A、 .风险; 风险; 信息系统:风险管理
B、 风险; 风险; 风险管理; 信息系统
C、 风险管理; 信息系统; 风险;风险
D、 风险管理; 风险; 风险 ;信息系统
答案:A
解析:解析:P84 页
A、 .风险; 风险; 信息系统:风险管理
B、 风险; 风险; 风险管理; 信息系统
C、 风险管理; 信息系统; 风险;风险
D、 风险管理; 风险; 风险 ;信息系统
答案:A
解析:解析:P84 页
A. 采购防病毒网关并部署在企业互联网出口中,实现对所有浏览网页进行检测,阻止网页中的病毒进入内网
B. 组织对员工进行一次上网行为安全培训, 提高企业员工在互联网浏览时的安全意识
C. 采购并统一部署企业防病毒软件,信息化管理部门统一进行病毒库升级,确保每台计算机都具备有效的病毒检测和查杀能力
D. 制定制度禁止使用微软的 IE 浏览器上网,统一要求使用Chrome 浏览器
解析:解析:更换浏览器并不能防范病毒感染系统, 而且很多软件和应用与微软 IE 浏览器做了适配,强制更换 Chrome 浏览器不适合推广。
A. 当用户请求访问某资源时,如果其操作权限不在用户当前被激活角色的授权范围内,访问请求将被拒绝
B. 业务系统中的岗位、职位或者分工,可对应 RBAC 模型中的角色
C. 通过角色,可实现对信息资源访问的控制
D. RBAC 模型不能实现多级安全中的访问控制
解析:解析:RBAC 模型能实现多级安全中的访问控制。
A. 在工程实施时,GP应该作为基本实施(Base Practices ,BP)的一部分加以执行
B. GP适用于域维中部分过程区域(Process Areas,PA)的活动而非所有 PA的活动
C. 在评估时,GP用于判定工程组织执行某个PA的能力
D. GP是涉及过程的管理、测量和制度化方面的活动
解析:解析:通用实施(Generic Practices ,GP) ,又被称之为”公共特征”的逻辑域组成。通用实施可应用到每一个过程区,但第一个公共特征”执行基本实施”例外。
A. 最小化反馈信息
B. 安全处理系统异常
C. 安全使用临时文件
D. 避免缓冲区溢出
解析:解析:最小化反馈是指在程序内部处理时,尽量将少的信息反馈到运行界面,即避免给予不可靠用户过多信息, 防止不可靠用户据此猜测软件程序的运行处理机制。P413 页。
A. 黑客窃取的passwd 文件是假的
B. 用户的登录口令经过不可逆转的加密算法加密结果为”X”
C. 加密口令被转移到了另一个文件里
D. 这些账户都被禁用了
解析:解析:加密口令被转移到了/etc/shadow 文件里
A. 对用户知识要求高,配置、操作和管理使用过于简单,容易遭到攻击
B. 高虚频率,入侵检测系统会产生大量的警告信息和可疑的入侵行为记录,用户处理负担很重
C. 入侵检测系统在应对自身攻击时,对其他数据的检测可能会被控制或者受到影响
D. 警告消息记录如果不完整,可能无法与入侵行为关联
解析:解析:“配置、操作和管理使用过于简单,容易遭到攻击”错误。
A. 科克霍夫原则指出算法的安全性不应基于算法的保密,而应基于密钥的安全性
B. 保密通信过程,通信使用之前用过的会话密钥建立会话,不影响通信安全
C. 密钥管理需要考虑密钥产生、存储、备份、分配、更新、撤销等生命周期过程的每一个环节
D. 在网络通信中,通信双方可利用Diffie-Hellman 协议协商出会话密钥
解析:解析:会话密钥不应重复使用,如果使用用过的会影响通信安全。
A. 编制应急预案是国家网络安全法对所有单位的强制要求,因此必须建设
B. 应急预案是保障单位业务系统信息安全的重要措施
C. 应急预案是提高应对网络和信息系统突发事件能力,减少突发事件造成的损失和危害,保障信息系统运行平稳、安全、有序、高效的手段
D. 应急预案是明确关键业务系统信息安全应急响应指挥体系和工作机制的重要方式
解析:解析:编制应急响应预案并非对所有单位的强制要求。P150。
A. 我国是在国家质量监督检验疫总局管理下,由国家标准化管理委员会统一管理全国标准化工作,下设有专业技术委员会
B. 事关国家安全利益,信息安全因此不能和国际标准相同,而是要通过本国组织和专家制定标准,切实有效地保护国家利益和安全
C. 我国归口信息安全方面标准是”全国信息安全标准化技术委员会”,为加强有关工作,2016在其下设立”大数据安全特别工作组”
D. 信息安全标准化工作是解决信息安全问题的重要技术支撑,其主要作业突出体现在能够确保有关产品、设施的技术先进性、可靠性和一致性
解析:解析:信息安全的标准可以和国际标准相同,也可以不相同。包括同等采用方式和等效采用方式等。
A. 系统和网络的安全
B. 系统和动态的安全
C. 技术、管理、工程的安全
D. 系统的安全;动态的安全;无边界的安全;非传统的安全
解析:解析:P3