單項(xiàng)選擇題某單位根據(jù)業(yè)務(wù)需要準(zhǔn)備立項(xiàng)開發(fā)一個(gè)業(yè)務(wù)軟件,對(duì)于軟件開發(fā)安全投入經(jīng)費(fèi)研討時(shí)開發(fā)部門和信息中心就發(fā)生了分歧,開發(fā)部門認(rèn)為開發(fā)階段無(wú)需投入,軟件開發(fā)完成后發(fā)現(xiàn)問(wèn)題后在針對(duì)性的解決,比前期安全投入要成本更低,信息中心則認(rèn)為應(yīng)在軟件安全開發(fā)階段投入,后期解決代價(jià)太大,雙方爭(zhēng)執(zhí)不下,作為信息安全專家,請(qǐng)選擇對(duì)軟件開發(fā)安全投入的準(zhǔn)確說(shuō)法()

A.信息中心的考慮是正確的,在軟件立項(xiàng)投入解決軟件安全問(wèn)題,總體經(jīng)費(fèi)投入比軟件運(yùn)行后的費(fèi)用要低
B.軟件開發(fā)部門的說(shuō)法是正確的,因?yàn)檐浖l(fā)現(xiàn)問(wèn)題后更清楚問(wèn)題所在,安排人員進(jìn)行代碼修訂更簡(jiǎn)單,因此費(fèi)用更低
C.雙方的說(shuō)法都正確,需要根據(jù)具體情況分析是開發(fā)階段投入解決問(wèn)題還是在上線后再解決問(wèn)題費(fèi)用更低
D.雙方的說(shuō)法都錯(cuò)誤,軟件安全問(wèn)題在任何時(shí)候投入解決都可以,只要是一樣的問(wèn)題,解決的代價(jià)相同


您可能感興趣的試卷

你可能感興趣的試題

1.單項(xiàng)選擇題關(guān)于ARP欺騙原理和防范措施,下面理解錯(cuò)誤的是()

A.ARP欺騙是指攻擊者直接向受害者主機(jī)發(fā)送錯(cuò)誤人ARP應(yīng)答報(bào)文,使得受害者主機(jī)將錯(cuò)誤的硬件地址映射關(guān)系存入到ARP緩存中,從而起到冒充主機(jī)的目的
B.單純利用ARP欺騙攻擊時(shí),ARP欺騙通常影響的是內(nèi)部子網(wǎng),不能跨越路由實(shí)施攻擊
C.解決ARP欺騙的一個(gè)有效方法是采用“靜態(tài)”的ARP緩存,如果發(fā)生硬件地址的更改,則需要人工更新緩存
D.徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存,直接采用IP地址和其他主機(jī)進(jìn)行連接

3.單項(xiàng)選擇題不同的信息安全風(fēng)險(xiǎn)評(píng)估方法可能得到不同的風(fēng)險(xiǎn)評(píng)估結(jié)果,所以組織機(jī)構(gòu)應(yīng)當(dāng)根據(jù)各自的實(shí)際情況選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估方法。下面的描述中錯(cuò)誤的是()

A.定量風(fēng)險(xiǎn)分析試圖從財(cái)務(wù)數(shù)字上對(duì)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估,得出可以量化的風(fēng)險(xiǎn)分析結(jié)果,以度量風(fēng)險(xiǎn)的可能性和缺失量
B.定量風(fēng)險(xiǎn)分析相比定性風(fēng)險(xiǎn)分析能得到準(zhǔn)確的數(shù)值,所以在實(shí)際工作中應(yīng)使用定量風(fēng)險(xiǎn)分析,而不應(yīng)選擇定性風(fēng)險(xiǎn)分析
C.定性風(fēng)險(xiǎn)分析過(guò)程中,往往需要憑借分析者的經(jīng)驗(yàn)和直接進(jìn)行,所以分析結(jié)果和風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)的素質(zhì)、經(jīng)驗(yàn)和知識(shí)技能密切相關(guān)
D.定性風(fēng)險(xiǎn)分析更具主觀性,而定量風(fēng)險(xiǎn)分析更具客觀性

4.單項(xiàng)選擇題你是單位安全主管,由于微軟剛發(fā)布了數(shù)個(gè)系統(tǒng)漏洞補(bǔ)丁,安全運(yùn)維人員給出了針對(duì)此漏洞修補(bǔ)的四個(gè)建議方案,請(qǐng)選擇其中一個(gè)最優(yōu)先方案執(zhí)行()

