A.資產(chǎn)清單
B.資產(chǎn)責(zé)任人
C.資產(chǎn)的可接受使用
D.分類指南、信息的標(biāo)記和處理
您可能感興趣的試卷
你可能感興趣的試題
A.身份鑒別,應(yīng)用系統(tǒng)應(yīng)對(duì)登錄的用戶進(jìn)行身份鑒別,只有通過驗(yàn)證的用戶才能訪問應(yīng)用系統(tǒng)資源
B.安全標(biāo)記,在應(yīng)用系統(tǒng)層面對(duì)主體和客體進(jìn)行標(biāo)記,主體不能隨意更改權(quán)限,增加訪問控制的力度,限制非法訪問
C.剩余信息保護(hù),應(yīng)用系統(tǒng)應(yīng)加強(qiáng)硬盤、內(nèi)存或緩沖區(qū)中剩余信息的保護(hù),防止存儲(chǔ)在硬盤、內(nèi)存或緩沖區(qū)中的信息被非授權(quán)的訪問
D.機(jī)房與設(shè)施安全,保證應(yīng)用系統(tǒng)處于有一個(gè)安全的環(huán)境條件,包括機(jī)房環(huán)境、機(jī)房安全等級(jí)、機(jī)房的建造和機(jī)房的裝修等
A.SSE-CMM要求實(shí)施組織與其他組織相互作用,如開發(fā)方、產(chǎn)品供應(yīng)商、集成商和咨詢服務(wù)商等
B.SSE-CMM可以使安全工程成為一個(gè)確定的、成熟的和可度量的科目
C.基于SSE-CMM的工程是獨(dú)立工程,與軟件工程、硬件工程、通信工程等分別規(guī)劃實(shí)施
D.SSE-CMM覆蓋整個(gè)組織的活動(dòng),包括管理、組織和工程活動(dòng)等,而不僅僅是系統(tǒng)安全的工程活動(dòng)
操作系統(tǒng)用于管理計(jì)算機(jī)資源,控制整個(gè)系統(tǒng)運(yùn)行,是計(jì)算機(jī)軟件的基礎(chǔ)。操作系統(tǒng)安全是計(jì)算、網(wǎng)絡(luò)及信息系統(tǒng)安全的基礎(chǔ)。一般操作系統(tǒng)都提供了相應(yīng)的安全配置接口。小王新買了一臺(tái)計(jì)算機(jī),開機(jī)后首先對(duì)自帶的Windows操作系統(tǒng)進(jìn)行配置。他的主要操作有:
(1)關(guān)閉不必要的服務(wù)和端口;
(2)在“本地安全策略”中配置賬號(hào)策略、本地策略、公鑰策略和IP安全策略;
(3)備份敏感文件,禁止建立空連接,下載最新補(bǔ)?。?br /> (4)關(guān)閉審核策略,開啟口令策略,開啟賬戶策略。
這些操作中錯(cuò)誤的是()。
A.操作(1),應(yīng)該關(guān)閉不必要的服務(wù)和所有端口
B.操作(2),在“本地安全策略”中不應(yīng)該配置公鑰策略,而應(yīng)該配置私鑰策略
C.操作(3),備份敏感文件會(huì)導(dǎo)致這些文件遭到竊取的幾率增加
D.操作(4),應(yīng)該開啟審核策略
A.RTO可以為0,RPO也可以為0
B.RTO可以為0,RPO不可以為0
C.RTO不可以為0,RPO可以為0
D.RTO不可以為0,RPO也不可以為0
訪問控制的實(shí)施一般包括兩個(gè)步驟:首先要鑒別主體的合法身份,接著根據(jù)當(dāng)前系統(tǒng)的訪問控制規(guī)則授予用戶相應(yīng)的訪問權(quán)限。在此過程中,涉及主體、客體、訪問控制實(shí)施部件和訪問控制決策部件之間的交互。下圖所示的訪問控制實(shí)施步驟中,標(biāo)有數(shù)字的方框代表了主體、客體、訪問控制實(shí)施部件和訪問控制決策部件。下列選項(xiàng)中,標(biāo)有數(shù)字1、2、3、4的方框分別對(duì)應(yīng)的實(shí)體或部件正確的是()
A.主體、訪問控制決策、客體、訪問控制實(shí)施
B.主體、訪問控制實(shí)施、客體、訪問控制決策
C.客體、訪問控制決策、主體、訪問控制實(shí)施
D.客體、訪問控制實(shí)施、主體、訪間控制決策
最新試題
信息安全方面的業(yè)務(wù)連續(xù)性管理包含2個(gè)()和4個(gè)控制措施。組織應(yīng)確定在業(yè)務(wù)連續(xù)性管理過程或?yàn)?zāi)難恢復(fù)管理過程中是否包含了()。應(yīng)在計(jì)劃業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)時(shí)確定()。組織應(yīng)建立、記錄、實(shí)施并維持過程、規(guī)程和控制措施以確保在不利情況下信息安全連續(xù)性處于要求級(jí)別。在業(yè)務(wù)連續(xù)性或?yàn)?zāi)難恢復(fù)內(nèi)容中,可能已定義特定的()。應(yīng)保護(hù)在這些過程和規(guī)程或支持它們的特性信息系統(tǒng)中處理的額信息。在不利情況下,已實(shí)施的信息安全控制措施應(yīng)繼續(xù)實(shí)行。若安全控制措施不能保持信息安全,應(yīng)建立、實(shí)施和維持其他控制措施以保持信息安全在()。
