242、小李和小刘需要为公司新建的信息管理系统设计访问控制方法,他们在讨论中针对采用自主访问控制还是强制访问控制产生了分歧小李认为应该采用自主访问控制的方法,他的观点主要有:(1)自主访问控制可为用户提供灵活、可调整的安全策略,具有较好的易用性和可扩展性;(2)自主访问控制可以抵御木马程序的攻击。小刘认为应该采用强制访问控制的方法,他的观点主要有:(3)强制访问控制中,用户不能通过运行程序来改变他自己及任何客体的安全属性,因为安全性较高;(4)强制访问控制能够保护敏感信息。请问以上四种观点中,正确的是 ( )

269、IPV4 协议在设计之初并没有过多地考虑安全问题,为了能够使网络方便地进行互联、互通,仅仅依靠IP 头部的校验和字段来保证 IP 包的安全,因此 P 包很容易被簊改,并重新计算校验和, I=TR-于 1994 年开始制定 Psec 协议标准,其设计目标是在 IPV4 和 PV6 环境中为网络层流量提供灵话、透明的安全服务,保护 TTCP/P 通信免遭窃听和纂改,保证数据的完整性和机密性,有效抵御网络攻击,同时保持易用性,下列选项中说法错误的是(C)

268、若一个组织声称自己的 ISMS 符合 ISO/EC27001 或 GB/T22080 标准要求,其信息安全控制措施通常要在物理和环境安全方面实施规划控制,物理和环境安全领域包括安全区域和设备安全两个控制目标。安全区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰,关键或敏感的信息以及信息处理设施应放在安全区域内,并受到相应保护,该目标可以通过以下控制措施实现,下列不包括哪一项( )

267、规范的实施流程和文档管理,是信息安全风险评估性能否取得成果的重要基础。某单位在实施风险评估时,形成了《风险评估方案》并得到了管理决策层的认可。在风险评估实施的各个阶段中,该《风险评估方案》应是如下()中的输出结果。( )

266、小李在学习信息安全管理体系( nformation Socurity Management System,lSMS)的有关知识后,按照自己的理解画了一张图来描述安全管理过程,但是他还存在一个空白处未填写,请帮他选择一个最合适的选项( )

265、作为信息安全从业人员,以下那种行为违反了 CISP 职业道德准则( )

264、S09001-2000 标准鼓励在制定、实施质量管理体系以及改进其有效性时对采用的过程方法,通过满足顾客要求增进顾客满意,下图是关于过程方法示意图,空白处应填写 ( )

263、在工程实施阶段,监理机构依据承建合同、安全设计方案、实施方案、实施记录、国家或地方相关标准和技术指导文件,对信息化工程进行安全检査,以验证项目是否实现了项目设计目标和安全等级要求 ( )

262、某公司中标了某项软件开发项目后,在公司内部研讨项目任务时,项目组认为之前在 VPN 技术方面积累不够,导致在该项目中难以及时完成 VPN 功能模块,为解决该问题,公司高层决定接受该项目任务,同时将该 VPN 功能模块以合同形式委托另外一家安全公司完成,要求其在指定时间内按照任务需求书完成工作,否则承担相应责任。在该案例中公司高层采用哪种风险处理方式 ( )

261、以下哪一项不是我国信息安全保障工作的主要目标( )

260、某银行有 5 台交换机连接了大量交易机构的网络,在基于以太网的通信中,计算机 A 需要与计算机 B通信,A 必须先广播 ARP 请求信息“,获取计算机 B 的物理地址。每到月底时用户发现该银行网络服务速度极其缓慢。银行经调査发现为了当其中一台交换机收到 ARP 请求后,会转发给接收端口以外的其他端口,ARP 请求会被转发到网络中的所有客户机上。为降低网络的带宽消耗,将广播流限制在固定区域内,可以采用的技术是( )