信息安全管理體系ISMS是建立和維持信息安全管理體系的（），標(biāo)準(zhǔn)要求組織通過確定信息安全管理系統(tǒng)范圍、制定（）、明確定管理職責(zé)、以風(fēng)險評估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動建立信息安全管理體系；體系一旦建立組織應(yīng)按體系規(guī)定的要求進(jìn)行運作，保持體系運作的有效性；信息安全管理體系應(yīng)形成一定的（），即組織應(yīng)建立并保持一個文件化的信息安全（），其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織安全管理體系應(yīng)形成一定的（）。

終端訪問控制器訪問控制系統(tǒng)（TERMINAL Access Controller Access-Control System，TACACS），在認(rèn)證過程中，客戶機發(fā)送一個START包給服務(wù)器，包的內(nèi)容包括執(zhí)行的認(rèn)證類型、用戶名等信息。START包只在一個認(rèn)證會話開始時使用一個，序列號永遠(yuǎn)為（）。服務(wù)器收到START包以后，回送一個REPLY包，表示認(rèn)證繼續(xù)還是結(jié)束。

你是單位安全主管，由于微軟剛發(fā)布了數(shù)個系統(tǒng)漏洞補丁，安全運維人員給出了針對此漏洞修補的四個建議方案，請選擇其中一個最優(yōu)方案執(zhí)行（）。

某項目組進(jìn)行風(fēng)險評估時由于時間有限，決定采用基于知識的分析方法，使用基于知識的分析方法進(jìn)行風(fēng)險評估，最重要的在于評估信息的采集，該項目組對信息源進(jìn)行了討論，以下說法中不可行的是（）。

等級保護(hù)實施根據(jù)GB/T25058-2010《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實施指南》分為五大階段；（）、總體規(guī)劃、設(shè)計實施、（）和系統(tǒng)終止。但由于在開展等級保護(hù)試點工作時，大量信息系統(tǒng)已經(jīng)建設(shè)完成，因此根據(jù)實際情況逐步形成了（）、備案、差距分析（也叫差距測評）、建設(shè)整改、驗收測評、定期復(fù)查為流程的（）工作流程。和《等級保護(hù)實施指南》中規(guī)定的針對（）的五大階段略有差異。

在某信息系統(tǒng)采用的訪問控制策略中，如果可以選擇值得信任的人擔(dān)任各級領(lǐng)導(dǎo)對客體實施控制，且各級領(lǐng)導(dǎo)可以同時修改它的訪問控制表，那么該系統(tǒng)的訪問控制模型采用的自主訪問控制機制的訪問許可模式是（）。

信息時流動的，在信息的流動過程中必須能夠識別所有可能途徑的（）與（）；面對于信息本身，信息的敏感性的定義是對信息保護(hù)的（）和（），信息在不同的環(huán)境存儲和表現(xiàn)的形式也決定了（）的效果，不同的截體下，可能體現(xiàn)出信息的（）、臨時性和信息的交互場景，這使得風(fēng)險管理變得復(fù)雜和不可預(yù)測。

（）在實施攻擊之前，需要盡量收集偽裝身份（），這些信息是攻擊者偽裝成功的（）。例如攻擊者要偽裝成某個大型集團公司總部的（）。那么他需要了解這個大型集團公司所處行業(yè)的一些行規(guī)或者（）、公司規(guī)則制度、組織架構(gòu)等信息，甚至包括集團公司相關(guān)人員的綽號等等。

某單位在進(jìn)行內(nèi)部安全評估時，安全員小張使用了單位采購的漏洞掃描軟件進(jìn)行單位內(nèi)的信息系統(tǒng)漏洞掃描。漏洞掃描報告的結(jié)論為信息系統(tǒng)基本不存在明顯的安全漏洞，然而此報告在內(nèi)部審計時被質(zhì)疑，原因在于小張使用的漏洞掃描軟件采購于三年前，服務(wù)已經(jīng)過期，漏洞庫是半年前最后一次更新的。關(guān)于內(nèi)部審計人員對這份報告的說法正確的是（）。

分析針對Web的攻擊前，先要明白http協(xié)議本身是不存在安全性的問題的，就是說攻擊者不會把它當(dāng)作攻擊的對象。而是應(yīng)用了http協(xié)議的服務(wù)器或則客戶端、以及運行的服務(wù)器的wed應(yīng)用資源才是攻擊的目標(biāo)。針對Web應(yīng)用的攻擊，我們歸納出了12種，小陳列舉了其中的4種，在這四種當(dāng)中錯誤的是（）。