A

[解析] PKI CA认证中心的主要功能是发放和管理数字证书，其中包括接收并验证终端用户数字证书的申请、向申请者颁发或拒绝颁发数字证书、产生和发布证书废止列表(CRE)及验证证书状态。
   通常CA认证中心采用“统一建设，分级管理”的原则分为多层结构，即建立统一的注册中心(RA)系统。各地市及各行业可以根据具体情况申请设置不同层次的下级RA中心或本地注册中心(LRA)。RA系统负责用户证书审核，并为LRA系统在各分支机构的分布建设提供策略支撑。终端用户可通过LRA业务受理点完成证书业务的办理。

D

[解析] 用户可以从CA安全认证中心申请自己的证书，并把证书装入浏览器，利用它在因特网上表明自己的身份。

A

[解析] 数字证书能够验证一个实体身份，而这是在保证数字证书本身有效性的前提下才能够实现的。验证数字证书的有效性是通过验证证书颁发机构(CA)的签名实现的。某Web网站向CA申请了数字证书。当用户登录该网站时，通过验证CA对其的签名来确认该数字证书的有效性，从而验证该网站的真伪。

A

[解析] 基于网络旁路监控的审计系统主要由若干个网络探测器、安全控制中心和审计日志库等组成。它能够有选择地记录任何通过网络对应用系统进行的操作并对其进行实时与事后分析和处理(如声音报警、阻断、筛选可疑操作及对审计数据进行数据挖掘等)；具备入侵实时阻断功能，同时不对应用系统本身的正常运行产生任何影响，不需要占用数据库主机上的CPU、内存和硬盘等资源；能够记录完整的信息，包括操作者的IP地址、时间、MAC地址及完整的数据操作(如数据库的完整SQL语句)等；能够对审计数据进行安全的保存，保证记录不被非法删除和篡改。
   对于基于应用系统代理的审计系统，需要先根据不同应用，设计开发不同的应用代理程序，并在相应应用系统内运行。应用系统产生的审计数据先由应用代理程序接收，再由其传送给主机操作系统审核。此类审计系统的实时性好，且审计粒度由用户控制，可以减少不必要的审核数据。其缺点在于与应用系统编程相关，通用性不好。
   基于应用系统独立程序的审计系统是在应用系统内部嵌入一个与应用服务同步运行专用的审计服务应用进程，用于全程跟踪应用服务进程的运行。此类审计系统与应用系统密切相关，每个应用系统都需要开发相应的独立程序，通用性、实时性不好，且价格较高。但其审计粒度可因需求而设置，且用户工作界面与应用系统相同。
   基于网络安全入侵检测的预警系统基本功能是：负责监视网络上的通信数据流和网络服务器系统中的审核信息，捕捉可疑的网络和服务器系统活动，发现其中存在的安全问题；当网络和主机被非法使用或破坏时，进行实时响应和报警；产生通告信息和日志，以便管理人员调整和更新已有的安全管理策略或进行跟踪追查等事后处理措施。

C

[解析] 保证可信网络内部信息不外泄是网络隔离技术的前提条件之一。

D

[解析] 依据《电子信息系统机房设计规范GB 50174-2008》第6.3.4条款规定：“面积大于100m²的主机房，安全出口应不少于两个，且应分散布置。面积不大于100m²的主机房，可设置一个安全出口，并可通过其他相临房间的门进行疏散。门应向疏散方向开启，且应自动关闭，并保证在任何情况下都能从机房内开启。走廊、楼梯间应畅通，并应有明显的疏散指示标志。”据此，选项D的设计方案有误。

B

[解析] 通常，系统运行的安全管理组织由管理、系统分析、软件、硬件、保卫、审计、人事和通信等有关人员组成。该组织机构由单位主要领导人直接领导，不能隶属于计算机运行或应用部门。据此，选项B的说法有误。

D

[解析] 通常，系统运行安全和保密有4个层次，按粒度从粗到细的排序是：系统级安全、资源访问安全、功能性安全和数据域安全。据此，选项A的说法有误。
   根据《电子信息系统机房设计规范》(GB 50174-2008)第3节“机房分级与性能要求”的3.1.1款条文规定如下：“电子信息系统机房应划分为A、B、C三级……”。据此，选项C的说法有误。
   系统安全等级可分为保密等级和可靠性等级两种。保密等级应按有关规定划分为绝密、机密和秘密；可靠性等级可分为A、B、C三级，对可靠性要求最高的为A级，最低为C级。据此，选项B的说法有误，选项D的说法正确。

A

[解析] 四级安全管理制度要求：在三级安全管理制度要求的基础上，主要考虑了对带有密级管理制度的管理和日常维护等。