90.信息安全事件和分类方法有多种，依据GB/Z20986-2007《信息安全技术自信安全事件分类分级指南》，信息安全事件分为7个基本类别，描述正确的是()

A. 从传播范围来看，恶意代码呈现多平台传播的特征。

B. 按照运行平台，恶意代码可以分为网络传播型病毒、文件传播型病毒。

C. 不感染的依附性恶意代码无法单独执行

D. 为了对目标系统实施攻击和破坏，传播途径是恶意代码赖以生存和繁殖的基本条件

A. CIscoAuditingTools

B. AcunetixWebVulnerabilityScanner

C. NMAP

D. ISSDatabaseScanner

A. 风险过程

B. 工程过程

C. 保证过程

D. 评估过程

A. 降低风险

B. 规避风险

C. 放弃风险

D. 转移风险

A. 只要用户拿到了认证服务器(AS)发送的票据许可票据(TGT)并且该TGT没有过期，就可以使用该TGT通过票据授权服务器(TGS)完成到任一个服务器的认证而不必重新输入密码

B. 认证服务器(AS)和票据授权服务器(TGS)是集中式管理，容易形成瓶颈，系统的性能和安全也严重依赖于AS和TGS的性能和安全

C. 该协议通过用户获得票据许可票据、用户获得服务许可票据、用户获得服务三个阶段，仅支持服务器对用户单向认证

D. 该协议是一种基于对称密码算法的网络认证协议，随用户数量增加，密钥管理较复杂

A. 国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》(GB/T20274.1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心

B. 模型中的信息系统生命周期模型是抽象的概念性说明模型，在信息系统安全保障具体操作时，可根据具体环境和要求进行改动和细化

C. 信息系统安全保障强调的是动态持续性的长效安全，而不仅是某时间点下的安全

D. 信息系统安全保障主要是确保信息系统的保密性、完整性和可用性，单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入

A. Https协议对传输的数据进行加密，可以避免嗅探等攻击行为

B. Https使用的端口http不同，让攻击者不容易找到端口，具有较高的安全性

C. Https协议是http协议的补充，不能独立运行，因此需要更高的系统性能

D. Https协议使用了挑战机制，在会话过程中不传输用户名和密码，因此具有较高的

A. 设计;战略与规划;逻辑设计;实施;管理与衡量

B. 战略与规划;逻辑设计;设计;实施;管理与衡量

C. 战略与规划;实施;设计;逻辑设计;管理与衡量

D. 战略与规划;设计;逻辑设计;实施;管理与衡量

A. 漏洞是存在于信息系统的某种缺陷。

B. 漏洞存在于一定的环境中，寄生在一定的客体上(如TOE中、过程中等)。

C. 具有可利用性和违规性，它本身的存在虽不会造成破坏，但是可以被攻击者利用，从而给信息系统安全带来威胁和损失。

D. 漏洞都是人为故意引入的一种信息系统的弱点

A. 《风险评估工作计划》，主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色及职责、经费预算和进度安排等内容

B. 《风险评估方法和工具列表》。主要包括拟用的风险评估方法和测试评估工具等内容

C. 《已有安全措施列表》，主要包括经检查确认后的已有技术和管理各方面安全措施等内容

D. 《风险评估准则要求》，主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、资产分类标准、资产分类准则等内容