94.在规定的时间间隔或重大变化发生时，组织的额()和实施方法(如信息安全的控制目标、控制措施、方针、过程和规程)应()。独立评审宜由管理者启动，由独立被评审范围的人员执行，例如内部审核部、独立的管理人员或专门进行这种评审的第三方组织。从事这些评审的人员宜具备适当的()。管理人员宜对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其他安全要求进行()。为了日常功评审的效率，可以考虑使用自动测量和()。评审结果和管理人员采取的纠正措施宜被记录，且这些记录宜予以维护。

64.有关能力成熟度模型【CMM】错误的理解是

63.为保障系统安全，某单位需要对其跨地区大型网络实时应用系统进行渗透测试，以下关于渗透测试过程的说法不正确的是

62.以下关于威胁建模流程步骤说法不正确的是

61.某购物网站开发项目经过需求分析进入系统设计阶段，为了保证用户账户的安全，项目开发人员决定用户登陆时除了用户名口令认证方式外，还加入基于数字证书的身份认证功能，同时用户口令使用SHA-1算法加密后存放在后台数据库中，请问以上安全设计遵循的是哪项安全设计原则:

60.某网站为了更好向用户提供服务，在新版本设计时提供了用户快捷登录功能，用户如果使用上次的IP地址进行访问，就可以无需验证直接登录，该功能推出后，导致大量用户账号被盗用，关于以上问题的说法正确的是:

59.某linux系统由于root口令过于简单，被攻击者猜解后获得了root口令，发现被攻击后，管理员更改了root口令，并请安全专家对系统进行检测，在系统中发现有一个文件的权限如下-r-s--x--x1testtdst10704apr152002/home/test/sh请问以下描述哪个是正确的:

58.以下哪个属性不会出现在防火墙的访问控制策略配置中?

57.在对某面向互联网提供服务的某应用服务器的安全检测中发现，服务器上开放了以下几个应用，除了一个应用外其他应用都存在明文传输信息的安全问题，作为一名检测人员，你需要告诉用户对应用进行安全整改以外解决明文传输数据的问题，以下哪个应用已经解决了明文传输数据问题:

56.以下属于哪一种认证实现方式:用户登录时，认证服务器【AuthenticationServer，AS】产生一个随机数发送给用户，用户用某种单向算法将自己的口令、种子秘钥和随机数混合计算后作为一次性口令，并发送给AS，AS用同样的方法计算后，验证比较两个口令即可验证用户身份。

55.关于秘钥管理，下列说法错误的是: