22.北京某公司利用 SSE-CMM 对其自身工程队伍能力进行自我改善,其理解正确的是( ) 。

A. 　加强信息安全标准化建设,成立了”全国信息安全标准化技术委员会”制订和发布了大批信息安全技术,管理等方面的标准。

B. 　重视信息安全应急处理工作,确定由国家密码管理局牵头成立”国家网络应急中心”推动了应急处理和信息通报技术合作工作进展

C. 　推进信息安全等级保护工作,研究制定了多个有关信息安全等级保护的规范和标准,重点保障了关系国定安全,经济命脉和社会稳定等方面重要信息系统的安全性

D. 　实施了信息安全风险评估工作,探索了风险评估工作的基本规律和方法,检验并修改完善了有关标准,培养和锻炼了人才队伍

A. 　用户名

B. 　用户口令明文

C. 　用户主目录

D. 　用户登录后使用的 SHELL

A. 　源代码审核过程遵循信息安全保障技术框架模型(IATF),在执行时应一步一步严格执行

B. 　源代码审核有利于发现软件编码中存在的安全问题,相关的审核工具既有商业开源工具

C. 　源代码审核如果想要有效率高,则主要依赖人工审核而不是工具审核,因为人工智能的,需要人的脑袋来判断

D. 　源代码审核能起到很好的安全保证作用,如果执行了源代码审核,则不需要安全测试

A. 　将用户的生日倒转或是重排

B. 　将用户的年薪倒转或是重排

C. 　将用户配偶的名字倒转或是重排

D. 　用户随机给出的字母

A. 　要充分切合信息安全需求并且实际可行

B. 　要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本

C. 　要充分采取新技术,在使用过程中不断完善成熟,精益求精,实现技术投入保值要求

D. 　要充分考虑用户管理和文化的可接受性,减少系统方案实施障碍

A. 　动态分析是指在虚拟运行环境中,使用测试及监控软件,检测恶意代码行为,分析其执行流程及处理数据的状态,从而判断恶意代码的性质,并掌握其行为特点

B. 　动态分析针对性强,并且具有较高的准确性,但由于其分析过程中覆盖的执行路径有限,分析的完整性难以保证

C. 　动态分析通过对其二进制文件的分析,获得恶意代码的基本结构和特征,了解其工作方式和机制

D. 　动态分析通过监控系统进程、文件和注册表等方面出现的非正常操作和变化,可以对恶意代码非法行为进行分析

A. 　BLP 模型用于保证系统信息的完整性

B. 　BLP 模型的规则是”向下读,向上写”

C. 　BLP 的自主安全策略中,系统通过比较主体与客体的访问类属性控制主体对客体的访问

D. 　BLP 的强制安全策略使用一个访问控制矩阵表示

A. 　双方的说法都错误,软件安全问题在任何时候投入解决都可以,只要是一样的问题,解决的代价相同

B. 　信息中心的考虑是正确的, 在软件开发需求分析阶段开始考虑安全问题,总体经费投入比软件运行后的费用要低

C. 　双方的说法都正确,需要根据具体情况分析是开发阶段投入解决问题还是在上线后再解决问题费用更低

D. 　软件开发部门的说法是正确的,因为软件出现安全问题后更清楚问题所在, 安排人员进行代码修订更简单, 因此费用更低

A. 　DSS

B. 　Diffie-Hellman

C. 　RSA

D. 　AES

A. 　FAT16

B. 　NTFS

C. 　FAT32

D. 　EXT3