A、 基于SSE-CMM的工程是独立工程,与软件工程、硬件工程、通信工程等分别规划实施
B、 SSE-CMM可以使安全工程成为一个确定的、成熟的和可度量的科目
C、 SSE-CMM要求实施组织与其他组织相互作用,如开发方、产品供应商、集成商和咨询服务商等
D、 SSE-CMM覆盖整个组织的活动,包括管理、组织和工程活动等,而不仅仅是系统安全的工程活动
答案:A
解析:解析:SSE-CMM 的工程不是独立工程, 而是与其他工程并行且相互作用, 包括企业工程、软件工程、硬件工程、通信工程等。 P179。
A、 基于SSE-CMM的工程是独立工程,与软件工程、硬件工程、通信工程等分别规划实施
B、 SSE-CMM可以使安全工程成为一个确定的、成熟的和可度量的科目
C、 SSE-CMM要求实施组织与其他组织相互作用,如开发方、产品供应商、集成商和咨询服务商等
D、 SSE-CMM覆盖整个组织的活动,包括管理、组织和工程活动等,而不仅仅是系统安全的工程活动
答案:A
解析:解析:SSE-CMM 的工程不是独立工程, 而是与其他工程并行且相互作用, 包括企业工程、软件工程、硬件工程、通信工程等。 P179。
A. 概念上,信息安全管理体系有广义和狭义之分,狭义的信息安全管理体系是指按照 ISO27001 标准定义的管理体系,它是一个组织整体管理体系的组成部分
B. 信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系,包括组织架构、方针、活动、职责及相关实践要素
C. 同其他管理体系一样,信息安全管理体系也要建立信息安全管理组织机构、健全信息安全管理制度、构建信息安全技术防护体系和加强人员的安全意识等内容
D. 管理体系 (Management Systems) 是为达到组织目标的策略、程序、指南和相关资源的框架,信息安全管理体系是管理体系思想和方法在信息安全领域的应用
解析:解析:虽然信息安全管理体系建设回提出一些技术要求,但是并没有完整的要求构建技术防护体系。
A. 应用层
B. 传输层
C. 应用层
D. 网络层
A. 抗抵赖性
B. 保密性
C. 可用性
D. 不可否认性
解析:解析:DDOS (分布式拒绝服务攻击) 主要攻击目标所提供的服务,以破坏可用性为主要目的。P350 页。
A. 认证和授权
B. 加密和认证
C. 数字签名和认证
D. 访问控制和加密
解析:解析:P304 页
A. 某网站在访问量突然增加时对用户连接数量进行了限制,保证已登录的用户可以完成操作
B. 在提款过程中 ATM 终端发生故障,银行业务系统及时对该用户的账户余额进行了冲正操作
C. 某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作
D. 李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看。
解析:解析:冲正是为系统认为可能交易失败时采取的补救手法。即一笔交易在终端已经置为成功标志,但是发送到主机的账务交易包没有得到响应,即终端交易超时,所以不确定该笔交易是否在主机端也成功完成,为了确保用户的利益,终端重新向主机发送请求,请求取消该笔交易的流水,如果主机端已经交易成功,则回滚交易,否则不处理,然后将处理结果返回给终端。本题中 A 为可用性,B 为完整性,C 是抗抵赖,D 是保密性。冲正是完整性纠正措施,是 Clark-Wilson 模型的应用,解决数据变化过程的完整性。
A. 风险评估准备阶段
B. 风险要素识别阶段
C. 风险分析阶段
D. 风险结果判定阶段
解析:解析:《风险评估方案》属于风险评估准备阶段的结果。
A. 基于SSE-CMM的工程是独立工程,与软件工程、硬件工程、通信工程等分别规划实施
B. SSE-CMM可以使安全工程成为一个确定的、成熟的和可度量的科目
C. SSE-CMM要求实施组织与其他组织相互作用,如开发方、产品供应商、集成商和咨询服务商等
D. SSE-CMM覆盖整个组织的活动,包括管理、组织和工程活动等,而不仅仅是系统安全的工程活动
解析:解析:SSE-CMM 的工程不是独立工程, 而是与其他工程并行且相互作用, 包括企业工程、软件工程、硬件工程、通信工程等。 P179。
A. 信息安全管理体系应体现科学性和全面性的特点,因为要对信息安全管理涉及的方方面面实施较为均衡的管理,避免遗漏某些方面而导致组织的整体信息安全水平过低
B. 信息安全管理体系的建立应参照国际国内有关标准实施,因为这些标准是标准化组织在总结研究了很多实际的或潜在的问题后,制定的能共同的和重复使用的规则
C. 信息安全管理体系的建立应基于一次风险评估彻底解决所有安全问题的思想,因为这是国家有关信息安全的法律和法规方面的要求,这体现以预防控制为主的思想
D. 信息安全管理体系应强调全过程和动态控制的思想,因为安全问题是动态的,系统所处的安全环境也不会一成不变,不可能建设永远安全的系统
解析:解析:”一次风险评估彻底解决所有安全问题”错误
A. ”制定 ISMS 方针”是建产 ISMS 阶段工作内容
B. ”实施培训和意识教育计划”是实施和运行 ISMS 阶段工作内容
C. ”进行有效性测量”是监视和评审 ISMS 阶段工作内容
D. ”实施内部审核”是保护和改进 ISMS 阶段工作内容
解析:解析:“实施内部审核”是监视和评审阶段的工作内容。P98 页
A. BLP 模型用于保证系统信息的机密性,规则是”向上读,向下写”
B. BLP 模型用于保证系统信息的机密性,规则是”向下读,向上写”
C. BLP 模型用于保证系统信息的完整性,规则是”向上读,向下写”
D. BLP 模型用于保证系统信息的完整性,规则是”向下读,向上写”
解析:解析:BLP 模型保证机密性,向下读,向上写;Biba 保障完整性,向上读向下写。