单选题某公司的内部审计师正审核对公司网络访问的控制是否能确保离职员工不能继续访问公司网络。此测试的最佳方法是()A 与数据库管理员讨论密码清除程序B 审查访问控制软件,以确定是否实施了最新版本C 检查电脑日志,了解访问尝试D 核对当前工资单与数据库访问列表
题目
与数据库管理员讨论密码清除程序
审查访问控制软件,以确定是否实施了最新版本
检查电脑日志,了解访问尝试
核对当前工资单与数据库访问列表
相似考题
更多“单选题某公司的内部审计师正审核对公司网络访问的控制是否能确保离职员工不能继续访问公司网络。此测试的最佳方法是()A 与数据库管理员讨论密码清除程序B 审查访问控制软件,以确定是否实施了最新版本C 检查电脑日志,了解访问尝试D 核对当前工资单与数据库访问列表”相关问题
-
第1题:
确定前雇员是否连续登录公司自动化数据库的最佳证据来源是( )。A.和数据库管理员讨论密码排除过程
B.检查计算机的访问尝试日志
C.将当前的工资清单同数据库访问清单进行核对
D.检查存取控制软件,确定是否实施了最新版本软件答案:C解析:C这种比较可以表示分析性证据,而这些证据可以识别出访问数据库但不在最新工资单中的前雇员。选项A不正确,虽然数据库管理员负责安全性,但同数据库管理员讨论可以表示证明性证据,这种证据本身是不具有结论性的。选项B不正确,如果访问数据库的人员不再是雇员,访问企图日志是识别不出来的。选项D不正确,审核存取控制软件不是一个明确的测试,设计这种测试是为了识别访问数据库的人。 -
第2题:
审查完业务流程后,某大型组织正基于语音IP (VoIP)技术部署新的Web应用程序。要实施便于该VoIP Web应用程序安全管理的访问控制,以下哪项是最合适的方法?()
- A、细化访问控制
- B、基于角色的访问控制(RBAC)
- C、访问控制列表
- D、网络/服务访问控制
正确答案:B -
第3题:
下列不能防止未经授权对在线数据进行篡改的是:()
- A、操作系统访问控制
- B、数据库访问控制
- C、网页访问控制
- D、关键字核对
正确答案:D -
第4题:
为了对访问财务数据库文件进行合理控制,数据库管理员应该确保有数据库系统功能来允许()。
- A、对数据库文件进行只读访问
- B、特权软件工具进行的更新
- C、仅仅访问经过授权的逻辑视图
- D、用户对自己的访问资料进行更新
正确答案:C -
第5题:
确定前雇员是否连续登录公司自动化数据库的最佳证据来源是()。
- A、和数据库管理员讨论密码排除过程
- B、检查计算机的访问尝试日志
- C、将当前的工资清单同数据库访问清单进行核对
- D、检查存取控制软件,确定是否实施了最新版本软件
正确答案:C -
第6题:
内部审计师对公司各项计算机应用程序的访问安全控制进行审查。他发现每项应用中都编制了访问控制程序,那么应向管理当局提出的最好的建议是:()
- A、取消内设的访问控制。
- B、考虑使用访问控制软件。
- C、考虑使用实用软件。
- D、将内设访问控制的使用扩展到新的应用程序中。
正确答案:B -
第7题:
单选题某公司的内部审计师正审核对公司网络访问的控制是否能确保离职员工不能继续访问公司网络。此测试的最佳方法是()A与数据库管理员讨论密码清除程序
B审查访问控制软件,以确定是否实施了最新版本
C检查电脑日志,了解访问尝试
D核对当前工资单与数据库访问列表
正确答案: C解析: 暂无解析 -
第8题:
单选题内部审计师对公司各项计算机应用程序的访问安全控制进行审查。他发现每项应用中都编制了访问控制程序,那么应向管理当局提出的最好的建议是:()A取消内设的访问控制。
B考虑使用访问控制软件。
C考虑使用实用软件。
D将内设访问控制的使用扩展到新的应用程序中。
正确答案: B解析: A.不正确,取消内设的访问控制会削弱访问安全控制,不利于计算机程序的安全应用。B.正确。使用访问控制软件能较好地达到控制目标。一个系统的安全控制应包括应用控制和一般控制,由题意可知,该公司的应用系统只有应用控制而没有考虑一般控制,因此通过使用访问控制软件来增强一般控制是很好的建议。C.不正确,使用实用软件与控制目标无关,因为使用工具软件不会进一步增强系统的安全性。D.不正确,该选项与控制目标无关,因为这个建议对增强现有应用的安全性没有帮助。 -
第9题:
单选题某公司网管员对核心数据的访问进行控制时,针对每个用户指明能够访问的资源,对于不在指定资源列表中的对象不允许访问。该访问控制策略属于()A自主访问控制(DAC)
