版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
CISSP认证考试(访问控制)模拟试卷1(题后含答案及解析)题型有:1.1.Whichofthefollowingdoesnotcorrectlydescribeadirectoryservice?A.Itmanagesobjectswithinadirectorybyusingnamespaces.B.Itenforcessecuritypolicybycarryingoutaccesscontrolandidentitymanagementfunctions.C.ItassignsnamespacestoeachobjectindatabasesthatarebasedontheX.509standardandareaccessedbyLDAP.D.Itallowsanadministratortoconfigureandmanagehowidentificationtakesplacewithinthenetwork.正确答案:C解析:C正确。大多数企业都有包含公司网络资源和用户信息的某种类型的目录。基于X.500标准(不是X.509)和一种协议类型,即轻量目录访问协议(LightweightDirectoryAccessProtocol,LDAP),大多数目录都遵循分层的数据库结构,允许主体和应用程序与这个目录进行交互。应用程序可以通过向目录提出一个LDAP请求来获得某一特定用户的信息;用户也可以使用相似请求获得某个特定资源的信息。目录服务基于X.500标准,给数据库中的每个客体分配一个LDAP可访问的可分辨名称(distinguishednames)。每一个可分辨名称都代表着某个特定客体的属性的集合,并作为一个条目存储在目录中。A不正确。因为层次数据库中的客体都是通过日录服务进行管理的。目录服务允许管理员配置和管理网络内的身份识别、身份验证、授权和访问控制如何进行。目录内的客体都被贴上标签并用命名空间来标识,这也是目录服务保证客体有序的方式。B不正确。因为目录服务的确通过控制访问和身份管理功能加强了配置好的安全策略。例如,当用户登录到Windows环境中的一个域控制器时,目录服务(活动目录‘ActiveDirectory)便可以确定出他能访问哪些网络资源,不能访问哪些资源。D不正确。因为目录服务的确允许管理员配置和管理网络内部身份识别的方式。它同时也允许对身份验证、授权和访问控制进行配置和管理。知识模块:访问控制2.HannahhasbeenassignedthetaskofinstallingWebaccessmanagement(WAM)software.WhatisthebestdescriptionforwhatWAMiscommonlyusedfor?ControlexternalentitiesrequestingaccessthroughX.500databasesControlexternalentitiesrequestingaccesstointernalobjectsControlinternalentitiesrequestingaccessthroughX.500databasesControlinternalentitiesrequestingaccesstoexternalobjects正确答案:B解析:B正确。Web访问管理(WebAccessManagement,WAM)软件控制着用户在使用Web浏览器与基于Web的企业资产进行交互时能访问的内容。随着电子商务、在线银行、内容提供和Web服务等使用的日益增长,这类技术变得越来越强大,应用也越来越多。Web访问控制管理流程中最基本的部分和活动如下:a)用户向Web服务器发送证书;b)Web服务器验证用户的证书;c)用户请求访问某个资源(客体);d)Web服务器使用安全策略确定是否允许该用户执行此操作:e)Web服务器允许/拒绝访问请求访问的资源。A不正确。因为目录服务应该在X.500数据库 不是Web访问管理软件 的目录中进行访问控制。目录服务管理入口和数据,并通过实施强制访问控制和身份管理功能来巩固已配置的安全策略。活动目录和NetWare目录服务(NDS)就属于目录服务的例子。尽管基于Web的访问请求可能针对的是数据库中的客体,但WAM主要控制Web浏览器和服务器之间的通信。Web服务器通常通过目录服务与后端数据库进行通信。C不正确。因为当内部实体使用LDAP请求访问X.500数据库时,目录服务应该执行访问控制。这种类型的数据库为所有客体(主体和资源)提供了一种分层结构。目录服务为每一个客体制定一个独一无二的可分辨名称,并根据需要将对应的属性追加到每个客体后面。目录服务实行安全策略(由管理员配置)来控制主体和客体的交互方式。如果基于Web的访问请求针对的可能是数据库中的客体,WAM主要控制的是Web浏览器和服务器之间的通信。尽管WAM可以用于内部到内部的通信,但它主要是为了外部到内部的通信而开发的。B选项是这4个选项中的最佳答案。D不正确。因为WAM软件主要用于控制外部实体对内部客体的请求访问,而不是这个答案项所描述的。例如,银行可能会使用WAM控制顾客访问后端账户数据。知识模块:访问控制3.Thereareseveraltypesofpasswordmanagementapproachesusedbyidentitymanagementsystems.Whichofthefollowingreduceshelp-deskcallvolume,butisalsocriticizedfortheeasewithwhichahackercouldgainaccesstomultipleresourcesifapasswordiscompromised?ManagementpasswordresetSelf-servicepasswordresetPasswordsynchronizationAssistedpasswordreset正确答案:C解析:C正确。密码同步(passwordsynchronization)的设计初衷是为了减少不同系统使用不同密码的复杂性。密码同步技术允许用户通过把密码透明地同步到其他系统和应用程序,从而能够为多个系统只维护一个密码,而不必记住多个系统的多个密码。这种方法减少了信息台的电话量。这种方法的缺点是,因为只用一个密码便可访问不同的资源,那么黑客仅须破解这一个凭据集便可未经授权访问所有的资源。A不正确。因为没有这样的管理密码重置。这是一个干扰项。最常见的密码管理方法有密码同步、自助密码重置和辅助密码重置。B不正确。因为自助密码重置不一定需要处理多个密码。然而,它的确有助于减低密码有关信息台的整体电话流量。在自助密码重置的情况下,用户可以重新设置他们的密码。例如,如果一个用户忘记了自己的密码,他可能立即会被提示回答他在注册过程中设定的问题。如果他的回答与他在注册时提供的信息一致,那么他便可以更改密码。D不正确。因为辅助密码重置不一定需要处理多个密码。它先让信息台验证用户的信息,然后才允许用户重置密码,这样缩短了密码问题的解决流程。必须通过密码管理工具对呼叫者的身份进行识别和验证后才能允许其更改密码。一旦密码被更新,正在认证用户的这个系统应该要求该用户再次更改其密码。这样可以确保只有该用户(而不是其他用户或信息中心的人)知道这个密码。这种辅助密码重置产品的目的是减少支持呼叫的成本,并确保所有的呼叫都以统一、连贯和安全的方式得到处理。