阅读下列说明和图，答问题1至问题2，将解答填入答题纸的对应栏内。 ?【说明】?访问控制是对信息系统资源进行保护的重要措施，适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。访问控制一般是在操作系统的控制下，按照事先确定的规则决定是否允许用户对资源的访问。??图2-1给出了某系统对客体traceroute.mpg实施的访问控制规则【问题1】（3分）针对信息系统的访问控制包含哪些基本要素？【问题2】（7分）分别写出图2-1中用户Administrator对应三种访问控制实现方法，即

题目

阅读下列说明和图，答问题1至问题2，将解答填入答题纸的对应栏内。 ?【说明】?访问控制是对信息系统资源进行保护的重要措施，适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。访问控制一般是在操作系统的控制下，按照事先确定的规则决定是否允许用户对资源的访问。??图2-1给出了某系统对客体traceroute.mpg实施的访问控制规则

【问题1】（3分）针对信息系统的访问控制包含哪些基本要素？
【问题2】（7分）分别写出图2-1中用户Administrator对应三种访问控制实现方法，即能力表、访问控制表和访问控制矩阵下的访问控制规则。
【问题1】（3分）针对信息系统的访问控制包含哪些基本要素？
【问题2】（7分）分别写出图2-1中用户Administrator对应三种访问控制实现方法，即能力表、访问控制表和访问控制矩阵下的访问控制规则。

相似考题

1.试题四论信息系统中的访问控制访问控制主要任务是保证系统资源不被非法使用和访问。访问控制规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出资源访问的请求加以控制。访问控制是策略和机制的集合，它允许对限定资源的授权访问。访问控制也可以保护资源，防止无权访问资源的用户的恶意访问。访问控制是系统安全保障机制的核心内容，是实现数据保密性和完整性机制的主要手段，也是信息系统中最重要和最基础的安全机制。请围绕“信息系统中的访问控制”论题，依次从以下三个方面进行论述。1．概要叙述你参与管理和开发的软件项目以及你在其中所担任的主要工作。2．详细论述常见的访问控制策略和访问控制机制。3．阐述在项目开发中你所采用的访问控制策略和机制，并予以评价。

2.访问控制就是防止未授权用户访问系统资源。()此题为判断题(对，错)。

3.对于信息系统访问控制说法错误的是?()A.应该根据业务需求和安全要求制定清晰的访问控制策略，并根据需要进行评审和改进。B.网络访问控制是访问控制的重中之重，网络访问控制做好了操作系统和应用层次的访问控制就会解决C.做好访问控制工作不仅要对用户的访问活动进行严格管理，还要明确用户在访问控制中的有关责任D.移动计算和远程工作技术的广泛应用给访问控制带来新的问题，因此在访问控制工作要重点考虑对移动计算设备和远程工作用户的控制措施

4.下面有关访问控制说法错误的是()。A、访问控制对系统中的用户、程序、进程或计算机网络中其他系统访问本系统资源进行限制、控制的过程B、主体对客体的访问受到控制，是一种加强授权的方法C、任何访问控制策略最终可被模型化为访问矩阵形式。D、访问矩阵是实际中使用最多的访问控制技术。

更多“阅读下列说明和图，答问题1至问题2，将解答填入答题纸的对应栏内。 ?【说明】?访问控制是对信息系统资源进行保护的重要措施，适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。访问控制一般是在操作系统的控制下，按照事先确定的规则决定是否允许用户对资源的访问。??图2-1给出了某系统对客体traceroute.mpg实施的访问控制规则 ”相关问题

第1题：

阅读下列说明和图，回答问题1至问题2，将解答填入答题纸的对应栏内。
【说明】
访问控制是对信息系统资源进行保护的重要措施，适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。访问控制一般是在操作系统的控制下，按照事先确定的规则决定是否允许用户对资源的访问。图2-1给出了某系统对客体traceroute.mpg实施的访问控制规则。
【问题1】
针对信息系统的访问控制包含哪些基本要素？
【问题2】
分别写出图2-1中用户Administrator对应三种访问控制实现方法，即能力表、访问控制表、访问控制矩阵下的访问控制规则。

正确答案：
【问题1】主体、客体、授权访问【问题二】能力表：（主体）Administrator<（客体）traceroute.mpg：读取，运行>访问控制表：（客体）traceroute.mpg<（主体）Administrator：读取，运行>访问控制矩阵：
第2题：

访问控制是对信息系统资源进行保护的重要措施,适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。信息系统访问控制的基本要素不包括( )。

