A、 使用和与用户名相同的口令
B、 选择可以在任何字典或语言中找到的口令
C、 选择任何和个人信息有关的口令
D、 采取数字,字母和特殊符号混合并且易于记忆
答案:D
解析:解析:常识问题
A、 使用和与用户名相同的口令
B、 选择可以在任何字典或语言中找到的口令
C、 选择任何和个人信息有关的口令
D、 采取数字,字母和特殊符号混合并且易于记忆
答案:D
解析:解析:常识问题
A. ACL 只能由管理员进行管理
B. ACL 是对象安全描述的基本组成部分,它包括有权访问对象的用户和级的 SID
C. 访问令牌存储着用户的 SID,组信息和分配给用户的权限
D. 通过授权管理器,可以实现基于角色的访问控制
A. 资产
B. 安全事件
C. 脆弱性
D. 安全措施
解析:解析:风险的原理是威胁利用脆弱性,造成对资产的风险。
A. 对用户知识要求高,配置、操作和管理使用过于简单,容易遭到攻击
B. 高虚频率,入侵检测系统会产生大量的警告信息和可疑的入侵行为记录,用户处理负担很重
C. 入侵检测系统在应对自身攻击时,对其他数据的检测可能会被控制或者受到影响
D. 警告消息记录如果不完整,可能无法与入侵行为关联
解析:解析:“配置、操作和管理使用过于简单,容易遭到攻击”错误。
A. ARP欺骗是指攻击者直接向受害者主机发送错误的 ARP 应答报文,使得受害者主机将错误的硬件地址映射关系存入到 ARP 缓存中, 从而起到冒充主机的目的
B. 解决 ARP欺骗的一个有效方法是采用“静态”的 ARP 缓存, 如果发生硬件地址的更改,则需要人工更新缓存
C. 单纯利用 ARP 欺骗攻击时,ARP 欺骗通常影响的是内部子网,不能跨越路由实施攻击
D. 彻底解决 ARP 欺骗的方法是避免使用ARP 协议和 ARP 缓存,直接采用IP 地址和其他主机进行连接
解析:解析:如果不使用 ARP 协议可能会造成网络无法正常运行,因此不能避免使用该协议。
A. .风险; 风险; 信息系统:风险管理
B. 风险; 风险; 风险管理; 信息系统
C. 风险管理; 信息系统; 风险;风险
D. 风险管理; 风险; 风险 ;信息系统
解析:解析:P84 页
A. 告诉用户需要收集什么数据及搜集到的数据会如何被使用
B. 当用户的数据由于某种原因要被使用时,给客户选择是否允许
C. 用户提交的用户名和密码属于隐私数据,其他都不是
D. 确保数据的使用符合国家、地方、行业的相关法律法规
解析:解析:客户的私人信息都是隐私数据而不仅仅是用户名和密码。
A. 经过数十年的发展,互联网上已经接入了数亿台各种电子设备
B. 刚刚经过风险评估并针对风险采取处理措施后仅一周,新的系统漏洞使得信息系统面临新的风险
C. 某公司的信息系统面临了来自美国的”匿名者”黑客组织的攻击
D. 某公司尽管部署了防火墙、防病毒等安全产品, 但服务器中数据仍然产生了泄露
解析:解析:B 体现出了动态性
A. 达到 SSE-CMM 最高级以后,工程队伍执行同一个过程,每次执行的结果质量必须相同
B. SSE-CMM强调系统安全工程与其他工程学科的区别性和独立性
C. 系统安全工程能力成熟度模型(SSE-CMM)定义了 3 个风险过程:评价威胁,评价脆弱性,评价影响
D. 系统安全工程能力成熟度模型(SSE-CMM)定义了6 个能力级别,当工程队伍不能执行一个过程域中的基本实践时,该过程域的过程能力是 0 级
解析:解析:A 错误,每次质量结果难以相同;B 错误,SSE-CMM 强调的是关联性而非独立性。C 错误, SSE-CMM 定义了一个风险过程, 包括四个部分,评估影响、评估威胁、评估脆弱性、评估安全风险。D 定义了6 个能力级别,分别是不可重复级、初始级、可重复级、已定义级、已管理级、优先级;
A. 网络中单独部署 syslog 服务器,将 Web 服务器的日志自动发送并存储到该 syslog 日志服务器中
B. 严格设置 Web 日志权限,只有系统权限才能进行读和写等操作
C. 对日志属性进行调整,加大日志文件大小、延长覆盖时间、设置记录更多信息等
D. 使用独立的分区用于存储日志,并且保留足够大的日志空间
A. 软件测试计划开始于软件设计阶段,完成于软件开发阶段
B. 验收测试是由承建方和用户按照用户使用手册执行软件验收
C. 软件测试的目的是为了验证软件功能是否正确
D. 监理工程师应按照有关标准审查提交的测试计划,并提出审查意见
解析:解析:软件测试开始与软件设计阶段,在软件开发完成以后还有回归测试,验收测试;验收测试一般按照软件开发预期(软件开发需求或者合同)来进行;软件测试的目的是检验它是否满足规定的需求或是弄清预期结果与实际结果之间的差异。P416 页
