A、 强制访问控制是指主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体
B、 安全属性是强制性的规定,它由安全管理员或操作系统根据限定的规则确定,不能随意篡改
C、 系统通过比较客体和主体的安全属性来决定主体是否可以访问客体
D、 它是一种对单个用户执行访问控制的过程控制措施
答案:D
解析:解析:”对单个用户执行访问控制的过程控制措施”,P308 页。
A、 强制访问控制是指主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体
B、 安全属性是强制性的规定,它由安全管理员或操作系统根据限定的规则确定,不能随意篡改
C、 系统通过比较客体和主体的安全属性来决定主体是否可以访问客体
D、 它是一种对单个用户执行访问控制的过程控制措施
答案:D
解析:解析:”对单个用户执行访问控制的过程控制措施”,P308 页。
A. 与生产中心不在同一城市
B. 与生产中心距离 100 公里以上
C. 与生产中心距离 200 公里以上
D. 与生产中心面临相同区域性风险的机率很小
解析:解析:答案为 D,建立异地备份中心的核心思想是减少相同区域性风险。
A. 文件映像处理
B. 电子链接
C. 硬盘镜像
D. 热备中心配置
A. 所谓静态口令方案,是指用户登录验证身份的过程中,每次输入的口令都是固定、静止不变的
B. 使用静态口令方案时,即使对口令进行简单加密或哈希后进行传输,攻击者依然可能通过重放攻击来欺骗信息系统的身份认证模块
C. 动态口令方案中通常需要使用密码算法产生较长的口令序列,攻击者如果连续地收集到足够多的历史口令,则有可能预测出下次要使用的口令
D. 通常,动态口令实现方式分为口令序列、时间同步以及挑战/应答等几种类型
解析:解析:动态口令方案要求其口令不能被收集和预测。
A. 《关于加强政府信息系统安全和保密管理工作的通知》
B. 《中华人民共和国计算机信息系统安全保护条例》
C. 《国家信息化领导小组关于加强信息安全保障工作的意见》
D. 《关于开展信息安全风险评估工作的意见》
A. 对用户知识要求高,配置、操作和管理使用过于简单,容易遭到攻击
B. 高虚频率,入侵检测系统会产生大量的警告信息和可疑的入侵行为记录,用户处理负担很重
C. 入侵检测系统在应对自身攻击时,对其他数据的检测可能会被控制或者受到影响
D. 警告消息记录如果不完整,可能无法与入侵行为关联
解析:解析:“配置、操作和管理使用过于简单,容易遭到攻击”错误。
A. 风险评估与管理工具
B. 系统基础平台风险评估工具
C. 风险评估辅助工具
D. 环境风险评估工具
解析:解析:通常情况下信息安全风险评估工具不包括环境评估工具。
A. 方针;管理措施;控制措施;预防措施;吸取措施
B. 方针;控制措施;管理措施;预防措施;吸取措施
C. 方针;预防措施;管理措施;控制措施;吸取措施
D. 方针;吸取措施;管理措施;控制措施;预防措施
A. 系统工程只需使用定量分析的方法,通过建立实际对象的数学模型,应用合适的优化算法对模型求解,解决实际问题
B. 系统工程的目的是实现总体效果最优化,即从复杂问题的总体入手,认为总体大于各部分之和,各部分虽然存在不足,但总体可以优化
C. 霍尔三维结构将系统工程整个活动过程分为前后紧密衔接的 7 个阶段和 7 个步骤
D. 系统工程不属于基本理论,也不属于技术基础,它研究的重点是方法论
解析:解析:系统工程是 20 世纪中期兴起的一门新兴的交叉学科,它主要是应用定性分析和定量分析相结合的方法,通过实际对象的数学模型,应用合适的优化算法对模型进行求解,从而解决实际问题。P175 页。
A. R 表示安全风险计算函数,A 表示资产,T 表示威胁,V 表示脆弱性
B. L 表示威胁利资产脆弱性导致安全事件的可能性
C. F 表示安全事件发生后造成的损失
D. Ia,Va 分别表示安全事件作用全部资产的价值与其对应资产的严重程度
解析:解析:Ia 资产 A 的价值;Va 资产 A 的脆弱性。
A. 使用和与用户名相同的口令
B. 选择可以在任何字典或语言中找到的口令
C. 选择任何和个人信息有关的口令
D. 采取数字,字母和特殊符号混合并且易于记忆
解析:解析:常识问题