A、 网站问题是由于开发人员不熟悉安全编码,编写了不安全的代码,导致攻击面增大,产生此安全问题
B、 网站问题是由于用户缺乏安全意识导致,使用了不安全的功能,导致网站攻击面增大,产生此问题
C、 网站问题是由于使用便利性提高,带来网站用户数增加,导致网站攻击面增大,产生此安全问题
D、 网站问题是设计人员不了解安全设计关键要素,设计了不安全的功能,导致网站攻击面增大,产生此问题
答案:D
解析:解析:网站问题是设计人员不了解安全设计关键要素,设计了不安全的功能,导致网站攻击面增大,产生此问题。
A、 网站问题是由于开发人员不熟悉安全编码,编写了不安全的代码,导致攻击面增大,产生此安全问题
B、 网站问题是由于用户缺乏安全意识导致,使用了不安全的功能,导致网站攻击面增大,产生此问题
C、 网站问题是由于使用便利性提高,带来网站用户数增加,导致网站攻击面增大,产生此安全问题
D、 网站问题是设计人员不了解安全设计关键要素,设计了不安全的功能,导致网站攻击面增大,产生此问题
答案:D
解析:解析:网站问题是设计人员不了解安全设计关键要素,设计了不安全的功能,导致网站攻击面增大,产生此问题。
A. 加密
B. 数字签名
C. 访问控制
D. 路由控制
解析:解析:数字签名可以提供抗抵赖、鉴别和完整性。
A. D 是 Do,指实施、具体运作,实现计划中的内容
B. P 是 Prepare,指准备,包括明确对象、方法,制定活动规划
C. A 是 Act 或 Adjust,指改进、完善和处理,对总结检查的结果进行处理,对成功的经验加以肯定,并予以标准化,总结失败的教训并加以重视,对没有解决的问题,应该交给下一个 PDCA 循环解决
D. C 是 Check,指检查、总结执行计划的结果,明确效果,找出问题
解析:解析:PDCA(plan-do-check-act 或者 plan-do-check-adjust)循环的 4 个阶段,”策划- 实施-检查-改进”。P94 页。
A. 降低
B. 不变(保持相同)
C. 提高
D. 提高或降低(取决于业务的性质)
A. BP 不限定于特定的方法工具,不同业务背景中可以使用不同的方法
B. BP 不是根据广泛的现有资料,实施和专家意见综合得出的
C. BP 不代表信息安全工程领域的最佳实践
D. BP 不是过程区域(Process Areas,PA )的强制项
解析:解析:BP 属于安全工程的最小单元,其不限定于特定的方法工具,不同业务背景中可以使用不同的方法;是根据广泛的现有资料,实施和专家意见综合得出的;代表着信息安全工程领域的最佳实践;并且是过程区域(Process Areas,PA )的强制项。
A. 风险转移
B. 风险接受
C. 风险规避
D. 风险降低
解析:解析:风险降低可采用预防性策略和反应性策略两种方案。P141 页。
A. 某网站在访问量突然增加时对用户连接数量进行了限制,保证已登录的用户可以完成操作
B. 在提款过程中 ATM 终端发生故障,银行业务系统及时对该用户的账户余额进行了冲正操作
C. 某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作
D. 李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看。
解析:解析:冲正是为系统认为可能交易失败时采取的补救手法。即一笔交易在终端已经置为成功标志,但是发送到主机的账务交易包没有得到响应,即终端交易超时,所以不确定该笔交易是否在主机端也成功完成,为了确保用户的利益,终端重新向主机发送请求,请求取消该笔交易的流水,如果主机端已经交易成功,则回滚交易,否则不处理,然后将处理结果返回给终端。本题中 A 为可用性,B 为完整性,C 是抗抵赖,D 是保密性。冲正是完整性纠正措施,是 Clark-Wilson 模型的应用,解决数据变化过程的完整性。
A. WPA是适用于中国的无线局域安全协议,而 WPA2是适用于全世界的无线局域网协议
B. WPA是有线局域安全协议,而WPA2是无线局域网协议
C. WPA是依照802.1li标准草案制定的,而WPA2是依照802.1li正式标准制定的
D. WPA没有使用密码算法对接入进行认证,而WPA2使用了密码算法对接入进行认证
解析:解析:WI-FI联盟在 802.11i标准草案的基础上制定了WPA标准;2004年,IEEE发布了802.11i正式标准(也称为 WPA2) ,在加密算法上采用了基于 AES 的 CCMP 算法。 P341 页。
A. Land
B. UDP Flood
C. Smurf
D. Teardrop
解析:解析:Teardrop 属于碎片攻击,不属于流量型拒绝服务攻击。
A. 源代码审核过程遵循信息安全保障技术框架模型(IATF),在执行时应一步一步严格执行
B. 源代码审核有利于发现软件编码中存在的安全问题,相关的审核工具既有商业开源工具
C. 源代码审核如果想要有效率高,则主要依赖人工审核而不是工具审核,因为人工智能的,需要人的脑袋来判断
D. 源代码审核能起到很好的安全保证作用,如果执行了源代码审核,则不需要安全测试
解析:解析:A 错误,因为 IATF 不用于代码审核;C 错误,因为人工和攻击相结合;D 错误,安全测试由需求确定。
A. 该文件是一个由部委发布的政策性文件,不属于法律文件
B. 该文件适用于 2004 年的等级保护工作,其内容不能约束到 2005 年及之后的工作
C. 该文件是一个总体性指导文件,规定所有信息系统都要纳入等级保护定级范围
D. 该文件适用范围为发文的这四个部门,不适用于其他部门和企业等单位