173、某网站在设计时经过了威胁建模和攻击面分析,在开发时要求程序员编写安全的代码,但是在部署时由于管理员将备份存放在 Web 目录下导致了攻击者可直接下载备份,为了发现系统中是否存在其他类似问题,以下哪种测试方式是最佳的测试方式 ( )

38、风险,在 GBT22081 中定义为时态的概率及其结果的组合。风险的目标可能有很多不同的方面,如财务目标、健康和人身安全目标、信息安全目标和环境目标等;目标也可能有不同的级别,如战略目标、组织目标、项目目标、产品目标和过程目标等。 SO/EC13335-1 中揭示了风险各要素关系模型,如图所示,请结合此图,怎么オ能降低风险对组织产生的影响?( )

37、在国家标准,GBT202741-2006《信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型》中,信息系统安全保障模型包含哪几个方面? ( )

36、我国标准《信息安全风险管理指南》(GB/Z 24364)给出了信息安全风险管理的内容和过程。可以用下图来表示,图中空白处应该填写 ( )

35、即使最好用的安全产品也存在(),结果,在任何的系统中敌手最终都能够找到一个被开发出的漏洞,一种有效的对策是在敌手和它的目标之间配备多种()每一种机制都应包括()两种手段。( )

34、根据《关于开展信息安全风险评估工作的意见》的规定,错误的是( )

33、根据相关标准,信息安全风险管理可分为背景建立、风险评估、风险处理、批准监督、监控审査和沟通咨询等阶段,按照该框架,文档《风险分析报告》应该属于那个阶段的输出成果( )

32、有关系统安全工程-能力成熟度模型(SSE-CMM)错误的理解是( )

31、以下关于威胁建模流程步骤说法不正确的是( )

30、为推动和规范我国信息安全等级保护工作,我国制定和发布了信息安全等级保护工作所需要的一系列标准这些标准可以按照等级保护工作的工作阶段大致分类。下面四个标准中 0)提出和规定了不同安全保护等级信息系统的最低保护要求,并按照技术和管理两个方面提出了相关基本安全要求

29、根据《信息安全等级保护管理办法》、《关于开展信息安全等级保护测评体系建设试点工作的通知》公信安[20091812 号)、关于推动信息安全等级保护()建设和开展()工作的通知(公信安[20101003 号)等文件,由公安部()对等级保护测评机构管理,接受测评机构的申请、考核和定期()对不具备能力的测评机构则