关于风险分析小组识别风险、相关漏洞和威胁时使用的三种最常见的方法,下列哪一选项是错误的()
A.头脑风暴法
B.对账检查法
C.风险暴露—威胁图
D.威胁点矩阵
A.头脑风暴法
B.对账检查法
C.风险暴露—威胁图
D.威胁点矩阵
A.流程化的风险评估可以帮助建立合适的控制机制
B.预测未来不利事件、威胁的可能性必须要联系系统的潜在漏洞
C.在系统特性分析环节,需要识别系统中的各种有效资源和信息的组成,从而确认系统边界
D.黑客是进行漏洞分析时需要分析的威胁源
A.通常报告有记录已经识别出来的分析和危机处理两部分
B.报告需要记录已经识别出来的各种风险,这些风险可能是先前识别的风险,也可能是当前新出现或者新发现的。详细记录各种风险是顺利完成风险管理过程的有效保证
C.报告需要记录当次风险评估中发现的各种漏洞和威胁源,通过与系统开发商、内部信息管理人员和风险管理人员沟通和努力,寻求这些漏洞的解决办法
D.评估报告制作完成之后还应该和业务部门、风险管理部门、操作人员进行回顾和讨论,以沟通的方式来获得各种渠道的建议
A.风险预报
B.风险挖掘
C.风险预测
D.风险排查
A.资产及其价值、威胁、脆弱性、现有的和计划的控制措施
B.资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施
C.完整性、可用性、机密性、不可抵赖性
D.减低风险、转嫁风险、规避风险、接受风险
关于IT风险管理流程,描述错误的是()。
A.漏洞分析应该从威胁的源头开始寻找,威胁源是在任何环境中都能对系统造成损失的潜在因素
B.控制分析的目的是减少或消除来自于不确定威胁对系统漏洞发起攻击的可能性,通过控制分析的总体评估可以得到关系到系统潜在漏洞的概率
C.风险管理中的风险测定就是测算信息系统风险的具体数值
D.IT风险管理主要有两个方面:一是对内部系统可能存在的漏洞进行排查和分析,另一方面是对来自于外部的潜在威胁进行预判
按照信息系统风险管理的流程,以下步骤顺序排列正确的是()。
A.明确系统的功能、可能性测定、潜在威胁分析、漏洞分析、控制分析、后果分析、风险测定
B.明确系统的功能、漏洞分析、控制分析、潜在威胁分析、可能性测定、后果分析、风险测定
C.明确系统的功能、潜在威胁分析、漏洞分析、控制分析、可能性测定、后果分析、风险测定
D.明确系统的功能、潜在威胁分析、漏洞分析、控制分析、风险测定、可能性测定、后皋分析
A.Hypervisor及管理系统会引入新的漏洞
B.虚拟机镜像在休眠时是数据文件形式存储的,有被修改的风险
C.Hypervisor作为虚拟机的底层系统,一旦存在漏洞,将危及运行其上的所有虚拟机
D.同一物理机机上不同虚拟机之间的流量对传统网络安全设备不可见
A.遵循国家相关法律、法规的前提下,可通过人工或者自动化方法对漏洞进行探测、分析,并证实漏洞存在的真实性
B.在实施漏洞发现活动时,不应对用户的系统运行和数据安全造成影响和损害,不应有为了发现漏洞而侵犯其他组织的业务运行和数据安全的行为
C.在识别网络产品或服务的潜在漏洞时,应主动评估可能存在的安全风险
D.应采取防止漏洞信息泄露的有效措施
A.资产价值由使用者巨确定
B.提高脆弱性会提高安全风险
C.降低安全威胁会降低安全风险
D.提高安全措施会降低安全风险