在量化风险分析中，威胁和漏洞都是来度量整体风险的。

在IT风险的管理流程中，后果分析是度量一个风险大小的重要步骤，关于后果分析以下描述错误的是()。

A．在开始后果分析之前，还需要再回顾一些先前的信息：系统任务、系统和数据的重要性、系统和数据的敏感性

B．定量分析比较容易分析出风险漏洞所隐含风险的大小，使得管理人员能迅速对漏洞按照优先级顺序迅速处理

C．定量的后果分析中可以将不良后果量化，并且在成本效益分析中使得决策过程更加准确

D．定量分析的缺点在于，根据数值范围来表示测量，对于后果的定量影响分析可能不明确，产生的结果还需要解释和说明

A．通常报告有记录已经识别出来的分析和危机处理两部分

B．报告需要记录已经识别出来的各种风险，这些风险可能是先前识别的风险，也可能是当前新出现或者新发现的。详细记录各种风险是顺利完成风险管理过程的有效保证

C．报告需要记录当次风险评估中发现的各种漏洞和威胁源，通过与系统开发商、内部信息管理人员和风险管理人员沟通和努力，寻求这些漏洞的解决办法

D．评估报告制作完成之后还应该和业务部门、风险管理部门、操作人员进行回顾和讨论，以沟通的方式来获得各种渠道的建议

A．漏洞分析

B．业务流程分析

C．威胁分析

D．业务风险分析

A．流程化的风险评估可以帮助建立合适的控制机制

B．预测未来不利事件、威胁的可能性必须要联系系统的潜在漏洞

C．在系统特性分析环节，需要识别系统中的各种有效资源和信息的组成，从而确认系统边界

D．黑客是进行漏洞分析时需要分析的威胁源

A．威胁源的动机及能力、漏洞的本质、现有控制技术的有效性

B．威胁源的动机及行为、漏洞的本质、现有控制技术的有效性

C．威胁源的动机及行为、漏洞的本质、现有控制方法

D．威胁源的动机及能力、漏洞的本质、现有控制类别

A、资源平均分配用于保护信息资产

B、后续审计中的发现和建议明显减少

C、基准水平的安全措施应用到信息资产

D、根据发现的威胁和漏洞对审计领域分出轻重缓急

A.威胁建模主要流程包括四步，确定建对象、识别威胁、评估威胁和消减威肋

B.评估威胁是对威胁进行分析，评估被利用和攻击发生的率，了解被攻击后资产的受模后果，并计算风险

C.消减威胁是根据评估结果，确定是否要消除该威胁以及消减的技术措施，可以通过重新设计直接消除成胁，或设计采用技术手段来消减威胁

D.识别威胁是发现组件或进程存在的威验，它可能是故意的，也可能不是故意的，威胁就是漏洞

A.攻击与威胁

B.威胁与防范

C.威胁与漏洞

D.攻击与漏洞

A安装防病毒软件

B 给系统安装最新的补丁

C安装防火墙

D安装入侵检测系统