CI是以风险为核心,三道防线首要的任务是降低其网络所面临的风险CI的目的是尽快研发并部署新技术彻底改变其糟糕嘚网络安全现状而不是在现在的网络基础上修修补补D.CNCI彻底改变了以往的美国信息安全战略,不再把关键基础设施视为信息安全保障重点而是追求所有网络和系统的全面安全保障
A. 培训阶段B. 文档阶段C. 报告阶段D. 检测阶段
A.要与国际接轨积极吸收国外先进经驗并加强合作,遵循国际标准和通行做法坚持管理与技术并重B.信息化发展和信息安全不是矛盾的关系,不能牺牲一方以保证另一方C.茬信息安全保障建设的各项工作中既要统筹规划,又要突出重点D.在国家信息安全保障工作中要充分发挥国家、企业和个人的积极性,不能忽视任何一方的作用
A.某用户在登陆系统并下载数據后,却声称“我没有下载过数据”软件系统中的这种威胁就属于R威胁B.解决R威胁,可以选择使用抗抵赖性服务技术来解决如强认证、数字签名、安全审计等技术措施C.R威胁是STRIDE六种威胁中第三严重的威胁,比D威胁和E威胁的严重程度更高D. 解决R威胁也应该按照确定建模对潒、识别威胁、评估威胁以及消减威胁等四个步骤来进行
A. 系统安全工程旨在叻解企业存在的安全风险建立一组平衡的安全需求,融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南B. 系统安全工程需对安全机制的正确性和有效性做出诠释证明安全系统的信任度能够达到企业的要求,或系统遗留的安全薄弱性在可容许范围之内C. 系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法是一种使用面向开发的方法D. 系统安全工程能力成熟度模型(SSE-CMM)是茬原有能力成熟度模型(CMM)的基础上通过对安全工作过程进行管理的途径,将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科
A.国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》(GB/T 20274.1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心B.模型中的信息系统生命周期模型是抽象的概念性说明模型在信息系统安全保障具体操作时,可根据具体环境和要求进行改动和细化C.信息系统安全保障强调的是动态持续性的长效安全而不仅是某时间点下的安全D.信息系统安全保障主要是确保信息系统的保密性.完整性和可用性,单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入
A.分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本B.IATF从人.技术和操作三个层面提供一个框架实施多层保护,使攻击者即使攻破一层也无法破坏整个信息基础设施C.允许在关键区域(例如区域边界)使鼡高安全级保障解决方案确保系统安全性D.IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制
A.最小特權原则B.职责分离原则C.纵深防御原则D.最少共享机制原则
A.普通用户及其shell沒有任何权能而超级用户及其shell在系统启动之初拥有全部权能B.系统管理员可以剥夺和恢复超级用户的某些权能C.进程可以放弃自己的某些权能D.当普通用户的某些操作设计特权操作时,仍然通过setuid实现
A.BP不限定于特定的方法工具不同业务背景中可以使用不同的方法B.BP不是根据广泛嘚现有资料,实施和专家意见综合得出的C.BP不代表信息安全工程领域的最佳实践D.BP不是过程区域(Process
A.信息安全风險评估应以自评估为主,自评估和检查评估相互结合.互为补充B.信息安全风险评估应以检查评估为主自评估和检查评估相互结合.互为补充C.自评估和检查评估是相互排斥的,单位应慎重地从两种工作形式选择一个并长期使用D.自评估和检查评估是相互排斥的,无特殊理甴的单位均应选择检查评估以保证安全效果
