我
- A.发现不明的SUID可执行文件
- B.发现应用的配置文件被管理员变更
- C.发现有恶意程序在实时的攻击系统
- D.发现防护程序收集了很多黑客攻击的源地址
- A.使用root用户访问FTP程序
- B.使用root用户连接SSH服务
- C.使用root进行SCP文件传输
- D.在本地使用root用户登录
- A.用于远程的安全管理,使用SSH客户端连接远程SSH服务器,建立安全的Shell交互环境
- B.用于本地到远程隧道的建立,进而提供安全通道,保证某些业务安全传输
- C.进行对本地数据使用SSH的秘钥进行加密报错,以提高其业务的可靠性
- D.SCP远程安全数据复制借助SSH协议进行传输,SSH提供其安全隧道保障
- A.配置iptables
- B.配置Tcpwapper
- C.启用Selinux
- D.修改root的UID
- A.使用uname-a确认其内核是否有漏洞
- B.检查系统是否有重复的UID用户
- C.查看login.defs文件对于密码的限制
- D.查看hosts文件确保Tcpwapper生效
- A.Linux系统支持细粒度的审计操作
- B.Linux系统可以使用自带的软件发送审计日志到SOC平台
- C.Linux系统一般使用auditd进程产生日志文件
- D.Linux在secure日志中登陆成功日志和审计日志是一个文件
- A.个人防火墙
- B.防病毒软件
- C.入侵检测系统
- D.虚拟局域网设置
- A.shadow文件可以指定用户的目录
- B.shadow文件中定义了密码的使用期限
- C.读取shadow文件能够发现秘钥的加密方法
- D.shadow文件对于任何人是不可以读取的
- A.软件安全测试就是黑盒测试
- B.Fuzz测试是经常采用的安全测试方法之一
- C.软件安全测试关注的是软件的功能
- D.软件安全测试可以发现软件中产生的所有安全问题
- A.变更过程要留痕
- B.变更申请与上线提出要经过审批
- C.变更过程要坚持环境分离和人员分离原则
- D.变更要与容灾预案同步
- A.源代码周期性安全扫描
- B.源代码人工审计
- C.渗透测试
- D.对系统的运行情况进行不间断监测记录
- A.bug的数量
- B.bug的严重程度
- C.bug的复现过程
- D.bug修复的可行性
- A.系统后评价规定
- B.可行性分析与需求分析规定
- C.安全开发流程的定义、交付物和交付物衡量标准
- D.需求变更规定
- A.考虑安全开发需要什么样的资源与预算
- B.考虑安全开发在开发生命周期各阶段应开展哪些工作
- C.对开发团队进行信息安全培训
- D.购买一定的安全工具,如代码扫描工具等
- A.SQL注入、跨站脚本、缓冲区溢出
- B.SQL注入、跨站脚本、DNS毒药
- C.SQL注入、跨站请求伪造、网络窃听
- D.跨站请求伪造、跨站脚本、DNS毒药
- A.数据库事务完整性机制
- B.数据库自动备份复制机制
- C.双机并行处理,并相互验证
- D.加密算法
- A.封装
- B.多态
- C.继承
- D.重载
- A.系统分析员
- B.业务代表
- C.安全专家
- D.合规代表
- A.数据拥有者
- B.安全管理员
- C.IT安全经理
- D.请求者的直接上司
- A.瀑布模型
- B.净室模型
- C.XP模型
- D.迭代模型
- A.代码审计
- B.安全编码规范
- C.编码培训
- D.代码版本管理
- A.对每日提交的新代码进行人工审计
- B.代码安全扫描
- C.安全意识教育
- D.安全编码培训教育
- A.输入参数过滤,安全编译选项
- B.操作系统安全机制、禁止使用禁用API
- C.安全编码教育
- D.渗透测试
- A.立项可行性分析阶段
- B.系统需求分析阶段
- C.架构设计和编码阶段
