A、 要求所有的开发人员参加软件安全开发知识培训
B、 要求增加软件源代码审核环节,加强对软件代码的安全性审查
C、 要求统一采用Windows8系统进行开发,不能采用之前的Windows版本
D、 要求邀请专业队伍进行第三方安全性测试,尽量从多角度发现软件安全问题
答案:C
解析:解析:解释:统一采用Windows8系统对软件安全无帮助。
A、 要求所有的开发人员参加软件安全开发知识培训
B、 要求增加软件源代码审核环节,加强对软件代码的安全性审查
C、 要求统一采用Windows8系统进行开发,不能采用之前的Windows版本
D、 要求邀请专业队伍进行第三方安全性测试,尽量从多角度发现软件安全问题
答案:C
解析:解析:解释:统一采用Windows8系统对软件安全无帮助。
A. 风险处理措施确定以后,应编制详细的残余风险清单,并获得管理层对残余风险的书面批准,这也是风险管理中的一个重要过程
B. 管理层确认接收残余风险,是对风险评估工作的一种肯定,表示管理层已经全面了解了组织所面临的风险,并理解在风险一旦变为现实后,组织能够且承担引发的后果
C. 接收残余风险,则表明没有必要防范和加固所有的安全漏洞,也没有必要无限制的提高安全保护措施的强度,对安全保护措施的选择要考虑到成本和技术等因素的限制
D. 如果残余风险没有降低到可接受的级别,则只能被动的选择接受风险,即对风险不进行下一步的处理措施,接受风险可能带来的结果。
解析:解析:解释:如果残余风险没有降低到可接受的级别,则会被动的选择接受残余风险,但需要对残余风险进行进一步的关注、监测和跟踪。
A. 信息安全应急响应,通常是指一个组织为了应对各种安全意外事件的发生所采取的防范措施。即包括预防性措施,也包括事件发生后的应对措施
B. 应急响应工作有其鲜明的特点:具有高技术复杂性与专业性、强突发性、对知识经验的高依赖性,以及需要广泛的协调与合作
C. 应急响应是组织在处置应对突发/重大信息安全事件时的工作,其主要包括两部分工作:安全事件发生时的正确指挥、事件发生后全面总结
D. 应急响应工作的起源和相关机构的成立和1988年11月发生的莫里斯蠕虫病毒事件有关,基于该事件,人们更加重视安全事件的应急处置和整体协调的重要性
解析:解析:解释:应急响应是安全事件发生前的充分准备和事件发生后的响应处理,准备、检测、遏制、根除、恢复、总结。
A. 源代码审核、风险分析和渗透测试
B. 风险管理、安全接触点和安全知识
C. 威胁建模、渗透测试和软件安全接触点
D. 威胁建模、源代码审核和模糊测试
解析:解析:解释:BSI的模型包括风险管理、安全接触点和安全知识。
A. ACL只能由管理员进行管理
B. ACL是对象安全描述的基本组成部分,它包括有权访问对象的用户和级的SID
C. 访问令牌存储着用户的SID,组信息和分配给用户的权限
D. 通过授权管理器,可以实现基于角色的访问控制
A. 网络中单独部署syslog服务器,将Web服务器的日志自动发送并存储到该syslog日志服务器中
B. 严格设置Web日志权限,只有系统权限才能进行读和写等操作
C. 对日志属性进行调整,加大日志文件大小、延长覆盖时间、设置记录更多信息等
D. 使用独立的分区用于存储日志,并且保留足够大的日志空间
解析:解析:解释:在多重备份存储情况下,可以防护日志被篡改的攻击(前提非实时同步)。
A. 口令
B. 令牌
C. 知识
D. 密码
解析:解析:解释:令牌是基于实体所有的鉴别方式。
A. 强制访问控制是指主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体
B. 安全属性是强制性的规定,它由安全管理员或操作系统根据限定的规则确定,不能随意修改
C. 系统通过比较客体和主体的安全属性来决定主体是否可以访问客体
D. 它是一种对单个用户执行访问控制的过程控制措施
A. 战略阶段;设计阶段;转换阶段;运营阶段;改进阶段
B. 设计阶段;战略阶段;转换阶段;运营阶段;改进阶段
C. 战略阶段;设计阶段;运营阶段;转换阶段;改进阶段
D. 转换阶段;战略阶段;设计阶段;运营阶段;改进阶段
A. 该问题的产生是由于使用了不安全的协议导致的,为了避免再发生类似的闯题,应对全网站进行安全改造,所有的访问都强制要求使用https
B. 该问题产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位,没有找到该威胁并采取相应的消减措施
C. 该问题的产生是由于编码缺陷,通过对网站进行修改,在进行订单付款时进行商品价格验证就可以解决
D. 该问题的产生不是网站的问题,应报警要求寻求警察介入,严惩攻击者即可
解析:解析:解释:根据题干是采用HTTP的协议导致的,则答案为A。
A. SSL加密
B. 双因子认证
C. 加密会话cookie
D. IP地址校验
