以下哪一项是用于描述保持对信息安全、漏洞和威胁的持续认识以支持组织风险管理决策的术语()。
A.信息安全持续监控(ISCM)。
B.风险管理框架(RMF)。
C.信息共享与分析中心(ISAC)。
D.信息安全管理系统(ISMS)。
A.信息安全持续监控(ISCM)。
B.风险管理框架(RMF)。
C.信息共享与分析中心(ISAC)。
D.信息安全管理系统(ISMS)。
A.文件上传的目录设置为不可执行
B.使用随机数改写文件名和文件路径
C.对上传后的文件统一随机命名,允许用户控制扩展名
D.过滤掉文件名中包含特殊字符的文件
A.信息安全需要积极防御和综合防范
B.需要综合考虑社会因素对信息安全的制约
C.需要明确国家、企业和个人对信息安全的职责和可确认性
D.工程原则中降低复杂度的原则是需要实现访问的最大特权控制
A.由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限
B.用户直接或者通过各种绕过方式将webshell上传到服务器中进而执行利用
C.会导致网站被控制,增删改查文件,链接数据库
D.上传漏洞与SQL注入或XSS相比,其风险更小
A.根据对已知违规的全面了解制定计划。
B.根据对组织基础设施的侦察制定计划。
C.根据公认的已知控制框架制定计划。
D.根据最近对相关系统的漏洞扫描制定计划。
A.黑客无法篡改报文P
B.黑客无法篡改附加信息C
C.黑客无法同时篡改报文P和附加信息C
D.黑客无法通过同时篡改报文P和附加信息C,且使篡改后的报文P和附加信息C能够保持一致性
A.1-5-6-7-3-2-4-8
B.1-5-2-3-4-6-7-8
C.1-5-6-7-4-2-3-8
D.1-5-6-7-2-3-4-8
A.要求信息系统安全官(ISSO)描述组织的补丁管理流程
B.确保系统审核日志捕获安全控制基线所需的所有相关数据字段。
C.使用默认管理员帐户和默认密码登录Web服务器。
D.对选定的网络主机执行端口扫描以枚举活动服务。