题目内容（请给出正确答案）

[主观题]

试题四论信息系统中的访问控制访问控制主要任务是保证系统资源不被非法使用和访问。访问控制规定

试题四论信息系统中的访问控制

访问控制主要任务是保证系统资源不被非法使用和访问。访问控制规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出资源访问的请求加以控制。

访问控制是策略和机制的集合，它允许对限定资源的授权访问。访问控制也可以保护资源，防止无权访问资源的用户的恶意访问。访问控制是系统安全保障机制的核心内容，是实现数据保密性和完整性机制的主要手段，也是信息系统中最重要和最基础的安全机制。

请围绕“信息系统中的访问控制”论题，依次从以下三个方面进行论述。

1．概要叙述你参与管理和开发的软件项目以及你在其中所担任的主要工作。

2．详细论述常见的访问控制策略和访问控制机制。

3．阐述在项目开发中你所采用的访问控制策略和机制，并予以评价。

如搜索结果不匹配，请联系老师获取答案

您可能会需要：

重置密码查看订单联系客服

安装赏学吧APP，拍照搜题省时又省心！

更多“试题四论信息系统中的访问控制访问控制主要任务是保证系统资源…”相关的问题

第1题

试题四（共12分）阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。【说明】某企业为防止

试题四（共12分）

阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。

【说明】

某企业为防止自身信息资源的非授权访问，建立了如图4-1所示的访问控制系统。

试题四（共12分）阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。【说明】某企业为防止

该系统提供的主要安全机制包括：

(1) 认证：管理企业的合法用户，验证用户所宣称身份的合法性，该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制；

(2) 授权：赋予用户访问系统资源的权限，对企业资源的访问请求进行授权决策；

(3) 安全审计：对系统记录与活动进行独立审查，发现访问控制机制中的安全缺陷，提出安全改进建议。

【问题1】 (6分)

对该访问控制系统进行测试时，用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面？每个方面具体的测试内容又有哪些？

【问题2】（3分）

测试过程中需对该访问控制系统进行模拟攻击试验，以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击，并简要说明模拟攻击的基本原理。

【问题3】（3分）

对该系统安全审计功能设计的测试点应包括哪些？

点击查看答案

第2题

《国家电网公司信息通信部关于进一步加强公司信息系账号权限及访问控制管理的通知》规定在账号权限及访问控制管理等核心信息系统运维工作方面，要全面实现“四确保”目标，下面关于“四确保”的说法正确的是()。

A.确保信息系统用户账号与实体用户一一对应

B.确保各类信息系统账号不误删、不错调、不越权、不限用

C.确保账号权限管理贯穿项目建设及系统运行的各个阶段

D.确保账号权限在管理者、使用者、监督者三类角色间实现相互制衡

点击查看答案

第3题

试题五（共25分）阅读以下关于信息系统安全性的说明，在答题纸上回答问题l至问题3。【说明】某大型跨

试题五（共25分）

阅读以下关于信息系统安全性的说明，在答题纸上回答问题l至问题3。

【说明】

某大型跨国企业的IT部门一年前基于SOA(Service-Oriented Architecture)对企业原有的多个信息系统进行了集成，实现了原有各系统之间的互连互通，搭建了支撑企业完整业务流程运作的统一信息系统平台。随着集成后系统的投入运行，IT部门发现在满足企业正常业务运作要求的同时，系统也暴露出明显的安全性缺陷，并在近期出现了企业敏感业务数据泄漏及系统核心业务功能非授权访问等严重安全事件。针对这一情况，企业决定由IT部门成立专门的项目组负责提高现有系统的安全性。

项目组在仔细调研和分析了系统现有安全性问题的基础上，决定首先为在网络中传输的数据提供机密性(Confidentiality)与完整性(Integrity)保障，同时为系统核心业务功能的访问提供访问控制机制，以保证只有授权用户才能使用特定功能。

经过分析和讨论，项目组决定采用加密技术为网络中传输的数据提供机密性与完整性保障。但在确定具体访问控制机制时，张工认为应该采用传统的强制访问控制(Mandatory Access Control)机制．而王工则建议采用基于角色的访问控制(Role-Based Access Control)与可扩展访问控制标记语言(eXtensible Access Control Markup Language，XACML)相结合的机制。项目组经过集体讨论，最终采用了王工的方案。

【问题1】（8分）

请用400字以内的文字，分别针对采用对称加密策略与公钥加密策略，说明如何利用加密技术为在网络中传输的数据提供机密性与完整性保障。

【问题2】（9分）

请用300字以内的文字，从授权的可管理性、细粒度访问控制的支持和对分布式环境的支持三个方面指出项目组采用王工方案的原因。

【问题3】（8分）

图5-1给出了基于XACML的授权决策中心的基本结构以及一次典型授权决策的执行过程，请分别将备选答案填入图中的(1)～(4)。

试题五（共25分）阅读以下关于信息系统安全性的说明，在答题纸上回答问题l至问题3。【说明】某大型

备选答案：策略管理点(PAP)、策略执行点(PEP)、策略信息点(PIP)、策略决策点(PDP)

点击查看答案

第4题

下列选项中属于信息系统的应用控制的是()。

A.逻辑访问控制

B.设备控制

C.输入控制

D.软件控制和软件盗版

点击查看答案

第5题

在信息系统中访问控制包括（)等几个要素。

A.协议

B.主体

C.客体

D.控制策略

点击查看答案

第6题

安全的信息系统结构中的安全服务不包括（)。

A.访问控制

B.公证

C.抗拒绝服务

D.数据机密性

点击查看答案

第7题

物理控制是指在物流信息系统应用中为确定、防止错误、非法访问和其他威胁并恢复破坏而使用的程序

代码控制。()

点击查看答案

第8题

请教：2007年下半年《信息系统项目管理师》上午试题（参考答案版)第1大题第3小题如何解答？

【题目描述】

● 关于网络安全服务的叙述中，（3）是错误的。

（3）

A. 应提供访问控制服务以防止用户否认已接收的信息

B. 应提供认证服务以保证用户身份的真实性

C. 应提供数据完整性服务以防止信息在传输过程中被删除

D. 应提供保密性服务以防止传输的数据被截获或篡改

【我提交的答案】： C

【参考答案与解析】：

正确答案：A

答案分析：

【我的疑问】（如下，请求专家帮助解答）

这道题的正确答案是C吧？

点击查看答案

第9题

信息系统访问控制机制中，()是指对所有主题和客体部分分配安全标签用来标识所属的安全级别，然后在访问控制执行时对主题和客体的安全级别进行比较，确定本次访问是否合法性的技术或方法

A.自主访问控制

B.强制访问控制

C.基于角色的访问控制

D.基于组的访问控制

点击查看答案

第10题

在防范非法访问窃密的计算机信息系统保密措施中，利用操作系统的访问控制技术建立的三道防线是()。

A.身份鉴别

B.访问权限控制

C.拦截屏蔽

D.数据加密

E.审计跟踪

点击查看答案

警告：系统检测到您的账号存在安全风险

为了保护您的账号安全，请在“赏学吧”公众号进行验证，点击“官网服务”-“账号验证”后输入验证码“”完成验证，验证成功后方可继续查看答案！

微信搜一搜

赏学吧

点击打开微信

警告：系统检测到您的账号存在安全风险

抱歉，您的账号因涉嫌违反赏学吧购买须知被冻结。您可在“赏学吧”微信公众号中的“官网服务”-“账号解封申请”申请解封，或联系客服。

微信搜一搜

赏学吧

点击打开微信