知识模块:访问控制4.Anumberofattackscanbeperformedagainstsmartcards.Side-channelisaclassofattacksthatdoesn'ttrytocompromiseaflaworweakness.Whichofthefollowingisnotaside-channelattack?A.DifferentialpoweranalysisB.MicroprobinganalysisC.TiminganalysisD.Electromagneticanalysis正确答案:B解析:B正确。非侵入性攻击是指攻击者观察事物的工作方式以及不同情况下的反应方式、而不是指采取更多的侵入措施试图侵入的攻击方式。旁道攻击的例子有故障生成、差分功率分析、电磁分析、时序分析和软件攻击等。这种类型的攻击常用来发现关于组件在不破解任何类型的缺陷或弱点的情况下如何工作的敏感信息。更具攻击性的智能卡攻击是微探测(microprobing)攻击。微探测使甩针头和超声波振动去除智能卡电路上的外层保护材料。一旦成功,便可通过直接接入卡的ROM芯片访问和操纵数据。A不正确。因为差分功率风险(DifferentialPowerAnalysis,DPA)是一种非侵入式攻击。DPA涉及检查处理过程中的功率发射。例如,攻击者通过统计分析来自多重加密操作的数据,能够确定加密运算中的中间值。攻击者甚至无须了解目标设备的设计方式便可以做到。因此,攻击者能够从卡上提取加密密钥或其他敏感信息。C不正确。因为时序分析是一种非侵入式攻击。它指的是计算某一特定功能完成它的任务所花费的时间。这种攻击基于测量不同加密算法所需的时间。例如,通过观察一张智能卡传输密钥信息的时间,有时便可能判断出这种情况下的密钥长度。D不正确。因为电磁分析需要检查发射频率,属于非侵入式攻击。所有电流都会发射电磁放射物。因此,在智能卡中,功耗和电磁场会随着数据的处理而变化。电磁分析试图通过找出数据和电磁发射的关系,从而发现智能卡上的密钥或其他敏感信息。知识模块:访问控制5.Whichofthefollowingdoesnotdescribeprivacy-awarerole-basedaccesscontrol?A.Itisanexampleofadiscretionaryaccesscontrolmodel.B.Detailedaccesscontrolsindicatethetypeofdatathatuserscanaccessbasedonthedata'slevelofprivacysensitivity.C.Itisanextensionofrole-basedaccesscontrol.D.Itshouldbeusedtointegrateprivacypoliciesandaccesscontrolpolicies.正确答案:A解析:A正确。使用自主访问控制(DiscretionaryAccessControl,DAC)的系统允许资源的所有者指定哪些主体能够访问特定的资源。这个模式之所以称为自主是因为访问控制是建立在所有者的判断的基础之上。在很多情况下,部门经理或者业务部门经理就是他们特定部门的数据所有者。作为所有者,他们能指定谁应该拥有访问权,谁不应该拥有访问权。具有隐私意识的角色访问控制是基于角色访问控制(Role-BasedAccessControl,RBAC)的一个延伸。访问控制模式主要有三种:DAC、强制访问控制(MandatoryAccessControl,MAC)和RBAC。具有隐私意识的角色访问控制是RBAC的一种,而不属于DAC。B不正确。因为具有隐私意识的角色访问控制基于的是一种详细的访问控制,该访问控制根据数据的隐私敏感程度,指明了用户可以访问的数据类型。其他访问控制模式,如MAC、DAC和RBAC,自己本身并不保护数据隐私,而是提供用户可以执行的功能来保护数据隐私。例如,经理们可能可以访问某个隐私文件,但更详细的访问控制也是必需的,例如经理们可以访问的是客户的家庭住址而不是社会保险号码。当涉及诸如社会保险号码和信用卡信息等敏感隐私信息时,该行业已经发展到需要更加专注细节的访问控制,这也是为什么具有隐私意识的角色访问控制得以发展的原因。C不正确。因为具有隐私意识的角色访问控制是基于角色访问控制的扩展。访问权利是基于用户在公司内的角色和职责,以及他们需要访问数据的隐私程度来确定的。D不正确。因为在使用具有隐私意识的角色访问控制时,隐私策略和访问控制策略所用的语言应该相同或者兼容。使用具有隐私意识的角色访问控制的目的是使得访问控制更加具体并专注于隐私相关的数据,因此,它应该使用与组织最初的访问控制策略和标准相同类型的术语和语言。知识模块:访问控制6.WhatwasthedirectpredecessortoStandardGeneralizedMarkupLanguage(SGML)?A.HypertextMarkupLanguage(HTML)B.ExtensibleMarkupLanguage(XML)C.LaTeXD.GeneralizedMarkupLanguage(GML)正确答案:D解析:D正确。标记语言是一种规定文本结构以及文本如何显示的方法。当你在使用Word处理器来调整边距和其他格式时,你就是在使用Word处理器的标记语言来标记该文本。网页开发也是在使用某种标记语言。你可以控制它的外观以及页面提供的某些实际功能。超文本标记语言(HypertextMarkupLanguage,HTML)出现于20世纪90年代初期,它源于标准通用标记语言 (StandardGeneralizedMarkupLanguage,SGML),而后者则源于通用标记语言(GeneralizedMarkupLanguage,GML)。GML是20世纪60年代为IBM的文本格式SCRIPT/VS开发的一种宏语言。GML标记简化了对文档显示(字体、结构等)的描述。一旦某个文档被标记了,则无须修改该文档便可以将它格式化为适用于不同设备(如打印机)的格式。GML常被用作行业制定SGML的基础。尽管GML是一种结构化文档描述语言,但SGML却是创建这种语言的一套规则。SGML的出现是为了共享可机读的文档。它广泛应用于多种行业,包括政府、军事和法律。A不正确。因为HTML来自于SGML。HTML出现于20世纪90年代早期,并逐渐发展成为一个注释网页文本的体系。SGML是一个ISO标准,它定义了通用的文档标记语言。HTML是物理学家TimBerners-Lee在欧洲粒子物理研究所(EuropeanOrganizationforNuclearResearch,CERN)时创建的,其日的是文档的共享和使用。HTML是基于SGML的一个内部版本,叫SGMLguid,所以它最初被定义为SGML的一种应用。如今,Web浏览器常用文本和图像格式化语言来动态地格式化网页。B不正确。因为可扩展标记语言(ExtensibleMarkupLanguage,XML)出现在SGML之后,并发展成一种创建各种标记语言的规范。根据这个规范,更具体的XML标准被创建,能够为不同行业提供他们所需的功能。不同行业对标记语言的使用方式有不同的需求。SGML不是一个旨在创建个性和不同标记语言的规范。C不正确。因为作为TeX继任者的LaTeX编写于20世纪80年代早期。它是与TeX排版程序一起使用的标记语言和文档准备系统。LaTeX最为常见的用户是学术学者。LaTeX与TeX一起为大家提供了高质量的排版系统。