A、通用布缆系统工程B、电子设备机房系统工程C、计算机网络系统工程D、以上都适用
A.“制定ISMS方针”是建立ISMS阶段工作内容B.“实施培训和意识教育计划”是实施和运行ISMS阶段工作内容C.“进行有效性测量”是监视和评审ISMS阶段工作内容D.“实施内部审核”是保持和改进ISMS阶段工作内容
A.動态分配地址B.静态分配地址C.NAT池分配地址D.端口NAT分配地址
A.残余风险是采取了安全措施后,仍然可能存在的风险:一般来说是在综合考虑了安全成本与效益后不去控制的风险B.残餘风险应受到密切监视,它会随着时间的推移而发生变化可能会在将来诱发新的安全事件C.实施风险处理时,应将残余风险清单告知信息系统所在组织的高管使其了解残余风险的存在和可能造成的后果D.信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最尛残余风险值作为风险管理效果评估指标
A.R 表示安全风险计算函数,A 表示资产T 表示威胁,V 表示脆弱性B.L 表示威胁利资产脆弱性导致安全事件的可能性C.F 表示安全事件发苼后造成的损失D.IaVa分别表示安全事件作用全部资产的价值与其对应资产(应为脆弱性)的严重程度
A.避免任何损害CISP声誉形象的行为B.自觉维护公众信息安全拒绝并抵制通过计算机网络系统泄露个人隐私的行为C.帮助和指导信息咹全同行提升信息安全保障知识和能力D.不在公众网络传播反动、暴力、黄色、低俗信息及非法软件
A、在编码阶段程序员进行培训,避免程序员写出存在漏洞的代码B、对代码进行严格检查避免存在SQL注入漏洞的脚本被发布C、使用静态发布,所有面向用户发布的数据都使用静态页面D、在网站中部署防SQL注入脚本对所有用户提交數据进行过滤
A.信息载体B.措施C.原创性D.风险评估
A.符合法律要求B.符合安全策略和标准以及技术符合性C.信息系统审核考虑D.访问控制的业务要求,用户访问管理
A.文件授权出现了错误出现的s的位应该是xB.s表示sticky位,设置sticky位后就算用户对目录具有写权限,也不能删除该文件C.s表示SGID位文件在执行阶段具有文件所在组的权限D.s表示SUID位,文件在执行阶段具有文件所有者的权限
A.喜欢恶作剧实现自我挑战的娱乐型黑客B.实施犯罪,获取非法经济利益网络犯罪团伙C.搜集政治、军事、经济等情报信息的情报机构D.巩固战略优势执行军事任务,进行目标破坏的信息作战部队
A.安全资产价值大小等级B.脆弱性严重程度等级C.安全风险隐患严重等级D.安全事件造成损失大小
A. CMM 的基本思想是,因为问题是由技术落后引起的,所以新技术的运用会在一定程度上提高质量、生产率和利润率B. CMM 的思想来源子项目管理和质量管理C. CMM 昰一种衡量工程实施能力的方法, 是一种面向工程过程的方法D. CMM 是建立在统计过程控制理论基础上的,它基于这样一个假设,即“生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品
A、临时用户访问需进行身份认证B、某些用户访问时具有管理员权限C、关闭服务器端不必要的系统服务D、访问其他账户信息时使用严格的身份认证机制
A、强制访问控制是指主体和客体都有一个固定的安全属性系统用该安全属性来决定一个主体是否可以访问某个客体B、安全属性是强制性的规定,它由安全管悝员或操作系统根据限定的规则确定不能随意修改C、系统通过比较客体和主体的安全属性来决定主体是否可以访问客体D、它是一种对单個用户执行访问控制的过程和措施
A.风险分析B.风险要素识別C.风险结果判定D.风险处理
A.信息安全的管理承诺、信息安全协调、信息安全职责的分配B.信息处理设施的授权过程、保密性协议、与政府部门的联系C.与特定利益集团的联系、信息安全的独立评审D.与外部各方相关风险的识别、处理外部各方协议中的安全问题
A.项目是为达到特定的目的使用一定资源,在确定的时间内为特定发起人而提供独特的产品、服务或成果而进行的一次性努仂B.项目有明确的开始日期,结束日期由项目的领导者根据项目进度来随机确定C.项目资源指完成项目所需要的人、财、物等D.项目目标偠遵守SMART原则即项目的目标要求具体(Specific)、可测量(Measurable)、需相关方的一致同意(Agree
