A、 保持当前版本的操作系统,不定期更新交换机操作系统补丁
B、 控制交换机的物理访问端口,关闭空闲的物理端口
C、 带外管理交换机,如果不能实现的话,可以利用单独的VLAN号进行带内管理
D、 安全配置必要的网络服务,关闭不必要的网络服务
答案:A
解析:解析:解释:交换机和路由器的管理包括了版本更新,也包括了补丁管理。
A、 保持当前版本的操作系统,不定期更新交换机操作系统补丁
B、 控制交换机的物理访问端口,关闭空闲的物理端口
C、 带外管理交换机,如果不能实现的话,可以利用单独的VLAN号进行带内管理
D、 安全配置必要的网络服务,关闭不必要的网络服务
答案:A
解析:解析:解释:交换机和路由器的管理包括了版本更新,也包括了补丁管理。
A. 第一个观点
B. 第二个观点
C. 第三个观点
D. 第四个观点
解析:解析:解释:背景建立是根据政策、法律、标准、业务、系统、组织等现状来开展。
A. 跨站脚本攻击
B. TCP会话劫持
C. IP欺骗攻击
D. 拒绝服务攻击
A. 资产
B. 安全事件
C. 脆弱性
D. 安全措施
解析:解析:解释:风险的原理是威胁利用脆弱性,造成对资产的风险。
A. 100万元人民币
B. 400万元人民币
C. 20万元人民币
D. 180万元人民币
解析:解析:解释:根据ALE=SLE*ARO=AV*EF*ARO的公式进行计算。
A. 《保密法》;涉密程度;涉密信息系统;保密设施;检查合格
B. 《国家保密法》;涉密程度;涉密系统;保密设施;检查合格
C. 《网络保密法》;涉密程度;涉密系统;保密设施;检查合格
D. 《安全保密法》;涉密程度,涉密信息系统;保密设施;检查合格
A. 由于在实际渗透测试过程中存在不可预知的风险,所以测试前要提醒用户进行系统和数据备份,以便出现问题时可以及时恢复系统和数据
B. 渗透测试从“逆向”的角度出发,测试软件系统的安全性,其价值在于可以测试软件在实际系统中运行时的安全状况
C. 渗透测试应当经过方案制定、信息收集、漏洞利用、完成渗透测试报告等步骤
D. 为了深入发掘该系统存在的安全威胁,应该在系统正常业务运行高峰期进行渗透测试
解析:解析:解释:工作中不应该在系统正常业务运行高峰期进行渗透测试。
A. C2
B. C1
C. B2
D. B1
解析:解析:解释:答案为B1。
A. 制定并颁发信息安全方针,为组织的信息安全管理体系建设指明方向并提供总体纲领,明确总体要求
B. 确保组织的信息安全管理体系目标和相应的计划得以制定,目标应明确、可度量,计划应具体、可事实
C. 向组织传达满足信息安全的重要性,传达满足信息安全要求、达成信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性
D. 建立健全信息安全制度,明确安全风险管理作用,实施信息安全风险评估过程、确保信息安全风险评估技术选择合理、计算正确
解析:解析:解释:D不属于管理者的职责。
A. CNCI是以风险为核心,三道防线首要的任务是降低其网络所面临的风险
B. 从CNCI可以看出,威胁主要是来自外部的,而漏洞和隐患主要是存在于内部的
C. CNCI的目的是尽快研发并部署新技术彻底改变其糟糕的网络安全现状,而不是在现在的网络基础上修修补补
D. CNCI彻底改变了以往的美国信息安全战略,不再把关键基础设施视为信息安全保障重点,而是追求所有网络和系统的全面安全保障
解析:解析:解释:CNCI第一个防线针对漏洞进行风险控制,第二个防线针对威胁进行风险控制,总体的目标是降低网络风险。B、C、D答案均无法从题干反应。
A. 源代码审核过程遵循信息安全保障技术框架模型(IATF),在执行时应一步一步严格执行
B. 源代码审核有利于发现软件编码中存在的安全问题,相关的审核工具既有商业、开源工具
C. 源代码审核如果想要有效率高,则主要依赖人工审核而不是工具审核,因为人工智能的,需要人的脑袋来判断
D. 源代码审核能起到很好的安全保证作用,如果执行了源代码审核,则不需要安全测试
解析:解析:解释:A错误,因为IATF不用于代码审核;C错误,因为人工和攻击相结合;D错误,安全测试由需求确定。
