A、 2
B、 3
C、 5
D、 6
答案:C
解析:解析:解释:A1面临威胁T1和威胁T2;T1利用V1和V2;T2利用V3,V4和V5。A2面临威胁T3;T3利用V6和V7。{A1,T1,V1},{A1,T1,V2},{A1,T2,V3},{A1,T2,V4},{A1,T2,V5}
A、 2
B、 3
C、 5
D、 6
答案:C
解析:解析:解释:A1面临威胁T1和威胁T2;T1利用V1和V2;T2利用V3,V4和V5。A2面临威胁T3;T3利用V6和V7。{A1,T1,V1},{A1,T1,V2},{A1,T2,V3},{A1,T2,V4},{A1,T2,V5}
A. BP是基于最新技术而制定的安全参数基本配置
B. 大部分BP是没有进过测试的
C. 一项BP适用于组织的生存周期而非仅适用于工程的某一特定阶段
D. 一项BP可以和其他BP有重叠
解析:解析:解释:A答案中BP是基于工程实践总结的工程单元。B答案中BP是经过测试和实践验证的。C答案中一项BP适用于组织的生存周期是正确的。D一项BP不能和其他BP重叠。
A. 软件的安全问题可以造成软件运行不稳定,得不到正确结果甚至崩溃
B. 软件的安全问题应该依赖于软件开发的设计、编程、测试以及部署等各个阶段措施解决
C. 软件的安全问题可能被攻击者利用后影响人身健康安全
D. 软件的安全问题是由程序开发者遗留的,和软件部署运行环境无关
A. BP是基于最新技术而制定的安全参数基本配置
B. 大部分BP是没有经过测试的
C. 一项BP适用于组织的生存周期而非仅适用于工程的某一特定阶段
D. 一项BP可以和其他BP有重叠
解析:解析:解释:A错误,BP是基于最佳的工程过程实践;B错误,BP是经过测试的;D错误,一项BP和其他的BP是不重复。
A. 安全保障工作;客观证据;信息系统;生命周期;动态持续
B. 客观证据;安全保障工作;信息系统;生命周期;动态持续
C. 客观证据;安全保障工作;生命周期;信息系统;动态持续
D. 客观证据;安全保障工作;动态持续;信息系统;生命周期
A. 组织信息系统安全架构
B. 信息安全工作的基本原则
C. 组织信息安全技术参数
D. 组织信息安全实施手段
解析:解析:解释:安全策略是宏观的原则性要求,不包括具体的架构、参数和实施手段。
A. 加强网站源代码的安全性
B. 对网络客户端进行安全评估
C. 协调运营商对域名解析服务器进行加固
D. 在网站的网络出口部署应用级防火墙
解析:解析:解释:协调运营商对域名解析服务器进行加固是DNS防护的主要手段。
A. 模糊测试的效果与覆盖能力,与输入样本选择不相关
B. 为保障安全测试的效果和自动化过程,关键是将发现的异常进行现场保护记录,系统可能无法恢复异常状态进行后续的测试
C. 通过异常样本重现异常,人工分析异常原因,判断是否为潜在的安全漏洞,如果是安全漏洞,就需要进一步分析其危害性、影响范围和修复建议
D. 对于可能产生的大量异常报告,需要人工全部分析异常报告
解析:解析:解释:C为模糊测试的涵义解释。
A. 既能物理隔离,又能逻辑隔离
B. 能物理隔离,但不能逻辑隔离
C. 不能物理隔离,但是能逻辑隔离
D. 不能物理隔离,也不能逻辑隔离
A. SSE-CMM要求实施组织与其他组织相互作用,如开发方、产品供应商、集成商和咨询服务商等
B. SSE-CMM可以使安全工程成为一个确定的、成熟的和可度量的科目
C. 基手SSE-CMM的工程是独立工程,与软件工程、硬件工程、通信工程等分别规划实施
D. SSE-CMM覆盖整个组织的活动,包括管理、组织和工程活动等,而不仅仅是系统安全的工程活动
解析:解析:解释:SSE-CMM是系统工程,不可以独立实施。
A. 标准是在一定范围内为了获得最佳秩序,经协协商一致制定并由公认机构批准,共同重复使用的一种规范性文件,标准是标准化活动的重要成果
B. 国际标准是由国际标准化组织通过并公布的标准,同样是强制性标准,当国家标准和国际标准的条款发生冲突,应以国际标准条款为准。
C. 行业标准是针对没有国家标准而又才需要在全国某个行业范围统一的技术要求而制定的标准,同样是强制性标准,当行业标准和国家标准的条款发生冲突时,应以国家标准条款为准。
D. 地方标准由省、自治区、直辖市标准化行政主管部门制度,冰报国务院标准化行政主管部门和国务院有关行政主管培训部门备案,在公布国家标准后,该地方标准即应废止。
解析:解析:解释:当国家标准和国际标准的条款发生冲突,应以国家标准条款为准。
