A.从安全性等级来看,这三个模型安全性从低到高的排序是自主访问控制模型、强制访问控制模型和基于角色的访问控制模型
B.自主访问控制是一种广泛的应用方法,资源的所有者(往往也是创造者)可以规定谁有权访问它们的资源,具有较好的易用性和可扩展性
C.强制访问控制模型要求主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体。该模型具有一定的抗恶意程序攻击能力,适用于专用或安全性要求较高的系统
D.基于角色的访问控制模型的基本思想是根据用户所担任的角色来决定用户在系统中的访问权限,该模型便于实施授权管理和安全约束,容易实现最小特权、职责分离等各种安全策略
您可能感兴趣的试卷
你可能感兴趣的试题
A.状态监测防火墙可以应用会话信息决定过滤规则
B.状态监测防火墙具有记录通过每个包的详细信息能力
C.状态监测防火墙过滤规则与应用层无关,相比于包过滤防火墙更易安装和使用
D.状态监测防火墙结合网络配置和安全规定做出接纳、拒绝、身份认证或报警等处理动作
A.4
B.5
C.6
D.7
公钥基础措施(Public Key Infrastructure,PKI)引入数字证书的概念,用来表示用户的身份。下图简要地描述终端实体(用户)从认证授权权威机构CA申请,撤销和更新数字证书的流程。请为中间匡空白处选择合适的选线()
A.证书库
B.RA
C.OCSP
D.CRL库
A.P是Plan,指分析问题、发现问题、确定方针、目标和活动计划
B.D是Do,指实施、具体运作,实现计划中的内容
C.C是Check,指检查、总结执行计划的结果,明确效果,找出问题
D.D是Aim,指瞄准问题,抓住安全事件的核心,确定责任
A.在组织中,应由信息技术责任部门(如信息中心)制定并颁布信息安全方针,为组织的ISMS建设指明方向并提供总体纲领,明确总体要求
B.组织的管理层应确保ISMS目标和相应的计划得以制定,信息安全管理目标应明确、可度量,风险管理计划应具体,具备可行性
C.组织的信息安全目标、信息安全方针和要求应传达到全组织范围内,应包括全体员工,同时,也应传达到客户合作伙伴和供应商等外部各方
D.组织的管理层应全面了解组织所面临的信息安全风险,决定风险可接受级别和风险可接受准则,并确认接受相关残余风险
A.S/MIME采用了非对称密码学机制
B.S/MIME支持数字证书
C.S/MIME采用了邮件防火墙技术
D.S/MIME支持用户身份认证和邮件加密
A.WPA是有线局域安全协议,而WA2是无线局域网协议
B.WPA是适用于中国的无线局域安全协议,而WPA2是适用于全世界的无线局域网协议
C.WPA没有使用密码算法对接入进行认证,而WA2使用了密码算法对接入进行认证
D.WPA是依照802.11i标准草案制定的,而WA2是依照802.11i正式标准制定的
Kerberos协议是常用的集中访问控制协议,通过可信第三方的认证服务,减轻应用服务器的负担。Kerberos的运行环境由秘钥分发中心(KDC)、应用服务器和客户端三个部分组成。其中,KDC分为认证服务AS和票据授权服务TGS两部分。下图展示了Kerberos协议的三个阶段,分别为(1)kerberos获得服务许可票据,(2),kerberos获得服务,(3)kerberos获得票据许可票据。下列选项中,对这三个阶段的排序正确的是()
A.(1)→(2)→(3)
B.(3)→(2)→(1)
C.(2)→(1)→(3)
D.(3)→(1)→(2)
A.指一个特定的漏洞,该漏洞每年1月1日零点发作,可以被攻击者用来远程攻击,获取主机权限
B.指一个特定的漏洞,特指在2010年被发现出来的一种漏洞,该漏洞被“震网”病毒所利用,用来攻击伊朗布什尔核电站基础设施
C.指一类漏洞,即特别好被利用,一旦成功利用该类漏洞,可以在1天内完成攻击,且成功达到攻击目标
D.指一类漏洞,即刚被发现后立即被恶意利用的安全漏洞,一般来说,那些已经被小部分人发现,但是还未公开、还不存在安全补丁的漏洞都是零日漏洞
A.该信息系统发生重大信息安全事件后,工作人员应在3小时内到位,完成问题定位和应急处理工作
B.该信息系统发生重大信息安全事件后,工作人员应在3小时内完成应急处理工作,并恢复对外运行
C.若该信息系统发生重大信息安全事件,工作人员在完成处置和灾难恢复工作后,系统至少能提供3小时的紧急业务服务能力
D.若该信息系统发生重大信息安全事件,工作人员在完成处置和灾难恢复工作后,系统至多能丢失3小时的业务数据
最新试题
甲公司打算制作网络连续时所需要的插件的规格尺寸、引脚数量和线序情况,甲公司将这个任务委托了乙公司,那么乙公司的设计员应该了解OSI参考模型中的哪一层?()
风险评估文档是指在整个风险评估过程中产生的评估过程文档和评估结果文档,其中,明确评估的目的、职责、过程、相关的文档要求,以及实施本次评估所需要的各种资产、威胁、脆弱性识别和判断依据的文档是()。
某集团公司信息安全管理员根据领导安排制定了下一年度的培训工作计划,提出了四个培训任务和目标。关于这四个培训任务和目标。作为主管领导,以下选项中正确的是()。
分析针对Web的攻击前,先要明白http协议本身是不存在安全性的问题的,就是说攻击者不会把它当作攻击的对象。而是应用了http协议的服务器或则客户端、以及运行的服务器的wed应用资源才是攻击的目标。针对Web应用的攻击,我们归纳出了12种,小陈列举了其中的4种,在这四种当中错误的是()。
某IT公司针对信息安全事件已建立了完善的预案,在年度企业信息安全总结会上,信息安全管理员对今年应急预案工作做出了四个总结,其中有一项总结工作是错误,作为企业CS哦,请你指出存在在问题的是哪个总结?()
计算机漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。在病毒肆意的信息不安全时代,某公司为减少计算机系统漏洞,对公司计算机系统进行了如下措施,其中错误的是()。
某商贸公司信息安全管理员考虑到信息系统对业务影响越来越重要,计划编制单位信息安全应急响应预案,在向主管领导写报告时,他列举了编制信息安全应急响应预案的好处和重要性,在他罗列的四条理由中,其中不适合作为理由的一条是()。
保护-检测-响应(Protection-Detection-Response,PDR)模型是()工作中常用的模型,七思想是承认()中漏洞的存在,正视系统面临的(),通过采取适度防护、加强()、落实对安全事件的响应、建立对威胁的防护来保障系统的安全。
以下哪个组织所属的行业的信息系统不属于关键信息基础设施?()
等级保护实施根据GB/T25058-2010《信息安全技术信息系统安全等级保护实施指南》分为五大阶段;()、总体规划、设计实施、()和系统终止。但由于在开展等级保护试点工作时,大量信息系统已经建设完成,因此根据实际情况逐步形成了()、备案、差距分析(也叫差距测评)、建设整改、验收测评、定期复查为流程的()工作流程。和《等级保护实施指南》中规定的针对()的五大阶段略有差异。