首页
外语
计算机
考研
公务员
职业资格
财经
工程
司法
医学
专升本
自考
实用职业技能
登录
计算机
基于角色的访问控制中,角色定义、角色成员的增减、角色分配都是由______实施的,用户只能被动接受授权规定,不能自主地决定,用户也不能自主地将访问权限传给他人,这是一种非自主型访问控制。 A.CSO B.安全管理员 C.稽查员或审计员 D.应用系统的管理员
基于角色的访问控制中,角色定义、角色成员的增减、角色分配都是由______实施的,用户只能被动接受授权规定,不能自主地决定,用户也不能自主地将访问权限传给他人,这是一种非自主型访问控制。 A.CSO B.安全管理员 C.稽查员或审计员 D.应用系统的管理员
admin
2019-06-06
70
问题
基于角色的访问控制中,角色定义、角色成员的增减、角色分配都是由______实施的,用户只能被动接受授权规定,不能自主地决定,用户也不能自主地将访问权限传给他人,这是一种非自主型访问控制。
A.CSO
B.安全管理员
C.稽查员或审计员
D.应用系统的管理员
选项
A、
B、
C、
D、
答案
D
解析
当今最著名的美国计算机安全标准是可信计算机系统评估标准(TCSEC)。其中一个内容就是要阻止未被授权而浏览机密信息。TCSEC规定了两个访问控制类型:自主访问控制(DAC)和强制访问控制(MAC)。DAC是指主体可以自主地将访问权限或者访问权限的某个子集授予其他主体。主要是某些用户(特定客体的用户或具有指定特权的用户)规定别的用户能以怎样的方式访问客体。它主要满足商业和政府的安全需要,以及单级军事应用。但是由于它的控制是自主的,所以也可能会因为权限的传递而泄漏信息。另外,如果合法用户可以任意运行一个程序来修改他拥有的文件存取控制信息,而操作系统无法区分这种修改是用户自己的操作,还是恶意程序的非法操作,解决办法就是通过强加一些不可逾越的访问限制。因此,又提出了一种更强有力的访问控制手段,即强制访问控制(MAC),但是它主要用于多级安全军事应用,很少用于其他方面。现今人们在MAC基础上提出基于角色的访问控制(RBAC),它是一种强制访问控制形式,但它不是基于多级安全需求,其策略是根据用户在组织内部的角色制定的,用户不能任意将访问权限传递给其他用户。这是RBAC和DAC之间最基本的不同。
基于角色访问控制(RBAC)模型是目前国际上流行的先进的安全访问控制方法。它通过分配和取消角色来完成用户权限的授予和取消,并且提供角色分配规则。安全管理人员根据需要定义各种角色,并设置合适的访问权限,而用户根据其责任和资历再被指派为不同的角色。这样,整个访问控制过程就分成两个部分,即访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离。
由于实现了用户与访问权限的逻辑分离,基于角色的策略极大地方便了权限管理。例如,如果一个用户的职位发生变化,只要将用户当前的角色去掉,加入代表新职务或新任务的角色即可。研究表明,角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多,并且给用户分配角色不需要很多技术,可以由行政管理人员来执行,而给角色配置权限的工作比较复杂,需要一定的技术,可以由专门的技术人员来承担,但是不给他们给用户分配角色的权限,这与现实中的情况正好一致。
基于角色访问控制可以很好地描述角色层次关系,实现最小特权原则和职责分离原则。
转载请注明原文地址:https://kaotiyun.com/show/QzUZ777K
本试题收录于:
信息系统项目管理师上午综合知识考试题库软考高级分类
0
信息系统项目管理师上午综合知识考试
软考高级
相关试题推荐
软件著作权产生的时间是()。
质量功能部署(QFD)是一种将客户要求转化成软件需求的技术。QFD的目的是最大限度地提升软件工程过程中客户的满意度。为了这个目标,QFD确认了三类需求,常规需求、(29)和意外需求。
在网络设计阶段进行通信流量分析时可以采用简单的80/20规则,以下关于这种规则的叙述中,正确的是______。
在综合考虑企业内外环境,以集成为核心,围绕企业战略需求进行信息系统规划时,适合于采用的方法是(39)。
多媒体电子出版物创作的主要步骤为(57)。
按照开放的接口、服务和支持的规范而实现的系统称为开放系统。开放系统环境中的人机界面、系统管理工具、通信服务和安全性等方面都是按公开标准实现的,这种环境有利于实现应用软件的(61)。
Thepurposeofthesystemsanalysisphaseistobuildalogicalmodelofthenewsystem.Thefirststepis(71),whereyouinvestig
Thepurposeofthesystemsanalysisphaseistobuildalogicalmodelofthenewsystem.Thefirststepis(71),whereyouinvestig
需求获取是确定和理解不同的项目干系人的需求和约束的过程,需求获取是否科学、准备充分,对获取的结果影响很大。在多种需求获取方式中,(19)方法具有良好的灵活性,有较宽广的应用范围,但存在获取需求时信息量大、记录较为困难、需要足够的领域知识等问题。(20)方法
131-45=53在(23)进制下成立。
随机试题
医疗保险
A.蠕形螨病B.疥螨病C.脓皮症D.犬小孢子菌病E.马拉色菌病犬脱毛,搔痒,患部在暗室用伍氏灯照射呈现苹果绿荧光。最有可能的诊断是()。
对于债券利率的风险,下列叙述正确的是( )。
各题所给出的4个选项中,至少有1项符合题目要求
某工厂车组做一批零件。现有甲、乙、丙、丁四个小组,假设四组一起完成共需6小时,由甲、乙、丙三组一起完成需8小时,乙、丙、丁一起需12小时,那么甲、丁两组一起完成需要()小时。
《毛诗序》中提到了《诗经》“六艺”,即“风、赋、比、兴、雅、颂”。其中“兴”指的是()?
设A和B都是m×n实矩阵,满足r(A+B)=n,证明ATA+BTB正定.
如下图所示,某园区网用10Gbps的POS技术与Internet相连,POS接口的帧格式是SONET。园区网内部路由协议采用OSPF,与Intemet的连接使用静态路由协议。该园区网还通过一台Cisco2511和Modempool设备为用户提供拨号入网服务
WhendidtheearthquakehappeninTangshan?
Irespectyourpersistenceafterthefailure,butyou______(不该把错误推到别人身上).
最新回复
(
0
)