公司在应用访问控制技术时,应确保其合理性,确保只有被授权的用户才能实现对特定数据和资源的访问。尤其注意系统安全性和系统可用性之间的平衡,所以在建立访问控制列表时应依据的原则是:A.知必所需原则 B.个体可追踪原则 C.成本效益原则 D.以上都对

题目
公司在应用访问控制技术时,应确保其合理性,确保只有被授权的用户才能实现对特定数据和资源的访问。尤其注意系统安全性和系统可用性之间的平衡,所以在建立访问控制列表时应依据的原则是:

A.知必所需原则
B.个体可追踪原则
C.成本效益原则
D.以上都对
相似考题

1.访问控制是信息安全管理的重要内容之一,以下关于访问控制规则的叙述中,() 是不正确的。A.应确保授权用户对信息系统的正常访问B.防止对操作系统的未授权访问C.防止对外部网络未经授权进行访问,对内部网络的访问则没有限制D.防止对应用系统中的信息未经授权进行访问

2.以下关于访问控制的说法错误的是( )。A. 对信息、信息处理设施和业务过程的访问应基于业务和安全需求进行控制 B. 访问控制应考虑到信息分发和授权的策略 C. 授权用户的合作是有效安全的基础 D. 适宜时,应特别注意对有特权的访问权限的分配的控制需求,这种权限不允许用户超越系统控制

3.以下关于访问控制的说法错误的是( )。A:对信息、信息处理设施和业务过程的访问应基于业务和安全需求进行控制 B:访问控制应考虑到信息分发和授权的策略 C:授权用户的合作是有效安全的基础 D:适宜时,应特别注意对有特权的访问权限的分配的控制需求,这种权限不允许用户超越系统控制

4.访问控制是信息安全管理的重要内容之一,以下关于访问控制规则的叙述中,(23)是不正确的。A.应确保授权用户对信息系统的正常访问 B.防止对操作系统的未授权访问 C.防止对外部网络未经授权进行访问,对内部网络的访问则没有限制 D.防止对应用系统中的信息未经授权进行访问

更多“公司在应用访问控制技术时,应确保其合理性,确保只有被授权的用户才能实现对特定数据和资源的访问。尤其注意系统安全性和系统可用性之间的平衡,所以在建立访问控制列表时应依据的原则是:”相关问题

  • 第1题:

    阅读下列说明和图,答问题1至问题2,将解答填入答题纸的对应栏内。 ?【说明】?访问控制是对信息系统资源进行保护的重要措施,适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。访问控制一般是在操作系统的控制下,按照事先确定的规则决定是否允许用户对资源的访问。??图2-1给出了某系统对客体traceroute.mpg实施的访问控制规则



    【问题1】(3分) 针对信息系统的访问控制包含哪些基本要素?
    【问题2】(7分) 分别写出图2-1中用户Administrator对应三种访问控制实现方法,即能力表、访问控制表和访问控制矩阵下的访问控制规则。
    【问题1】(3分) 针对信息系统的访问控制包含哪些基本要素?
    【问题2】(7分) 分别写出图2-1中用户Administrator对应三种访问控制实现方法,即能力表、访问控制表和访问控制矩阵下的访问控制规则。


    答案:
    解析:
    【问题1】主体、客体、访问权限或者授权访问【问题2】

  • 第2题:

    以一哪项功能应当由应用所有者执行,从而确保IS和最终用户的充分的职责分工?()

    • A、系统分析
    • B、数据访问控制授权
    • C、应用编程
    • D、数据管理

    正确答案:B

  • 第3题:

    访问控制是指每个系统(),系统才允许他们访问。

    • A、都要确保只有它们想要的个体
    • B、都要确保只有它们排斥的个体
    • C、都要确保只没有它们想要的个体
    • D、为零时

    正确答案:A

  • 第4题:

    某公司网管员对核心数据的访问进行控制时,针对每个用户指明能够访问的资源,对于不在指定资源列表中的对象不允许访问。该访问控制策略属于()

    • A、自主访问控制(DAC)
    • B、强制访问控制(MAC)
    • C、基于角色的访问控制(RBAC)
    • D、访问控制列表方式(ACL)

    正确答案:A

  • 第5题:

    关于通过内部的“用户对数据”访问控制程序所保护的计算机联机系统的数据安全性。下列陈述中那一条最准确?()

