A、 可以建立起文档化的信息安全管理规范,实现有”法”可依,有章可循,有据可查
B、 可以强化员工的信息安全意识,建立良好的安全作业习惯,培育组织的信息安全企业文化
C、 可以增强客户、业务伙伴、投资人对该组织保障其业务平台和数据信息的安全信心
D、 可以深化信息安全管理,提高安全防护效果,使组织通过国际标准化组织的 ISO9001 认证
答案:D
解析:解析:ISO9001 是质量认证不是安全管理认证,应通过 ISO27001 认证。
A、 可以建立起文档化的信息安全管理规范,实现有”法”可依,有章可循,有据可查
B、 可以强化员工的信息安全意识,建立良好的安全作业习惯,培育组织的信息安全企业文化
C、 可以增强客户、业务伙伴、投资人对该组织保障其业务平台和数据信息的安全信心
D、 可以深化信息安全管理,提高安全防护效果,使组织通过国际标准化组织的 ISO9001 认证
答案:D
解析:解析:ISO9001 是质量认证不是安全管理认证,应通过 ISO27001 认证。
A. TCSEC 标准
B. CC 标准
C. FC 标准
D. ITSEC 标准
解析:解析:TCSEC 标准(可信计算机系统评估标准)是美国政府国防部标准,为评估计算机系统内置的计算机安全功能的有效性设定了基本要求,在 2005 年最初被公布的国际标准《通用准则(CC)》所取代,《信息技术安全性评估准则》是我国在 2008 年等同采用《ISO/IEC15408:2005 信息技术-安全技术-信息技术安全评估标准》形成的国家标准,标准编号为GB/T 18336。标准定义了作为评估信息技术产品和系统安全特性的基础准则,由于历史和连续性的原因,仍叫通用准则(Common Criteria,CC);FC 上美国 1991 年制定了一个《联邦(最低安全要求)评估准则》,但由于其不完备性,未能推行;ITSEC(InformationTechnology Security Evaluation Criteria,信息技术安全评估标准)是评估产品和系统中计算机安全性的一套结构化的标准。于 1990 年 5 月首先在法国,德国,荷兰和英国出版,后来主要在一些欧洲国家使用。
A. 某网站在访问量突然增加时对用户连接数量进行了限制,保证已登录的用户可以完成操作
B. 在提款过程中 ATM 终端发生故障,银行业务系统及时对该用户的账户余额进行了冲正操作
C. 某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作
D. 李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看。
解析:解析:冲正是为系统认为可能交易失败时采取的补救手法。即一笔交易在终端已经置为成功标志,但是发送到主机的账务交易包没有得到响应,即终端交易超时,所以不确定该笔交易是否在主机端也成功完成,为了确保用户的利益,终端重新向主机发送请求,请求取消该笔交易的流水,如果主机端已经交易成功,则回滚交易,否则不处理,然后将处理结果返回给终端。本题中 A 为可用性,B 为完整性,C 是抗抵赖,D 是保密性。冲正是完整性纠正措施,是 Clark-Wilson 模型的应用,解决数据变化过程的完整性。
A. 用户访问日志、安全性日志、系统日志和 IE 日志
B. 应用程序日志、安全性日志、系统日志和 IE 日志
C. 网络攻击日志、安全性日志、记账日志和 IE 日志
D. 网络链接日志、安全性日志、服务日志和 IE 日志
A. 串接到网络线路中
B. 对异常的进出流量可以直接进行阻断
C. 有可能造成单点故障
D. 不会影响网络性能
解析:解析:IPS 在串联情况下,会影响网络性能。
A. BP 是基于最新技术而制定的安全参数基本配置
B. 大部分 BP 是没有经过测试的
C. 一项 BP 适用于组织的生存周期而非仅适用于工程的某一特定阶段
D. 一项 BP 可以和其他 BP 有重叠
解析:解析:A 错误,BP 是基于最佳的工程过程实践;B 错误,BP 是经过测试的;D 错误,一项BP 和其他的 BP 是不重复。
A. 拒绝服务
B. 缓冲区溢出
C. DNS 欺骗
D. IP 欺骗
解析:解析:题干是针对拒绝服务攻击的描述
A. 安装最新的数据库软件安全补丁
B. 对存储的敏感数据进行安全加密
C. 不使用管理员权限直接连接数据库系统
D. 定期对数据库服务器进行重启以确保数据库运行良好
解析:解析:D 项属于运维但不属于防护策略。
A. 有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件
B. 网络贡献事件、拒绝服务攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件
C. 网络攻击事件、网络钓鱼事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件
D. 网络攻击事件、网络扫描窃听事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件
解析:解析:根据标准知识点,安全事件分为:有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件。
A. 捍卫网络空间主权
B. 保护关键信息基础设施
C. 提升网络空间防护能力
D. 阻断与国外网络连接
解析:解析:常识问题
A. 项目计划书
B. 质量控制计划
C. 评审报告
D. 需求说明书
解析:解析:ABC 其均属于项目管理文档。需求说明书、设计说明书、测试方案、测试用例等属于开发类文档。