A、 GB/T 20271-2006《信息系统通用安全技术要求》
B、 GB/T 22240-2008《信息系统安全保护等级定级指南》
C、 GB/T 25070-2010《信息系统等级保护安全设计技术要求》
D、 GB/T 20269-2006《信息系统安全管理要求》
答案:B
A、 GB/T 20271-2006《信息系统通用安全技术要求》
B、 GB/T 22240-2008《信息系统安全保护等级定级指南》
C、 GB/T 25070-2010《信息系统等级保护安全设计技术要求》
D、 GB/T 20269-2006《信息系统安全管理要求》
答案:B
A. 明确业务对信息安全的要求
B. 识别来自法律法规的安全要求
C. 论证安全要求是否正确完整
D. 通过测试证明系统的功能和性能可以满足安全要求
解析:解析:D 属于项目的验收阶段,不属于 IT 项目的立项阶段,题干属于立项阶段。
A. 访问控制表(ACL)
B. 访问控制矩阵
C. 能力表(CL)
D. 前缀表(Profiles)
解析:解析:定义主体访问客体的权限叫作 CL。定义客体被主体访问的权限叫 ACL。
A. A 类地址中没有私有地址,B 类和 C 类地址中可以设置私有地址
B. A 类、B 类和 C 类地址中都可以设置私有地址
C. A 类和 B 类地址中没有私有地址,C 类地址中可以设置私有地址
D. A 类、B 类和 C 类地址中都没有私有地址
解析:解析:私有地址就是在互联网上不使用,而被用在局域网络中的地址。A、B、C类地址中均可设置是由地址,其中:A类私有地址是 10.0.0.0 到 10.255.255.255;B 类私有地址 172.16.0.0 到 172.31.255.255;C 类私有地址是 192.168.0.0 到192.168.255.255。
A. 五层;业务需求;分层模型;实施实践;安全链条
B. 六层;分层模型;业务需求;实施实践;安全链条
C. 五层;分层模型;业务需求;实施实践;安全链条
D. 六层;分层模型;实施实践;业务需求;安全链条
解析:解析:SABSA 舍伍德模型六层模型,从安全角度定义了业务需求
A. 某网站在访问量突然增加时对用户连接数量进行了限制,保证已登录的用户可以完成操作
B. 在提款过程中 ATM 终端发生故障,银行业务系统及时对该用户的账户余额进行了冲正操作
C. 某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作
D. 李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看。
解析:解析:冲正是为系统认为可能交易失败时采取的补救手法。即一笔交易在终端已经置为成功标志,但是发送到主机的账务交易包没有得到响应,即终端交易超时,所以不确定该笔交易是否在主机端也成功完成,为了确保用户的利益,终端重新向主机发送请求,请求取消该笔交易的流水,如果主机端已经交易成功,则回滚交易,否则不处理,然后将处理结果返回给终端。本题中 A 为可用性,B 为完整性,C 是抗抵赖,D 是保密性。冲正是完整性纠正措施,是 Clark-Wilson 模型的应用,解决数据变化过程的完整性。
A. 关键信息基础设施是国家最为重要的设施,包括三峡大坝水利设施、神舟载人航天设施和高铁网络设施
B. 等级保护定级的系统属于关键信息基础设施
C. 我国总体国家安全观将信息安全作为国家安全的一个重要组成部分,说明缺少信息安全我国的国家安全将无法得到保障
D. 关键信息基础设施不会向公众提供服务,所以受到攻击损害后不会影响到我们日常生活
解析:解析:关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统。显然载人航天不属于,等级保护定级有 1-5 级,定级标准和要求和关键信息基础设施保护有很大的不同,所以 B 错误;D 概念错误。
A. IPSec
B. PP2P
C. L2TP
D. SSL
解析:解析:IPSec 工作在网络层,PP2P 和 L2TP 工作在数据链路层,SSL 工作在传输层。P338 页。
A. 对于重要的服务,应在测试环境中安装并确认补丁兼容性问题后再在正式生产环境中部署
B. 对于服务器等重要设备,立即使用系统更新功能安装这批补丁,用户终端计算机由于没有重要数据,由终端自行升级
C. 本次发布的漏洞目前尚未出现利用工具,因此不会对系统产生实质性危害,所以可以先不做处理
D. 由于本次发布的数个漏洞都属于高危漏洞,为了避免安全风险,应对单位所有的服务器和客户端尽快安装补丁
解析:解析:对于重要的服务,在测试环境中安装并确定补丁的兼容性问题后再在正式生产环境中部署,这样可以有效的避免应补丁升级后可能会对系统服务造成不必要的影响。
A. 安全事件管理、供应商关系、业务安全性审计
B. 信息安全方针、信息安全组织、资产管理
C. 安全采购、开发与维护、合规性
D. 人力资源安全、物理和环境安全、通信安全
解析:解析:ISO27001 信息安全管理体系包含了 14 个控制域详见 P103 页,没有业务安全性审计
A. .风险; 风险; 信息系统:风险管理
B. 风险; 风险; 风险管理; 信息系统
C. 风险管理; 信息系统; 风险;风险
D. 风险管理; 风险; 风险 ;信息系统
解析:解析:P84 页