以下关于威胁建模流程步骤说法不正确的是()A、威胁建模主要流程包括四步:确定建模对象、识别威胁、评估威胁和消减威胁B、评估威胁是对威胁进行分析,评估被利用和攻击发生的概率,了解被攻击后资产的受损后果,并计算风险C、消减威胁是根据威胁的评估结果,确定是否要消除该威胁以及消减的技术措施,可以通过重新设计直接消除威胁,或设计采用技术手段来消减威胁D、识别威胁是发现组件或进程存在的威胁,它可能是恶意的,威胁就是漏洞

题目

以下关于威胁建模流程步骤说法不正确的是()

  • A、威胁建模主要流程包括四步:确定建模对象、识别威胁、评估威胁和消减威胁
  • B、评估威胁是对威胁进行分析,评估被利用和攻击发生的概率,了解被攻击后资产的受损后果,并计算风险
  • C、消减威胁是根据威胁的评估结果,确定是否要消除该威胁以及消减的技术措施,可以通过重新设计直接消除威胁,或设计采用技术手段来消减威胁
  • D、识别威胁是发现组件或进程存在的威胁,它可能是恶意的,威胁就是漏洞
相似考题

1.某电子商务网站在开发设计时使用了威胁建模方法来分析电子商务网站所面临的威胁STRIDE是微软SDL中提出的威胁建模方法将威胁分为六类为每一类威胁提供了标准的消减措施Spoofing是STRIDE中欺骗类的威胁以下威胁中哪个可以归入此类威胁?()A、网站竞争对手可能雇佣攻击者实施DDos攻击降低网站访问速度B、网站使用http协议进行浏览等操作未对数据进行加密可能导致用户传输信息泄漏例如购买的商品金额等C、网站使用http协议进行浏览等操作无法确认数据与用户发出的是否一致可能数据被中途篡改D、网站使用用户名密码进行登录验证攻击者可能会利用弱口令或其他方式获得用户密码以该用户身份登录修改用户订单等信息

2.风险是()的综合结果。A.漏洞和内部攻击B.网络攻击和威胁C.漏洞和威胁D.威胁和管理不当

3.微软提出了STRIDE模型,其中R是Repudiation(抵赖)的缩写,关于此项安全要求下面描述错误的是()A、某用户在登录系统并下载数据后,却声称“我没有下载过数据”软件系统中的这种威胁就属于R威胁B、解决R威胁,可以选择使用抗抵赖性服务技术来解决,如强认证、数字签名、安全审计等技术措施C、R威胁是STRIDE六种威胁中第三严重的威胁,比D威胁和E威胁的严重程度更高D、解决R威胁,也应按照确定建模对象、识别威胁、评估威胁以及消减威胁等四个步骤来进行

4.以下哪一个选项是从软件自身功能出发,进行威胁分析()A.攻击面分析B.威胁建模C.架构设计D.详细设计

更多“以下关于威胁建模流程步骤说法不正确的是()A、威胁建模主要流程包括四步:确定建模对象、识别威胁、评估威胁和消减威胁B、评估威胁是对威胁进行分析,评估被利用和攻击发生的概率,了解被攻击后资产的受损后果,并计算风险C、消减威胁是根据威胁的评估结果,确定是否要消除该威胁以及消减的技术措施,可以通过重新设计直接消除威胁,或设计采用技术手段来消减威胁D、识别威胁是发现组件或进程存在的威胁,它可能是恶意的,威胁就是漏洞”相关问题

  • 第1题:

    关于威胁识别分类下列说法不正确的是()。

    • A、疏忽大意的威胁
    • B、人为的威胁
    • C、有意图的威胁
    • D、自然界的威胁

    正确答案:B

  • 第2题:

    ()是指企图利用漏洞达到恶意目的的威胁代理。

    • A、漏洞
    • B、威胁
    • C、病毒
    • D、攻击

    正确答案:D

  • 第3题:

    信息系统威胁识别主要有()工作。

    • A、信息系统威胁分类
    • B、构建信息系统威胁的场景
    • C、信息系统威胁赋值
    • D、识别被评估组织机构关键资产直接面临的威胁

    正确答案:A,B,C

  • 第4题:

