判断题用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的限度。A对B错
判断题
用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的限度。
A
对
B
错
参考解析
解析:
暂无解析
相关考题:
●在可行性研究中,需要进行初步调查。最好的方法是 (8) 。(8) A.访问企业主要业务部门领导,征求其对信息系统的需求B.访问信息部门负责人,了解系统更新原因C.访问终端用户,了解其对系统功能的需求D.访问企业高层主管,了解系统目标、边界要求
试题四 论信息系统中的访问控制访问控制主要任务是保证系统资源不被非法使用和访问。访问控制规定了主体对客体访问的限制,并在身份识别的基础上,根据身份对提出资源访问的请求加以控制。访问控制是策略和机制的集合,它允许对限定资源的授权访问。访问控制也可以保护资源,防止无权访问资源的用户的恶意访问。访问控制是系统安全保障机制的核心内容,是实现数据保密性和完整性机制的主要手段,也是信息系统中最重要和最基础的安全机制。请围绕“信息系统中的访问控制”论题,依次从以下三个方面进行论述。1.概要叙述你参与管理和开发的软件项目以及你在其中所担任的主要工作。2.详细论述常见的访问控制策略和访问控制机制。3.阐述在项目开发中你所采用的访问控制策略和机制,并予以评价。
员工岗位发生变更时,应及时调整其对相关信息系统资源的访问权限;对离岗、离职或退休人员应终止其对相关信息系统资源的访问权限,及时修改有关密码,并明确后续保密要求。() 此题为判断题(对,错)。
信息系统中信息资源的访问控制是保证信息系统安全的措施之一。下面关于访问控制的叙述错误的是( )。 A、访问控制可以保证对信息的访问进行有序的控制B、访问控制是在用户身份鉴别的基础上进行的C、访问控制就是对系统内每个文件或资源规定各个(类)用户对它的操作权限D、访问控制使得所有用户的权限都各不相同
信息系统访问控制机制中,()是指对所有主体和客体都分配安全标签用来标识所属的安全级别,然后在访问控制执行时对主体和客体的安全级别进行比较,确定本次访问是否合法的技术或方法。A.自主访问控制B.强制访问控制C.基于角色的访问控制D.基于组的访问控制
对无线访问控制程序进行复核的信息系统审计人员最关注以下哪一项?A.保留各类系统资源利用的访问日志。B.用户被允许访问系统资源前的许可与认证。C.通过加密或其他手段对服务器存储数据加以恰当地保护。D.系统的可记录性(accountability)与恰当确认终端所访问系统资源的能力。
[说明] 某企业为防止自身信息资源的非授权访问,建立了如图4-1所示的访问控制系统。企业访问控制系统 该系统提供的主要安全机制包括: 12认证:管理企业的合法用户,验证用户所宣称身份的合法性,该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制; 13授权:赋予用户访问系统资源的权限,对企业资源的访问请求进行授权决策; 14安全审计:对系统记录与活动进行独立审查,发现访问控制机制中的安全缺陷,提出安全改进建议。12、[问题1] 对该访问控制系统进行测试时,用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面?每个方面具体的测试内容又有哪些?(6分)13、[问题2] 测试过程中需对该访问控制系统进行模拟攻击试验,以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击,并简要说明模拟攻击的基本原理。(3分)14、[问题3] 对该系统安全审计功能设计的测试点应包括哪些?(3分)
阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。【说明】某企业为防止自身信息资源的非授权访问,建立了如下图所示的访问控制系统。该系统提供的主要安全机制包括:(1)认证:管理企业的合法用户,验证用户所宣称身份的合法性,该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制;(2)授权:赋予用户访问系统资源的权限,对企业资源的访问请求进行授权决策;(3)安全审计:对系统记录与活动进行独立审查,发现访问控制机制中的安全缺陷, 提出安全改进建议。【问题1】(6分)对该访问控制系统进行测试时,用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面?每个方面具体的测试内容又有哪些?【问题2】(3分) 测试过程中需对该访问控制系统进行模拟攻击试验,以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击,并简要说明模拟攻击的基本原理。【问题3】(6分)对该系统安全审计功能设计的测试点应包括哪些?
信息系统访问控制机制中,( )是指对所有主体和客体都分配安全标签用来标识所属的安全级别,然后在访问控制执行时对主体和客体的安全级别进行比较,确定本次访问是否合法性的技术或方法。A.自主访问控制 B.强制访问控制 C.基于角色的访问控制 D.基于组的访问控制
在信息系统中,访问控制是重要的安全功能之一。他的任务是在用户对系统资源提供最大限度共享的基础上,对用户的访问权限进行管理,防止对信息的非授权篡改和滥用。访问控制模型将实体划分为主体和客体两类,通过对主体身份的识别来限制其对客体的访问权限。下列选项中,对主体、客体和访问权限的描述中错误的是()A、对文件进行操作的用户是一种主体B、主体可以接受客体的信息和数据,也可能改变客体相关的信息C、访问权限是指主体对客体所允许的操作D、对目录的访问权可分为读、写和拒绝访问
访问授权以“必需知道”和“最小授权”为原则,确保用户在信息系统内的活动只限于相关业务能合法开展所要求的最低限度是属于()。A、完善信息系统的访问控制B、加强主机系统及开放平台系统的安全管理C、网络系统安全管理D、确保用户终端安全
多选题商业银行应建立有效管理用户认证和访问控制的流程:()A用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度;B用户调动到新的工作岗位或离开商业银行时,应在系统中及时检查、更新或注销用户身份;C定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。D定期进行信息科技外包项目的风险状况评价。E建立内部审计、外部审计和监管发现问题的整改处理机制。
单选题访问授权以“必需知道”和“最小授权”为原则,确保用户在信息系统内的活动只限于相关业务能合法开展所要求的最低限度是属于()。A完善信息系统的访问控制B加强主机系统及开放平台系统的安全管理C网络系统安全管理D确保用户终端安全
单选题在信息系统中,访问控制是重要的安全功能之一。他的任务是在用户对系统资源提供最大限度共享的基础上,对用户的访问权限进行管理,防止对信息的非授权篡改和滥用。访问控制模型将实体划分为主体和客体两类,通过对主体身份的识别来限制其对客体的访问权限。下列选项中,对主体、客体和访问权限的描述中错误的是()A对文件进行操作的用户是一种主体B主体可以接受客体的信息和数据,也可能改变客体相关的信息C访问权限是指主体对客体所允许的操作D对目录的访问权可分为读、写和拒绝访问
单选题数据保护最重要的目标是以下项目中的哪一个?()A识别需要获得相关信息的用户B确保信息的完整性C对信息系统的访问进行拒绝或授权D监控逻辑访问