A、 源代码审核、风险分析和渗透测试
B、 风险管理、安全接触点和安全知识
C、 威胁建模、渗透测试和软件安全接触点
D、 威胁建模、源代码审核和模糊测试
答案:B
解析:解析:解释:BSI的模型包括风险管理、安全接触点和安全知识。
A、 源代码审核、风险分析和渗透测试
B、 风险管理、安全接触点和安全知识
C、 威胁建模、渗透测试和软件安全接触点
D、 威胁建模、源代码审核和模糊测试
答案:B
解析:解析:解释:BSI的模型包括风险管理、安全接触点和安全知识。
A. 信息系统审计,也可称作IT审计或信息系统控制审计
B. 信息系统审计是一个获取并评价证据的过程,审计对象是信息系统相关控制,审计目标则是判断信息系统是否能够保证其安全性、可靠性、经济性以及数据的真实性、完整性等相关属性
C. 信息系统审计师单一的概念,是对会计信息系统的安全性、有效性进行检查
D. 从信息系统审计内容上看,可以将信息系统审计分为不同专项审计,例如安全审计、项目合规审计、绩效审计等
A. 资产
B. 安全事件
C. 脆弱性
D. 安全措施
解析:解析:解释:风险的原理是威胁利用脆弱性,造成对资产的风险。
A. 确定重要资产和风险,实施针对风险的防护措施
B. 编制和管理应急响应计划
C. 建立和训练应急响应组织和准备相关的资源
D. 评估事件的影响范围,增强审计功能、备份完整系统
解析:解析:解释:D描述的是安全事件发生以后,不是应急响应的准备。
A. Land攻击
B. Smurf攻击
C. PingofDeath攻击
D. ICMPFlood
解析:解析:解释:发送大量的ICMP回应请求为ICMPFlood。
A. 人工审核源代码审校的效率低,但采用多人并行分析可以完全弥补这个缺点
B. 源代码审核通过提供非预期的输入并监视异常结果来发现软件故障,从而定位可能导致安全弱点的薄弱之处
C. 使用工具进行源代码审核,速度快,准确率高,已经取代了传统的人工审核
D. 源代码审核是对源代码检查分析,检测并报告源代码中可能导致安全弱点的薄弱之处
解析:解析:解释:D为源代码审核工作内容描述。
A. 国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》(GB/T20274.1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心
B. 模型中的信息系统生命周期模型是抽象的概念性说明模型,在信息系统安全保障具体操作时,可根据具体环境和要求进行改动和细化
C. 信息系统安全保障强调的是动态持续性的长效安全,而不仅是某时间点下的安全
D. 信息系统安全保障主要是确保信息系统的保密性、完整性和可用性,单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入
解析:解析:解释:单位对信息系统运行维护和使用的人员在能力和培训方面需要投入。
A. 特别重要信息系统
B. 重要信息系统
C. 一般信息系统
D. 关键信息系统
解析:解析:解释:我国标准中未定义关键信息系统。
A. 经过数十年的发展,互联网上已经接入了数亿台各种电子设备
B. 刚刚经过风险评估并针对风险采取处理措施后,仅一周新的系统漏洞使得信息系统面临新的风险
C. 某公司的信息系统面临了来自美国的“匿名者”黑客组织的攻击
D. 某公司尽管部署了防火墙、防病毒等安全产品,但服务器中数据仍产生了泄露
A. 该文件时一个由部委发布的政策性文件,不属于法律文件
B. 该文件适用于2004年的等级保护工作,其内容不能越苏到2005年及之后的工作
C. 该文件时一个总体性知道文件,规定了所有信息系统都要纳入等级保护定级范围
D. 该文件使用范围为发文的这四个部门,不适用于其他部门和企业等单位
解析:解析:解释:答案为A。
A. 治理,主要是管理软件开发的过程和活动
B. 构造,主要是在开发项目中确定目标并开发软件的过程与活动
C. 验证,主要是测试和验证软件的过程与活动
D. 购置,主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动
解析:解析:解释:SAMM模型四个部分是治理、构造、验证和部署。
