A、 由于在实际渗透测试过程中存在不可预知的风险,所以测试前要提醒用户进行系统和数据备份,以便出现问题时可以及时恢复系统和数据
B、 为了深入发掘该系统存在的安全威胁,应该在系统正常业务运行高峰期进行渗透测试
C、 渗透测试从“逆向”的角度出发,测试软件系统的安全性,其价值在于可以测试软件在实际系统中运行时的安全状况
D、 渗透测试应当经过方案制定、信息收集、漏洞利用、完成渗透测试报告等步骤
答案:B
解析:解析:在正常业务运行高峰期进行渗透测试可能会影响系统正常运行。
A、 由于在实际渗透测试过程中存在不可预知的风险,所以测试前要提醒用户进行系统和数据备份,以便出现问题时可以及时恢复系统和数据
B、 为了深入发掘该系统存在的安全威胁,应该在系统正常业务运行高峰期进行渗透测试
C、 渗透测试从“逆向”的角度出发,测试软件系统的安全性,其价值在于可以测试软件在实际系统中运行时的安全状况
D、 渗透测试应当经过方案制定、信息收集、漏洞利用、完成渗透测试报告等步骤
答案:B
解析:解析:在正常业务运行高峰期进行渗透测试可能会影响系统正常运行。
A. 模拟正常用户输入行为,生成大量数据包作为测试用例
B. 深入分析网站测试过程中产生崩溃或异常的原因,必要时需要测试人员手工重现并分析
C. 监测和记录输入数据后程序正常运行的情况
D. 数据处理点、数据通道的入口点和可信边界点往往不是测试对象
解析:解析:A 选项应为模拟异常用户输入行为;C 监测和记录由输入导致的任何崩溃或异常现象; D 数据处理点、数据通道的入口点和可信边界点是测试对象.
A. 抗抵赖性
B. 保密性
C. 可用性
D. 不可否认性
解析:解析:DDOS (分布式拒绝服务攻击) 主要攻击目标所提供的服务,以破坏可用性为主要目的。P350 页。
A. 可以建立起文档化的信息安全管理规范,实现有”法”可依,有章可循,有据可查
B. 可以强化员工的信息安全意识,建立良好的安全作业习惯,培育组织的信息安全企业文化
C. 可以增强客户、业务伙伴、投资人对该组织保障其业务平台和数据信息的安全信心
D. 可以深化信息安全管理,提高安全防护效果,使组织通过国际标准化组织的 ISO9001 认证
解析:解析:ISO9001 是质量认证不是安全管理认证,应通过 ISO27001 认证。
A. 降低
B. 不变(保持相同)
C. 提高
D. 提高或降低(取决于业务的性质)
A. 系统工程只需使用定量分析的方法,通过建立实际对象的数学模型,应用合适的优化算法对模型求解,解决实际问题
B. 系统工程的目的是实现总体效果最优化,即从复杂问题的总体入手,认为总体大于各部分之和,各部分虽然存在不足,但总体可以优化
C. 霍尔三维结构将系统工程整个活动过程分为前后紧密衔接的 7 个阶段和 7 个步骤
D. 系统工程不属于基本理论,也不属于技术基础,它研究的重点是方法论
解析:解析:系统工程是 20 世纪中期兴起的一门新兴的交叉学科,它主要是应用定性分析和定量分析相结合的方法,通过实际对象的数学模型,应用合适的优化算法对模型进行求解,从而解决实际问题。P175 页。
A. 步骤 1 和步骤 2 发生错误,应该向本地 AS 请求并获得远程 TGT
B. 步骤 3 和步骤 4 发生错误,应该向本地 TGS 请求并获得远程 TGT
C. 步骤 5 和步骤 6 发生错误,应该向远程 AS 请求并获得远程 TGT
D. 步骤 5 和步骤 6 发生错误,应该向远程 TGS 请求并获得远程 SGT
A. 当用户请求访问某资源时,如果其操作权限不在用户当前被激活角色的授权范围内,访问请求将被拒绝
B. 业务系统中的岗位、职位或者分工,可对应 RBAC 模型中的角色
C. 通过角色,可实现对信息资源访问的控制
D. RBAC 模型不能实现多级安全中的访问控制
解析:解析:RBAC 模型能实现多级安全中的访问控制。
A. 公安部; 等级保护试点;等级保护工作;等级保护测评;详细规定.
B. 公安部; 等级保护工作;等级保护试点;等级保护测评;详细规定
C. 公安部; 等级保护工作;等级保护测评;等级保护试点;详细规定
D. 公安部; 等级保护工作;等级保护试点;详细规定;等级保护测评
A. 系统工程是基本理论的技术实现
B. 系统工程是一种对所有系统都具有普遍意义的科学方法
C. 系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法
D. 系统工程是一种方法论
解析:解析:系统工程是方法论,不是技术实现。
A. everyone
B. administrator
C. powerusers
D. users
解析:解析:超级管理员组 administrator
