网站备案 需要上传网站么免费网站收录入口
第一题
风险计算原理可以用下面的范式形式化地加以说明:风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))。以下关于上式各项说明错误的是?
A:R 表示安全风险计算函数,A 表示资产,T 表示威胁,V 表示脆弱性
B:L 表示威胁利资产脆弱性导致安全事件的可能性
C:F 表示安全事件发生后造成的损失
D:Ia,Va 分别表示安全事件作用全部资产的价值与其对应资产的严重程度 ✅
💖 解析💖
你有一栋房子(这就是资产A),但是有一天,你发现房子的门锁不太牢固(这就是脆弱性V),而这时有一个小偷(这就是威胁T)注意到了这一点。
现在,我们来看各个选项怎么和这个情境联系起来:
A选项:R是计算风险的,就像你计算房子被偷的可能性一样。A是房子,T是小偷,V是门锁不牢固。这很好理解,对吧?
B选项:L就像是小偷利用门锁不牢固来偷东西的可能性。这也很好记,因为小偷肯定更愿意偷那些容易进入的房子。
C选项:F是如果房子被偷了,你会损失多少钱或多少东西。这也符合常理,风险不仅仅是事情发生的可能性,还包括发生后带来的损失。
D选项:这里说Ia是全部资产的价值,但在这个情境里,我们只关心这栋房子的价值,而不是你所有的资产。Va是损失的严重程度,这部分是对的,但Ia的说法不对。
所以,简单来说,D选项把“资产”的概念扩大化了,而实际上在这个情境里,我们只关心那栋房子的风险。
第二题
为了进一步提高信息安全的保障能力和防护水平,保障和促进信息化建设的健康发展,公安部等 4 部委联合发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号),对等级保护工作的开展提供宏观指导和约束,明确了等级保护工作的基本内容、工作要求和实施计划,以及各部门工作职责分工等。关于该文件,下面理解正确的是?
A:该文件是一个由部委发布的政策性文件,不属于法律文件。✅
B:该文件适用于 2004 年的等级保护工作,其内容不能约束到 2005 年及之后的工作。
C:该文件是一个总体性指导文件,规定了所有信息系统都要纳入等级保护定级范围。
D:该文件使用范围为发文的这四个部委,不适用于其他部门和企业等单位。
💖 解析💖
A选项说这个文件是由部委发布的政策性文件,不属于法律文件。这就像是学校里的老师发的通知,告诉你应该怎么做才能保证安全,
但这个通知并不是法律,所以它没有法律那样的强制性。这个文件就是告诉大家在信息安全方面应该怎么做,但它不是法律,所以它的影响力和约束力是有限的。
B选项说这个文件只适用于2004年,这个说法是不对的。就像是一个安全守则,它不会只因为时间变了就失效,它是为了长期指导大家如何保护信息安全的。
C选项说这个文件规定了所有信息系统都要纳入等级保护定级范围。这个说法太过于绝对了,定级范围是要看系统重要性的。
D选项说这个文件只适用于发文的四个部委,不适用于其他部门和企业。这个说法也是不对的,因为这个文件是为了指导全国范围内的信息安全工作,不仅仅是针对那四个部委。
第三题
以下行为不属于违反国家保密规定的行为?
A.将涉密计算机、涉密存储设备接入互联网及其他公共信息网络
B.通过普通邮政等无保密措施的渠道传递国家秘密载体
C.在私人交往中涉及国家秘密
D.以不正当手段获取商业密码✅
💖 解析💖
A选项:想象一下,你有一个装满了秘密的电脑和U盘,然后你把它们连上了互联网,或者放在了一个大家都能随便看的地方。
这就好比你把家里的钥匙放在了邻居家门口,这肯定是不行的,因为这样别人就可能知道你的秘密了。
B选项:这个就像是你把一封很重要的信,通过普通邮寄的方式寄出去,而不是用那种有保密措施的快递。这样信件在传递过程中就可能被别人看到,所以这也是不允许的。
C选项:这个就像是你在和朋友聊天的时候,不小心说出了国家的秘密。这就像是你在说悄悄话的时候,不小心让旁边的人听到了,这也是违反保密规定的。
D选项:这个说的是用不正当的手段去获取别人的商业秘密。这就像是你去偷看别人的日记,或者用黑客手段去窃取别人的商业计划。
虽然这是不对的,但它不属于国家保密规定的内容,而是商业秘密保护的范畴。
所以,正确答案是D。这个选项说的是商业秘密,而不是国家秘密,所以它不属于违反国家保密规定的行为。
第四题
关于源代码审核,描述正确的是?
