三级信息安全技术知识点总结和试题及答案解析

计算机三级(信息安全技术)考试题库与答案计算机三级(信息安全技术)考试题库与答案近年来，随着计算机技术的迅猛发展，信息安全问题日益突出。

为了提高信息安全技术人员的能力，培养优秀的计算机专业人才，计算机三级(信息安全技术)考试应运而生。

本文将介绍计算机三级(信息安全技术)考试题库与答案，以便考生更好地备考和了解考试内容。

第一部分：选择题（共40题，每题2分，共80分）1. 以下哪项不是计算机信息安全的三要素？A. 机密性B. 可用性C. 完整性D. 隐私性答案：D2. 常用的数据加密算法中，对称加密算法包括下列哪些？A. DESB. RSAC. AESD. MD5答案：A、C3. 对称加密算法和非对称加密算法的主要区别是什么？A. 加密速度B. 加密强度C. 密钥管理复杂度D. 加密数据的长度答案：C4. 以下哪项不是计算机病毒的传播方式？A. 邮件附件B. 可执行文件感染C. 网络下载D. 杀毒软件更新答案：D5. JWT（JSON Web Token）是一种用于认证的开放标准，一般由三部分组成，分别是什么？A. Header、Payload、SignatureB. Body、Payload、SignatureC. Header、Data、SignatureD. Header、Body、Signature答案：A......第二部分：填空题（共10题，每题4分，共40分）1. 数据库中常用的一种安全措施是__________。

答案：权限控制2. 信息系统安全性的保障主要包括__________和__________两个方面。

答案：技术措施、管理措施3. WAF（Web Application Firewall）是一种应用层的__________。

答案：防护设备4. 网络钓鱼（Phishing）是一种通过__________获取用户敏感信息的攻击方式。

答案：伪装电子邮件5. 黑客常用的一种网络攻击手段是__________，旨在让网络服务不可用。

2023年计算机三级《信息安全技术》考试历年真题摘选附带答案第1卷一.全考点综合测验(共20题)1.【单选题】防火墙能够____。

A.防范恶意的知情者B.防范通过它的恶意连接C.防备新的网络安全问题D.完全防止传送已被病毒感染的软件和文件2.【单选题】下面对漏洞出现在软件开发的各个阶段的说法中错误的是A.漏洞可以在设计阶段产生B.漏洞可以在实现过程中产生C.漏洞可以在运行过程中能力级产生D.漏洞可以在验收过程中产生3.【单选题】静态包过滤技术是防火墙早期采用的技术，请指出下列哪一项不属于包过滤技术的操作对象A.IP 头B.TCP头C.ICMP报文D.HTTP头4.【单选题】Windows系统下，哪项不是有效进行共享安全的防护措施?A.使用net share\127.0.0.1c$ /delete 命令，删除系统中的c$等管理共享，并重启系统B.确保所有的共享都有高强度的密码防护C.禁止通过“空会话”连接以匿名的方式列举用户、群组、系统配置和注册表键值D.安装软件防火墙阻止外面对共享目录的连接5.【单选题】称为访问控制保护级别的是A.C1B.B1C.C2D.B26.【单选题】下面哪类访问控制模型是基于安全标签实现的?A.自主访问控制B.强制访问控制C.基于规则的访问控制D.基于身份的访问控制7.【单选题】原型化是信息系统需求定义的方法，下列I ：定义基本需求Ⅱ：开发工作模型Ⅱ：模型验证Ⅱ：修正和改进A.. 仅Ⅱ和ⅡB.仅Ⅱ、Ⅱ和ⅡC.全部D.仅Ⅱ、Ⅱ和Ⅱ8.【单选题】我国正式公布了电子签名法，数字签名机制用于实现____需求A.抗否认B. 保密性C.完整性D.可用性9.【单选题】以下对于路由器的说法不正确的是A.适用于大规模的网络B.复杂的网络拓扑结构、可提供负载共享和最优路径选择C.安全性高及隔离不需要的通信量D.支持非路由协议10.【单选题】为了增强电子的安全性，人们经常使用PGP，它是A.一种基于RSA的加密软件B.一种基于白的反垃圾软件C.基于SSL的VPN技术D.安全的电子11.【单选题】在一个使用Chinese Wall 模型建立访问控制的信息系统中，数据W和数据X 在一个利益冲突类中，数据Y和数据Z 在另一个利益冲突类中，那么可以确定一个新注册的用户A.只有访问了W之后，才可以访问XB.只有访问了W之后，才可以访问Y和Z 中的一个C.无论是否访问W，都只能访问Y 和Z 中的一个D.无论是否访问W，都不能访问Y 或Z12.【单选题】下列对自主访问控制说法不正确的是A.自主访问控制允许客体决定主体对该客体的访问权限B.自主访问控制具有较好的灵活性和可扩展性C.自主访问控制可以方便地调整安全策略D.自主访问控制安全性不高，常用于商业系统13.【单选题】IPSec 协议中涉及到密钥管理的重要协议是____。