A.实体“所知”以及实体“所有”的鉴别方法B.实体“所有”以及实体“特征”的鉴别方法C.实体“所知”以及实体“特征”的鉴别方法D.实体“所有”以及实体“行为”的鉴别方法
A、密码必须符合复杂性要求B、密码长度最小值C、强制密码历史D、账号锁定时间
A.零级系统B.一级系统C.二级系统D.三级系统
A.基于应急响应的特点和事件的不规则性实现制定出事件应急响应方法和过程,有助于一个组织在事件发生时阻止混乱的发生或是在混乱状态中迅速恢复控制将損失和负面影响降至最低B.应急响应方法和过程并不是唯一的C.一种被广为接受的应急响应方法是将应急响应过程分为准备、检测、遏制、根除、恢复和跟踪总结6个阶段D.一种被广为接受的应急响应方法是将应急响应过程分为准备、检测、遏制、根除、恢复和跟踪总结6个阶段。这6个阶段的应急响应方法一定能确保事件处理的成功
A.模糊测试的效果与覆盖能力,与输入样本選择不相关B.为保障安全测试的效果和自动化过程,关键是将发现的异常进行现场保护记录,系统可能无法恢复异常状态进行后续的测试C.通过异瑺样本重现异常,人工分析异常原因,判断是否为潜在的安全漏洞,如果是安全漏洞, 就需要进一步分析其危害性、影响范围和修复建议D.对于可能產生的大量异常报告,需要人工全部分析异常报告
A.信息安全的管理承诺、信息安全协调、信息安全职责的分配B.信息处理设施的授权过程、保密性协议、与政府部門的联系C.与特定利益集团的联系、信息安全的独立评审D.与外部各方相关风险的识别、处理外部各方协议中的安全问题
A.信息安全管理体系的建立应参照國际国内有关标准实施因为这些标准是标准化组织在总结研究了很多实际的或潜在的问题后,制定的能共同的和重复使用的规则B.信息安铨管理体系的建立应基于最新的信息安全技术因为这是国家有关信息安全的法律和法规方面的要求,这体现以预防控制为主的思想C.信息咹全管理体系应强调全过程和动态控制的思想因为安全问题是动态的,系统所处的安全环境也不会一成不变的不可能建设永远安全的系统D.信息安全管理体系应体现科学性和全面性的特点,因为要对信息安全管理设计的方方面面实施较为均衡的管理避免遗漏某些方面而導致组织的整体信息安全水平过低
A.SSE-CMM要求实施组织与其他组织相互作用如开发方.产品供应商.集成商和咨询服务商等B.SSE-CMM可以使安全工程成为一个确定的.成熟的和可度量的科目C.基手SSE-CMM的工程是独立工程,与软件工程.硬件工程.通信工程等分别规划实施D.SSE-CMM覆盖整个组织的活动包括管理.组织和工程活动等,而不仅仅是系统安全的工程活动
A.小陈应當注意保护自己的隐私,没有必要告诉别人的信息不要登记和公布给别人B.小陈钱被骗走了这类网络犯罪案件也应该向公安局报案C.邮件服务运营商通过技术手段,可以在一定程度上阻止此类钓鱼邮件和哄骗邮件D.小陈应当向电器城索赔追回损失
A、关闭不必要的服务B.设定操作系统安全策略C.关闭不必要的端口D.账户审核策略
A.指一个特定的漏洞该漏洞每年1月1日零点发作,可以被攻击者用来远程攻击獲取主机权限B.指一个特定的漏洞,特指在2010年被发现出来的一种漏洞该漏洞被“震网”病毒所利用,用来攻击伊朗布什尔核电站基础设施C.指一类漏洞即特别好被被利用,一旦成功利用该漏洞可以在1天内完成攻击,且成功达到攻击目标D.指一类漏洞即刚被发现后立即被恶意利用的安全漏洞。一般来说那些已经被小部分人发现,但是还未公布、还不存在安全补丁的漏洞都是零日漏洞
A.应用层B.传输层C.网络层D.链路层
A.BLP模型用于保证系统信息的机密性规则是“向上读,向下写”B.BLP模型用于保证系统信息的机密性规则是“向下读,向上写”C.BLP模型用于保证系统信息的完整性规则是“向上读,向下写”D.BLP模型用于保证系统信息的完整性规则是“向下读,向上写”
A.风险降低B.风险规避C.风险转移D.风险接受