A:源代码审核过程遵循信息安全保障技术框架模型(IATF),在执行时应一步一步严格执行
B:源代码审核有利于发现软件编码中存在的安全问题,相关的审核工具包括商业开源工具✅
C:源代码审核如果想要有效率高,则主要依赖人工审核而不是工具审核。因为人工智能的,需要人的脑袋来判断
D:源代码审核能起到很好的安全保证作用。如果执行了源代码审核,则不需要安全测试
💖 解析💖
A选项:这个选项说源代码审核要遵循一个技术框架模型,并且要一步一步严格执行。
这里的问题是,源代码审核确实需要有条不紊地进行,但是“一步一步严格执行”这个表述可能让人误解为审核过程是线性的、单一方向的。
实际上,源代码审核是一个复杂的过程,可能需要反复检查、修正和再次审核。就像做一道复杂的菜,你可能需要尝尝味道,调整调料,然后再尝,直到满意为止。
所以,A选项的描述不够准确,因为源代码审核不是一成不变的线性过程。
B选项:这个选项是正确的,因为源代码审核确实可以帮助发现软件中的安全问题,而且有各种工具可以帮助完成这项工作,无论是商业的还是开源的。
C选项:这个选项说源代码审核主要依赖人工,而不是工具。实际上,现代的源代码审核工具非常强大,可以自动检测出许多潜在的安全问题。
当然,人工审核仍然是必要的,特别是在处理复杂或模糊不清的问题时。但是,工具的使用可以大大提高审核的效率和准确性。所以,C选项的说法不完全正确。
D选项:这个选项说源代码审核可以替代安全测试。这是不正确的,因为源代码审核主要关注代码层面的问题,而安全测试关注的是软件作为一个整体的安全性,包括但不限于代码层面。两者是互补的,而不是相互替代的。
第五题
国务院信息化工作办公室于 2004 年 7 月份下发了《关于做好重要信息系统灾难备份工作的通知》,该文件中指出了我国在灾备工作原则,下面哪项不属于该工作原则?
A: 统筹规划
B: 分组建设✅
C: 资源共享
D: 平战结合
💖 解析💖
A选项:统筹规划。这个原则就像是你要去旅行前,要做一个全面的计划,包括去哪儿、怎么去、带什么东西等等。在灾难备份中,就是要全面考虑所有可能的情况,做好充分的准备。
B选项:分组建设。这个原则听起来有点抽象,但如果我们用大白话来说,就是把不同的系统分成几个小组,每个小组负责自己的备份工作。这就像是一家人去野餐,爸爸负责烧烤,妈妈负责准备食物,孩子们负责玩耍,大家各司其职。
C选项:资源共享。这个原则的意思是,不同的系统或者部门可以共享备份资源,比如备份设备或者数据存储空间。这就像是大家去野餐,可以共享烧烤架、食物和饮料,这样大家都能享受到野餐的乐趣。
D选项:平战结合。这个原则的意思是,平时的运营和灾难发生时的应急措施要结合起来考虑。就像是一个足球队,平时训练和比赛时的战术是一致的,这样在比赛中才能更好地发挥。
这么看的话,只有B选项的分组建设与这个文件无关。
第六题
应用安全一般是指保障应用程序使用过程和结果的安全。以下内容中不属于应用安全防护考虑的是?
A:身份鉴别,应用系统应对登陆的用户进行身份鉴别。只有通过验证的用户才能访问应用系统资源
B:安全标记,在应用系统层面对主体和客体进行标记,主体不能随意更改权限或增加访问
C:剩余信息保护,应用系统应加强硬盘、内存或缓冲区中剩余信息的保护,防止存储在硬盘、内存或缓冲区的信息被非授权的访问
D:机房与设施安全,保证应用系统处于有一个安全的环境条件,包括机房环境、机房安全等级、机房的建造和机房的装修等
💖 解析💖
A选项:身份鉴别。这个就像是你进家门需要钥匙,应用系统也要确认你是谁,只有你通过了验证,才能用这个系统。这当然是应用安全的一环。
B选项:安全标记。这个就像是给家里的不同房间贴上标签,比如“爸爸妈妈的房间”、“孩子的房间”,这样大家就知道哪些地方能进,哪些不能进。在应用系统里,也是这样,通过标记来控制谁可以访问什么资源。
C选项:剩余信息保护。这个就像是你用完电脑后,屏幕上不会留下你刚才看过的内容,防止别人通过这些残留的信息猜到你的密码或者看到不该看的东西。这也是应用安全的一部分。
D选项:机房与设施安全。这个听起来像是在说,要确保应用系统所在的“家”(机房)是安全的,比如温度适宜、防火防盗等。这个其实更多是物理安全,而不是应用安全。应用安全主要关注的是软件层面的安全,而不是机房的物理环境。
所以,正确答案是D。这个选项讲的是机房的物理安全,而不是应用安全防护需要考虑的内容。