知识模块:访问控制7.Brianhasbeenaskedtoworkonthevirtualdirectoryofhiscompany'snewidentitymanagementsystem.Whichofthefollowingbestdescribesavirtualdirectory?A.Meta-directoryB.UserattributeinformationstoredinanHRdatabaseC.VirtualcontainerfordatafrommultiplesourcesD.Aservicethatallowsanadministratortoconfigureandmanagehowidentificationtakesplace正确答案:C解析:C正确。网络目录是一个用户和网络资源的容器。一个目录无法包含(或知道)企业内的所有用户和资源,因此,必须使用一个目录集。虚拟目录从遍布于整个网络资源处搜集必要的信息,并把它们存储在一个中央虚拟目录(虚拟容器)中。这样就能提供整个企业所有用户数字身份信息的统一视图。这个虚拟目录会定期与所有的身份存储中心(单个的网络目录)进行同步,从而确保企业内所有应用程序和身份管理组件使用的都是最新的信息。A不正确。因为虽然虚拟目录与元目录很相似,但元目录是与一个目录一起工作而虚拟目录是与多个数据源一起工作。当某个身份管理组件向某个虚拟目录发起请求时,它能够浏览整个企业内部不同的目录,而元目录仅仅能浏览与之关联的一个目录。B不正确。因为这个答案是对身份存储中心的最佳描述。存储在某个身份管理目录中的大量信息散布于整个企业。用户属性信息(员工状态、工作描述、部门,等等)通常存储在HR数据库中,验证信息可能位于某个Kerberos服务器中,角色和分组识别信息可能在SQL数据库中,而与资源有关的验证信息则可能存储于控制器的活动目录中。这些通常都被称为身份存储中心,并位于网络的不同地方。许多身份管理产品使用虚拟目录来调用这些身份存储中心里的数据。D不正确。因为这个答案描述的是目录服务。目录服务允许管理员配置和管理在网络内部如何进行身份识别、身份验证、授权和访问控制。目录服务利用命名空间来管理目录内的客体,并通过执行访问控制和身份管理功能来落实已配置的安全策略。知识模块:访问控制8.Emilyislisteningtonetworktrafficandcapturingpasswordsastheyaresenttotheauthenticationserver.Sheplanstousethepasswordsaspartofafutureattack.Whattypeofattackisthis?A.Brute-forceattackB.DictionaryattackC.SocialengineeringattackD.Replayattack正确答案:D解析:D正确。重放攻击即入侵者获取并存储信息,之后再用这些信息获得未经授权的访问。在这种场景中,Emily使用的是一种叫做电子监视(嗅探)的技术获取了通过网络发送给验证服务器的密码。之后她就可以用这密码来访问网络资源。即使该密码是加密的,有效凭证的重发仍能访问这些网络资源。A不正确。因为穷举攻击通常是使用循环尝试所有可能的字母、数字和符号组合来试图发现密码的工具实现的。一个防止穷举攻击成功的方法就是限制系统登录尝试的次数。管理员可以设置某个用户被锁定前登录失败数日的操作参数,这是一种限制级别(clippinglevel)。B不正确。因为字典攻击指的是自动将用户密码和成千上万个单词进行对比,直到发现匹配对的为止。字典攻击之所以能成功是因为用户往往选择使用较短、单个单词,或者字典中单词可以预见的变体作为密码。C不正确。因为在社会工程攻击中,攻击者欺骗性地让别人相信他拥有访问特定资源的权限。社会工程攻击是直接针对人的,所以不被认为是一种技术攻击。抵抗社会工程攻击的最佳做法是用户教育。应该安排讲述密码要求、保护和生成等问题的安全意识课程,让用户理解他们应该保护自己的密码的原因以及密码如何被盗等。知识模块:访问控制9.Whichofthefollowingcorrectlydescribesafederatedidentityanditsrolewithinidentitymanagementprocesses?A.AnonportableidentitythatcanbeusedacrossbusinessboundariesB.AportableidentitythatcanbeusedacrossbusinessboundariesC.AnidentitythatcanbeusedwithinintranetvirtualdirectoriesandidentitystoresD.Anidentityspecifiedbydomainnamesthatcanbeusedacrossbusinessboundaries正确答案:B解析:B正确。联合身份是一种便携式身份,它与其相关授权一起可以跨业务使用。联合身份允许用户拥有多个IT系统和企业的身份认证。身份联合是把一个用户在两个或多个地点的其他不同身份联系起来而无须同步或合并目录信息。联合身份为企业和消费者提供了一个更为便捷的访问分布式资源的方式,它也是电子商务的一个关键组成部分。A不正确。因为联合身份是便携式的。如果不是便携式的,它也就不可能在多种业务中使用——这是联合身份的关键所在。随着技术使人们和公司之间更为紧密,世界也不断变得越来越小。很多时候当我们只与一个网站交互时,我们实际上在与几个不同的公司交互——只是我们不知道而已。而我们不知道的原因就是这些公司共享我们的身份和验证信息。这种做法提高了用户使用的便捷性。C不正确。因为联合身份旨在跨业务边界使用,而不是在组织内部使用。换句话说,联合身份的应用不局限于拥有用户数据的组织。使用联合身份,使用不同目录服务、安全和身份验证技术的组织之间也可以共享应用程序,因此,用户使用相同的用户ID、密码等便可登录不同的应用程序。D不正确。因为联合身份不由一个域名指定。联合身份是一个便携式身份和与之有关的权利。它包括登录某个应用程序所需要的用户名、密码和其他私人标识信息。知识模块:访问控制10.Phishingandpharmingaresimilar.Whichofthefollowingcorrectlydescribesthedifferencebetweenphishingandpharming?A.Personalinformationiscollectedfromvictimsthroughlegitimate-lookingWebsitesinphishingattacks,whilepersonalinformationiscollectedfromvictimsviae-mailinpharmingattacks.B.Phishingattackspointe-mailrecipientstoaformwherevictimsinputpersonalinformation,whilepharmingattacksusepop-upformsatlegitimateWebsitestocollectpersonalinformationfromvictims.C.VictimsarepointedtoafakeWebsitewithadomainnamethatlookssimilartoalegitimatesite'sinaphishingattack,whilevictimsaredirectedtoafakeWebsiteasaresultofalegitimatedomainnamebeingincorrectlytranslatedbytheDNSserverD.Phishingisatechnicalattack,whilepharmingisatypeofsocialengineering.