A、 数字签名
B、 非安全信道的密钥交换
C、 消息认证码
D、 身份认证
答案:C
A、 数字签名
B、 非安全信道的密钥交换
C、 消息认证码
D、 身份认证
答案:C
A. 漏洞是存在于信息系统的某种缺陷。
B. 漏洞存在于一定的环境中,寄生在一定的客体上(如TOE中、过程中等)。
C. 具有可利用性和违规性,它本身的存在虽不会造成破坏,但是可以被攻击者利用,从而给信息系统安全带来威胁和损失。
D. 漏洞都是人为故意引入的一种信息系统的弱点
解析:解析:解释:漏洞是人为故意或非故意引入的弱点。
A. netshow
B. netstat
C. ipconfig
D. Netview
A. 风险处理措施确定以后,应编制详细的残余风险清单,并获得管理层对残余风险的书面批准,这也是风险管理中的一个重要过程
B. 管理层确认接收残余风险,是对风险评估工作的一种肯定,表示管理层已经全面了解了组织所面临的风险,并理解在风险一旦变为现实后,组织能够且承担引发的后果
C. 接收残余风险,则表明没有必要防范和加固所有的安全漏洞,也没有必要无限制的提高安全保护措施的强度,对安全保护措施的选择要考虑到成本和技术等因素的限制
D. 如果残余风险没有降低到可接受的级别,则只能被动的选择接受风险,即对风险不进行下一步的处理措施,接受风险可能带来的结果。
解析:解析:解释:如果残余风险没有降低到可接受的级别,则会被动的选择接受残余风险,但需要对残余风险进行进一步的关注、监测和跟踪。
A. 强制访问控制是指主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体
B. 安全属性是强制性的规定,它由安全管理员或操作系统根据限定的规则确定,不能随意修改
C. 系统通过比较客体和主体的安全属性来决定主体是否可以访问客体
D. 它是一种对单个用户执行访问控制的过程控制措施
A. 降低风险
B. 规避风险
C. 放弃风险
D. 转移风险
解析:解析:解释:风险处理方式包括降低、规避、接受和转移四种方式。
A. ACL是Bell-LaPadula模型的一种具体实现
B. ACL在删除用户时,去除该用户所有的访问权限比较方便
C. ACL对于统计某个主体能访问哪些客体比较方便
D. ACL在增加客体时,增加相关的访问控制权限较为简单
A. 组织为避免所有业务功能因重大事件而中断,减少业务风此案而建立的一个控制过程。
B. 组织为避免关键业务功能因重大事件而中断,减少业务风险而建立的一个控制过程。
C. 组织为避免所有业务功能因各种事件而中断,减少业务风此案而建立的一个控制过程
D. 组织为避免信息系统功能因各种事件而中断,减少信息系统风险建立的一个控制过程
解析:解析:解释:业务连续性计划(BCP)是解决关键业务不中断。
A. 相比传输层的另外一个协议UDP,TCP既提供传输可靠性,还同时具有更高的效率,因此具有广泛的用途
B. TCP协议包头中包含了源IP地址和目的IP地址,因此TCP协议负责将数据传送到正确的主机
C. TCP协议具有流量控制、数据校验、超时重发、接收确认等机制,因此TCP协议能完全替代IP协议
D. TCP协议虽然高可靠,但是相比UDP协议机制过于复杂,传输效率要比UDP低
解析:解析:解释:D为正确答案。
A. 对软件开发商提出安全相关要求,确保软件开发商对安全足够的重视,投入资源解决软件安全问题
B. 要求软件开发人员进行安全开发培训,使开发人员掌握基本软件安全开发知识
C. 要求软件开发商使用Java而不是ASP作为开发语言,避免SQL注入漏洞
D. 要求软件开发商对软件进行模块化设计,各模块明确输入和输出数据格式,并在使用前对数据进行校验
解析:解析:解释:SQL注入与编码SQL语法应用和过滤有关,与开发语言不是必然关系。
A. PP是描述一类产品或系统的安全要求
B. PP描述的安全要求与具体实现无关
C. 两份不同的ST不可能满足同一份PP的要求
D. ST与具体的实现有关
解析:解析:解释:两份不同的ST可以同时满足同一份PP的要求。
