2025年信息系统安全专家访问控制基本原理与核心概念专题试卷及解析

2025年信息系统安全专家访问控制基本原理与核心概念专题试卷及解析说明：本试题严格依据信息系统安全相关国家标准（含GB/T18336-2015、GB/T20281-2020等）及行业规范编制，聚焦访问控制基本原理与核心概念，涵盖访问控制定义、模型、策略、实现技术、安全管理等关键领域，题型包括单选、多选、判断、简答，贴合信息系统安全专家岗位能力要求，解析详细且结合实操场景，适用于信息系统安全专家培训、考核及自查使用。一、单项选择题（本大题共20小题，每小题2分，共40分。在每小题给出的四个选项中，只有一项是符合题目要求的）访问控制的核心目的是（），确保信息系统资源不被未授权访问、篡改或滥用。

A.保障系统运行速度B.限制用户操作权限C.保护系统资源安全D.规范用户操作流程

下列选项中，不属于访问控制三要素的是（）。

A.主体B.客体C.授权D.加密

基于“谁能访问、访问什么、如何访问”的核心逻辑，访问控制的首要步骤是（）。

A.权限分配B.主体识别C.客体分类D.访问审计

在访问控制模型中，最基础、应用最广泛的模型是（）。

A.BLP模型B.Biba模型C.自主访问控制模型（DAC）D.强制访问控制模型（MAC）

强制访问控制模型（MAC）的核心特点是（），权限由系统管理员统一分配，用户无法自主更改。

A.用户自主授权B.基于角色分配权限C.系统强制分配权限D.基于数据分类授权

下列哪种访问控制策略，是基于用户在组织中的角色来分配权限，实现“按岗授权、权责对应”（）。

A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于角色的访问控制（RBAC）D.基于属性的访问控制（ABAC）

基于属性的访问控制（ABAC）中，决定访问是否允许的核心依据是（）。

A.用户角色B.主体、客体属性及环境属性C.管理员授权D.资源类型

访问控制中，“主体”是指（），即发起访问请求的实体。

A.被访问的资源B.访问请求的发起者C.访问权限的分配者D.访问行为的审计者

BLP模型的核心安全原则是（），用于保障信息的机密性。

A.向下读、向上写B.向上读、向下写C.向下读、向下写D.向上读、向上写

Biba模型的核心安全原则是（），用于保障信息的完整性。

A.向下读、向上写B.向上读、向下写C.禁止向上读、禁止向下写D.禁止向下读、禁止向上写

下列哪种技术不属于访问控制的实现技术（）。

A.口令认证B.角色映射C.数据加密D.访问控制列表（ACL）

访问控制列表（ACL）的核心作用是（），明确主体对客体的访问权限。

A.识别主体身份B.记录访问日志C.列出主体对客体的访问权限清单D.加密客体数据

在访问控制管理中，“最小权限原则”是指（）。

A.只给用户分配完成工作所需的最小权限B.限制用户访问所有资源C.给用户分配全部权限，方便工作D.只给管理员分配权限

依据GB/T18336-2015《信息技术安全技术信息技术安全评估准则》，安全架构中需描述的安全功能属性，包含访问控制的是（）。

A.自保护B.域分离C.不可旁路D.以上都是

当用户离职或岗位调整时，访问控制管理的核心操作是（），防止权限滥用。

A.修改用户口令B.注销或调整用户权限C.删除用户所有数据D.重启信息系统

下列关于自主访问控制（DAC）的描述，正确的是（）。

A.权限由系统强制分配B.用户可自主将权限授予其他用户C.适用于高安全等级场景D.无法实现权限转移

访问控制审计的核心目的是（），便于追溯未授权访问行为。

A.记录所有访问请求及结果B.限制用户访问权限C.加密访问数据D.识别主体身份在信息系统安全等级保护中，针对安全计算环境的访问控制要求，二级比一级增加的内容不包括（）。

