A、 达到 SSE-CMM 最高级以后,工程队伍执行同一个过程,每次执行的结果质量必须相同
B、 SSE-CMM强调系统安全工程与其他工程学科的区别性和独立性
C、 系统安全工程能力成熟度模型(SSE-CMM)定义了 3 个风险过程:评价威胁,评价脆弱性,评价影响
D、 系统安全工程能力成熟度模型(SSE-CMM)定义了6 个能力级别,当工程队伍不能执行一个过程域中的基本实践时,该过程域的过程能力是 0 级
答案:D
解析:解析:A 错误,每次质量结果难以相同;B 错误,SSE-CMM 强调的是关联性而非独立性。C 错误, SSE-CMM 定义了一个风险过程, 包括四个部分,评估影响、评估威胁、评估脆弱性、评估安全风险。D 定义了6 个能力级别,分别是不可重复级、初始级、可重复级、已定义级、已管理级、优先级;
A、 达到 SSE-CMM 最高级以后,工程队伍执行同一个过程,每次执行的结果质量必须相同
B、 SSE-CMM强调系统安全工程与其他工程学科的区别性和独立性
C、 系统安全工程能力成熟度模型(SSE-CMM)定义了 3 个风险过程:评价威胁,评价脆弱性,评价影响
D、 系统安全工程能力成熟度模型(SSE-CMM)定义了6 个能力级别,当工程队伍不能执行一个过程域中的基本实践时,该过程域的过程能力是 0 级
答案:D
解析:解析:A 错误,每次质量结果难以相同;B 错误,SSE-CMM 强调的是关联性而非独立性。C 错误, SSE-CMM 定义了一个风险过程, 包括四个部分,评估影响、评估威胁、评估脆弱性、评估安全风险。D 定义了6 个能力级别,分别是不可重复级、初始级、可重复级、已定义级、已管理级、优先级;
A. 加强信息安全标准化建设,成立了”全国信息安全标准化技术委员会”制订和发布了大批信息安全技术,管理等方面的标准。
B. 重视信息安全应急处理工作,确定由国家密码管理局牵头成立”国家网络应急中心”推动了应急处理和信息通报技术合作工作进展
C. 推进信息安全等级保护工作,研究制定了多个有关信息安全等级保护的规范和标准,重点保障了关系国定安全,经济命脉和社会稳定等方面重要信息系统的安全性
D. 实施了信息安全风险评估工作,探索了风险评估工作的基本规律和方法,检验并修改完善了有关标准,培养和锻炼了人才队伍
解析:解析:工业和信息化部牵头成立”国家网络应急中心”。
A. 用户名
B. 用户口令明文
C. 用户主目录
D. 用户登录后使用的 SHELL
解析:解析:在 Linux,操作系统中,用户口令是通过哈希后保存在/etc/shadow 文件中的
A. 源代码审核过程遵循信息安全保障技术框架模型(IATF),在执行时应一步一步严格执行
B. 源代码审核有利于发现软件编码中存在的安全问题,相关的审核工具既有商业开源工具
C. 源代码审核如果想要有效率高,则主要依赖人工审核而不是工具审核,因为人工智能的,需要人的脑袋来判断
D. 源代码审核能起到很好的安全保证作用,如果执行了源代码审核,则不需要安全测试
解析:解析:A 错误,因为 IATF 不用于代码审核;C 错误,因为人工和攻击相结合;D 错误,安全测试由需求确定。
A. 将用户的生日倒转或是重排
B. 将用户的年薪倒转或是重排
C. 将用户配偶的名字倒转或是重排
D. 用户随机给出的字母
解析:解析:随机的最难记
A. 要充分切合信息安全需求并且实际可行
B. 要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本
C. 要充分采取新技术,在使用过程中不断完善成熟,精益求精,实现技术投入保值要求
D. 要充分考虑用户管理和文化的可接受性,减少系统方案实施障碍
解析:解析:安全领域一般选择经过检验的、成熟、安全的技术方案,一般不选最新的。
A. 动态分析是指在虚拟运行环境中,使用测试及监控软件,检测恶意代码行为,分析其执行流程及处理数据的状态,从而判断恶意代码的性质,并掌握其行为特点
B. 动态分析针对性强,并且具有较高的准确性,但由于其分析过程中覆盖的执行路径有限,分析的完整性难以保证
C. 动态分析通过对其二进制文件的分析,获得恶意代码的基本结构和特征,了解其工作方式和机制
D. 动态分析通过监控系统进程、文件和注册表等方面出现的非正常操作和变化,可以对恶意代码非法行为进行分析
解析:解析:”通过对其二进制文件的分析,获得恶意代码的基本结构和特征,了解其工作方式和机制”是静态分析的内容,P371 页。
A. BLP 模型用于保证系统信息的完整性
B. BLP 模型的规则是”向下读,向上写”
C. BLP 的自主安全策略中,系统通过比较主体与客体的访问类属性控制主体对客体的访问
D. BLP 的强制安全策略使用一个访问控制矩阵表示
解析:解析:BLP 模型是一种强制访问控制模型用以保障机密性,向上写,向下读,自主访问控制模型使用一个访问控制矩阵表示。
A. 双方的说法都错误,软件安全问题在任何时候投入解决都可以,只要是一样的问题,解决的代价相同
B. 信息中心的考虑是正确的, 在软件开发需求分析阶段开始考虑安全问题,总体经费投入比软件运行后的费用要低
C. 双方的说法都正确,需要根据具体情况分析是开发阶段投入解决问题还是在上线后再解决问题费用更低
D. 软件开发部门的说法是正确的,因为软件出现安全问题后更清楚问题所在, 安排人员进行代码修订更简单, 因此费用更低
解析:解析:软件安全开发阶段投入, 后期解决代价比前期解决代价大的多。
A. DSS
B. Diffie-Hellman
C. RSA
D. AES
解析:解析:DSS 是一种数字签名标准,严格来说不算加密算法;Diffie-Hellman 并不是加密算法,而是一种密钥建立的算法;AES 算法是一种对称密码算法,可以用于数据加密。
A. FAT16
B. NTFS
C. FAT32
D. EXT3