A、 科克霍夫原则指出算法的安全性不应基于算法的保密,而应基于秘钥的安全性
B、 保密通信过程中,通信方使用之前用过的会话秘钥建立会话,不影响通信安全
C、 秘钥管理需要考虑秘钥产生、存储、备份、分配、更新、撤销等生命周期过程的每一个环节
D、 在网络通信中。通信双方可利用Diffie-He11man协议协商出会话秘钥
答案:B
解析:解析:解释:通信方使用之前用过的会话秘钥建立会话,会影响通信安全。
A、 科克霍夫原则指出算法的安全性不应基于算法的保密,而应基于秘钥的安全性
B、 保密通信过程中,通信方使用之前用过的会话秘钥建立会话,不影响通信安全
C、 秘钥管理需要考虑秘钥产生、存储、备份、分配、更新、撤销等生命周期过程的每一个环节
D、 在网络通信中。通信双方可利用Diffie-He11man协议协商出会话秘钥
答案:B
解析:解析:解释:通信方使用之前用过的会话秘钥建立会话,会影响通信安全。
A. 由于共享导致了安全问题,应直接关闭日志共享,禁止总部提取日志进行分析
B. 为配合总部的安全策略,会带来一定安全问题,但不影响系统使用,因此接受此风险
C. 日志的存在就是安全风险,最好的办法就是取消日志,通过设置前置机不记录日志
D. 只允许特定IP地址从前置机提取日志,对日志共享设置访问密码且限定访问的时间
解析:解析:解释:D的特定IP地址从前置机提取降低了开放日志共享的攻击面。
A. 两个不同的消息,得到相同的消息摘要
B. 两个相同的消息,得到不同的消息摘要
C. 消息摘要和消息的长度相同
D. 消息摘要比消息长度更长
A. PING扫描技术和端口扫描技术
B. 端口扫描技术和漏洞扫描技术
C. 操作系统探测和漏洞扫描技术
D. PING扫描技术和操作系统探测
A. 该文件时一个由部委发布的政策性文件,不属于法律文件
B. 该文件适用于2004年的等级保护工作,其内容不能越苏到2005年及之后的工作
C. 该文件时一个总体性知道文件,规定了所有信息系统都要纳入等级保护定级范围
D. 该文件使用范围为发文的这四个部门,不适用于其他部门和企业等单位
解析:解析:解释:答案为A。
A. 攻击者利用软件存在的逻辑错误,通过发送某种类型数据导致运算进入死循环,CPU资源占用始终100%
B. 攻击者利用软件脚本使用多重嵌套咨询,在数据量大时会导致查询效率低,通过发送大量的查询导致数据库响应缓慢
C. 攻击者利用软件不自动释放连接的问题,通过发送大量连接消耗软件并发连接数,导致并发连接数耗尽而无法访问
D. 攻击者买通IDC人员,将某软件运行服务器的网线拔掉导致无法访问
解析:解析:解释:D为社会工程学攻击。
A. 检查评估可依据相关标准的要求,实施完整的风险评估过程;也可在自评估的基础上,对关键环节或重点内容实施抽样评估
B. 检查评估可以由上级管理部门组织,也可以由本级单位发起,其重点是针对存在的问题进行检查和评测
C. 检查评估可以由上级管理部门组织,并委托有资质的第三方技术机构实施
D. 检查评估是通过行政手段加强信息安全管理的重要措施,具有强制性的特点
解析:解析:解释:检查评估由上级管理部门组织发起;本级单位发起的为自评估。
A. 最小特权原则
B. 职责分离原则
C. 纵深防御原则
D. 最少共享机制原则
解析:解析:解释:题目描述的是软件开发的深度防御思想应用。
A. 这些行业都关系到国计民生,对经济运行和国家安全影响深远
B. 这些行业都是信息化应用广泛的领域
C. 这些行业信息系统普遍存在安全隐患,而且信息安全专业人才缺乏的现象比其他行业更突出
D. 这些行业发生信息安全事件,会造成广泛而严重的损失。
解析:解析:解释:从题目中不能反映C的结论。
A. 我国是在国家质量监督检验疫总局管理下,由国家标准化管理委员会统一管理全国标准化工作,下设专业技术委员会
B. 事关国家安全利益,信息安全因此不能和国际标准相同,而是要通过本国组织和专家制定标准,切实有效地保护国家利益和安全
C. 我国归口信息安全方面标准是“全国信息安全标准化技术委员会”,为加强有关工作,2016在其下设立“大数据安全特别工作组”
D. 信息安全标准化工作是解决信息安全问题的重要技术支撑,其主要作业突出体现在能够确保有关产品、设施的技术先进性、可靠性和一致性
解析:解析:解释:信息安全的标准可以和国际标准相同,也可以不相同。包括同等采用方式和等效采用方式等。
A. 第二层隧道协议(L2TP)
B. Internet安全性(IPSEC)
C. 终端访问控制器访问控制系统(TACACS+)
D. 点对点隧道协议(PPTP)
解析:解析:解释:TACACS+是AAA权限控制系统,不属于VPN。
