试题四 论信息系统中的访问控制

访问控制主要任务是保证系统资源不被非法使用和访问。访问控制规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出资源访问的请求加以控制。

访问控制是策略和机制的集合，它允许对限定资源的授权访问。访问控制也可以保护资源，防止无权访问资源的用户的恶意访问。访问控制是系统安全保障机制的核心内容，是实现数据保密性和完整性机制的主要手段，也是信息系统中最重要和最基础的安全机制。

请围绕“信息系统中的访问控制”论题，依次从以下三个方面进行论述。

1．概要叙述你参与管理和开发的软件项目以及你在其中所担任的主要工作。

2．详细论述常见的访问控制策略和访问控制机制。

3．阐述在项目开发中你所采用的访问控制策略和机制，并予以评价。

[判断题] 访问控制就是防止未授权用户访问系统资源。A . 正确B . 错误

[单选题]访问控制的目的在于通过限制用户对特定资源的访问保护系统资源。在Windows系统中，重要目录不能对（）账户开放。A . everyoneB . usersC . administratorsD . guest

[单选题]对于信息系统访问控制说法错误的是?()A．应该根据业务需求和安全要求制定清晰的访问控制策略，并根据需要进行评审和改进。B．网络访问控制是访问控制的重中之重，网络访问控制做好了操作系统和应用层次的访问控制就会解决C．做好访问控制工作不仅要对用户的访问活动进行严格管理，还要明确用户在访问控制中的有关责任D．移动计算和远程工作技术的广泛应用给访问控制带来新的问题，因此在访问控制工作要重点考虑对移动计算设备和远程工作用户的控制措施

[单选题]（）即非法用户利用合法用户的身份，访问系统资源。A .身份假冒B .信息窃取C .数据篡改D .越权访问

[填空题] 访问控制是对（）进行控制，选择性访问控制是进入系统后对文件和程序等资源的访问进行控制。

[单选题]管理体系审计员进行通信访问控制审查，首先应该关注：A．维护使用各种系统资源的访问日志B．在用户访问系统资源之前的授权和认证C．通过加密或其他方式对存储在服务器上数据的充分保护D．确定是否可以利用终端系统资源的责任制和能力、

[填空题] 访问控制主要有两种类型（）访问控制和（）访问控制。

[多选题] 保证网络资源不被非法使用和非法访问方面的需求，一般有以下几个方面（）A . 入网访问控制的需求B . 网络权限控制的需求C . 网络服务器安全控制需求D . 网络节点和端口的安全控制需求

[单选题]对信息系统的访问包括（）A . 网络访问B . 物理访问C . A和BD . A和B都不是

[单选题]处理（）信息的涉密信息系统，访问应当按照用户、信息类别控制。A .机密级、绝密级B .秘密级、机密级C .绝密级