某公司网管员对核心数据的访问进行控制时,针对每个用户指明能够访问的资源,对于不在指定资源列表中的对象不允许访问。该访问控制策略属于() 自主访问控制(DAC)。 强制访问控制(MAC)。 基于角色的访问控制(RBAC)。 访问控制列表方式(ACL)。
小张的U盘中存储有企业的核心数据。针对该U盘,以下有关信息安全风险评估的描述中,不正确的是() 风险评估首先要确定资产的重要性,由于该U盘中存储有核心数据,安全性要求高,因此该U盘重要性赋值就高。 如果公司制定了U盘的安全使用制度,小张的U盘就不具有脆弱性。 如果小张的计算机在接入U盘时没断网线,木马病毒就构成对该U盘的威胁。 风险分析要同时考虑资产的重要性、威胁概率和脆弱性严重程度。
某单位在制订信息安全策略时采用的下述做法中,正确的是() 该单位将安全目标定位为"系统永远不停机、数据永远不丢失、网络永远不瘫痪、信息永远不泄密"。 该单位采用了类似单位的安全风险评估结果来确定本单位的信息安全保护等级。 该单位的安全策略由单位授权完成,并经过单位的全员讨论修订。 该单位为减小未经授权的修改、滥用信息或服务的机会,对特定职责和责任领域的管理和执行功能实施职责合并。
安全审计是保障计算机系统安全的重要手段之一,其作用不包括() 检测对系统的入侵。 发现计算机的滥用情况。 发现系统入侵行为和潜在的漏洞。 保证可信网络内部信息不外泄。
基于角色的访问控制中,角色定义、角色成员的增减、角色分配都是由()实施的,用户只能被动接受授权规定,不能自主地决定,用户也不能自主地将访问权限传给他人,这是一种非自主型访问控制。 CSO。 安全管理员。 稽查员或审计员。 应用系统的管理员。
在Windows操作系统平台上采用通用硬件设备和软件开发工具搭建的电子商务信息系统宜采用()作为信息安全系统架构。