70.社会工程学定位在计算机信息安全工作链的一个最脆弱的环节，即“人”这个环节上。这些社会工程黑客在某黑客大会上成功攻入世界五百强公司，其中一名自称是CSO杂志做安全调查，半小时内，攻击者选择了在公司工作两个月安全工程部门的合约雇员，在询问关于工作满意度以及食堂食物质量问题后，雇员开始透露其他信息，包括:操作系统、服务包、杀毒软件、电子邮件及浏览器。为对抗此类信息收集和分析，公司需要做的是()

A. 用户依照系统提示输入用户名和口令

B. 用户在网络上共享了自己编写的一份Office文档进行加密，以阻止其他人得到这份拷贝后到文档中的内容

C. 用户使用加密软件对自己家编写的Office文档进行加密，以阻止其他人得到这份拷贝后到文档中的内容

D. 某个人尝试登陆到你的计算机中，但是口令输入的不对，系统提示口令错误，并将这次失败的登陆过程记录在系统日志中

A. 强制访问控制是指主体和客体都有一个固定的安全属性，系统用该安全属性来决定一个主体是否可以访问某个客体

B. 安全属性是强制性的规定，它由安全管理员或操作系统根据限定的规则确定，不能随意修改

C. 系统通过比较客体和主体的安全属性来决定主体是否可以访问客体

D. 它是一种对单个用户执行访问控制的过程控制措施

A. 2001国家信息化领导小组重组，网络与信息安全协调小组成立，我国信息安全保障工作正式启动

B. 2003年7月，国家信息化领导小组制定出台了《关于加强信息安全保障工作的意见》(中办发27号文)，明确了“积极防御、综合防范“的国家信息安全保障方针

C. 2003年中办发27号文件的发布标志着我国信息安全保障进入深化落实阶段

D. 在深化落实阶段，信息安全法律法规、标准化，信息安全基础设施建设，以及信息安全等级保护和风险评估取得了新进展。

A. 在linux中，每一个文件和程序都归属于一个特定的“用户”

B. 系统中的每一个用户都必须至少属于一个用户组

C. 用户和组的关系可是多对一，一个组可以有多个用户，一个用户不能属于多个组

D. root是系统的超级用户，无论是否文件和程序的所有者都具有访问权限

A. 信息系统安全保障目的

B. 环境安全保障目的

C. 信息系统安全保障目的和环境安全保障目的

D. 信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的

A. 系统安全工程旨在了解企业存在的安全风险，建立一组平衡的安全需求，融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。

B. 系统安全工程需对安全机制的正确性和有效性做出诠释，证明安全系统的信任度能够达到企业的要求，或系统遗留的安全薄弱性在可容许范围之内。

C. 系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法，是一种使用面向开发的方法。

D. 系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上，通过对安全工作过程进行管理的途径，将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科。

A. 信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系，包括组织架构、方针、活动、职责及相关实践要素

B. 管理体系(ManagementSystems)是为达到组织目标的策略、程序、指南和相关资源的框架，信息安全管理体系是管理体系思想和方法在信息安全领域的应用

C. 概念上，信息安全管理体系有广义和狭义之分，狭义的信息安全管理体系是指按照ISO27001标准定义的管理体系，它是一个组织整体管理体系的组成部分

D. 同其他管理体系一样，信息安全管理体系也要建立信息安全管理组织机构，健全信息安全管理制度、构建信息安全技术防护体系和加强人员的安全意识等内容

A. 项目计划书

B. 质量控制计划

C. 评审报告

D. 需求说明书

A. 要求开发人员采用敏捷开发模型进行开发

B. 要求所有的开发人员参加软件安全意识培训

C. 要求规范软件编码，并制定公司的安全编码准则

D. 要求增加软件安全测试环节，今早发现软件安全问题

A. 坚持积极攻击、综合防范的方针

B. 全面提高信息安全防护能力

C. 重点保障电信基础信息网络和重要信息系统安全

D. 创建安全健康的网络环境，保障和促进工业化发展，保护公众利益，维护国家安全