- TCSEC:美国国防部 (DoD) 制定了可信计算机系统评估标准 (TCSEC)
- T3 可以提供 45 Mbps 的带宽,与 28 条 T1 线路相同。T1 线路提供高达 1.544 Mbps 的速率,而小数 T1 只是该带宽的一小部分。BRI 是一种 ISDN 服务,提供高达 144 Kbps 的速度。
- TOGAF 是一个框架,可用于开发以下架构类型: • 业务架构 • 数据架构 • 应用架构 • 技术架构
- 综合事务是脚本化的,因此它们允许管理员快速、系统地测试关键服务和系统的行为和性能。
- 大多数系统并不使用用户输入的实际密码,而是将该值通过某种类型的加密或散列函数,以得到该值的另一种格式,称为虚拟密码。
- 由于连接必须在每个会话中建立和终止,因此电路交换网络包含可预测和固定的延迟。数据包交换连接将具有可变的延迟,因为数据包可以采用不同的路径并在不同的中间设备上排队。
- 预防性行政:组织使用各种技术来保护自己,例如员工背景调查、药物筛查、安全培训、政策、程序、标准以及招聘和解雇政策。这些类型的操作属于预防性管理类别,通常称为“软”访问控制。
- 安全要求应在软件开发的功能设计分析和规划阶段定义。此阶段应产生一个正式的功能基线,其中包括安全任务、测试计划和检查点。
- 可能性和影响是通过确定资产的威胁和漏洞来确定的,对于确定系统的整体风险至关重要。漏洞测试只是风险确定的一部分。
- 系统设计规范阶段涉及在更精细的级别上映射组件和过程。设计阶段提供了对项目和产品的更高层次的外观和分析。
- 平衡计分卡是商业世界中用于绩效衡量的传统战略工具。目标是快速轻松地呈现最相关的信息。将测量值与设定的目标值进行比较,以便在性能偏离预期时,可以以简单明了的方式传达该偏差。
- 特定于系统的政策是管理层为保护各个系统而制定的技术指令。他们可以概述应该如何访问系统或应该如何对用户进行特定系统的培训。
- 滥用案例描述了威胁参与者及其可能对系统或数据执行的操作,通常是具有负面后果的操作。这与用例相反,系统分析师使用用例来记录授权人员对系统或数据执行的操作。
- 调查过程中的正确步骤顺序是 鉴定、保存、收集、检查、分析、展示、决定
- 多实例化是指复制一个对象并修改第二个对象的属性。很多时候,对象的副本也会被分配不同的安全分类。这样做是为了让具有绝密权限的人可以读取原始对象中保存的数据。拥有秘密权限的人只能访问具有不同信息的第二个对象。这在更高的安全级别上保护了信息的机密性。
- OAuth 和 OpenID 之间的区别之一是 OAuth 允许用户允许网站访问第三方提供商。OpenID 使用第三方来允许用户访问网站。
- 威胁建模的第一步是 确定资产漏洞 ,然后确定哪些威胁可以利用这些漏洞。
- ISO/IEC 15408 是国际标准,用作在 CC 框架下评估产品安全性能的基础
- 检测是事件响应过程中最重要的步骤。应对事件的第一步也是最重要的一步是首先意识到您有问题。
- 由于哈龙被认为对人类和环境都有害,因此EPA创建了一个可接受的替代清单: • FM-200型 、AF-S-III、CEA-410型、铁-13、水、内源、氩、氩矿
- 使用 53 字节信元且具有低延迟级别的 WAN 技术称为ATM。异步传输模式 (ATM) 是一种小区交换技术,可提供极其快速和高效的连接路径。它不使用数据包,而是使用固定长度的单元格。
- 有线等效保密 (WEP) 不使用高级加密标准 (AES)。AES 由 Wi-Fi Protected Access(WPA2) 使用。
- 多态性存在于面向对象的编程应用程序中。对象派生自不同的类,这使得它们对命令的响应方式不同。因此,当两个对象(每个对象位于不同的类中)使用相同的命令时,它们的类属性会告诉它们如何响应。当它们对同一命令的反应不同时,称为多态性。这些对象可以来自同一类,但继承不同子类的行为
- 审计计划的关键成功因素是.定义需要审计的范围
- SMAL依赖IDP
- NS安全扩展 (DNSSEC)对记录进行签名的主要目的是完整性
- 封装安全载荷(ESP)的作用是加密和可选择验证IP载荷,而不是IP头部
- EAP-TTLS:只要求服务器端的数字证书
- RBAC:用户、角色、操作和受保护对象
- 设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度:CVSS(Common Vulnerability Scoring System)是“通用漏洞评分系统” 缺点:漏洞评级的分级指标过于复杂
- CVE提供了SCAP(Security Content Automation Protocol 安全内容自动化协议) 的漏洞信息
- 准则(guideline)是灵活的,规程(procedure)是特定的,具体的
- .GRC(治理、风险、合规)的最后一道防线是:董事会评审
- 洋葱网络:匿名通信 大蒜路由:加密数据多条隧道交叉疏散传递
- 临时密钥完整性协议(TKIP) 用于解决以下哪一项的不足:WEP有线等效保密
- 安全测试和评估(STE)时对需求进行的正确分类:管理、操作、技术
- 威胁建模是SDLC中设计阶段
- 对抗社会工程,需要改变个人行为
- 循环冗余校验有效检测数据意外损坏
- WPA2使用的主要加密算法是CCMP计数器模式密码块链消息完整码协议(CCMP基于CBC-MAC和AES算法)
- 管理评审为改进计划提供输入。审计报告→管理评审→改进计划
- SOAR(安全协调、自动化和响应) 基于Gartner定义的四个引擎而构建
- 密码分析学被用来伪造编码信号,使其能被当作真实的信号接受
- 基于角色的访问控制允许你定义和执行企业特定的安全策略,这些策略对应于你的组织架构
- SPA(简单功耗分析)用的方法是 直接从测量的功耗曲线分析密钥信息