组织应依照已确定的访问控制策略限制对信息和（ ）功能的访问。对访问的限制 要基于各个业务应用要求，访问控制策略还要与组织访问策略一致。应建立安全登录规程控 制实现对系统和应用的访问。宜选择合适的身份验证技术以验证用户身份。在需要强认证和 () 时，宜使用加密、智能卡、令牌或生物手段等替代密码的身份验证方法。应建立交互式 的口令管理系统，并确保使用优质的口令。对于可能覆盖系统和应用的控制措施的实用工具 和程序的使用，应加以限制并（ ）。对程序源代码和相关事项（例如设计、说明书、验 证计划和确认计划）的访问宜严格控制，以防引入非授权功能、避免无意识的变更和维持有 价值的知识产权的（ ）。对于程序源代码的保存，可以通过这种代码的中央存储控制来 实现，更好的是放在( )中。

信息是流动的，在信息的流动过程中必须能够识别所有可能途径的（） 与（） ；面 对于信息本身，信息的敏感性的定义是对信息保护的（）和（） ，信息在不同的环境存储和 表现的形式也决定了（） 的效果，不同的截体下，可能体现出信息的（） 、临时性和信息的 交互场景，这使得风险管理变得复杂和不可预测。

某项目组进行风险评估时由于时间有限，决定采用基于知识的分析方法，使用基于 知识的分析方法进行风险评估，最重要的在于评估信息的采集，该项目组对信息源进行了讨 论， 以下说法中不可行的是 ()

小张在一不知名的网站上下载了鲁大师并进行了安装，电脑安全软件提示该软件有 恶意捆绑，小张惊出一身冷汗，因为他知道恶意代码终随之进入系统后会对他的系统信息安 全造成极大的威胁，那么恶意代码的软件部署常见的实现方式不包括 ()

恶意代码经过 20 多年的发展,破坏性、种类和感染性都得到增强。随着计算机的网 络化程度逐步提高,网络播的恶意代码对人们日常生活影响越来越大。小李发现在自己的电 脑查出病毒的过程中,防病毒软件通过对有毒件的检测,将软件行为与恶意代码行为模型进 行匹配,判断出该软件存在恶意代码,这种方式属于( )

管理层应该表现对 ( ),程序和控制措施的支持, 并以身作则。管理职责要确保雇 员和承包方人员都了( )角色和职责,并遵守相应的条款和条件。组织要建立信息安全意识计 划,并定期组织信息安全()。组织立正式的(),确保正确和公平的对待被怀疑安全违规的雇 员。纪律处理过程要规定(),考虑例如违规的性质、重要性及对于业务的影响等因素,以及相 关法律、业务合同和其他因素。

在一个网络中,当拥有的网络地址容量不够多,或普通终端计算机没有必要分配静 态 IP 地址时,可以采用通过在计算机连接到网络时,每次为其临时在 IP 地址池中选择一个 IP 地址并分配的方式为( )

信息安全风险管理是基于( )的信息安全管理,也就是,始终以( )为主线进行信息安 全的管理。应根据实际( )的不同来理解信息安全风险管理的侧重点,即( )选择的范围和对 象重点应有所不同。

数据链路层负责监督相邻网络节点的信息流动,用检错或纠错技术来确保正确的传 输,确保解决该层的流量控制问题。数据链路层的数据单元是( )

以下对于标准化特点的描述哪项是错误的?

以下哪个是国际信息安全标准化组织的简称?( )

某公司财务服务器受到攻击被攻击者删除了所有用户数据,包括系统日志,公司网 络管理员在了解情况后,给出了一些解决措施建议，作为信息安全主管，你必须指出不恰当 的操作并阻止此次操作 ()

在你对远端计算机进行 ping操作,不同操作系统回应的数据包中初始TTL 值是不同 的, TTL 是 IP 协议包中的一个值,它告诉网络,数据包在网络中的时间是否太长而应被丢弃。 (简而言之,你可以通过 TTL 值推算一下下列数据包已经通过了多少个路由器)根据回应的数 据包中的 TL 值,可以大致判断( )

( )攻击是建立在人性“弱点 ”利用基础上的攻击,大部分的社会工程学攻击都是 经过( )才能实施成功的。即使是最简单的“直接攻击 ”也需要进行 ( )。如果希望受害 者接受攻击者所( ),攻击者就必须具备这个身份需要的 ( )

内容安全是我国信息安全保障工作中的一个重要环节,互联网所带来的数字资源大 爆发是使得内容安全越 越受到重视,以下哪个描述不属于内容安全的范畴 ( )