B强制访问控制(MAC)
C基于角色的访问控制(RBAC)
D访问控制列表方式(ACL)
正确答案: A解析: 访问控制机制可分为两种:强制访问控制机制(MAC)和自主访问控制机制(DAC)。强制访问控制机制(MAC):系统独立于用户行为强制执行访问控制,用户不能改变他们的安全级别或对象安全属性。自主访问控制机制(DAC):允许对象的属主来制订针对该对象的保护策略。通常DAC通过访问控制列表(ACL)来限定哪些主体针对哪些客体可以执行什么操作。每个客体都拥有一个限定主体对其访问权限的访问控制列表。20世纪90年代以来出现的一种基于角色的访问控制(RBAC)技术有效地克服了传统访问控制技术中存在的不足之处。基于角色的访问控制中,角色由应用系统的管理员定义。角色成员的增减也只能由应用系统的管理员来执行,即只有应用系统的管理员有权定义和分配角色,而且授权规定是强加给用户的,用户只能被动接受,不能自主地决定,用户也不能自主地将访问权限传给他人,这是一种非自主型访问控制。RBAC和DAC的根本区别在于用户不能自主地将访问权限授给别的用户。RBAC与MAC的区别在于MAC是基于多级安全需求的,而RBAC不是。基于以上说明可知,题干中的访问控制策略属于自主访问控制(DAC)。 -
第10题:
单选题为了对访问财务数据库文件进行合理控制,数据库管理员应该确保有数据库系统功能来允许()。A对数据库文件进行只读访问
B特权软件工具进行的更新
C仅仅访问经过授权的逻辑视图
D用户对自己的访问资料进行更新
正确答案: D解析: 暂无解析 -
第11题:
单选题访问控制是网络安全的基础内容,下面哪种实现方式最安全、方便与实用()A防火墙
B网络设备访问控制列表
C主机系统账号、授权与访问控制
D应用系统账号、授权与访问控制
正确答案: D解析: 暂无解析 -
第12题:
单选题IS审计师发现数据库管理员(DBA)有生产数据的读写权限。该IS审计师应该:()A接受DBA访问为普遍做法
B评估与DBA功能相关的控制
C建议立即撤销DBA对生产数据的访问权限
D审查DBA批准的用户访问权限
正确答案: D解析: 发现潜在的风险时,寻找最好的控制是一种良好的做法,但IS审计师应该评估相关控制,DBA的访问权限应基于按须知密和按需执行的原则,因此,撤销可能会移除必要的访问权限。通常情况下,DBA可能需要某些生产数据的访问权限。授予用户权限是数据所有者的职责,与DBA无关。 -
第13题:
审查客户端服务器环境的访问控制的IS审计师应该首先:()
- A、评估加密技术
- B、识别网络访问点
- C、审查身份管理系统
- D、审查应用程序级访问控制
正确答案:B -
第14题:
某公司的内部审计师正审核对公司网络访问的控制是否能确保离职员工不能继续访问公司网络。此测试的最佳方法是()
- A、与数据库管理员讨论密码清除程序
- B、审查访问控制软件,以确定是否实施了最新版本
- C、检查电脑日志,了解访问尝试
- D、核对当前工资单与数据库访问列表
正确答案:D -
第15题:
某公司网管员对核心数据的访问进行控制时,针对每个用户指明能够访问的资源,对于不在指定资源列表中的对象不允许访问。该访问控制策略属于()
- A、自主访问控制(DAC)
- B、强制访问控制(MAC)
- C、基于角色的访问控制(RBAC)
- D、访问控制列表方式(ACL)
正确答案:A -
第16题:
确定前雇员是否连续登录公司自动化数据库的证据来源是()。
- A、和数据库管理员讨论密码排除过程
- B、检查计算机的访问尝试日志
- C、将当前的工资清单同数据库访问清单进行核对
- D、检查存取控制软件,确定是否实施了版本软件
正确答案:C -
第17题:
访问控制是网络安全的基础内容,下面哪种实现方式最安全、方便与实用()
- A、防火墙
- B、网络设备访问控制列表
- C、主机系统账号、授权与访问控制
- D、应用系统账号、授权与访问控制
正确答案:A -
第18题:
某公司的人员流动比较频繁,网络信息系统管理员为了减少频繁的授权变动,其访问控制模型应该采()。
- A、自主型访问控制
- B、强制型访问控制
- C、基于角色的访问控制
- D、基于任务的访问控制
正确答案:C -
第19题:
单选题审查客户端服务器环境的访问控制的IS审计师应该首先:()A评估加密技术
B识别网络访问点
C审查身份管理系统
