A、 降低风险
B、 规避风险
C、 放弃风险
D、 转移风险
答案:B
解析:解析:放弃高风险模块的功能,属于风险规避。
A、 降低风险
B、 规避风险
C、 放弃风险
D、 转移风险
答案:B
解析:解析:放弃高风险模块的功能,属于风险规避。
A. Windows 系统是采用 SID(安全标识符)来标识用户对文件或文件夹的权限
B. Windows 系统是采用用户名来标识用户对文件或文件夹的权限
C. Windows 系统默认会生成 administrator 和 guest 两个账号,两个账号都不允许改名和删除
D. Windows 系统默认生成 administrator 和 guest 两个账号,两个账号都可以改名和删除
解析:解析:guest 可以改名和删除,administrator 不可以。
A. 机房与设施安全,保证应用系统处于有一个安全的环境条件,包括机房环境、机房安全等级、机房的建造和机房的装修等
B. 身份鉴别,应用系统应对登录的用户进行身份鉴别,只有通过验证的用户才能访问应用系统资源
C. 安全标记,在应用系统层面对主体和客体进行标记,主体不能随意更改权限,增加访问控制的力度,限制非法访问
D. 剩余信息保护,应用系统应加强硬盘、内存或缓冲区中剩余信息的保护,防止存储在硬盘、内存或缓冲区中的信息被非授权的访问
解析:解析:机房与设施安全属于物理环境安全范畴,不属于应用安全范畴。
A. 对目录的访问权限可分为读、写和拒绝访问
B. 对文件进行操作的用户是一种主体
C. 主体可以接收客体的信息和数据,也可以改变客体相关的信息
D. 访问权限是指主体对客体所允许的操作
解析:解析:对目录的访问模式只有读和写。P305.
A. 风险评估准备; 风险要素识别; 风险分析; 监控审查; 风险结果判定; 沟通咨询
B. 风险评估准备; 风险要素识别; 监控审查 ;风险分析; 风险结果判定; 沟通咨询
C. 风险评估准备; 监控审查 ;风险要素识别; 风险分析 ;风险结果判定; 沟通咨询
D. 风险评估准备; 风险要素识别:风险分析:风险结果判定 监控审查, 沟通咨询
A. 适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益
B. 适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一般损害
C. 适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害
D. 适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统。其受到破坏后,会对国家安全、社会秩序,经济建设和公共利益造成特别严重损害
解析:解析:题目中 B 为等级保护三级,该考点为等级保护定级指南。
A. 国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》 (GB/T20274.1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心
B. 模型中的信息系统生命周期模型是抽象的概念性说明模型,在信息系统安全保障具体操作时,可根据具体环境和要求进行改动和细化
C. 信息系统安全保障强调的是动态持续性的长效安全,而不仅是某时间点下的安全
D. 信息系统安全保障主要是确保信息系统的保密性、完整性和可用性,单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入
解析:解析:“单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入”错误。
A. 是否己经通过部署安全控制措施消灭了风险
B. 是否可以抵抗大部分风险
C. 是否建立了具有自适应能力的信息安全模型
D. 是否已经将风险控制在可接受的范围内
解析:解析:判断风险控制的标准是风险是否控制在接受范围内。
A. 网站竞争对手可能雇佣攻击者实施 DDoS 攻击,降低网站访问速度
B. 网站使用用户名、密码进行登录验证,攻击者可能会利用弱口令或其他方式获得用户密码,以该用户身份登录修改用户订单等信息
C. 网站使用使用 http 协议进行浏览等操作,无法确认数据与用户发出的是否一致,可能数据被中途篡改
D. 网站使用使用 http 协议进行浏览等操作,未对数据进行加密,可能导致用户传输信息泄露,例如购买的商品金额等
解析:解析:A属于拒绝服务威胁; C属于篡改威胁; D属于信息泄露威胁。 P405页。
A. 制定业务连续性策略
B. 进行业务影响分析
C. 进行灾难恢复演练
D. 构建灾备系统
A. 信息安全法律环境是信息安全保障体系中的必要环节
B. 明确违反信息安全的行为,并对行为进行相应的处罚,以打击信息安全犯罪活动
C. 信息安全主要是技术问题,技术漏洞是信息犯罪的根源
D. 信息安全产业的逐渐形成,需要成熟的技术标准和完善的技术体系
解析:解析:信息安全问题是多方面存在的,不能认为主要为技术问题,同时技术漏洞不是犯罪的根源所在。