A、 RBACO是基于模型,RBAC1、RBAC2和RBAC3都包含RBAC0
B、 RBAC1在RBAC0的基础上,加入了角色等级的概念
C、 RBAC2在RBAC1的基础上,加入了约束的概念
D、 RBAC3结合RBAC1和RBAC2,同时具备角色等级和约束
答案:C
A、 RBACO是基于模型,RBAC1、RBAC2和RBAC3都包含RBAC0
B、 RBAC1在RBAC0的基础上,加入了角色等级的概念
C、 RBAC2在RBAC1的基础上,加入了约束的概念
D、 RBAC3结合RBAC1和RBAC2,同时具备角色等级和约束
答案:C
A. 高级管理层——最终责任
B. 信息安全部门主管——提供各种信息安全工作必须的资源
C. 系统的普通使用者——遵守日常操作规范
D. 审计人员——检查安全策略是否被遵从
解析:解析:解释:通常由管理层提供各种信息安全工作必须的资源。
A. 要充分切合信息安全需求并且实际可行
B. 要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本
C. 要充分采取新技术,使用过程中不断完善成熟,精益求精,实现技术投入保值要求
D. 要充分考虑用户管理和文化的可接受性,减少系统方案障碍
解析:解析:解释:设计信息系统安全保障方案应采用合适的技术。
A. 明文
B. 密文
C. 密钥
D. 信道
A. 物理安全边界、物理入口控制
B. 办公室、房间和设施的安全保护。外部和环境威胁的安全防护
C. 在安全区域工作。公共访问、交接区安全
D. 人力资源安全
A. 与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点
B. 美国未设立中央政府级的专门机构处理网络信息安全问题,信息安全管理职能由不同政府部门的多个机构共同承担
C. 各国普遍重视信息安全事件的应急响应和处理
D. 在网络安全战略中,各国均强调加强政府管理力度,充分利用社会资源,发挥政府与企业之间的合作关系
解析:解析:解释:美国已经设立中央政府级的专门机构。
A. 渗透测试使用人工进行测试,不依赖软件,因此测试更准确
B. 渗透测试是用软件代替人工的一种测试方法。因此测试效率更高
C. 渗透测试以攻击者思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞
D. 渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多
解析:解析:解释:C是渗透测试的优点。
A. 明确安全总体方针,确保安全总体方针源自业务期望
B. 描述所涉及系统的安全现状,提交明确的安全需求文档
C. 向相关组织和领导人宣贯风险评估准则
D. 对系统规划中安全实现的可能性进行充分分析和论证
解析:解析:解释:C属于风险评估阶段的准备阶段,不属于题干中的安全需求阶段。
A. 用户通过自己设置的口令登录系统,完成身份鉴别
B. 用户使用个人指纹,通过指纹识别系统的身份鉴别
C. 用户利用和系统协商的秘密函数,对系统发送挑战进行正确应答,通过身份鉴别
D. 用户使用集成电路卡(如智能卡)完成身份鉴别
解析:解析:解释:实体所有鉴别包括身份证、IC卡、钥匙、USB-Key等。
A. 基于知识的分析方法
B. 基于模型的分析方法
C. 定量分析
D. 定性分析
A. 信息安全风险评估分自评估、检查评估两形式。应以检查评估为主,自评估和检查评估相互结合、互为补充
B. 信息安全风险评估工作要按照“严密组织、规范操作、讲求科学、注重实效”的原则开展
C. 信息安全风险评估应贯穿于网络和信息系统建设运行的全过程
D. 开展信息安全风险评估工作应加强信息安全风险评估工作的组织领导
解析:解析:解释:信息安全风险评估应以自评估(自查)为主。
