22.关于源代码审核,下列说法正确的是:

A. 　对于重要的服务,应在测试环境中安装并确认补丁兼容性问题后再在正式生产环境中部署

B. 　对于服务器等重要设备,立即使用系统更新功能安装这批补丁,用户终端计算机由于没有重要数据,由终端自行升级

C. 　本次发布的漏洞目前尚未出现利用工具,因此不会对系统产生实质性危害,所以可以先不做处理

D. 　由于本次发布的数个漏洞都属于高危漏洞,为了避免安全风险,应对单位所有的服务器和客户端尽快安装补丁

A. 　不在 Windows 下安装 Apache,只在 Linux 和 Unix 下安装

B. 　安装 Apache 时,只安装需要的组件模块

C. 　不使用操作系统管理员用户身份运行 Apache,而是采用权限受限的专用用户账号来运行

D. 　积极了解 Apache 的安全通告,并及时下载和更新

A. 　自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估

B. 　自评估应参照相应标准、依据制定的评估方案和准则,结合系统特定的安全要求实施

C. 　自评估应当是由发起单位自行组织力量完成,而不应委托社会风险评估服务机构来实施

D. 　周期性的自评估可以在评估流程上适当简化,如重点针对上次评估后系统变化部分进行

A. 　内网主机——交换机——防火墙——外网

B. 　防火墙——内网主机——交换机——外网

C. 　内网主机——防火墙——交换机——外网

D. 　防火墙——交换机——内网主机——外网

A. 　在安全的传输信道上进行通信

B. 　通讯双方通过某种方式,安全且秘密地共享密钥

C. 　通讯双方使用不公开的加密算法

D. 　通讯双方将传输的信息夹杂在无用信息中传输并提取

A. 　ARP欺骗是指攻击者直接向受害者主机发送错误的 ARP 应答报文,使得受害者主机将错误的硬件地址映射关系存入到 ARP 缓存中, 从而起到冒充主机的目的

B. 　解决 ARP欺骗的一个有效方法是采用“静态”的 ARP 缓存, 如果发生硬件地址的更改,则需要人工更新缓存

C. 　单纯利用 ARP 欺骗攻击时,ARP 欺骗通常影响的是内部子网,不能跨越路由实施攻击

D. 　彻底解决 ARP 欺骗的方法是避免使用ARP 协议和 ARP 缓存,直接采用IP 地址和其他主机进行连接

A. 　系统工程偏重于对工程的组织与经营管理进行研究

B. 　系统工程不属于技术实现,而是一种方法论

C. 　系统工程不是一种对所有系统都具有普遍意义的科学方法

D. 　系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法

A. 　安全测试人员链接了远程服务器的 220 端口

B. 　安全测试人员的本地操作系统是 Linux

C. 　远程服务器开启了 FTP 服务,使用的服务器软件名 FTP Server

D. 　远程服务器的操作系统是 windows 系统

A. 　特别重大事件

B. 　重大事件

C. 　较大事件

D. 　一般事件

A. 　密码协议(cryptographic protocol),有时也称安全协议(security protocol),是使用密码学完成某项特定的任务并满足安全需求的协议,其目的是提供安全服务

B. 　根据密码协议应用目的的不同,参与该协议的双方可能是朋友和完全信任的人,也可能是敌人和互相完全不信任的人

C. 　在实际应用中,密码协议应按照灵活性好、可扩展性高的方式制定,不要限制和框住所有的执行步骤,有些复杂的步骤可以不明确处理方式

D. 　密码协议定义了两方或多方之间为完成某项任务而指定的一系列步骤,协议中的每个参与方都必须了解协议,且按步骤执行