A.訪問控制模型主要有3種:自主訪問控制、強制訪問控制和基于角色的訪問控制
B.自主訪問控制模型允許主體顯示地制定其他主體對該主體所擁有的信息資源是否可以訪問
C.基于角色的訪問控制RBAC中,“角色”通常是根據(jù)行政級別來定義的
D.強制訪問控制MAC是“強加”給訪問主體的,即系統(tǒng)強制主體服從訪問控制政策
您可能感興趣的試卷
你可能感興趣的試題
A.Biba模型中的不允許向上寫
B.Biba模型中的不允許向下讀
C.Bell-Lapadula模型中的不允許向下寫
D.Bell-Lapadula模型中的不允許向上讀
A.DAC模型中主體對它所屬的對象和運行的程序有全部的控制權
B.DAC實現(xiàn)提供了一個基于“need-to-know”的訪問授權的方法,默認拒絕任何人的訪問。訪問許可必須被顯示地賦予訪問者
C.在MAC這種模型里,管理員管理訪問控制。管理員制定策略,策略定義了哪個主體能訪問哪個對象。但用戶可以改變它
D.RBAC模型中管理員定義一系列角色(roles)并把它們賦予主體。系統(tǒng)進程和普通用戶可能有不同的角色。設置對象為某個類型,主體具有相應的角色就可以訪問它
A.TCB只作用于固件(Firmware)
B.TCB描述了一個系統(tǒng)提供的安全級別
C.TCB描述了一個系統(tǒng)內部的保護機制
D.TCB通過安全標簽來表示數(shù)據(jù)的敏感性
A.一個實體假裝另一個實體
B.參與此交易的一方否認曾經發(fā)生過此次交易
C.他人對數(shù)據(jù)進行非授權的修改、破壞
D.信息從被監(jiān)視的通信過程中泄露出去
A.包括原發(fā)方抗抵賴和接受方抗抵賴
B.包括連接機密性、無連接機密性、選擇字段機密性和業(yè)務流保密
C.包括對等實體鑒別和數(shù)據(jù)源鑒別
D.包括具有恢復功能的連接完整性、沒有恢復功能的連接完整性、選擇字段連接完整性、無連接完整性和選擇字段無連接完整性
最新試題
某商貿公司信息安全管理員考慮到信息系統(tǒng)對業(yè)務影響越來越重要,計劃編制單位信息安全應急響應預案,在向主管領導寫報告時,他列舉了編制信息安全應急響應預案的好處和重要性,在他羅列的四條理由中,其中不適合作為理由的一條是()。
下列選項分別是四種常用的資產評估方法,哪個是目前采用最為廣泛的資產評估方法?()
在某信息系統(tǒng)采用的訪問控制策略中,如果可以選擇值得信任的人擔任各級領導對客體實施控制,且各級領導可以同時修改它的訪問控制表,那么該系統(tǒng)的訪問控制模型采用的自主訪問控制機制的訪問許可模式是()。
某IT公司針對信息安全事件已建立了完善的預案,在年度企業(yè)信息安全總結會上,信息安全管理員對今年應急預案工作做出了四個總結,其中有一項總結工作是錯誤,作為企業(yè)CS哦,請你指出存在在問題的是哪個總結?()
計算機漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統(tǒng)。在病毒肆意的信息不安全時代,某公司為減少計算機系統(tǒng)漏洞,對公司計算機系統(tǒng)進行了如下措施,其中錯誤的是()。
終端訪問控制器訪問控制系統(tǒng)(TERMINAL Access Controller Access-Control System,TACACS),在認證過程中,客戶機發(fā)送一個START包給服務器,包的內容包括執(zhí)行的認證類型、用戶名等信息。START包只在一個認證會話開始時使用一個,序列號永遠為()。服務器收到START包以后,回送一個REPLY包,表示認證繼續(xù)還是結束。
以下哪個組織所屬的行業(yè)的信息系統(tǒng)不屬于關鍵信息基礎設施?()
歐美六國和美國商務部國家標準與技術局共同制定了一個供歐美各國通用的信息安全評估標準,簡稱CC標準,該安全評估標準的全稱為()。
在設計信息系統(tǒng)安全保障方案時,以下哪個做法是錯誤的?()
信息安全方面的業(yè)務連續(xù)性管理包含2個()和4個控制措施。組織應確定在業(yè)務連續(xù)性管理過程或災難恢復管理過程中是否包含了()。應在計劃業(yè)務連續(xù)性和災難恢復時確定()。組織應建立、記錄、實施并維持過程、規(guī)程和控制措施以確保在不利情況下信息安全連續(xù)性處于要求級別。在業(yè)務連續(xù)性或災難恢復內容中,可能已定義特定的()。應保護在這些過程和規(guī)程或支持它們的特性信息系統(tǒng)中處理的額信息。在不利情況下,已實施的信息安全控制措施應繼續(xù)實行。若安全控制措施不能保持信息安全,應建立、實施和維持其他控制措施以保持信息安全在()。