A、背景建立的依据是国家、地区或行业的相关政策、法律、法规和标准,以及机构的使命、信息系统的业务目标和特性
B、背景建立阶段应识别需要保护的资产、面临的威胁以及存在的脆弱性,并分别赋值,同时确认已有的安全措施,形成需要保护的资产清单
C、背景建立阶段应调查信息系统的业务目标、业务特性、管理特性和技术特性,形成信息系统的描述报告
D、背景建立阶段应分析信息系统的体系结构和关键要素,分析信息系统的安全环境和要求,形成信息系统的安全要求报告
答案:B
A、背景建立的依据是国家、地区或行业的相关政策、法律、法规和标准,以及机构的使命、信息系统的业务目标和特性
B、背景建立阶段应识别需要保护的资产、面临的威胁以及存在的脆弱性,并分别赋值,同时确认已有的安全措施,形成需要保护的资产清单
C、背景建立阶段应调查信息系统的业务目标、业务特性、管理特性和技术特性,形成信息系统的描述报告
D、背景建立阶段应分析信息系统的体系结构和关键要素,分析信息系统的安全环境和要求,形成信息系统的安全要求报告
答案:B
A. 配置MD5安全算法可以提供可靠地数据加密
B. 配置AES算法可以提供可靠的数据完整性验证
C. 部署IPsec VPN网络时,需要考虑IP地址的规划,尽量在分支节点使用可以聚合的IP地址段,来减少IPsec安全关联(Security Authentication,SA)资源的消耗
D. 报文验证头协议(Authentication Header,AH)可以提供数据机密性
A. 风险过程
B. 工程过程
C. 保证过程
D. 评估过程
A. 存储虚拟化
B. 内存虚拟化
C. 系统虚拟化
D. 网络虚拟化
A. UTM
B. FW
C. IDS
D. SOC
A. 资产识别是指对需要保护的资产和系统等进行识别和分类
B. 威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性
C. 脆弱性识别以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估
D. 确认已有的安全措施仅属于技术层面的工作,牵涉到具体方面包括:物理平台、系统平台、网络平台和应用平台
A. 部署击键监控程序
B. 部署病毒扫描应用软件
C. 部署状态检测防火墙
D. 部署调试器应用程序
A. BP不限定于特定的方法或工具,不同的业务背景中可以使用不同的方法
B. BP不是根据广泛的现有资料、实践和专家意见综合得出的
C. BP不代表信息安全工程领域的最佳实践
D. BP不是过程区域(Process Areas,PA)的强制项
A. 仅SMTP
B. 仅POP
C. SMTP 和POP
D. 以上都不正确
A. cookie 是一小段存储在浏览器端文本信息,web 应用程序可以读取cookie 包含的信息
B. cookie 可以存储一些敏感的用户信息,从而造成一定的安全风险
C. 通过cookie 提交精妙构造的移动代码,绕过身份验证的攻击叫做cookie 欺骗
D. 防范cookie 欺骗的一个有效方法是不使用cookie 验证方法,而使用session 验证方法
A. DMZ
B. 内网主干
C. 内网关键子网
D. 外网入口