A、 规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等
B、 设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能需求
C、 实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别,并对系统建成后的安全功能进行验证
D、 运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种全面的风险评估。评估内容包括对真实运行的信息系统、资产、脆弱性等各方面
答案:D
解析:解析:该题目来源于《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007),评估内容包括威胁、脆弱性和影响。
A、 规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等
B、 设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能需求
C、 实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别,并对系统建成后的安全功能进行验证
D、 运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种全面的风险评估。评估内容包括对真实运行的信息系统、资产、脆弱性等各方面
答案:D
解析:解析:该题目来源于《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007),评估内容包括威胁、脆弱性和影响。
A. 利用即时通讯软件的文件传送功能发送带恶意代码的可执行文件
B. 利用即时通讯软件发送指向恶意网页的 URL
C. 利用即时通讯软件发送指向恶意地址的二维码
D. 利用即时通讯发送携带恶意代码的 txt文档
解析:解析:D 项 txt文档不可被执行,所以不是可被利用的传播方式。
A. 威胁建模、源代码审核和模糊测试
B. 应用风险管理、软件安全接触点和安全知识
C. 威胁建模、渗透测试和软件安全接触点
D. 源代码审核、风险分析和渗透测试
解析:解析:BSI 认为软件安全有 3 根支柱:风险管理、软件安全接触点和安全知识, 其强调了在软件的整个生命周期中风险管理的重要性,并要求风险管理框架贯穿整个开发过程。P403页。
A. 确保采购定制的设备、软件和其他系统组件满足已定义的安全要求
B. 确保整个系统已按照领导要求进行了部署和配置
C. 确保系统使用人员已具备使用系统安全功能和安全特性的能力
D. 确保信息系统的使用已得到授权
解析:解析:B 是错误的,不是按照领导要求进行了部署和配置。
A. 统筹规划
B. 分组建设
C. 资源共享
D. 平战结合
解析:解析:灾备工作原则包括统筹规划、资源共享、平战结合。
A. 该文件是一个正常文件,test 用户使用的 shell,test 不能读该文件,只能执行
B. 该文件是一个正常文件,是 test 用户使用的 shell,但 test 用户无权执行该文件
C. 该文件是一个后门程序,该文件被执行时,运行身份是 root ,test 用户间接获得了 root权限
D. 该文件是一个后门程序,由于所有者是 test,因此运行这个文件时文件执行权限为 test
A. 对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施
B. 安全措施主要有预防性、检测性和纠正性三种
C. 安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁
D. 对确认为不适当的安全措施可以置不顾
解析:解析:常识性错误。
A. 国际标准化组织(International Organization for Standardization,ISO)
B. 国际电工委员会(International Electrotechnical Commission,IEC)
C. 国际电信联盟远程通信标准化组织(ITU Telecommunication Standardization Secctor,ITU-T)
D. Internet 工程任务组(Internet Engineering Task Force,IETF)
A. 只要用户拿到了认证服务器(AS)发送的票据许可票据(TGT)并且该 TGT 没有过期,就可以使用该 TGT 通过票据授权服务器(TGS)完成到任一个服务器的认证而不必重新输入密码
B. 认证服务器(AS)和票据授权服务器(TGS)是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于 AS 和 TGS 的性能和安全
C. 该协议通过用户获得票据许可票据、用户获得服务许可票据、用户获得服务三个阶段,仅支持服务器对用户的单向认证
D. 该协议是一种基于对称密码算法的网络认证协议,随用户数量增加,密钥管理较复杂
解析:解析:Kerberos 由 MIT 于 1988 年开发,用于分布式环境中,完成服务器与用户之间的相互认证。
A. 明文,密文,信道,加密算法,解密算法
B. 明文,摘要,信道,加密算法,解密算法
C. 明文,密文,密钥,加密算法,解密算法
D. 消息,密文,信道,加密算法,解密算法
A. 实体所知的鉴别方法
B. 实体所有的鉴别方法
C. 实体特征的鉴别方法
D. 实体所见的鉴别方法