网友您好, 请在下方输入框内输入要搜索的题目:
题目内容
(请给出正确答案)
判断题
用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的限度。
A
对
B
错
参考答案
参考解析
解析:
暂无解析
更多 “判断题用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的限度。A 对B 错” 相关考题
考题
●在可行性研究中,需要进行初步调查。最好的方法是 (8) 。(8) A.访问企业主要业务部门领导,征求其对信息系统的需求B.访问信息部门负责人,了解系统更新原因C.访问终端用户,了解其对系统功能的需求D.访问企业高层主管,了解系统目标、边界要求
考题
试题四 论信息系统中的访问控制访问控制主要任务是保证系统资源不被非法使用和访问。访问控制规定了主体对客体访问的限制,并在身份识别的基础上,根据身份对提出资源访问的请求加以控制。访问控制是策略和机制的集合,它允许对限定资源的授权访问。访问控制也可以保护资源,防止无权访问资源的用户的恶意访问。访问控制是系统安全保障机制的核心内容,是实现数据保密性和完整性机制的主要手段,也是信息系统中最重要和最基础的安全机制。请围绕“信息系统中的访问控制”论题,依次从以下三个方面进行论述。1.概要叙述你参与管理和开发的软件项目以及你在其中所担任的主要工作。2.详细论述常见的访问控制策略和访问控制机制。3.阐述在项目开发中你所采用的访问控制策略和机制,并予以评价。
考题
信息系统访问控制机制中,()是指对所有主题和客体部分分配安全标签用来标识所属的安全级别,然后在访问控制执行时对主题和客体的安全级别进行比较,确定本次访问是否合法性的技术或方法A.自主访问控制B.强制访问控制C.基于角色的访问控制D.基于组的访问控制
考题
访问控制是对信息系统资源进行保护的重要措施,适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。信息系统访问控制的基本要素不包括( )。
A.主体B.客体C.授权访问D.身份认证
考题
信息系统访问控制机制中,()是指对所有主体和客体都分配安全标签用来标识所属的安全级别,然后在访问控制执行时对主体和客体的安全级别进行比较,确定本次访问是否合法的技术或方法。A.自主访问控制B.强制访问控制C.基于角色的访问控制D.基于组的访问控制
考题
数据库的安全策略中,在符合安全要求的前提下,让用户尽可能地能够访问被允许访问的信息,使得不可访问的信息只局限在不允许访问这些信息的用户范围内,属于(44)原则。
A.开放系统原则
B.封闭系统原则
C.最大共享原则
D.最小特权原则
考题
对无线访问控制程序进行复核的信息系统审计人员最关注以下哪一项?A.保留各类系统资源利用的访问日志。
B.用户被允许访问系统资源前的许可与认证。
C.通过加密或其他手段对服务器存储数据加以恰当地保护。
D.系统的可记录性(accountability)与恰当确认终端所访问系统资源的能力。
考题
[说明] 某企业为防止自身信息资源的非授权访问,建立了如图4-1所示的访问控制系统。
企业访问控制系统
该系统提供的主要安全机制包括:
12认证:管理企业的合法用户,验证用户所宣称身份的合法性,该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制;
13授权:赋予用户访问系统资源的权限,对企业资源的访问请求进行授权决策;
14安全审计:对系统记录与活动进行独立审查,发现访问控制机制中的安全缺陷,提出安全改进建议。
12、[问题1] 对该访问控制系统进行测试时,用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面?每个方面具体的测试内容又有哪些?(6分)
13、[问题2] 测试过程中需对该访问控制系统进行模拟攻击试验,以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击,并简要说明模拟攻击的基本原理。(3分)
14、[问题3] 对该系统安全审计功能设计的测试点应包括哪些?(3分)
考题
阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。【说明】某企业为防止自身信息资源的非授权访问,建立了如下图所示的访问控制系统。
该系统提供的主要安全机制包括:(1)认证:管理企业的合法用户,验证用户所宣称身份的合法性,该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制;(2)授权:赋予用户访问系统资源的权限,对企业资源的访问请求进行授权决策;(3)安全审计:对系统记录与活动进行独立审查,发现访问控制机制中的安全缺陷, 提出安全改进建议。【问题1】(6分)对该访问控制系统进行测试时,用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面?每个方面具体的测试内容又有哪些?
【问题2】(3分) 测试过程中需对该访问控制系统进行模拟攻击试验,以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击,并简要说明模拟攻击的基本原理。
【问题3】(6分)对该系统安全审计功能设计的测试点应包括哪些?
考题
在信息系统中,访问控制是重要的安全功能之一。他的任务是在用户对系统资源提供最大限度共享的基础上,对用户的访问权限进行管理,防止对信息的非授权篡改和滥用。访问控制模型将实体划分为主体和客体两类,通过对主体身份的识别来限制其对客体的访问权限。下列选项中,对主体、客体和访问权限的描述中错误的是()A、对文件进行操作的用户是一种主体B、主体可以接受客体的信息和数据,也可能改变客体相关的信息C、访问权限是指主体对客体所允许的操作D、对目录的访问权可分为读、写和拒绝访问
考题
访问授权以“必需知道”和“最小授权”为原则,确保用户在信息系统内的活动只限于相关业务能合法开展所要求的最低限度是属于()。A、完善信息系统的访问控制B、加强主机系统及开放平台系统的安全管理C、网络系统安全管理D、确保用户终端安全
考题
监控并及时汇报信息系统异常登陆、重要数据访问、用户账户变更等重要事项是属于()。A、完善信息系统的访问控制B、加强主机系统及开放平台系统的安全管理C、网络系统安全管理D、确保用户终端安全
考题
多选题商业银行应建立有效管理用户认证和访问控制的流程:()A用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度;B用户调动到新的工作岗位或离开商业银行时,应在系统中及时检查、更新或注销用户身份;C定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。D定期进行信息科技外包项目的风险状况评价。E建立内部审计、外部审计和监管发现问题的整改处理机制。
考题
单选题监控并及时汇报信息系统异常登陆、重要数据访问、用户账户变更等重要事项是属于()。A
完善信息系统的访问控制B
加强主机系统及开放平台系统的安全管理C
网络系统安全管理D
确保用户终端安全
考题
单选题访问授权以“必需知道”和“最小授权”为原则,确保用户在信息系统内的活动只限于相关业务能合法开展所要求的最低限度是属于()。A
完善信息系统的访问控制B
加强主机系统及开放平台系统的安全管理C
网络系统安全管理D
确保用户终端安全
考题
单选题在信息系统中,访问控制是重要的安全功能之一。他的任务是在用户对系统资源提供最大限度共享的基础上,对用户的访问权限进行管理,防止对信息的非授权篡改和滥用。访问控制模型将实体划分为主体和客体两类,通过对主体身份的识别来限制其对客体的访问权限。下列选项中,对主体、客体和访问权限的描述中错误的是()A
对文件进行操作的用户是一种主体B
主体可以接受客体的信息和数据,也可能改变客体相关的信息C
访问权限是指主体对客体所允许的操作D
对目录的访问权可分为读、写和拒绝访问
考题
单选题数据保护最重要的目标是以下项目中的哪一个?()A
识别需要获得相关信息的用户B
确保信息的完整性C
对信息系统的访问进行拒绝或授权D
监控逻辑访问
热门标签
最新试卷