计算机三级（信息安全技术）模拟试题（附答案）一、单选题（共100题，每题1分，共100分）1、SET协议安全性高于SSL协议是由于A、SET协议采用了公钥密码体制B、SET协议采用了非对称密码体制C、SET协议将整个信息流动过程都进行了安全保护D、SET协议采用了X.509电子证书进行安全防护正确答案：C2、国家秘密的密级分为A、公民、机构、国家三级B、隐私、秘密、绝密三级C、秘密、机密、绝密三级D、隐私、机密、绝密三级正确答案：C3、BS 7799是依据英国的工业、政府和商业共同需求而制定的一一个标准，它分为两部分:第一部分为“信息安全管理事务准则”，第二部分为()。

A、信息安全管理系统的规范B、信息安全管理系统的法律C、信息安全管理系统的技术D、信息安全管理系统的设备正确答案：A4、下列选项中，不属于数据库软件执行的完整性服务的是( )。

A、参照完整性B、语义完整性C、关系完整性D、实体完整性正确答案：C5、TCM是指()。

A、可信密码模块B、可信计算模块C、可信软件模块D、可信存储模块正确答案：A6、能提供电子邮件数字签名和数据加密功能的协议是A、S/MIMEB、SMTPC、POP3D、SSH正确答案：A7、TCP全连接扫描是A、TCP SYN扫描B、TCP FIN扫描C、TCP ACK扫描D、TCP三次握手扫描正确答案：D8、防范计算机系统和资源被未授权访问，采取的第一道防线是( )。

A、授权B、加密C、审计D、访问控制正确答案：D9、软件开发生命周期模型，不包括A、瀑布模型B、快速原型模型C、白盒模型D、螺旋模型正确答案：C10、下列选项中，不属于Web服务器端安全防护技术的是A、定期更新Web服务器上浏览器的安全插件B、部署专用的Web防火墙保护Web服务器的安全C、Web服务器要进行安全的配置D、Web服务器上的Web应用程序要进行安全控制正确答案：A11、当用户双击自己Web邮箱中邮件的主题时，触发了邮件正文页面中的XSS漏洞，这种XSS漏洞属于( )。

2024年计算机三级信息安全技术试题及答案试题及答案1：1.____不属于必需的灾前预防性措施。

DA 防火设施B 数据备份C 配置冗余设备D 不间断电源，至少应给服务器等关键设备配备2.对于人员管理的描述错误的是____。

BA 人员管理是安全管理的重要环节B 安全授权不是人员管理的手段C 安全教育是人员管理的有力手段D 人员管理时，安全审查是必须的3.根据《计算机信息系统国际联网保密管理规定》，涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行____。

BA 逻辑隔离B 物理隔离C 安装防火墙D VLAN划分4.安全评估技术采用____这一工具，它是一种能够自动检测远程或本地主机和网络安全性弱点的程序。

AA 安全扫描器B 安全扫描仪C 自动扫描器D 自动扫描仪5.___最好地描述了数字证书。

AA 等同于在网络上证明个人和公司身份的身份证B 浏览器的一标准特性，它使得黑客不能得知用户的身份C 网站要求用户使用用户名和密码登陆的安全机制D 伴随在线交易证明购买的收据6.根据BS 7799的规定，建立的信息安全管理体系ISMS的最重要特征是____。

BA 全面性B 文档化C 先进性D 制度化7.根据BS 7799的规定，对信息系统的安全管理不能只局限于对其运行期间的管理维护，而要将管理措施扩展到信息系统生命周期的其他阶段，BS7799中与此有关的一个重要方面就是_CA 访问控制B 业务连续性C 信息系统获取、开发与维护D 组织与人员8.如果一个信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对社会秩序和公共利益造成一定损害，但不损害国家安全;本级系统依照国家管理规范和技术标准进行自主保护，必要时，信息安全监管职能部门对其进行指导。