    ()不属于信息安全威胁评估中主要包含的内容。

    • A、威胁统计
    • B、资产威胁关联性分析
    • C、业务操作安全审计
    • D、威胁赋值与计算

    正确答案:C

  • 第5题:

    信息系统威胁识别主要是()。

    • A、识别被评估组织机构关键资产直接或间接面临的威胁
    • B、以上答案都不对
    • C、对信息系统威胁进行赋值
    • D、识别被评估组织机构关键资产直接或间接面临的威胁,以及相应的分类和赋值等活动

    正确答案:D

  • 第6题:

    以下哪一个选项是从软件自身功能出发,进行威胁分析()

    • A、攻击面分析
    • B、威胁建模
    • C、架构设计
    • D、详细设计

    正确答案:A

  • 第7题:

    某电子商务网站在开发设计时,使用了威胁建模方法来分折电子商务网站所面临的威胁,STRIDE是微软SDL中提出的威胁建模方法,将威胁分为六类,为每一类威胁提供了标准的消减措施,Spoofing是STRIDE中欺骗类的威胁,以下威胁中哪个可以归入此类威胁?()

    • A、网站竞争对手可能雇佣攻击者实施DDoS攻击,降低网站访问速度
    • B、网站使用http协议进行浏览等操作,未对数据进行加密,可能导致用户传输信息泄露,例如购买的商品金额等
    • C、网站使用http协议进行浏览等操作,无法确认数据与用户发出的是否一致,可能数据被中途篡改
    • D、网站使用用户名、密码进行登录验证,攻击者可能会利用弱口令或其他方式获得用户密码,以该用户身份登录修改用户订单等信息

    正确答案:D

  • 第8题:

    单选题
    风险是()的综合结果。
    A

    漏洞和内部攻击

    B

    网络攻击和威胁

    C

    漏洞和威胁

    D

    威胁和管理不当


    正确答案: A
    解析: 风险是威胁和漏洞的综合结果,可分成低、中、高3个级别:
    低级别风险是漏洞使组织的风险达到一定水平,然而不一定发生。
    中级别风险是漏洞使组织的信息系统或产地的风险达到相当的水平,并且已经有发生事件的可能性。
    高级别风险是漏洞对组的信息、系统或场地的机密性、完整性、可用性和可审性已构成现实危害。

  • 第9题:

    单选题
    微软提出了STRIDE模型,其中R是Repudiation(抵赖)的缩写,关于此项安全要求下面描述错误的是()
    A

    某用户在登录系统并下载数据后,却声称“我没有下载过数据”软件系统中的这种威胁就属于R威胁

    B

    解决R威胁,可以选择使用抗抵赖性服务技术来解决,如强认证、数字签名、安全审计等技术措施

    C

    R威胁是STRIDE六种威胁中第三严重的威胁,比D威胁和E威胁的严重程度更高

    D

    解决R威胁,也应按照确定建模对象、识别威胁、评估威胁以及消减威胁等四个步骤来进行


    正确答案: D
    解析: 暂无解析

  • 第10题:

    多选题
    信息系统面临的威胁和攻击,表现在()。
    A

    对于信息的威胁和攻击

    B

    对实体的威胁

    C

    对程序的威胁

    D

    对于硬件的威胁和攻击


    正确答案: D,A
    解析: 暂无解析

  • 第11题:

    多选题
    信息系统威胁识别主要有()工作。
    A

    识别被评估组织机构关键资产直接面临的威胁

    B

    构建信息系统威胁的场景

    C

    信息系统威胁分类

    D

    信息系统威胁赋值


    正确答案: C,A
    解析: 暂无解析

  • 第12题:

    单选题
    信息系统威胁识别主要是()。
    A

    识别被评估组织机构关键资产直接或间接面临的威胁

    B

    以上答案都不对

    C

    对信息系统威胁进行赋值

    D

    识别被评估组织机构关键资产直接或间接面临的威胁,以及相应的分类和赋值等活动


    正确答案: A
    解析: 暂无解析

  • 第13题:

