A、 威胁建模、源代码审核和模糊测试
B、 应用风险管理、软件安全接触点和安全知识
C、 威胁建模、渗透测试和软件安全接触点
D、 源代码审核、风险分析和渗透测试
答案:B
解析:解析:BSI 认为软件安全有 3 根支柱:风险管理、软件安全接触点和安全知识, 其强调了在软件的整个生命周期中风险管理的重要性,并要求风险管理框架贯穿整个开发过程。P403页。
A、 威胁建模、源代码审核和模糊测试
B、 应用风险管理、软件安全接触点和安全知识
C、 威胁建模、渗透测试和软件安全接触点
D、 源代码审核、风险分析和渗透测试
答案:B
解析:解析:BSI 认为软件安全有 3 根支柱:风险管理、软件安全接触点和安全知识, 其强调了在软件的整个生命周期中风险管理的重要性,并要求风险管理框架贯穿整个开发过程。P403页。
A. 访问控制表(ACL)
B. 访问控制矩阵
C. 能力表(CL)
D. 前缀表(Profiles)
解析:解析:定义主体访问客体的权限叫作 CL。定义客体被主体访问的权限叫 ACL。
A. 监控和反馈 ISMS
B. 批准和监督 ISMS
C. 监视和评审 ISMS
D. 沟通和咨询 ISMS
A. 误报检测
B. 接收陷阱消息
C. 误拒绝率
D. 拒绝服务攻击
解析:解析:P354
A. 仅提供数字签名
B. 仅提供保密性
C. 仅提供不可否认性
D. 保密性和消息完整性
解析:解析:密文 E(K2,M)保障保密性,消息验证码 MAC 为 C(K1,E(K2,M))保障完整性。
A. 应按照应急响应计划中事先制定的业务恢复优先顺序和恢复步骤,顺次恢复相关的系统
B. 在检测阶段, 首先要进行监测、报告及信息收集
C. 遏制措施可能会因为事件的类别和级别不同而完全不同。常见的遏制措施有: 完全关闭所有系统、拔掉网线等
D. 确定重要资产和风险,实施针对风险的防护措施是信息安全应急响应规划过程中最关键的步骤
解析:解析:关闭相关系统而不是关闭所有系统。P153 页。
A. PING 扫描技术和端口扫描技术
B. 端口扫描技术和漏洞扫描技术
C. 操作系统探测和漏洞扫描技术
D. PING 扫描技术和操作系统探测
解析:解析:概念题
A. 所有的变更都必须文字化,并被批准
B. 变更应通过自动化工具来实施
C. 应维护系统的备份
D. 通过测试和批准来确保质量
A. BLP 模型用于保证系统信息的机密性,规则是”向上读,向下写”
B. BLP 模型用于保证系统信息的机密性,规则是”向下读,向上写”
C. BLP 模型用于保证系统信息的完整性,规则是”向上读,向下写”
D. BLP 模型用于保证系统信息的完整性,规则是”向下读,向上写”
解析:解析:BLP 模型保证机密性,向下读,向上写;Biba 保障完整性,向上读向下写。
A. 数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息
B. 数字签名能够解决数据的加密传输,即安全传输问题
C. 数字签名一般采用对称加密机制
D. 数字签名能够解决篡改、伪造等安全性问题
解析:解析:数字签名的作用就是”解决篡改、伪造等安全性问题”,A 项毫无关系是错误的,B 项数字签名的作用不是用来加密传输的,C 项数字签名一般采用非对称加密机制。
A. 要充分企切合信息安全需求并且实际可行
B. 要充分考虑成本效益, 在满足合规性要求和风险处置要求的前提下, 尽量控制成本
C. 要充分采取新技术,在使用过程中不断完善成熟,精益求精,实现技术投入保障要求
D. 要充分考虑用户管理和文化的可接受性,减少系统方案实验障碍
解析:解析:安全保障方案,一般谨慎选择新技术, 大部分情况选择一些经过检验的成熟的安全技术。