A.一个信息系统的安全保障体系应当以人为核心、防护、检测和恢复组成一个完整的、动态的循环
B.判断一个系统的安全保障能力，主要是安全策略的科学性与合理性，以及安全策略的落实情况
C.如果安全防护时间小于检测时间加响应时间，则该系统一定是不安全的
D.如果一个系统的安全防护时间为0，则系统的安全性取决于暴露时间

A.自主访问控制
B.强制访问控制
C.基于规则的访问控制
D.基于身份的访问控制

A.它将若干特定的用户集合与权限联系在一起
B.角色一般可以按照部门、岗位、工程等与实际业务紧密相关的类别来划分
C.因为角色的变动往往低于个体的变动，所以基于角色的访问控制维护起来比较便利
D.对于数据库系统的适应性不强，是其在实际使用中的主要弱点

A.强调对信息保密性的保护，受到对信息保密要求较高的军政机关和企业的喜爱
B.既定义了主体对客体的访问，也说明了主体对主体的访问。因此。它适用于网络系统
C.它是一种强制访问控制模型，与自主访问控制模型相比具有强耦合，集中式授权的特点
D.比起那些较新的模型而言，Bell-Lapadula定义的公理很简单，更易于理解，与所使用的实际系统具有直观的联系

A.Bell-Lapadula模型
B.Biba模型
C.信息流模型
D.Clark-Wilson模型

A.代表着不同的访问控制强度
B.描述了对抗安全威胁的能力级别
C.是信息技术产品或信息技术系统对安全行为和安全功能的不同要求
D.由一系列保证组件构成的包，可以代表预先定义的保证尺度

A.访问控制模型主要有3种：自主访问控制、强制访问控制和基于角色的访问控制
B.自主访问控制模型允许主体显示地制定其他主体对该主体所拥有的信息资源是否可以访问
C.基于角色的访问控制RBAC中，“角色”通常是根据行政级别来定义的
D.强制访问控制MAC是“强加”给访问主体的，即系统强制主体服从访问控制政策

A.Biba模型中的不允许向上写
B.Biba模型中的不允许向下读
C.Bell-Lapadula模型中的不允许向下写
D.Bell-Lapadula模型中的不允许向上读

A.DAC模型中主体对它所属的对象和运行的程序有全部的控制权
B.DAC实现提供了一个基于“need-to-know”的访问授权的方法，默认拒绝任何人的访问。访问许可必须被显示地赋予访问者
C.在MAC这种模型里，管理员管理访问控制。管理员制定策略，策略定义了哪个主体能访问哪个对象。但用户可以改变它
D.RBAC模型中管理员定义一系列角色（roles）并把它们赋予主体。系统进程和普通用户可能有不同的角色。设置对象为某个类型，主体具有相应的角色就可以访问它

A.TCB只作用于固件（Firmware）
B.TCB描述了一个系统提供的安全级别
C.TCB描述了一个系统内部的保护机制
D.TCB通过安全标签来表示数据的敏感性