注册信息安全专业人员
IS审计师评估逻辑访问控制时首先应该:()A、记录对系统访问路径的控制B、测试访问路径的控制以判断是否起作用C、评估与已有政策和实践相关的安全环境D、获取并理解信息处理的安全风险
题目
IS审计师评估逻辑访问控制时首先应该:()
- A、记录对系统访问路径的控制
- B、测试访问路径的控制以判断是否起作用
- C、评估与已有政策和实践相关的安全环境
- D、获取并理解信息处理的安全风险
如果没有搜索结果,请直接 联系老师 获取答案。
如果没有搜索结果,请直接 联系老师 获取答案。
相似问题和答案
第1题:
以下关于访问控制的说法错误的是( )。
A:对信息、信息处理设施和业务过程的访问应基于业务和安全需求进行控制
B:访问控制应考虑到信息分发和授权的策略
C:授权用户的合作是有效安全的基础
D:适宜时,应特别注意对有特权的访问权限的分配的控制需求,这种权限不允许用户超越系统控制
B:访问控制应考虑到信息分发和授权的策略
C:授权用户的合作是有效安全的基础
D:适宜时,应特别注意对有特权的访问权限的分配的控制需求,这种权限不允许用户超越系统控制
答案:D
解析:
本题考查访问控制的相关知识。
适宜时,应特别注意对有特权的访问权限的分配的控制需求,这种权限允许用户超越系统控制。
适宜时,应特别注意对有特权的访问权限的分配的控制需求,这种权限允许用户超越系统控制。
第2题:
审查客户端服务器环境的访问控制的IS审计师应该首先:()
- A、评估加密技术
- B、识别网络访问点
- C、审查身份管理系统
- D、审查应用程序级访问控制
正确答案:B
第3题:
()是指系统根据主体和客体的安全属性,以强制的方式控制主体对客体的访问。
A.访问控制矩阵
B.自主访问控制
C.访问控制表
D.强制访问控制
正确答案:D
第4题:
主机系统安全涉及的控制点包括:身份鉴别、安全标记、访问控制、可信路径、安全审计等()个控制点。
- A、8
- B、9
- C、10
- D、7
正确答案:B
第5题:
IS审计师发现数据库管理员(DBA)有生产数据的读写权限。该IS审计师应该:()
- A、接受DBA访问为普遍做法
- B、评估与DBA功能相关的控制
- C、建议立即撤销DBA对生产数据的访问权限
- D、审查DBA批准的用户访问权限
正确答案:B
第6题:
信息系统访问控制机制中,( )是指对所有主体和客体都分配安全标签用来标识所属的安全级别,然后在访问控制执行时对主体和客体的安全级别进行比较,确定本次访问是否合法性的技术或方法。
A.自主访问控制
B.强制访问控制
C.基于角色的访问控制
D.基于组的访问控制
B.强制访问控制
C.基于角色的访问控制
D.基于组的访问控制
答案:B
解析:
访问控制授权方案有:(1)自主访问控制(Discretionary Access Control,DAC),由客体的属主对自己的客体进行管理,由属主自己决定是否将自己的客体访问权或部分访问权授予其他主体,这种控制方式是自主的。也就是说,在自主访问控制下,用户可以按自己的意愿,有选择地与其他用户共享他的文件。(2)强制访问控制(Mandatory Access Control——MAC),用于将系统中的信息分密级和类进行管理,以保证每个用户只能访问到那些被标明可以由他访问的信息的一种访问约束机制。通俗的来说,在强制访问控制下,用户(或其他主体)与文件(或其他客体)都被标记了固定的安全属性(如安全级、访问权限等),在每次访问发生时,系统检测安全属性以便确定一个用户是否有权访问该文件。(3)基于角色的访问控制(RBAC),基于角色的访问控制中,角色由应用系统的管理员定义。而且授权规定是强加给用户的,用户只能被动接受,不能自主地决定,这是一种非自主型访问控制。其基本思想是,对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。
第7题:
以风险为基础的审计方法,IS审计师应该首先完成()。
- A、固有的风险评估.
- B、控制风险评估.
- C、控制测试评估.
- D、实质性测试评估.
正确答案:A
第8题:
信息系统访问控制机制中,()是指对所有主体和客体都分配安全标签用来标识所属的安全级别,然后在访问控制执行时对主体和客体的安全级别进行比较,确定本次访问是否合法的技术或方法。
A.自主访问控制
B.强制访问控制
C.基于角色的访问控制
D.基于组的访问控制
正确答案:B
第9题:
对逻辑访问控制实施检查的主要目的是()。
- A、确保组织安全政策与逻辑访问设计和架构保持一致
- B、确保逻辑访问控制的技术实施与安全管理者的目标一致
- C、确保逻辑访问控制的技术实施与数据所有者的目标一致
- D、理解访问控制是如何实施的
正确答案:A
第10题:
信息科技风险管理策略,包括但不限于下述领域()。
- A、信息分级与保护;信息系统开发、测试和维护;信息科技运行和维护;访问控制;物理安全;人员安全
- B、信息分级与保护;信息系统开发、测试和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置
- C、信息分级与保护;信息系统开发、测试和维护;信息科技运行和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置
- D、信息分级与保护;信息科技运行和维护;访问控制;物理安全;人员安全;业务连续性计划与应急处置
正确答案:D