正确答案:C解析:C正确。在钓鱼攻击(phishingattack)和网址嫁接攻击(pharmingattack)中,攻击者都是通过创建与合法网站非常相似的网站,试图获取受害人的个人信息。在钓鱼攻击中,攻击者提供的带域名的URL看起来与合法网站的地址非常相似。例如,www.amazon,com可能变成。或者特别放置一个@符号。如@可能会把受害人带到网站,并诱使用户输入网站上的用户名。而在上有效的用户名在上却不是有效的用户名,所以受害人将看到的主页。现在,是一个看起来和非常相似的非法网站。受害者感觉自己访问的是合法网站,于是再次使用他的证书登录。而在网址嫁接攻击中,受害者得到的是一个合法域名,这个合法域名又因为DNS中毒的原因重定向到攻击者的网站上。如果DNS服务器中毒了并执行网址嫁接攻击,导致记录被修改,以至于它向发送的是一个看似合法、但实则是攻击者创建的虚假的IP地址,而不是正确的IP地址。A不正确。因为网址嫁接攻击通常并不是利用电子邮件收集信息。实际上,网址嫁接攻击给攻击者带来的好处就是他无须发送电子邮件便可以感染大量受害者。与钓鱼攻击一样,网址嫁接攻击利用一个看似合法实则伪造的网址。主机名由于DNS中毒而被错误地更改了解析,导致受害者被重定向到一个伪造的网站上。B不正确。因为两种对钓鱼攻击的描述都是正确的。网址嫁接攻击不使用弹出式窗口。不过,当受害者浏览某个合法网址时,有些钓鱼攻击会使用弹出式窗口。因此,假设你在浏览真的银行网站时遇到一个弹出窗口,询问你的一些敏感信息,这时你可能不会担心,因为你正在与真正的银行网站交互。你可能认为这个窗口来自于银行的网络服务器,于是你按照指导填写了信息。但是,这个弹出窗口可能来自于完全不同的另一个来源,而且你的数据可能已经到达攻击者手中,而不是银行的手中。D不正确。因为这两种攻击都是执行社会工程攻击的技术方法。钓鱼工具是社会工程攻击的一种,目的是获取个人信息、凭证、信用卡号码或者金融数据。攻击者使用各种不同的方法引诱或者垂钓敏感信息,比如电子邮件和弹出式窗口等。网址嫁接攻击牵涉DNS中毒。攻击者修改DNS服务器中的记录,可以把一个主机名解析为一个不正确的IP地址。受害者的系统向中毒的DNS服务器发送一个请求,这样DNS会将受害者引到另外一个网址。这个网址看似与受害者请求访问的网站一样,所以用户输入用户名和密码之后看到的可能是看似合法的网页。知识模块:访问控制11.Securitycountermeasuresshouldbetransparenttousersandattackers.Whichofthefollowingdoesnotdescribetransparency?A.Useractivitiesaremonitoredandtrackedwithoutnegativelyaffectingsystemperformance.B.Useractivitiesaremonitoredandtrackedwithouttheuserknowingaboutthemechanismthatiscarryingthisout.C.Usersareallowedaccessinamannerthatdoesnotnegativelyaffectbusinessprocesses.D.Unauthorizedaccessattemptsaredeniedandloggedwithouttheintruderknowingaboutthemechanismthatiscarryingthisout.正确答案:A解析:A正确。安全组件通常会以这样或那样的方式影响系统性能,尽管大多数情况下用户察觉不到。如果系统的性能显著变慢,那么很有可能是安全对策正在起作用。控制之所以应该透明是因为只有这样,用户和入侵者才不至于知道得太多而禁用或者绕过它们。控制也不应该妨碍公司履行它必须履行的职能。B不正确。因为透明性指的是正在执行监督和跟踪的活动是在用户不知情的情况下进行的。虽然告诉用户他们的计算机是否正被监督是最佳做法,但却没有必要告诉他们是如何监督的。如果用户意识到监督他们活动的这个机制,他们有可能会试图禁用或者绕过它们。C不正确。因为安全性和可用性之间必须保持一个平衡。这意味着在不影响业务流程的情况下,只要适合应该允许用户访问。他们应该有能力完成自己的工作。D不正确。因为你不希望入侵者知道这个拒绝和记录未经授权的访问企图的机制正在工作。入侵者利用这个信息便可禁用或者绕过这个机制,从而成功地获取未经授权访问网络资源的权利。知识模块:访问控制12.Whatmarkuplanguageallowsforthesharingofapplicationsecuritypoliciestoensurethatallapplicationsarefollowingthesamesecurityrules?A.XMLB.SPMLC.XACMLD.GML正确答案:C解析:C正确。两个或多个公司可以建立一个信任模式来共享身份标识、授权和身份验证方法。这意味着如果Bill通过了他们公司软件的验证,那么这个软件便可以将认证参数传递给公司合作伙伴的软件。这使得Bill无须再次验证便可以与合作伙伴的软件进行交互。这可以通过可扩展访问控制标记语言(eXtensibleAccessControlMarkupLanguage,XACML)来实现,它允许两个或多个组织基于他们的信任模式来共享应用程序安全策略。XACML是一种在XML中实现的标记语言和处理模式。它声明了访问控制策略,并说明了如何解释这些策略。A不正确。因为XML是一种利用电子方式编码文档和表示类似Web服务里面的数据结构的方法。XML并非用于安全信息共享。它是一个开放的标准,比它的前身HTML更强健。XML本身不仅是一种标记语言,还是制定其他行业应用的XML标准的基础。XML允许公司使用满足它们不同需求的标记语言,同时还能保证彼此可以通信。B不正确。因为公司使用服务配置标记语言(ServiceProvisioningMarkupLanguage,SPML)来交换用户、资源和服务配置信息而非应用安全信息。SPML是一种基于XML的框架,由结构化信息标准促进组织(OrganizationfortheAdvancementofStructuredInformationStandards,OASIS)开发,其目标是允许企业平台(如Web门户和应用程序服务器)能够生成跨不同公司的配置请求,从而安全快速地建立网络服务和应用程序。D不正确。因为通用标记语言(GML)是IBM创建的文档格式化的方法。它根据文档的各个组成部分(章节、段落和列表等)以及它们之间的关系(标题级别)来描述文档。GML是SGML和HTML的前身。