26.王工是某单位的系统管理员，他在某次参加了单位组织的风险管理工作时，发现当前案例中共有两个重要资产:资产A1和资产A2，其中资产A1面临两个主要威胁:威胁T1和威胁T2:而资产A2面临一个主要威胁:威胁T3;威胁T1可以利用的资产A1存在的两个脆性:脆弱性V1和脆弱性V2;威胁T2可以利用的资产A1存在的三个脆弱性:脆弱性V3、脆弱性V4和脆弱性V5;威胁T3可以利用的资产A2存在的两个脆弱性:脆弱性V6和脆弱性V7;根据上述条件，请问:使用相乘法时，应该为资产A1计算几个风险值()

32.由于Internet的安全问题日益突出，基于TCP/IP协议，相关组织和专家在协议的不同层次设计了相应的安全通信协议，用来保障网络各层次的安全。其中，属于或依附于传输层的安全协议是()

31.某单位系统管理员对组织内核心资源的访问制定访问策略，针对每个用户指明能够访问的资源，对于不在指定资源列表中的对象不允许访问。该访问控制策略属于以下哪一种:

30.kerberos协议是常用的集中访问控制协议，通过可信第三的认证服务，减轻应用Kerberos的运行环境由秘钥分发中心【KDC】、应用服务器和客户端三个部分组成，认证服务器AS和票据授权服务器

29.关于Kerberos认证协议，以下说法错误的是:

28.定量风险分析是从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，准确度量风险的可以性和损失量。小王采用该方法来为单位机房计算火灾风险大小，假设单位机房的总价值为200万元人民币，暴露系数【ExposureFactor，EF】是x，年度发生率【AnnualizodEatoofOccurrence，ARO】为0.1，而小王计算的年度预期损失【AnnualizodLossErpectancy，ALE】值为5万元人民币，由此，x值应该是

27.实体身份鉴别的方法多种多样，且随着技术的进步，鉴别方法的强度不断提高，常见的方法有指令鉴别、令牌鉴别、指纹鉴别等。如图，小王作为合法用户使用自己的账户进行支付、转账等操作。这说法属于下列选项中的()

26.某电子商务网站架构设计时，为了避免数据误操作，在管理员进行订单删除时，需要由审核员进行审核后该删除操作才能生效，这种设计是遵循了发下哪个原则

25.关于补丁安装时应注意的问题，以下说法正确的是

24.关于信息安全管理体系的作用，下面理解错误的是

23.风险分析师风险评估工作的一个重要内容，GB/T20984-2007在资料性附录中给出了一种矩阵法来计算信息安全风险大小，如下图所示，图中括号应填那个?