A、 数字签名
B、 非安全信道的密钥交换
C、 消息认证码
D、 身份认证
答案:C
解析:解析:ABD 都是是公钥密码应用的范畴。
A、 数字签名
B、 非安全信道的密钥交换
C、 消息认证码
D、 身份认证
答案:C
解析:解析:ABD 都是是公钥密码应用的范畴。
A. ①②③④⑤⑥
B. ①②③④⑤⑥⑦
C. ①②③④⑤⑥⑦⑧
D. ①②③④⑤⑥⑦⑧⑨
解析:解析:管理体系包括 PDCA(Plan-Do-Check-Act)四个阶段,题干中 1-7 的工作都属于管理体系的实施阶段(D-Do),而 8 和 9 属于检查阶段(C-Check)。
A. 测试系统应使用不低于生产系统的访问控制措施
B. 为测试系统中的数据部署完善的备份与恢复措施
C. 在测试完成后立即清除测试系统中的所有敏感数据
D. 部署审计措施,记录生产数据的拷贝和使用
解析:解析:A、C、D 为测试系统必须要执行的,B 用于测试的包含个人隐私和其它敏感信息的实际生产系统中的数据不具备备份和恢复的价值。
A. 口令攻击
B. 暴力破解
C. 拒绝服务攻击
D. 社会工程学攻击
解析:解析:D 属于社会工程学攻击。
A. 加强信息安全标准化工作,积极采用”等同采用、修改采用、制定”等多种方式,尽快建立和完善我国信息安全标准体系
B. 建立国家信息安全研究中心,加快建立国家急需的信息安全技术体系,实现国家信息安全自主可控目标
C. 建设和完善信息安全基础设施,提供国家信息安全保障能力支撑
D. 加快信息安全学科建设和信息安全人才培养
解析:解析:建立国家信息安全研究中心不是我国信息安全保障工作的主要内容。
A. 资产的价值指采购费用
B. 资产的价值指维护费用
C. 资产的价值与其重要性密切相关
D. 资产的价值无法估计
A. 主体是动作的实施者,比如人、进程或设备等均是主体,这些对象不能被当作客体使用
B. 一个主体为了完成任务,可以创建另外的主体,这些主体可以独立运行
C. 主体是访问的发起者,是一个主动的实体,可以操作被动实体的相关信息或数据
D. 客体也是一种实体,是操作的对象,是被规定需要保护的资源
解析:解析:主体和客体是相对的概念,主体在一定情况下可以成为客体,客体也可以成为主体。
A. Windows 操作系统远程登录经历了 SMB 鉴别机制、LM 鉴别机制、NTLM 鉴别机制、Kerberos鉴别体系等阶段
B. 完整的安全标识符(SID)包括用户和组的安全描述,48 比特的身份特权、修订版本和可变的验证值
C. 本地安全授权机构(LSA)生成用户账户在该系统内唯一的安全标识符(SID)
D. 用户对鉴别信息的操作,如更改密码等都通过一个以 Administrator 权限运行的服务“Security Accounts Manager”来实现
解析:解析:用户对鉴别信息的操作,如更改密码等都通过一个以 system 权限运行的服务“Security Accounts Manager”来实现。P357 页。
A. 系统安全工程旨在了解企业存在的安全风险,建立一组平衡的安全需求,融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。
B. 系统安全工程需对安全机制的正确性和有效性做出诠释,证明安全系统的信任度能够达到企业的要求,或系统遗留的安全薄弱性在可容许范围之内。
C. 系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法,是一种使用面向开发的方法。
D. 系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上,通过对安全工作过程进行管理的途径,将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科。
解析:解析:SSE-CMM 是面向工程过程质量控制的一套方法。
A. 我国是在国家质量监督检验疫总局管理下,由国家标准化管理委员会统一管理全国标准化工作,下设有专业技术委员会
B. 事关国家安全利益,信息安全因此不能和国际标准相同,而是要通过本国组织和专家制定标准,切实有效地保护国家利益和安全
C. 我国归口信息安全方面标准是”全国信息安全标准化技术委员会”,为加强有关工作,2016在其下设立”大数据安全特别工作组”
D. 信息安全标准化工作是解决信息安全问题的重要技术支撑,其主要作业突出体现在能够确保有关产品、设施的技术先进性、可靠性和一致性
解析:解析:信息安全的标准可以和国际标准相同,也可以不相同。包括同等采用方式和等效采用方式等。
A. SQL 注入攻击
B. 缓冲区溢出攻击
C. 分布式拒绝服务攻击
D. 跨站脚本攻击
解析:解析:跨站脚本是由于网页支持脚本的执行,而程序员又没有对用户输入的数据进行严格控制,使得攻击者可以向Web 页面插入恶意 HTML 代码,当用户浏览网页时,嵌入其中的 HTML 代码会被执行,从而实现攻击者的特殊目的。