- D.投产上线阶段
- A.单元测试和集成测试
- B.系统测试
- C.验收测试
- D.渗透测试
- A.比较强制访问控制而言不太灵活
- B.基于安全标签
- C.关注信息流
- D.在商业环境中广泛使用
- A.认证
- B.鉴定
- C.授权
- D.审计
- A.ISMS是一个遵循PDCA模式的动态发展的体系
- B.ISMS是一个文件化、系统化的体系
- C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定
- D.ISMS应该是一步到位的,应该解决所有的信息安全问题
- A.它利用公钥加密技术
- B.它依靠对称密码技术
- C.它是第二方的认证系统
- D.票据授予之后将加密数据,但以明文方式交换密码
- A.主体、客体的敏感标签和自主访问控制
- B.客体敏感标签和强制访问控制
- C.主体的安全凭证、客体的安全标签和强制访问控制
- D.主体、客体的敏感标签和对其“系统高安全模式”的评价
- A.外部代理商的处理应该接受一个来自独立代理进行的IS审计
- B.外部代理商的员工必须接受该组织的安全程序的培训
- C.来自外部代理商的任何访问必须限制在停火区(DMZ)
- D.该组织应该进行风险评估,并制定和实施适当的控制
- A.Kerberos票证授予服务器(TGS)
- B.Kerberos身份验证服务器(KAS)
- C.存放用户名和密码的数据库
- D.Kerberos票证吊销服务器(TRS)
- A.授权
- B.多人共用同一帐号
- C.审计机制
- D.系统设计的形式化验证
- A.ElGamal密码加密
- B.秘密密钥加密
- C.Blowfish加密
- D.公钥加密
- A.埃及神话中的有三个头的狗
- B.安全模型
- C.远程身份验证拨入用户服务器
- D.一个值得信赖的第三方认证协议
- A.威慑
- B.规避
- C.预防
- D.检测
- A.访问规则
- B.策略与程序
- C.审计跟踪
- D.唯一身份标识符
- A.磁带操作员被允许使用系统控制台
- B.操作员是不允许修改系统时间
- C.允许程序员使用系统控制台
- D.控制台操作员被允许装载磁带和磁盘
- A.用户ID
- B.访问配置文件
- C.员工胸牌
- D.密码
- A.在扇区这个级别上,硬盘已经被多次重复写入,但是在离开组织前没有进行重新格式化
- B.硬盘上所有的文件和文件夹都分别删除了,并在离开组织进行重新格式化
- C.在离开组织前,通过在硬盘特定位置上洞穿盘片,进行打洞,使得硬盘变得不可读取
- D.由内部的安全人员将硬盘送到附近的金属回收公司,对硬盘进行登记并粉碎
- A.可重复使用的密码机制
- B.一次性口令机制
- C.挑战响应机制
- D.基于IP地址的机制
- A.基于角色的策略
- B.基于身份的策略
- C.基于用户的策略
- D.基于规则政策
- A.静态和重复使用的密码
- B.加密和重复使用的密码
- C.一次性密码和加密
- D.静态和一次性密码
- A.保护调制解调器池
- B.考虑适当的身份验证方式
- C.为用户提供账户使用信息
- D.实施工作站锁定机制
- A.隧道攻击
- B.重放攻击
- C.破坏性攻击
- D.处理攻击
- A.密码一旦泄露,最大程度的非授权访问将可能发生
- B.将增加用户的访问权限
- C.用户的密码太难记
- D.安全管理员的工作量会增加
- A.经理
- B.集团负责人
- C.安全经理
- D.数据所有者
- A.状态检测防火墙
- B.网页内容过滤
- C.网页缓存服务器
- D.代理服务器
- A.审计师
- B.不可授予任何人
- C.系统的属主
- D.只有维护程序员
- A.满足并超过行业安全标准
- B.同意可以接受外部安全审查
- C.其服务和经验有很好的市场声誉
- D.符合组织的安全策略
