A、 假冒攻击可以采用身份认证机制来防范
B、 为了防止传输的信息被篡改,收发双方可以使用单向 Hash 函数来验证数据的完整性
C、 为了防止发送方否认曾经发送过的消息,收发双方可以使用消息验证码来防止抵赖
D、 为了防止发送方否认曾经发送过的消息,收发双方可以使用消息验证码来防止抵赖
答案:C
解析:解析:消息验证码不能防止抵赖,而是提供消息鉴别、完整性校验和抗重放攻击。
A、 假冒攻击可以采用身份认证机制来防范
B、 为了防止传输的信息被篡改,收发双方可以使用单向 Hash 函数来验证数据的完整性
C、 为了防止发送方否认曾经发送过的消息,收发双方可以使用消息验证码来防止抵赖
D、 为了防止发送方否认曾经发送过的消息,收发双方可以使用消息验证码来防止抵赖
答案:C
解析:解析:消息验证码不能防止抵赖,而是提供消息鉴别、完整性校验和抗重放攻击。
A. 对于重要的服务,应在测试环境中安装并确认补丁兼容性问题后再在正式生产环境中部署
B. 对于服务器等重要设备,立即使用系统更新功能安装这批补丁,用户终端计算机由于没有重要数据,由终端自行升级
C. 本次发布的漏洞目前尚未出现利用工具,因此不会对系统产生实质性危害,所以可以先不做处理
D. 由于本次发布的数个漏洞都属于高危漏洞,为了避免安全风险,应对单位所有的服务器和客户端尽快安装补丁
解析:解析:对于重要的服务,在测试环境中安装并确定补丁的兼容性问题后再在正式生产环境中部署,这样可以有效的避免应补丁升级后可能会对系统服务造成不必要的影响。
A. 中国
B. 俄罗斯
C. 美国
D. 英国
A. 系统工程只需使用定量分析的方法,通过建立实际对象的数学模型,应用合适的优化算法对模型求解,解决实际问题
B. 系统工程的目的是实现总体效果最优化,即从复杂问题的总体入手,认为总体大于各部分之和,各部分虽然存在不足,但总体可以优化
C. 霍尔三维结构将系统工程整个活动过程分为前后紧密衔接的 7 个阶段和 7 个步骤
D. 系统工程不属于基本理论,也不属于技术基础,它研究的重点是方法论
解析:解析:系统工程是 20 世纪中期兴起的一门新兴的交叉学科,它主要是应用定性分析和定量分析相结合的方法,通过实际对象的数学模型,应用合适的优化算法对模型进行求解,从而解决实际问题。P175 页。
A. 安装最新的数据库软件安全补丁
B. 对存储的敏感数据进行安全加密
C. 不使用管理员权限直接连接数据库系统
D. 定期对数据库服务器进行重启以确保数据库运行良好
解析:解析:D 项属于运维但不属于防护策略。
A. 部署 IPsec VPN 网络时,需要考虑 IP 地址的规划,尽量在分支节点使用可以聚合的 IP地址段,来减少 IPsec 安全关联(Security Authentication ,SA) 资源的消耗
B. 配置 AES 算法可以提供可靠的数据完整性验证
C. 配置 MD5 安全算法可以提供可靠地数据加密
D. 报文验证头协议(Authentication Header ,AH) 可以提供数据机密性
解析:解析:MD5 是单向函数提供数据完整性验证,AES 是数据加密算法提供数据机密性保护,AH提供身份验证和数据完整性保护。
A. 100 万元人民币
B. 180 万元人民币
C. 400 万元人民币
D. 20 万元人民币
解析:解析:年度预期损失=总价值*暴露系数*年度发生率即 400*25%*0.2=20 万元
A. BP 是基于最新技术而制定的安全参数基本配置
B. 大部分 BP 是没有经过测试的
C. 一项 BP 适用于组织的生存周期而非仅适用于工程的某一特定阶段
D. 一项 BP 可以和其他 BP 有重叠
解析:解析:A 错误,BP 是基于最佳的工程过程实践;B 错误,BP 是经过测试的;D 错误,一项BP 和其他的 BP 是不重复。
A. 信息安全风险评估分自评估、检查评估两形式,应以检查评估为主, 自评估和检查评估相互结合、互为补充
B. 信息安全风险评估工作要按照”严密组织、规范操作、讲求科学、注重实效‘的原则开展
C. 信息安全风险评估应管贯穿于网络和信息系统建设运行的全过程
D. 开展信息安全风险评估工作应加强信息安全风险评估工作的组织领导
解析:解析:自评为主,检查为辅
A. 风险转移
B. 风险接受
C. 风险规避
D. 风险降低
解析:解析:风险降低可采用预防性策略和反应性策略两种方案。P141 页。
A. 机房与设施安全,保证应用系统处于有一个安全的环境条件,包括机房环境、机房安全等级、机房的建造和机房的装修等
B. 身份鉴别,应用系统应对登录的用户进行身份鉴别,只有通过验证的用户才能访问应用系统资源
C. 安全标记,在应用系统层面对主体和客体进行标记,主体不能随意更改权限,增加访问控制的力度,限制非法访问
D. 剩余信息保护,应用系统应加强硬盘、内存或缓冲区中剩余信息的保护,防止存储在硬盘、内存或缓冲区中的信息被非授权的访问
解析:解析:机房与设施安全属于物理环境安全范畴,不属于应用安全范畴。