A、 实体“所知”以及实体“所有”的鉴别方法
B、 实体“所有”以及实体“特征”的鉴别方法
C、 实体“所知”以及实体“特征”的鉴别方法
D、 实体“所有”以及实体“行为”的鉴别方法
答案:A
解析:解析:解释:题目中安全登录会涉及到账号密码为实体所知,智能卡和短信是实体所有。
A、 实体“所知”以及实体“所有”的鉴别方法
B、 实体“所有”以及实体“特征”的鉴别方法
C、 实体“所知”以及实体“特征”的鉴别方法
D、 实体“所有”以及实体“行为”的鉴别方法
答案:A
解析:解析:解释:题目中安全登录会涉及到账号密码为实体所知,智能卡和短信是实体所有。
A. 法律法规与合同条约的要求
B. 组织的原则、目标和规定
C. 风险评估的结果
D. 安全架构和安全厂商发布的病毒、漏洞预警
解析:解析:解释:安全需求来源于内部驱动,D是外部参考要素,不属于信息安全需求的主要来源。
A. 信息系统安全保障目的
B. 环境安全保障目的
C. 信息系统安全保障目的和环境安全保障目的
D. 信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的
解析:解析:解释:GB/T20274信息系统保障评估框架从管理、技术、工程和总体方面进行评估。
A. 用户访问日志、安全性日志、系统日志和IE日志
B. 应用程序日志、安全性日志、系统日志和IE日志
C. 网络攻击日志、安全性日志、记账日志和IE日志
D. 网络链接日志、安全性日志、服务日志和IE日志
A. 有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件
B. 网络贡献事件、拒绝服务攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件
C. 网络攻击事件、网络钓鱼事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件
D. 网络攻击事件、网络扫描窃听事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件
解析:解析:解释:根据标准知识点,安全事件分为:有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件。
A. MAC和散列函数都是用于提供消息认证
B. MAC的输出值不是固定长度的,而散列函数的输出值是固定长度的
C. MAC和散列函数都不需要密钥
D. MAC和散列函数都不属于非对称加密算法1)MAC:消息验证、完整性校验、抗重放攻击;输出不固定的;MAC需密钥;不是非对称。2)哈希:消息验证、完整性校验;输出是固定的;不需要密钥;不是非对称。
A. 0.5
B. 1
C. 2
D. 3
解析:解析:解释:等级保护三级系统一年测评一次,四级系统每半年测评一次。
A. 标识与鉴别
B. 访问控制
C. 权限管理
D. 网络云盘存取保护
A. 某用户在登陆系统并下载数据后,却声称“我没有下载过数据”,软件系统中的这种威胁就属于R威胁
B. 解决R威胁,可以选择使用抗抵赖性服务技术来解决,如强认证、数字签名、安全审计等技术措施
C. R威胁是STRIDE六种威胁中第三严重的威胁,比D威胁和E威胁的严重程度更高
D. 解决R威胁,也应按照确定建模对象、识别威胁、评估威胁以及消减威胁等四个步骤来进行
解析:解析:解释:STRIDE代表6种威胁的简称,无严重程度之分。S-欺骗,T-篡改,R-抵赖,I-信息泄露,D-拒绝服务,E-权限提升(攻击)。
A. 在编码阶段程序员进行培训,避免程序员写出存在漏洞的代码
B. 对代码进行严格检查,避免存在SQL注入漏洞的脚本被发布
C. 使用静态发布,所有面向用户发布的数据都使用静态页面
D. 在网站中防SQL注入脚本,对所有用户提交数据进行过滤
A. 《风险评估方案》
B. .《风险评估程序》
C. 《资产识别清单》
D. .《风险评估报告》
