8.某集团公司根据业务需要,在各地分支机构部署前置机,为了保证安全,集团总部要求前置机开放日志共享,由总部服务器采集进行集中分析,在运行过程中发现攻击者也可通过共享从前置机中提取日志,从而导致部分敏感信息泄露,根据降低攻击面的原则,应采取以下哪项处理措施()

A. 　使用和与用户名相同的口令

B. 　选择可以在任何字典或语言中找到的口令

C. 　选择任何和个人信息有关的口令

D. 　采取数字,字母和特殊符号混合并且易于记忆

A. 　定量风险分析试图从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,以度量风险的可能性和缺失量

B. 　定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应选择定性风险分析

C. 　定性风险分析过程中,往往需要凭借分析者的经验和直接进行,所以分析结果和风险评估团队的素质、经验和知识技能密切相关

D. 　定性风险分析更具主观性,而定量风险分析更具客观性

A. 　由于在实际渗透测试过程中存在不可预知的风险,所以测试前要提醒用户进行系统和数据备份,以便出现问题时可以及时恢复系统和数据

B. 　为了深入发掘该系统存在的安全威胁,应该在系统正常业务运行高峰期进行渗透测试

C. 　渗透测试从“逆向”的角度出发,测试软件系统的安全性,其价值在于可以测试软件在实际系统中运行时的安全状况

D. 　渗透测试应当经过方案制定、信息收集、漏洞利用、完成渗透测试报告等步骤

A. 　信息安全事件,是指由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件

B. 　对信息安全事件进行有效管理和响应,最小化事件所造成的损失和负面影响,是组织信息安全战略的一部分

C. 　应急响应是信息安全事件管理的重要内容

D. 　通过部署信息安全策略并配合部署防护措施,能够对信息及信息系统提供保护,杜绝信息安全事件的发生

A. 　HTTP 协议主要存在明文传输数据、弱验证和缺乏状态跟踪等方面的安全问题

B. 　Cookie 是为了辨别用户身份,进行会话跟踪而存储在用户本地终端上的数据,用户可以随意查看存储在Cookie 中的数据,但其中的内容不能被修改

C. 　HTTP 协议缺乏有效的安全机制,易导致拒绝服务、电子欺骗、嗅探等攻击

D. 　针对 HTTP 协议存在的安全问题,使用 HTTPS 具有较高的安全性,可以通过证书来验证服务器的身份,并为浏览器和服务器之间的通信加密

A. 　ISMS;PDCA 过程;行动和过程;信息安全结果

B. 　PDCA;ISMS 过程;行动和过程;信息安全结果

C. 　ISMS;PDCA 过程;信息安全结果;行动和过程

D. 　PDCA;ISMS 过程;信息安全结果;行动和过程

A. 　主体是动作的实施者,比如人、进程或设备等均是主体,这些对象不能被当作客体使用

B. 　一个主体为了完成任务,可以创建另外的主体,这些主体可以独立运行

C. 　主体是访问的发起者,是一个主动的实体,可以操作被动实体的相关信息或数据

D. 　客体也是一种实体,是操作的对象,是被规定需要保护的资源

A. 　CNCI 是以风险为核心,三道防线首要的任务是降低其网络所面临的风险

B. 　从 CNCI 可以看出,威胁主要是来自外部的,而漏洞和隐患主要是存在于内部的

C. 　CNCI 的目的是尽快研发并部署新技术彻底改变其糟糕的网络安全现状,而不是在现在的网络基础上修修补补

D. 　CNCI 彻底改变了以往的美国信息安全战略,不再把关键基础设施视为信息安全保障重点,而是追求所有网络和系统的全面安全保障

A. 　有害程序事件特别重大事件( Ⅰ级)

B. 　信息破坏事件重大事件( Ⅱ级)

C. 　有害程序事件较大事件(Ⅲ级)

D. 　信息破坏事件一般事件(Ⅳ级)

A. 　假冒攻击可以采用身份认证机制来防范

B. 　为了防止传输的信息被篡改,收发双方可以使用单向 Hash 函数来验证数据的完整性

C. 　为了防止发送方否认曾经发送过的消息,收发双方可以使用消息验证码来防止抵赖

D. 　为了防止发送方否认曾经发送过的消息,收发双方可以使用消息验证码来防止抵赖