在信息系统中,访问控制是重要的安全功能之一。他的任务是在用户对系统资源提供最大限度共享的基础上,对用户的访问权限进行管理,防止对信息的非授权篡改和滥用。访问控制模型将实体划分为主体和客体两类,通过对主体身份的识别来限制其对客体的访问权限。下列选项中,对主体、客体和访问权限的描述中错误的是( )
(A)对文件进行操作的用户是一种主体
(B)主体可以接受客体的信息和数据,也可能改变客体相关的信息
(C)访问权限是指主体对客体所允许的操作
(D)对目录的访问权可分为读、写和拒绝访问
参考答案
继续答题:下一题
更多CISP证书试题
- 1若一个国家声称自己的ISMS符合ISO/IBC 27001或GB/T22080标准要求,其信息安全控制措施通常需要在资产管理方面实施常规控制,资产管理包含对资产负责和信息分类两个控制目标。对资产负责的控制目标是实现和保持对组织资产的适当保护。这一控制目标的实现有以下控制措施的落实来保障。不包括哪一项( )
- 2有关系统安全工程-能力成熟度模型(SSE-CMM)中的通用实施(GenericPractices, GP),错误 的理解是( )
- 3信息安全风险评估是信息安全风险管理工作中的重要环节,在国家网络与信息安全协调小组发布的《关于开展信息安全风险评估工作的意见》(国信办(2006)5号)中,风险评估分为自评估和检查评估两种形式,并对两种工作形式提出了有关工作原则和要求,下面选项中描述正确的是( )。
- 4信息安全应急响应过程中,小王正在实施如下措施:消除或阻断攻击源,找到并消除系统的脆弱性/漏洞,更新安全策略,加强防范措施,格式化被感染的恶意程序的介质等。请问,按照PDCERF应急响应方法,这些工作属于以下哪个阶段?( )
- 5关于源代码审核,下列说法正确的是,
- 6下列哪一项准备地描述了脆弱性、威胁、影响和风险之间的关系?D