全部科目 > 信息安全工程师 >
2022年下半年 上午试卷 综合知识
第 61 题
知识点 安全功能检测   安全管理   安全管理检测   安全设计   安全审计   网络安全   信息系统攻击测试   国家标准   信息安全  
章/节 网络安全测评类型   操作系统安全概述   网络信息安全目标与功能  
 
 
按照网络安全测评的实施方式,测评主要包括安全管理检测、安全功能检测、代码安全审计、安全渗透、信息系统攻击测试等。其中《信息安全技术信息系统等级保护安全设计
技术要求》(GB/T25070-2019)等国家标准是()的主要依据。
 
  A.  安全管理检测
 
  B.  信息系统攻击测试
 
  C.  代码安全审计
 
  D.  安全功能检测
 
 




 
 
相关试题     操作系统安全机制 

  第23题    2020年下半年  
操作系统的安全机制是指在操作系统中利用某种技术、某些软件来实施一个或多个安全服务的过程。操作系统的安全机制不包括(23)。

  第45题    2018年上半年  
操作系统的安全审计是指对系统中有关安全的活动进行记录、检查和审核的过程,为了完成审计功能,审计系统需要包括( )三大功能模块。

  第40题    2017年上半年  
操作系统的安全审计是指对系统中有关安全的活动进行记录、检查和审核的过程,现有的审计系统包括()三大功能模块。

相关试题     腾讯云安全 

  第6题    2021年下半年  
根据网络安全等级保护2.0的要求,对云计算实施安全分级保护。围绕“一个中心,三重防护”的原则,构建云计算安全等级保护框架。其中一个中心是指安全管理中心,三重防护包括:计算环境安全、区域..

  第67题    2022年下半年  
数据库系统是一个复杂性高的基础性软件,其安全机制主要有标识与鉴别访问控制、安全审计、数据加密、安全加固、安全管理等,其中()可以实现安全角色配置、安全功能管理。

  第30题    2022年下半年  
防火墙是由一些软件、硬件组合而成的网络访问控制器,它根据一定的安全规则来控制流过防火墙的数据包,起到网络安全屏障的作用。以下关于防火墙的叙述中错误的是()。

 
知识点讲解
· 安全功能检测
· 安全管理
· 安全管理检测
· 安全设计
· 安全审计
· 网络安全
· 信息系统攻击测试
· 国家标准
· 信息安全
 
        安全功能检测
        安全功能检测依据网络信息系统的安全目标和设计要求,对信息系统的安全功能实现状况进行评估,检查安全功能是否满足目标和设计要求。安全功能符合性检测的主要依据有:《信息安全技术信息系统等级保护安全设计技术要求》(GB/T 25070—2010)、《信息安全技术信息系统通用安全技术要求》(GB/T 20271—2006)、网络信息安全最佳实践、网络信息系统项目安全需求说明书等。主要方法是:访谈调研、现场查看、文档审查、社会工程、漏洞扫描、渗透测试、形式化分析验证等。
 
        安全管理
        . 安全运营中心(Security Operation Center,SOC)。腾讯云原生的统一安全运营与管理平台,提供资产自动化盘点、互联网攻击面测绘、云安全配置风险检查、合规风险评估、流量威胁感知、泄漏监测、日志审计与检索调查、安全编排与自动化响应及安全可视等能力,帮助云上用户实现事前安全预防,事中事件监测与威胁检测,事后响应处置的一站式、可视化、自动化的云上安全运营管理。
        . 安全运营中心(私有云)。以安全检测为核心,以事件关联分析、腾讯威胁情报为重点,以3D可视化为特色,以可靠服务为保障,可针对企业面临的外部攻击和内部潜在风险进行深度检测,为企业提供及时的安全告警。适用于多种安全运营管理场景,通过海量数据多维度分析、及时预警,对威胁及时做出智能处置,实现全网安全态势可知、可见、可控的闭环。
        . 密钥管理系统。让用户创建和管理密钥,保护密钥的保密性、完整性和可用性,满足用户多应用多业务的密钥管理需求,符合监管和合规要求。
        . 凭据管理系统。提供凭据的创建、检索、更新、删除等全生命周期的管理服务,结合资源级角色授权轻松实现对敏感凭据的统一管理。针对敏感配置、敏感凭据硬编码带来的泄露风险问题,用户或应用程序可通过调用Secrets Manager API来检索凭据,有效避免程序硬编码和明文配置等导致的敏感信息泄密以及权限失控带来的业务风险。
 