知识模块:访问控制13.Theimportanceofprotectingauditlogsgeneratedbycomputersandnetworkdevicesishighlightedbythefactthatitisrequiredbymanyoftoday'sregulations.Whichofthefollowingdoesnotexplainwhyauditlogsshouldbeprotected?A.Ifnotproperlyprotected,theselogsmaynotbeadmissibleduringaprosecution.B.Auditlogscontainsensitivedataandshouldonlybeaccessibletoacertainsubsetofpeople.C.Intrudersmayattempttoscrubthelogstohidetheiractivities.D.Theformatofthelogsshouldbeunknownandunavailabletotheintruder.正确答案:D解析:D正确。审计工具是跟踪网络内某个网络设备或者某一台计算机上的活动的技术控制。尽管审计不是一个可以拒绝某个实体访问网络或计算机的活动,但它会跟踪活动,使得安全管理员能够了解所发生访问的类型、识别安全漏洞,或者向管理员警告有可疑活动发生。这些信息可以用来指出其他技术控制的疏忽之处,帮助管理员了解什么地方必须做出调整以保证环境内所需的安全级别。入侵者也可以利用该信息来发现这些漏洞,所以审计日志应该通过许可、权利和完整性控制等方法进行保护,正如散列算法中的一样。不过,所有相似系统的系统日志格式通常都是标准化的。隐藏日志格式不是一个常用的对策,也并非保护审计日志文件的原因。A不正确。因为审计日志必须小心保护,以便它们可以在法庭.上作为呈堂证供。审计跟踪可以用来警报任何可稍后研究的可疑活动。除此之外,审计日志在准确确定攻击已持续的时间和破坏的程度方面也很有价值。确保维护一个合适的监管链至关重要,因为这样可以保证任何被收集的数据在以后需要时一一比如刑事诉讼或调查等一一能够及时准确地呈现。B不正确。因为只有管理员和安全人员才能够查看、修改或删除审计跟踪信息。其他任何人都应该无权查看该数据,更别说修改或删除它。数据的完整性可以通过数字签名、信息摘要工具和强大的访问控制工具实现。在需要的情况下,数据的保密性可以通过加密和访问控制进行保护,并可以把数据存储在一次性写入的介质,以防止丢失或者被修改。对审计日志未经授权的访问尝试也应该捕获并报告。C不正确。因为这个陈述是正确的。如果一个入侵者闯进了你的房子,他会尽可能地不留下指纹或者其他将他与犯罪活动相关联的线索以掩藏踪迹。计算机诈骗和非法活动也是如此。入侵者会尽力掩藏他的踪迹。通常,入侵者会删除记录他的犯罪信息的审计日志。删除审计日志中特定犯罪数据的行为称为Scrubbing(擦除)。删除这些信息不仅使得管理员未警觉或不知道安全违规行为,而且还可能破坏有价值的数据。因此,审计日志应该受到严格访问控制的保护。知识模块:访问控制14.Harrisonisevaluatingaccesscontrolproductsforhiscompany.Whichofthefollowingisnotafactorheneedstoconsiderwhenchoosingtheproducts?A.ClassificationlevelofdataB.LeveloftrainingthatemployeeshavereceivedC.LogicalaccesscontrolsprovidedbyproductsD.Legalandregulationissues正确答案:B解析:B正确。在公司确定自己所需的访问控制产品的类型时,他们首先应该了解公司的法律规定、需要保护系统上的数据敏感程度,以及访问控制系统使用的技术控制类型等。然而,访问控制系统的选择不应该基于员工以前接受的培训。员工应该在访问控制系统首次展示后进行培训,但是在本题目所列出的问题中,培训是最不重要的一个。A不正确。因为对公司而言,在选择访问控制产品时考虑数据的分类级别十分重要。不同安全机制提供的可用性、完整性和机密性也不尽相同。为了保证公司购买的安全机制合理并得到正确的应用,必须对环境、待保护的数据分类和安全目标进行评估以确保购买和应用正确的安全机制。许多公司常常因为没有遵循这些步骤而去购买最近上市的所谓的新而“炫”产品,从而浪费了大量时间和金钱。C不正确。因为公司应该考虑身份标识、身份验证、授权和可问责性需求所必需的逻辑访问控制。逻辑访问控制是为系统、程序、流程和信息推行访问控制措施的软件组件。逻辑访问控制可以嵌入到操作系统、应用程序、附加安全包、数据库和电信管理系统中。D不正确。因为在选择和创建访问控制产品时,法律法规事宜是必须要考虑的。公司必须确保妥善地对待那些对敏感的、处于不同法律法规保护下的数据的访问控制。这些措施可以使公司免受因数据泄露而导致的罚款和其他处罚。知识模块:访问控制15.Thereareseveraltypesofintrusiondetectionsystems(IDSs).WhattypeofIDSbuildsaprofileofanenvironment'snormalactivitiesandassignsananomalyscoretopacketsbasedontheprofile?A.State-basedB.Statisticalanomaly-basedC.MisusedetectionsystemD.Protocolsignature-based正确答案:B解析:B正确。基于统计异常的入侵检测系统(IntrusionDetectionSystem,IDSs)是一种基于行为的检测系统。基于行为的IDS产品并不使用预定义的签名(signature),而是放置在一个学习模式中构建环境“正常”活动的配置文件。这个配置文件通过不断提取该环境的活动样本构建而成。在大多数情况下,IDS被置于学习模式中的时间越长,它构建的配置文件越精确,提供的保护也就越强。这个配置文件构建完之后,未来所有流量和活动都会与之进行对比。IDS借助复杂的统计算法寻找网络流量或者用户活动中的异常情况。每个数据包都被赋予一个异常值,这个值表明了它的不规则程度。如果这个值高于“正常”行为的既定阈值,那么便会采取预先配置的行为。A不正确。因为基于状态IDS的规则规定了怎样的状态转换序列应该发出警报。初始状态指的是攻击发生之前的状态,而被攻击状态指的是成功侵入之后的状态。发生在初始状态和受损状态之间的活动正是基于状态IDS所要寻找的活动。如果其中任何状态转换序列与预先配置的规则相匹配,IDS便会发出警告。C不正确。因为误用检测系统(misuse-detectionsystem)只是基于签名的检测系统(signature-basedIDS)的另一个名称,它指的是把网络或系统活动与攻击的特征或模式相比较。不被认为是攻击的任何活动都被认为是可接受的。基于签名的IDS是当前最受欢迎的IDS产品,与杀毒软件一样,它们的有效性依赖于不断定期更新该软件中的新签名。这种类型的IDS对新型攻击的抵抗力很弱,因为它仅能识别那些预定义的并且已经拥有签名的攻击。D不正确。因为基于协议签名的IDS不是一个正式的IDS,这是一个干扰项。知识模块:访问控制16.Arule-basedIDStakesadifferentapproachthanasignature-basedoranomalybasedsystem.Whichofthefollowingischaracteristicofarule-basedIDS?A.UsesIF/THENprogrammingwithinexpertsystemsB.IdentifiesprotocolsusedoutsideoftheircommonboundsC.ComparespatternstoseveralactivitiesatonceD.Candetectnewattacks正确答案:A解析:A正确。