软件水平考试

【分析解答题】阅读以下关于信息系统安全性的说明。
[说明]
某大型跨国企业的IT部门一年前基于SOA(Service-OrientedArchitecture)对企业原有的多个信息系统进行了集成，实现了原有各系统之间的互连互通，搭建了支撑企业完整业务流程运作的统一信息系统平台。随着集成后系统的投入运行，IT部门发现在满足企业正常业务运作要求的同时，系统也暴露出明显的安全性缺陷，并在近期出现了企业敏感业务数据泄漏及系统核心业务功能非授权访问等严重安全事件。针对这一情况，企业决定由IT部门成立专门的项目组负责提高现有系统的安全性。
项目组在仔细调研和分析了系统现有安全性问题的基础上，决定首先为在网络中传输的数据提供机密性Confidentiality)与完整性(Integrity)保障，同时为系统核心业务功能的访问提供访问控制机制，以保证只有授权用户才能使用特定功能。
经过分析和讨论，项目组决定采用加密技术为网络中传输的数据提供机密性与完整性保障。但在确定具体访问控制机制时，张工认为应该采用传统的强制访问控制(MandatoryAccessControl)机制，而王工则建议采用基于角色的访问控制(Role-BasedAccessControl)与可扩展访问控制标记语言(eXtensibleAccessControl Markup Language，XACML)相结合的机制。项目组经过集体讨论，最终采用了王工的方案。
请用300字以内的文字，从授权的可管理性、细粒度访问控制的支持和对分布式环境的支持三个方面指出项目组采用王工方案的原因。
网考网解析：
试题答案：采用王工方案是因为基于角色的访问控制与XACML相结合的机制具有以下优势： 授权的可管理性：RBAC将用户与权限分离，相比MAC减小了授权管理的复杂性，更适合于大型企业级系统的安全管理； 细粒度访问控制的支持：XACML提供了统一的访问控制策略描述语言，策略表达能力强，可用来描述各种复杂的和细粒度的访问控制安全需求，更适合企业复杂业务功能的访问控制要求； 分布式环境的支持：XACML的标准性便于各子系统的协作交互，各子系统或企业业务部门可以分布管理访问控制权限，而MAC则通常需要对访问控制权限集中管理，不太适合企业基于SOA集成后的分布式系统。 答案解析：[解析] 本问题考查访问控制机制及XACML标准的相关知识。从“基于SOA对企业原有多个信息系统进行了集成”可以看出系统访问控制的主要对象为集成后的服务，因此对细粒度访问控制的支持和对分布式环境的支持要求较高，而系统是支撑跨国企业整体业务流程的，业务功能复杂，因而对授权的可管理性要求较高。针对上述需求，王工提出的方案比张工提出的方案具有以下优势： 授权的可管理性：RBAC将用户与权限分离，相比MAC减小了授权管理的复杂性，更适合于大型企业级系统的安全管理； 细粒度访问控制的支持：XACML提供了统一的访问控制策略描述语言，策略表达能力强，可用来描述各种复杂的和细粒度的访问控制安全需求，更适合企业复杂业务功能的访问控制要求； 分布式环境的支持：XACML的标准性便于各子系统的协作交互，各子系统或企业业务部门可以分布管理访问控制权限，而MAC则通常需要对访问控制权限集中管理，不太适合企业基于SOA集成后的分布式系统。 document.getElementById("warp").style.display="none"; document.getElementById("content").style.display="block"; 查看试题解析出处>>