47.针对软件的拒绝服务攻击是通过消耗系统资源使软件无法响应正常请求的一种攻击方式，在软件开发时分析拒绝服务攻击的威胁，以下哪个不是需求考虑的攻击方式

A. 权限分离原则

B. 最小特权原则

C. 保护最薄弱环节的原则

D. 纵深防御的原则

A. 某用户在登陆系统并下载数据后，却声称“我没有下载过数据”，软件系统中的这种威胁就属于R威胁

B. 解决R威胁，可以选择使用抗抵赖性服务技术来解决，如强认证、数字签名、安全审计等技术措施

C. R威胁是STRIDE六种威胁中第三严重的威胁，比D威胁和E威胁的严重程度更高

D. 解决R威胁，也应按照确定建模对象、识别威胁、评估威胁以及消减威胁等四个步骤来进行

A. 信息安全管理是组织整体管理的重要、固有组成部分，它是组织实现其业务目标的重要保障

B. 信息安全管理是一个不断演进、循环发展的动态过程，不是一成不变的

C. 信息安全建设中，技术是基础，管理是拔高，既有效的管理依赖于良好的技术基础

D. 坚持管理与技术并重的原则，是我国加强信息安全保障工作的主要原则之一

A. 信息安全管理体系(ISMS)

B. 信息安全等级保护

C. NISTSP800

D. ISO270000系统

A. 第一个观点

B. 第二个观点

C. 第三个观点

D. 第四个观点

A. 减少威胁源，采用法律的手段制裁计算机的犯罪，发挥法律的威慑作用，从而有效遏制威胁源的动机

B. 签订外包服务合同，将有计算难点，存在实现风险的任务通过签订外部合同的方式交予第三方公司完成，通过合同责任条款来应对风险

C. 减低威胁能力，采取身份认证措施，从而抵制身份假冒这种威胁行为的能力

D. 减少脆弱性，及时给系统打补丁，关闭无用的网络服务端口，从而减少系统的脆弱性，降低被利用的可能性

A. 资产识别是指对需求保护的资产和系统等进行识别和分类

B. 威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性

C. 脆弱性识别以资产为核心，针对每一项需求保护的资产，识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估

D. 确认已有的安全措施仅属于技术层面的工作，牵涉到具体方面包括:物理平台、系统平台、网络平台和应用平台

A. 检查评估可依据相关标准的要求，实施完整的风险评估过程;也可在自评估的基础上，对关键环节或重点内容实施抽样评估

B. 检查评估可以由上级管理部门组织，也可以由本级单位发起，其重点是针对存在的问题进行检查和评测

C. 检查评估可以由上级管理部门组织，并委托有资质的第三方技术机构实施

D. 检查评估是通过行政手段加强信息安全管理的重要措施，具有强制性的特点

A. 《风险评估方案》

B. 《需要保护的资产清单》

C. 《风险计算报告》

D. 《风险程度等级列表》

A. 制定并颁发信息安全方针，为组织的信息安全管理体系建设指明方向并提供总体纲领，明确总体要求

B. 确保组织的信息安全管理体系目标和相应的计划得以制定，目标应明确、可度量，计划应具体、可事实

C. 向组织传达满足信息安全的重要性，传达满足信息安全要求、达成信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性

D. 建立健全信息安全制度，明确安全风险管理作用，实施信息安全风险评估过程、确保信息安全风险评估技术选择合理、计算正确