更多"[单选题]某单位自行开发的工资管理系统,按计算机应用的类型划分,它属于"的相关试题:
[判断题]某单位自行开发的工资管理系统,按计算机应用的类型划分,它属于数据处理。
A.正确
B.错误
[单选题]‑年4月13日,公司某单位的开发技术人员擅自对营销业务应用系统核心数据库进行错误的数据表移动操作,造成错误印发12万余份用户账单。根据《国家电网公司安全事故调查规程》(国家电网安监〔2020〕820号),该事件应定级为( )。
A.五级信息系统事件
B.六级信息系统事件
C.七级信息系统事件
D.八级信息系统事件
[单选题]某单位需要开发一个网站,为了确保开发出安全的软件。软件开发商进行了OA系统的威胁建模,根据威胁建模,SQL注入是网站系统面临的攻击威胁之一,根据威胁建模的消减威胁的做法。以下哪个属于修改设计消除威胁的做法()
A.在编码阶段程序员进行培训,避免程序员写出存在漏洞的代码
B.对代码进行严格检查,避免存在SQL注入漏洞的脚本被发布
C.使用静态发布,所有面向用户发布的数据都使用静态页面
D.在网站中部署防SQL注入脚本,对所有用户提交数据进行过滤
[单选题]某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试、模糊测试的优势给领导做决策,以下哪条是渗透性测试的优势?
A.渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞
B.渗透测试是用软件代替人工的一种测试方法,因此测试效率更高
C.渗透测试使用人工进行测试,不依赖软件,因此测试更准确
D.渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多
[单选题]为了保障系统安全,某单位需要对其跨地区大型网络实时应用系统进行渗透测试,以下关于渗透测试过程的说法不正确的是()。
A.由于在实际渗透测试过程中存在不可预知的风险,所以测试前要提醒用户进行系统和数据备份,以便出现问题时可以及时恢复系统和数据
B.为了深入发掘该系统存在的安全威胁,应该在系统正常业务运行高峰期进行渗透测试
C.渗透测试从“逆向”的角度出发,测试软件系统的安全性,其价值在于可以测试软件在实际系统中运行时的安全状况
D.渗透测试应当经过方案制定、信息收集、漏洞利用、完成渗透测试报告等步骤
[单选题]某单位新建的涉密信息系统,下列说法中正确的是( )
A. 在系统建成之后,即可正式投入运行
B. 在系统建成之后,应经过本单位保密行政管理部门的审批才能正式投入运行
C. 在系统建成之后,通过国家保密行政管理部门授权的系统测评机构的安全保密测评,即可正式投入运行
D. 在系统建成之后,应经过国家保密行政管理部门授权的系统测评机构的安全保密测评,再经过国家保密行政管理部门审批,才能正式投入运行
[单选题]某单位根据业务需要准备立项开发一个业务软件,对于软件开发安全投入经费研讨时开发部门和信息中心就发生了分歧,开发部门认为开发阶段无需投入,软件开发完成后发现问题后再针对性的解决,比前期安全投入要成本更低;信息中心则认为应在软件安全开发阶段投入,后期解决代价太大,双方争执不下,作为信息安全专家,请选择对软件开发安全投入的准确说法()
A.双方的说法都错误,软件安全问题在任何时候投入解决都可以,只要是一样的问题,解决的代价相同
B.信息中心的考虑是正确的,在软件开发需求分析阶段开始考虑安全问题,总体经费投入比软件运行后的费用要低
C.双方的说法都正确,需要根据具体情况分析是开发阶段投入解决问题还是在上线后再解决问题费用更低
D.软件开发部门的说法是正确的,因为软件出现安全问题后更清楚问题所在,安排人员进行代码修订更简单,因此费用更低
[判断题]站段可以自行开发或部署信息系统。
A.正确
B.错误
[单选题]某单位在进行内部安全评估时,安全员小张使用了单位采购的漏洞扫描软件进行单位内的信息系统漏洞扫描。漏洞扫描报告的结论为信息系统基本不存在明显的安全漏洞,然而此报告在内部审计时被质疑,原因在于小张使用的漏洞扫描软件采购于三年前,服务已经过期,漏洞库是半年前最后一次更新的。关于内部审计人员对这份报告的说法正确的是()
A.内部审计人员的质疑是对的,由于没有更新漏洞库,因此这份漏洞扫描报告准确性无法保证
B.内部审计人员质疑是错的,漏洞扫描软件是正版采购,因此扫描结果是准确的
C.内部审计人员的质疑是正确的,因为漏洞扫描报告是软件提供,没有经过人为分析,因此结论不会准确
D.内部审计人员的质疑是错误的,漏洞软件是由专业的安全人员操作的,因此扫描结果是准确的
[判断题]联锁保护系统用于工况达到危险状态时防止事故的发生和扩大,它属于闭环控制系统。( )
A.正确
B.错误
[单选题]王工是某单位的系统管理员,他在某次参加了单位组织的风险管理工作时,根据任务安排,他依据已有的资产列表,逐个分析可能危害这些资产的主体、动机、途径等多种因素,分析这些因素出现及造成损失的可能性大小,并为其赋值。请问,他这个工作属于下面哪一个阶段的工作()
A.确认已有的安全措施并赋值
B.脆弱性识别并赋值
C.威胁识别并赋值
D.资产识别并赋值
[单选题]王工是某单位的系统管理员,他在某次参加了单位组织的风险管理工作时,发现当前案例中共有两个重要资产:资产A1和资产A2;其中资产A1面临两个主要威胁:威胁T1和威胁T2;而资产A2面临一个主要威胁:威胁T3;威胁T1可以利用的资产A1存在的两个脆弱性:脆弱性V1和脆弱性V2;威胁T2可以利用的资产A1存在的三个脆弱性,脆弱性V3、脆弱性V4和脆弱性V5;威胁T3可以利用的资产A2存在的两个脆弱性:脆弱性V6和脆弱性V7。根据上述条件,请问:使用相乘法时,应该为资产A1计算几个风险值()。
A.3
B.6
C.5
D.2
[单选题]王工是某单位的系统管理员,他在某次参加了单位组织的风险管理工作时,根据任务安排,他使用了Nessus工具来扫描和发现数据库服务器的漏洞,根据风险管理的相关理论,他这个是扫描活动属于下面哪一个阶段的工作()
A.风险分析
B.风险要素识别
C.风险结果判定
D.风险处理
[单选题]某单位在运业务系统为方便使用允许多人共用一个账户。
A.A:对。
B.
C.略
D.略
E.略
F.略
