相关题目
35.风险评估的工具中,()是根据脆弱性扫描工具扫描的结果进行模拟攻击测试,判断被非法访问者利用的可能性,这类工具通常包括黑客工具、脚本文件。
34.社会工程学本质上是一种(),()通过种种方式来引导受攻击者的()向攻击者期望的方向发展。罗伯特•B•西奥迪尼【Robert B Cialdini】在科学美国人【2001年2月】杂志中总结对()的研究,介绍了6种“人类天性基本倾向”,这些基本倾向都是()工程师在攻击中所依赖的【有意思或者无意识的】。
33.在软件开发过程中,常用图作为描述攻击,如DFD就是面向()分析方法的描述工具,在一套分层DFD中,如果某一张图中有N个加工【Process】则这张图允许有()张子图,在一张DFD中任意两个加工之间()。在画分层DFD时,应注意保持()之间的平衡。DFD中从系统的输入流到系统的输出流的一连串交换形式一种信息流,这种信息流可分为交换流和事物流两类。
32.某计算机机房由于人员疏忽或设备老化可能会有发生火灾的风险。该计算机机房的资产价值为200万元;如果发生火灾,资产总值将损失至资产值的25%;这种火灾发生的可能性为25年发生一次。则这种威胁的年度损失预期值为().
31.1998年英国公布标准的第二部分《信安全管理体系规范》,规定()管理体系要求与()要求,它是一个组织的全面或部分信息安全管理体系评估的(),它可以作为一个正式认证方案的()。BS 7799-1与BS7799-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及()的责任。
30.选择信息系统部署的场地应考虑组织机构对信息安全的需求并将安全性防在重要的位置,信息资产的保护很大程度上取决与场地的安全性,一个部署在高风险场所的额信息系统是很难有效的保障信息资产安全性的。为了保护环境安全,在下列选项中,公司在选址时最不应该选址的场地是()
29.在规定的时间间隔或重大变化发生时,组织的()和实施方法【如信息安全的控制目标、控制措施、方针、过程和规程】应()。独立评审宜由管理者启动,由独立被评审范围的人员执行,例如内部审核部、独立的管理人员或专门进行这种评审的第三方组织。从事这些评审的人员宜具备适当的()。管理人员宜对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其他安全要求进行()。为了日常评审的效率,可以考虑使用自动测量和()。评审结果和管理人员采取的纠正措施宜被记录,且这些记录宜予以维护。
28.当使用移动设备时,应特别注意确保()不外泄。移动设备方针应考虑与非保护环境移动设备同时工作时的风险。当在公共场所、会议室和其他不受保护的区域使用移动计算设施时,要加以小心。应采取保护措施以避免通过这些设备存储和处理的信息未授权的访问或泄露,如使用()、强制使用秘钥身份验证信息。要对移动计算设施进行物理保护,以防被偷窃,例如,特别是遗留在汽车和其他形式的交通工具上、旅馆房间、会议中心和会议室。要为移动计算机设施的被窃或丢失等情况建立一个符号法律、保险和组织的其他安全要求的()。携带重要、敏感和或关键业务信息的设备不宜无人值守,若有可能,要以物理的方式锁起来,或使用()来保护设备。对于使用移动计算设施的人员要安排培训,以提高他们对这种工作方式导致的附加风险的意识,并且要实施控制措施。
27.系统安全工程能力成熟度模型评估方法【SSAM, SSE-CMM Appraisal Method】是专门基于SSE-CMM的评估方法。它包含对系统安全工程-能力成熟度模型中定义的组织的()流程能力和成熟度进行评估所需的()。SSAM评估过程分为四个阶段,()、()、()、()。
26.社会工程学是()与()结合的学科,准确来说,它不是一门科学,因为它不能总是重复合成功,并且在信息充分多的情况下它会失效。基于系统、体系、协议等技术体系缺陷的(),随着时间流逝最终都会失效,因为系统的漏洞可以弥补,体系的缺陷可能随着技术的发展完善或替代,社会工程学利用的是人性的“弱点”,而人性是(),这使得它几乎是永远有效的()。