基于规则的入侵检测通常与专家系统一起联合使用。专家系统是由一个知识库、一个推理引擎和基于规则的程序组成。知识表示成规则,待分析的数据称为事实。该系统的知识是用基于规则的程序编写的(IF情况THEN行为)。这些规则将用于事实、来自于传感器的数据或者被监控的系统。例如,IDS从系统的审计日志中提取数据,并将其临时存在它的事实数据库中。然后,将预定义的规则应用到这个数据,并判断是否发生了可疑活动。在这种场景中,规则为:“IF某个根用户创建了File1ANDFile2SUCHTHATtheyareinthesamedirectoryTHENthereisacalltoAdministrativeToolTRIGGERsendalert.”这个规则定义的是:如果某个根用户在同一个目录中创建了两个文件,并调用某个特定的管理工具,那么就应该发出警报。B不正确。因为基于协议异常的IDS定义了在通常边界外使用的协议。这种IDS具有它将监督的每个协议的特定知识。协议异常与协议的格式和行为有关。如果某个协议的格式发生了变换或者表现出不正常的行为,那么IDS便会发出警报。C不正确。因为状态匹配型的IDS一次会将模式和若干种活动进行对比。它是基于签名IDS的一种,即它与反病毒软件一样进行模式匹配。状态是操作系统中在易失性存储器、半永久存储位置和永久存储位置上数值的快照。在基于状态的IDS中,初始状态是指攻击实施前的状态,受损状态是成功侵入后的状态。IDS拥有一些指明哪些状态转换序列应该报警的规则。D不正确。因为基于规则的IDS不能检测出新型的攻击。基于异常的IDS能够检测新型攻击,因为这种类型的IDS并不依赖于预定义好的规则和签名,而这些规则和签名是安全研究人员利用充分时间研究某一个攻击之后才总结出来的。相反,基于异常的IDS会学习环境中的“正常”活动,只有当它检测出异常的活动时才会发出警报。基于异常的IDS的3种类型是基于统计异常的IDS、基于协议异常的IDS和基于流量异常的IDS。它们也被称为基于行为的或启发式IDS。知识模块:访问控制17.Samplanstoestablishmobilephoneserviceusingthepersonalinformationhehasstolenfromhisformerboss.Whattypeofidentitytheftisthis?A.PhishingB.TruenameC.PharmingD.Accounttakeover正确答案:B解析:B正确。身份窃取(IdentityTheft)指的是某些人获取个人信息的关键内容,比如驾照号码、银行账户号码、凭证或者社会保险号码等,然后用这些信息仿冒他人的情况。一般来说,进行身份窃取的人会利用这些个人信息,并以受害者名义获取信用、商品或服务。这会导致受害者信用等级受损、产生错误的犯罪记录或签发错误的逮捕令。身份窃取分为两种:真实姓名(truename)接管和账号接管(accounttakeover)。真实姓名身份窃取指的是窃贼利用个人信息开设新的账户。该窃贼可能会开设一个新的信用卡账户、像Sam一样开肩移动电话服务或开设一个新的支票账户以获取空白支票。A不正确。因为钓鱼(phishing)攻击是一种社会工程攻击,其目的是获取个人信息、个人凭证、信用卡号码或金融数据。攻击者利用各种方式引诱或垂钓敏感信息。钓鱼的目的是欺骗受害者交出他的个人信息,而身份窃取的目的是利用个人信息获取个人或经济利益。攻击者可以利用钓鱼攻击作为手段进行身份窃取。C不正确。因为网址嫁接(pharming)是一种技术攻击,其目的是欺骗受害者把他们的个人信息通过非法网站发送给攻击者。受害者在浏览器中键入网址,如,受害者的系统向已中毒的DNS服务器发起一个请求,而这个中毒的服务器会把受害者引向受攻击者控制的网站上。因为这个网站看似与请求登录的网站一样,所以用户会输入他的个人信息,攻击者便可以利用该信息进行身份窃取。D不正确。因为账户接管式身份窃取指的是冒名顶替者利用个人信息访问该人现有的账户,而不是开设一个新账户。通常,窃贼会更改账户的邮寄地址,并在身份被盗的这个人意识到有问题之前进行一大笔消费。互联网使得身份窃取人可以更加容易地利用盗取的信息,因为交易可在没有人员交流的情况下进行。知识模块:访问控制18.Ofthefollowing,whatistheprimaryitemthatacapabilitylistingisbasedupon?A.AsubjectB.AnobjectC.AproductD.Anapplication正确答案:A解析:A正确。功能表(capabilitytable)说明了特定客体对某些具体客体所拥有的访问权限。功能列表(capabilitylist,功能表的另一称呼)与访问控制列表(AccessControlList,ACL)不用,因为主体受限于功能表,而客体受限于ACL。功能的形式可以是令牌(token)、票证(ticket)或密钥(key)。当主体调用某个功能组件时,操作系统(或应用程序)会审查访问权限和功能组件所描述的操作,并允许主体仅执行这些功能。功能组件是一个包含唯一的客体标识符与主体拥有的对那个客体访问权限的数据结构。该客体可能是一个文件、一个数组、一个内存段或者一个端口。B不正确。因为客体是与访问控制列表而不是功能组件绑定。ACL常用于好几种操作系统、应用程序和路由器配置。ACL都是被授权访问某一具体客体的主体列表,它们定义了被授予权限的级别。身份验证可以针对某个个体或某个组。ACL将访问控制矩阵的值映射到客体。功能对应的是访问控制矩阵中的行,ACL则对应着该矩阵的列。C不正确。因为产品可以是客体也可以是主体。如果用户试图访问一个产品(比如一个程序),则该用户是主体,而该产品是客体。如果某个产品试图访问一个数据库,那么该产品是主体,数据库是客体。例如,当产品是功能列表中的一个主体时,最佳答案是A。功能列表指明了某一主体能够访问的客体以及对于那些客体可以执行的操作。D不正确。因为这个答案与选项C相似。如果用户试图访问某一应用程序,那么用户是主体,应用程序是客体。如果应用程序试图访问数据库,则应用程序是主体,数据库是客体。例如,当应用程序是功能列表中的一个主体时,最佳答案是A。功能列表指明了某一主体能够访问的客体以及对于这些客体可以进行的操作。知识模块:访问控制19.Alexworksforachemicaldistributorthatassignsemployeestasksthatseparatetheirdutiesandroutinelyrotatesjobassignments.Whichofthefollowingbestdescribesthedifferencesbetweenthesecountermeasures?A.Theyarethesamethingwithdifferenttitles.B.Theyareadministrativecontrolsthatenforceaccesscontrolandprotectthecompany'sresources.C.Separationofdutiesensuresthatonepersoncannotperformahigh-risktaskalone,andjobrotationcanuncoverfraudbecausemorethanonepersonknowsthetasksofaposition.D.Jobrotationensuresthatonepersoncannotperformahigh-risktaskalone,andseparationofdutiescanuncoverfraudbecausemorethanonepersonknowsthetasksofaposition.