CISSP认证考试(访问控制)模拟试卷1 (题后含答案及解析)
题型有:1. 
1. Which of the following does not correctly describe a directory service?
A.It manages objects within a directory by using namespaces.
B.It enforces security policy by carrying out access control and identity management functions.
C.It assigns namespaces to each object in databases that are based on the X.509 standard and are accessed by LDAP.
D.It allows an administrator to configure and manage how identification takes place within the network.
正确答案:C
解析:C正确。大多数企业都有包含公司网络资源和用户信息的某种类型的目录。基于X.500标准(不是X.509)和一种协议类型,即轻量目录访问协议(Lightweight Directory Access Protocol,LDAP),大多数目录都遵循分层的数据库结构,允许主体和应用程序与这个目录进行交互。应用程序可以通过向目录提出一个LDAP请求来获得某一特定用户的信息;用户也可以使用相似请求获得某个特定资源的信息。目录服务基于X.500标准,给数据库中的每个客体分配一个LDAP可访问的可分辨名称(distinguished names)。每一个可分辨名称都代表着某个特定客体的属性的集合,并作为一个条目存储在目录中。A不正确。因为层次数据库中的客体都是通过日录服务进行管理的。目录服务允许管理员配置和管理网络内的身份识别、身份验证、授权和访问控制如何进行。目录内的客体都被贴上标签并用命名空间来标识,这也是目录服务保证客体有序的方式。B不正确。因为目录服务的确通过控制访问和身份管理功能加强了配置好的安全策略。例如,当用户登录到Windows环境中的一个域控制器时,目录服务(活动目录,Active Directory)便可以确定出他能访问哪些网络资源,不能访问哪些资源。D不正确。因为目录服务的确允许管理员配置和管理网络内部身份识别的方式。它同时也允许对身份验证、授权和访问控制进行配置和管理。 知识模块:访问控制
2. Hannah has been assigned the task of installing Web access management(WAM) soft
ware. What is the best description for what WAM is commonly used for?
A.Control external entities requesting access through X.500 databases
B.Control external entities requesting access to internal objects
C.Control internal entities requesting access through X.500 databases
D.Control internal entities requesting access to external objects
正确答案:B
解析:B正确。Web访问管理(Web Access Management,WAM)软件控制着用户在使用Web浏览器与基于Web的企业资产进行交互时能访问的内容。随着电子商务、在线银行、内容提供和Web服务等使用的日益增长,这类技术变得越来越强大,应用也越来越多。Web访问控制管理流程中最基本的部分和活动如下:a)用户向Web服务器发送证书;b)Web服务器验证用户的证书;c)用户请求访问某个资源(客体);d) Web服务器使用安全策略确定是否允许该用户执行此操作:e)Web服务器允许/拒绝访问请求访问的资源。A不正确。因为目录
服务应该在X.500数据库——不是Web访问管理软件——的目录中进行访问控制。目录服务管理入口和数据,并通过实施强制访问控制和身份管理功能来巩固已配置的安全策略。活动目录和NetWare目录服务(NDS)就属于目录服务的例子。尽管基于Web的访问请求可能针对的是数据库中的客体,但WAM主要控制Web浏览器和服务器之间的通信。Web服务器通常通过目录服务与后端数据库进行通信。C不正确。因为当内部实体使用LDAP请求访问X.500数据库时,目录服务应该执行访问控制。这种类型的数据库为所有客体(主体和资源)提供了一种分层结构。目录服务为每一个客体制定一个独一无二的可分辨名称,并根据需要将对应的属性追加到每个客体后面。目录服务实行安全策略(由管理员配置)来控制主体和客体的交互方式。如果基于Web的访问请求针对的可能是数据库中的客体,WAM主要控制的是Web浏览器和服务器之间的通信。尽管WAM可以用于内部到内部的通信,但它主要是为了外部到内部的通信而开发的。B选项是这4个选项中的最佳答案。D不正确。因为WAM软件主要用于控制外部实体对内部客体的请求访问,而不是这个答案项所描述的。例如,银行可能会使用WAM控制顾客访问后端账户数据。 知识模块:访问控制
3. There are several types of password management approaches used by identity management systems. Which of the following reduces help-desk call volume, but is also cri
ticized for the ease with which a hacker could gain access to multiple resources if a password is compromised?
