CISP最新参考资料

中国信息安全测评中心对CISP注册信息安全专业人员有保持认证要求，在证书有效期内，应完成至少6次完整的信息安全服务经历，以下哪项不是信息安全服务：BA、为政府单位信息系统进行安全 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 B、在信息安全公司从事保安工作C、在公开场合宣讲安全知识D、在学校讲解信息安全课程确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程,不为其所用，是指():CA、完整性B、可用性C、保密性D、抗抵赖性下列信息系统安全说法正确的是：DA、加固所有的服务器和网络设备就可以保证网络的安全B、只要资金允许就可以实现绝对的安全C、断开所有的服务可以保证信息系统的安全D、信息系统安全状态会随着业务的变化而变化，因此网络安全状态需要根据不同的业务而调整相应的网络安全策略4.OSI开放系统互联安全体系构架中的安全服务分为鉴别服务、访问控制、机密性服务、完整服务、抗抵赖服务，其中机密性服务描述正确的是：BA、包括原发方抗抵赖和接受方抗抵赖B、包括连接机密性、无连接机密性、选择字段机密性和业务流保密C、包括对等实体鉴别和数据源鉴别D、包括具有恢复功能的连接完整性、没有恢复功能的连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性电子商务交易必须具备抗抵赖性，目的在于防止。BA、一个实体假装另一个实体B、参与此交易的一方否认曾经发生过此次交易C、他人对数据进行非授权的修改、破坏D、信息从被监视的通信过程中泄露出去下列哪一项准确地描述了可信计算基(TCB)?CA、TCB只作用于固件(Firmware)B、TCB描述了一个系统提供的安全级别C、TCB描述了一个系统内部的保护机制D、TCB通过安全标签来表示数据的敏感性下面关于访问控制模型的说法不正确的是：CA、DAC模型中主体对它所属的对象和运行的程序有全部的控制权B、DAC实现提供了一个基于"need-to-know”的访问授权的方法，默认拒绝任何人的访问。访问许可必须被显示地赋予访问者C、在MAC这种模型里，管理员管理访问控制。管理员制定策略，策略定义了哪个主体能访问哪个对象。但用户可以改变它。D、RBAC模型中管理员定义一系列角色(roles)并把它们赋予主体。系统进程和普通用户可能有不同的角色。设置对象为某个类型，主体具有相应的角色就可以访问它。安全模型明确了安全策略所需的数据结构和技术，下列哪项最好描述了安全模型中的“简单安全规则”？DA、Biba模型中的不允许向上写B、Biba模型中的不允许向下读C、Bell-Lapadula模型中的不允许向下写D、Bell-Lapadula模型中的不允许向上读以下关于访问控制模型错误的是？CA、访问控制模型主要有3种：自主访问控制、强制访问控制和基于角色的访问控制。B、自主访问控制模型允许主体显示地制定其他主体对该主体所拥有的信息资源是否可以访问。C、基于角色的访问控制RBAC中，“角色”通常是根据行政级别来定义的。D、强制访问控制MAC是“强加”给访问主体的，即系统强制主体服从访问控制政策下面对于CC的“评估保证级”(EAL)的说法最准确的是：DA、代表着不同的访问控制强度B、描述了对抗安全威胁的能力级别C、是信息技术产品或信息技术系统对安全行为和安全功能的不同要求D、由一系列保证组件构成的包，可以代表预先定义的保证尺度某公司的业务部门用户需要访问业务数据，这些用户不能直接访问业务数据，而只能通过外部程序来操作业务数据，这种情况属于下列哪种安全模型的一部分？DA、Bell-Lapadula模型B、Biba模型C、信息流模型D、Clark-Wilson模型以下哪一项关于Bell-Lapadula模型特点的描述是错误的？BA、强调对信息保密性的保护，受到对信息保密要求较高的军政机关和企业的B、既定义了主体对客体的访问，也说明了主体对主体的访问。因此。