信息安全管理中，关于脆弱性，以下说法正确的是:（)

A．脆弱性是资产性质决定的固有的弱点，其赋值不变

B．如果当前控制措施有效，资产脆弱性赋值可以降低

C．控制措施是管理范畴的概念，脆弱性是技术范畴的概念，二者没有关系

D．只要威胁存在，脆弱性就存在，二者的赋值同向增派

A.信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程

B.信息安全风险评估要评估信息资产面临的威胁，以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的信息资产价值来判断安全事件一旦发生对组织造成的影响

C.信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法，其结果为信息安全风险管理提供依据

D.信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可靠性等安全属性进行评价的过程

A.资产价值由使用者巨确定

B.提高脆弱性会提高安全风险

C.降低安全威胁会降低安全风险

D.提高安全措施会降低安全风险

A.漏洞扫描技术是检测系统安全管理脆弱性的一种安全技术

B.漏洞扫描分为基于主机和基于网络的两种扫描器

C.漏洞扫描功能包括：扫描、生成报告、分析并提出建议等

D.漏洞扫描能实时监视网络上的入侵

A.技术脆弱性应单独管理，与事件管理没有关联

B.了解某技术脆弱性的公众范围越广，该脆弱性对于组织的风险越少小

C.针对技术脆弱性的补丁安装应按变更管理进行控制

D.及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径

以下有关漏洞扫描技术的说法中，错误的是()。

A.漏洞扫描技术是检测系统安全管理脆弱性的一种安全技术

B.漏洞扫描器通常分为基于主机和基于网络的两种扫描器

C.通常，漏洞扫描工具完成的功能包括：扫描、生成报告、分析并提出建议、以及数据处理等

D.漏洞扫描工具能实时监视网络上的入侵

A.安全事件发生的可能性是威胁出现频率和脆弱性的函数

B.安全事件的损失是资产价值和脆弱性严重程度的函数

C.得到了安全事件发生的可能性和安全事件的损失后，方能计算风险值

D.风险值必然是一个用数字表示的计算结果

A.资产价值越大风险越大

B.威胁越大风险越大

C.脆弱性越大风险越大

D.脆弱性使资产暴露

A.在事前从控制路径和脆弱性入手，以资产为核心，优化防御，减少攻击面

B.在事中结合威胁情报，以流量为途径，实时检测防护，阻断非法行为

C.在事后通过还原现场报文、关联安全事件、攻击过程取证，呈现安全态势

A. 完成信息系统识别和威胁识别之后，需要进行信息系统脆弱性识别。

B. 以上答案都不对。

C. 可以根据对信息资产损害程度、技术实现的难易程度、弱点流行程度，采用等级方式对已识别的信息系统脆弱性的严重程度进行赋值。

D. 通过扫描工具或人工等不同方式，识别当前信息系统中存在的脆弱性。