那么该信息系统属于等级保护中的____。

CA 强制保护级B 监督保护级C 指导保护级D 自主保护级9.如果一个信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对公民法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益;本级系统依照国家管理规范和技术标准进行自主保护。

计算机三级信息安全技术试题及答案计算机三级信息安全技术试题及答案平时的练习是我们考试获取好成绩的前提，同时练习也是需要有选择性地做的，以下是店铺为大家整理的计算机三级信息安全技术试题及答案，欢迎大家一起来学习!计算机三级信息安全技术试题及答案篇1一、判断题1.网络边界保护中主要采用防火墙系统，为了保证其有效发挥作用，应当避免在内网和外网之间存在不经过防火墙控制的其他通信连接。

正确2.网络边统，在内网和外网之间存在不经过防火墙控制的其他通信连接，不会影响到防火墙的有效保护作用。

错误3. 防火墙虽然是网络层重要的安全机制，但是它对于计算机病毒缺乏保护能力。

正确4. 我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型。

错误5. 信息技术基础设施库(ITIL)，是由英国发布的关于IT服务管理最佳实践的建议和指导方针，旨在解决IT服务质量不佳的情况。

正确6.美国国家标准技术协会NIST发布的《SP 800-30》中详细阐述了IT系统风险管理内容。

正确7.防火墙在静态包过滤技术的基础上，通过会话状态检测技术将数据包的过滤处理效率大幅提高。

正确8. 通常在风险评估的实践中，综合利用基线评估和详细评估的优点，将二者结合起来。

正确9. 脆弱性分析技术，也被通俗地称为漏洞扫描技术。

该技术是检测远程或本地系统安全脆弱性的一种安全技术。

正确二、填空题1. 在数据库设计中，对数据库的概念、逻辑和物理结构的改变称为(重新组织);其中改变概念或逻辑结构又称为(重新构造);改变物理结构称为(重新格式化)。

2. 在数据库设计中，各类数据描述的集合，包括数据项、数据结构、数据流、数据存储、数据加工过程等的描述，通常称为(数据字典)。

3. 系统规划的.阶段性成果是(系统的总体规划报告);需求分析的阶段成果是(系统需求说明书);物理设计的结果是(物理数据库结构说明书)。

4. 从软件的规划，研制，实现，投入运行和维护，直到它被新的所取代，这一过程成为(软件生存)周期。

计算机三级（信息安全技术）试题库与参考答案一、单选题（共100题，每题1分，共100分）1、下列有关信息安全管理体系的说法中，错误的是A、对于一个规模较小的组织机构，可以只制定一个信息安全政策B、信息安全管理工作的基础是风险处置C、在ISMS建设、实施的同时，必须相应地建立起各种相关文档、文件D、信息安全策略是组织机构的信息安全的最高方针，必须形成书面文件正确答案：B2、Nmap支持的扫描功能是A、Web漏洞扫描B、网络漏洞扫描C、端口扫描D、软件漏洞扫描正确答案：C3、访问控制依赖的原则，包括身份标识、责任衡量、授权和A、评估B、过滤C、验证D、跟踪正确答案：C4、机关、单位应当根据工作需要，确定国家秘密的具体的解密时间(或者解密条件)和A、保密机关B、保密期限C、保密人D、保密条件正确答案：B5、下列攻击手段中，不属于诱骗式攻击的是( )。

A、网站挂马B、ARP欺骗C、网站钓鱼D、社会工程正确答案：B6、GB/T 22239标准(《信息系统安全等级保护基本要求》)提出和规定了对不同安全保护等级信息系统的最低保护要求，称为A、基本安全要求B、基本保护要求C、最高安全要求D、最高保护要求正确答案：A7、SSL协议中握手协议的作用是A、完成会话密钥的协商B、完成加密算法的协商C、完成通信双方身份验证D、完成传输格式的定义正确答案：D8、下列关于数字签名的描述中，正确的是( )。

A、数字签名是在所传输的数据后附加，上一段和传输数据毫无关系的数字信息B、数字签名能够解决篡改、伪造等安全性问题C、数字签名能够解决数据的加密传输D、数字签名一般采用对称加密机制正确答案：B9、定义ISMS的范围，就是在___ 内选定架构ISMS的范围A、评估机构B、安全机构C、行政机构D、组织机构正确答案：D10、信息安全管理体系(ISMS) 是一个系统化、程序化和文件化的管理体系,属于风险管理的范畴，体系的建立基于系统、全面和科学的安全A、风险评估B、风险识别C、风险控制D、风险处置正确答案：A11、计算机系统安全评估的第一个正式标准是( )。