它适用于网络系统C、它是一种强制访问控制模型，与自主访问控制模型相比具有强耦合，集中式授权的特点D、比起那些较新的模型而言，Bell-Lapadula定义的公理很简单，更易于理解，与所使用的实际系统具有直观的联系下面对于基于角色的访问控制的说法错误的是？DA、它将若干特定的用户集合与权限联系在一起B、角色一般可以按照部门、岗位、工程等与实际业务紧密相关的类别来划分C、因为角色的变动往往低于个体的变动，所以基于角色的访问控制维护起来比较便利D、对于数据库系统的适应性不强，是其在实际使用中的主要弱点下面哪类访问控制模型是基于安全标签实现的？BA、自主访问控制B、强制访问控制C、基于规则的访问控制D、基于身份的访问控制根据PPDR模型：DA、一个信息系统的安全保障体系应当以人为核心、防护、 检测 工程第三方检测合同工程防雷检测合同植筋拉拔检测方案传感器技术课后答案检测机构通用要求培训 和恢复组成一个完整的、动态的循环B、判断一个系统的安全保障能力，主要是安全策略的科学性与合理性，以及安全策略的落实情况C、如果安全防护时间小于检测时间加响应时间，则该系统一定是不安全的D、如果一个系统的安全防护时间为0,则系统的安全性取决于暴露时间有关密码学分支的定义，下列说法中错误的是：BA、密码学是研究信息系统安全保密的科学，由两个相互对立、相互斗争、而且又相辅相成、相互渗透的分支科学所组成的、分别称为密码编码学和密码分析学B、密码编码学是对密码体制、密码体制的输入输出关系进行分析、以便推出机密变量、包括明文在内的敏感数据C、密码分析学主要研究加密信息的破译或信息的伪造D、密码编码学主要研究对信息进行编码，实现信息的隐藏非对称密钥的密码技术具有很多优点，其中不包括：BA、可提供数字签名、零知识证明等额外服务B、加密/解密速度快，不需占用较多资源C、通信双方事先不需要通过保密信道交换密钥D、密钥持有量大大减少18、下列哪一项最好地描述了哈希算法、数字签名和对称密钥算法分别提供的功能？CA、身份鉴别和完整性，完整性，机密性和完整性B、完整性，身份鉴别和完整性，机密性和可用性C、完整性，身份鉴别和完整性，机密性D、完整性和机密性，完整性，机密性TOC\o"1-5"\h\z19、以下哪一项是基于一个大的整数很难分解成两个素数因数？BA、ECCB、RSAC、DESD、D-H20、电子邮件的机密性与真实性是通过下列哪一项实现的?AA、用发送者的私钥对消息进行签名，用接收者的公钥对消息进行加密B、用发送者的公钥对消息进行签名，用接收者的私钥对消息进行加密C、用接受者的私钥对消息进行签名，用发送者的公钥对消息进行加密D、用接受者的公钥对消息进行签名，用发送者的私钥对消息进行加密21、一名攻击者试图通过暴力攻击来获取？AA、加密密钥B、加密算法C、公钥D、密文22、在标准GBXXXX-XX中对机房安全等级划分正确的是？BA、划分为A、B两级B、划分为A、B、C三级C、划分为A、B、C、D四级D、划分为A、B、C、D、E五级23、指纹、虹膜、语音识别技术是以下哪一种鉴别方式的实例：AA、你是什么B、你有什么C、你知道什么D、你做了什么25、在OSI模型中，主要针对远程终端访问，任务包括会话管理、传输同步以及活动管理等以下是哪一层？CA、应用层B、物理层C、会话层D、网络层27、下列哪个协议可以防止局域网的数据链路层的桥接环路BA、HSRPB、STPC、VRRPD、OSPF28、以下哪个不是应用层防火墙的特点CA、更有效地阻止应用层攻击B、工作在OSI模型的第七层C、速度快且对用户透明D、比较容易进行审计30、以下哪项不是IDS可以解决的问题：AA、弥补网络协议的弱点B、识别和报告对数据文件的改动C、统计分析系统中异常活动模式D、提升系统监控能力31、私网地址用于配置本地网络、下列地址中属私网地址的是？CA、100.0.0.0B、172.15.0.0C、192.168.0.0D、244.0.0.0TOC\o"1-5"\h\z32、下面哪类设备常用于风险分析过程中，识别系统中存在的脆弱性？