目前信息系统所使用的主要用户认证机制,身份识别标识不包括______。A.指纹B.智能卡C.数字证书D.身
目前信息系统所使用的主要用户认证机制,身份识别标识不包括______。
A.指纹
B.智能卡
C.数字证书
D.身份证号码
目前信息系统所使用的主要用户认证机制,身份识别标识不包括______。
A.指纹
B.智能卡
C.数字证书
D.身份证号码
● 目前信息系统所使用的主要用户认证机制,身份识别标识不包括__。
A.指纹
B.智能卡
C.数字证书
D.身份证号码
试题四 论信息系统中的访问控制
访问控制主要任务是保证系统资源不被非法使用和访问。访问控制规定了主体对客体访问的限制,并在身份识别的基础上,根据身份对提出资源访问的请求加以控制。
访问控制是策略和机制的集合,它允许对限定资源的授权访问。访问控制也可以保护资源,防止无权访问资源的用户的恶意访问。访问控制是系统安全保障机制的核心内容,是实现数据保密性和完整性机制的主要手段,也是信息系统中最重要和最基础的安全机制。
请围绕“信息系统中的访问控制”论题,依次从以下三个方面进行论述。
1.概要叙述你参与管理和开发的软件项目以及你在其中所担任的主要工作。
2.详细论述常见的访问控制策略和访问控制机制。
3.阐述在项目开发中你所采用的访问控制策略和机制,并予以评价。
目前最安全的身份认证机制是()。
A.一次口令机制
B.双因素法
C.基于智能卡的用户身价认证
D.身价认证的单因素法
试题五(25分)
阅读以下关于信息系统安全性的叙述,在答题纸上回答问题1至问题3。
某企业根据业务扩张的要求,需要将原有的业务系统扩展到互联网上,建立自己的B2C业务系统,此时系统的安全性成为一个非常重要的设计需求。为此,该企业向软件开发商提出如下要求:
(1)合法用户可以安全地使用该系统完成业务;
(2)灵活的用户权限管理;
(3)保护系统数据的安全,不会发生信息泄漏和数据损坏;
(4)防止来自于互联网上各种恶意攻击;
(5)业务系统涉及到各种订单和资金的管理,需要防止授权侵犯;
(6)业务系统直接面向最终用户,需要在系统中保留用户使用痕迹,以应对可能的商业诉讼。
该软件开发商接受任务后,成立方案设计小组,提出的设计方案是:在原有业务系统的基础上,保留了原业务系统中的认证和访问控制模块;为了防止来自互联网的威胁,增加了防火墙和入侵检测系统。
企业和软件开发商共同组成方案评审会,对该方案进行了评审,各位专家对该方案提出了多点不同意见。李工认为,原业务系统只针对企业内部员工,采用了用户名/密码方式是一可以的,但扩展为基于互联网的B2C业务系统后,认证方式过于简单,很可能造成用户身份被盗取:王工认为,防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为,即使是在原有业务系统上的扩展与改造,也必须全面考虑信息系统面临的各种威胁,设计完整的系统安全架构,而不是修修补补。
【问题1】
信息系统面临的安全威胁多种多样,来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别子以简要描述。
【问题2】
认证是安全系统中不可缺少的环节,请简要描述主要的认证方式,并说明该企业应采用哪种认证方式。
【问题3】
请解释授权侵犯的具体含义;针对王工的意见给出相应的解决方案,说明该解决方案的名称、内容和目标。
净室软件工程(Cleanroom)是软件开发的一种形式化方法,可以开发较高质量的软件。它使用(91)进行分析和建模,并且将(92)作为发现和排除错误的主要机制。使用(93)测试来获取认证软件可靠性所需要的信息。
A.产生式归约
B.移进归约
C.盒结构归约
D.规范归约
A.在配置每个管理员的帐户时,需要配置不同的权限级别
B.Telnet配置的用户认证模式必须选择AAA模式
C.在AAA视图下配置三个用户名和各自对应的密码
D.每个管理员在运行Telnet命令时,使用设备的不同公网IP地址
A.在AAA视图下配置三个用户名和各自对应的密码
B.Telent配置的用户认证模式必须选择AAA模式
C.在配置每个管理员的账户时,需要配置不同的权限级别
D.每个管理员在运行Telent命令时,使用设备的不同公网IP地址
A.CA认证时使用对称密钥机制的认证方法
B.CA认证中心支负责签名,不负责证书的产生
C.CA认证中心负责证书的颁发和管理、并依靠证书证明一个用户的身份
D.CA认证中心不用保持中立,可以随便找一个用户来作为CA认证中心
阅读下列关于软件开发方法的讨论,回答问题1、问题2和问题3。
张工和李工分别是某公司信息系统项目组和系统开发组的负责人。下面是张工与李工讨论信息系统项目组承接的新项目时的对话。
张工:我们这次承接的新系统很具有挑战性,在开发过程中不仅要使用一种新的数据库管理系统,而且用户所给的开发时间也比较短。我担心使用传统的SDLC(软件开发生存周期)方法可能无法按期完成系统开发任务。
李工:这个项目有什么特点吗?
张工:我不知道用户是否确切地明白他们想要一个怎样的新系统。他们提出了许多要求,但是我不敢确定他们是否真正理解这个新系统的功能。而且,这个系统可能会相当复杂,因为它要与多个已有的系统进行交互。
李工:我希望我们有更多使用RAD(Rapid Application Development,快速应用开发)方法的经验。目前你所面临的状况可能比较适合使用这种方法。
张工:我同意。但是这个项目的时限不允许我们去学习运用RAD方法的工具以及即将要使用的新的RDBMS(关系数据库管理系统)。
用100字以内文字,分析使张工放弃采用传统的SDLC方法的原因。
A.小原最小特权原则
B.职责分离原则
C.纵深防御原则
D.最少共享机制原则