A.由于本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具,因此不會(huì)對(duì)系統(tǒng)產(chǎn)生實(shí)質(zhì)性危害
B.本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具,因此不會(huì)對(duì)系統(tǒng)產(chǎn)生實(shí)質(zhì)性危害,所以可以先不做處理
C.對(duì)于重要的服務(wù),應(yīng)在測(cè)試環(huán)境中安裝并確認(rèn)補(bǔ)丁兼容性問(wèn)題后再正式生產(chǎn)環(huán)境中部署
D.對(duì)于服務(wù)器等重要設(shè)備,立即使用系統(tǒng)更新功能安裝這批補(bǔ)丁,用戶終端計(jì)算機(jī)由于沒(méi)有重要數(shù)據(jù),由終端自行升級(jí)

5.單項(xiàng)選擇題某IT公司針對(duì)信息安全事件已經(jīng)建立了完善的預(yù)案,在年度企業(yè)信息安全總結(jié)會(huì)上,信息安全管理員對(duì)今年應(yīng)急預(yù)案工作做出了四個(gè)總結(jié)工作是錯(cuò)誤,作為企業(yè)的CSO,請(qǐng)你指出存在問(wèn)題的是哪個(gè)總結(jié)?()

A.公司自身?yè)碛袃?yōu)勢(shì)的技術(shù)人員,系統(tǒng)也是自己開發(fā)的,無(wú)需進(jìn)行應(yīng)急演練工作,因此今年的僅制定了應(yīng)急演練相關(guān)流程及文檔,為了不影響業(yè)務(wù),應(yīng)急演練工作不舉行
B.公司制定的應(yīng)急演練流程包括應(yīng)急事件通報(bào)、確定應(yīng)急事件優(yōu)先級(jí)應(yīng)急響應(yīng)啟動(dòng)實(shí)施、應(yīng)急響應(yīng)時(shí)間后期運(yùn)維、更新現(xiàn)在應(yīng)急預(yù)案5個(gè)階段,流程完善可用
C.公司應(yīng)急預(yù)案包括了基本環(huán)境類、業(yè)務(wù)系統(tǒng)、安全事件類、安全事件類和其他類,基本覆蓋了各類應(yīng)急事件類型
D.公司應(yīng)急預(yù)案對(duì)事件分裂依據(jù)GB/Z20986-2007《信息安全技術(shù)信息安全事件分類分級(jí)指南》,分為7個(gè)基本類別,預(yù)案符合國(guó)家相關(guān)標(biāo)準(zhǔn)

最新試題

信息安全是通過(guò)實(shí)施一組合適的()而達(dá)到的,包括策略、過(guò)程、規(guī)程、()以及軟件和硬件功能。在必要時(shí)需建立、實(shí)施、監(jiān)視、評(píng)審和改進(jìn)包含這些控制措施的()過(guò)程,以確保滿足該組織的特定安全和()。這個(gè)過(guò)程宜與其他業(yè)務(wù)()聯(lián)合進(jìn)行。

題型:?jiǎn)雾?xiàng)選擇題

組織應(yīng)依照已確定的訪問(wèn)控制策略限制對(duì)信息和()功能的訪問(wèn)。對(duì)訪問(wèn)的限制要基于各個(gè)業(yè)務(wù)應(yīng)用要求。訪問(wèn)控制策略還要與組織的訪問(wèn)策略一致。應(yīng)建立安全登錄規(guī)程控制實(shí)現(xiàn)對(duì)系統(tǒng)和應(yīng)用的訪問(wèn)。宜選擇合適的身份驗(yàn)證技術(shù)以驗(yàn)證用戶身份。在需要強(qiáng)認(rèn)證和()時(shí),宜使用如加密、智能卡、令牌或生物手段等著代密碼的身份驗(yàn)證方法。應(yīng)建立交互式的口令苦理系統(tǒng)并確僅使用優(yōu)質(zhì)的口令。對(duì)千可能覆蓋系統(tǒng)和應(yīng)用的控制措施的實(shí)用工具和程序的使用,應(yīng)加以限制并()。對(duì)程序源代碼和相關(guān)事項(xiàng)(例如設(shè)計(jì)、說(shuō)明書、驗(yàn)證計(jì)劃和確認(rèn)計(jì)劃)的訪問(wèn)宜嚴(yán)格控制,以防引入非授權(quán)功能、避免無(wú)意識(shí)的變更和維持有價(jià)值的知識(shí)產(chǎn)權(quán)的()。對(duì)于程序源代碼的保存,可以通過(guò)這種代碼的中央存儲(chǔ)控制來(lái)實(shí)現(xiàn)更好的是放在()中。

題型:?jiǎn)雾?xiàng)選擇題

以下哪項(xiàng)網(wǎng)絡(luò)攻擊會(huì)對(duì)《網(wǎng)絡(luò)安全法》定義的網(wǎng)絡(luò)運(yùn)行安全造成影響?()

