网友您好, 请在下方输入框内输入要搜索的题目:
题目内容
(请给出正确答案)
在评估逻辑访问控制时,应该首先做什么()
- A、把应用在潜在访问路径上的控制项记录下来
- B、在访问路径上测试控制来检测是否他们具功能化
- C、按照写明的策略和实践评估安全环境
- D、对信息流程的安全风险进行了解
参考答案
更多 “在评估逻辑访问控制时,应该首先做什么()A、把应用在潜在访问路径上的控制项记录下来B、在访问路径上测试控制来检测是否他们具功能化C、按照写明的策略和实践评估安全环境D、对信息流程的安全风险进行了解” 相关考题
考题
下列对访问控制的说法正确的是:()
A、访问控制模型是对一系列访问控制规则集合的描述,必须是形式的B、一股访问控制过程由:主题、客体访问控制决策和访问控制实施四部分组成C、访问控制模型是对一系列安全策略的描述,都是非形式化的D、在访问控制过程中,主体提交的访问请求由访问控制决策不见实施访问
考题
作为一名信息安全专业人员,你正在为某公司设计信息资源的访问控制策略。由于该资源的访问权限,最应该采用下列哪一种访问控制模型()。
A、自主访问控制(DAC)B、强制访问控制(MAC)C、基于角色访问控制(RBAC)D、最小特权(LeastPrivilege)
考题
对于信息系统访问控制说法错误的是?()A.应该根据业务需求和安全要求制定清晰的访问控制策略,并根据需要进行评审和改进。B.网络访问控制是访问控制的重中之重,网络访问控制做好了操作系统和应用层次的访问控制就会解决C.做好访问控制工作不仅要对用户的访问活动进行严格管理,还要明确用户在访问控制中的有关责任D.移动计算和远程工作技术的广泛应用给访问控制带来新的问题,因此在访问控制工作要重点考虑对移动计算设备和远程工作用户的控制措施
考题
信息系统访问控制机制中,()是指对所有主体和客体都分配安全标签用来标识所属的安全级别,然后在访问控制执行时对主体和客体的安全级别进行比较,确定本次访问是否合法的技术或方法。A.自主访问控制B.强制访问控制C.基于角色的访问控制D.基于组的访问控制
考题
信息系统访问控制机制中,( )是指对所有主体和客体都分配安全标签用来标识所属的安全级别,然后在访问控制执行时对主体和客体的安全级别进行比较,确定本次访问是否合法性的技术或方法。A.自主访问控制
B.强制访问控制
C.基于角色的访问控制
D.基于组的访问控制
考题
下列对强制访问控制描述不正确的是()。A、主体对客体的所有访问请求按照强制访问控制策略进行控制B、强制访问控制中,主体和客体分配有一个安全属性C、客体的创建者无权控制客体的访问权限D、强制访问控制不可与自主访问控制结合使用
考题
一个大型组织使用唯一的身份标识,并要求他们在每次系统会话的开始时使用。应用程序访问时基于工作职责的分类。该组织定期对访问控制和违规进行独立的审核。该组织使用了有线和无线网络,以及远程访问。该组织还使用了到分支机构的安全连接,以及针对某些选择的信息和流程实施安全的备份和恢复策略。按照最佳实践,应该在哪份文档中定义每个部门的访问许可和工作分类()。A、安全规程B、安全标准C、人力资源策略D、人力资源标准
考题
在应用层面审计终端用户计算控制的审查程序包括:()A、评估EUC管理的政策、程序和终端用户满意度B、确定EUC应用,进行应用风险排序、记录和测试控制C、检查授权访问控制、开发日志、开发文档D、评估物理安全、逻辑安全、灾难恢复计划
考题
首先为系统中所有的主体和客体都指定了一定安全级别,例如绝密级、机密级、秘密级和无密级等,不同的安全级别标记了不同重要程度的实体,然后设置安全策略对不同安全级别的主体与客体之间的访问进行控制。这样的访问控制策略是()A、自主访问控制B、强制访问控制C、基于角色的访问控制D、基于任务的访问控制
考题
作为一名信息安全专业人员,你正在为某公司设计信息资源的访问控制策略。由于该公司的人员流动较大,你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限,最应该采用下列哪一种访问控制模型?()A、自主访问控制(DAC)B、强制访问控制(MAC)C、基于角色访问控制(RBAC)D、最小特权(LEASTPrivilege)
考题
下列对访问控制的说法正确的是()。A、访问控制模型是对一系列访问控制规则集合的描述,必须是形式化的B、一般访问控制过程由:主题、客体、访问控制决策和访问控制实施四部分组成C、访问控制模型是对一系列安全策略的描述,都是非形式化的D、在访问控制过程中,主题提交的访问请求由访问控制决策不见实施访问
考题
对于信息系统访问控制说法错误的是()。A、应该根据业务需求和安全要求置顶清晰地访问控制策略,并根据需要进行评审和改进B、网络访问控制是访问控制的重中之重,网络访问控制做好了操作系统和应用层次的访问控制问题就可以得到解决C、做好访问控制工作不仅要对用户的访问活动进行严格管理,还要明确用户在访问控制中的有关责任D、移动计算和远程工作技术在广泛应用给访问控制带来了新的问题,因此在访问控制工作中要重点考虑对移动计算设备和远程工作用户的控制措施
考题
商业银行应依据信息科技风险管理策略和风险评估结果,确定潜在风险区域,定义每个业务级别的控制内容,包括()。A、访问授权以“必需知道”和“最小授权”为原则;B、控制对数据和系统的物理和逻辑访问;C、最高权限用户的审查;D、验证和调节;E、审批和授权
考题
单选题系统的安全策略和审查记录使得机构管理者能够确保用户对其自身的行为负责。为了使用系统记录,使安全策略发挥作用,下面哪一项是首要必需的?()A
物理访问控制B
环境控制C
管理控制D
逻辑访问控制
考题
单选题下列对强制访问控制描述不正确的是()。A
主体对客体的所有访问请求按照强制访问控制策略进行控制B
强制访问控制中,主体和客体分配有一个安全属性C
客体的创建者无权控制客体的访问权限D
强制访问控制不可与自主访问控制结合使用
考题
单选题下列对访问控制的说法正确的是()。A
访问控制模型是对一系列访问控制规则集合的描述,必须是形式化的B
一般访问控制过程由:主题、客体、访问控制决策和访问控制实施四部分组成C
访问控制模型是对一系列安全策略的描述,都是非形式化的D
在访问控制过程中,主题提交的访问请求由访问控制决策不见实施访问
考题
单选题作为一名信息安全专业人员,你正在为某公司设计信息资源的访问控制策略。由于该公司的人员流动较大,你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限,最应该采用下列哪一种访问控制模型?()A
自主访问控制(DAC)B
强制访问控制(MAC)C
基于角色访问控制(RBAC)D
最小特权(LEASTPrivilege)
考题
单选题IS审计师评估逻辑访问控制时首先应该:()A
记录对系统访问路径的控制B
测试访问路径的控制以判断是否起作用C
评估与已有政策和实践相关的安全环境D
获取并理解信息处理的安全风险
考题
单选题在评估逻辑访问控制时,应该首先做什么?()A
把应用在潜在访问路径上的控制项记录下来B
在访问路径上测试控制来检测是否他们具功能化C
按照写明的策略和实践评估安全环境D
对信息流程的安全风险进行了解
考题
单选题为了自主访问控制有效,应该()。A
在强制访问控制里使用B
独立于强制访问控制使用C
在必要的时候让用户可以绕过强制性访问控制D
通过安全策略来限定
热门标签
最新试卷