A、 机构的使命
B、 机构的战略背景和战略目标
C、 机构的业务内容和业务流程
D、 机构的组织结构和管理制度
答案:C
解析:解析:解释:业务特性从机构的业务内容和业务流程获取。
A、 机构的使命
B、 机构的战略背景和战略目标
C、 机构的业务内容和业务流程
D、 机构的组织结构和管理制度
答案:C
解析:解析:解释:业务特性从机构的业务内容和业务流程获取。
A. 信息系统;信息安全保障;威胁;检测工作
B. 信息安全保障;信息系统;检测工作;威胁;检测工作
C. 信息安全保障;信息系统;威胁;检测工作
D. 信息安全保障;威胁;信息系统;检测工作
A. 某用户在登录系统并下载数据后,却声称“我没有下载过数据”软件R威胁
B. 某用户在网络通信中传输完数据后,却声称“这些数据不是我传输的”威胁也属于R威胁。
C. 对于R威胁,可以选择使用如强认证、数字签名、安全审计等技术
D. 对于R威胁,可以选择使用如隐私保护、过滤、流量控制等技术
解析:解析:解释:R-抵赖是无法通过过滤、流控和隐私保护实现的,R-抵赖的实现方式包括数字签名、安全审计、第三方公证。
A. 立足国情,以我为主,坚持以技术为主
B. 正确处理安全与发展的关系,以安全保发展,在发展中求安全
C. 统筹规划,突出重点,强化基础性工作
D. 明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系
解析:解析:解释:A的正确描述为立足国情,以我为主,坚持以技术和管理并重。
A. 《风险评估报告》
B. 《人力资源安全管理规定》
C. 《ISMS内部审核计划》
D. 《单位信息安全方针》
解析:解析:解释:正确答案为D。一级文件中一般为安全方针、策略文件;二级文件中一般为管理规范制度;三级文件一般为操作手册和流程;四级文件一般表单和管理记录。
A. 编辑文件/etc/passwd,检查文件中用户ID,禁用所有ID=0的用户
B. 编辑文件/etc/ssh/sshdconfig,将PermitRootLogin设置为no
C. 编辑文件/etc/pam.d/system~auth,设置authrequiredpamtally.soonerr=faildeny=6unlocktime-300
D. 编辑文件/etc/profile,设置TMOUT=600
A. 假冒攻击可以采用身份认证机制来防范
B. 为了防止传输的信息被篡改,收发双方可以使用单向Hash函数来验证数据的完整性
C. 为了防止发送方否认曾经发送过的消息,收发双方可以使用消息验证码来防止抵赖
D. 为了防止用户提升权限,可以采用访问控制表的方式来管理权限
解析:解析:解释:消息验证码不能防止抵赖,而是提供消息鉴别、完整性校验和抗重放攻击。
A. 漏洞监测;控制和对抗;动态性;网络安全
B. 动态性;控制和对抗;漏洞监测;网络安全
C. 控制和对抗;漏洞监测;动态性;网络安全
D. 控制和对抗;动态性;漏洞监测;网络安全
A. 风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之中
B. 风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作
C. 由于在系统投入使用后部署和应用风险控制措施针对性会更强,实施成本会相对较低
D. 在系统正式运行后,应注重残余风险的管理,以提高快速反应能力
解析:解析:解释:安全措施投入应越早则成本越低,C答案则成本会上升。
A. 治理,主要是管理软件开发的过程和活动
B. 构造,主要是在开发项目中确定目标并开发软件的过程与活动
C. 验证,主要是测试和验证软件的过程和活动
D. 购置,主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动
解析:解析:解释:SAMM包括治理、构造、验证、部署。
A. BIS含义是指将安全内建到软件开发过程中,而不是可有可无,更不是游离于软件开发生命周期之外
B. 软件安全的三根支柱是风险管理、软件安全触点和安全测试
C. 软件安全触点是软件开发生命周期中一套轻量级最优工程化方法,它提供了从不同角度保障安全的行为方式
D. BSI系列模型强调应该使用工程化的方法来保证软件安全,即在整个软件开发生命周期中都要确保将安全作为软件的一个有机组成部分
解析:解析:解释:安全测试修改为安全知识。
