免费智能真题库 > 历年试卷 > 信息系统项目管理师 > 2021年上半年 信息系统项目管理师 上午试卷 综合知识
  第61题      
  知识点:   PMI权限管理基础设施   基础设施   权限管理
  关键词:   权限管理        章/节:   PMI 权限(授权)管理基础       

 
关于权限管理基础设施的描述,不正确的是( )。
 
 
  A.  PMI主要进行授权管理,PKI主要进行身份鉴别
 
  B.  认证过程和授权管理是访问控制的两个重要过程
 
  C.  图书馆对进入人员的管理属于自主访问控制
 
  D.  权限管理。访问控制框架,策略规则共同构成PMI平台
 
 
 

 
  第64题    2019年下半年  
   45%
( )在军事和安全部门中应用最多。
  第16题    2011年上半年  
   72%
某公司网管员对核心数据的访问进行控制时,针对每个用户指明能够访问的资源,对于不在指定资源列表中的对象不允许访问。该访问控..
  第17题    2015年上半年  
   48%
访问控制是为了限制访问主体对访问客体的访问权限,从而使计算机系统在合法范围内使用的安全措施,以下关于访问控制的叙述中,(..
   知识点讲解    
   · PMI权限管理基础设施    · 基础设施    · 权限管理
 
       PMI权限管理基础设施
        访问控制基本概念
        访问控制是信息安全保障机制的核心内容之一,是实现数据保密性和完整性的主要手段之一。访问控制是为了限制访问主体对访问客体的访问权限,从而使计算机信息应用系统在合法范围内使用。
        访问控制的两个重要过程为:
        .认证过程:通过“鉴别”来检验主体的合法身份。
        .授权管理:通过“授权”来赋予用户对某项资源的访问权限。
        访问控制机制可分为以下两种:
        .强制访问控制机制(MAC):系统独立于用户行为强制执行访问控制,用户不能改变他们的安全级别或对象安全属性。
        .自主访问控制机制(DAC):允许对象的属主来制订针对该对象的保护策略。通常DAC通过访问控制列表(ACL)来限定哪些主体针对哪些客体可以执行什么操作。每个客体都拥有一个限定主体对其访问权限的访问控制列表。
        20世纪90年代以来出现的一种基于角色的访问控制(RBAC)技术有效地克服了传统访问控制技术中存在的不足之处。
        .RBAC和DAC的根本区别在于用户不能自主地将访问权限授给别的用户。
        .RBAC与MAC的区别在于MAC是基于多级安全需求的,而RBAC不是。
        基于角色的访问控制中,角色由应用系统的管理员定义。角色成员的增减也只能由应用系统的管理员来执行,即只有应用系统的管理员有权定义和分配角色,而且授权规定是强加给用户的,用户只能被动接受,不能自主地决定,用户也不能自主地将访问权限传给他人,这是一种非自主型访问控制。
        PMI的术语与概念
        1.PMI的定义和功能
        PMI即权限管理基础设施或授权管理基础设施。PMI授权技术的核心思想是以资源管理为核心,将对资源的访问控制权限统一交由授权机构进行管理,即由资源的所有者进行访问控制管理。
        PMI是建立在PKI基础上的,以向用户和应用程序提供权限管理和授权服务为目标,主要负责向业务应用信息系统提供授权服务管理;提供用户身份到应用授权的映射功能;实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制;并能极大地简化应用中访问控制和权限管理系统的开发和维护;并减少管理成本和复杂性。
        2.PMI与PKI的比较
        PMI主要进行授权管理,证明这个用户有什么权限,能干什么,即“你能做什么”。
        PKI主要进行身份鉴别,证明用户身份,即“你是谁”。
        PKI和PMI之间的关系类似于护照和签证的关系。
        PMI与PKI的比较如下表所示。
        
