50.王工是某单位的系统管理员,他在某次参加了单位组织的风险管理工作时,发现当前案例中共有两个重要资产:资产A1和资产A2,其中资产A1面临两个主要威胁: 威胁T1和威胁T2: 而资产A2面临一个主要威胁: 威胁T3;威胁T1可以利用的资产A1存在的两个脆性: 脆弱性V1和脆弱性V2; 威胁T2可以利用的资产A1存在的三个脆弱性:脆弱性V3、脆弱性V4和脆弱性V5; 威胁T3可以利用的资产A2存在的两个脆弱性: 脆弱性V6和脆弱性V7; 根据上述条件,请问:使用相乘法时,应该为资产A1计算几个风险值()

17.下面哪项属于软件开发安全方面的问题()

16.某网站在设计对经过了威胁建模和攻击面分析,在开发时要求程序员编写安全的代码,但是在部署时由于管理员将备份存放在WEB目录下导致了攻击者可直接下载备份,为了发现系统中是否存在其他类拟问题,以下哪种测试方式是最佳的测试方法。

15.在实施信息安全风险评估时,需要对资产的价值进行识别、分类和赋值,关于资产价值的评估,以下选项中正确的是()

14.信息安全管理体系【information Security Management System.简称ISMS】的实施和运行ISMS 阶段,是ISMS过程模型的实施阶段【Do】,下面给出了一些活动①制定风险处理计划②实施风险处理计划③开发有效性测量程序④实施培训和意识教育计划⑤管理ISMS的运行⑥管理ISMS的资源⑦执行检测事态和响应事件的程序⑧实施内部审核⑨实施风险再评估选的活动,选项()描述了在此阶段组织应进行的活动。

13.层次化的文档是信息安全管理体系《Information Security Management System.ISMS》建设的直接体系,也ISMS建设的成果之一,通常将ISMS的文档结构规划为4层金字塔结构,那么,以下选项()应放入到一级文件中.

12.有关系统安全工程-能力成熟度模型【SSE-CMM】中基本实施【Base Practice】正确的理解是:

11.信息安全工程作为信息安全保障的重要组成部门,主要是为了解决:

10.以下关于软件安全测试说法正确的是()

9.某单位开发一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析,模糊测试等软件测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试,模糊测试的优势给领导做决策,以下哪条是渗透性的优势?

8.关于信息安全保障技术框架【IATF】,以下说法不正确的是: