91.组织应开发和实施使用( )来保护信息的策略,基于风险评估,应确定需要的保护级别,并考虑需要的加密算法的类型、强度和质量。当选择实施组织的( )时,应考虑我国应用密码技术的规定和限制,以及( )跨越国界时的问题。组织应开发和实施在密钥生命周期中使用和保护密钥的方针。方针应包括密钥在其全部生命周期中的管理要求,包括密钥的生成、存储、归档、检索、分配、卸任和销毁。宜根据最好的实际效果选择加密算法、密钥长度和使用习惯。适合的( )要求密钥在生成、存储、归档、检索、分配、卸任和销毁过程中的安全。宜保护所有的密钥免遭修改和丢失。另外,秘密和私有密钥需要防范非授权的泄露。用来生成、存储和归档密钥的设备应进行( )。

A. 　对于重要的服务,应在测试环境中安装并确认补丁兼容性问题后再在正式生产环境中部署

B. 　对于服务器等重要设备,立即使用系统更新功能安装这批补丁,用户终端计算机由于没有重要数据,由终端自行升级

C. 　本次发布的漏洞目前尚未出现利用工具,因此不会对系统产生实质性危害,所以可以先不做处理

D. 　由于本次发布的数个漏洞都属于高危漏洞,为了避免安全风险,应对单位所有的服务器和客户端尽快安装补丁

A. 　客观证据;安全保障工作;动态持续;信息系统;生命周期

B. 　安全保障工作;客观证据;信息系统;生命周期;动态持续

C. 　客观证据;安全保障工作;信息系统;生命周期;动态持续

D. 　客观证据;安全保障工作;生命周期;信息系统;动态持续

A. 　口令攻击

B. 　暴力破解

C. 　拒绝服务攻击

D. 　社会工程学攻击

A. 　软件安全的三根支柱是风险管理、软件安全触点和安全知识

B. 　BSI含义是指将安全内建到软件开发过程中,而不是可有可无,更不是游离于软件开发生命周期之外

C. 　BSI系列模型强调安全测试的重要性,要求安全测试贯穿整个开发过程及软件生命周期

D. 　软件安全触点是软件开发生命周期中一套轻量级最优工程化方法,它提供了从不同角度保障安全的行为方式

A. 　评估结果文档包括描述资产识别和赋值的结果,形成重要资产列表

B. 　描述评估结果中不可接受的风险制定风险处理计划,选择适当的控制目标及安全措施,明确责任、进度、资源,并通过对残余风险的评价以确定所选择安全措施的有效性的《风险评估程序》

C. 　在文档分发过程中作废文档可以不用添加标识进行保留

D. 　对于风险评估过程中形成的相关文档行,还应规定其标识、储存、保护、检索、保存期限以及处置所需的控制

A. 　R 表示安全风险计算函数,A 表示资产,T 表示威胁,V 表示脆弱性

B. 　L 表示威胁利资产脆弱性导致安全事件的可能性

C. 　F 表示安全事件发生后造成的损失

D. 　Ia,Va 分别表示安全事件作用全部资产的价值与其对应资产的严重程度

A. 　由于有限的测试时间窗,仅仅测试了最必须的系统,其他系统在今年的剩余时间里陆续单独测试

B. 　在测试的过程中,有些备份系统有缺陷或者不能正常工作,从而导致这些系统的测试失败

C. 　在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间

D. 　每年都是由相同的员工执行此测试,由于所有的参与者都很熟悉每一个恢复步骤,因而没有使用灾难恢复计划(DRP)文档

A. 　所谓静态口令方案,是指用户登录验证身份的过程中,每次输入的口令都是固定、静止不变的

B. 　使用静态口令方案时,即使对口令进行简单加密或哈希后进行传输,攻击者依然可能通过重放攻击来欺骗信息系统的身份认证模块

C. 　动态口令方案中通常需要使用密码算法产生较长的口令序列,攻击者如果连续地收集到足够多的历史口令,则有可能预测出下次要使用的口令

D. 　通常,动态口令实现方式分为口令序列、时间同步以及挑战/应答等几种类型

A. 　粒度越小

B. 　约束越细致

C. 　范围越大

D. 　约束范围大

A. 　IPSec

B. 　PP2P

C. 　L2TP

D. 　SSL