A、 机房与设施安全,保证应用系统处于有一个安全的环境条件,包括机房环境、机房安全等级、机房的建造和机房的装修等
B、 身份鉴别,应用系统应对登录的用户进行身份鉴别,只有通过验证的用户才能访问应用系统资源
C、 安全标记,在应用系统层面对主体和客体进行标记,主体不能随意更改权限,增加访问控制的力度,限制非法访问
D、 剩余信息保护,应用系统应加强硬盘、内存或缓冲区中剩余信息的保护,防止存储在硬盘、内存或缓冲区中的信息被非授权的访问
答案:A
解析:解析:机房与设施安全属于物理环境安全范畴,不属于应用安全范畴。
A、 机房与设施安全,保证应用系统处于有一个安全的环境条件,包括机房环境、机房安全等级、机房的建造和机房的装修等
B、 身份鉴别,应用系统应对登录的用户进行身份鉴别,只有通过验证的用户才能访问应用系统资源
C、 安全标记,在应用系统层面对主体和客体进行标记,主体不能随意更改权限,增加访问控制的力度,限制非法访问
D、 剩余信息保护,应用系统应加强硬盘、内存或缓冲区中剩余信息的保护,防止存储在硬盘、内存或缓冲区中的信息被非授权的访问
答案:A
解析:解析:机房与设施安全属于物理环境安全范畴,不属于应用安全范畴。
A. 设计了用户权限分级机制和最小特权原则,导致软件在发布运行后,系统管理员不能查看系统审计信息
B. 设计了缓存用户隐私数据机制以加快系统处理性能,导致软件在发布运行后,被黑客攻击获取到用户隐私数据
C. 设计了采用不加盐(SALT)的 SHA-1 算法对用户口令进行加密存储,导致软件在发布运行后,不同的用户如使用了相同的口令会得到相同的加密结果,从而可以假冒其他用户登录
D. 设计了采用自行设计的加密算法对网络传输数据进行保护,导致软件在发布运行后,被攻击对手截获网络数据并破解后得到明文
解析:解析:首先是软件设计缺陷,其次对应的设计有缺陷导致某一后果。用户权限分级机制和最小特权原则导致系统管理员不能查看系统审计信息,这个在安全、保密等领域是专门这样设计的;BCD 都是由软件缺陷引起的。
A. 既能物理隔离,又能逻辑隔离
B. 能物理隔离,但不能逻辑隔离
C. 不能物理隔离,但是能逻辑隔离
D. 不能物理隔离,也不能逻辑隔离
A. 信息安全方针、信息安全组织、资产管理
B. 人力资源安全、物理和环境安全、通信和操作管理
C. 访问控制、信息系统获取、开发和维护、符合性
D. 规划与建立 ISMS
解析:解析:P103-128 页。
A. 网络安全;心理学;攻击方式;永恒存在的;攻击方式
B. 网络安全;攻击方式; 心理学;永恒存在的;攻击方式
C. 网络安全;心理学;永恒存在的; 攻击方式
D. 网络安全;攻击方式; 心理学;攻击方式; 永恒存在的
A. 文件映像处理
B. 电子链接
C. 硬盘镜像
D. 热备中心配置
A. 入侵检测系统的主要作用是发现并报告系统中未授权或违反安全策略的行为
B. 安全隔离与信息交换系统也称为网闸,需要信息交换时, 同一时间可以和两个不同安全级别的网络连接
C. 虚拟专用网是在公共网络中,利用隧道技术, 建立一个永久、安全的通信网络
D. 防火墙既能实现内外网物理隔离,又能实现内外网逻辑隔离
解析:解析:B 在需要信息交换时,安全隔离与信息交换系统内部隔离安全交换单元模拟形成开关,同一时间只和一个网络进行连接,不会同时连接两个网络;C 虚拟专用网是在公共网络中,利用隧道技术, 建立一个临时的、安全的网络;D 防火墙不能实现内外网物理隔离。
A. 《风险评估方案》
B. 《风险评估程序》
C. 《资产识别清单》
D. 《风险评估报告》
解析:解析:P260 页
A. 该文件是一个由部委发布的政策性文件,不属于法律文件
B. 该文件适用于 2004 年的等级保护工作,其内容不能约束到 2005 年及之后的工作
C. 该文件是一个总体性指导文件,规定所有信息系统都要纳入等级保护定级范围
D. 该文件适用范围为发文的这四个部门,不适用于其他部门和企业等单位
A. 误报检测
B. 接收陷阱消息
C. 误拒绝率
D. 拒绝服务攻击
解析:解析:P354
A. 监理咨询支撑要素
B. 控制和管理手段
C. 监理咨询阶段过程
D. 监理组织安全实施
解析:解析:监理模型组成包括监理咨询支撑要素、监理咨询阶段过程、控制和管理手段。