在某信息系统的设计中,用户登录过程是这样的 : (1)用户通过 HTTP 协议访问信息系统 ; (2)用户在登 录页面输入用户名和口令; (3)信息系统在服务器端检查用户名和密码的正确性, 如果正确,则鉴别完成。 可以看出,这个鉴别过程属于 ( )

A .单向鉴别 B .双向鉴别 C. 三向鉴别 D.第三方鉴别

小王在学习定量风险评估方法后,决定试着为单位机房计算火灾的风险大小。假设单位机房的总价值为 400万元人民币,暴露系数 (Expo sure Factor,EF)是25%,年度发生率 (Annua l ized Rate of Occurrence, ARO)

是0.2,那么小王计算的年度预期损失（Annua l ized Lo s s Expectancy, ALE) 应该是 ( )。 A.100万元人民币 B.400万元人民币 C.20万元人民币 D.180万元人民币

小李在检查公司对外服务网站的源代码时,发现程序在发生诸如没有找到资源、数据库连接错误、写临 时文件错误等问题时,会将详细的错误原因在结果页面上显示出来。从安全角度考虑,小李决定修改代码。 将详细的错误原因都隐藏起来,在页面上仅仅告知用户“抱歉。发生内部错误! ”.请问,这种处理方法的主 要 目的是 ( )。

A 避免缓冲区溢出 B.安全处理系统异常

C 安全使用临时文件 D.最小化反馈信息

风险评估文档是指在整个风险评估过程中产生的评估过程文档和评估结果文档,其中,明确评估的目的、 职责、过程、相关的文档要求,以及实施本次评估所需要的各种资产、威胁、脆弱性识别和判断依据的文档

是 ( )

A 《风险评估方案》 B. 《风险评估程序》

C 《资产识别清单》 D. 《风险评估报告》

CC 标准是 目前系统安全认证方面最权威的标准,以下哪一项没有体现 CC 标准的先进性: