A、 所谓静态口令方案,是指用户登录验证身份的过程中,每次输入的口令都是固定、静止不变的
B、 使用静态口令方案时,即使对口令进行简单加密或哈希后进行传输,攻击者依然可能通过重放攻击来欺骗信息系统的身份认证模块
C、 动态口令方案中通常需要使用密码算法产生较长的口令序列,攻击者如果连续地收集到足够多的历史口令,则有可能预测出下次要使用的口令
D、 通常,动态口令实现方式分为口令序列、时间同步以及挑战/应答等几种类型
答案:C
解析:解析:解释:动态口令方案要求其口令不能被收集和预测。
A、 所谓静态口令方案,是指用户登录验证身份的过程中,每次输入的口令都是固定、静止不变的
B、 使用静态口令方案时,即使对口令进行简单加密或哈希后进行传输,攻击者依然可能通过重放攻击来欺骗信息系统的身份认证模块
C、 动态口令方案中通常需要使用密码算法产生较长的口令序列,攻击者如果连续地收集到足够多的历史口令,则有可能预测出下次要使用的口令
D、 通常,动态口令实现方式分为口令序列、时间同步以及挑战/应答等几种类型
答案:C
解析:解析:解释:动态口令方案要求其口令不能被收集和预测。
A. 成本只要不超过预计的收益即可
B. 成本应控制得越低越好
C. 成本控制由承建单位实现,监理单位只能记录实际开销
D. 成本控制的主要目的是在批准的预算条件下确保项目保质按期完成
解析:解析:解释:D为正确答案。
A. 应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施
B. 应急响应方法,将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪6个阶段
C. 对信息安全事件的分级主要参考信息系统的重要程度、系统损失和社会影响三方面因素
D. 根据信息安全事件的分级参考要素,可将信息安全事件划分为4个级别:特别重大事件(I级)、重大事件(II级)、
较大事件(III级)和一般事件(IV级)
A. 所有的变更都必须文字化,并被批准
B. 变更应通过自动化工具来实施
C. 应维护系统的备份
D. 通过测试和批准来确保质量
A. 战略阶段;设计阶段;转换阶段;运营阶段;改进阶段
B. 设计阶段;战略阶段;转换阶段;运营阶段;改进阶段
C. 战略阶段;设计阶段;运营阶段;转换阶段;改进阶段
D. 转换阶段;战略阶段;设计阶段;运营阶段;改进阶段
A. 设计了三层Web架构,但是软件存在SQL注入漏洞,导致被黑客攻击后能直接访问数据库
B. 使用C语言开发时,采用了一些存在安全问题的字符串处理函数,导致存在缓冲区溢出漏洞
C. 设计了缓存用户隐私数据机制以加快系统处理性能,导致软件在发布运行后,被黑客攻击获取到用户隐私数据
D. 使用了符合要求的密码算法,但在使用算法接口时,没有按照要求生成密钥,导致黑客攻击后能破解并得到明文数据
解析:解析:解释:答案为C。
A. RBACO是基于模型,RBAC1、RBAC2和RBAC3都包含RBAC0
B. RBAC1在RBAC0的基础上,加入了角色等级的概念
C. RBAC2在RBAC1的基础上,加入了约束的概念
D. RBAC3结合RBAC1和RBAC2,同时具备角色等级和约束
A. 霍尔三维机构体系形成地描述了系统工程研究的框架
B. 时间维表示系统工程活动从开始到结束按照时间顺序排列的全过程
C. 逻辑维的七个步骤与时间维的七个阶段严格对应,即时间维第一阶段应执行逻辑维第一步骤的活动,时间维第二阶段应执行逻辑维第二步骤的活动
D. 知识维列举可能需要运用的工程、医学、建筑、商业、法律、管理、社会科学和艺术等各种知识和技能
解析:解析:解释:霍尔三维模型是一种系统思想,无法实现严格的对应。
A. 资产识别的粒度随着评估范围、评估目的的不同而不同,可以是硬件设备,也可以是业务系统,也可以是组织机构
B. 应针对构成信息系统的每个资产做风险评价
C. 脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项
D. 信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁
解析:解析:解释:B错误,应该是抽样评估;C错误,应该其描述的是差距分析;D错误,应该是威胁包括人为威胁和环境威胁。
A. 对于IPv4,IPSec是可选的,对于IPv6,IPSec是强制实施的。
B. IPSec协议提供对IP及其上层协议的保护。
C. IPSec是一个单独的协议
D. IPSec安全协议给出了封装安全载荷和鉴别头两种通信保护机制。
A. 软件系统代码的复杂性
B. 软件系统市场出现信息不对称现象
C. 复杂异构的网络环境
D. 攻击者的恶意利用