计算机三级信息安全技术试题库与参考答案一、单选题（共100题，每题1分，共100分）1、微软的软件安全开发生命周期模型中最早的阶段是A、第0阶段:准备阶段B、第0阶段:项目启动阶段C、第1阶段:定义需要遵守的安全设计原则D、第1阶段:产品风险评估正确答案：A2、下列组件中，典型的PKI系统不包括()。

A、CAB、LDAPC、RAD、CDS正确答案：D3、下列选项中,不属于网站挂马的主要技术手段是( )。

A、js脚本挂马B、框架挂马C、下载挂马D、body挂马正确答案：C4、数组越界漏洞触发时的特征，不包括A、读取恶意构造的输入数据B、对数组进行读/写操作C、用输入数据计算数组访问索引D、对整型变量进行运算时没有考虑到其边界范围正确答案：D5、假设Alice的RSA公钥为(e=3,n=55)。

Bob发送消息m=14给Alice，则Bob对消息加密后得到的密文是A、94B、14C、49D、12正确答案：C6、在Linux/UNIX系统中，用户命令的可执行文件通常存放在B、/libC、/etcD、/dev正确答案：A7、电子签名认证证书应当载明的内容是A、电子认证服务提供者名称、证书持有人名称、证书序列号、证书有效期、证书持有人电子签名验证数据B、电子认证服务者身份证号、证书使用目的、证书持有人的电子签名验证数据、证书有效期C、电子认证服务者身份证号、证书使用目的、证书序列号、电子认证服务提供者的电子签名D、电子认证服务提供者名称、证书持有人名称、证书采用的私钥、认证服务提供者电子签名验证数据正确答案：A8、信息安全管理的主要内容，包括A、信息安全管理框架和实施、信息安全风险管理和信息安全管理措施三个部分B、信息安全管理认证、信息安全风险管理和信息安全管理措施三个部分C、信息安全管理策略、信息安全风险管理和信息安全管理措施三个部分D、信息安全管理体系、信息安全风险管理和信息安全管理措施三个部分正确答案：D9、验证数字证书的真实性，是通过A、检查证书中证书序列号是否具有唯一性来验证B、验证证书中证书认证机构的数字签名来实现C、比较当前时间与证书截止时间来验证D、查看证书是否在证书黑名单中来验证正确答案：B10、下列关于堆(heap) 的描述中，正确的是( )。

