logo - 刷刷题
下载APP
【简答题】

试题五
阅读以下关于信息系统安全性的说明,在答题纸上回答问题1 至问题3。
【说明】
某大型跨国企业的IT 部门一年前基于SOA(Service-Oriented Architecture)对企业原有的多个信息系统进行了集成,实现了原有各系统之间的互连互通,搭建了支撑企业完整业务流程运作的统一信息系统平台。随着集成后系统的投入运行,IT 部门发现在满足企业正常业务运作要求的同时,系统也暴露出明显的安全性缺陷,并在近期出现了企业敏感业务数据泄漏及系统核心业务功能非授权访问等严重安全事件。针对这一情况,企业决定由IT 部门成立专门的项目组负责提高现有系统的安全性。 项目组在仔细调研和分析了系统现有安全性问题的基础上,决定首先为在网络中传输的数据提供机密性(Confidentiality)与完整性(Integrity)保障,同时为系统核心业务功能的访问提供访问控制机制,以保证只有授权用户才能使用特定功能。 经过分析和讨论,项目组决定采用加密技术为网络中传输的数据提供机密性与完整性保障。但在确定具体访问控制机制时,张工认为应该采用传统的强制访问控制(Mandatory Access Control)机制,而王工则建议采用基于角色的访问控制(Role-Based Access Control)与可扩展访问控制标记语言(eXtensible Access Control Markup Language,XACML)相结合的机制。项目组经过集体讨论,最终采用了王工的方案。

【问题1】 请用400字以内的文字,分别针对采用对称加密策略与公钥加密策略,说明如何利用加密技术为在网络中传输的数据提供机密性与完整性保障。

试题五
阅读以下关于信息系统安全性的说明,在答题纸上回答问题1 至问题3。
【说明】
某大型跨国企业的IT 部门一年前基于SOA(Service-Oriented Architecture)对企业原有的多个信息系统进行了集成,实现了原有各系统之间的互连互通,搭建了支撑企业完整业务流程运作的统一信息系统平台。随着集成后系统的投入运行,IT 部门发现在满足企业正常业务运作要求的同时,系统也暴露出明显的安全性缺陷,并在近期出现了企业敏感业务数据泄漏及系统核心业务功能非授权访问等严重安全事件。针对这一情况,企业决定由IT 部门成立专门的项目组负责提高现有系统的安全性。 项目组在仔细调研和分析了系统现有安全性问题的基础上,决定首先为在网络中传输的数据提供机密性(Confidentiality)与完整性(Integrity)保障,同时为系统核心业务功能的访问提供访问控制机制,以保证只有授权用户才能使用特定功能。 经过分析和讨论,项目组决定采用加密技术为网络中传输的数据提供机密性与完整性保障。但在确定具体访问控制机制时,张工认为应该采用传统的强制访问控制(Mandatory Access Control)机制,而王工则建议采用基于角色的访问控制(Role-Based Access Control)与可扩展访问控制标记语言(eXtensible Access Control Markup Language,XACML)相结合的机制。项目组经过集体讨论,最终采用了王工的方案。

参考答案:
参考解析:
.
刷刷题刷刷变学霸
举一反三

【单选题】使用公钥加密时,密钥分发的两个不同方面是( )。

A.
密钥交换和公钥更新
B.
公钥分发和私钥分发
C.
公钥分发和用公钥加密分发保密密钥
D.
密钥登记和公钥分发

【单选题】公钥加密方法又称为()。

A.
对称加密
B.
不对称加密
C.
可逆加密
D.
安全加密

【多选题】面向业务流程的供应链组织结构往往有如下特征()

A.
企业本身就是流程型的组织结构
B.
设置有流程经理
C.
取消职能部门
D.
重视人力资源的开发、培训、发展
E.
重视信息技术的作用

【单选题】企业采购业务流程中,采购部门最主要的责任是()

A.
采购需求和计划提出
B.
比价和选择供应商
C.
订立协议或采购合同
D.
验收入库或退货

【单选题】下列对强制访问控制描述不正确的是()。

A.
主体对客体的所有访问请求按照强制访问控制策略进行控制
B.
强制访问控制中,主体和客体分配有一个安全属性
C.
客体的创建者无权控制客体的访问权限
D.
强制访问控制不可与自主访问控制结合使用