單項選擇題以下關于威脅建模流程步驟說法不正確的是()

A.威脅建模主要流程包括四步:確定建模對象、識別威脅、評估威脅和消減威脅
B.評估威脅是對威脅進行分析,評估被利用和攻擊發(fā)生的概率,了解被攻擊后資產的受損后果,并計算風險
C.消減威脅是根據威脅的評估結果,確定是否要消除該威脅以及消減的技術措施,可以通過重新設計直接消除威脅,或設計采用技術手段來消減威脅
D.識別威脅是發(fā)現組件或進程存在的威脅,它可能是惡意的,威脅就是漏洞


您可能感興趣的試卷

你可能感興趣的試題

2.單項選擇題微軟提出了STRIDE模型,其中R是Repudiation(抵賴)的縮寫,關于此項安全要求下面描述錯誤的是()

A.某用戶在登錄系統(tǒng)并下載數據后,卻聲稱“我沒有下載過數據”軟件系統(tǒng)中的這種威脅就屬于R威脅
B.解決R威脅,可以選擇使用抗抵賴性服務技術來解決,如強認證、數字簽名、安全審計等技術措施
C.R威脅是STRIDE六種威脅中第三嚴重的威脅,比D威脅和E威脅的嚴重程度更高
D.解決R威脅,也應按照確定建模對象、識別威脅、評估威脅以及消減威脅等四個步驟來進行

3.單項選擇題某網站為了更好向用戶提供服務,在新版本設計時提供了用戶快捷登錄功能,用戶如果使用上次的IP地址進行訪問,就可以無需驗證直接登錄,該功能推出后,導致大量用戶賬號被盜用,關于以上問題的說法正確的是()

A.網站問題是由于開發(fā)人員不熟悉安全編碼,編寫了不安全的代碼,導致攻擊面增大,產生此安全問題
B.網站問題是由于用戶缺乏安全意識導致,使用了不安全的功能,導致網站攻擊面增大,產生此問題
C.網站問題是由于使用便利性提高,帶來網站用戶數增加,導致網站攻擊面增大,產生此安全問題
D.網站問題是設計人員不了解安全設計關鍵要素,設計了不安全的功能,導致網站攻擊面增大,產生此問題

4.單項選擇題某電子商務網站在開發(fā)設計時,使用了威脅建模方法來分析電子商務網站所面臨的威脅。STRIDE是微軟SDL中提出的威脅建模方法,將威脅分為六類,為每一類威脅提供了標準的消減措施,Spoofing是STRIDE中欺騙類的威脅,以下威脅中哪個可以歸入此類威脅?()

A.網站競爭對手可能雇傭攻擊者實施DDos攻擊,降低網站訪問速度
B.網站使用http協議進行瀏覽等操作,未對數據進行加密,可能導致用戶傳輸信息泄漏,例如購買的商品金額等
C.網站使用http協議進行瀏覽等操作,無法確認數據與用戶發(fā)出的是否一致,可能數據被中途篡改
D.網站使用用戶名、密碼進行登錄驗證,攻擊者可能會利用弱口令或其他方式獲得用戶密碼,以該用戶身份登錄修改用戶訂單等信息

5.單項選擇題windows文件系統(tǒng)權限管理作用訪問控制列表(Access Control List.ACL)機制,以下哪個說法是錯誤的()

A.安裝Windows系統(tǒng)時要確保文件格式使用的是NTFS,因為Windows的ACL機制需要NTFS文件格式的支持
B.由于windows操作系統(tǒng)自身有大量的文件和目錄,因此很難對每個文件和目錄設置嚴格的訪問權限,為了作用上的便利,Windows上的ACL存在默認設置安全性不高的問題
C.windows的ACL機制中,文件和文件夾的權限是與主體進行關聯的,即文件夾和文件的訪問權限信息是寫在用戶數據庫中
D.由于ACL具有很好的靈活性,在實際使用中可以為每一個文件設定獨立的用戶的權限