A.主体
B.客体
C.授权访问
D.身份认证

参考答案：D
第3题：

访问控制是信息安全管理的重要内容之一，以下关于访问控制规则的叙述中，（23）是不正确的。

A.应确保授权用户对信息系统的正常访问
B.防止对操作系统的未授权访问
C.防止对外部网络未经授权进行访问，对内部网络的访问则没有限制
D.防止对应用系统中的信息未经授权进行访问

答案：C
解析：
访问控制是信息安全管理的重要内容之一，要实现授权用户对信息系统的正常访问和防止对操作系统的未授权访问、防止对应用系统中的信息未经授权进行访问等。
第4题：

[说明] 某企业为防止自身信息资源的非授权访问，建立了如图4－1所示的访问控制系统。

企业访问控制系统
该系统提供的主要安全机制包括：
12认证：管理企业的合法用户，验证用户所宣称身份的合法性，该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制；
13授权：赋予用户访问系统资源的权限，对企业资源的访问请求进行授权决策；
14安全审计：对系统记录与活动进行独立审查，发现访问控制机制中的安全缺陷，提出安全改进建议。
12、[问题1] 对该访问控制系统进行测试时，用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面？每个方面具体的测试内容又有哪些？（6分）
13、[问题2] 测试过程中需对该访问控制系统进行模拟攻击试验，以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击，并简要说明模拟攻击的基本原理。（3分）
14、[问题3] 对该系统安全审计功能设计的测试点应包括哪些？（3分）

答案：
解析：
12、两个方面:
①评价用户权限控制的体系合理性，是否采用三层的管理模式即系统管理员、业务领导和操作人员三级分离；
②用户名称基本采用中文和英文两种，对于测试来说，对于用户名称的测试关键在于测试用户名称的唯一性。
用户名称的唯一性体现有哪些方面？
●同时存在的用户名称在不考虑大小的状态下，不能够同名；
●对于关键领域的软件产品和安全要求较高的软件，应当同时保证使用过的用户在用户删除或停用后，保留该用户记录，并且新用户不得与之同名。
13、模拟攻击试验：对于安全测试来说，模拟攻击试验是一组特殊的黑盒测试案例，我们以模拟攻击验证软件或信息的安全防护能力。可采用冒充、重演、消息篡改、服务拒绝、内部攻击、外部攻击、陷阱门、特洛伊木马方法进行测试。
泪滴(teardrop)。泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP(包括service pack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。防御措施有服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。
口令猜测。一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户账号，然后因为使用简单的密码或者没有设密码，导致黑客能很快的将口令猜出。当然事实上用蛮力是可以破解任何密码的，关键是是否迅速，设置的密码是否能导致黑客花很大的时间和效率成本。防御措施有要选用难以猜测的口令，比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略，就进行锁定。
伪造电子邮件。由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的链接。防御措施有使用PGP等安全工具并安装电子邮件证书。 14、对该系统安全审计功能设计的测试点应包括:
①能否进行系统数据收集，统一存储，集中进行安全审计；
②是否支持基于PKI的应用审计；
③是否支持基于XML的审计数据采集协议；
④是否提供灵活的自定义审计规则。
第5题：

在信息系统中，访问控制是重要的安全功能之一。他的任务是在用户对系统资源提供最大限度共享的基础上，对用户的访问权限进行管理，防止对信息的非授权篡改和滥用。访问控制模型将实体划分为主体和客体两类，通过对主体身份的识别来限制其对客体的访问权限。下列选项中，对主体、客体和访问权限的描述中错误的是（）
- A、对文件进行操作的用户是一种主体
- B、主体可以接受客体的信息和数据，也可能改变客体相关的信息
- C、访问权限是指主体对客体所允许的操作
- D、对目录的访问权可分为读、写和拒绝访问
正确答案:D
第6题：

在信息安全等级保护的网络安全三级基本要求中要求应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。

正确答案:正确
第7题：

某公司网管员对核心数据的访问进行控制时，针对每个用户指明能够访问的资源，对于不在指定资源列表中的对象不允许访问。该访问控制策略属于（）
- A、自主访问控制（DAC）
- B、强制访问控制（MAC）
- C、基于角色的访问控制（RBAC）
- D、访问控制列表方式（ACL）
正确答案:A
第8题：