A.剩余信息保护B.个人信息保护C.安全审计D.可信验证

下列哪种场景，最适合采用基于属性的访问控制（ABAC）（）。

A.小型企业内部系统B.权限固定、角色清晰的组织C.多维度权限控制、环境动态变化的场景D.高机密性要求的军事系统

访问控制中，“客体”是指（），即被访问的资源。

A.访问请求的发起者B.被访问的文件、数据、设备等C.权限的分配者D.访问行为的监督者

二、多项选择题（本大题共10小题，每小题3分，共30分。每小题有两个或两个以上符合题目要求，多选、少选、错选均不得分）访问控制的核心作用包括（）。

A.防止未授权访问B.保护信息机密性、完整性C.规范用户操作行为D.追溯访问行为

访问控制三要素包括（），三者缺一不可。

A.主体B.客体C.授权D.审计

常见的访问控制模型包括（）。

A.自主访问控制模型（DAC）B.强制访问控制模型（MAC）C.基于角色的访问控制模型（RBAC）D.基于属性的访问控制模型（ABAC）

基于角色的访问控制（RBAC）的核心组成包括（）。

A.用户B.角色C.权限D.资源

下列关于强制访问控制（MAC）的特点，说法正确的有（）。

A.权限由系统管理员统一分配B.用户无法自主更改权限C.适用于高安全等级场景（如军事、政务）D.基于用户角色分配权限

访问控制的实现技术包括（）。

A.身份认证技术（口令、生物识别等）B.访问控制列表（ACL）C.角色映射D.访问审计技术

访问控制管理的基本原则包括（）。

A.最小权限原则B.权责对应原则C.动态调整原则D.审计追溯原则

依据GB/T18336-2015，安全架构中需描述的安全功能属性，包含访问控制的有（）。

A.自保护B.访问控制C.域分离D.不可旁路

访问控制审计的主要内容包括（）。

A.访问主体B.访问客体C.访问时间D.访问结果（成功/失败）

下列关于访问控制与信息安全等级保护的关系，说法正确的有（）。

A.访问控制是等级保护的核心安全要求之一B.不同等级的信息系统，访问控制要求不同C.等级越高，访问控制的严格程度越高D.访问控制仅适用于二级及以上等级的信息系统

三、判断题（本大题共10小题，每小题1分，共10分。正确的打“√”，错误的打“×”）访问控制的核心是限制用户的操作行为，与信息系统资源的安全无关。（）自主访问控制（DAC）中，用户可以自主将自己拥有的权限授予其他用户。（）BLP模型主要用于保障信息的完整性，Biba模型主要用于保障信息的机密性。（）基于角色的访问控制（RBAC）中，角色是权限的集合，用户通过分配角色获得相应权限。（）访问控制列表（ACL）可以明确主体对客体的访问权限，是访问控制的核心实现技术之一。（）最小权限原则要求给用户分配完成工作所需的全部权限，避免权限不足影响工作。（）访问控制审计无需记录访问失败的行为，只需记录访问成功的行为。（）强制访问控制（MAC）适用于所有信息系统，尤其是小型企业内部系统。（）当用户岗位调整时，无需调整其访问权限，只需修改用户口令即可。（）基于属性的访问控制（ABAC）可以实现多维度的权限控制，适配动态变化的访问场景。（）四、简答题（本大题共4小题，每小题5分，共20分。解答应简明扼要，贴合访问控制核心原理与规范要求）简述访问控制的定义及核心三要素的含义。简述自主访问控制（DAC）、强制访问控制（MAC）、基于角色的访问控制（RBAC）的核心区别。访问控制的基本原则有哪些？请简要说明每个原则的核心要求。简述访问控制在信息系统安全等级保护中的作用，以及不同等级对访问控制的核心要求差异。参考答案及解析一、单项选择题C【解析】访问控制的核心目的是保护信息系统资源安全，防止未授权访问、篡改、滥用，A选项保障系统运行速度与访问控制无关，B、D选项是实现访问控制的手段，而非核心目的。