A、 指一个特定的漏洞,该漏洞每年1月1日零点发作,可以被攻击者用来远程攻击,获取主机权限
B、 指一个特定的漏洞,特指在2010年被发现出来的一种漏洞,该漏洞被“震网”病毒所利用,用来攻击伊朗布什尔核电站基础设施
C、 指一类漏洞,即特别好被利用,一旦成功利用该类漏洞,可以在1天内文完成攻击,且成功达到攻击目标
D、 指一类漏洞,即刚被发现后立即被恶意利用的安全漏洞,一般来说,那些已经被小部分人发现,但是还未公开、还不存在安全补丁的漏洞都是零日漏洞
答案:D
解析:解析:解释:D是零日漏洞的解释。
A、 指一个特定的漏洞,该漏洞每年1月1日零点发作,可以被攻击者用来远程攻击,获取主机权限
B、 指一个特定的漏洞,特指在2010年被发现出来的一种漏洞,该漏洞被“震网”病毒所利用,用来攻击伊朗布什尔核电站基础设施
C、 指一类漏洞,即特别好被利用,一旦成功利用该类漏洞,可以在1天内文完成攻击,且成功达到攻击目标
D、 指一类漏洞,即刚被发现后立即被恶意利用的安全漏洞,一般来说,那些已经被小部分人发现,但是还未公开、还不存在安全补丁的漏洞都是零日漏洞
答案:D
解析:解析:解释:D是零日漏洞的解释。
A. 机构的使命
B. 机构的战略背景和战略目标
C. 机构的业务内容和业务流程
D. 机构的组织结构和管理制度
解析:解析:解释:业务特性从机构的业务内容和业务流程获取。
A. 加强信息安全标准化工作,积极采用“等同采用、修改采用、制定”等多种方式,尽快建立和完善信息安全标准体系
B. 建立国家信息安全研究中心,加快建立国家急需的信息安全技术体系,实现国家信息安全自主可控目标
C. 建设和完善信息安全基础设施,提供国家信息安全保障能力支撑
D. 加快信息安全学科建设和信息安全人才培养
解析:解析:解释:建立国家信息安全研究中心不是我国信息安全保障工作的主要内容。
A. 2
B. 3
C. 5
D. 6
解析:解析:解释:A1面临威胁T1和威胁T2;T1利用V1和V2;T2利用V3,V4和V5。A2面临威胁T3;T3利用V6和V7。{A1,T1,V1},{A1,T1,V2},{A1,T2,V3},{A1,T2,V4},{A1,T2,V5}
A. 在编码阶段程序员进行培训,避免程序员写出存在漏洞的代码
B. 对代码进行严格检查,避免存在SQL注入漏洞的脚本被发布
C. 使用静态发布,所有面向用户发布的数据都使用静态页面
D. 在网站中防SQL注入脚本,对所有用户提交数据进行过滤
A. BP不限定于特定的方法工具,不同业务背景中可以使用不同的方法
B. BP不是根据广泛的现有资料,实施和专家意见综合得出的
C. BP不代表信息安全工程领域的最佳实践
D. BP不是过程区域(ProcessAreas,PA)的强制项
解析:解析:解释:BP属于安全工程的最小单元,其不限定于特定的方法工具,不同业务背景中可以使用不同的方法;是根据广泛的现有资料,实施和专家意见综合得出的;代表着信息安全工程领域的最佳实践;并且是过程区域(ProcessAreas,PA)的强制项。
A. 个人网银系统和用户之间的双向鉴别
B. 由可信第三方完成的用户身份鉴别
C. 个人网银系统对用户身份的单向鉴别
D. 用户对个人网银系统合法性的单向鉴别
解析:解析:解释:题干为网银系统对用户的鉴别。
A. 权限分离原则
B. 最小特权原则
C. 保护最薄弱环节的原则
D. 纵深防御的原则
解析:解析:解释:SA是数据库最大用户权限,违反了最小特权原则。
A. 准备阶段
B. 检测阶段
C. 遏制阶段
D. 根除阶段
解析:解析:解释:消除或阻断攻击源等措施为根除阶段。
A. 模糊测试的效果与覆盖能力,与输入样本选择不相关
B. 为保障安全测试的效果和自动化过程,关键是将发现的异常进行现场保护记录,系统可能无法恢复异常状态进行后续的测试
C. 通过异常样本重现异常,人工分析异常原因,判断是否为潜在的安全漏洞,如果是安全漏洞,就需要进一步分析其危害性、影响范围和修复建议
D. 对于可能产生的大量异常报告,需要人工全部分析异常报告
解析:解析:解释:C为模糊测试的涵义解释。
A. WinNTSP6
B. Win2000SP4
C. WinXPSP2
D. Win2003SP1
