论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 8 篇帖子 ] 
作者 内容
 文章标题 : 信息安全管理的问题(AIO4-CH3)
帖子发表于 : 2008-09-10 11:36 
离线
中级用户

注册: 2007-12-09 15:29
最近: 2016-03-15 15:13
拥有: 735.30 安全币

奖励: 95 安全币
在线: 5579 点
帖子: 104
AIO4-CH3的书后第三题

If different user groups with different security access levels need to access thesame information, which of the following actions should management take?

A. Decrease the security level on the information to ensure accessibility andusability of the information.
B. Require specific written approval each time an individual needs to accessthe information.
C. Increase the security controls on the information.
D. Decrease the classification label on the information.

答案及解释为:
C. If data is going to be available to a wide range of people, more granular security should be implemented to ensure that only the necessary people access the data and that the operations they carry out are controlled. The security
implemented can come in the form of authentication and authorization technologies, encryption, and specific access control mechanisms.

我选择了B,在不看答案及解释的前提下,C说的是不是太空泛了,只是说了增强信息的安全控制,而没有说具体的方法和策略。增强信息安全控制的方法有很多种,但是不是都适用于这样一个“特定”的问题。

向各位朋友求教了


--------本帖迄今已累计获得2安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2008-09-13 20:52 
离线
中级用户

注册: 2007-07-31 08:10
最近: 2014-12-28 22:16
拥有: 651.80 安全币

奖励: 299 安全币
在线: 4241 点
帖子: 60
个人感觉这道题有点超,应该是在考System Model & Architectures中的 Security modes of operation。
本题强调object拥有不同clearance,应该应用multilevel security mode。在此种安全模式下,all user could access data based on their need to know,clearance and formal approval. ”
special written approval只是其中一个方面,the best answer is C .


--------本帖迄今已累计获得32安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2008-09-21 10:27 
离线
初级用户

注册: 2008-09-14 23:47
最近: 2008-11-16 11:04
拥有: 127.10 安全币

奖励: 0 安全币
在线: 131 点
帖子: 34
Answer should be B

我们部门就是security governance, 像这种问题应该是request deviation,每次都需要特批。否则就是break policy了。


--------本帖迄今已累计获得23安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2008-10-30 16:10 
离线
新手

注册: 2008-06-18 14:07
最近: 2009-03-11 15:17
拥有: 67.60 安全币

奖励: 0 安全币
在线: 74 点
帖子: 17
我跟你一样选择的是B,不过我还没有仔细想过原因。
madconnon 的意思是说,答案B给的太窄了,只是其中一个方面。是这个意思吗?


--------本帖迄今已累计获得2安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2009-12-22 08:48 
离线
初级用户

注册: 2006-08-22 14:24
最近: 2012-09-06 11:08
拥有: 104.80 安全币

奖励: 60 安全币
在线: 1209 点
帖子: 24
我个人认为C是最佳选项
B. Require specific written approval each time an individual needs to accessthe information提供了一种方法,但是这种方法反而容易造成推论(inference)的攻击,告诉访问人,这是高密级数据
C. Increase the security controls on the information.可能是最佳答案,虽然说的宽泛,但是没有偏差和遗漏。数据库视图就是其中一种控制措施


--------本帖迄今已累计获得30安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2010-02-01 08:14 
离线
中级用户

注册: 2007-12-21 23:01
最近: 2013-09-18 14:58
拥有: 360.60 安全币

奖励: 30 安全币
在线: 2291 点
帖子: 89
應該是C啦 那是 管理階層
should management take
不是administrator controls
管理階層只要把握方向,方針,具體的實現是下面的人在做


--------本帖迄今已累计获得29安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2010-02-01 09:52 
离线
中级用户

注册: 2007-12-09 15:29
最近: 2016-03-15 15:13
拥有: 735.30 安全币

奖励: 95 安全币
在线: 5579 点
帖子: 104
czljim 写道:
應該是C啦 那是 管理階層
should management take
不是administrator controls
管理階層只要把握方向,方針,具體的實現是下面的人在做


恩,从这个角度来看这道题,确实应该选C。谢谢


--------本帖迄今已累计获得2安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: 信息安全管理的问题(AIO4-CH3)
帖子发表于 : 2010-11-22 12:11 
离线
新手

注册: 2007-08-01 23:47
最近: 2011-02-14 14:59
拥有: 78.00 安全币

奖励: 3 安全币
在线: 4 点
帖子: 15
利用排除法就可以选出C来

A. 降低了信息的安全性
B. 增加了复杂性
D. 同A


--------本帖迄今已累计获得2安全币用户奖励--------


回到顶部
  用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 8 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012