15、在信息系统中,访问控制是重要的安全功能之一。他的任务是在用户对系统资源提供最大限度共享的基础上,对用户的访问权限进行管理,防止对信息的非授权篡改和滥用。访问控制模型将实体划分为主体和客体两类,通过对主体身份的识别来限制其对客体的访问权限。下列选项中,对主体、客体和访问权限的描述中错误的是( )

85,信息系统安全保障评估概念和关系如图所示。信息系统安全保障评估,就是在信息系统所处的运行环境中对信息系统安全保障的具体工作和活动进行客观的评估,通过信息系统安全保障评估所搜集的(),向信息系统的所有相关方提供信息系统的()能够实现其安全保障策略,能够将其所面临的风险降低到其可接受的程度的主观信心。信息系统安全保障评估的评估对象是(),信息系统不仅包含了仅讨论技术的信息技术系统,还包括同信息系统所处的运行环境相关的人和管理等领域,信息系统安全保障是一个动态持续的过程,沙及信息系统整个(),因此信息系统安全保障的评估也应该提供一种()的信心。

84.关于《网络安全法》域外适用效力的理解,以下哪项是错误的()

83.若一个组织声称自己的 1SMS 符合 1S0/1BC 27001 成 GB/T220B0 标准要求,其信息安全控制措施通常在以下方面实施常规控制,以下哪个选项的内容不属于常规控制措施的范围

82.数据库的安全很复杂,往往需要考虑多种安全策略,才可以更好地保护数捌库的安全,以下关于数据库常用的安用户的工作全策略理解不正确的题()

81.保护-检测-响应(Protection-Detection-Response,PDR)模型是()工作中常用的模型,其思想是承认()中漏洞的存在,正视系统面临的(),通过采取适度防护、加强()、落实对安全事件的响应、建立对威胜的防护来保障系统的安全。

80.某电子商务网站在开发设计时,使用了威胁建模方法来分析电子商务网站所面临的威胁。STRIDE 是微软 SDL 中提出的威胁建模方法,将威胁分为六类,为每一类威胁提供了标准的消减措施,Spoofing 是STRIDE 中欺骗类的威,以下威胁中哪个可以归入此类威胁()

79.目前,信息系统面临外部攻击者的恶意攻击威胁,从威胁能力和掌握资源分,这些或胁可以按照个人威胁、组织威胁和国家威胁三个层面划分,则下面选项中属于组织威胁的是 ()。

78.以下关于互联网协议安全(Internet Protocol Security,IPsec)协议说法错误的是()。

77.为了能够合理、有序地处理安全事件,应事先制定出事件应救响成方法和过程,有助于一个组织在事件发生时限止淝乱的发生或是在混乱状态中迅速恢复控制,将损失和负面影响降至最低。PDCERP 方法论是一种广泛使用的方法,其将应急响应分成六个阶段,如下图所示,请为图中括号空白处选择合适的内容()。

76.规范的实施流程和文档管理,是信息安全风险评估能否取得成果的重要基础,某单位在实施风险评估时,按照规范形成了若干文档,其中下面()中的文档应属于风险评估中“风险要素识别一阶段输出的文档。