单项选择题
常见的访问控制模型包括自主访问控制模型、强制访问控制模型和基于角色的访问控制模型等,下面描述中错误的是()
A.从安全性等级来看,这三个模型安全性从低到高的排序是自主访问控制模型,强制访问控制模型和基于角色的访问控制模型
B.自主访问控制是一种广泛应用的方法,资源的所有者(往往也是创建者)可以规定谁有权利访问他们的资源,具有较好的易用性和可扩展性
C.强制访问控制模型要求主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体,该模型具有一定的抗恶意程序攻击能力,适用于专用或安全性要求较高的系统
D.基于角色的访问控制模型的基本思想是根据用户所担任的角色来决定用户在系统中的访问权限,该模型便于实施授权管理和安全约束,容易实现最小特权,职责分离等各种安全策略
相关考题
-
单项选择题
以下关于Web传输协议、服务端和客户端软件的安全问题说法不正确的是()
A.HTTP协议主要存在明文传输数据、弱验性和缺乏状态跟踪等方面的安全问题
B.HTTP协议缺乏有效的安全机制,易导致拒绝服务、电子欺骗、嗅探等攻击
C.Cookie是为了辨别用户身份,进行会话跟踪而存储在用户本地终端上的数据,用户可以随意查看储存在Cookie中的数据,但其中的内容不能被修改
D.针对HTTP协议存在的安全问题,使用HTTP具有较高的安全性,可以通过证书来验证服务器的身份,并为浏览器和服务器之间的通信加密 -
单项选择题
对信息安全事件的分级参考下列三个要素:信息系统的重要程度、系统损失和社会影响。依据信息系统的重要程度对系统进行划分,不属于正确划分级别的是:()
A.特别重要信息系统
B.重要信息系统
C.一般信息系统
D.关键信息系统 -
单项选择题
不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据自的实际情况选择适当的风险评估方法。下面的描述中错误的是()。
A.定量风险分析试图从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,以度量风险的可能性和缺失量
B.定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应选择定性风险分析
C.定性风险分析过程中,往往需要凭借分析者的经验和直接进行,所以分析结果和风险评估团队的素质、经验和知识技能密切相关
D.定性风险分析更具主观性,而定量风险分析更具客观性
