以下關于開展軟件安全開發(fā)必要性描錯誤的是（）。

小張在一不知名的網(wǎng)站上下載了魯大師并進行了安裝，電腦安全軟件提示該軟件有惡意捆綁，小張驚出一身冷汗，因為他知道惡意代碼終隨之進入系統(tǒng)后會對他的系統(tǒng)信息安全造成極大的威脅，那么惡意代碼的軟件部署常見的實現(xiàn)方式不包括（）。

某單位在進行內(nèi)部安全評估時，安全員小張使用了單位采購的漏洞掃描軟件進行單位內(nèi)的信息系統(tǒng)漏洞掃描。漏洞掃描報告的結論為信息系統(tǒng)基本不存在明顯的安全漏洞，然而此報告在內(nèi)部審計時被質(zhì)疑，原因在于小張使用的漏洞掃描軟件采購于三年前，服務已經(jīng)過期，漏洞庫是半年前最后一次更新的。關于內(nèi)部審計人員對這份報告的說法正確的是（）。

某項目組進行風險評估時由于時間有限，決定采用基于知識的分析方法，使用基于知識的分析方法進行風險評估，最重要的在于評估信息的采集，該項目組對信息源進行了討論，以下說法中不可行的是（）。

你是單位安全主管，由于微軟剛發(fā)布了數(shù)個系統(tǒng)漏洞補丁，安全運維人員給出了針對此漏洞修補的四個建議方案，請選擇其中一個最優(yōu)方案執(zhí)行（）。

下列選項分別是四種常用的資產(chǎn)評估方法，哪個是目前采用最為廣泛的資產(chǎn)評估方法？（）

（）在實施攻擊之前，需要盡量收集偽裝身份（），這些信息是攻擊者偽裝成功的（）。例如攻擊者要偽裝成某個大型集團公司總部的（）。那么他需要了解這個大型集團公司所處行業(yè)的一些行規(guī)或者（）、公司規(guī)則制度、組織架構等信息，甚至包括集團公司相關人員的綽號等等。

組織應依照已確定的訪問控制策略限制對信息和（）功能的訪問。對訪問的限制要基于各個業(yè)務應用要求，訪問控制策略還要與組織訪問策略一致。應建立安全登錄規(guī)程控制實現(xiàn)對系統(tǒng)和應用的訪問。宜選擇合適的身份驗證技術以驗證用戶身份。在需要強認證和（）時，宜使用加密、智能卡、令牌或生物手段等替代密碼的身份驗證方法。應建立交互式的口令管理系統(tǒng)，并確保使用優(yōu)質(zhì)的口令。對于可能覆蓋系統(tǒng)和應用的控制措施的實用工具和程序的使用，應加以限制并（）。對程序源代碼和相關事項（例如設計、說明書、驗證計劃和確認計劃）的訪問宜嚴格控制，以防引入非授權功能、避免無意識的變更和維持有價值的知識產(chǎn)權的（）。對于程序源代碼的保存，可以通過這種代碼的中央存儲控制來實現(xiàn)，更好的是放在（）中。

與PDR模型相比，P2DR模型則更強調(diào)（），即強調(diào)系統(tǒng)安全的（），并且以安全檢測、（）和自適應填充“安全間隙“為循環(huán)來提高（）。

信息安全管理體系也采用了（）模型，該模型可應用于所有的（）。ISMS把相關方的信息安全要求和期望作為輸入，并通過必要的（），產(chǎn)生滿足這些要求和期望的（）。