A、 制定业务连续性策略
B、 进行业务影响分析
C、 进行灾难恢复演练
D、 构建灾备系统
答案:A
A、 制定业务连续性策略
B、 进行业务影响分析
C、 进行灾难恢复演练
D、 构建灾备系统
答案:A
A. 是否己经通过部署安全控制措施消灭了风险
B. 是否可以抵抗大部分风险
C. 是否建立了具有自适应能力的信息安全模型
D. 是否已经将风险控制在可接受的范围内
解析:解析:判断风险控制的标准是风险是否控制在接受范围内。
A. 社会工程学:精心策划; 前期的准备; 伪装的身份; 一些特征
B. 精心策划; 社会工程学; 前期的准备; 伪装的身份; 一些特征
C. 精心策划; 社会工程学; 伪装的身份; 前期的准备:一些特征
D. 社会工程学; 伪装的身份; 精心策划; 前期的准备; 一些特征
解析:解析:P221 页
A. 分布式拒绝服务攻击(DDoS)
B. 病毒传染
C. 口令暴力破解
D. 缓冲区溢出攻击
解析:解析:账号锁定是为了解决暴力破解攻击的。
A. MAC 和散列函数都是用于提供消息认证
B. MAC 的输出值不是固定长度的,而散列函数的输出值是固定长度的
C. MAC 和散列函数都不需要密钥
D. MAC 和散列函数都不属于非对称加密算法
解析:解析:(1)MAC:消息验证、完整性校验、抗重放攻击;输出不固定的;MAC 需密钥;不是非对称。(2)哈希:消息验证、完整性校验;输出是固定的;不需要密钥;不是非对称。
A. 涉密信息系统的风险评估应按照《信息安全等级保护管理办法》等国家有关保密规定和标准进行
B. 非涉密信息系统的风险评估应按照《非涉及国家秘密的信息系统分级保护管理办法》等要求进行
C. 可委托同一专业测评机构完成等级测评和风险评估工作,并形成等级测评报告和风险评估报告
D. 此通知不要求将”信息安全风险评估”作为电子政务项目验收的重要内容
解析:解析:根据《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》的规定,可委托同一专业测评机构完成等级测评和风险评估工作,并形成等级测评报告和风险评估报告。
A. 安装最新的数据库软件安全补丁
B. 对存储的敏感数据进行安全加密
C. 不使用管理员权限直接连接数据库系统
D. 定期对数据库服务器进行重启以确保数据库运行良好
解析:解析:D 项属于运维但不属于防护策略。
A. 禁用主机的 CD 驱动、USB 接口等 I/O 设备
B. 对不再使用的硬盘进行严格的数据清除
C. 将不再使用的纸质文件用碎纸机粉碎
D. 用快速格式化删除存储介质中的保密文件
解析:解析:快速格式化删除存储介质中的保密文件不能防止信息泄露。快速格式化只是删除了文件索引,并没有真正的删除文件,可以通过工具进行恢复。
A. 在软件立项时考虑到软件安全相关费用,经费中预留了安全测试、安全评审相关费用,确保安全经费得到落实
B. 在软件安全设计时,邀请软件安全开发专家对软件架构设计进行评审,及时发现架构设计中存在的安全不足
C. 确保对软编码人员进行安全培训,使开发人员了解安全编码基本原则和方法,确保开发人员编写出安全的代码
D. 在软件上线前对软件进行全面安全性测试,包括源代码分析、模糊测试、渗透测试,未经以上测试的软件不允许上线运行
解析:解析:软件的安全测试根据实际情况进行测试措施的选择和组合。
A. 组织应该根据风险建立相应的保护要求,通过构架防护措施降低风险对组织产生的影响
B. 加强防护措施,降低风险
C. 减少资产降低风险
D. 减少威胁和脆弱点,降低风险
解析:解析:通过题干,是针对组织产生的影响,B 项不是所有的加强防护措施都可以降低风险,有时候接受风险,转移风险,规避风险都有可能使用;C 项不现实,D 项威胁来自外部,不可控,很难减少,但可以通过减少脆弱性来减少风险,所以选 A。
A. 《关于加强政府信息系统安全和保密管理工作的通知》
B. 《政府信息系统安全和保密管理工作的通知》
C. 《国家信息化领导小组关于加强信息安全保障工作的意见》
D. 《关于开展信息安全风险评估工作的意见》
解析:解析:《国家信息化领导小组关于加强信息安全保障工作的意见》是我国政策性文件明确了我国信息安全保障工作的方针和总体要求以及加强信息安全工作的主要原则。