D审查应用程序级访问控制
正确答案: D解析: 通常,客户端服务器环境包含多个访问控制点并利用分布式技术,增加了未授权访问数据和处理的风险。为了评估客户端服务器环境的安全性,所有网络访问点都应加以识别。在审查的稍后阶段,将进行评估加密技术、查看身份管理系统和审查应用程序级访问控制。 -
第20题:
单选题审查完业务流程后,某大型组织正基于语音IP (VoIP)技术部署新的Web应用程序。要实施便于该VoIP Web应用程序安全管理的访问控制,以下哪项是最合适的方法?()A细化访问控制
B基于角色的访问控制(RBAC)
C访问控制列表
D网络/服务访问控制
正确答案: D解析: 在本实例中,通过RBAC技术可最好地解决授权问题。RBAC易于管理,并能在大型Web环境(包括VoIP实施)中执行强大而有效的访问控制。针对VoIPWeb应用程序的访问控制列表和细化访问控制并不能扩展到企业级系统,因为这两种方法主要基于个人用户身份及其特定技术权限。网络/服务访问控制可实现VoIP可用性,但不能解决应用程序级访问或授权问题。 -
第21题:
单选题确定前雇员是否连续登录公司自动化数据库的最佳证据来源是()。A和数据库管理员讨论密码排除过程
B检查计算机的访问尝试日志
C将当前的工资清单同数据库访问清单进行核对
D检查存取控制软件,确定是否实施了最新版本软件
正确答案: A解析: C这种比较可以表示分析性证据,而这些证据可以识别出访问数据库但不在最新工资单中的前雇员。选项A不正确,虽然数据库管理员负责安全性,但同数据库管理员讨论可以表示证明性证据,这种证据本身是不具有结论性的。选项B不正确,如果访问数据库的人员不再是雇员,访问企图日志是识别不出来的。选项D不正确,审核存取控制软件不是一个明确的测试,设计这种测试是为了识别访问数据库的人。 -
第22题:
单选题某公司的人员流动比较频繁,网络信息系统管理员为了减少频繁的授权变动,其访问控制模型应该采()。A自主型访问控制
B强制型访问控制
C基于角色的访问控制
D基于任务的访问控制
正确答案: C解析: 本题考查访问控制技术的基础知识。访问控制是指主体依据某些控制策略或权限对客体本身或是资源进行的不同授权访问。访问控制包括三个要求:主体、客体和控制策略。访问控制模型是一种从访问控制的角度出发,描述安全系统,建立安全模型的方法。访问控制模型通常分为自主型访问控制模型、强制型访问控制模型、基于角色的访问控制模型、基于任务的访问控制模型和基于对象的访问控制模型。
自主型访问控制:允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体,某些用户还可以自主地把自己所拥有的客体的访问权限授予其他用户。
强制型访问控制:用户和客体资源都被赋予一定的安全级别,用户不能改变自身和客体的安全级别,只有管理员才能够确定用户和组的访问权限。
基于角色的访问控制:将访问许可权分配给一定的角色,用户通过饰演不同的角色获得角色所拥有的访问许可权。
基于任务的访问控制模型:从应用和企业层角度来解决安全问题,以面向任务的观点,从任务的角度来建立安全模型和实现安全机制,在任务处理的过程中提供动态实时的安全管理。
本题给出的条件是公司的人员流动比较频繁,但是公司的角色(职位)一般是不会变化,因此适合采用基于角色的访问控制模型。 -
第23题:
单选题下列不能防止未经授权对在线数据进行篡改的是:()A操作系统访问控制
B数据库访问控制
C网页访问控制
D关键字核对
正确答案: D解析: 访问控制技术确保只有被授权用户才能实现对特定数据和资源的访问。关键字核对是通过由另外一人对选定的数据项重新输入其关键字,以保证这些数据项的正确性,不能防止未经授权对在线数据进行篡改。 -
第24题:
单选题确定前雇员是否连续登录公司自动化数据库的证据来源是()。A和数据库管理员讨论密码排除过程
B检查计算机的访问尝试日志
C将当前的工资清单同数据库访问清单进行核对
D检查存取控制软件,确定是否实施了版本软件
正确答案: C解析: C这种比较可以表示分析性证据,而这些证据可以识别出访问数据库但不在工资单中的前雇员。选项A不正确,虽然数据库管理员负责安全性,但同数据库管理员讨论可以表示证明性证据,这种证据本身是不具有结论性的。选项B不正确,如果访问数据库的人员不再是雇员,访问企图日志是识别不出来的。选项D不正确,审核存取控制软件不是一个明确的测试,设计这种测试是为了识别访问数据库的人。