信息系统访问控制机制中，()是指对所有主题和客体部分分配安全标签用来标识所属的安全级别，然后在访问控制执行时对主题和客体的安全级别进行比较，确定本次访问是否合法性的技术或方法

试题四 论信息系统中的访问控制

访问控制主要任务是保证系统资源不被非法使用和访问。访问控制规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出资源访问的请求加以控制。

访问控制是策略和机制的集合，它允许对限定资源的授权访问。访问控制也可以保护资源，防止无权访问资源的用户的恶意访问。访问控制是系统安全保障机制的核心内容，是实现数据保密性和完整性机制的主要手段，也是信息系统中最重要和最基础的安全机制。

请围绕“信息系统中的访问控制”论题，依次从以下三个方面进行论述。

1．概要叙述你参与管理和开发的软件项目以及你在其中所担任的主要工作。

2．详细论述常见的访问控制策略和访问控制机制。

3．阐述在项目开发中你所采用的访问控制策略和机制，并予以评价。

A.自主访问控制

B.强制访问控制

C.基于角色的访问控制

D.基于组的访问控制

A.对目录的访问权限可分为读、写和拒绝访问

B.对文件进行操作的用户是一种主体

C.主体可以接收客体的信息和数据，也可以改变客体相关的信息

D.访问权限是指主体对客体所允许的操作

A.对文件进行操作的用户是一种主体

B.主体可以接收客体的信息和数据，也可以改变客体相关的信息

C.访问权限是指主体对客体所允许的操作

D.对目录的访问权限可分为读、写和拒绝访问

A．用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制，并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度；

B．用户调动到新的工作岗位或离开商业银行时，应在系统中及时检查、更新或注销用户身份；

C．定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。

D．定期进行信息科技外包项目的风险状况评价。

E．建立内部审计、外部审计和监管发现问题的整改处理机制。

A.防火墙

B.访问控制

C.入侵检测

D.密码技术

A.第一级为自主保护级。由用户来决定如何对资源进行保护，以及采用何种方式进行保护

B.第二级为指导保护级。本级的安全保护机制支持用户具有更强的自主保护能力

C.第三级为监督保护级。具有第二级系统审计保护级的所有功能，并对访问者及其访问对象实施强制访问控制

D.第四级为为专控保护级，也是所有等级中的最高级。本级的安全保护机制能够使信息系统实施一种系统化的安全保护

A.重要数据存储机密性保护存在高风险，且无缓解措施

B.存在对称密钥使用不当导致密钥泄露的风险

C.若应用和数据安全中访问控制信息完整性测评指标的判定结果为符合，可将重要数据存储机密性测评指标判定为中风险

D.重要数据存储机密性保护的密码技术机制实现不正确

E.某三级信息系统的重要数据基于SM2加密算法进行加密保护，测评人员获取了实现SM2加密算法的代码。请结合代码回答以下问题

A.信息的非法复制

B.干扰信息传播的通讯线路

C.非法访问信息系统

D.盗用信息系统的口令

A.公司层面信息技术控制决定了信息技术一般控制和信息技术应用控制的风险基调

B.信息技术一般控制的有效与否会直接关系到信息技术应用控制的有效性是否能够信赖

C.信息技术应用控制包括程序开发、程序变更、程序和数据访问以及计算机运行四个方面

D.信息系统一般控制对所有的应用或控制模块具有普遍影响