A、 加密控制措施; 加密信息 ; 密码策略; 密钥管理; 物理保护
B、 加密控制措施; 密码策略 ; 密钥管理; 加密信息; 物理保护
C、 加密控制措施; 密码策略 ; 加密信息; 密钥管理:物理保护
D、 加密控制措施; 物理保护 ; 密码策略; 加密信息; 密钥管理
答案:C
解析:解析:P112 页
A、 加密控制措施; 加密信息 ; 密码策略; 密钥管理; 物理保护
B、 加密控制措施; 密码策略 ; 密钥管理; 加密信息; 物理保护
C、 加密控制措施; 密码策略 ; 加密信息; 密钥管理:物理保护
D、 加密控制措施; 物理保护 ; 密码策略; 加密信息; 密钥管理
答案:C
解析:解析:P112 页
A. 对于重要的服务,应在测试环境中安装并确认补丁兼容性问题后再在正式生产环境中部署
B. 对于服务器等重要设备,立即使用系统更新功能安装这批补丁,用户终端计算机由于没有重要数据,由终端自行升级
C. 本次发布的漏洞目前尚未出现利用工具,因此不会对系统产生实质性危害,所以可以先不做处理
D. 由于本次发布的数个漏洞都属于高危漏洞,为了避免安全风险,应对单位所有的服务器和客户端尽快安装补丁
解析:解析:对于重要的服务,在测试环境中安装并确定补丁的兼容性问题后再在正式生产环境中部署,这样可以有效的避免应补丁升级后可能会对系统服务造成不必要的影响。
A. 客观证据;安全保障工作;动态持续;信息系统;生命周期
B. 安全保障工作;客观证据;信息系统;生命周期;动态持续
C. 客观证据;安全保障工作;信息系统;生命周期;动态持续
D. 客观证据;安全保障工作;生命周期;信息系统;动态持续
解析:解析:P33 页。
A. 口令攻击
B. 暴力破解
C. 拒绝服务攻击
D. 社会工程学攻击
解析:解析:D 属于社会工程学攻击。
A. 软件安全的三根支柱是风险管理、软件安全触点和安全知识
B. BSI含义是指将安全内建到软件开发过程中,而不是可有可无,更不是游离于软件开发生命周期之外
C. BSI系列模型强调安全测试的重要性,要求安全测试贯穿整个开发过程及软件生命周期
D. 软件安全触点是软件开发生命周期中一套轻量级最优工程化方法,它提供了从不同角度保障安全的行为方式
解析:解析:BSI 认为软件安全有 3 根支柱:风险管理、软件安全接触点和安全知识, 其强调了在软件的整个生命周期中风险管理的重要性,并要求风险管理框架贯穿整个开发过程。P403页。
A. 评估结果文档包括描述资产识别和赋值的结果,形成重要资产列表
B. 描述评估结果中不可接受的风险制定风险处理计划,选择适当的控制目标及安全措施,明确责任、进度、资源,并通过对残余风险的评价以确定所选择安全措施的有效性的《风险评估程序》
C. 在文档分发过程中作废文档可以不用添加标识进行保留
D. 对于风险评估过程中形成的相关文档行,还应规定其标识、储存、保护、检索、保存期限以及处置所需的控制
解析:解析:P260 页
A. R 表示安全风险计算函数,A 表示资产,T 表示威胁,V 表示脆弱性
B. L 表示威胁利资产脆弱性导致安全事件的可能性
C. F 表示安全事件发生后造成的损失
D. Ia,Va 分别表示安全事件作用全部资产的价值与其对应资产的严重程度
解析:解析:Ia 资产 A 的价值;Va 资产 A 的脆弱性。
A. 由于有限的测试时间窗,仅仅测试了最必须的系统,其他系统在今年的剩余时间里陆续单独测试
B. 在测试的过程中,有些备份系统有缺陷或者不能正常工作,从而导致这些系统的测试失败
C. 在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间
D. 每年都是由相同的员工执行此测试,由于所有的参与者都很熟悉每一个恢复步骤,因而没有使用灾难恢复计划(DRP)文档
解析:解析:“备份系统有缺陷或者不能正常工作, 从而导致这些系统的测试失败”
A. 所谓静态口令方案,是指用户登录验证身份的过程中,每次输入的口令都是固定、静止不变的
B. 使用静态口令方案时,即使对口令进行简单加密或哈希后进行传输,攻击者依然可能通过重放攻击来欺骗信息系统的身份认证模块
C. 动态口令方案中通常需要使用密码算法产生较长的口令序列,攻击者如果连续地收集到足够多的历史口令,则有可能预测出下次要使用的口令
D. 通常,动态口令实现方式分为口令序列、时间同步以及挑战/应答等几种类型
解析:解析:动态口令方案要求其口令不能被收集和预测。
A. 粒度越小
B. 约束越细致
C. 范围越大
D. 约束范围大
解析:解析:数据粒度越细则授权策略越灵活便利。
A. IPSec
B. PP2P
C. L2TP
D. SSL
解析:解析:IPSec 工作在网络层,PP2P 和 L2TP 工作在数据链路层,SSL 工作在传输层。P338 页。