D【解析】访问控制三要素是主体、客体、授权，加密属于数据安全保护技术，不属于访问控制三要素。B【解析】访问控制的核心逻辑是“识别-授权-访问-审计”，首要步骤是主体识别，确认发起访问请求的实体身份，再进行后续的权限分配和访问控制。C【解析】自主访问控制模型（DAC）是最基础、应用最广泛的访问控制模型，适用于大多数普通信息系统；BLP、Biba模型属于强制访问控制相关模型，适用于高安全等级场景；MAC模型是强制访问控制模型，复杂度较高。C【解析】强制访问控制模型（MAC）的核心特点是系统强制分配权限，权限由系统管理员统一配置，用户无法自主更改或转移权限；A选项是DAC的特点，B选项是RBAC的特点，D选项是ABAC的部分特点。C【解析】基于角色的访问控制（RBAC）以角色为中介，将权限分配给角色，再将角色分配给用户，实现“按岗授权、权责对应”；A选项DAC是用户自主授权，B选项MAC是系统强制授权，D选项ABAC是基于多属性授权。B【解析】ABAC的核心的是基于主体属性（如用户身份、岗位）、客体属性（如资源类型、敏感级别）、环境属性（如访问时间、地点）的组合，决定是否允许访问，而非单一的角色或管理员授权。B【解析】访问控制中，主体是访问请求的发起者，包括用户、进程、设备等；A选项是客体的定义，C、D选项是访问控制中的其他角色，并非主体。B【解析】BLP模型（机密性模型）的核心安全原则是“向上读、向下写”，禁止低安全级别主体访问高安全级别客体，防止机密信息泄露。A【解析】Biba模型（完整性模型）的核心安全原则是“向下读、向上写”，禁止高完整性级别主体访问低完整性级别客体，防止高完整性信息被篡改。C【解析】数据加密属于数据安全保护技术，用于保障数据传输和存储的安全，不属于访问控制的实现技术；A、B、D选项均是访问控制的核心实现技术。C【解析】访问控制列表（ACL）的核心作用是列出主体对客体的访问权限清单，明确哪些主体可以访问哪些客体、以何种方式访问；A选项是身份认证的作用，B选项是访问审计的作用，D选项是加密技术的作用。A【解析】最小权限原则的核心是“按需授权”，只给用户分配完成工作所需的最小权限，避免权限过剩导致的安全风险；B、C、D选项均违背最小权限原则。D【解析】依据GB/T18336-2015《信息技术安全技术信息技术安全评估准则》，安全架构需描述的安全功能属性包括自保护、访问控制、域分离、不可旁路等，因此以上选项均正确。B【解析】用户离职或岗位调整时，核心操作是注销或调整其访问权限，防止离职人员或岗位变动人员滥用原有权限；A选项修改口令无法彻底杜绝权限滥用，C、D选项与权限管理无关。B【解析】自主访问控制（DAC）的核心特点是用户可自主将自己拥有的权限授予其他用户，权限可自主转移；A、C选项是MAC的特点，D选项说法错误。A【解析】访问控制审计的核心目的是记录所有访问请求及结果（成功/失败），便于追溯未授权访问行为、排查安全隐患；B选项是访问控制的核心作用，C选项是加密技术的作用，D选项是身份认证的作用。D【解析】依据等级保护基本要求，安全计算环境中，二级比一级增加的要求包括剩余信息保护、个人信息保护、安全审计等，可信验证并非二级新增内容，部分高等级场景才会要求。C【解析】ABAC适用于多维度权限控制、环境动态变化的场景，可根据主体、客体、环境的属性动态调整访问权限；A选项适合DAC，B选项适合RBAC，D选项适合MAC。B【解析】访问控制中，客体是被访问的资源，包括文件、数据、设备、服务等；A选项是主体的定义，C、D选项是访问控制中的其他角色，并非客体。二、多项选择题ABCD【解析】访问控制的核心作用包括：防止未授权访问，保护信息的机密性、完整性，规范用户操作行为，追溯访问行为，为安全审计和事故排查提供依据。