A、 是多余的,因为它们完成了同样的功能,但要求更多的开销
B、 是必须的,可以为预防控制的功效提供检测
C、 是可选的,可以实现深度防御
D、 在一个人工系统中是需要的,但在一个计算机系统中则是不需要的,因为预防控制功能已经足够
答案:C
A、 是多余的,因为它们完成了同样的功能,但要求更多的开销
B、 是必须的,可以为预防控制的功效提供检测
C、 是可选的,可以实现深度防御
D、 在一个人工系统中是需要的,但在一个计算机系统中则是不需要的,因为预防控制功能已经足够
答案:C
A. 3
B. 6
C. 5
D. 2
解析:解析:威胁利用脆弱性产生风险,相乘是指 2*1+3*1=5。
A. 摘要算法
B. 对称密码算法
C. 量子密码
D. 公钥密码算法
解析:解析:PKI (公钥基础设施) ,也称公开密钥基础设施。P286 页。
A. 内部审计人员的质疑是对的,由于没有更新漏洞库,因此这份漏洞扫描报告准确性无法保证
B. 内部审计人员质疑是错的,漏洞扫描软件是正版采购,因此扫描结果是准确的
C. 内部审计人员的质疑是正确的,因为漏洞扫描报告是软件提供,没有经过人为分析,因此结论不会准确
D. 内部审计人员的质疑是错误的,漏洞软件是由专业的安全人员操作的,因此扫描结果是准确的
解析:解析:漏洞库半年不更新又可能会漏报一些最新的漏洞。
A. 使用和与用户名相同的口令
B. 选择可以在任何字典或语言中找到的口令
C. 选择任何和个人信息有关的口令
D. 采取数字,字母和特殊符号混合并且易于记忆
解析:解析:常识问题
A. 在软件立项时考虑到软件安全相关费用,经费中预留了安全测试、安全评审相关费用,确保安全经费得到落实
B. 在软件安全设计时,邀请软件安全开发专家对软件架构设计进行评审,及时发现架构设计中存在的安全不足
C. 确保对软编码人员进行安全培训,使开发人员了解安全编码基本原则和方法,确保开发人员编写出安全的代码
D. 在软件上线前对软件进行全面安全性测试,包括源代码分析、模糊测试、渗透测试,未经以上测试的软件不允许上线运行
解析:解析:软件的安全测试根据实际情况进行测试措施的选择和组合。
A. 将机房单独设置防火区,选址时远离易燃易爆物品存放区域,机房外墙使用非燃烧材料,进出机房区域的门采用防火门或防火卷帘,机房通风管设防火栓
B. 火灾探测器的具体实现方式包括;烟雾检测、温度检测、火焰检测、可燃气体检测及多种检测复合等
C. 自动响应的火灾抑制系统应考虑同时设立两组独立的火灾探测器,只要有一个探测器报警,就立即启动灭火工作
D. 前在机房中使用较多的气体灭火剂有二氧化碳、七氟丙烷、三氟甲烷等
解析:解析:自动相应一般多个探测器报警才会启动灭火工作,单个报警器报警容易误报。
A. 某用户在登录系统并下载数据后,却声称”我没有下载过数据”软件 R 威胁
B. 某用户在网络通信中传输完数据后,却声称”这些数据不是我传输的”威胁也属于 R 威胁。
C. 对于 R 威胁,可以选择使用如强认证、数字签名、安全审计等技术
D. 对于 R 威胁,可以选择使用如隐私保护、过滤、流量控制等技术
解析:解析:R-抵赖是无法通过过滤、流控和隐私保护实现的,R-抵赖的实现方式包括数字签名、安全审计、第三方公证。
A. IPsec仅能保证传输数据的可认证性和保密性
B. 验证头协议(Authentication Head,AH)和IP封装安全载荷协议(Encapsulating SecurityPayload ,ESP)都能以传输模式和隧道模式工作
C. 在隧道模式中,保护的是整个互联网协议(Internet Protocol ,IP)包,包括P头
D. 在传送模式中,保护的是P负载
解析:解析:IPsec 协议中通过封装安全载荷协议加密需要保护的载荷数据,为这些数据提供机密性和完整性保护能力。
A. WPA是适用于中国的无线局域安全协议,而 WPA2是适用于全世界的无线局域网协议
B. WPA是有线局域安全协议,而WPA2是无线局域网协议
C. WPA是依照802.1li标准草案制定的,而WPA2是依照802.1li正式标准制定的
D. WPA没有使用密码算法对接入进行认证,而WPA2使用了密码算法对接入进行认证
解析:解析:WI-FI联盟在 802.11i标准草案的基础上制定了WPA标准;2004年,IEEE发布了802.11i正式标准(也称为 WPA2) ,在加密算法上采用了基于 AES 的 CCMP 算法。 P341 页。
A. 信息安全事件,是指由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件
B. 对信息安全事件进行有效管理和响应,最小化事件所造成的损失和负面影响,是组织信息安全战略的一部分
C. 应急响应是信息安全事件管理的重要内容
D. 通过部署信息安全策略并配合部署防护措施,能够对信息及信息系统提供保护,杜绝信息安全事件的发生
解析:解析:安全事件无法杜绝。