    • A、对数据的访问是通过限制特定的应用程序只能访问特定的文件来控制的。
    • B、对数据的访问是通过限制特定的终端只能调用特定的应用程序来控制的。
    • C、数据的安全决定于对用户身份的识别和认证的控制。
    • D、使用用户对数据访问控制软件,将消除所有的重大控制薄弱环节。

    正确答案:C

  • 第6题:

    访问控制是网络安全的基础内容,下面哪种实现方式最安全、方便与实用()

    • A、防火墙
    • B、网络设备访问控制列表
    • C、主机系统账号、授权与访问控制
    • D、应用系统账号、授权与访问控制

    正确答案:A

  • 第7题:

    访问控制也叫授权,它是对用户访问网络系统资源进行的控制过程。


    正确答案:正确

  • 第8题:

    单选题
    在ISO27001中,对信息安全的“可用性”的描述是()
    A

    确保只有被授权的人才可以访问信息

    B

    确保信息和信息处理方法的准确性和完整性

    C

    确保在需要时,被授权的用户可以访问信息和相关的资产

    D

    以上内容都不是


    正确答案: B
    解析: 暂无解析

  • 第9题:

    单选题
    访问控制是网络安全的基础内容,下面哪种实现方式最安全、方便与实用()
    A

    防火墙

    B

    网络设备访问控制列表

    C

    主机系统账号、授权与访问控制

    D

    应用系统账号、授权与访问控制


    正确答案: C
    解析: 暂无解析

  • 第10题:

    单选题
    以一哪项功能应当由应用所有者执行,从而确保IS和最终用户的充分的职责分工?()
    A

    系统分析

    B

    数据访问控制授权

    C

    应用编程

    D

    数据管理


    正确答案: C
    解析: 暂无解析

  • 第11题:

    单选题
    OSI安全体系结构定义了五种安全服务,()用于防止对资源的非授权访问,确保只有经过授权的实体才能访问受保护的资源
    A

    安全认证服务 

    B

    访问控制安全服务 

    C

    数据保密性安全服务 

    D

    数据完整性安全服务


    正确答案: D
    解析: 暂无解析

  • 第12题:

    单选题
    访问控制是指每个系统(),系统才允许他们访问。
    A

    都要确保只有它们想要的个体

    B

    都要确保只有它们排斥的个体

    C

    都要确保只没有它们想要的个体

    D

    为零时


    正确答案: A
    解析: 暂无解析

  • 第13题:

    使用Windows 2000的组策略,可以限制用户对系统的操作权限,该实例是何种功能的应用?()

    • A、访问控制列表
    • B、执行控制列表
    • C、身份验证
    • D、数据加密分析:注意这里的访问

    正确答案:B

  • 第14题:

    Windows系统的访问控制包括()

    • A、对数据对象的访问,通过对象的访问控制列表来控制
    • B、对文件或文件夹的访问,通过用户和组策略来控制
    • C、对硬件资源的访问,通过给进程颁发访问令牌来控制
    • D、对计算机的访问,通过账号密码的组合及物理限制来控制

    正确答案:B,D

  • 第15题:

    OSI安全体系结构定义了五种安全服务,()用于防止对资源的非授权访问,确保只有经过授权的实体才能访问受保护的资源

    • A、安全认证服务 
    • B、访问控制安全服务 
    • C、数据保密性安全服务 
    • D、数据完整性安全服务

    正确答案:B

  • 第16题:

    在设计一个多用户访问的网络信息系统时,确保所有访问控制需求都得到处理的第一步是()。

    • A、建立访问控制列表(ACL)
    • B、建立访问控制矩阵(ACM)
    • C、建立访问控制功能表
    • D、建立基于角色的访问控制列表(RBAC)

    正确答案:B

  • 第17题:

    以下关于系统对移动终端用户访问控制的基本原则表述有误的一项()

    • A、只有合法的移动终端才能通过公安移动接入网关访问公安信息网
    • B、合法的移动终端只能访问授权的那些公安移动应用系统
    • C、没有授权的移动应用系统能与移动终端交互数据
    • D、合法的移动终端只能访问授权移动应用系统的授权数据

    正确答案:C

  • 第18题:

    在ISO27001中,对信息安全的“可用性”的描述是()

    • A、确保只有被授权的人才可以访问信息
    • B、确保信息和信息处理方法的准确性和完整性
    • C、确保在需要时,被授权的用户可以访问信息和相关的资产
    • D、以上内容都不是

