A、 信息安全法律环境是信息安全保障体系中的必要环节
B、 明确违反信息安全的行为,并对行为进行相应的处罚,以打击信息安全犯罪活动
C、 信息安全主要是技术问题,技术漏洞是信息犯罪的根源
D、 信息安全产业的逐渐形成,需要成熟的技术标准和完善的技术体系
答案:C
解析:解析:信息安全问题是多方面存在的,不能认为主要为技术问题,同时技术漏洞不是犯罪的根源所在。
A、 信息安全法律环境是信息安全保障体系中的必要环节
B、 明确违反信息安全的行为,并对行为进行相应的处罚,以打击信息安全犯罪活动
C、 信息安全主要是技术问题,技术漏洞是信息犯罪的根源
D、 信息安全产业的逐渐形成,需要成熟的技术标准和完善的技术体系
答案:C
解析:解析:信息安全问题是多方面存在的,不能认为主要为技术问题,同时技术漏洞不是犯罪的根源所在。
A. 风险;风险评估的结果;降低;规避;转移;接受
B. 风险评估的结果;风险;降低;规避;转移;接受
C. 风险评估;风险;降低;规避;转移;接受
D. 风险;风险评估;降低;规避;转移;接受
A. 评估与执行;访问控制;安全状态;安全性
B. 评估与执行;安全状态;访问控制;安全性
C. 访问控制;评估与执行;安全状态;安全性
D. 安全状态,评估与执行;访问控制;安全性
A. 软件应用越来越广泛
B. 软件应用场景越来越不安全
C. 软件安全问题普遍存在
D. 以上都不是
解析:解析:ABC 实际上都是软件安全开发的必要性
A. 《风险评估方案》
B. 《风险评估程序》
C. 《资产识别清单》
D. 《风险评估报告》
解析:解析:P260 页
A. 设计;战略与规划;逻辑设计;实施;管理与衡量
B. 战略与规划;逻辑设计;设计;实施;管理与衡量
C. 战略与规划;实施;设计;逻辑设计;管理与衡量
D. 战略与规划;设计;逻辑设计;实施;管理与衡量
解析:解析:P42
A. 资产识别的粒度随着评估范围、评估目的的不同而不同,既可以是硬件设备,也可以是业务系统,也可以是组织机构
B. 应针对构成信息系统的每个资产做风险评价
C. 脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项
D. 信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁
解析:解析:B 错误,应该是抽样评估;C 错误,应该其描述的是差距分析;D 错误,应该是威胁包括人为威胁和环境威胁。
A. MAC 和散列函数都是用于提供消息认证
B. MAC 的输出值不是固定长度的,而散列函数的输出值是固定长度的
C. MAC 和散列函数都不需要密钥
D. MAC 和散列函数都不属于非对称加密算法
解析:解析:(1)MAC:消息验证、完整性校验、抗重放攻击;输出不固定的;MAC 需密钥;不是非对称。(2)哈希:消息验证、完整性校验;输出是固定的;不需要密钥;不是非对称。
A. TCSEC 标准
B. CC 标准
C. FC 标准
D. ITSEC 标准
解析:解析:TCSEC 标准(可信计算机系统评估标准)是美国政府国防部标准,为评估计算机系统内置的计算机安全功能的有效性设定了基本要求,在 2005 年最初被公布的国际标准《通用准则(CC)》所取代,《信息技术安全性评估准则》是我国在 2008 年等同采用《ISO/IEC15408:2005 信息技术-安全技术-信息技术安全评估标准》形成的国家标准,标准编号为GB/T 18336。标准定义了作为评估信息技术产品和系统安全特性的基础准则,由于历史和连续性的原因,仍叫通用准则(Common Criteria,CC);FC 上美国 1991 年制定了一个《联邦(最低安全要求)评估准则》,但由于其不完备性,未能推行;ITSEC(InformationTechnology Security Evaluation Criteria,信息技术安全评估标准)是评估产品和系统中计算机安全性的一套结构化的标准。于 1990 年 5 月首先在法国,德国,荷兰和英国出版,后来主要在一些欧洲国家使用。
A. 网站竞争对手可能雇佣攻击者实施 DDoS 攻击,降低网站访问速度
B. 网站使用用户名、密码进行登录验证,攻击者可能会利用弱口令或其他方式获得用户密码,以该用户身份登录修改用户订单等信息
C. 网站使用使用 http 协议进行浏览等操作,无法确认数据与用户发出的是否一致,可能数据被中途篡改
D. 网站使用使用 http 协议进行浏览等操作,未对数据进行加密,可能导致用户传输信息泄露,例如购买的商品金额等
解析:解析:A属于拒绝服务威胁; C属于篡改威胁; D属于信息泄露威胁。 P405页。
A. 由于有限的测试时间窗,仅仅测试了最必须的系统,其他系统在今年的剩余时间里陆续单独测试
B. 在测试的过程中,有些备份系统有缺陷或者不能正常工作,从而导致这些系统的测试失败
C. 在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间
D. 每年都是由相同的员工执行此测试,由于所有的参与者都很熟悉每一个恢复步骤,因而没有使用灾难恢复计划(DRP)文档
解析:解析:“备份系统有缺陷或者不能正常工作, 从而导致这些系统的测试失败”