第一章信息安全保障概述1.1信息安全保障背景1.什么是信息？事物运行的状态和状态变化的方式。

2.信息技术发展的各个阶段？a.电讯技术的发明b.计算机技术发展c.互联网的使用3.信息技术的消极影响？信息泛滥、信息污染、信息犯罪。

4.信息安全发展阶段？a.信息保密b.计算机安全c.信息安全保障5.信息安全保障的含义？运行系统的安全、系统信息的安全6.信息安全的基本属性？机密性、完整性、可用性、可控性、不可否认性7信息安全保障体系框架？保障因素：技术、管理、工程、人员安全特征：保密性、完整性、可用性生命周期：规划组织、开发采购、实施交付、运行维护、废弃8.P2DR模型？策略(核心)、防护、监测、响应9.IATF信息保障的指导性文件？核心要素：人员、技术(重点)、操作10.IATF中4个技术框架焦点域？a.保护本地计算环境b.保护区域边界c.保护网络及基础设施d.保护支持性基础设施11.信息安全保障工作的内容？a.确定安全需要b.设计实施安全方案c.进行信息安全评测d.实施信息安全监控和维护12.信息安全评测的流程？见课本p19图1.4受理申请、静态评测、现场评测、风险分析13.信息监控的流程？见课本p20图1.5受理申请、非现场准备、现场准备、现场监控、综合分析1.1.1信息技术及其发展阶段信息技术两个方面：生产：信息技术产业；应用：信息技术扩散信息技术核心：微电子技术，通信技术，计算机技术，网络技术第一阶段，电讯技术的发明；第二阶段，计算机技术的发展；第三阶段，互联网的使用1.1.2信息技术的影响积极：社会发展，科技进步，人类生活消极：信息泛滥，信息污染，信息犯罪1.2信息安全保障基础1.2.1信息安全发展阶段通信保密阶段（20世纪四十年代）：机密性，密码学计算机安全阶段（20世纪六十和七十年代）：机密性、访问控制与认证，公钥密码学（Diffie Hellman，DES），计算机安全标准化（安全评估标准）信息安全保障阶段：信息安全保障体系（IA），PDRR模型：保护（protection）、检测（detection）、响应(response)、恢复（restore），我国PWDRRC模型：保护、预警（warning）、监测、应急、恢复、反击（counter-attack），BS/ISO 7799标准（有代表性的信息安全管理体系标准）：信息安全管理实施细则、信息安全管理体系规范1.2.2信息安全的含义一是运行系统的安全，二是系统信息的安全：口令鉴别、用户存取权限控制、数据存取权限方式控制、审计跟踪、数据加密等信息安全的基本属性：完整性、机密性、可用性、可控制性、不可否认性1.2.3信息系统面临的安全风险1.2.4信息安全问题产生的根源：信息系统的复杂性，人为和环境的威胁1.2.5信息安全的地位和作用1.2.6信息安全技术核心基础安全技术：密码技术安全基础设施技术：标识与认证技术，授权与访问控制技术基础设施安全技术：主机系统安全技术，网络系统安全技术应用安全技术：网络与系统安全攻击技术，网络与系统安全防护与响应技术，安全审计与责任认定技术，恶意代码监测与防护技术支撑安全技术：信息安全评测技术，信息安全管理技术1.3信息安全保障体系1.3.1信息安全保障体系框架生命周期：规划组织，开发采购，实施交付，运行维护，废弃保障要素：技术，管理，工程，人员安全特征：机密性，完整性，可用性1.3.2信息系统安全模型与技术框架P2DR安全模型：策略（policy），防护，检测，响应；防护时间大于检测时间加上响应时间，安全目标暴露时间=检测时间+响应时间，越小越好；提高系统防护时间，降低检测时间和响应时间信息保障技术框架（IATF）：纵深防御策略（）：人员，技术，操作；技术框架焦点域：保护本地计算机，保护区域边界，保护网络及基础设施，保护支撑性基础设施1.4信息安全保障基本实践1.4.1国内外信息安全保障工作概况1.4.2信息安全保障工作的内容确定安全需求，设计和实施安全方案，进行信息安全评测，实施信息安全监控第二章信息安全基础技术与原理2.1密码技术2.1.1对称密码与非对称密码对称密钥密码体制：发送方和接收方使用相同的密钥非对称密钥密码体制：发送方和接收方使用不同的密钥对称密钥体制：加密处理速度快、保密度高，密钥管理分发复杂代价高、数字签名困难分组密码：一次加密一个明文分组：DES，IDEA，AES；序列密码：一次加密一位或者一个字符：RC4，SEAL加密方法：代换法：单表代换密码，多表代换；置换法安全性：攻击密码体制：穷举攻击法（对于密钥长度128位以上的密钥空间不再有效），密码分析学；典型的密码攻击：唯密文攻击，已知明文攻击，选择明文攻击（加密算法一般要能够抵抗选择明文攻击才认为是最安全的，分析方法：差分分析和线性分析），选择密文攻击基本运算：异或，加，减，乘，查表设计思想：扩散，混淆；乘积迭代：乘积密码，常见的乘积密码是迭代密码，DES，AES数据加密标准DES：