    信息系统面临的威胁和攻击,表现在()。

    • A、对于信息的威胁和攻击
    • B、对实体的威胁
    • C、对程序的威胁
    • D、对于硬件的威胁和攻击

    正确答案:A,B

  • 第14题:

    入侵检测系统的作用包括()

    • A、威胁、响应、损失情况评估、攻击预测、起诉支持
    • B、威胁、检测、响应、损失情况评估、攻击预测、起诉支持、后续跟踪
    • C、威胁、检测、响应、损失情况评估、攻击预测、起诉支持、风险评估
    • D、威胁、检测、响应、损失情况评估、攻击预测、起诉支持

    正确答案:D

  • 第15题:

    以下属于信息安全威胁评估中内容的有()。

    • A、威胁统计
    • B、资产威胁关联性分析
    • C、业务操作安全审计
    • D、威胁赋值与计算

    正确答案:A,B,D

  • 第16题:

    网络风险是丢失需要保护的资产的可能性。()是指攻击的可能的途径;()是指可能破坏网络系统环境安全的动作或事件。

    • A、漏洞、威胁
    • B、威胁、漏洞
    • C、后门、威胁
    • D、威胁、后门

    正确答案:A

  • 第17题:

    进行风险评估时,有()对应关系不需要考虑。

    • A、每项资产可能面临多种威胁。
    • B、威胁源可能不止一个。
    • C、威胁发生的概率。
    • D、每种威胁可能利用一个或多个弱点。

    正确答案:C

  • 第18题:

    微软提出了STRIDE模型,其中R是Repudiation(抵赖)的缩写,关于此项安全要求,关于此项错误的是:()

    • A、某用户在登录系统并下载数据后,却声称“我没有下载过数据"软件R威胁
    • B、对于R威胁,可以选择使用抗抵赖性服务技术来解决,如强认证、数字签名、安全审计等技术
    • C、R威胁是STRIDE六种威胁中第三严重的威胁,比D威胁和E威胁的严重程度更高
    • D、D解决R威胁,也应按照确定建模对象,识别威胁,评估威胁以及消减威胁等四个步骤来进行

    正确答案:C

  • 第19题:

    风险是()的综合结果。

    • A、漏洞和内部攻击
    • B、网络攻击和威胁
    • C、漏洞和威胁
    • D、威胁和管理不当

    正确答案:C

  • 第20题:

    单选题
    以下哪一个选项是从软件自身功能出发,进行威胁分析?()
    A

    攻击面分析

    B

    威胁建模

    C

    架构设计

    D

    详细设计


    正确答案: A
    解析: 暂无解析

  • 第21题:

    单选题
    微软提出了STRIDE模型,其中R是Repudiation(抵赖)的缩写,关于此项安全要求,关于此项错误的是:()
    A

    某用户在登录系统并下载数据后,却声称“我没有下载过数据软件R威胁

    B

    对于R威胁,可以选择使用抗抵赖性服务技术来解决,如强认证、数字签名、安全审计等技术

    C

    R威胁是STRIDE六种威胁中第三严重的威胁,比D威胁和E威胁的严重程度更高

    D

    D解决R威胁,也应按照确定建模对象,识别威胁,评估威胁以及消减威胁等四个步骤来进行


    正确答案: B
    解析: 暂无解析

  • 第22题:

    单选题
    入侵检测系统的作用包括()
    A

    威胁、响应、损失情况评估、攻击预测、起诉支持

    B

    威胁、检测、响应、损失情况评估、攻击预测、起诉支持、后续跟踪

    C

    威胁、检测、响应、损失情况评估、攻击预测、起诉支持、风险评估

    D

    威胁、检测、响应、损失情况评估、攻击预测、起诉支持


    正确答案: A
    解析: 暂无解析

  • 第23题:

    单选题
    进行风险评估时,有()对应关系不需要考虑。
    A

    每项资产可能面临多种威胁

    B

    威胁源可能不止一个

    C

    威胁发生的概率

    D

    每种威胁可能利用一个或多个弱点


    正确答案: A
    解析: 暂无解析

相关内容