A、 不在 Windows 下安装 Apache,只在 Linux 和 Unix 下安装
B、 安装 Apache 时,只安装需要的组件模块
C、 不使用操作系统管理员用户身份运行 Apache,而是采用权限受限的专用用户账号来运行
D、 积极了解 Apache 的安全通告,并及时下载和更新
答案:A
解析:解析:A 不属于安全配置,而属于部署环境选择。
A、 不在 Windows 下安装 Apache,只在 Linux 和 Unix 下安装
B、 安装 Apache 时,只安装需要的组件模块
C、 不使用操作系统管理员用户身份运行 Apache,而是采用权限受限的专用用户账号来运行
D、 积极了解 Apache 的安全通告,并及时下载和更新
答案:A
解析:解析:A 不属于安全配置,而属于部署环境选择。
A. 使用和与用户名相同的口令
B. 选择可以在任何字典或语言中找到的口令
C. 选择任何和个人信息有关的口令
D. 采取数字,字母和特殊符号混合并且易于记忆
解析:解析:常识问题
A. 信息系统安全保障目的
B. 环境安全保障目的
C. 信息系统安全保障目的和环境安全保障目的
D. 信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的
解析:解析:GB/T 20274 信息系统保障评估框架从管理、技术、工程和总体方面进行评估。
A. 要求开发人员采用瀑布模型进行开发
B. 要求所有的开发人员参加软件安全意识培训
C. 要求增加软件安全测试环节,尽早发现软件安全问题
D. 要求规范软件编码,并制定公司的安全编码准则
解析:解析:瀑布模型是一种开发模型与安全防护无关,有些题目可能会把瀑布模型换成其他不设计安全的模型, 例如敏捷开发模型等。
A. 风险分析
B. 风险要素识别
C. 风险结果判定
D. 风险处理
解析:解析:漏洞扫描属于风险要素的脆弱性要素识别,风险要素包括资产、威胁、脆弱性、安全措施。
A. 口令序列
B. 时间同步
C. 挑战/应答
D. 静态口令
解析:解析:题干描述的是 C 的解释。
A. 存储在注册表中的账号数据是管理员组用户都可以访问,具有较高的安全性
B. 存储在注册表中的账号数据只有 administrator 账户才有权访问,具有较高的安全性
C. 存储在注册表中的账号数据任何用户都可以直接访问,灵活方便
D. 存储在注册表中的账号数据有只有 System 账户才能访问,具有较高的安全性
解析:解析:Security Accounts Manager 只有 system 账号才能访问。
A. 软件安全测试就是黑盒测试
B. FUZZ 测试是经常采用的安全测试方法之一
C. 软件安全测试关注的是软件的功能
D. 软件安全测试可以发现软件中产生的所有安全问题
解析:解析:FUZZ 测试是经常采用的安全测试方法之一,软件安全测试包括模糊测试、渗透测试、静态代码安全测试,只关注安全问题。
A. 系统安全工程旨在了解企业存在的安全风险,建立一组平衡的安全需求,融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。
B. 系统安全工程需对安全机制的正确性和有效性做出诠释,证明安全系统的信任度能够达到企业的要求,或系统遗留的安全薄弱性在可容许范围之内。
C. 系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法,是一种使用面向开发的方法。
D. 系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上,通过对安全工作过程进行管理的途径,将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科。
解析:解析:SSE-CMM 是面向工程过程质量控制的一套方法。
A. CMM 的思想来源于项目管理、质量管理和过程管理
B. CMM 是一种衡量工程实施能力的方法,是一种面向工程过程的方法
C. CMM 是建立在统计过程控制理论基础上的,它基于这样一个假设,即”生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品”
D. CMM 的思想不关注结果,而是强调了过程的控制,过程如果是高质量的,结果通常会是高质量的
解析:解析:CMM 的思想来源于已有多年历史的项目管理、质量管理, 自产生以来几经修订,成为具有广泛影响的模型。P178 页。
A. 安装 Windows 系统时要确保文件格式使用的是 NTFS,因为 Windows 的 ACL 机制需要 NTFS文件格式的支持
B. 由于 Windows 操作系统自身有大量的文件和目录,因此很难对每个文件和目录设置严格的访问权限,为了使用上的便利,Windows 上的 ACL 存在默认设置安全性不高的问题
C. Windows 的 ACL 机制中,文件和文件夹的权限是与主体进行关联的,即文件夹和文件的访问权限信息是写在用户数据库中
D. 由于 ACL 具有很好的灵活性,在实际使用中可以为每一个文件设定独立用户的权限
解析:解析:C 项,与客体进行关联,用户的权限写在文件夹和文件的数据库中。