正确答案:C解析:C正确。职责分离和工作轮换是公司内部常用的两个防止和检测欺诈的安全控制手段。职责分离是为了确保某个实体不能执行那些会给公司带来破坏或风险的任务。它要求两个或多个人聚在一起,各司其职然后完成总体任务。工作轮换有助于确保一个人不会在一个岗位上呆太长时间,因为那样他可能最终会对某一业务部门有太多的控制权。控制太多会导致欺骗、数据修改和资源滥用。A不正确。因为职责分离和工作轮换是两个不同的概念。然而,它们却都能够减少欺骗、破坏、信息滥用、偷窃和其他安全漏洞发生的可能性。职责分离确保一个个体不可能一个人完成一个关键任务。当潜艇船长需要发射核鱼雷时,往往会要求3个不同的高级机组成员往发射系统中输入3个代码。这就是一个职责分离的例子。工作轮换确保一个人不会因为在一个职位上时间过长而最终对某一业务部门拥有太多的控制权。B不正确。因为选项C更为详细和明确。选项C正确描述出了这两种控制手段及它们的差异。这两种控制本质上都是管理手段,目的是控制对公司资产的访问,但是CISSP考试需要在4个选项中找出最佳答案。D不正确。因为这个描述颠倒了。职责分离而不是工作轮换确保一个人无法单独执行一个高风险的任务。工作轮换使人们在一个具体角色中流动,从而确保不会发生欺骗活动。知识模块:访问控制20.Whattypeofmarkuplanguageallowscompanyinterfacestopassservicerequestsandthereceivingcompanyprovisionaccesstotheseservices?A.XMLB.SPMLC.SGMLD.HTML正确答案:B解析:B正确。服务配置标记语言(ServiceProvisioningMarkupLanguage,SPML)是一种构建于XML框架之上的标记语言,它交换了用户应该访问什么资源和服务的信息。例如,汽车公司和轮胎公司仅允许汽车公司内部的库存经理订购轮胎。如果Bob登录汽车公司的库存软件并订购40个轮胎,那么轮胎公司如何知道这个请求是来自一个授权的供应商和库存经理群中的用户呢?汽车公司软件能够把用户和群的身份信息传给轮胎公司的软件。轮胎公司使用这个身份信息做一个授权决定,并允许Bob填写订购40个轮胎的请求。由于发送和接收公司都遵循一个标准(XML),所以这种相互操作类型能够发生。A不正确。因为这个答案不是这个问题的最佳答案。基于XML的SPML允许公司接口传递服务请求和接收公司对这些服务配置访问。这种相互的可操作性之所以可能是因为这两个公司使用的都是XML。XML是一套电子文档编码和网络通信的规则,它也可以用于编码网络服务中任意的数据结构。XML还允许团队或公司创建类似SPML的信息模式,进而使得使用一致方式共享数据成为可能。C不正确。因为标准通用标记语言(StandardGeneralizedMarkupLanguage,SGML)是最早开发出来的标记语言之一。它并不向用户提供访问或配置功能。SGML是一个定义文档通用标记标签的标准,它是通用标记语言(GeneralizedMarkupLanguage,GML)的后继者,但比XML或SPML早很多。D不正确。因为超文本标记语言(HypertextMarkupLanguage,HTML)是为注释网页而开发的。HTML是XML和SGML的先驱。HTML提供了一个注释网页上发现的文本和其他元素的结构语义的方式。它可以用于嵌入图像和客体,或创建交互式表单。但是,它不允许公司接口传递服务请求,也不允许接受公司对这些服务的配置访问。知识模块:访问控制21.Thereareseveraldifferenttypesofcentralizedaccesscontrolprotocols.Whichofthefollowingisillustratedinthegraphicthatfollows?A.DiameterB.WatchdogC.RADIUSD.TACACS+正确答案:A解析:A正确。Diameter是一种身份验证、授权和审计(authentication,authorization,auditing,AAA)协议,它提供与远程身份验证拨入用户服务(RemoteAuthenticationDial-InUserService,RADIUS)和终端访问控制器访问控制系统(TerminalAccessControllerAccessControlSystem,TACACS+)相同的功能,但提供更多的灵活性和功能以满足当今复杂多元网络的新需求。与此同时,所有远程通信都通过公私合作关系(Public-PrivatePartnership,PPP)和串行线路网络协议(SerialLineInternetProtocol,SLIP)连接而发生,用户自己通过密码认证协议(PasswordAuthenticationProtocol,PAP)或者挑战握手认证协议(ChallengeHandshakeAuthenticationProtocol,CHAP)来验证自己的身份。现如今,技术变得更加复杂,可供选择的设备和协议比以往任何时候都多。Diameter协议允许无线设备、智能电话和其他设备等使用漫游协议、移动IP,以太网(通过PPP)、IP电话(VolP)等进行自我网络验证。B不正确。因为看门狗定时器(Watchdogtimers)通常用于检测软件故障,比如某进程是否非正常结束或挂起无响应。看门狗功能通过发送一种“心跳”数据包来判断服务是否响应。如果没有响应,则该服务进程会被终止或重置。这种数据包有助于防止软件死锁、无限循环和进程优先级问题的发生。AAA协议可以使用该功能判断数据包是否需要重新发送以及出现问题的连接是否应该被关闭和重启,但它本身却不是一个访问控制协议。C不正确。因为RADIUS(RemoteAuthenticationDial-InUserService)是一个网络协议,为远程用户提供客户端/服务器验证、授权和审计。网络可能拥有访问服务器、DSL、ISDN或供远程用户通信专用的Tl线。访问服务器要求远程用户的登录凭证,再把该凭证传回存储了用户名和密码值的RADIUS服务器。该远程用户是访问服务器的客户,而该访问服务器是RADIUS服务器的客户。D不正确。因为TACACS+提供的功能与RADIUS基本相同。RADIUS协议综合了验证和授权功能。TACACS+使用真正的身份验证、授权、会计和审计(AAA)体系结构,并把每个功能分离开来。这赋予网络管理员在涉及远程用户如何验证的方式上以更多灵活性。对于需要通过VolP、移动IP或其他类似协议类型通信的设备而言,TACACS+和RADIUS都不能提供这些服务。知识模块:访问控制22.Anaccesscontrolmatrixisusedinmanyoperatingsystemsandapplicationstocontrolaccessbetweensubjectsandobjects.Whatisthecolumninthistypeofmatrixreferredtoas?A.CapabilitytableB.ConstrainedinterfaceC.Role-basedvalueD.ACL正确答案:D解析:D正确。