A、 源代码审核过程遵循信息安全保障技术框架模型(IATF),在执行时应一步一步严格执行
B、 源代码审核有利于发现软件编码中存在的安全问题,相关的审核工具既有商业开源工具
C、 源代码审核如果想要有效率高,则主要依赖人工审核而不是工具审核,因为人工智能的,需要人的脑袋来判断
D、 源代码审核能起到很好的安全保证作用,如果执行了源代码审核,则不需要安全测试
答案:B
解析:解析:A 错误,因为 IATF 不用于代码审核;C 错误,因为人工和攻击相结合;D 错误,安全测试由需求确定。
A、 源代码审核过程遵循信息安全保障技术框架模型(IATF),在执行时应一步一步严格执行
B、 源代码审核有利于发现软件编码中存在的安全问题,相关的审核工具既有商业开源工具
C、 源代码审核如果想要有效率高,则主要依赖人工审核而不是工具审核,因为人工智能的,需要人的脑袋来判断
D、 源代码审核能起到很好的安全保证作用,如果执行了源代码审核,则不需要安全测试
答案:B
解析:解析:A 错误,因为 IATF 不用于代码审核;C 错误,因为人工和攻击相结合;D 错误,安全测试由需求确定。
A. 安全事件管理、供应商关系、业务安全性审计
B. 信息安全方针、信息安全组织、资产管理
C. 安全采购、开发与维护、合规性
D. 人力资源安全、物理和环境安全、通信安全
解析:解析:ISO27001 信息安全管理体系包含了 14 个控制域详见 P103 页,没有业务安全性审计
A. 明文根据密钥被不同的密文字母代替
B. 明文字母不变,仅仅是位置根据密钥发生改变
C. 明文和密钥的每个 bit 异或
D. 明文根据密钥作移位
A. 协议可以分为两个步骤:一是用户身份鉴别;二是获取请求服务
B. 协议可以分为两个步骤:一是获得票据许可票据;二是获取请求服务
C. 协议可以分为三个步骤:一是用户身份鉴别;二是获得票据许可票据;三是获得服务许可票据
D. 协议可以分为三个步骤:一是获得票据许可票据 二是获得服务许可票据;三是获得服务
A. ①②③④⑤
B. ②⑤①③④
C. ①②④③⑤
D. ②③①⑤④
解析:解析:计算机系统安全保护等级划分思想提出(1994-1999);等级保护工作试点(2002-2006);等级保护相关政策文件颁布(2004-2009);等级保护相关标准发布(2008-2014);网络安全法明确我国实行网络安全等级保护制度(2016);P61 页
A. 减少系统日志的系统开销
B. 禁用或删除不需要的服务,降低服务运行权限
C. 设置策略避免系统出现弱口令并对口令猜测进行防护
D. 对系统连续进行限制, 通过软件防火墙等技术实现对系统的端口连续进行控制
解析:解析:系统日志不应该减少
A. 软件在 Linux 下按照时,设定运行时使用 nobody 用户运行实例
B. 软件的日志备份模块由于需要备份所有数据库数据,在备份模块运行时,以数据库备份操作员账号连接数据库
C. 软件的日志模块由于要向数据库中的日志表中写入日志信息,使用了一个日志用户账号连接数据库,该账号仅对日志表拥有权限
D. 为了保证软件在 Windows 下能稳定的运行,设定运行权限为 system,确保系统运行正常,不会因为权限不足产生运行错误
解析:解析:SYSTEM 权限是最大权限,违反了最小特权的原则。
A. 背景建立
B. 风险评估
C. 风险处理
D. 批准监督
解析:解析:”安全产品选择”是为了进行风险处理。
A. BP 不限定于特定的方法工具,不同业务背景中可以使用不同的方法
B. BP 不是根据广泛的现有资料,实施和专家意见综合得出的
C. BP 不代表信息安全工程领域的最佳实践
D. BP 不是过程区域(Process Areas,PA )的强制项
解析:解析:BP 属于安全工程的最小单元,其不限定于特定的方法工具,不同业务背景中可以使用不同的方法;是根据广泛的现有资料,实施和专家意见综合得出的;代表着信息安全工程领域的最佳实践;并且是过程区域(Process Areas,PA )的强制项。
A. 信息系统自身存在脆弱性是根本原因。信息系统越来越重要,同时自身在开发、部署和使用过程中存在的脆弱性,导致了诸多的信息安全事件发生。因此,杜绝脆弱性的存在是解决信息安全问题的根本所在
B. 信息系统面临诸多黑客的威胁,包括恶意攻击者和恶作剧攻击者。信息系统应用越来越广泛,接触信息系统的人越多y信息系统越可能遭受攻击。因此,避免有恶意攻击可能的人接触信息系统就可以解决信息安全问题
C. 信息安全问题的根本原因是内因、外因和人三个因素的综合作用,内因和外因都可能导致安全事件的发生,但最重要的还是人的因素,外部攻击者和内部工作人员通过远程攻击、本地破坏和内外勾结等手段导致安全事件发生。因此,对人这个因素的防范应是安全工作重点
D. 信息安全问题产生的根源要从内因和外因两个方面分析,因为信息系统自身存在脆弱性,同时外部又有威胁源,从而导致信息系统可能发生安全事件。因此,要防范信息安全风险,需从内外因同时着手
解析:解析:从根源来说, 信息安全问题可以归因于内因和外因两个方面。P3 页。
A. ISMS;PDCA 过程;行动和过程;信息安全结果
B. PDCA;ISMS 过程;行动和过程;信息安全结果
C. ISMS;PDCA 过程;信息安全结果;行动和过程
D. PDCA;ISMS 过程;信息安全结果;行动和过程