235、根据《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》的规定,以下正确的是:( )

276、某集团公司更具业务需要,在各地分支机构部署前置机,为了保证安全,将集团总部要求前置机开放日志由总部服务器采集进行集中分析,在运行过程中发现攻击者也可通过共享从前置机中提取日志,从而导致部分敏感信息泄露,根椐降低攻击面的原则,应采取以下哪项处理措施? ( )

275、GPT18336《信息技术安全性评估准则》是测评标准中的重要标准,该标准定义了保护轮廓( protectionprofile, pp)和安全目标( security target.st)的评估准则。提出了评估保证级( evaluationassurance evel。eal)期评估保证级共分为()个递增的评估保证等级 ( )

274、小王在学习定量风险评估方法后,决定试着为单位机房计算火灾的风险大小。假设单位机房的总价格为 200 万元人民币,暴漏系数( Foposurefactor,EF)是 25%,年度发生率 annualized rate of0 ccurrencearo)为 0.1,那么小王计算的年度预期损失 Annualized Loss Expectancy, AE)应该是

273、小王在学习定风险评估方法后,决定试着为单位机房计算火灾的风险大小假设单位机房的总值为 400元人民币,暴漏系数( xposure factor,)是 25%,年度发生率 annualizd rate of Occurrence.ARO)为 0.2 那么小王计算的年度预期损失 Annualized Loss Expectancy, ALE)应该是（）

272、入侵检测系统有其技术优越性,但也有其局限性,下列说法错误的是( )

271、强制访问控制系统是指主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体,具有较高的安全性,适用于专用或对安全性要求较高的系统,强制访问控制模型有多种类型,如 BLP、 Clark- Wilison 和 Chinesewal1 等。小李自学了 BLP 模型,并对该模型的特点进行了总结,以下四种对 BLP 模型的描述中,正确的是( )

270、在信息系统中,访向控制是重要的安全功能之一。它的任务是在用户对系统资源提供最大限度共享的基础上,对用户的访何权限进行管理,防止对信息的非授权篡改和滥用。访问控制模型将实体划分为主体和客体两类,通过对主体身份的识别来限制其对客体的访问权限。下列选项中,对主体、客体和访问权服的描述中错误的是( )

269、IPV4 协议在设计之初并没有过多地考虑安全问题,为了能够使网络方便地进行互联、互通,仅仅依靠IP 头部的校验和字段来保证 IP 包的安全,因此 P 包很容易被簊改,并重新计算校验和, I=TR-于 1994 年开始制定 Psec 协议标准,其设计目标是在 IPV4 和 PV6 环境中为网络层流量提供灵话、透明的安全服务,保护 TTCP/P 通信免遭窃听和纂改,保证数据的完整性和机密性,有效抵御网络攻击,同时保持易用性,下列选项中说法错误的是(C)

268、若一个组织声称自己的 ISMS 符合 ISO/EC27001 或 GB/T22080 标准要求,其信息安全控制措施通常要在物理和环境安全方面实施规划控制,物理和环境安全领域包括安全区域和设备安全两个控制目标。安全区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰,关键或敏感的信息以及信息处理设施应放在安全区域内,并受到相应保护,该目标可以通过以下控制措施实现,下列不包括哪一项( )

267、规范的实施流程和文档管理,是信息安全风险评估性能否取得成果的重要基础。某单位在实施风险评估时,形成了《风险评估方案》并得到了管理决策层的认可。在风险评估实施的各个阶段中,该《风险评估方案》应是如下()中的输出结果。( )