385.访问控制的实施一般包括两个步骤,首先要鉴别主体的合法身份,接着根据当前系统的访问控制规则授予相应用户的访问权限。在此过程中,涉及主体、客体、访问控制实施部件和访问控制决策部件之间的交互。下图所示的访问控制实施步骤中,你认为那个是正确的:()

135.关于Wi-Fi 联盟提出的安全协议WPA和WPA2的区别,下面描述正确的是()。

134.某集团公司信息安全管理员根据领导安排制定了下一年度的培训工作计划,提出了四大培训任务和目标,关于这四个培训任务和目标,作为主管领导,以下选项中不合理的是()

133.某电子商务网站在开发设计时,使用了威胁建模方法来分析电子商务网站所面临的威胁。STRIDE是微软 SDL 中提出的威胁建模方法,将威胁分为六类,为每一类威胁提供了标准的消减措施,Spoofing是 STRIDE中欺骗类的威胁,以下威胁中哪个可以归入此类威胁()

132.小华在某电子商务公司工作,某天他在查看信息系统设计文档时,发现其中标注该信息系统的 RPO(恢复点目标)指标为 3小时。请问这意味着( )。

131.国家科学技术秘密的密级分为绝密级、机密级、秘密级,以下哪项属于绝密级的描述()

130.某单位在一次信息安全风险管理活动中,风险评估报告提出服务器 A的 FTP服务存在高风险漏洞。随后该单位在风险处理时选择了安装 FTP服务漏洞补丁程序并加固 FTP服务安全措施,请问该措施属于哪种风险处理方式( )

129.某单位根据业务需要准备立项开发一个业务软件,对于软件开发安全投入经费研讨时开发部门和信息中心就发生了分歧,开发部门认为开发阶段无需投入,软件开发完成后发现问题后再针对性的解决,比前期安全投入要成本更低;信息中心则认为应在软件安全开发阶段投入,后期解决代价太大,双方争执不下,作为信息安全专家,请选择对软件开发安全投入的准确说法()

128.CC标准是目前系统安全认证方面最权威的标准,以下哪一项没有体现 CC标准的先进性()

127.关于 ARP欺骗原理和防范措施,下面理解错误的是()。

126.对信息安全事件的分级参考下列三个要素:信息系统的重要程度、系统损失和社会影响。依据信息系统的重要程度对信息系统进行划分,不属于正确划分级别的是()。