        安全管理检测
        安全管理检测依据网络信息系统的管理目标,检查分析管理要素及机制的安全状况,评估安全管理是否满足信息系统的安全管理目标要求。主要方法是:访谈调研、现场查看、文档审查、安全基线对比、社会工程等。
 
        安全设计
        华为云及相关云服务遵从安全及隐私设计原则和规范、法律法规要求,根据业务场景、数据流图、组网模型进行威胁分析。威胁分析首先基于引导分析威胁库、消减库、安全设计方案库,然后给出对应的安全设计方案。所有的威胁消减措施将转换为安全需求、安全功能,并根据公司的测试用例库完成安全测试用例的设计,确保落地,以保障产品、服务的安全。
 
        安全审计
        安全审计就是操作系统对系统中有关安全的活动进行记录、检查及审核,其主要目的就是核实系统安全策略执行的合规性,以追踪违反安全策略的用户及活动主体,确认系统安全故障。
 
        网络安全
        . DDoS防护(Anti-DDoS)。提供DDoS高防包、DDoS高防IP等多种DDoS解决方案,应对DDoS攻击问题。通过充足、优质的DDoS防护资源,结合持续进化的“自研+AI智能识别”清洗算法,保障用户业务的稳定、安全运行。
        . 云防火墙。基于公有云环境的SaaS化防火墙,为用户提供互联网边界、VPC边界的网络访问控制,同时基于流量嵌入多种安全能力,实现访问管控与安全防御的集成化与自动化。
        . 网络入侵防护系统。通过旁路部署方式,无变更无侵入地对网络4层会话进行实时阻断,并提供了阻断API,方便其他安全检测类产品调用;此外,网络入侵防护系统提供全量网络日志存储和检索、安全告警、可视化大屏等功能,解决等保合规、日志审计、行政监管以及云平台管控等问题。
        . 腾讯云样本智能分析平台。依靠深度沙箱中自研的动态分析模块、静态分析模块以及稳定高效的任务调度框架,实现自动化、智能化、可定制化的样本分析;通过建设大规模分析集群,包括深度学习在内的多个高覆盖率的恶意样本检测模型,可以得知样本的基本信息、触发的行为、安全等级等信息,从而精准高效地对现网中的恶意样本进行打击。
 
        信息系统攻击测试
        根据用户提出的各种攻击性测试要求,分析应用系统现有防护设备及技术,确定攻击测试方案和测试内容;采用专用的测试设备及测试软件对应用系统的抗攻击能力进行测试,出具相应测试报告。测试指标包括:防御攻击的种类与能力,如拒绝服务攻击、恶意代码攻击等。
 
        国家标准
        我国的国家标准代号是以“国标”两个字的大写汉语拼音“Guo Biao”的第一个字母“GB”来表示的,强制性国家标准代号为“GB”,推荐性国家标准的代号为“GB/T”。国家标准的编号由国家标准的代号、标准发布顺序号和标准发布年代号(四位数组成)。
        (1)强制性国家标准
        
        (2)推荐性国家标准
        
        (3)国家实物标准(样品),由国家标准化行政主管部门统一编号,编号方法为国家实物标准代号(为汉字拼音大写字母“GSB”)加《标准文献分类法》的一级类目、二级类目的代号及二级类目范围内的顺序、四位数年代号相结合的办法。
        
 
        信息安全
        信息安全的5个基本要素为机密性、完整性、可用性、可控性和可审查性。
        (1)机密性。确保信息不暴露给未受权的实体或进程。
        (2)完整性。只有得到允许的人才能修改数据,并能够判别出数据是否已被篡改。
        (3)可用性。得到授权的实体在需要时可访问数据。
        (4)可控性。可以控制授权范围内的信息流向及行为方式。
        (5)可审查性。对出现的安全问题提供调查的依据和手段。
        随着信息交换的激增,安全威胁所造成的危害越来越受到重视,因此对信息保密的需求也从军事、政治和外交等领域迅速扩展到民用和商用领域。所谓安全威胁,是指某个人、物、事件对某一资源的机密性、完整性、可用性或合法性所造成的危害。某种攻击就是威胁的具体实现。安全威胁分为两类:故意(如黑客渗透)和偶然(如信息发往错误的地址)。
        典型的安全威胁举例如下表所示。
        
        典型的安全威胁



更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5
京公网安备 11010502032051号 | 营业执照
 Copyright ©2000-2023 All Rights Reserved
软考在线版权所有