访问控制能够有效地防止对资源的非授权访问，一个典型的访问控制规则不包括（）。
- A、主体
- B、客体
- C、操作
- D、认证
正确答案:D
第9题：

访问控制的主要作用是防止非法的主体进入受保护的网络资源，允许合法用户访问受保护的网络资源，允许合法的用户对受保护的网络资源进行非授权的访问。

正确答案:错误
第10题：

对于信息系统访问控制说法错误的是（）。
- A、应该根据业务需求和安全要求置顶清晰地访问控制策略，并根据需要进行评审和改进
- B、网络访问控制是访问控制的重中之重，网络访问控制做好了操作系统和应用层次的访问控制问题就可以得到解决
- C、做好访问控制工作不仅要对用户的访问活动进行严格管理，还要明确用户在访问控制中的有关责任
- D、移动计算和远程工作技术在广泛应用给访问控制带来了新的问题，因此在访问控制工作中要重点考虑对移动计算设备和远程工作用户的控制措施
正确答案:B
第11题：

下列属于授权设计要求的是（）。
- A、设计资源访问控制方案，验证用户访问权限
- B、限制用户对系统级资源的访问
- C、设计在服务器端实现访问控制，也可只在客户端实现访问控制
- D、设计统一的访问控制机制
正确答案:A,B,D
第12题：

单选题
在信息系统中，访问控制是重要的安全功能之一。他的任务是在用户对系统资源提供最大限度共享的基础上，对用户的访问权限进行管理，防止对信息的非授权篡改和滥用。访问控制模型将实体划分为主体和客体两类，通过对主体身份的识别来限制其对客体的访问权限。下列选项中，对主体、客体和访问权限的描述中错误的是（）
A
对文件进行操作的用户是一种主体
B
主体可以接受客体的信息和数据，也可能改变客体相关的信息
C
访问权限是指主体对客体所允许的操作
D
对目录的访问权可分为读、写和拒绝访问

正确答案： A
解析：暂无解析
第13题：

信息系统中信息资源的访问控制是保证信息系统安全的措施之一。下面关于访问控制的叙述错误的是( )。

A、访问控制可以保证对信息的访问进行有序的控制
B、访问控制是在用户身份鉴别的基础上进行的
C、访问控制就是对系统内每个文件或资源规定各个(类)用户对它的操作权限
D、访问控制使得所有用户的权限都各不相同

正确答案：D
第14题：

访问控制是信息安全管理的重要内容之一，以下关于访问控制规则的叙述中，（）是不正确的。
A.应确保授权用户对信息系统的正常访问
B.防止对操作系统的未授权访问
C.防止对外部网络未经授权进行访问，对内部网络的访问则没有限制
D.防止对应用系统中的信息未经授权进行访问

正确答案：C
第15题：

阅读下列說明，回答问题1 至问题3，将解答填入答题纸的对应栏内。【说明】访问控制是保障信息系统安全的主要策略之一，其主要任务是保证系统资源不被非法使用和非常规访问。访问控制规定了主体对客体访问的限制，并在身份认证的基础上，对用户提出的资源访问请求加以控制，当前，主要的访问控制模型包括：自主访问控制（DAC）模型和强制访间控制（MAC）模型。【问题1】（6分）针对信息系统的访问控制包含哪三个基本要素？【问题2】（4分）BLP 模型是一种强访问控制模型。请问：（1）BLP 模型保证了信息的机密性还是完整性？（2）BLP 模型采用的说问控制策略是上读下写还是下读上写？【问3】（4分）Linux系统中可以通过ls 命令查看文件的权限，例如：文件 net.txt 的权限属性如下所示：-rwx------1 root root 5025 May 25 2019 /home/abc/net.txt请问：（1）文件net.txt 属于系统的哪个用户？（2）文件net. txt 权限的数字表示是什么？

答案：
解析：
【问题1】主体、客体、授权访问【问题2】（1）机密性（2）下读上写【问题3】（1）root （2）700
第16题：

阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。【说明】某企业为防止自身信息资源的非授权访问，建立了如下图所示的访问控制系统。

该系统提供的主要安全机制包括：(1)认证：管理企业的合法用户，验证用户所宣称身份的合法性，该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制；(2)授权：赋予用户访问系统资源的权限，对企业资源的访问请求进行授权决策；(3)安全审计：对系统记录与活动进行独立审查，发现访问控制机制中的安全缺陷，提出安全改进建议。【问题1】(6分)对该访问控制系统进行测试时，用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面？每个方面具体的测试内容又有哪些？
【问题2】(3分) 测试过程中需对该访问控制系统进行模拟攻击试验，以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击，并简要说明模拟攻击的基本原理。
【问题3】(6分)对该系统安全审计功能设计的测试点应包括哪些？