基于Feistel网络，3DES，有效密钥位数：56国际数据加密算法IDEA：利用128位密钥对64位的明文分组，经连续加密产生64位的密文分组高级加密标准AES：SP网络分组密码：电子密码本模式ECB，密码分组链模式CBC，密码反馈模式CFB，输出反馈模式OFB，计数模式CTF非对称密码：基于难解问题设计密码是非对称密码设计的主要思想，NP问题NPC问题克服密钥分配上的困难、易于实现数字签名、安全性高，降低了加解密效率RSA：基于大合数因式分解难得问题设计；既可用于加密，又可用于数字签名；目前应用最广泛ElGamal：基于离散对数求解困难的问题设计椭圆曲线密码ECC：基于椭圆曲线离散对数求解困难的问题设计通常采用对称密码体制实现数字加密，公钥密码体制实现密钥管理的混合加密机制2.1.2哈希函数单向密码体制，从一个明文到密文的不可逆的映射，只有只有加密过程，没有解密过程可将任意长度的输入经过变换后得到固定长度的输出（原消息的散列或消息摘要）应用：消息认证（基于哈希函数的消息认证码），数字签名（对消息摘要进行数字签名口令的安全性，数据完整性）消息摘要算法MD5：128位安全散列算法SHA：160位SHA比MD5更安全，SHA比MD5速度慢了25%，SHA操作步骤较MD5更简单2.1.3数字签名通过密码技术实现，其安全性取决于密码体制的安全程度普通数字签名：RSA，ElGamal，椭圆曲线数字签名算法等特殊数字签名：盲签名，代理签名，群签名，不可否认签名，具有消息恢复功能得签名等常对信息的摘要进行签名美国数字签名标准DSS：签名算法DSA应用：鉴权：重放攻击；完整性：同形攻击；不可抵赖2.1.4密钥管理包括密钥的生成，存储，分配，启用与停用，控制，更新，撤销与销毁等诸多方面密钥的分配与存储最为关键借助加密，认证，签名，协议和公证等技术密钥的秘密性，完整性，真实性密钥产生：噪声源技术（基于力学，基于电子学，基于混沌理论的密钥产生技术）；主密钥，加密密钥，会话密钥的产生密钥分配：分配手段：人工分发（物理分发），密钥交换协议动态分发密钥属性：秘密密钥分配，公开密钥分配密钥分配技术：基于对称密码体制的密钥分配，基于公钥密码体制的密钥分配密钥信息交换方式：人工密钥分发，给予中心密钥分发，基于认证密钥分发人工密钥分发：主密钥基于中心的密钥分发：利用公开密钥密码体制分配传统密码的密钥；可信第三方：密钥分发中心KDC，密钥转换中心KTC；拉模型，推模型；密钥交换协议：Diffie-Hellman 算法公开密钥分配：公共发布；公用目录；公约授权：公钥管理机构；公钥证书：证书管理机构CA，目前最流行密钥存储：公钥存储私钥存储：用口令加密后存放在本地软盘或硬盘；存放在网络目录服务器中：私钥存储服务PKSS；智能卡存储；USB Key存储2.2认证技术2.2.1消息认证产生认证码的函数：消息加密：整个消息的密文作为认证码消息认证码（MAC）：利用密钥对消息产生定长的值，并以该值作为认证码；基于DES的MAC算法哈希函数：将任意长的消息映射为定长的哈希值，并以该哈希值作为认证码2.2.2身份认证身份认证系统：认证服务器、认证系统客户端、认证设备系统主要通过身份认证协议（单向认证协议和双向认证协议）和认证系统软硬件进行实现认证手段：静态密码方式动态口令认证：动态短信密码，动态口令牌（卡）USB Key认证：挑战/应答模式，基于PKI体系的认证模式生物识别技术认证协议：基于口令的认证协议，基于对称密码的认证，基于公钥密码的认证2.3访问控制技术访问控制模型：自主访问控制（DAC）：访问矩阵模型：访问能力表（CL），访问控制表（ACL）；商业环境中，大多数系统，如主流操作系统、防火墙等强制访问控制（DAC）：安全标签：具有偏序关系的等级分类标签，非等级分类标签，比较主体和客体的安全标签等级,，访问控制安全标签列表（ACSLL）；访问级别：最高秘密级，秘密级，机密级，无级别及；Bell-Lapadula模型：只允许向下读、向上写，保证数据的保密性，Biba不允许向下读、向上写，保护数据完整性；Chinese Wall模型：多边安全系统中的模型，包括了MAC和DAC的属性基于角色的访问控制（RBAC）：要素：用户，角色，许可；面向企业，大型数据库的权限管理；用户不能自主的将访问权限授权给别的用户；MAC基于多级安全需求，RBAC 不是2.3.2访问控制技术集中访问控制：认证、授权、审计管理（AAA管理）拨号用户远程认证服务RADIUS：提供集中式AAA管理；客户端/服务器协议，运行在应用层，使用UDP协议；组合认证与授权服务终端访问控制器访问控制系统TACACS：TACACS+使用TCP；更复杂的认证步骤；分隔认证、授权、审计Diameter：协议的实现和RADIUS类似，采用TCP协议，支持分布式审计非集中式访问控制：单点登录SSOKerberos：使用最广泛的身份验证协议；引入可信的第三方。