        PMI与PKI的比较
        3.属性证书定义
        对于一个实体的权限的绑定是由一个被数字签名了的数据结构来提供的,这种数据结构称为属性证书,由属性证书管理中心签发并管理。
        属性证书包括如下内容:版本号、持有者、颁发者、签名算法、序列号、有效期、属性、扩展项、签名信息。
        公钥证书将一个身份标识和公钥绑定,属性证书将一个标识和一个角色、权限或者属性绑定(通过数字签名);和公钥证书一样,属性证书能被分发、存储或缓存在非安全的分布式环境中;不可伪造,防篡改。同时,属性证书有以下特点:
        .分立的发行机构。
        .基于属性而不是基于身份进行访问控制。
        .属性证书与身份证书相互关联。
        .时效短。
        .一个人可以拥有好几个属性证书,但每一个都会与唯一的身份证书关联。几个属性证书可以来自不同的机构。
        属性证书的使用模式有两种:推模式和拉模式。
        PMI应用支撑框架
        PMI平台由策略规则、权限管理和访问控制框架共同构成。
        策略规则是PMI真正发挥在访问控制应用方面的灵活性、适应性和降低管理成本的关键。具体来说,策略包含:
        .应用系统中的所有用户和资源信息。
        .用户和资源信息的组织管理方式。
        .用户和资源信息之间的权限关系。
        .保证安全的管理授权约束。
        .保证系统安全的其他约束。
        权限管理模型包括3个实体:对象(客体)、访问者(主体)和权限验证者。
        访问控制授权方案主要有:
        .DAC:即自主访问控制方式,该模型针对每个用户指明能够访问的资源,对于不在指定的资源列表中的对象不允许访问。
        .ACL:即访问控制列表方式,该模型是目前应用最多的方式。目标资源拥有访问权限列表,指明允许哪些用户访问。
        .MAC:即强制访问控制方式,该模型在军事和安全部门中应用较多。目标具有一个包含等级的安全标签,访问者拥有包含等级列表的许可,其中定义了可以访问哪个级别的目标。
        .RBAC:即基于角色的访问控制方式,该模型首先定义一些组织内的角色,再根据管理规定给这些角色分配相应的权限,最后对组织内每个人根据具体业务和职位分配一个或多个角色。
        访问控制决策的基本因素有:
        .访问者:应用中支持哪些用户,确定用户的范围。
        .目标:策略要保护的是哪些目标,确定受保护的资源的范围。
        .动作:应用中限定访问者可以对目标设施的操作,确定权限的范围。
        .权限信任源:应用信任什么机构发布的权限信息。
        .访问规则:访问者具有什么权限才能够访问目标。
        PMI实施建议
        PMI实施的建议步骤为:
        (1)建立属性权威。可分为3种类型,包括使用嵌入式属性权威管理(例如由数据库管理员兼任)、单位内部建立属性权威、建立属性权威中心(简称AA中心)。
        (2)制订授权策略。可以针对安全域内的人员和资源的组织进行分析入手,抓住业务应用的需要,制订系统的授权策略。
        (3)授权。授权和访问控制是具体实现已经制订好的“授权策略”的主要环节。
        (4)访问控制。
        (5)审计。PMI平台提供独立于应用的访问操作审计能力和系统中管理事件的审计,可以在PMI平台中根据需要选择审计内容,不必在开发应用系统前制订。
        PMI实施一般采用以下的工作流程:
        (1)使用用户管理工具注册应用系统用户信息。
        (2)使用资源管理工具注册资源信息。
        (3)使用策略定制工具制订应用系统的权限管理和访问控制策略。
        (4)使用权限分配工具签发策略证书、角色定义证书。
        (5)属性权威针对用户签发属性证书。
        (6)启动策略实施点,使用指定的策略和相关信息初始化策略决策服务器。
        (7)用户登录时,策略实施点验证用户身份,并根据下一个步骤获取权限信息。
        (8)如果是推模式,直接从用户提供的属性证书中获得权限信息;如果是拉模式,根据用户身份信息从属性证书库中检索,并返回用户的权限信息。
        (9)对每个访问请求,策略实施点根据权限、动作和目标信息生成决策请求。
        (10)策略实施点向策略决策点发出决策请求。
        (11)策略决策点根据策略对请求进行判断,返回决策结果。
        (12)策略实施点根据结果决定是否进行访问。
        (13)如果要停止运行,就关闭策略实施点,由策略实施点通知策略决策服务器停止服务。
 
       基础设施
        基础设施是指包括机房供配电系统、机房UPS系统、机房空调系统、机房弱电系统、机房消防系统等在内的,维持机房安全正常运转,确保机房环境满足信息系统设备运行要求的各类设施。
 
       权限管理
        权限管理为整体平台及后续管理提供统一的账户管理和授权管理等功能,支持地域、权限、角色和组织的管理。
        支持部门管理:支持多级部门(如处、科)。分配给部门的角色,将被该部门下的所有用户所继承,如下图所示。
        
        业务单位管理
        支持账户管理:对账户能够进行管理维护,包括增加、删除、修改、查询账户信息,如下图所示。
        
        账户管理
        支持角色管理:角色表示一类特定的权限的集合,包括可以进行的操作和可以管理的资源,通过角色管理可以动态地创建、删除和修改角色,形成新的权限集合,以便分配给账户,达到控制账户权限的目的,如下图所示。
        
        角色管理
        支持授权管理:实现细粒度的权限控制,将权限分为操作权限和资源权限两种。操作权限如对表单数据的增加、删除、修改、查询、审核等,资源权限包括被管设备或资源分组、监控视图分组、报表分组等。通过操作权限和资源权限的有机组合及授权,可以实现对用户权限的细颗粒度的控制。
               用户管理
               用户管理包括组织架构管理、账户角色管理,能够根据用户实际管理架构设定整个平台的管理架构。
               授权管理
               
               细粒度的权限控制
               系统将权限分为操作权限和资源权限两种。操作权限如对表单数据的增加、删除、修改、查询、审核等,资源权限包括被管设备或资源分组、监控视图分组、报表分组等。通过操作权限和资源权限的有机组合及授权,可以实现对用户权限的细颗粒度的控制,如上图和下图所示。
               
               对资产资源(操作对象)的操作授权管理
   题号导航      2021年上半年 信息系统项目管理师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第61题    在手机中做本题