题目
A.组织使用的开源软件不须考虑其技术脆弱性
B.软件开发人员为方便维护留的后门是脆弱性的一种
C.识别资产脆弱性时应考虑资产的固有特性,不包括当前安全控制措施
D.使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会
第1题
A.脆弱性是资产性质决定的固有的弱点,其赋值不变
B.如果当前控制措施有效,资产脆弱性赋值可以降低
C.控制措施是管理范畴的概念,脆弱性是技术范畴的概念,二者没有关系
D.只要威胁存在,脆弱性就存在,二者的赋值同向增派
第2题
A.信息安全风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程
B.信息安全风险评估要评估信息资产面临的威胁,以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的信息资产价值来判断安全事件一旦发生对组织造成的影响
C.信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法,其结果为信息安全风险管理提供依据
D.信息安全风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可靠性等安全属性进行评价的过程
第3题
A.资产价值由使用者巨确定
B.提高脆弱性会提高安全风险
C.降低安全威胁会降低安全风险
D.提高安全措施会降低安全风险
第4题
A.漏洞扫描技术是检测系统安全管理脆弱性的一种安全技术
B.漏洞扫描分为基于主机和基于网络的两种扫描器
C.漏洞扫描功能包括:扫描、生成报告、分析并提出建议等
D.漏洞扫描能实时监视网络上的入侵
第5题
A.技术脆弱性应单独管理,与事件管理没有关联
B.了解某技术脆弱性的公众范围越广,该脆弱性对于组织的风险越少小
C.针对技术脆弱性的补丁安装应按变更管理进行控制
D.及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径
第6题
以下有关漏洞扫描技术的说法中,错误的是()。
A.漏洞扫描技术是检测系统安全管理脆弱性的一种安全技术
B.漏洞扫描器通常分为基于主机和基于网络的两种扫描器
C.通常,漏洞扫描工具完成的功能包括:扫描、生成报告、分析并提出建议、以及数据处理等
D.漏洞扫描工具能实时监视网络上的入侵
第7题
A.安全事件发生的可能性是威胁出现频率和脆弱性的函数
B.安全事件的损失是资产价值和脆弱性严重程度的函数
C.得到了安全事件发生的可能性和安全事件的损失后,方能计算风险值
D.风险值必然是一个用数字表示的计算结果
第9题
A.在事前从控制路径和脆弱性入手,以资产为核心,优化防御,减少攻击面
B.在事中结合威胁情报,以流量为途径,实时检测防护,阻断非法行为
C.在事后通过还原现场报文、关联安全事件、攻击过程取证,呈现安全态势
第10题
A. 完成信息系统识别和威胁识别之后,需要进行信息系统脆弱性识别。
B. 以上答案都不对。
C. 可以根据对信息资产损害程度、技术实现的难易程度、弱点流行程度,采用等级方式对已识别的信息系统脆弱性的严重程度进行赋值。
D. 通过扫描工具或人工等不同方式,识别当前信息系统中存在的脆弱性。
为了保护您的账号安全,请在“赏学吧”公众号进行验证,点击“官网服务”-“账号验证”后输入验证码“”完成验证,验证成功后方可继续查看答案!