A、 资产识别是指对需要保护的资产和系统等进行识别和分类
B、 威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性
C、 脆弱性识别以资产为核心,针对每项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估
D、 确认已有的安全措施仅属于技术层面的工作,牵涉到具体方面包括:物理平台、系统平台、网络平台和应用平台
答案:D
A、 资产识别是指对需要保护的资产和系统等进行识别和分类
B、 威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性
C、 脆弱性识别以资产为核心,针对每项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估
D、 确认已有的安全措施仅属于技术层面的工作,牵涉到具体方面包括:物理平台、系统平台、网络平台和应用平台
答案:D
A. ISO/IEC1540B
B. 802.11
C. GB/T20984
D. X.509
解析:解析:解释:答案为D。
A. 审核实施投资计划
B. 审核实施进度计划
C. 审核工程实施人员
D. 企业资质
解析:解析:解释:监理从项目招标开始到项目的验收结束,在投资计划阶段没有监理。
A. 设计了三层Web架构,但是软件存在SQL注入漏洞,导致被黑客攻击后能直接访问数据库
B. 使用C语言开发时,采用了一些存在安全问题的字符串处理函数,导致存在缓冲区溢出漏洞
C. 设计了缓存用户隐私数据机制以加快系统处理性能,导致软件在发布运行后,被黑客攻击获取到用户隐私数据
D. 使用了符合要求的密码算法,但在使用算法接口时,没有按照要求生成密钥,导致黑客攻击后能破解并得到明文数据
解析:解析:解释:答案为C。
A. 总部使用服务器、用户终端统一使用10.0.1.x、各分支机构服务器和用户终端使用192.168.2.x---192.168.20.x
B. 总部服务器使用10.0.1.1—11、用户终端使用10.0.1.12—212,分支机构IP地址随意确定即可
C. 总部服务器使用10.0.1.x、用户端根据部门划分使用10.0.2.x,每个分支机构分配两个A类地址段,一个用做服务器地址段、另外一个做用户终端地址段
D. 因为通过互联网连接,访问的是互联网地址,内部地址经NAT映射,因此IP地址无需特别规划,各机构自行决定即可。
解析:解析:解释:答案为C,考核的是IP地址规划的体系化。
A. #chmodu+x,a-wfib.c
B. #chmodug+x,o-wfib.c
C. #chmod764fib.c
D. #chmod467fib.c
解析:解析:解释:在第一组权限上“为文件主增加执行权限”后变成了RWX即111,即十进制7;在第三组权限上“删除组外其他用户的写权限”后变成了R--即100,即十进制4;而在第二组权限上中间的组的没有变即RW-即110,即十进制6。
A. 信息系统集成项目要以满足客户和用户的需求为根本出发点。
B. 系统集成就是选择最好的产品和技术,开发响应的软件和硬件,将其集成到信息系统的过程。
C. 信息系统集成项目的指导方法是“总体规划、分步实施”。
D. 信息系统集成包含技术,管理和商务等方面,是一项综合性的系统工程
解析:解析:解释:系统集成就是选择最适合的产品和技术。
A. 保护
B. 检测
C. 响应
D. 恢复
A. 建立环境
B. 实施风险处理计划
C. 持续的监视与评审风险
D. 持续改进信息安全管理过程
解析:解析:解释:持续改进信息安全管理过程属于处置(ACT)阶段。
A. 在面向对象软件测试时,设计每个类的测试用例时,不仅仅要考虑用各个成员方法的输入参数,还需要考虑如何设计调用的序列
B. 构造抽象类的驱动程序会比构造其他类的驱动程序复杂
C. 类B继承自类A,如对B进行了严格的测试,就意味着不需再对类A进行测试
D. 在存在多态的情况下,为了达到较高的测试充分性,应对所有可能的绑定都进行测试
A. 某用户在登陆系统并下载数据后,却声称“我没有下载过数据”,软件系统中的这种威胁就属于R威胁
B. 解决R威胁,可以选择使用抗抵赖性服务技术来解决,如强认证、数字签名、安全审计等技术措施
C. R威胁是STRIDE六种威胁中第三严重的威胁,比D威胁和E威胁的严重程度更高
D. 解决R威胁,也应按照确定建模对象、识别威胁、评估威胁以及消减威胁等四个步骤来进行
解析:解析:解释:STRIDE代表6种威胁的简称,无严重程度之分。S-欺骗,T-篡改,R-抵赖,I-信息泄露,D-拒绝服务,E-权限提升(攻击)。
