A、 只 有 ( 1 ) ( 2 )
B、 只 有 ( 2 ) ( 3 )
C、 只 有 ( 3 ) ( 4 )
D、 只有(4)
答案:C
解析:解析:支持最小特权原则和职责分离原则,只有基于角色的访问控制满足,所以排除 A 和 D,基于强制访问控制不满足,所以排除 B。
A、 只 有 ( 1 ) ( 2 )
B、 只 有 ( 2 ) ( 3 )
C、 只 有 ( 3 ) ( 4 )
D、 只有(4)
答案:C
解析:解析:支持最小特权原则和职责分离原则,只有基于角色的访问控制满足,所以排除 A 和 D,基于强制访问控制不满足,所以排除 B。
A. SSL 加密
B. 双因子认证
C. 加密会话 cookie
D. IP 地址校验
A. 分布式拒绝服务攻击(DDoS)
B. 病毒传染
C. 口令暴力破解
D. 缓冲区溢出攻击
解析:解析:账号锁定是为了解决暴力破解攻击的。
A. 攻击者在获得系统的上传权限后,将恶意部署到目标系统
B. 恶意代码自身就是软件的一部分,随软件部署传播
C. 内镶在软件中,当文件被执行时进入目标系统
D. 恶意代码通过网上激活
解析:解析:”恶意代码通过网上激活”错误,一些恶意代码一经下载就可以自动激活运行。
A. 渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞
B. 渗透测试是用软件代替人工的一种测试方法,因此测试效率更高
C. 渗透测试使用人工进行测试,不依赖软件,因此测试更准确
D. 渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多
解析:解析:a 是渗透测试的优点,渗透测试是模拟攻击的黑盒测试,有利于发现系统明显的问题。
A. Land 攻击
B. Smurf 攻击
C. Ping of Death 攻击
D. ICMP Flood
解析:解析:发送大量的 ICMP 回应请求为 ICMP Flood。
A. 1 2 3 4 5
B. 2 3 4
C. 1 2 3 4
D. 2 3
解析:解析:P416 页
A. 报文
B. 比特流
C. 帧
D. 包
解析:解析:P330 页
A. 安装最新的数据库软件安全补丁
B. 对存储的敏感数据进行安全加密
C. 不使用管理员权限直接连接数据库系统
D. 定期对数据库服务器进行重启以确保数据库运行良好
解析:解析:D 项属于运维但不属于防护策略。
A. 残余风险是采取了安全措施后,仍然可能存在的风险,一般来说,是在综合考虑了安全成本与效益后不去控制的风险
B. 残余风险应受到密切监理,它会随着时间的推移而发生变化,可能会在将来诱发新的安全事件
C. 实施风险处理时,应将残余风险清单告知信息系统所在组织的高管,使其了解残余风险的存在和可能造成的后果
D. 信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最小的残余风险值作为风险管理效果评估指标
解析:解析:”不去控制”错误,残余风险无法消除,但需要监视、控制。
A. PING 扫描技术和端口扫描技术
B. 端口扫描技术和漏洞扫描技术
C. 操作系统探测和漏洞扫描技术
D. PING 扫描技术和操作系统探测
解析:解析:概念题