A、访问能力表表示每个客体可以被访问的主体及其权限
B、访问控制表说明了每个主体可以访问的客对于非集中访问控制中“域”说法正确的体现
C、访问控制表一般随主体一起保存
D、访问能力表更容易实现访问权相的传递，单回收访问权限较困难

A、该模型提出安全策略为核心，防护、检测和恢复组成一个完整的、动态的循环
B、该模型的一个重要贡献是加速了时间因素，而且对如何实现系统安全和评价安全状态给出了可操作的描述
C、该模型提出的公式1：Pt>Dt+rt，代表防护时间大于检测时间加响应时间
D、该模型提出的公式2：Et=Dt+rt，代表当防护时间为0时，系统的暴露时间等于检测时间加响应时间

A、商用密码技术属于国家机密
B、商用密码可以对涉及国家秘密内容的信息进行加密保护
C、国家对商用密码产品的科研、生产、销售和使用实行认证管理
D、国内用户可以使用自行研制的或者境外生产的密码产品

A、它是基于一类TOE的应用环境规定的一组安全要求，并提出相应级别的保证要求
B、它是基于一个或多个PP选择性的提出的一组安全要求
C、它会包含PP要求或非PP要求的内容，形成一组要求
D、它提出了安全要求实现的功能和质量两个层面

A、明确检查方式“以自查为主，抽查为辅”、按需求进行技术检测
B、明确对信息安全工作“谁主管谁负责、谁运行谁负责、谁使用谁负责”
C、明确安全管理措施和手段必须坚持管理制度和技术手段
D、明确工信部具体负责组织检查

A、非涉密计算机信息系统实行等级保护，涉密计算机信息系统实行分级保护
B、信息安全等级保护实行“自主定级，自主保护”的原则
C、信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督
D、对三级以上信息系统实行备案要求，由公安机关颁发本案证明

A、信息安全管理体系的建立需要确定信息安全需求，而信息安全需求获取的主要手段就是信息安全风险评估
B、风险评估可以对信息资产进行鉴定和评估，然后对信息资产面对的各种威胁和脆弱性进行评估
C、风险评估可以确定需要实施的具体安全控制措施
D、风险评估的结果应进行相应的风险处置，本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合

A、设计方技术能力不够
B、没有参照国家相关要求建立规划设计
C、没有和用户共同确立安全需求
D、没有成熟实施团队和实施计划

A、采购组织
B、开发组织
C、集成组织
D、认证组织

A、不影响现有网络和数据源
B、与操作系统无关
C、实时监视和检测网络攻击或者滥用
D、可以分析加密数据