以下關(guān)于開展軟件安全開發(fā)必要性描錯(cuò)誤的是()。
目前應(yīng)用面臨的威脅越來越多,越來越難發(fā)現(xiàn)。對(duì)應(yīng)用系統(tǒng)潛在的威脅目前還沒有統(tǒng)一的分類,但小趙認(rèn)為同事小李從對(duì)應(yīng)用系統(tǒng)的攻擊手段角度出發(fā)所列出的四項(xiàng)例子中有一項(xiàng)不對(duì),請(qǐng)問是下面哪一項(xiàng)?()
分析針對(duì)Web的攻擊前,先要明白http協(xié)議本身是不存在安全性的問題的,就是說攻擊者不會(huì)把它當(dāng)作攻擊的對(duì)象。而是應(yīng)用了http協(xié)議的服務(wù)器或則客戶端、以及運(yùn)行的服務(wù)器的wed應(yīng)用資源才是攻擊的目標(biāo)。針對(duì)Web應(yīng)用的攻擊,我們歸納出了12種,小陳列舉了其中的4種,在這四種當(dāng)中錯(cuò)誤的是()。
某集團(tuán)公司信息安全管理員根據(jù)領(lǐng)導(dǎo)安排制定了下一年度的培訓(xùn)工作計(jì)劃,提出了四個(gè)培訓(xùn)任務(wù)和目標(biāo)。關(guān)于這四個(gè)培訓(xùn)任務(wù)和目標(biāo)。作為主管領(lǐng)導(dǎo),以下選項(xiàng)中正確的是()。
計(jì)算機(jī)漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。在病毒肆意的信息不安全時(shí)代,某公司為減少計(jì)算機(jī)系統(tǒng)漏洞,對(duì)公司計(jì)算機(jī)系統(tǒng)進(jìn)行了如下措施,其中錯(cuò)誤的是()。
下列選項(xiàng)中對(duì)信息系統(tǒng)審計(jì)概念的描述中不正確的是()。
某單位在進(jìn)行內(nèi)部安全評(píng)估時(shí),安全員小張使用了單位采購的漏洞掃描軟件進(jìn)行單位內(nèi)的信息系統(tǒng)漏洞掃描。漏洞掃描報(bào)告的結(jié)論為信息系統(tǒng)基本不存在明顯的安全漏洞,然而此報(bào)告在內(nèi)部審計(jì)時(shí)被質(zhì)疑,原因在于小張使用的漏洞掃描軟件采購于三年前,服務(wù)已經(jīng)過期,漏洞庫是半年前最后一次更新的。關(guān)于內(nèi)部審計(jì)人員對(duì)這份報(bào)告的說法正確的是()。
組織應(yīng)定期監(jiān)控、審查、審計(jì)()服務(wù),確保協(xié)議中的信息安全條款和條件被遵守,信息安全事件和問題得到妥善管理。應(yīng)將管理供應(yīng)商關(guān)系的責(zé)任分配給指定的個(gè)人或()團(tuán)隊(duì)。另外,組織應(yīng)確保落實(shí)供應(yīng)商符合性審查和相關(guān)協(xié)議要求強(qiáng)制執(zhí)行的責(zé)任。應(yīng)保存足夠的技術(shù)技能和資源的可用性以監(jiān)視協(xié)議要求尤其是()要求的實(shí)現(xiàn)。當(dāng)發(fā)現(xiàn)服務(wù)交付的不足時(shí),宜采?。ǎ?。當(dāng)供應(yīng)商提供的服務(wù),包括對(duì)()方針、規(guī)程和控制措施的維持和改進(jìn)等發(fā)生變更時(shí),應(yīng)在考慮到其對(duì)業(yè)務(wù)信息、系統(tǒng)、過程的重要性和重新評(píng)估風(fēng)險(xiǎn)的基礎(chǔ)上管理。
風(fēng)險(xiǎn)評(píng)估文檔是指在整個(gè)風(fēng)險(xiǎn)評(píng)估過程中產(chǎn)生的評(píng)估過程文檔和評(píng)估結(jié)果文檔,其中,明確評(píng)估的目的、職責(zé)、過程、相關(guān)的文檔要求,以及實(shí)施本次評(píng)估所需要的各種資產(chǎn)、威脅、脆弱性識(shí)別和判斷依據(jù)的文檔是()。