答案：
解析：
【问题1】答案：1、对用户权限控制体系合理性的评价，内容如下：① 是否采用系统管理员、业务领导和操作人员三级分离的管理模式。② 用户名称是否具有唯一性，口令强度及口令存储的位置的加密强度等。2、对用户权限分配合理性的评价，内容如下：①用户权限系统本身权限分配的细致程度。②特定权限用户访问系统功能的能力测试。【问题2】答案：冒充攻击：攻击者控制企业某台主机，发现其中系统服务中可利用的用户账号，进行口令猜测，从而假装成特定用户，对企业资源进行非法访问。重演攻击：攻击者通过截获含有身份鉴别信息或授权请求的有效消息，将该消息进行重演，以达到鉴别自身或获得授权的目的，实现对企业信息的访问。服务拒绝攻击：攻击者通过向认证服务器或授权服务发送大量虚假请求，占用系统带宽并造成系统关键服务繁忙，从而使得认证授权服务功能不能正常执行，产生服务拒绝。【问题3】参考答案：① 能否进行系统数据收集、统一存储、集中进行安全审计；② 是否支持基于KPI的应用审计；③ 是否支持基于XML的审计数据采集协议；
【解析】
【问题1】本问题考查用户权限控制相关安全测试的基本测试内容。对这部分进行安全测试包含对用户权限控制体系合理性的评价和对用户权限分配合理性的评价。
【问题2】本题考查针对特定系统的模拟攻击实验设计。模拟攻击试验：对于安全测试来说，模拟攻击试验是一组特殊的黑盒测试案例。我们以模拟攻击验证软件或信息的安全防护能力。可采用冒充攻击、重演攻击、消息篡改、服务拒绝攻击和内部攻击等方法进行测试。本问题考查针对特定系统的模拟攻击实验设计。相关模拟攻击实验的设计应结合应用具体的安全机制及特点。针对系统的身份认证机制，可设计冒充攻击试验；针对系统用于认证及授权决策的网络消息，可设计重演攻击试验；针对系统关键核心安全模块，可设计服务拒绝攻击试验；由于系统运行时涉及各种内部用户，因此安全测试需验证系统防范内部用户的安全攻击，因此可设计内部攻击实验。（1）冒充攻击：攻击者控制企业某台主机，发现其中系统服务中可利用的用户账号，进行口令猜测，从而假装成特定用户，对企业资源进行非法访问。（2）重演攻击：攻击者通过截获含有身份鉴别信息或授权请求的有效消息，将该消息进行重演，以达到鉴别自身或获得授权的目的，实现对企业信息的访问。（3）服务拒绝攻击：攻击者通过向认证服务器或授权服务发送大量虚假请求，占用系统带宽并造成系统关键服务繁忙，从而使得认证授权服务功能不能正常执行，产生服务拒绝。（4）内部攻击：不具有相应权限的系统合法用户以非授权方式进行动作，例如截获并存储其他业务部门的网络数据流，或对系统访问控制管理信息进行攻击以获得他人权限等。（以上4点，任意写出三种即可）【问题3】本题考查系统安全审计功能设计的测试点。① 能否进行系统数据收集、统一存储、集中进行安全审计；② 是否支持基于KPI的应用审计；③ 是否支持基于XML的审计数据采集协议；④ 是否提供灵活的自定义审计规则。（以上测试点，任意给出三个即可）
第17题：

关于访问控制的说法不正确的是（）
- A、访问控制是指按用户身份以及其所归属的某预定义组，来限制用户对某些信息项的访问
- B、限制对某些控制功能的使用
- C、访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问
- D、仅限于网络才有访问控制，本地资源并无访问控制一说
正确答案:D
第18题：

访问控制是计算机安全的核心元素。访问控制机制介于哪两者之间？（）
- A、用户和用户
- B、用户和系统资源
- C、用户和界面
- D、系统资源与系统资源
正确答案:B
第19题：

访问控制能够有效的防止对资源的非授权访问，一个典型的访问控制规则不包括（）。
- A、主体
- B、客体
- C、操作
- D、认证
正确答案:D
第20题：

访问控制就是防止未授权用户访问系统资源。

正确答案:错误
第21题：

访问控制的主要作用是（）。
- A、防止对系统资源的非授权访问
- B、在安全事件后追查非法访问活动
- C、防止用户否认在信息系统中的操作
- D、以上都是
正确答案:D
第22题：

访问控制也叫授权，它是对用户访问网络系统资源进行的控制过程。

正确答案:正确
第23题：

判断题
访问控制也叫授权，它是对用户访问网络系统资源进行的控制过程。
A
对
B
错

正确答案：对
解析：暂无解析

题目

相似考题

相关内容