A、 信息安全:信息安全政策:教育和培训;纪律处理过程:分级的响应
B、 信息安全政策:信息安全:教育和培训:纪律处理过程:分级的响应
C、 信息安全政策:教育和培训:信息安全;纪律处理过程:分级的响应
D、 信息安全政策:纪律处理过程信息安全;教育和培训:分级的响应
答案:B
解析:解析:P107 页
A、 信息安全:信息安全政策:教育和培训;纪律处理过程:分级的响应
B、 信息安全政策:信息安全:教育和培训:纪律处理过程:分级的响应
C、 信息安全政策:教育和培训:信息安全;纪律处理过程:分级的响应
D、 信息安全政策:纪律处理过程信息安全;教育和培训:分级的响应
答案:B
解析:解析:P107 页
A. 科克霍夫原则指出算法的安全性不应基于算法的保密,而应基于密钥的安全性
B. 保密通信过程,通信使用之前用过的会话密钥建立会话,不影响通信安全
C. 密钥管理需要考虑密钥产生、存储、备份、分配、更新、撤销等生命周期过程的每一个环节
D. 在网络通信中,通信双方可利用Diffie-Hellman 协议协商出会话密钥
解析:解析:会话密钥不应重复使用,如果使用用过的会影响通信安全。
A. 信息安全外部环境:信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。
B. 信息安全管理和工程:信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中,我们需要采用信息系统工程的方法来建设信息系统。
C. 信息安全人才体系:在组织机构中应建立完善的安全意识,培训体系也是信息安全保障的重要组成部分。
D. 信息安全技术方案:”从外而内、自下而上、形成边界到端的防护能力”。
解析:解析:正确描述是从内而外,自上而下,从端到边界的防护能力。
A. BLP 模型用于保证系统信息的完整性
B. BLP 模型的规则是”向下读,向上写”
C. BLP 的自主安全策略中,系统通过比较主体与客体的访问类属性控制主体对客体的访问
D. BLP 的强制安全策略使用一个访问控制矩阵表示
解析:解析:BLP 模型是一种强制访问控制模型用以保障机密性,向上写,向下读,自主访问控制模型使用一个访问控制矩阵表示。
A. 系统工程偏重于对工程的组织与经营管理进行研究
B. 系统工程不属于技术实现,而是一种方法论
C. 系统工程不是一种对所有系统都具有普遍意义的科学方法
D. 系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法
解析:解析:系统工程是一种对所有系统都具有普遍意义的科学方法。
A. 达到 SSE-CMM 最高级以后,工程队伍执行同一个过程,每次执行的结果质量必须相同
B. SSE-CMM强调系统安全工程与其他工程学科的区别性和独立性
C. 系统安全工程能力成熟度模型(SSE-CMM)定义了 3 个风险过程:评价威胁,评价脆弱性,评价影响
D. 系统安全工程能力成熟度模型(SSE-CMM)定义了6 个能力级别,当工程队伍不能执行一个过程域中的基本实践时,该过程域的过程能力是 0 级
解析:解析:A 错误,每次质量结果难以相同;B 错误,SSE-CMM 强调的是关联性而非独立性。C 错误, SSE-CMM 定义了一个风险过程, 包括四个部分,评估影响、评估威胁、评估脆弱性、评估安全风险。D 定义了6 个能力级别,分别是不可重复级、初始级、可重复级、已定义级、已管理级、优先级;
A. 公安部; 等级保护试点;等级保护工作;等级保护测评;详细规定.
B. 公安部; 等级保护工作;等级保护试点;等级保护测评;详细规定
C. 公安部; 等级保护工作;等级保护测评;等级保护试点;详细规定
D. 公安部; 等级保护工作;等级保护试点;详细规定;等级保护测评
A. 模糊测试
B. 源代码测试
C. 渗透测试
D. 软件功能测试
解析:解析:渗透测试是通过攻击者的角度进行安全测试,对系统进行安全评估的一种测试方法。
A. SSH
B. HTTP
C. FTP
D. SMTP
解析:解析:SSH 具备数据加密保护的功能。
A. 高级管理层——最终责任
B. 信息安全部门主管——提供各种信息安全工作必须的资源
C. 系统的普通使用者——遵守日常操作规范
D. 审计人员——检查安全策略是否被遵从
解析:解析:通常由管理层提供各种信息安全工作必须的资源。
A. 项目有明确的开始日期,结束日期由项目的领导者根据项目进度来随机确定
B. 项目目标要遵守 SMART 原则,即项目的目标要求具体(Specific)、可测量(Measurable)、需相关方的一致同意(Agree to)、现实 (Realistic)、有一定的时限 (Time-oriented)
C. 项目资源指完成项目所需要的人、财、物等
D. 项目是为达到特定的目的、使用一定资源、在确定的期间内、为特定发起人而提供独特的产品、服务或成果而进行的一次性努力
解析:解析:结束日期并非由领导者随机确定,项目上习惯把验收报告日期视为结束日期,另有约定的以约定为准。