多选题 下列哪些对信息安全漏洞的描述是正确的:( )。
A、漏洞是存在于信息系统的某种缺陷。
B、漏洞存在于一定的环境中,寄生在一定的客体上(如TOE中、过程中等)。
C、具有可利用性和违规性,它本身的存在虽不会造成破坏,但是可以被攻击者利用,从而给信息系统安全带来威胁和损失。
D、漏洞都是人为故意引入的一种信息系统的弱点。
多选题 下列对于信息安全保障深度防御模型的说法正确的是:( )。
A、信息安全外部环境:信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。
B、信息安全管理和工程:信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中,我们需要采用信息系统工程的方法来建设信息系统。
C、信息安全人才体系:在组织机构中应建立完善的安全意识,培训体系也是信息安全保障的重要组成部分。
D、信息安全技术方案:“从外而内、自下而上、形成边界到端的防护能力”。
多选题 关于我国信息安全保障工作发展的几个阶段,下列哪些说法是正确:( )。
A、2001-2002年是启动阶段,标志性事件是成立了网络与信息安全协调小组,该机构是我国信息安全保障工作的最高领导机构信息化领导小组(27号文)网络安全委员会。
B、2003-2005年是逐步展开和积极推进阶段,标志性事件是发布了指导性文件《关于加强信息安全保障工作的意见》(中办发27号文件)并颁布了国家信息安全战略。
C、2005-至今是深化落实阶段,标志性事件是奥运会和世博会信息安全保障取得圆满成功。
D、2005-至今是深化落实阶段,信息安全保障体系建设取得实质性进展,各项信息安全保障工作迈出了坚实步伐。
多选题 以下关于信息安全法治建设的意义,说法正确的是:( )。
A、信息安全法律环境是信息安全保障体系中的必要环节
B、明确违反信息安全的行为,并对该行为进行相应的处罚,以打击信息安全犯罪活动
C、信息安全主要是技术问题,技术漏洞是信息犯罪的根源
D、信息安全产业的逐渐形成,需要成熟的技术标准和完善的技术体系
多选题 公司甲做了很多政府网站安全项目,在为公司乙的网站设计安全保障方案时,借鉴以前项目经验,为乙设计了多重数据加密安全措施,但用户提出不需要这些加密措施,理由是影响了网站性能,使用户访问量受限,双方引起争议。下面说法哪些是正确的:( )。
A、乙对信息安全不重视,低估了黑客能力,不舍得花钱。
B、甲在需求分析阶段没有进行风险评估,所部署的加密针对性不足,造成浪费。
C、甲未充分考虑网游网站的业务与政府网站业务的区别。
D、乙要综合考虑业务、合规性和风险,与甲共同确定网站安全需求。
多选题 信息安全风险管理中的“背景建立”的基本概念与认识:(1)背景建立的目的是为了明确信息安全风险管理的范围和对象,以及对象的特性和安全要求,完成信息安全风验管理项目的规划和准备;(2)背景建立根据组织机构相关的行业经验执行,雄厚的经验有助于达到事半功倍的效果;(3)背景建立包括:风险管理准备、信息系统调查、信息系统分析和信息安全分析;(4)背景建立的阶段性成果包括:风险管理计划书、信息系统的描述报告、信息系统的分析报告、信息系统的安全要求报告。以上论点中正确的是哪项:( )。
A、第一个观点,背景建立的目的只是为了明确信息安全风险管理的范围和对象。
B、第二个观点,背景建立的依据是国家、地区域行业的相关政策、法律、法规和标准。
C、第三个观点,背景建立中的信息系统调查与信息系统分析是同一件事的两个不同名字。
D、第四个观点,背景建立的阶段性成果中不包括有风险管理计划书。
多选题 在软件保障成熟度模型(Software Assurance Maturity ldode,SAMM)中,规定了软件开发过程中的核心业务功能,下列哪个选项属于核心业务功能:( )。
A、治理,主要是管理软件开发的过程和活动。
B、构造,主要是在开发项目中确定目标并开发软件的过程与活动。
C、验证,主要是测试和验证软件的过程与活动。
D、购置,主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动。
多选题 关于软件安全开发生命周期(SDL),下面说法正确的是:( )。
A、在软件开发的各个周期都要考虑安全因素。
B、软件安全开发生命周期要综合采用技术、管理和工程等手段。
C、测试阶段是发现并改正软件安全漏洞的最佳环节,过早或过晚检测修改漏洞都将增大软件开发成本。
D、在设计阶段就尽可能发现并改正安全隐患,将极大减少整个软件开发成本。
2025-10-15
共766道
