53.以下关于信息安全法治建设的意义,说法错误的是:
A. 信息安全法律环境是信息安全保障体系中的必要环节
B. 明确违反信息安全的行为,并对行为进行相应的处罚,以打击信息安全犯罪活动
C. 信息安全主要是技术问题,技术漏洞是信息犯罪的根源
D. 信息安全产业的逐渐形成,需要成熟的技术标准和完善的技术体系
解析:解析:信息安全问题是多方面存在的,不能认为主要为技术问题,同时技术漏洞不是犯罪的根源所在。
https://www.shititong.cn/cha-kan/shiti/0005fc54-67f9-c988-c0ba-f2840f59e00c.html
点击查看答案
56.在 ISO 的 OSI 安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务?
A. 加密
B. 数字签名
C. 访问控制
D. 路由控制
解析:解析:数字签名可以提供抗抵赖、鉴别和完整性。
https://www.shititong.cn/cha-kan/shiti/0005fc54-653c-bcc8-c0ba-f2840f59e006.html
点击查看答案
40.实体身份鉴别的方法多种多样,且随着技术的进步,鉴别方法的强度不断提高,常见的方法有指令鉴别、令牌鉴别、指纹鉴别等。如图,小王作为合法用户使用自己的账户进行支付、转账等操作。这说法属于下列选项中的()
A. 实体所知的鉴别方法
B. 实体所有的鉴别方法
C. 实体特征的鉴别方法
D. 实体所见的鉴别方法
https://www.shititong.cn/cha-kan/shiti/0005fc54-67f9-c5a0-c0ba-f2840f59e018.html
点击查看答案
57.以下哪一项不是常见威胁对应的消减措施:
A. 假冒攻击可以采用身份认证机制来防范
B. 为了防止传输的信息被篡改,收发双方可以使用单向 Hash 函数来验证数据的完整性
C. 为了防止发送方否认曾经发送过的消息,收发双方可以使用消息验证码来防止抵赖
D. 为了防止发送方否认曾经发送过的消息,收发双方可以使用消息验证码来防止抵赖
解析:解析:消息验证码不能防止抵赖,而是提供消息鉴别、完整性校验和抗重放攻击。
https://www.shititong.cn/cha-kan/shiti/0005fc54-675f-46d8-c0ba-f2840f59e019.html
点击查看答案
82.信息应按照其法律要求、价值、对泄露或篡改的()和关键性予以分类。信息资产的所有者应对其分类负责。分类的结果表明了( ),该价值取决于其对组织的敏感性和关键性如保密性、完整性和有效性。信息要进行标记并体现其分类,标记的规程需要涵盖物理和电子格式的 ( )。分类信息的标记和安全处理是信息共享的一个关键要求。 ( )和元数据标签是常见的形式。标记应易于辨认,规程应对标记附着的位置和方式给出指导,并考虑到信息被访问的方式和介质类型的处理方式。组织要建立与信息分类一致的资产处理、加工、存储和( )
A. 敏感性; 物理标签; 资产的价值; 信息资产; 交换规程
B. 敏感性; 信息资产; 资产的价值; 物理标签; 交换规程
C. 资产的价值; 敏感性 ; 信息资产; 物理标签; 交换规程
D. 敏感性; 资产的价值 ;信息资产物理标签; 交换规程
解析:解析:来源于 27002 标准的原文
https://www.shititong.cn/cha-kan/shiti/0005fc54-65f2-f920-c0ba-f2840f59e01a.html
点击查看答案
11.恢复时间目标( )和恢复点目标( ) 是业务连续性和灾难恢复工作中的两个重要指标,随着信息系统越来越重要和信息技术越来越先进,这两个指标的数值越来越小。小华准备为其工作的信息系统拟定RTO 和 RPO 指标, 则以下描述中,正确的是( )。
A. RTO不可以为0,RPO也不可以为0
B. RTO可以为0,RPO也可以为0
C. RTO可以为0,RPO不可以为0
D. RTO不可以为0,RPO可以为О
解析:解析:RPO 和 RTO 两个指标从不用的角度来反映灾难备份和恢复的能力,RTO 和 RPO 都为 0 是最完美的解决方案,因为在两个值都为 0 的情况下,意味着系统永不中断服务,而且完全没有数据丢失。 P156页。
https://www.shititong.cn/cha-kan/shiti/0005fc54-65f2-f150-c0ba-f2840f59e003.html
点击查看答案
75.下列关于测试方法的叙述中不正确的是()
A. 从某种角度上讲,白盒测试与墨盒测试都属于动态测试
B. 功能测试属于黑盒测试
C. 结构测试属于白盒测试
D. 对功能的测试通常是要考虑程序的内部结构的
解析:解析:白盒测试是在程序员十分了解程序的前提下,对程序的逻辑结构进行的测试。而黑盒测试则将程序视为一个黑盒子,仅仅是测试人员提供输入数据,观察输出数据,并不了解程序是如何运行的,结构测试属于白盒测试,关注的是如何选择合适的程序或子程序路径来执行有效的检查。功能测试则属于黑盒测试,对功能的测试通常通过提供输入数据,检查实际输出的结果,很少考虑程序的内部结构。
https://www.shititong.cn/cha-kan/shiti/0005fc54-66a2-05a0-c0ba-f2840f59e017.html
点击查看答案
30.某单位在一次信息安全风险管理活动中, 风险评估报告提出服务器 A 的 FTP 服务存在高风险漏洞。随后该单位在风险处理时选择了安装 FTP 服务漏洞补丁程序并加固 FTP服务安全措施, 请问该措施属于哪种风险处理方式( )
A. 风险转移
B. 风险接受
C. 风险规避
D. 风险降低
解析:解析:风险降低可采用预防性策略和反应性策略两种方案。P141 页。
https://www.shititong.cn/cha-kan/shiti/0005fc54-65f2-f150-c0ba-f2840f59e016.html
点击查看答案
23.由于频繁出现软件运行时被黑客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是() 。
A. 要求开发人员采用瀑布模型进行开发
B. 要求所有的开发人员参加软件安全意识培训
C. 要求增加软件安全测试环节,尽早发现软件安全问题
D. 要求规范软件编码,并制定公司的安全编码准则
解析:解析:瀑布模型是一种开发模型与安全防护无关,有些题目可能会把瀑布模型换成其他不设计安全的模型, 例如敏捷开发模型等。
https://www.shititong.cn/cha-kan/shiti/0005fc54-65f2-f150-c0ba-f2840f59e00f.html
点击查看答案
70.自 2004 年 1 月起,国内各有关部门在申报信息安全国家标准计划项目时,必须经由以下哪个组织提出工作意见,协调一致后由该组织申报。
A. 全国通信标准化技术委员会(TC485)
B. 全国信息安全标准化技术委员会(TC260)
C. 中国通信标准化协会(CCSA)
D. 网络与信息安全技术工作委员会
https://www.shititong.cn/cha-kan/shiti/0005fc54-67f9-cd70-c0ba-f2840f59e002.html
点击查看答案
