A.安全域划分主要以业务需求、功能需求和安全需求为依据,和网络、设备的物理部署位置无关
B.安全域划分能把一个大规模复杂系统的安全问题,化解为更小区域的安全保护问题
C.以安全域为基础,可以确定该区域的信息系统安全保护等级和防护手段,从而使同一安全域内的资产实施统一的保护
D.安全域边界是安全事件发生时的抑制点,以安全域为基础,可以对网络和系统进行安全检查和评估,因此安全域划分和保护也是网络防攻击的有效防护方式
您可能感兴趣的试卷
你可能感兴趣的试题
A.异步控制
B.同步控制
C.存取控制
D.基线控制
根据信息安全风险要素之间的关系,下图中空白处应该填写()
A.资产
B.安全事件
C.脆弱性
D.安全措施
A.分组密码算法要求输入明文按组分成固定长度的块
B.分组密码算法每次计算得到固定长度的密文输出块
C.分组密码算法也称为序列密码算法
D.常见的DES、IDEA算法都属于分组密码算法
A.原型模型
B.瀑布模型
C.喷泉模型
D.螺旋模型
A.风险评估准备阶段
B.风险要素识别阶段
C.风险分析阶段
D.风险结果判定阶段
A.资产清单
B.资产责任人
C.资产的可接受使用
D.分类指南、信息的标记和处理
A.身份鉴别,应用系统应对登录的用户进行身份鉴别,只有通过验证的用户才能访问应用系统资源
B.安全标记,在应用系统层面对主体和客体进行标记,主体不能随意更改权限,增加访问控制的力度,限制非法访问
C.剩余信息保护,应用系统应加强硬盘、内存或缓冲区中剩余信息的保护,防止存储在硬盘、内存或缓冲区中的信息被非授权的访问
D.机房与设施安全,保证应用系统处于有一个安全的环境条件,包括机房环境、机房安全等级、机房的建造和机房的装修等
A.SSE-CMM要求实施组织与其他组织相互作用,如开发方、产品供应商、集成商和咨询服务商等
B.SSE-CMM可以使安全工程成为一个确定的、成熟的和可度量的科目
C.基于SSE-CMM的工程是独立工程,与软件工程、硬件工程、通信工程等分别规划实施
D.SSE-CMM覆盖整个组织的活动,包括管理、组织和工程活动等,而不仅仅是系统安全的工程活动
操作系统用于管理计算机资源,控制整个系统运行,是计算机软件的基础。操作系统安全是计算、网络及信息系统安全的基础。一般操作系统都提供了相应的安全配置接口。小王新买了一台计算机,开机后首先对自带的Windows操作系统进行配置。他的主要操作有:
(1)关闭不必要的服务和端口;
(2)在“本地安全策略”中配置账号策略、本地策略、公钥策略和IP安全策略;
(3)备份敏感文件,禁止建立空连接,下载最新补丁;
(4)关闭审核策略,开启口令策略,开启账户策略。
这些操作中错误的是()。
A.操作(1),应该关闭不必要的服务和所有端口
B.操作(2),在“本地安全策略”中不应该配置公钥策略,而应该配置私钥策略
C.操作(3),备份敏感文件会导致这些文件遭到窃取的几率增加
D.操作(4),应该开启审核策略
A.RTO可以为0,RPO也可以为0
B.RTO可以为0,RPO不可以为0
C.RTO不可以为0,RPO可以为0
D.RTO不可以为0,RPO也不可以为0
最新试题
国家对信息安全建设非常重视,如国家信息化领导小组在()中确定要求,“信息安全建设是信息化的有机组成部分,必须与信息化同步规划、同步建设。各地区各部门在信息化建设中,要同步考虑信息安全建设,保证信息安全设施的运行维护费用。”国家发展改革委所下发的()要求;电子政务工程建设项目必须同步考虑安全问题,提供安全专项资金,信息安全风险评估结论是项目验收的重要依据。在我国2017年正式发布的()中规定“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。”信息安全工程就是要解决信息系统生命周期的“过程安全”问题。
分析针对Web的攻击前,先要明白http协议本身是不存在安全性的问题的,就是说攻击者不会把它当作攻击的对象。而是应用了http协议的服务器或则客户端、以及运行的服务器的wed应用资源才是攻击的目标。针对Web应用的攻击,我们归纳出了12种,小陈列举了其中的4种,在这四种当中错误的是()。
组织应依照已确定的访问控制策略限制对信息和()功能的访问。对访问的限制要基于各个业务应用要求,访问控制策略还要与组织访问策略一致。应建立安全登录规程控制实现对系统和应用的访问。宜选择合适的身份验证技术以验证用户身份。在需要强认证和()时,宜使用加密、智能卡、令牌或生物手段等替代密码的身份验证方法。应建立交互式的口令管理系统,并确保使用优质的口令。对于可能覆盖系统和应用的控制措施的实用工具和程序的使用,应加以限制并()。对程序源代码和相关事项(例如设计、说明书、验证计划和确认计划)的访问宜严格控制,以防引入非授权功能、避免无意识的变更和维持有价值的知识产权的()。对于程序源代码的保存,可以通过这种代码的中央存储控制来实现,更好的是放在()中。
为了开发高质量的软件,软件效率成为最受关注的话题。那么开发效率主要取决于以下两点:开发新功能是否迅速以及修复缺陷是否及时。为了提高软件测试的效率,应()。
等级保护实施根据GB/T25058-2010《信息安全技术信息系统安全等级保护实施指南》分为五大阶段;()、总体规划、设计实施、()和系统终止。但由于在开展等级保护试点工作时,大量信息系统已经建设完成,因此根据实际情况逐步形成了()、备案、差距分析(也叫差距测评)、建设整改、验收测评、定期复查为流程的()工作流程。和《等级保护实施指南》中规定的针对()的五大阶段略有差异。
下列选项分别是四种常用的资产评估方法,哪个是目前采用最为广泛的资产评估方法?()
与PDR模型相比,P2DR模型则更强调(),即强调系统安全的(),并且以安全检测、()和自适应填充“安全间隙“为循环来提高()。
信息安全管理体系也采用了()模型,该模型可应用于所有的()。ISMS把相关方的信息安全要求和期望作为输入,并通过必要的(),产生满足这些要求和期望的()。
保护-检测-响应(Protection-Detection-Response,PDR)模型是()工作中常用的模型,七思想是承认()中漏洞的存在,正视系统面临的(),通过采取适度防护、加强()、落实对安全事件的响应、建立对威胁的防护来保障系统的安全。
终端访问控制器访问控制系统(TERMINAL Access Controller Access-Control System,TACACS),在认证过程中,客户机发送一个START包给服务器,包的内容包括执行的认证类型、用户名等信息。START包只在一个认证会话开始时使用一个,序列号永远为()。服务器收到START包以后,回送一个REPLY包,表示认证继续还是结束。