38.关于软件安全开发生命周期【SDL】，下面说法错误的是:

A. 所谓静态口令方案，是指用户登录验证身份的过程中，每次输入的口令都是固定、静止不变的

B. 使用静态口令方案时，即使对口令进行简单加密或哈希后进行传输，攻击者依然可能通过重放攻击来欺骗信息系统的身份认证模块

C. 动态口令方案中通常需要使用密码算法产生较长的口令序列，攻击者如果连续地收集到足够多的历史口令，则有可能预测出下次要使用的口令

D. 通常，动态口令实现方式分为口令序列、时间同步以及挑战/应答等几种类型

A. 主机A和安全网关1;

B. 主机B和安全网关2;

C. 主机A和主机B中;

D. 安全网关1和安全网关2中;

A. 中国

B. 俄罗斯

C. 美国

D. 英国

A. 确定重要资产和风险，实施针对风险的防护措施

B. 编制和管理应急响应计划

C. 建立和训练应急响应组织和准备相关的资源

D. 评估事件的影响范围，增强审计功能、备份完整系统

A. 将机房单独设置防火区，选址时远离易燃易爆物品存放区域，机房外墙使用非燃烧材料，进出机房区域的门采用防火门或防火卷帘，机房通风管设防火栓

B. 火灾探测器的具体实现方式包括;烟雾检测、温度检测、火焰检测、可燃气体检测及多种检测复合等

C. 自动响应的火灾抑制系统应考虑同时设立两组独立的火灾探测器，只要有一个探测器报警，就立即启动灭火工作

D. 目前在机房中使用较多的气体灭火剂有二氧化碳、七氟丙烷、三氟甲烷等

A. 在传送模式中，保护的是IP负载。

B. 验证头协议(AuthenticationHeader，AH)和IP封装安全载荷协议(EncapsulatingSecurityPayload，ESP)都能以传输模式和隧道模式工作。

C. 在隧道模式中，保护的是整个互联网协议IP包，包括IP头。

D. IPSec仅能保证传输数据的可认证性和保密性。

A. 安全资产价值大小等级

B. 脆弱性严重程度等级

C. 安全风险隐患严重等级

D. 安全事件造成损失大小

A. 可信的主要目的是要建立起主动防御的信息安全保障体系

B. 可信计算机安全评价标准(TCSEC)中第一次提出了可信计算机和可信计算基的概念

C. 可信的整体框架包含终端可信、终端应用可信、操作系统可信、网络互联可信、互联网交易等应用系统可信

D. 可信计算平台出现后会取代传统的安全防护体系和方法

A. ACL是Bell-LaPadula模型的一种具体实现

B. ACL在删除用户时，去除该用户所有的访问权限比较方便

C. ACL对于统计某个主体能访问哪些客体比较方便

D. ACL在增加客体时，增加相关的访问控制权限较为简单

A. 模糊测试本质上属于黑盒测试

B. 模糊测试本质上属于白盒测试

C. 模糊测试有时属于黑盒测试，有时属于白盒测试，取决于其使用的测试方法

D. 模糊测试既不属于黑盒测试，也不属于白盒测试