CA、防火墙B、IDSC、漏洞扫描器D、UTM33、当一个应用系统被攻击并受到了破坏后，系统管理员从新安装和配置了此应用系统，在该系统重新上线前管理员不需查看：CA、访问控制列表B、系统服务配置情况C、审计记录D、用户帐户和权限的设置34、网络隔离技术的目标是确保把有害的攻击隔离，在保证可信网络内部信息不外泄的前提下，完成网络间数据的安全交换，下列隔离技术中，安全性最好的是？AA、多重安全网关B、防火墙C、VLAN隔离D、物理隔离35、在windowsXP中用事件查看器查看日志文件，可看到的日志包括？BA、用户访问日志、安全性日志、系统日志和IE日志B、应用程序日志、安全性日志、系统日志和IE日志C、网络攻击日志、安全性日志、记账日志和IE日志D、网络链接日志、安全性日志、服务日志和IE日志36、windows操作系统的注册表运行命令是BA、regswr32B、regeditC、regedit.mscD、regedit.mmc37、以下windows服务的说法错误的是（C）A、为了提升系统的安全性管理员应尽量关闭不需要的服务B、可以作为独立的进程运行或以DLL的形式依附在Svchost.exeC、windows服务只有在用户成功登陆系统后才能运行D、windows服务通常是以管理员的身份运行的TOC\o"1-5"\h\z38、Linux系统格式化分区用哪个命令：AA、fdiskB、mvC、mountD、df39、下面一行是某个UNIX文件的详情，关于该文件权限的描述不正确的是（B）A、这是一个目录，名称是“file”B、文件属性是groupC、“其他人”对该文件具有读、写、执行权限D、user的成员对此文件没有写权限40、LINUX系统的/etc目录从功能上看相当于windows的哪个目录BA、programfilesB、windowsC、systemvolumeinformationD、TEMP41、如果想用windows的网上邻居方式和linux系统进行文件共享，那么在linux系统中要开启哪个服务：CA、DHCPB、NFSC、SAMBAD、SSH42、数据库管理员在检查数据库时发现数据库的性能不理想，他准备通过对部分数据表实施去除 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 性(denormanization)操作来提高数据库性能，这样做将增加下列哪项风险？DA、访问的不一致B、死锁C、对数据的非授权访问D、数据完整性的损害43、下面关于IIS报错信息含义的描述正确的是？BA、401-找不到文件B、403-禁止访问C、404-权限问题D、500-系统错误44、宏病毒是一种专门感染微软office格式文件的病毒，下列(A)文件不可能感染该病毒。A、*.exeTOC\o"1-5"\h\zB、*.docC、*.xlsD、*.ppt45、以下对于蠕虫病毒的描述错误的是：CA、蠕虫的传播无需用户操作B、蠕虫会消耗内存或网络带宽，导致DOSC、蠕虫的传播需要通过“宿主”程序或文件D、蠕虫程序一般由“传播模块”、“隐藏模块”、“目的功能模块”构成46、为了防止电子邮件中的恶意代码，应该由■方式阅读电子邮件AA、纯文本B、网页C、程序D、会话47、以下哪一项不是流氓软件的特征？DA、通常通过诱骗或和其他软件捆绑在用户不知情的情况下安装B、通常添加驱动保护使用户难以卸载C、通常会启动无用的程序浪费计算机的资源D、通常会显示下流的言论48、在典型的web应用站点的层次结构中，“中间件”是在哪里运行的?A、浏览器客户端B、web服务器C、应用服务器D、数据库服务器49、为了应对日益严重的垃圾邮件问题，人们设计和应用了各种垃圾邮件过滤机制，以下哪一项是耗费计算资源最多的一种垃圾邮件过滤机制？DA、SMTP身份认证B、逆向名字解析C、黑名单过滤D、内容过滤50、无论是哪一种web服务器，都会受到HTTP协议本身安全问题的困扰,这样的信息系统安全漏洞属于：AA、设计型漏洞B、开发型漏洞C、运行型漏洞D、以上都不是51、基于攻击方式可以将黑客攻击分为主动攻击和被动攻击，以下哪一项不属于主动攻击？