niusouti.com

当一名入侵者紧跟着一位授权人员,在没有经过访问控制系统认证的情况下通过入口的行为称为()。A、冒充B、尾随B、截获C、欺骗

题目
当一名入侵者紧跟着一位授权人员,在没有经过访问控制系统认证的情况下通过入口的行为称为()。

A、冒充

B、尾随

B、截获

C、欺骗

相似考题

1.AAA认证通过后,没有收到PDSN发的计费请求包,通常情况下我们要检查哪几项内容()。A.用户名密码配置B.客户端配置C.授权的地址池D.授权的VR

2.出入口控制系统的功能为对人员的出入进行管理,保证授权人员的自由出入,限制未授权人员的进入。()此题为判断题(对,错)。

3.访问控制模型应遵循下列哪一项逻辑流程()。A、识别,授权,认证B、授权,识别,认证C、识别,认证,授权D、认证,识别,授权

4.综合信息网与互联网的数据交互访问,可以通过路局网络安全平台,并经过认证、授权。也可以私自搭建互联互通环境。()此题为判断题(对,错)。

更多“当一名入侵者紧跟着一位授权人员,在没有经过访问控制系统认证的情况下通过入口的行为称为()。 ”相关问题

  • 第1题:

    关于授权认证的描述,以下哪项说法是错误的?( )

    A.目前支持已认证的订阅号授权认证企业微信

    B.目前支持已认证的服务号授权认证企业微信

    C.企业没有公众号的情况下,也支持授权认证

    D.目前是暂时不支持解除跟企业微信的授权(公众号有解除授权入口,但解除后,企业微信和该授权的公众号的授权关系是不会取消的)


    答案:C

  • 第2题:

    1x协议仅关注接入端口的状态,802.1x协议支持不同的端口控制方式()。

    A.自动识别模式:端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果认证流程通过,则端口切换到授权状态,允许用户访问网络资源

    B.强制授权模式;端口始终处于授权状态,允许用户不经认证授权即可访问网络资源

    C.强制非授权模式;端口始终处于非授权状态,不允许用户访问网络资源

    D.强制自动识别模式:如果认证流程通过,则端口切换到授权状态,允许用户访问网络资源


    参考答案:A, B, C

  • 第3题:

    关于AAA体系中三个独立功能之间的依存关系,下面选项描述错误的是?

    A.可以在没有使用授权的情况下使用认证功能;

    B.可以在没有使用认证的情况下使用审计功能;

    C.可以在没有使用审计的情况下使用认证功能;

    D.可以在没有使用授权的情况下使用审计功能;


    可以在没有使用认证的情况下使用审计功能;

  • 第4题:

    入侵是指没有经过授权就非法获得系统的访问权限或相关授权的行为,其中攻击者利用默认密码进入系统内部属于__(17)__入侵方式。

    A.旁路控制

    B.假冒

    C.口令破译

    D.合法用户的非授权访问


    正确答案:B
    口令破译是指在不知道密钥的情况下,恢复出密文中隐藏的明文信息的过程。密码破译也是对密码体制的攻击。成功的密码破译能恢复出明文或密钥,也能够发现密码体制的弱点。密码破译技术是指实施密码破译过程中常用的各种技术、手段、措施、方法和工具。根据《信息系统项目管理师教程(第二版)》25.2.1小节的内容可知,冒充(即假冒)包括四种情况:1、冒充领导发布命令、调阅密件;2、冒充主机欺骗合法主机和合法用户;3、冒充网络控制程序套取或修改使用权限、密码和密钥等信息,越权使用网络设备和资源;4、接管合法用户,欺骗系统,占用合法用户的资源。综上所述,本题应选B。

  • 第5题:

    [说明] 某企业为防止自身信息资源的非授权访问,建立了如图4-1所示的访问控制系统。



    企业访问控制系统
    该系统提供的主要安全机制包括:
    12认证:管理企业的合法用户,验证用户所宣称身份的合法性,该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制;
    13授权:赋予用户访问系统资源的权限,对企业资源的访问请求进行授权决策;
    14安全审计:对系统记录与活动进行独立审查,发现访问控制机制中的安全缺陷,提出安全改进建议。
    12、[问题1] 对该访问控制系统进行测试时,用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面?每个方面具体的测试内容又有哪些?(6分)
    13、[问题2] 测试过程中需对该访问控制系统进行模拟攻击试验,以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击,并简要说明模拟攻击的基本原理。(3分)
    14、[问题3] 对该系统安全审计功能设计的测试点应包括哪些?(3分)


    答案:
    解析:
    12、两个方面:
    ①评价用户权限控制的体系合理性,是否采用三层的管理模式即系统管理员、业务领导和操作人员三级分离;
    ②用户名称基本采用中文和英文两种,对于测试来说,对于用户名称的测试关键在于测试用户名称的唯一性。
    用户名称的唯一性体现有哪些方面?
    ●同时存在的用户名称在不考虑大小的状态下,不能够同名;
    ●对于关键领域的软件产品和安全要求较高的软件,应当同时保证使用过的用户在用户删除或停用后,保留该用户记录,并且新用户不得与之同名。
    13、模拟攻击试验:对于安全测试来说,模拟攻击试验是一组特殊的黑盒测试案例,我们以模拟攻击验证软件或信息的安全防护能力。可采用冒充、重演、消息篡改、服务拒绝、内部攻击、外部攻击、陷阱门、特洛伊木马方法进行测试。
    泪滴(teardrop)。泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括service pack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。防御措施有服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。
    口令猜测。一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户账号,然后因为使用简单的密码或者没有设密码,导致黑客能很快的将口令猜出。当然事实上用蛮力是可以破解任何密码的,关键是是否迅速,设置的密码是否能导致黑客花很大的时间和效率成本。防御措施有要选用难以猜测的口令,比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略,就进行锁定。
    伪造电子邮件。由于SMTP并不对邮件的发送者的身份进行鉴定,因此黑客可以对你的内部客户伪造电子邮件,声称是来自某个客户认识并相信的人,并附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的链接。防御措施有使用PGP等安全工具并安装电子邮件证书。 14、对该系统安全审计功能设计的测试点应包括:
    ①能否进行系统数据收集,统一存储,集中进行安全审计;
    ②是否支持基于PKI的应用审计;
    ③是否支持基于XML的审计数据采集协议;
    ④是否提供灵活的自定义审计规则。

相关内容