信息系统访问控制机制中,()是指对所有主题和客体部分分配安全标签用来标识所属的安全级别,然后在访问控制执行时对主题和客体的安全级别进行比较,确定本次访问是否合法性的技术或方法
A.自主访问控制
B.强制访问控制
C.基于角色的访问控制
D.基于组的访问控制
A.自主访问控制
B.强制访问控制
C.基于角色的访问控制
D.基于组的访问控制
第1题
试题四 论信息系统中的访问控制
访问控制主要任务是保证系统资源不被非法使用和访问。访问控制规定了主体对客体访问的限制,并在身份识别的基础上,根据身份对提出资源访问的请求加以控制。
访问控制是策略和机制的集合,它允许对限定资源的授权访问。访问控制也可以保护资源,防止无权访问资源的用户的恶意访问。访问控制是系统安全保障机制的核心内容,是实现数据保密性和完整性机制的主要手段,也是信息系统中最重要和最基础的安全机制。
请围绕“信息系统中的访问控制”论题,依次从以下三个方面进行论述。
1.概要叙述你参与管理和开发的软件项目以及你在其中所担任的主要工作。
2.详细论述常见的访问控制策略和访问控制机制。
3.阐述在项目开发中你所采用的访问控制策略和机制,并予以评价。
第2题
下面关于Linux内核的有关叙述中,错误的是()。
A.进程调度模块负责控制进程对CPU资源的使用,所采取的调度策略是使得各个进程能够平均访问CPU,但并不保证内核能及时地执行硬件操作
B.Linux内存管理模块的功能之一是屏蔽各种硬件内存结构的差异并向上返回统一的访问接口
C.网络接口模块包含网络接口驱动程序
D.支持进程之间各种通信机制,其通信机制主要包括信号、管道、消息队列、信号量、共享内存和套接字
第3题
试题五(共25分)
阅读以下关于信息系统安全性的说明,在答题纸上回答问题l至问题3。
【说明】
某大型跨国企业的IT部门一年前基于SOA(Service-Oriented Architecture)对企业原有的多个信息系统进行了集成,实现了原有各系统之间的互连互通,搭建了支撑企业完整业务流程运作的统一信息系统平台。随着集成后系统的投入运行,IT部门发现在满足企业正常业务运作要求的同时,系统也暴露出明显的安全性缺陷,并在近期出现了企业敏感业务数据泄漏及系统核心业务功能非授权访问等严重安全事件。针对这一情况,企业决定由IT部门成立专门的项目组负责提高现有系统的安全性。
项目组在仔细调研和分析了系统现有安全性问题的基础上,决定首先为在网络中传输的数据提供机密性(Confidentiality)与完整性(Integrity)保障,同时为系统核心业务功能的访问提供访问控制机制,以保证只有授权用户才能使用特定功能。
经过分析和讨论,项目组决定采用加密技术为网络中传输的数据提供机密性与完整性保障。但在确定具体访问控制机制时,张工认为应该采用传统的强制访问控制(Mandatory Access Control)机制.而王工则建议采用基于角色的访问控制(Role-Based Access Control)与可扩展访问控制标记语言(eXtensible Access Control Markup Language,XACML)相结合的机制。项目组经过集体讨论,最终采用了王工的方案。
【问题1】(8分)
请用400字以内的文字,分别针对采用对称加密策略与公钥加密策略,说明如何利用加密技术为在网络中传输的数据提供机密性与完整性保障。
【问题2】(9分)
请用300字以内的文字,从授权的可管理性、细粒度访问控制的支持和对分布式环境的支持三个方面指出项目组采用王工方案的原因。
【问题3】(8分)
图5-1给出了基于XACML的授权决策中心的基本结构以及一次典型授权决策的执行过程,请分别将备选答案填入图中的(1)~(4)。
备选答案:策略管理点(PAP)、策略执行点(PEP)、策略信息点(PIP)、策略决策点(PDP)
第4题
【问题1】(6分) 访问控制决定了谁访问系统、能访问系统的哪些资源和如何使用这些资源,目的是防止对信息系统资源的非授权访问和使用。“请按防御型和探测型将下列A~F种访问控制手段进行归类:防御型访词控制手段包括 () ;探测型访问控制手段包括() 。 A.双供电系统。 B.闭路监控 C.职员雇佣手续 D.访问控制软件 E.日志审计 F.安全知识培训 【问题2】(4分) 保密就是保证敏感信息不被非授权人知道。加密是指通过将信息编码而使得侵入者不能够阅读或理解的方法,目的是保护数据相信息。国家明确规定严格禁止直接使用国外的密码算法和安全产品,其主要原因有二 () 和() 两个方面。 各选答案: A.目前这些密码算法和安全产品都有破译手段 B.国外的算法和产品中可能存在“后门”,要防止其在关键时刻危害我国安全. C.进口国外的算法和产品不利于我国自主研发和技术创新 D.密钥不可以无限期使用,需要定期更换。购买国外的加密算法和产品,会产生高昂的费用。 【问题3】 任何信息系统都不可能避免天灾或者人祸,当事故发生时,要可以跟踪事故源、收集证据、恢复系统、保护数据。通常来说,高可用性的系统具有较强的容错能力,使得系统在排除了某些类型的保障后继续正常进行。 容错途径及说明如图3-1所示,请将正确的对应关系进行连线。
第5题
访问控制是信息安全管理的重要内容之一,以下关于访问控制规则的叙述中,() 是不正确的。
A.应确保授权用户对信息系统的正常访问
B.防止对操作系统的未授权访问
C.防止对外部网络未经授权进行访问,对内部网络的访问则没有限制
D.防止对应用系统中的信息未经授权进行访问
第6题
下列关于Java多线程并发控制机制的叙述中,错误的是()。
A.Java中对共享数据操作的并发控制是采用加锁技术
B.线程之间的交互,提倡采用suspend()/resume()方法
C.共享数据的访问权限都必须定义为private
D.Java中没有提供检测与避免死锁的专门机制,但应用程序员可以采用某些策略防止死锁的发生
第7题
A.访问控制包括个重要的过程鉴别和授权
B.访问控制机制分为种强制访问控制(MAC)和自主访问控制(DAC)
C.RBAC基于角色的访问控制对比DAC的先进之处在于用户可以自主的将访问的权限授给其它用户
D.RBAC不是基于多级安全需求的因为基于RBAC的系统中主要关心的是保护信息的完整性即谁可以对什么信息执行何种动作
第9题
Java对I/O访问所提供的同步处理机制是()。
A.字节流
B.过滤流
C.字符流
D.压缩文件流
第10题
A.该方法使信息系统的开发易于适应组织机构的真正需要
B.该方法每一阶段所获得的经验有助于下一阶段的开发
C.由于该方法的演变性质,信息系统难以实现整体性
D.利用该方法所开发的系统可以很好地支持企业的战略目标