序员在进行安全需求分析时,没有分析出OA 系统开发的安全需求
B、 程序员在软件设计时,没遵循降低攻击面的原则,设计了不安全的功能
C、 程序员在软件编码时,缺乏足够的经验,编写了不安全的代码
D、 程序员在进行软件测试时,没有针对软件安全需求进行安全测试
答案:B
解析:解析:FTP 功能本身没有问题,但是不太安全容易被攻击,所以选 B 。
A. 风险评估准备; 风险要素识别; 风险分析; 监控审查; 风险结果判定; 沟通咨询
B. 风险评估准备; 风险要素识别; 监控审查 ;风险分析; 风险结果判定; 沟通咨询
C. 风险评估准备; 监控审查 ;风险要素识别; 风险分析 ;风险结果判定; 沟通咨询
D. 风险评估准备; 风险要素识别:风险分析:风险结果判定 监控审查, 沟通咨询
A. 我国是在国家质量监督检验疫总局管理下,由国家标准化管理委员会统一管理全国标准化工作,下设有专业技术委员会
B. 事关国家安全利益,信息安全因此不能和国际标准相同,而是要通过本国组织和专家制定标准,切实有效地保护国家利益和安全
C. 我国归口信息安全方面标准是”全国信息安全标准化技术委员会”,为加强有关工作,2016在其下设立”大数据安全特别工作组”
D. 信息安全标准化工作是解决信息安全问题的重要技术支撑,其主要作业突出体现在能够确保有关产品、设施的技术先进性、可靠性和一致性
解析:解析:信息安全的标准可以和国际标准相同,也可以不相同。包括同等采用方式和等效采用方式等。
A. IPSec
B. PP2P
C. L2TP
D. SSL
解析:解析:IPSec 工作在网络层,PP2P 和 L2TP 工作在数据链路层,SSL 工作在传输层。P338 页。
A. 要求开发人员采用瀑布模型进行开发
B. 要求所有的开发人员参加软件安全意识培训
C. 要求增加软件安全测试环节,尽早发现软件安全问题
D. 要求规范软件编码,并制定公司的安全编码准则
解析:解析:瀑布模型是一种开发模型与安全防护无关,有些题目可能会把瀑布模型换成其他不设计安全的模型, 例如敏捷开发模型等。
A. 组织的管理层应确保 ISMS 目标和相应的计划得以制定,信息安全管理目标应明确、可度量,风险管理计划应具体,具备可行性
B. 组织的管理层应全面了解组织所面临的信息安全风险,决定风险可接受级别和风险可接受准则,并确认接受相关残余风险
C. 组织的信息安全目标、信息安全方针和要求应传达到全组织范围内,应包括全体员工,同时,也应传达到客户、合作伙伴和供应商等外部各方
D. 在组织中,应由信息技术责任部门(如信息中心)制定并颁布信息安全方针,为组织的ISMS 建设指明方向并提供总体纲领,明确总体要求
解析:解析:方针应由组织的管理层颁布。
A. 防抵赖
B. 防伪造
C. 防冒充
D. 保密通信
解析:解析:数字签名的作用不在于保密通信。
A. 审核实施投资计划
B. 审核实施进度计划
C. 审核工程实施人员
D. 企业资质
解析:解析:监理从项目招标开始到项目的验收结束,在投资计划阶段没有监理。
A. 安全测试人员链接了远程服务器的 220 端口
B. 安全测试人员的本地操作系统是 Linux
C. 远程服务器开启了 FTP 服务,使用的服务器软件名 FTP Server
D. 远程服务器的操作系统是 windows 系统
A. 信息安全管理体系 (ISMS)
B. 信息安全等级保护
C. ISO 270000 系列
D. NIST SP800
解析:解析:信息安全等级保护制度 (等保) 是一项强制性基础制度。P75 页。
A. 风险转移
B. 风险接受
C. 风险规避
D. 风险降低
解析:解析:风险降低可采用预防性策略和反应性策略两种方案。P141 页。