44.在实施信息安全风险评估时,需要对资产的价值进行识别、分类和赋值,关于资产价值的评估,以下选项中正确的是()
A. 资产的价值指采购费用
B. 资产的价值指维护费用
C. 资产的价值与其重要性密切相关
D. 资产的价值无法估计
https://www.shititong.cn/cha-kan/shiti/0005fc54-67f9-c988-c0ba-f2840f59e003.html
点击查看答案
37.对于关键信息基础设施的理解以下哪项是正确的()
A. 关键信息基础设施是国家最为重要的设施,包括三峡大坝水利设施、神舟载人航天设施和高铁网络设施
B. 等级保护定级的系统属于关键信息基础设施
C. 我国总体国家安全观将信息安全作为国家安全的一个重要组成部分,说明缺少信息安全我国的国家安全将无法得到保障
D. 关键信息基础设施不会向公众提供服务,所以受到攻击损害后不会影响到我们日常生活
解析:解析:关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统。显然载人航天不属于,等级保护定级有 1-5 级,定级标准和要求和关键信息基础设施保护有很大的不同,所以 B 错误;D 概念错误。
https://www.shititong.cn/cha-kan/shiti/0005fc54-66a2-01b8-c0ba-f2840f59e00b.html
点击查看答案
39.某黑客通过分析和整理某报社记者小张的博客,找到一些有用的信息,通过伪装的新闻线索,诱使其执行木马程序,从而控制了小张的电脑,并以她的电脑为攻击的端口,使报社的局域网全部感染木马病毒,为防范此类社会工程学攻击,报社不需要做的是()
A. 加强信息安全意识培训,提高安全防范能力,了解各种社会工程学攻击方法,防止受到此类攻击
B. 建立相应的安全相应应对措施,当员工受到社会工程学的攻击,应当及时报告
C. 教育员工注重个人隐私保护
D. 减少系统对外服务的端口数量,修改服务旗标
解析:解析:D 和社工无关。
https://www.shititong.cn/cha-kan/shiti/0005fc54-675f-46d8-c0ba-f2840f59e007.html
点击查看答案
52.以下哪一种判断信息系统是否安全的方式是最合理的?
A. 是否己经通过部署安全控制措施消灭了风险
B. 是否可以抵抗大部分风险
C. 是否建立了具有自适应能力的信息安全模型
D. 是否已经将风险控制在可接受的范围内
解析:解析:判断风险控制的标准是风险是否控制在接受范围内。
https://www.shititong.cn/cha-kan/shiti/0005fc54-67f9-c988-c0ba-f2840f59e00b.html
点击查看答案
99.在设计信息系统安全保障方案时,以下哪个做法是错误的 ()
A. 要充分企切合信息安全需求并且实际可行
B. 要充分考虑成本效益, 在满足合规性要求和风险处置要求的前提下, 尽量控制成本
C. 要充分采取新技术,在使用过程中不断完善成熟,精益求精,实现技术投入保障要求
D. 要充分考虑用户管理和文化的可接受性,减少系统方案实验障碍
解析:解析:安全保障方案,一般谨慎选择新技术, 大部分情况选择一些经过检验的成熟的安全技术。
https://www.shititong.cn/cha-kan/shiti/0005fc54-65f2-fd08-c0ba-f2840f59e010.html
点击查看答案
68.随着计算机在商业和民用领域的应用,安全需求变得越来越多样化, 自主访问控制和强制访问控制难以适应需求,基于角色的访问控制 ( ) 逐渐成为安全领域的一个研究热点。RBAC 模型可以分为 RBAC0、RBAC1、RBAC2 和 RBAC3四种类型,它们之间存在相互包含关系。下列选项中,对它们之间的关系描述错误的是 () 。
A. RBACO 是基于模型,RBAC1、RBAC2 和 RBAC3 都包含 RBAC0
B. RBAC1 在 RBAC0 的基础上,加入了角色等级的概念
C. RBAC2 在 RBAC1 的基础上,加入了约束的概念
D. RBAC3 结合 RBAC1 和 RBAC2,同时具备角色等级和约束
解析:解析:RBAC2 在 RBAC0 的基础上,加入了约束的概念,P313 页
https://www.shititong.cn/cha-kan/shiti/0005fc54-653c-bcc8-c0ba-f2840f59e012.html
点击查看答案
11.某学员在学习国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》(GB/T 20274.1-2006)后,绘制了一张简化的信息系统安全保障模型图,如下所示。请为图中括号空白处选择合适的选项()
A. 安全保障(方针和组织)
B. 安全防护(技术和管理)
C. 深度防御(策略、防护、检测、响应)
D. 保障要素(管理、工程、技术、人员)
https://www.shititong.cn/cha-kan/shiti/0005fc54-67f9-c1b8-c0ba-f2840f59e00a.html
点击查看答案
59.安全审计是一种很常见的安全控制措施, 它在信息全保障系统中, 属于() 措施。
https://www.shititong.cn/cha-kan/shiti/0005fc54-65f2-f920-c0ba-f2840f59e003.html
点击查看答案
96.提高 Apache 系统( )系统安全性时,下面哪项措施不属于安全配置()?
A. 不在 Windows 下安装 Apache,只在 Linux 和 Unix 下安装
B. 安装 Apache 时,只安装需要的组件模块
C. 不使用操作系统管理员用户身份运行 Apache,而是采用权限受限的专用用户账号来运行
D. 积极了解 Apache 的安全通告,并及时下载和更新
解析:解析:A 不属于安全配置,而属于部署环境选择。
https://www.shititong.cn/cha-kan/shiti/0005fc54-675f-4ea8-c0ba-f2840f59e008.html
点击查看答案
79.Hadoop 是目前广泛应用的大数据处理分析平台。在 Hadoop1.0.0 版本之前,Hadoop并不存在安全认证一说。认集群内所有的节点都是可靠的,值得信赖的。用户与服务器进行交互时并不需要进行验证。导致在恶意用户装成真正的用户或者服务器入侵到 Hadoop 集群上,恶意的提交作业篡改分布式存储的数据伪装成 Name No TaskTracker 接受任务等。在Hadoop2.0 中引入 Kerberos 机制来解决用户到服务器认证问题,Kerberos 认证过程不包括()
A. 获得票据许可票据
B. 获得服务许可票据
C. 获得密钥分配中心的管理权限
D. 获得服务
解析:解析:ABD 是 Kerberos 认证的三步曲
https://www.shititong.cn/cha-kan/shiti/0005fc54-66a2-05a0-c0ba-f2840f59e01b.html
点击查看答案