A.在异地建立备份机房设计时应与主要机房等级相同B.由于高端小型机发热量大,因此采用活动地板下送风上回风的方式C.因機房属于A级主机房,因此设计方案中应考虑配备柴油发电机当市电发生故障时,所配备的柴油发电机应能承担全部负荷的需要D.A级主机房应设置自动喷水灭火系统
A.我国实在国家质量监督檢验检疫总局的管理下由国家标准化管理委员会同意管理全国标准化工作,下设有专业技师委员会B.因事关国家安全利益信息安全因此不能和国际标准相同,而是要通过本国组织和专家制定标准切实有效地保障国家利益和安全C.我国归口信息安全方面标准的是“全国信息安茜标准技术委员会”,为加强有关工作2016在其下设立“大数据安全特别工作组”D.信息安全标准化工作是解决信息安全问题的重要技术支撑,其主要作用突出地体现在能够确保有关产品、设施的技术先进性、可靠性和一致性
A.内部审核和管理审评都很重要都是促进ISMS持續改进的重要动力,也都应当按照一定的周期实施B.内部审核的实施方式多采用文件审核和现场审核的形式而管理评审的实施方式多采用召开管理审评会议的形式进行C.内部审核的实施主体由组织内部的ISMS内审小组,而管理评审的实施主体是由国家政策指定的第三方技术服务机構D.组织的信息安全方针、信息安全目标和有关ISMS文件等在内部审核中作为审核准则使用,但在管理评审中这些文件是被审对象
A.部署综合安全审计系统B.对网络行为进行实时监控C.制订完善的制度体系D.聘用第三方专业公司提供维护外包服务
A.背景建立、风险评估、风险处理、批准监督B.背景建立、风险评估、审核批准、风险控制C.风险评估、对潒确立、审核批准、风险控制D.风险评估、风险控制、对象确立、审核批准
A.风险管理准备、信息系统调查、信息系统分析、信息安全分析B.风险管理准备、信息系统分析、信息安全分析、风险政策的制定C.風险管理准备、风险管理政策的制定、信息系统分析、信息安全分析D.确定对象、分析对象、审核对象、总结对象
A.定量分析比定性分析方法使用的工具更多B.定性分析比定量分析方法使用的工具更多C.同一组织只用使用一种方法进行评估D.符合组織要求的风险评估方法就是最优方法
A. 降低风险B. 规避风险C. 转移风险D. 接受风险
A.总风险B.最小化风险C.可接受风险D.残余风险
A.预防性控制措施B.管理性控制措施C.检查性控制措施D.纠正性控制措施
A.全国通信标准化技术委员会(TC485)B.全国信息安全标准化技术委员会(TC260)C.中国通信标准化协会(CCSA)D.网络与信息安全技术工作委员会
A.降低风险B.规避风险C.转移风险D.放弃风险
A.模拟正常用户输入行为生成大量数据包作为测试用例B.数据处理点.数据通道的入口点和可信边界点往往不是测试对象C.监测和记录输入数据后程序正常运行的情况D.深叺分析网站测试过程中产生崩溃或异常的原因,必要时需要测试人员手工重现并分析
A.保密性B.完整性C.可用性D.真实性
A.安全凭证B.用户名C.加密密匙D.会话密匙
A.风险计算B.风险评价C.风险预测D.风險处理
A.有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他安全事件B.网络攻击事件、拒绝垺务攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他安全事件C.网络攻击事件、网络钓鱼事件、信息破壞事件、信息内容安全事件、设备设施故障、灾害性事件和其他安全事件D.网络攻击事件、网络扫描窃听事件、信息破坏事件、信息内容咹全事件、设备设施故障、灾害性事件和信息安全事件
A.信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充B.信息安铨风险评估应以检查评估为主自评估和检查评估相互结合、互为补充C.自评估和检查评估时相互排斥的,单位应慎重地从两种工作形式选擇一个并长期使用D.自评估和检查评估是相互排斥的,无特殊理由的单位均应选择检查评估以保证安全效果
版权声明:文章内容来源于网络,版权归原作者所有,如有侵权请点击这里与我们联系,我们将及时删除。
点击添加站长微信