CA、中断B、篡改C、侦听D、伪造52、关于黑客注入攻击说法错误的是：CA、它的主要原因是程序对用户的输入缺乏过滤B、一般情况下防火墙对它无法防范C、对它进行防范时要关注操作系统的版本和安全补丁D、注入成功后可以获取部分权限54、下面对于Rootkit技术的解释不准确的是：BA、Rootkit是攻击者用来隐藏自己和保留对系统的访问权限的一组工具B、Rootkit是一种危害大、传播范围广的蠕虫C、Rootkit和系统底层技术结合十分紧密D、Rootkit的工作机制是定位和修改系统的特定数据改变系统的正常操作流程55、以下对跨站脚本攻击（XS0的解释最准确的一项是：DA、引诱用户点击虚假网络链接的一种攻击方法B、构造精妙的关系数据库的结构化查询语言对数据库进行非法的访问C、一种很强大的木马攻击手段D、将恶意代码嵌入到用户浏览的WEB网页中，从而达到恶意的目的TOC\o"1-5"\h\z56、以下哪一项是常见WEB站点脆弱性扫描工具：AA、AppScanB、NmapC、SnifferD、LC57、下面哪一项是黑客用来实施DDOS攻击的工具：DA、LC5B、RootkitC、IceswordD、Trinoo58、对于信息系统访问控制说法错误的是？BA、应该根据业务需求和安全要求置顶清晰地访问控制策略，并根据需要进行评审和改进B、网络访问控制是访问控制的重中之重，网络访问控制做好了操作系统和应用层次的访问控制问题就可以得到解决C、做好访问控制工作不仅要对用户的访问活动进行严格管理，还要明确用户在访问控制中的有关责任D、移动计算和远程工作技术在广泛应用给访问控制带来了新的问题，因此在访问控制工作中要重点考虑对移动计算设备和远程工作用户的控制措施59、下面哪一项最好地描述了组织机构的安全策略？cA、定义了访问控制需求的总体指导方针B、建议了如何符合标准C、表明管理者意图的高层陈述D、表明所使用的技术控制措施的高层陈述60、资产管理是信息安全管理的重要内容，而清楚的识别信息系统相关的财产，并编制资产清单是资产管理的重要步骤。下面关于资产清单的说法错误的是：BA、资产清单的编制是风险管理的一个重要的先决条件B、信息安全管理中所涉及的信息资产，即业务数据、 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 协议、培训材料等C、在制定资产清单的时候应根据资产的重要性、业务价值和安全分类，确定与资产重要性相对应的保护级别D、资产清单中应当包括将资产从灾难中恢复而需要的信息，如资产类型、格式、位置、备份信息、许可信息等61、为什么一个公司内部的风险评估团队应该由来自不同部门的人员组成？CA、确保风险评估过程是公平的B、因为风险正是由于这些来自不同部门的人员所引起的，因此他们应该承担风险评估的职责C、因为不同部门的人员对本部门所面临的风险最清楚，由此进行的风险评估也最接近于实际情况D、风险评估团队不应该由来自不同部门的人员组成，而应该由一个来自公司外部的小型团队组成62、信息分类是信息安全管理工作的重要环节，下面那一项不是对信息进行分类时需要重点考虑的？CA、信息的价值B、信息的时效性C、信息的存储方式D、法律法规的规定63、下面哪一项关于对违反安全规定的员工进行惩戒的说法是错误的？CA、对安全违规的发现和验证是进行惩戒的重要前提B、惩戒措施的一个重要意义在于它的威慑性C、出于公平，进行惩戒时不应考虑员工是否是初犯，是否接受过培训D、尽管法律诉讼是一种严厉有效的惩戒手段，但使用它时一定要十分慎重64、风险分析的目标是达到：AA、风险影响和保护性措施之间的价值平衡B、风险影响和保护性措施之间的操作平衡C、风险影响和保护性措施之间的技术平衡D、风险影响和保护性措施之间的逻辑平衡65、以下对“信息安全风险”的描述正确的是AA、是来自外部的威胁利用了系统自身存在脆弱性作用于资产形成风险B、是系统自身存在的威胁利用了来自外部的脆弱性作用于资产形成风险C、是来自外部的威胁利用了系统自身存在的脆弱性作用于网络形成风险D、是系统自身存在的威胁利用了来自外部的脆弱性作用于网络形成风险66、在ISO27001-2005中，制定风险处置计划应该在PDCA的哪个阶段进行？