A.原型模型
B.瀑布模型
C.喷泉模型
D.螺旋模型
您可能感兴趣的试卷
你可能感兴趣的试题
A.风险评估准备阶段
B.风险要素识别阶段
C.风险分析阶段
D.风险结果判定阶段
A.资产清单
B.资产责任人
C.资产的可接受使用
D.分类指南、信息的标记和处理
A.身份鉴别,应用系统应对登录的用户进行身份鉴别,只有通过验证的用户才能访问应用系统资源
B.安全标记,在应用系统层面对主体和客体进行标记,主体不能随意更改权限,增加访问控制的力度,限制非法访问
C.剩余信息保护,应用系统应加强硬盘、内存或缓冲区中剩余信息的保护,防止存储在硬盘、内存或缓冲区中的信息被非授权的访问
D.机房与设施安全,保证应用系统处于有一个安全的环境条件,包括机房环境、机房安全等级、机房的建造和机房的装修等
A.SSE-CMM要求实施组织与其他组织相互作用,如开发方、产品供应商、集成商和咨询服务商等
B.SSE-CMM可以使安全工程成为一个确定的、成熟的和可度量的科目
C.基于SSE-CMM的工程是独立工程,与软件工程、硬件工程、通信工程等分别规划实施
D.SSE-CMM覆盖整个组织的活动,包括管理、组织和工程活动等,而不仅仅是系统安全的工程活动
操作系统用于管理计算机资源,控制整个系统运行,是计算机软件的基础。操作系统安全是计算、网络及信息系统安全的基础。一般操作系统都提供了相应的安全配置接口。小王新买了一台计算机,开机后首先对自带的Windows操作系统进行配置。他的主要操作有:
(1)关闭不必要的服务和端口;
(2)在“本地安全策略”中配置账号策略、本地策略、公钥策略和IP安全策略;
(3)备份敏感文件,禁止建立空连接,下载最新补丁;
(4)关闭审核策略,开启口令策略,开启账户策略。
这些操作中错误的是()。
A.操作(1),应该关闭不必要的服务和所有端口
B.操作(2),在“本地安全策略”中不应该配置公钥策略,而应该配置私钥策略
C.操作(3),备份敏感文件会导致这些文件遭到窃取的几率增加
D.操作(4),应该开启审核策略
A.RTO可以为0,RPO也可以为0
B.RTO可以为0,RPO不可以为0
C.RTO不可以为0,RPO可以为0
D.RTO不可以为0,RPO也不可以为0
访问控制的实施一般包括两个步骤:首先要鉴别主体的合法身份,接着根据当前系统的访问控制规则授予用户相应的访问权限。在此过程中,涉及主体、客体、访问控制实施部件和访问控制决策部件之间的交互。下图所示的访问控制实施步骤中,标有数字的方框代表了主体、客体、访问控制实施部件和访问控制决策部件。下列选项中,标有数字1、2、3、4的方框分别对应的实体或部件正确的是()
A.主体、访问控制决策、客体、访问控制实施
B.主体、访问控制实施、客体、访问控制决策
C.客体、访问控制决策、主体、访问控制实施
D.客体、访问控制实施、主体、访间控制决策
A.风险评估方法包括:定性风险分析、定量风险分析以及半定量风险分析
B.定性风险分析需要凭借分析者的经验和直觉或者业界的标准和惯例,因此具有随意性
C.定量风险分析试图在计算风险评估与成本效益分析期间收集的各个组成部分的具体数字值,因此更具客观性
D.半定量风险分析技术主要指在风险分析过程中综合使用定性和定量风险分析技术对风险要素的赋值方式,实现对风险各要素的度量数值化
A.HTTP1.0协议
B.HTTP1.1协议
C.HTTPS协议
D.HTTPD协议
A.保持当前版本的操作系统,不定期更新交换机操作系统补丁
B.控制交换机的物理访问端口,关闭空闲的物理端口
C.带外管理交换机,如果不能实现的话,可以利用单独的VLAN号进行带内管理
D.安全配置必要的网络服务,关闭不必要的网络服务
最新试题
你是单位安全主管,由于微软刚发布了数个系统漏洞补丁,安全运维人员给出了针对此漏洞修补的四个建议方案,请选择其中一个最优方案执行()。
终端访问控制器访问控制系统(TERMINAL Access Controller Access-Control System,TACACS),在认证过程中,客户机发送一个START包给服务器,包的内容包括执行的认证类型、用户名等信息。START包只在一个认证会话开始时使用一个,序列号永远为()。服务器收到START包以后,回送一个REPLY包,表示认证继续还是结束。
火灾是机房日常运营中面临最多的安全威胁之一,火灾防护的工作是通过构建火灾预防、检测和响应系统,保护信息化相关人员和信息系统,将火灾导致的影响降低到可接受的程度。下列选项中,对火灾的预防、检测和抑制的措施描述错误的选项是()。
某IT公司针对信息安全事件已建立了完善的预案,在年度企业信息安全总结会上,信息安全管理员对今年应急预案工作做出了四个总结,其中有一项总结工作是错误,作为企业CS哦,请你指出存在在问题的是哪个总结?()
组织应依照已确定的访问控制策略限制对信息和()功能的访问。对访问的限制要基于各个业务应用要求,访问控制策略还要与组织访问策略一致。应建立安全登录规程控制实现对系统和应用的访问。宜选择合适的身份验证技术以验证用户身份。在需要强认证和()时,宜使用加密、智能卡、令牌或生物手段等替代密码的身份验证方法。应建立交互式的口令管理系统,并确保使用优质的口令。对于可能覆盖系统和应用的控制措施的实用工具和程序的使用,应加以限制并()。对程序源代码和相关事项(例如设计、说明书、验证计划和确认计划)的访问宜严格控制,以防引入非授权功能、避免无意识的变更和维持有价值的知识产权的()。对于程序源代码的保存,可以通过这种代码的中央存储控制来实现,更好的是放在()中。
某商贸公司信息安全管理员考虑到信息系统对业务影响越来越重要,计划编制单位信息安全应急响应预案,在向主管领导写报告时,他列举了编制信息安全应急响应预案的好处和重要性,在他罗列的四条理由中,其中不适合作为理由的一条是()。
与PDR模型相比,P2DR模型则更强调(),即强调系统安全的(),并且以安全检测、()和自适应填充“安全间隙“为循环来提高()。
下列选项分别是四种常用的资产评估方法,哪个是目前采用最为广泛的资产评估方法?()
以下哪个组织所属的行业的信息系统不属于关键信息基础设施?()
某项目组进行风险评估时由于时间有限,决定采用基于知识的分析方法,使用基于知识的分析方法进行风险评估,最重要的在于评估信息的采集,该项目组对信息源进行了讨论,以下说法中不可行的是()。