A、 存储在注册表中的账号数据是管理员组用户都可以访问,具有较高的安全性
B、 存储在注册表中的账号数据只有 administrator 账户才有权访问,具有较高的安全性
C、 存储在注册表中的账号数据任何用户都可以直接访问,灵活方便
D、 存储在注册表中的账号数据有只有 System 账户才能访问,具有较高的安全性
答案:D
解析:解析:Security Accounts Manager 只有 system 账号才能访问。
A、 存储在注册表中的账号数据是管理员组用户都可以访问,具有较高的安全性
B、 存储在注册表中的账号数据只有 administrator 账户才有权访问,具有较高的安全性
C、 存储在注册表中的账号数据任何用户都可以直接访问,灵活方便
D、 存储在注册表中的账号数据有只有 System 账户才能访问,具有较高的安全性
答案:D
解析:解析:Security Accounts Manager 只有 system 账号才能访问。
A. 测试系统应使用不低于生产系统的访问控制措施
B. 为测试系统中的数据部署完善的备份与恢复措施
C. 在测试完成后立即清除测试系统中的所有敏感数据
D. 部署审计措施,记录生产数据的拷贝和使用
解析:解析:A、C、D 为测试系统必须要执行的,B 用于测试的包含个人隐私和其它敏感信息的实际生产系统中的数据不具备备份和恢复的价值。
A. 权限分离原则
B. 最小的特权原则
C. 保护最薄弱环节的原则
D. 纵深防御的原则
A. 标准化的对象是共同的、可重复的事物。不是孤立的一件事、一个事物
B. 标准化必须是静态的,相对科技的进步和社会的发展不能发现变化
C. 标准化的相对性,原有标准随着社会发展和环境变化,需要更新
D. 标准化的效益,通过应用体现经济和社会效益,否则就没必要
解析:解析:标准化是动态的,会随着科技的进步和社会的发展与时俱进。
A. 信息安全管理体系应体现科学性和全面性的特点,因为要对信息安全管理涉及的方方面面实施较为均衡的管理,避免遗漏某些方面而导致组织的整体信息安全水平过低
B. 信息安全管理体系的建立应参照国际国内有关标准实施,因为这些标准是标准化组织在总结研究了很多实际的或潜在的问题后,制定的能共同的和重复使用的规则
C. 信息安全管理体系的建立应基于一次风险评估彻底解决所有安全问题的思想,因为这是国家有关信息安全的法律和法规方面的要求,这体现以预防控制为主的思想
D. 信息安全管理体系应强调全过程和动态控制的思想,因为安全问题是动态的,系统所处的安全环境也不会一成不变,不可能建设永远安全的系统
解析:解析:”一次风险评估彻底解决所有安全问题”错误
A. 经过数十年的发展,互联网上已经接入了数亿台各种电子设备
B. 刚刚经过风险评估并针对风险采取处理措施后仅一周,新的系统漏洞使得信息系统面临新的风险
C. 某公司的信息系统面临了来自美国的”匿名者”黑客组织的攻击
D. 某公司尽管部署了防火墙、防病毒等安全产品, 但服务器中数据仍然产生了泄露
解析:解析:B 体现出了动态性
A. 对经过身份鉴别后的合法用户提供所有服务
B. 在用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理
C. 拒绝非法用户的非授权访问请求
D. 防止对信息的非授权篡改和滥用
解析:解析:访问控制的核心:允许合法用户的授权访问,防止非法用户的访问和合法用户的越权访问。。P304 页。
A. 保持当前版本的操作系统,不定期更新交换机操作系统补丁
B. 控制交换机的物理访问端口,关闭空闲的物理端口
C. 带外管理交换机,如果不能实现的话,可以利用单独的 VLAN 号进行带内管理
D. 安全配置必要的网络服务,关闭不必要的网络服务
解析:解析:交换机和路由器的管理包括了版本更新,也包括了补丁管理。
A. 数据链路层
B. 会话层
C. 物理层
D. 传输层
解析:解析:物理层规定通信设备的机械的、电气的、功能的和过程的特性, 用以建立、维护和拆除物理链路连接,这些特性包括网络连接时所需接插件的规格尺寸、引脚数量等, P329 页
A. 组织机构内的敏感岗位不能由一个人长期负责
B. 对重要的工作进行分解,分配给不同人员完成
C. 一个人有且仅有其执行岗位所足够的许可和权限
D. 防止员工由一个岗位变动到另一个岗位,累积越来越多的权限
解析:解析:C 是”最小特权”的解释;A 描述的是轮岗;B 描述的是权限分离;D 描述的是防止权限蔓延。
A. 在软件开发的各个周期都要考虑安全因素
B. 软件安全开发生命周期要综合采用技术、管理和工程等手段
C. 测试阶段是发现并改正软件安全漏洞的最佳环节,过早或过晚检测修改漏洞都将增大软件开发成本
D. 在设计阶段就尽可能发现并改正安全隐患,将极大减少整个软件开发成本
解析:解析:设计阶段是发现和改正问题的最佳阶段。