组织应依照已确定的访问控制策略限制对信息和（）功能的访问。对访问的限制要基于各个业务应用要求，访问控制策略还要与组织的访问策略一致。应建立安全登录规程控制实现对系统和应用的访问。宜选择合适的身份验证技术以验证用户身份。在需要强认证和（）时，宜使用如加密、智能卡、令牌或生物手段等替代密码的身份验业方法。应建立交互式的口令管理系统，并确保使用优质的口令。对于可能覆盖系统和应用的控制措施的实用工具和程序的使用，应加以限制并（）。对程序源代码和相关事项（例如设计、说明书、验证计划和确认计划）的访问宜严格控制，以防引入非授权功能、避免无意识的变更和维持有价值的知识产权的（）。对于程序源代码的保存，司以通过这种代码的中央存储控制来实现，更好的是放在（）中

A．基于属性的访问控制（ABACi）

B．基于解色的访问控制（RBAC）

C．随意的访问控制（DAC）

D．强制的访问控帽（MAC）

A.认证

B.控制策略实现

C.审计

D.查询

A.定期变更用户名和登录口令

B.按照访问控制策略限制用户访问应用系统功能

C.隔离敏感系统

D.B+C

A.内部控制一般仅针对常规业务活动而设计

B.内部控制可能因人为判断出现错误而削弱或失效

C.信息技术人员可能获得超越其履行职责之外的数据访问权限，破坏了系统应有的职责分工

D.管理部门负责人凌驾于内部控制之上而被规避

A.备用站点需要具备和主站点相同的处理能力

B.在各分支机构间实现互惠协议以降低成本

C.充分利用已有的网络安全连接，确保备用站点的网络可用性

D.备用站点和主站点要间隔足够的距离以避免收到相同灾难的影响

A.应根据业务需求和安全分析确定应用软件的访问控制策略，用于控制分配数据、信息、文件及服务的访问权限

B.应对应用软件账户进行分类管理，权限设定应当遵循最方便使用授权要求

C.应用软件废弃时，应确保系统中的所有数据被有效转移或可靠销毁，并确保系统更新过程是在一个安全、系统化的状态下完成

D.应用软件正式投入运行后，应指定专人对应用软件进行管理，删除或者禁用不使用的系统默认账户，更改默认口令

A.定期更换口令

B.用户名和口令不得相同

C.应由授权主体配置访问控制策略

D.对单个帐户的多重并发会话进行限制

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色访问控制（RBAC）

D.最小特权（Least Privilege）

A.强制访问控制(MAC)

B.基于角色访问控制(RBAC)

C.最小特权(Least Privilege)

D.自主访问控制(DAC)