AA、PlanB、DoC、CheckD、Act67、在冗余磁盘陈列中，以下不具有容错技术的是一一AA、RAID0B、RAID1C、RAID3D、RAID568、为了达到组织灾难恢复的要求，备份时间间隔不能超过；CA、服务水平目标（SLO）B、恢复时间目标（RTO）C、恢复点目标（RPO）D、停用的最大可接受程度（MAO）69、以下对信息安全应急响应说法错误的是？DA、明确处理安全事件的工作职责和工作流程是应急响应工作中非常重要的B、仅仅处理好紧急事件不是应急工作的的全部，通过信息安全事件进行总结和学习是很重要C、对安全事件的报告和对安全弱点的报告都是信息安全事件管理的重要内容D、作为一个单位的信息安全主管，在安全事件中主要任务完全是执法机构的事71、目前数据大集中是我国重要的大型分布式信息系统建设和发展的趋势，数据大集中就是将数据集中存储和管理，为业务信息系统的运行搭建了统一的数据平台，对这种做法的认识正确的是？D数据库系统庞大会提高管理成本数据库系统庞大会降低管理效率C.数据的集中会降低风险的可控性D.数据的集中会造成风险的集中72、对程序源代码进行访问控制管理时，以下那种做法是错误的？C若有可能，在实际生产系统中不保留源程序库。对源程序库的访问进行严格的审计技术支持人员应可以不受限制的访问源程序D.对源程序库的拷贝应受到严格的控制规程的制约73、以下对系统日志信息的操作中哪项是最不应当发生的？AA、对日志内容进行编辑B、只抽取部分条目进行保存和查看C、用新的日志覆盖旧的日志D、使用专用工具对日志进行分析74、以下哪一项是对信息系统经常不能满足用户需求的最好解释：CA、没有适当的质量管理工具B、经常变化的用户需求C、用户参与需求挖掘不够D、项目管理能力不强75、许多安全管理工作在信息系统生存周期中的运行维护阶段发生。以下哪一种行为通常是不是在这一阶段中发生的？CA、进行系统备份B、管理加密密钥C、认可安全控制措施D、升级安全软件76、在信息安全管理工作中“符合性”的含义不包括哪一项？CA、对法律法规的符合B、对安全策略和标准的符合C、对用户预期服务效果的符合D、通过审计措施来验证符合情况77、下面哪一项最准确的阐述了安全监测措施和安全审计措施之间的区别？CA、审计措施不能自动执行，而检测措施可以自动执行B、监视措施不能自动执行，而审计措施可以自动执行C、审计措施是一次性地或周期性地进行，而监测措施是实时地进行D、监测措施一次性地或周期性地进行，而审计措施是实时地进行78、口令是验证用户身份的最常用手段，以下哪一种口令的潜在风险影响范围最大？DA、长期没有修改的口令B、过短的口令C、两个人公用的口令D、设备供应商提供的默认口令79、系统工程是信息安全工程的基础学科，钱学森说：“系统工程时组织管理系统规划，研究、制造、实验，科学的管理方法，使一种对所有系统都具有普遍意义的科学方法，以下哪项对系统工程的理解是正确的AA、系统工程是一种方法论B、系统工程是一种技术实现C、系统工程是一种基本理论D、系统工程不以人参与系统为研究对象80、项目管理是信息安全工程的基本理论，以下哪项对项目管理的理解是正确的：AA、项目管理的基本要素是质量，进度和成本B、项目管理的基本要素是范围，人力和沟通C、项目管理是从项目的执行开始到项目结束的全过程进行计划、组织D、项目管理是项目的管理者，在有限的资源约束下，运用系统的观点，方法和理论。对项目涉及的技术工作进行有效地管理81、在信息系统的设计阶段必须做以下工作除了：CA、决定使用哪些安全控制措施B、对设计方案的安全性进行评估C、开发信息系统的运行维护手册D、开发测试、验收和认可方案82、进行信息安全管理体系的建设是一个涉及企业文化，信息系统特点，法律法规等多方面因素的负杂过程，人们在这样的过程中总结了许多经验，下面哪一项是最不值得赞同的？dA、成功的信息安全管理体系建设必须得到组织的高级管理的直接支持B、制定的信息安全管理措施应当与组织的文化环境相匹配C、应该对ISO27002等国际标注批判地参考，不能完全照搬D、借助有经验的大型国际咨询公司，往往可以提高管理体系的执行效83、信息系统安全保障工程是一门跨学科的工程管理过程，他是基于对信息系统安全保障需求的发掘和对的理解，以经济，科学的方法来设计、开发、和建设信息系统，以便他能满足用户安全保障需求的科学和艺术。