38、风险,在 GBT22081 中定义为时态的概率及其结果的组合。风险的目标可能有很多不同的方面,如财务目标、健康和人身安全目标、信息安全目标和环境目标等;目标也可能有不同的级别,如战略目标、组织目标、项目目标、产品目标和过程目标等。 SO/EC13335-1 中揭示了风险各要素关系模型,如图所示,请结合此图,怎么オ能降低风险对组织产生的影响?( )

173、某网站在设计时经过了威胁建模和攻击面分析,在开发时要求程序员编写安全的代码,但是在部署时由于管理员将备份存放在 Web 目录下导致了攻击者可直接下载备份,为了发现系统中是否存在其他类似问题,以下哪种测试方式是最佳的测试方式 ( )

172、某电子商务网站最近发生了一起安全事件,出现了一个价值 1000 元的商品用 1 元被买走的情况,经分析是由于设计时出于性能考虑,在浏览时时使用 Http 协议,攻击者通过伪造数据包使得向购物车添加商品的价格被修改。利用此漏洞,攻击者将价值 1000 元的商品以 1 元添加到购物车中,而付款时又没有验证的环节导致以上问题。对于网站的这个问题原因分析及解决措施,最正确的说法应该是? ( )

171、 Gary Mcgraw 博士及其合作者提出软件安全模型 BSI,该模型应由三根支柱来支撑,这三个支柱是( )

170、某网络安全公司基于网络的实时入侵检测技术,动态监测来自于外部网络和内部网络的所有访问行为当检测到来自内外网络针对或通过防火墙的攻击行为,会及时响应并通知防火墙实时阻断攻击源,从而进一步提高了系统的抗攻击能力,更有效地保护了网络资源,提高了防御体系级别。但入侵检测技术不能实现以下哪种功能( )

169、“统一威胁管理”是将防病毒,入侵检测和防火墙等安全需求统一管理,目前市场上已经出现了多种此类安全设备,这里“统一威胁管理”'常常被简称为 ( )

168、在网络信息系统中对用户进行认证识别时,口令是一种传统但仍然使用广泛的方法,口令认证过程中常常使用静态口令和动态口令。下面找描述中错误的是( )

167、 PDCERF 方法是信息安全应急响应工作中常用的一种方法,它将应急响应分成六个阶段。其中,主要执行如下工作应在哪一个阶段关闭信息系统、和或修改防火墙和路由器的过滤规则,拒绝来自发起攻击的嫌疑主机流量、或封锁被攻破的登录账号等( )

166.关于密钥管理,下列说法错误的是 ( )

165、以下系统工程说法错误的是 ( )

164、在某网络机房建设项目中,在施工前,以下哪一项不属于监理需要审核的内容:( )