單項選擇題GaryMoGrow博士及其合作都提出軟件安全應(yīng)由三根支柱來支撐,這三個支柱是()

A.測代碼審核,風(fēng)險分析和滲透測試
B.應(yīng)用風(fēng)險管理,軟件安全接觸點和安全知識
C.威脅建模,滲透測試和軟件安全接觸點
D.威脅建模,測代碼審核和模模糊測試


您可能感興趣的試卷

你可能感興趣的試題

1.單項選擇題某單位根據(jù)業(yè)務(wù)需要準備立項開發(fā)一個業(yè)務(wù)軟件,對于軟件開發(fā)安全投入經(jīng)費研討時開發(fā)部門和信息中心就發(fā)生了分歧,開發(fā)部門認為開發(fā)階段無需投入,軟件開發(fā)完成后發(fā)現(xiàn)問題后在針對性的解決,比前期安全投入要成本更低,信息中心則認為應(yīng)在軟件安全開發(fā)階段投入,后期解決代價太大,雙方爭執(zhí)不下,作為信息安全專家,請選擇對軟件開發(fā)安全投入的準確說法()

A.信息中心的考慮是正確的,在軟件立項投入解決軟件安全問題,總體經(jīng)費投入比軟件運行后的費用要低
B.軟件開發(fā)部門的說法是正確的,因為軟件發(fā)現(xiàn)問題后更清楚問題所在,安排人員進行代碼修訂更簡單,因此費用更低
C.雙方的說法都正確,需要根據(jù)具體情況分析是開發(fā)階段投入解決問題還是在上線后再解決問題費用更低
D.雙方的說法都錯誤,軟件安全問題在任何時候投入解決都可以,只要是一樣的問題,解決的代價相同

2.單項選擇題關(guān)于ARP欺騙原理和防范措施,下面理解錯誤的是()

A.ARP欺騙是指攻擊者直接向受害者主機發(fā)送錯誤人ARP應(yīng)答報文,使得受害者主機將錯誤的硬件地址映射關(guān)系存入到ARP緩存中,從而起到冒充主機的目的
B.單純利用ARP欺騙攻擊時,ARP欺騙通常影響的是內(nèi)部子網(wǎng),不能跨越路由實施攻擊
C.解決ARP欺騙的一個有效方法是采用“靜態(tài)”的ARP緩存,如果發(fā)生硬件地址的更改,則需要人工更新緩存
D.徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存,直接采用IP地址和其他主機進行連接

4.單項選擇題不同的信息安全風(fēng)險評估方法可能得到不同的風(fēng)險評估結(jié)果,所以組織機構(gòu)應(yīng)當(dāng)根據(jù)各自的實際情況選擇適當(dāng)?shù)娘L(fēng)險評估方法。下面的描述中錯誤的是()

A.定量風(fēng)險分析試圖從財務(wù)數(shù)字上對安全風(fēng)險進行評估,得出可以量化的風(fēng)險分析結(jié)果,以度量風(fēng)險的可能性和缺失量
B.定量風(fēng)險分析相比定性風(fēng)險分析能得到準確的數(shù)值,所以在實際工作中應(yīng)使用定量風(fēng)險分析,而不應(yīng)選擇定性風(fēng)險分析
C.定性風(fēng)險分析過程中,往往需要憑借分析者的經(jīng)驗和直接進行,所以分析結(jié)果和風(fēng)險評估團隊的素質(zhì)、經(jīng)驗和知識技能密切相關(guān)
D.定性風(fēng)險分析更具主觀性,而定量風(fēng)險分析更具客觀性

5.單項選擇題你是單位安全主管,由于微軟剛發(fā)布了數(shù)個系統(tǒng)漏洞補丁,安全運維人員給出了針對此漏洞修補的四個建議方案,請選擇其中一個最優(yōu)先方案執(zhí)行()

A.由于本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具,因此不會對系統(tǒng)產(chǎn)生實質(zhì)性危害
B.本次發(fā)布的漏洞目前尚未出現(xiàn)利用工具,因此不會對系統(tǒng)產(chǎn)生實質(zhì)性危害,所以可以先不做處理
C.對于重要的服務(wù),應(yīng)在測試環(huán)境中安裝并確認補丁兼容性問題后再正式生產(chǎn)環(huán)境中部署
D.對于服務(wù)器等重要設(shè)備,立即使用系統(tǒng)更新功能安裝這批補丁,用戶終端計算機由于沒有重要數(shù)據(jù),由終端自行升級

最新試題

系統(tǒng)安全工程能力成熟度模型評估方法(SSAM)是專門基于SSE-CMM的評估方法。它包含對系統(tǒng)安全工程能力成熟度模型中定義的組織的()流程能力和成熟度進行評估所需的()。SSAM評估分為四個階段()、()()()

題型:單項選擇題

某網(wǎng)站的爬蟲總抓取量、停留時間及訪問次數(shù)這三個基礎(chǔ)信息日志數(shù)據(jù)的統(tǒng)計結(jié)果,通過對日志數(shù)據(jù)進行審計檢查,可以分析系統(tǒng)當(dāng)前的運行狀況、發(fā)現(xiàn)其潛在威脅等。那么對日志數(shù)據(jù)進行審計檢查,屬于哪類控制措施()

題型:單項選擇題

信息安全風(fēng)險管理是基于()的信息安全管理,也就是始終以()為主線進行信息安全的管理。應(yīng)根據(jù)實際()的不同來理解信息安全風(fēng)險管理的側(cè)重點,即()選擇的范圍和對象重點應(yīng)有所不同。

題型:單項選擇題

網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案是在分析網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件后果和應(yīng)急能力的基礎(chǔ)上,針對可能發(fā)生的重大網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件,預(yù)先制定的行動計劃或應(yīng)急對策。應(yīng)急預(yù)案的實施需要各子系統(tǒng)的相互配合與協(xié)調(diào),下面應(yīng)急響應(yīng)工作流程圖中,空白方框中從右到左依次填入的是()

題型:單項選擇題

《網(wǎng)絡(luò)安全法》共計(),(),主要內(nèi)容包括:網(wǎng)絡(luò)空間主權(quán)原則、網(wǎng)絡(luò)運行安全制度()、網(wǎng)絡(luò)信息保護制度()、等級保護制度()等。

題型:單項選擇題

以下哪些因素屬于信息安全特征()

題型:單項選擇題

在GSM系統(tǒng)中手機與基站通信時,基站可以對手機的身份進行認證,而手機卻不能對基站的身份進行認證,因此“偽基站”系統(tǒng)可以發(fā)送與正規(guī)基站相同的廣播控制信號,攻擊者從中可以監(jiān)聽通話、獲取語音內(nèi)容與用戶識別碼等關(guān)鍵信息。GSM所采用的鑒別類型屬于()

題型:單項選擇題

以下哪項網(wǎng)絡(luò)攻擊會對《網(wǎng)絡(luò)安全法》定義的網(wǎng)絡(luò)運行安全造成影響?()

題型:單項選擇題

某公司為加強員工的信息安全意識,對公司員工進行了相關(guān)的培訓(xùn),在介紹如何防范第三方人員通過社會工程學(xué)方式入侵公司信息系統(tǒng)時,提到了以下幾點要求,其中在日常工作中錯誤的是()

題型:單項選擇題

某公司一名員工在瀏覽網(wǎng)頁時電腦遭到攻擊,同公司的技術(shù)顧問立即判斷這是網(wǎng)站腳本引起的,并告訴該員工跨站腳本分為三種類型,該員工在這三種類型中又添一種,打算考考公司的小張,你能找到該員工新增的錯誤答案嗎?()

題型:單項選擇題