A.Management password reset
B.Self-service password reset
C.Password synchronization
D.Assisted password reset
正确答案:C
解析:C正确。密码同步(password synchronization)的设计初衷是为了减少不同系统使用不同密码的复杂性。密码同步技术允许用户通过把密码透明地同步到其他系统和应用程序,从而能够为多个系统只维护一个密码,而不必记住多个系统的多个密码。这种方法减少了信息台的电话量。这种方法的缺点是,因为只用一个密码便可访问不同的资源,那么黑客仅须破解这一个凭据集便可未经授权访问所有的资源。A不正确。因为没有这样的管理密码重置。
这是一个干扰项。最常见的密码管理方法有密码同步、自助密码重置和辅助密码重置。B不正确。因为自助密码重置不一定需要处理多个密码。然而,它的确有助于减低密码有关信息台的整体电话流量。在自助密码重置的情况下,用户可以重新设置他们的密码。例如,如果一个用户忘记了自己的密码,他可能立即会被提示回答他在注册过程中设定的问题。如果他的回答与他在注册时提供的信息一致,那么他便可以更改密码。D不正确。因为辅助密码重置不一定需要处理多个密码。它先让信息台验证用户的信息,然后才允许用户重置密码,这样缩短了密码问题的解决流程。必须通过密码管理工具对呼叫者的身份进行识别和验证后才能允许其更改密码。一旦密码被更新,正在认证用户的这个系统应该要求该用户再次更改其密码。这样可以确保只有该用户(而不是其他用户或信息中心的人)知道这个密码。这种辅助密码重置产品的目的是减少支持呼叫的成本,并确保所有的呼叫都以统一、连贯和安全的方式得到处理。 知识模块:访问控制
4. A number of attacks can be performed against smart cards. Side-channel is a class of attacks that doesnt try to compromise a flaw or weakness. Which of the following is not a side-channel attack?
A.Differential power analysis
B.Microprobing analysis
C.Timing analysis
D.Electromagnetic analysis
正确答案:B
解析:B正确。非侵入性攻击是指攻击者观察事物的工作方式以及不同情况下的反应方式、而不是指采取更多的侵入措施试图侵入的攻击方式。旁道攻击的例子有故障生成、差分功率分析、电磁分析、时序分析和软件攻击等。这种类型的攻击常用来发现关于组件在不破解任何类型的缺陷或弱点的情况下如何工作的敏感信息。更具攻击性的智能卡攻击是微探测(microprobing)攻击。微探测使甩针头和超声波振动去除智能卡电路上的外层保护材料。一旦成功,便可通过直接接入卡的ROM芯片访问和操纵数据。A不正确。因为差分功率风险(Differential Power Analysis,DPA)是一种非侵入式攻击。DPA涉及检查处理过程中的功率发射。例如,攻击者通过统计分析来自多重加密操作的数据,能够确定加密运算中的中间值。攻击者甚至无须了解目标设备的设计方式便可以做到。因此,攻击者能够从卡上提取加
密密钥或其他敏感信息。C不正确。因为时序分析是一种非侵入式攻击。它指的是计算某一特定功能完成它的任务所花费的时间。这种攻击基于测量不同加密算法所需的时间。例如,通过观察一张智能卡传输密钥信息的时间,有时便可能判断出这种情况下的密钥长度。D不正确。因为电磁分析需要检查发射频率,属于非侵入式攻击。所有电流都会发射电磁放射物。因此,在智能卡中,功耗和电磁场会随着数据的处理而变化。电磁分析试图通过出数据和电磁发射的关系,从而发现智能卡上的密钥或其他敏感信息。 知识模块:访问控制
5. Which of the following does not describe privacy-aware role-based access control?
数据库认证考试
A.It is an example of a discretionary access control model.
B.Detailed access controls indicate the type of data that users can access based on the datas level of privacy sensitivity.
C.It is an extension of role-based access control.
D.It should be used to integrate privacy policies and access control policies.
正确答案:A
解析:A正确。使用自主访问控制(Discretionary Access Control,DAC)的系统允许资源的所有者指定哪些主体能够访问特定的资源。这个模式之所以称为自主是因为访问控制是建立在所有者的判断的基础之上。在很多情况下,部门经理或者业务部门经理就是他们特定部门的数据所有者。作为所有者,他们能指定谁应该拥有访问权,谁不应该拥有访问权。具有隐私意识的角访问控制是基于角访问控制(Role-Based Access Control,RBAC)的一个延伸。访问控制模式主要有三种:DAC、强制访问控制(Mandatory Access Control,MAC)和RBAC。具有隐私意识的角访问控制是RBAC的一种,而不属于DAC。B不正确。因为具有隐私意识的角访问控制基于的是一种详细的访问控制,该访问控制根据数据的隐私敏感程度,指明了用户可以访问的数据类型。其他访问控制模式,如MAC、DAC和RBAC,自己本身并不保护数据隐私,而是提供用户可以执行的功能来保护数据隐私。例如,经理们可能可以访问某个隐私文件,但更详细的访问控制也是必需的,例如经理们可以访问的是客户的家庭住址而不是社会保险号码。当涉及诸如社会保险号码和信用卡信息等敏感隐私信息时,该行业已经发展到需要更加专注细节的访问控制,这也是为什么具有隐私意识的角访问控制得以发展的原因。C不正确。因为具有隐私意识的角访问控制是基于角访问控制的扩展。访问权利是基于用户在公司内的角和职责,以及他们需要访问数据的隐私程度来确定
的。D不正确。因为在使用具有隐私意识的角访问控制时,隐私策略和访问控制策略所用的语言应该相同或者兼容。使用具有隐私意识的角访问控制的目的是使得访问控制更加具体并专注于隐私相关的数据,因此,它应该使用与组织最初的访问控制策略和标准相同类型的术语和语言。 知识模块:访问控制