试题一(共15分)阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。[说明]M公司销售部门日常的业务工作需要经常通过E-mail与客户交换信息,浏览客户的网站,查询客户购买产品需求的信息。每个员工都要经常使用一些文档如报表、订单等,且这些文档还经常发生变化。该部门目前状况是每个人有一台计算机,每个人都用自己的工作电话通过Modem上网,导致经常有客户抱怨电话无法接通。公司专门用一台计算机接了一台打印机,需要打印文件时必须通过U盘把文件拷贝到接有打印机的计算机上,工作效率很低。为了方便业务的完成,有效提高工作效率,该部门构建了集文档管理、客户信息采集、产品信息发布、产品订单处理等功能于一体的信息管理系统。由功能结构上来看,该信息管理系统分为三大功能模块(子系统):文档管理、客户信息管理和产品信息管理,另外,该系统还需对系统资源访问和使用实施控制,在权限控制之内该部门员工可以访问和使用与其相关的系统资源。
[问题3](5分)访问控制包括用户标识与验证、存取控制两种方式,其中用户标识与验证有哪三种常用的方法图1-1是实现用户标识与验证的常用方法之一的流程图,图中(1)、(2)分别应填写什么内容
参考答案:①要求用户输入一些保密信息:采用物理识别设备;采用生物统计学系统,基于某种特殊的物理特征对人进行唯一性识别。 ②密码正确否;用户名和密码。
解析:访问控制决定了谁能访问系统,能访问系统的哪些资源和如何使用这些资源,是控制对计算机系统或网络访问的一种方法,其目的是防止对信息系统资源的非授权访问和使用。数据安全中的访问控制包含两种方式,即用户标识与验证和存取控制。其中,用户标识与验证常用的三种方法是:要求用户输入一些保密信息,如用户名称和密码:采用物理识别设备,如访问卡、钥匙或令牌;采用生物统计学系统,基于某种特殊的物理特征对人进行唯一性识别,如签名、指纹、人脸和语音等。存取控制包括隔离技术法和限制权限法两种基本方法。 从数据安全性角度看,员工(用户)登录模块是防止非法用户登录的第一道防线,通过它可以保护后台数据库的安全性。最常用(简单)的一种访问控制方法是输入用户名称和密码等一些保密信息,并通过系统确认(判别员工名和密码)后才能访问和使用信息系统资源,即当员工进行访问和使用信息系统资源时,首先要进行身份验证,只有在员工名、密码正确的情况下才能对信息系统资源访问和使用,如果输入的员工名、密码不正确,则不能对信息系统资源访问和使用。