單項選擇題風險評估主要包括風險分析準備、風險素識別、風險分析和風險結果判定四個主要過程,關于這些過程,以下的說法哪一個是正確的?()

A.風險分析準備的內容是識別風險的影響和可能性
B.風險要素識別的內容是識別可能發(fā)生的安全事件對信息系統的影響程度
C.風險分析的內容是識別風險的影響和可能性
D.風險結果判定的內容是發(fā)現系統存在的威脅、脆弱和控制措施


您可能感興趣的試卷

你可能感興趣的試題

1.單項選擇題風險評估方法的選定在PDCA循環(huán)中的那個階段完成?()

A.實施和運行
B.保持和改進
C.建立
D.監(jiān)視和評審

2.單項選擇題以下哪個不是軟件安全需求分析階段的主要任務?()

A.確定團隊負責人和安全顧問
B.威脅建模
C.定義安全和隱私需求(質量標準)
D.設立最低安全標準/Bug欄

3.單項選擇題對攻擊面(Attack surface)的正確定義是()。

A.一個軟件系統可被攻擊的漏洞的集合,軟件存在的攻擊面越多,軟件的安全性就越低
B.對一個軟件系統可以采取的攻擊方法集合,一個軟件的攻擊面越大安全風險就越大
C.一個軟件系統的功能模塊的集合,軟件的功能模塊越多,可被攻擊的點也越多,安全風險也越大
D.一個軟件系統的用戶數量的集合,用戶的數量越多,受到攻擊的可能性就越大,安全風險也越大

4.單項選擇題下列對垮站腳本攻擊(XSS)描述正確的是()。

A.XSS攻擊指的是惡意攻擊者往WEB頁面里插入惡意代碼,當用戶瀏覽該頁之時,嵌入其中WEB里面的代碼會被執(zhí)行,從而達到惡意攻擊用戶的特殊目的
B.XSS攻擊是DDOS攻擊的一種變種
C.XSS.攻擊就是CC攻擊
D.XSS攻擊就是利用被控制的機器不斷地向被網站發(fā)送訪問請求,迫使NS連接數超出限制,當CPU資源或者帶寬資源耗盡,那么網站也就被攻擊垮了,從而達到攻擊目的

5.單項選擇題以下針對Land攻擊的描述,哪個是正確的?()

A.Land是一種針對網絡進行攻擊的方式,通過IP欺騙的方式向目標主機發(fā)送欺騙性數據報文,導致目標主機無法訪問網絡
B.Land是一種針對網絡進行攻擊的方式,通過向主機發(fā)送偽造的源地址為目標主機自身的連接請求,導致目標主機處理錯誤形成拒絕服務
C.Land攻擊是一種利用協議漏洞進行攻擊的方式,通過發(fā)送定制的錯誤的數據包使主機系統處理錯誤而崩潰
D.Land是一種利用系統漏洞進行攻擊的方式,通過利用系統漏洞發(fā)送數據包導致系統崩潰

最新試題

歐美六國和美國商務部國家標準與技術局共同制定了一個供歐美各國通用的信息安全評估標準,簡稱CC標準,該安全評估標準的全稱為()。

題型:單項選擇題

某單位在進行內部安全評估時,安全員小張使用了單位采購的漏洞掃描軟件進行單位內的信息系統漏洞掃描。漏洞掃描報告的結論為信息系統基本不存在明顯的安全漏洞,然而此報告在內部審計時被質疑,原因在于小張使用的漏洞掃描軟件采購于三年前,服務已經過期,漏洞庫是半年前最后一次更新的。關于內部審計人員對這份報告的說法正確的是()。

題型:單項選擇題

某商貿公司信息安全管理員考慮到信息系統對業(yè)務影響越來越重要,計劃編制單位信息安全應急響應預案,在向主管領導寫報告時,他列舉了編制信息安全應急響應預案的好處和重要性,在他羅列的四條理由中,其中不適合作為理由的一條是()。

題型:單項選擇題

等級保護實施根據GB/T25058-2010《信息安全技術信息系統安全等級保護實施指南》分為五大階段;()、總體規(guī)劃、設計實施、()和系統終止。但由于在開展等級保護試點工作時,大量信息系統已經建設完成,因此根據實際情況逐步形成了()、備案、差距分析(也叫差距測評)、建設整改、驗收測評、定期復查為流程的()工作流程。和《等級保護實施指南》中規(guī)定的針對()的五大階段略有差異。

題型:單項選擇題

風險評估文檔是指在整個風險評估過程中產生的評估過程文檔和評估結果文檔,其中,明確評估的目的、職責、過程、相關的文檔要求,以及實施本次評估所需要的各種資產、威脅、脆弱性識別和判斷依據的文檔是()。

題型:單項選擇題

下列選項分別是四種常用的資產評估方法,哪個是目前采用最為廣泛的資產評估方法?()

題型:單項選擇題

下列選項中對信息系統審計概念的描述中不正確的是()。

題型:單項選擇題

在設計信息系統安全保障方案時,以下哪個做法是錯誤的?()

題型:單項選擇題

信息安全方面的業(yè)務連續(xù)性管理包含2個()和4個控制措施。組織應確定在業(yè)務連續(xù)性管理過程或災難恢復管理過程中是否包含了()。應在計劃業(yè)務連續(xù)性和災難恢復時確定()。組織應建立、記錄、實施并維持過程、規(guī)程和控制措施以確保在不利情況下信息安全連續(xù)性處于要求級別。在業(yè)務連續(xù)性或災難恢復內容中,可能已定義特定的()。應保護在這些過程和規(guī)程或支持它們的特性信息系統中處理的額信息。在不利情況下,已實施的信息安全控制措施應繼續(xù)實行。若安全控制措施不能保持信息安全,應建立、實施和維持其他控制措施以保持信息安全在()。

題型:單項選擇題

某項目組進行風險評估時由于時間有限,決定采用基于知識的分析方法,使用基于知識的分析方法進行風險評估,最重要的在于評估信息的采集,該項目組對信息源進行了討論,以下說法中不可行的是()。

題型:單項選擇題