18.信息系统安全保障评估概念和关系如图所示。信息系统安全保障评估，就是在信息系统所处的运行环境中对信息系统安全保障的具体工作和活动进行客观的评估。通过信息系统安全保障评估所搜集的()，向信息系统的所有相关方提供信息系统的()能够实现其安全保障策略，能够将其所面临的风险降低到其可接受的程度的主观信心。信息系统安全保障评估的评估对象是()，信息系统不仅包含了仅讨论技术的信息技术系统，还包括同信息系统所处的运行环境相关的人和管理等领域。信息系统安全保障是一个动态持续的过程，涉及信息系统整个()，因此信息系统安全保障的评估也应该提供一种()的信心。

A. 应基于法律法规和用户需求，进行需求分析和风险评估，从信息系统建设的开始就综合信息系统安全保障的考虑

B. 应充分调研信息安全技术发展情况和信息安全产品市场，选择最先进的安全解决方案和技术产品

C. 应在将信息安全作为实施和开发人员的一项重要工作内容，提出安全开发的规范并切实落实

D. 应详细规定系统验收测试中有关系统安全性测试的内容

A. 强制访问控制是指主体和客体都有一个固定的安全属性，系统用该安全属性来决定一个主体是否可以访问某个客体

B. 安全属性是强制性的规定，它由安全管理员或操作系统根据限定的规则确定，不能随意修改

C. 系统通过比较客体和主体的安全属性来决定主体是否可以访问客体

D. 它是一种对单个用户执行访问控制的过程控制措施

A. 最小特权原则，是让用户可以合法的存取或修改数据库的前提下，分配最小的特权，使得这些信息恰好能够完成用户的工作

B. 最大共享策略，在保证数据库的完整性、保密性和可用性的前提下，最大程度也共享数据库中的信息

C. 粒度最小策略，将数据库中的数据项进行划分，粒度越小，安全级别越高，在实际中需要选择最小粒度

D. 按内容存取控制策略，不同权限的用户访问数据库的不同部分

A. 减少威胁源，采用法律的手段制裁计算机的犯罪，发挥法律的威慑作用，从而有效遏制威胁源的动机

B. 签订外包服务合同，将有计算难点，存在实现风险的任务通过签订外部合同的方式交予第三方公司完成，通过合同责任条款来应对风险

C. 减低威胁能力，采取身份认证措施，从而抵制身份假冒这种威胁行为的能力

D. 减少脆弱性，及时给系统打补丁，关闭无用的网络服务端口，从而减少系统的脆弱性，降低被利用的可能性

A. 要与国际接轨，积极吸收国外先进经验并加强合作，遵循国际标准和通行做法，坚持管理与技术并重

B. 信息化发展和信息安全不是矛盾的关系，不能牺牲一方以保证另一方

C. 在信息安全保障建设的各项工作中，既要统筹规划，又要突出重点

D. 在国家信息安全保障工作中，要充分发挥国家、企业和个人的积极性，不能忽视任何一方的作用。

A. RTO可以为0，RPO也可以为0

B. RTO可以为0，RPO不可以为0

C. RTO不可以为0，但RPO可以为0

D. RTO不可以为0，RPO也不可以为0

A. 基于知识的分析方法

B. 基于模型的分析方法

C. 定量分析

D. 定性分析

A. 增量备份是备份从上次完全备份后更新的全部数据文件

B. 依据具备的灾难恢复资源程度的不同，灾难恢复能力分为7个等级

C. 数据备份按数据类型划分可以划分为系统数据备份和用户数据备份

D. 如果系统在一段时间内没有出现问题，就可以不用再进行容灾演练了

A. ACL是Bell-LaPadula模型的一种具体实现

B. ACL在删除用户时，去除该用户所有的访问权限比较方便

C. ACL对于统计某个主体能访问哪些客体比较方便

D. ACL在增加和修改哪些客体被主体访问比较方便

A. 将涉密计算机、涉密存储设备接入互联网及其他公共信息网络

B. 通过普通邮政等无保密及措施的渠道传递国家秘密载体

C. 在私人交往中涉及国家秘密

D. 以不正当手段获取商业秘密