以下关于VPN说法正确的是：

不同的信息安全风险评估方法可能得到不同的风险评估结果，所以组织机构应当根据各自的实际情况，选择适当的风险评估方法。下面的描述中，错误的是（ ）。

小陈学习了有关信息安全管理体系的内容后，认为组织建立信息安全管理体系并持续运行，比起简单地实施信息安全管理，有更大的作用，他总结了四个方面的作用，其中总结错误的是（ ）

关于信息安全管理体系（Information Security Management Systems,ISMS）,下面描述错误的是（ ）。

国务院信息化工作办公室于2004年7月份下发了《关于做好重要信息系统灾难备份工作的通知》，该文件中指出了我国在灾备工作原则，下面哪项不属于该工作原则（ ）

有关危害国家秘密安全的行为，包括：

以下关于模糊测试过程的说法正确的是：

以下哪一项不是常见威胁对应的消减措施：

某网站在设计时经过了威胁建模和攻击面分析，在开发时要求程序员编写安全的代码，但是在部署时由于管理员将备份存放在Web目录下导致了攻击者可直接下载备份，为了发现系统中是否存在其他类似问题，以下哪种测试方式是最佳的测试方式：

某电子商务网站最近发生了一起安全事件，出现了一个价值1000元的商品用1元被买走的情况，经分析是由于设计时出于性能考虑，在浏览时时使用Http协议，攻击者通过伪造数据包使得向购物车添加商品的价格被修改。利用此漏洞，攻击者将价值1000元的商品以1元添加到购物车中，而付款时又没有验证的环节，导致以上问题。对于网站的这个问题原因分析及解决措施，最正确的说法应该是？

Gary McGraw 博士及其合作者提出软件安全应由三根支柱来支撑，这三个支柱是（ ）。