在季度系统访问审查中,发现了一个在生产系统的先前审查中不存在的活动特权帐户。该帐户是在上次访问审核后一小时创建的。除了季度访问审查之外,以下哪一项是降低总体风险的最佳选择()。
A.实施双年度审查。
B.创建系统访问策略。
C.实施和审查基于风险的警报。
D.提高日志记录级别。
A.实施双年度审查。
B.创建系统访问策略。
C.实施和审查基于风险的警报。
D.提高日志记录级别。
A.访问控制审查
B.设计审查
C.源代码审查
D.应用控制审查
A.该模型根据用户所担任的角色和安全级来决定用户在系统中的访问权限。
B.一个用户必须扮演并激活某种角色,才能对一个对象进行访问或执行某种操作
C.在该模型中,每个用户只能有一个角色
D.在该模型中,权限与用户关联,用户与角色关联
A.测试系统应使用不低于生产系统的访问控制措施
B.为测试系统中的数据部署完善的备份与恢复措施
C.在测试完成后立即清除测试系统中的所有敏感数据
D.部署审计措施,记录生产数据的拷贝和使用
A.不安全的加密存储
B.安全配置错误
C.没有限制的URL访问
D.传输层保护不足
A.总布置图
B.舱容图
C.静水力曲线图
D.装载手册(如要求时)
A.应用最新的供应商补丁和更新。
B.运行漏洞扫描程序。
C.审查访问控制。
D.在服务器上安装防病毒软件。
A.库中的文件不允许删除
B.用户可以从库快速访问磁盘上不同文件夹中的文件
C.库就是系统文件夹,会占用磁盘的大量空间
D.在一个库中不可以包含存储在多个位置中的文件或文件夹
A.设置“基址寄存器”和“限长寄存器”
B.不允许用户修改“基址寄存器”和“限长寄存器”的值
C.在目态下执行程序时,要对访问主存的地址进行核查
D.在管态下执行程序时,要对访问主存的地址进行核查
A.如何确定自己的身份,如利用一个带有密码的用户账号登陆
B.赋予用户对文件和目录的权限
C.保护系统或主机上的数据不被非认证的用户访问
D.提供类似网络中“劫持”这种手段的攻击的保护措施
A.身份鉴别,应用系统应对登录的用户进行身份鉴别,只有通过验证的用户才能访问应用系统资源
B.安全标记,在应用系统层面对主体和客体进行标记,主体不能随意更改权限增加访问控制的力度,限制非法访问
C.剩余信息保护,应用系统应加强硬盘、内存或缓冲区中剩余信息的保护,防止存储在硬盘、内存或缓冲区中的信息被非授权的访问
D.房与设施安全,保证应用系统处于有一个安全的环境条件,包括机房环境、机房安全等级、机房的建造和机房的装修等