    正确答案:C

  • 第19题:

    下列属于授权设计要求的是()。

    • A、设计资源访问控制方案,验证用户访问权限
    • B、限制用户对系统级资源的访问
    • C、设计在服务器端实现访问控制,也可只在客户端实现访问控制
    • D、设计统一的访问控制机制

    正确答案:A,B,D

  • 第20题:

    单选题
    在设计一个多用户访问的网络信息系统时,确保所有访问控制需求都得到处理的第一步是()。
    A

    建立访问控制列表(ACL)

    B

    建立访问控制矩阵(ACM)

    C

    建立访问控制功能表

    D

    建立基于角色的访问控制列表(RBAC)


    正确答案: C
    解析: 暂无解析

  • 第21题:

    单选题
    关于通过内部的“用户对数据”访问控制程序所保护的计算机联机系统的数据安全性,下列陈述中哪一条最准确?()
    A

    对数据的访问是通过限制特定的应用程序只能访问特定的文件来控制的。

    B

    对数据的访问是通过限制特定的终端只能调用特定的应用程序来控制的。

    C

    数据的安全决定于对用户身份的识别和认证的控制。

    D

    使用用户对数据访问控制软件,将消除所有的重大控制薄弱环节。


    正确答案: B
    解析: 本题考查的知识点是实施审计业务以确保关键风险和控制得到识别 。A.不正确。通过限制应用程序或终端对数据的访问能力虽然也是一种访问控制,但其控制程度不能涵盖“用户对数据”的访问控制,如当一个应用程序由多个用户使用时,就无法细分不同用户对对数据的不同权限。B.不正确。同A。C.正确。只有“数据的安全决定于对用户身份的识别和认证的控制”这一陈述无懈可击。D.不正确。使用用户对数据访问控制软件,不能排除如数据处理和输出过程中存在重大弱点的可能性。

  • 第22题:

    单选题
    关于通过用户数据的访问控制程序来保护在线计算机系统数据安全,下面()描述最准确。
    A

    通过将特定的应用限制在特定的文件,来控制对数据的访问

    B

    通过将特定的终端限制在特定的应用,来控制对数据的访问

    C

    安全取决于对用户ID和用户身份安全性的控制

    D

    使用这种类型的访问控制软件将消除任何重要的控制弱点


    正确答案: D
    解析: 用户ID和用户身份验证程序的有效管理是实施个人责任的关键,是进行用户数据授权的基础。选项A不正确,因为这是工作数据授权技术。选项B不正确,因为这是终端数据授权技术。选项D不正确,因为仅仅使用访问控制软件不会解决所有安全风险。

  • 第23题:

    单选题
    某公司网管员对核心数据的访问进行控制时,针对每个用户指明能够访问的资源,对于不在指定资源列表中的对象不允许访问。该访问控制策略属于()
    A

    自主访问控制(DAC)

    B

    强制访问控制(MAC)

    C

    基于角色的访问控制(RBAC)

    D

    访问控制列表方式(ACL)


    正确答案: B
    解析: 访问控制机制可分为两种:强制访问控制机制(MAC)和自主访问控制机制(DAC)。强制访问控制机制(MAC):系统独立于用户行为强制执行访问控制,用户不能改变他们的安全级别或对象安全属性。自主访问控制机制(DAC):允许对象的属主来制订针对该对象的保护策略。通常DAC通过访问控制列表(ACL)来限定哪些主体针对哪些客体可以执行什么操作。每个客体都拥有一个限定主体对其访问权限的访问控制列表。20世纪90年代以来出现的一种基于角色的访问控制(RBAC)技术有效地克服了传统访问控制技术中存在的不足之处。基于角色的访问控制中,角色由应用系统的管理员定义。角色成员的增减也只能由应用系统的管理员来执行,即只有应用系统的管理员有权定义和分配角色,而且授权规定是强加给用户的,用户只能被动接受,不能自主地决定,用户也不能自主地将访问权限传给他人,这是一种非自主型访问控制。RBAC和DAC的根本区别在于用户不能自主地将访问权限授给别的用户。RBAC与MAC的区别在于MAC是基于多级安全需求的,而RBAC不是。基于以上说明可知,题干中的访问控制策略属于自主访问控制(DAC)。

相关内容