AA、安全风险B、安全保障C、安全技术D、安全管理84、关于SSE-CMM的描述错误的是：DA、1993年4月美国国家安全局资助，有安全工业界，英国国防部办公室和加拿大通信安全机构共同组成SSE-CMM项目组。B、SSE-CMM的能力级别分为6个级别。C、SSE-CMM讲安全工程过程划分为三类：风险、工程和保证。D、SSE的最高能力级别是量化控制85、下面对SSE-CMM说法错误的是？DA、它通过域维和能力维共同形成对安全工程能力的评价B、域维定义了工程能力的所有实施活动C、能力维定义了工程能力的判断标注D、“公共特征”是域维中对获得过程区目标的必要步骤的定义86在SSE-CMM中对工程过程能力的评价分为三个层次，由宏观到微观依次是AA能力级别-公共特征（CF）-通用实践（GP）B能力级别-通用实践-（GP）-公共特征（CF）C通用实践-（GP）-能力级别-公共特征（CF）D公共特征（CF）-能力级别-通用实践-（GP）、87、如果可以在组织范围定义文档化的标准过程，在所有的项目规划、执行和跟踪已定义的过程，并且可以很好地协调项目活动和组织活动，则组织的安全能力成熟度可以达到？BA、规划跟踪定义B、充分定义级C、量化控制级D、持续改进级88、“配置管理”是系统工程的重要概念，他在软件工程和信息安全工程中得到广泛应用下面对“配置管理”解释最准确的是？BA、配置管理的本质是变更流程管理B、配置管理是一个对系统（包括软件、硬件、文档、测试设备、开发维护设备）所有变化进行控制的过程C、配置管理是对信息系统的技术参数进行管理D、管理配置是对系统基线和源代码的版本进行管理89、根据SSE-CMM以下哪项不是在安全工程过程中实施安全控制时需要做的？AA、获得用户对安全需求的理解B、建立安全控制的职责C、管理安全控制的配置D、进行针对安全控制的教育培训90、下面哪条不属于SSE-CMM中能力级别3“充分定义”级的基本内容：AA、改进组织能力B、定义标准过程C、协调安全实施D、执行已定义的过程91、下面哪项不是工程实施阶段信息安全工程监理的主要目标？CA、明确工程实施计划、对于计划的调整必须合理、受控B、促使工程中所适用的产品和服务符合承建合同及国家相关法律、法规和标准C、促使业务单位与承建单位充分沟通，形成深化的安全需求D、促使工程实施过程满足承建合同的要求，并与工程设计方案、工程计划相符92、在国家标准中，属于强制性标准的是:A、GB/TXXXX-X-200XB、GBXXXX-200XC、DBXX/TXXX-200XD、QXXX-XXX-200X93、在何种情况下，一个组织应对公众和媒体公告其信息系统中发生的信息安全事件？AA、当信息安全事件的负面影响扩展到本组织意外时B、只要发生了安全事件就应当公告C、只有公众的什么财产安全受到巨大危害时才公告D、当信息安全事件平息之后94、下面对ISO27001的说法最准确的是：DA、该标准的题目是信息安全管理体系实施指南B、该标准为度量信息安全管理体系的开发和实施提供的一套标准C、该标准提供了一组信息安全管理相关的控制和最佳实践D、该标准为建立、实施、运行、监控、审核、维护和改进信息安全体系提供了一个模型95、ISO27002、ITIL和COBIT在IT管理内容上各有优势、但侧重点不同，其各自重点分别在于：AA、IT安全控制、IT过程管理和IT控制和度量评价B、IT过程管理、IT安全控制和IT控制和度量评价C、IT控制和度量评价、IT安全控制和IT安全控制D、IT过程管理、IT控制和度量评价、IT安全控制96、以下对于IATF信息安全保障技术框架的说法错误的是：A、它由美国国家安全局公开发布B、它的核心思想是信息安全深度防御(Defense-in-Depth)C、它认为深度防御应当从策略、技术和运行维护三个层面来进行D、它将信息系统保障的技术层面分为计算环境、区域边界、网络和基础设置和支撑性技术设施4个部分97、根据《信息系统安全等级保护定级指南》，信息系统的安全保护等级由