A、 软件安全开发生命周期较长,而其中最重要的是要在软件的编码安全措施,就可以解决 90%以上的安全问题。设计
B、 应当尽早在软件开发的需求和设计阶段增加一定的安全措施,这样可以比在软件发布以后进行漏洞修复所花的代价少得多。
C、 和传统的软件开发阶段相比,微软提出的安全开发生命周期 (SDL)最大特点是增加了一个专门的安全编码阶段
D、 软件的安全测试也很重要,考试到程序员的专业性,如果该开发人员已经对软件进行了安全性测试,就没有必要再组织第三方进行安全性测试。
答案:B
解析:解析:A-现代软件工程体系中软件最重要的阶段为设计阶段。C-SDL 最大的特点是增加了安全培训和应急响应。D-第三方测试是必要的软件安全测试类型。
A、 软件安全开发生命周期较长,而其中最重要的是要在软件的编码安全措施,就可以解决 90%以上的安全问题。设计
B、 应当尽早在软件开发的需求和设计阶段增加一定的安全措施,这样可以比在软件发布以后进行漏洞修复所花的代价少得多。
C、 和传统的软件开发阶段相比,微软提出的安全开发生命周期 (SDL)最大特点是增加了一个专门的安全编码阶段
D、 软件的安全测试也很重要,考试到程序员的专业性,如果该开发人员已经对软件进行了安全性测试,就没有必要再组织第三方进行安全性测试。
答案:B
解析:解析:A-现代软件工程体系中软件最重要的阶段为设计阶段。C-SDL 最大的特点是增加了安全培训和应急响应。D-第三方测试是必要的软件安全测试类型。
A. 可以通过对当前的信息安全策略和相关文档进行复查采集评估信息
B. 可以通过进行实施考察的方式采集评估信息
C. 可以通过建立模型的方法采集评估信息
D. 可以制作问卷,进行调查
解析:解析:基于知识的风险评估方法和基于模型的风险评估方法是并列关系
A. 信息系统;信息安全保障; 威胁;检测工作
B. 信息安全保障;威胁;信息系统;检测工作
C. 信息安全保障;信息系统; 威胁;检测工作
D. 信息安全保障;信息系统; 检测工作;威胁
解析:解析:保护-检测-响应(Protection-Detection-Response ,PDR)模型是信息安全保障工作中常用的模型,其思想是承认信息系统中漏洞的存在,正视系统面临的威胁,通过采取适度防护、加强检测工作、落实对安全事件的响应、建立对威胁的防护来保障系统的安全。P25 页。
A. 在编码阶段程序员进行培训,避免程序员写出存在漏洞的代码
B. 对代码进行严格检查,避免存在 SQL 注入漏洞的脚本被发布
C. 使用静态发布,所有面向用户发布的数据都使用静态页面
D. 在网站中部署防 SQL 注入脚本,对所有用户提交数据进行过滤
解析:解析:A 项是加强安全培训,B 和 D 是进行安全加固,只有 C 是修改了设计。
A. 口令攻击
B. 暴力破解
C. 拒绝服务攻击
D. 社会工程学攻击
解析:解析:D 属于社会工程学攻击。
A. 强制访问控制是指主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体
B. 安全属性是强制性的规定,它由安全管理员或操作系统根据限定的规则确定,不能随意篡改
C. 系统通过比较客体和主体的安全属性来决定主体是否可以访问客体
D. 它是一种对单个用户执行访问控制的过程控制措施
解析:解析:”对单个用户执行访问控制的过程控制措施”,P308 页。
A. 设置网络连接时限
B. 记录并分析系统错误日志
C. 记录并分析用户和管理员操作日志
D. 启用时钟同步
解析:解析:A 属于防护措施;BCD 属于检测措施,可以用来检测未经授权的信息处理活动。
A. 高级管理层——最终责任
B. 信息安全部门主管——提供各种信息安全工作必须的资源
C. 系统的普通使用者——遵守日常操作规范
D. 审计人员——检查安全策略是否被遵从
解析:解析:通常由管理层提供各种信息安全工作必须的资源。
A. 对目录的访问权限可分为读、写和拒绝访问
B. 对文件进行操作的用户是一种主体
C. 主体可以接收客体的信息和数据,也可以改变客体相关的信息
D. 访问权限是指主体对客体所允许的操作
解析:解析:对目录的访问模式只有读和写。P305.
A. 信息安全管理;控制措施;组织结构;业务目标;管理过程
B. 组织结构;控制措施;信息安全管理;业务目标;管理过程
C. 控制措施;组织结构;信息安全管理;业务目标;管理过程
D. 控制措施;组织结构;业务目标;信息安全管理;管理过程
解析:解析:P103 页
A. 识别面临的风险并赋值
B. 识别存在的脆弱性并赋值
C. 制定安全措施实施计划
D. 检查安全措施有效性
解析:解析:风险要素包括资产、威胁、脆弱性、安全措施。