访问控制列表(Accesscontrollists,ACL)将访问控制矩阵的值与客体进行映射。功能对应着访问控制矩阵中的行,而ACL对应着该矩阵中的列。ACL可用于几个操作系统、应用程序和路由器配置中。它们是被授权访问具体客体的主体的列表,它们定义了授予被授权的级别。授权可以针对一个个体,也可以针对一个组。所以ACL与客体绑定,并指明什么主体能够访问它,而功能表是与主体绑定,指明主体能够访问什么客体。A不正确。因为功能的形式可以是令牌(token)、票证(ticket)或密钥(key),它是访问控制矩阵中的行。当主体调用某个功能组件时,操作系统(或应用程序)会审查这些访问权限和功能组件所描述的操作,然后允许主体仅执行这些功能。功能组件是一个数据结构,它包含了唯一的客体标识符和主体拥有的对那个客体的访问权限。客体可能是一个文件、一个数组、一个内存段或者一个端口。功能系统中的每个用户、进程和应用程序都有一个它能执行的功能的列表。B不正确。因为限制性用户接口(constraineduserinterface)限制了用户的访问能力,它不允许用户请求使用某些功能或信息,或者访问特定的系统资源。存在三种主要的限制性接口:菜单和shell、数据库视图(databaseviews)和物理限制接口。在使用菜单和shell限制时,给用户的选项是用户能够执行的命令。例如,如果管理员希望用户仅能够执行一个程序,那么该程序将会是菜单上唯一可用的选项。如果使用限制性shell,那么这个shell将仅包括管理员希望用户能够执行的那些命令。C不正确。因为基于角色的访问控制(role一basedaccesscontrol,RBAC)模式,也叫做非自主访问控制(nondiscretionaryaccesscontrol),使用一套集中管理的控制来决定主体和客体的交互方式。这种模式使得对资源的访问权限基于用户在公司内所扮演的角色。它之所以叫非自主访问控制,是因为给用户分配角色难免会有强加的成分。这意味着如果你被分配去做公司里承包商的角色,你无法改变它。在决定你将被分配什么角色方面,你没有自主权。知识模块:访问控制23.Whattechnologywithinidentitymanagementisillustratedinthegraphicthatfollows?A.UserprovisioningB.FederatedidentityC.DirectoriesD.Webaccessmanagement正确答案:B解析:B正确。联合身份和与其相关的权利是一种便携式身份,可以跨业务边界使用。它允许用户在多个IT系统和企业中进行身份认证。身份联合是把一个用户在两个或多个地点的不同身份联系起来而无须同步或合并目录信息。联合身份向企业和消费者提供了一个更为便捷的访问分布式资源的方式,是电子商务的一个关键组成部分。A不正确。用户身份配置(userprovisioning)指创建、维护和删除存在于一个或多个与业务流程有关的系统、目录或应用程序中的用户客体和属性。用户身份配置软件可以包括一个或多个下列组件:变更传播、自助服务工作流、统一用户管理、委托用户管理和联合变更控制。用户客体指雇员、承建商、供应商、合作伙伴、顾客或其他服务接收者。服务包括电子邮件、访问数据库、访问文件服务器或中央处理器等。用户身份配置可以是联合身份识别功能,但图中没有提到这一点。C不正确。大多数公司都有某种类型的包括公司网络资源和用户信息的目录。大多数目录都遵循层级数据库结构且基于X.500标准和一种协议类型,正如轻量目录访问协议(LightweightDirectoryAccessProtocol,LDAP)中的那样,允许主体和应用程序用这个目录进行交互。应用程序可以通过向目录提出LDAP请求而要求获得某一特定用户的信息;用户也可以通过使用相似请求而要求获得某一特定资源的信息。目录能够在一个联合构架中运行,但这个图中没有显示这一点。D不正确。Web访问管理(WebAccessManagement,WAM)软件控制着用户在用Web浏览器与基于Web的企业资产交互时能访问什么。这类技术变得越来越强大,配置越来越高。这是因为电子商务、在线银行、内容提供、Web服务等日益增多的缘故。随着用户可以进行身份验证的方式(密码、数字证书、令牌和其他)的增多、可供用户使用的资源和服务(转移资金、购买产品、更新资料等)的增多以及必要的基础设施组件的增多,复杂性也与日俱增。基础设施通常是由一个Web服务器场(许多服务器)、一个包含用户账户和属性的目录、一个数据库、几个防火墙和一些路由器组成,它们全部按分层式体系结构排列。知识模块:访问控制24.Thereareseveraldifferenttypesofsinglesign-onprotocolsandtechnologiesinusetoday.Whattypeoftechnologyisillustratedinthegraphicthatfollows?KerberosDiscretionaryaccesscontrolSESAMEMandatoryaccesscontrol正确答案:C解析:C正确。多厂商环境下欧洲安全应用系统(SecureEuropeanSystemforApplicationinaMultivendorEnvironment,SESAME)项目是为拓展Kerberos功能和改进其弱点而开发的单点登录(Singlesign-on,SSO)技术。SESAME使用对称和非对称加密技术来验证主体对网络资源的访问身份。Kerberos使用票证来验证主体访问客体的身份,而SESAME使用特权属性证书(PrivilegedAttributeCertificates,PAC)来验证,PAC包括主体的身份、访问客体的功能、访问时限和PAC的生命周期。PAC是数字签名,因此客体可以验证它是否来自于可信任的验证服务器,即特权属性服务器(PrivilegedAttributeSe
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- (2026)医院清廉建设工作总结
- (2026年)师德师风教育案例总结
- 三角形的内切圆课件 2025-2026学年人教版数学九年级上册
- 2026智能化采购面试题及答案
- 社会事务考试试题及答案
- 2026年一建市政实务考前密押考点通关试卷及答案
- 2026年一建民航实务考前错题专项突破试卷及答案
- 2026年一建矿业工程真题汇编试卷及答案
- 2026地理讲课面试题目及答案
- 2026奉献团结面试题及答案
- 全球及中国医药喷雾泵市场竞争风险及供需前景预测研究报告
- 2026年四川宜宾三江新区社区工作者(社区综合岗)招聘考试试卷-含答案解析
- 国际疾病诊断编码库ICD-11(带疾病科室分类)
- 拒食槟榔主题班会
- 中医康复治疗技术试题(附参考答案)
- 初高中物理衔接教材
- 消防紧急疏散应急预案
- 2025年中考英语总复习:完形填空 刷题练习题汇编(含答案解析)
- DL∕T 659-2016 火力发电厂分散控制系统验收测试规程
- DZT 0453.2-2023 铌钽矿石化学分析方法 第2部分:锂、铷、铍、镍、铜、锌、铌、钽、钨和钇元素含量测定 封闭酸溶-电感耦合等离子体质谱法
- DB11T 1197-2024住宅全装修设计标准
评论
0/150
提交评论