ABC【解析】访问控制三要素是主体（访问发起者）、客体（被访问资源）、授权（允许访问的权限），审计是访问控制的后续环节，不属于三要素。ABCD【解析】常见的访问控制模型包括自主访问控制（DAC）、强制访问控制（MAC）、基于角色的访问控制（RBAC）、基于属性的访问控制（ABAC），四种模型各有适用场景，覆盖不同安全需求。ABCD【解析】RBAC的核心组成包括用户（访问主体）、角色（权限的集合）、权限（访问客体的许可）、资源（被访问的客体），四者通过角色映射实现权限分配。ABC【解析】强制访问控制（MAC）的特点包括：权限由系统管理员统一分配，用户无法自主更改或转移权限，适用于高安全等级场景（如军事、政务、金融核心系统）；D选项是RBAC的特点。ABCD【解析】访问控制的实现技术包括身份认证技术（口令、生物识别、密钥等）、访问控制列表（ACL）、角色映射、访问审计技术等，共同实现访问控制的核心功能。ABCD【解析】访问控制管理的基本原则包括最小权限原则（按需授权）、权责对应原则（权限与岗位职责匹配）、动态调整原则（根据岗位、需求变化调整权限）、审计追溯原则（记录访问行为，便于追溯）。ABCD【解析】依据GB/T18336-2015，安全架构中需描述的安全功能属性包括自保护、访问控制、域分离、不可旁路，这些属性共同构成安全架构的核心功能。ABCD【解析】访问控制审计的主要内容包括访问主体（谁访问）、访问客体（访问什么）、访问时间（何时访问）、访问方式（如何访问）、访问结果（成功/失败），确保访问行为可追溯。ABC【解析】访问控制是信息安全等级保护的核心安全要求之一，不同等级的信息系统，访问控制的严格程度不同，等级越高，访问控制要求越严格；D选项说法错误，一级信息系统也有基本的访问控制要求。三、判断题×【解析】访问控制的核心是保护信息系统资源安全，限制用户的操作行为是实现这一核心目的的手段，与资源安全密切相关。√【解析】自主访问控制（DAC）的核心特点是用户可自主管理权限，包括将自己拥有的权限授予其他用户。×【解析】BLP模型主要用于保障信息的机密性，Biba模型主要用于保障信息的完整性，两者的核心作用颠倒。√【解析】RBAC的核心逻辑是“用户-角色-权限”，角色是权限的集合，用户通过被分配角色获得相应的权限，实现权限的集中管理。√【解析】访问控制列表（ACL）通过明确主体对客体的访问权限清单，实现访问控制，是访问控制最核心、最常用的实现技术之一。×【解析】最小权限原则要求给用户分配完成工作所需的最小权限，而非全部权限，避免权限过剩带来的安全风险。×【解析】访问控制审计需要记录所有访问行为，包括访问成功和访问失败的行为，访问失败的行为可能是未授权访问的迹象，需重点追溯。×【解析】强制访问控制（MAC）复杂度高、管理成本高，适用于高安全等级场景（如军事、政务），不适用于小型企业内部系统，小型企业更适合DAC或RBAC。×【解析】用户岗位调整时，需根据新岗位的职责调整其访问权限，仅修改口令无法避免权限滥用，不符合访问控制的动态调整原则。√【解析】ABAC基于主体、客体、环境的多维度属性进行权限控制，可根据环境变化动态调整访问权限，适配动态变化的访问场景。四、简答题答：访问控制是指通过一定的技术手段，限制主体对客体的访问权限，防止未授权访问、篡改或滥用信息系统资源，保障信息系统安全的一种安全机制。（2分）

核心三要素含义：①主体：发起访问请求的实体，包括用户、进程、设备等；（1分）②客体：被访问的资源，包括文件、数据、设备、服务等；（1分）③授权：系统或管理员赋予主体对客体的访问许可，明确主体可以访问哪些客体、以何种方式访问。（1分）答：三者核心区别主要体现在权限分配和管理方式上：①自主访问控制（DAC）：权限由用户自主管理，用户可将自身权限授予其他用户，灵活性高，安全性较低；（2分）②强制访问控制（