25、下列哪⼀个说法是正确的？（C）

A、风险越⼤，越不需要保护

B、风险越⼩，越需要保护

C、风险越⼤，越需要保护

D、越是中等风险，越需要保护

26、下⾯哪类访问控制模型是基于安全标签实现的？（B）

A、⾃主访问控制

B、强制访问控制

C、基于规则的访问控制

D、基于⾝份的访问控制

27、下⾯哪项能够提供最佳安全认证功能？（B）

A、这个⼈拥有什么

B、这个⼈是什么并且知道什么

C、这个⼈是什么

D、这个⼈知道什么

28、下⾯哪⼀个是国家推荐性标准？（A）

A、GB/T 18020-1999应⽤级防⽕墙安全技术要求

B、SJ/T 30003-93电⼦计算机机房施⼯及验收规范

C、GA243-2000计算机病毒防治产品评级准则

D、ISO/IEC 15408-1999信息技术安全性评估准则

29、下⾯哪⼀项关于对违反安全规定的员⼯进⾏惩戒的说法是错误的？（C）

A、对安全违规的发现和验证是进⾏惩戒的重要前提

B、惩戒措施的⼀个重要意义在于它的威慑性

C、处于公平，进⾏惩戒时不应考虑员⼯是否是初犯，是否接受过培训

D、尽管法律诉讼是⼀种严厉有效的惩戒⼿段，但使⽤它时⼀定要⼗分慎重

30、下⾯哪⼀项最好地描述了风险分析的⽬的？（C）

A、识别⽤于保护资产的责任义务和规章制度

B、识别资产以及保护资产所使⽤的技术控制措施

C、识别资产、脆落性并计算潜在的风险

D、识别同责任义务有直接关系的威胁

31、下⾯哪⼀项最好地描述了组织机构的安全策略？（A）

A、定义了访问控制需求的总体指导⽅针

B、建议了如何符合标准

C、表明管理意图的⾼层陈述

D、表明所使⽤的技术控制措施的⾼层陈述

32、下⾯哪⼀种风险对电⼦商务系统来说是特殊的？（D）

A、服务中断

B、应⽤程序系统欺骗

C、未授权的信息泄露

D、确认信息发送错误