單項選擇題以下關(guān)于威脅建模流程步驟說法不正確的是()

A.威脅建模主要流程包括四步:確定建模對象、識別威脅、評估威脅和消減威脅
B.評估威脅是對威脅進行分析,評估被利用和攻擊發(fā)生的概率,了解被攻擊后資產(chǎn)的受損后果,并計算風(fēng)險
C.消減威脅是根據(jù)威脅的評估結(jié)果,確定是否要消除該威脅以及消減的技術(shù)措施,可以通過重新設(shè)計直接消除威脅,或設(shè)計采用技術(shù)手段來消減威脅
D.識別威脅是發(fā)現(xiàn)組件或進程存在的威脅,它可能是惡意的,威脅就是漏洞


您可能感興趣的試卷

你可能感興趣的試題

2.單項選擇題微軟提出了STRIDE模型,其中R是Repudiation(抵賴)的縮寫,關(guān)于此項安全要求下面描述錯誤的是()

A.某用戶在登錄系統(tǒng)并下載數(shù)據(jù)后,卻聲稱“我沒有下載過數(shù)據(jù)”軟件系統(tǒng)中的這種威脅就屬于R威脅
B.解決R威脅,可以選擇使用抗抵賴性服務(wù)技術(shù)來解決,如強認(rèn)證、數(shù)字簽名、安全審計等技術(shù)措施
C.R威脅是STRIDE六種威脅中第三嚴(yán)重的威脅,比D威脅和E威脅的嚴(yán)重程度更高
D.解決R威脅,也應(yīng)按照確定建模對象、識別威脅、評估威脅以及消減威脅等四個步驟來進行

3.單項選擇題某網(wǎng)站為了更好向用戶提供服務(wù),在新版本設(shè)計時提供了用戶快捷登錄功能,用戶如果使用上次的IP地址進行訪問,就可以無需驗證直接登錄,該功能推出后,導(dǎo)致大量用戶賬號被盜用,關(guān)于以上問題的說法正確的是()

A.網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼,編寫了不安全的代碼,導(dǎo)致攻擊面增大,產(chǎn)生此安全問題
B.網(wǎng)站問題是由于用戶缺乏安全意識導(dǎo)致,使用了不安全的功能,導(dǎo)致網(wǎng)站攻擊面增大,產(chǎn)生此問題
C.網(wǎng)站問題是由于使用便利性提高,帶來網(wǎng)站用戶數(shù)增加,導(dǎo)致網(wǎng)站攻擊面增大,產(chǎn)生此安全問題
D.網(wǎng)站問題是設(shè)計人員不了解安全設(shè)計關(guān)鍵要素,設(shè)計了不安全的功能,導(dǎo)致網(wǎng)站攻擊面增大,產(chǎn)生此問題

4.單項選擇題某電子商務(wù)網(wǎng)站在開發(fā)設(shè)計時,使用了威脅建模方法來分析電子商務(wù)網(wǎng)站所面臨的威脅。STRIDE是微軟SDL中提出的威脅建模方法,將威脅分為六類,為每一類威脅提供了標(biāo)準(zhǔn)的消減措施,Spoofing是STRIDE中欺騙類的威脅,以下威脅中哪個可以歸入此類威脅?()

A.網(wǎng)站競爭對手可能雇傭攻擊者實施DDos攻擊,降低網(wǎng)站訪問速度
B.網(wǎng)站使用http協(xié)議進行瀏覽等操作,未對數(shù)據(jù)進行加密,可能導(dǎo)致用戶傳輸信息泄漏,例如購買的商品金額等
C.網(wǎng)站使用http協(xié)議進行瀏覽等操作,無法確認(rèn)數(shù)據(jù)與用戶發(fā)出的是否一致,可能數(shù)據(jù)被中途篡改
D.網(wǎng)站使用用戶名、密碼進行登錄驗證,攻擊者可能會利用弱口令或其他方式獲得用戶密碼,以該用戶身份登錄修改用戶訂單等信息

5.單項選擇題windows文件系統(tǒng)權(quán)限管理作用訪問控制列表(Access Control List.ACL)機制,以下哪個說法是錯誤的()

A.安裝Windows系統(tǒng)時要確保文件格式使用的是NTFS,因為Windows的ACL機制需要NTFS文件格式的支持
B.由于windows操作系統(tǒng)自身有大量的文件和目錄,因此很難對每個文件和目錄設(shè)置嚴(yán)格的訪問權(quán)限,為了作用上的便利,Windows上的ACL存在默認(rèn)設(shè)置安全性不高的問題
C.windows的ACL機制中,文件和文件夾的權(quán)限是與主體進行關(guān)聯(lián)的,即文件夾和文件的訪問權(quán)限信息是寫在用戶數(shù)據(jù)庫中
D.由于ACL具有很好的靈活性,在實際使用中可以為每一個文件設(shè)定獨立的用戶的權(quán)限