題型:?jiǎn)雾?xiàng)選擇題

系統(tǒng)安全工程能力成熟度模型評(píng)估方法(SSAM)是專門基于SSE-CMM的評(píng)估方法。它包含對(duì)系統(tǒng)安全工程能力成熟度模型中定義的組織的()流程能力和成熟度進(jìn)行評(píng)估所需的()。SSAM評(píng)估分為四個(gè)階段()、()()()

題型:?jiǎn)雾?xiàng)選擇題

ITIL最新版本是V3.0,它包含5個(gè)生命周期,分別是()

題型:?jiǎn)雾?xiàng)選擇題

對(duì)操作系統(tǒng)軟件安裝方面應(yīng)建立安裝(),運(yùn)行系統(tǒng)要安裝經(jīng)過(guò)批準(zhǔn)的可執(zhí)行代碼,不安裝開發(fā)代碼和(),應(yīng)用和操作系統(tǒng)軟件要在大范圍的、成功的測(cè)試之后才能實(shí)施。而且要僅由受過(guò)培訓(xùn)的管理員,根據(jù)合適的(),進(jìn)行運(yùn)行軟件、應(yīng)用和程序庫(kù)的更新;必要時(shí)在管理者批準(zhǔn)情況下,僅為了支持目的才授予供應(yīng)商物理或邏輯訪問(wèn)權(quán),并且要監(jiān)督供應(yīng)商的活動(dòng)。對(duì)于用戶能安裝何種類型的軟件,組織宜定義并強(qiáng)制執(zhí)行嚴(yán)格的方針,宜使用()。不受控制的計(jì)算機(jī)設(shè)備上的軟件安裝可能導(dǎo)致脆弱性。進(jìn)行導(dǎo)致信息泄露;整體性損失或其他信息安全事件或違反()

題型:?jiǎn)雾?xiàng)選擇題

Hadoop 是目前廣泛應(yīng)用的大數(shù)據(jù)處理分析平臺(tái)。在Hadoop1.0.0版本之前,Hadoop 并不存在安全認(rèn)證一說(shuō)。認(rèn)集群內(nèi)所有的節(jié)點(diǎn)都是可靠的,值得信賴的。用戶與服務(wù)器進(jìn)行交互時(shí)并不需要進(jìn)行驗(yàn)證。導(dǎo)致在惡意用戶裝成真正的用戶或者服務(wù)器入侵到Hadoop 集群上,惡意的提交作業(yè)篡改分布式存儲(chǔ)的數(shù)據(jù)偽裝成Name No 安康頭發(fā)TaskTracker 接受任務(wù)等。在Hadoop2.0中引入Kerberos 機(jī)制來(lái)解決用戶到服務(wù)器認(rèn)證問(wèn)題,Kerberos 認(rèn)證過(guò)程不包括()。

題型:?jiǎn)雾?xiàng)選擇題

了解社會(huì)工程學(xué)攻擊是應(yīng)對(duì)和防御()的關(guān)鍵,對(duì)于信息系統(tǒng)的管理人員和用戶,都應(yīng)該了解社會(huì)學(xué)的攻擊的概念和攻擊的()。組織機(jī)構(gòu)可采取對(duì)相關(guān)人員實(shí)施社會(huì)工程學(xué)培訓(xùn)來(lái)幫助員工了解什么是社會(huì)工程學(xué)攻擊,如何判斷是否存在社會(huì)工程學(xué)攻擊,這樣才能更好的保護(hù)信息系統(tǒng)和()。因?yàn)槿绻麑?duì)攻擊方式有所了解那么用戶識(shí)破攻擊者的偽裝就()。因此組織機(jī)構(gòu)應(yīng)持續(xù)不斷的向員工提供安全意識(shí)的培訓(xùn)和教育,向員工灌輸(),人機(jī)降低社會(huì)工程學(xué)攻擊的風(fēng)險(xiǎn)。

題型:?jiǎn)雾?xiàng)選擇題

網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案是在分析網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件后果和應(yīng)急能力的基礎(chǔ)上,針對(duì)可能發(fā)生的重大網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件,預(yù)先制定的行動(dòng)計(jì)劃或應(yīng)急對(duì)策。應(yīng)急預(yù)案的實(shí)施需要各子系統(tǒng)的相互配合與協(xié)調(diào),下面應(yīng)急響應(yīng)工作流程圖中,空白方框中從右到左依次填入的是()

題型:?jiǎn)雾?xiàng)選擇題

物理安全是一個(gè)非常關(guān)鍵的領(lǐng)域包括環(huán)境安全、設(shè)施安全與傳輸安全。其中,信息系統(tǒng)的設(shè)施作為直存儲(chǔ)、處理數(shù)據(jù)的載體,其安全性對(duì)信息系統(tǒng)至關(guān)重要。下列選項(xiàng)中,對(duì)設(shè)施安全的保障的描述正確的是()。

題型:?jiǎn)雾?xiàng)選擇題