2025年信息系统安全专家DAC模型的安全缺陷与风险分析专题试卷及解析.pdfVIP

2025年信息系统安全专家DAC模型的安全缺陷与风险分析专题试卷及解析1

2025年信息系统安全专家DAC模型的安全缺陷与风险分

析专题试卷及解析

2025年信息系统安全专家DAC模型的安全缺陷与风险分析专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在DAC模型中，以下哪项是其最核心的安全缺陷？

A、访问控制粒度过粗

B、无法防止特洛伊木马攻击

C、系统性能开销过大

D、不支持跨域访问

【答案】B

【解析】正确答案是B。DAC模型的核心缺陷在于它依赖主体自主授权，无法有效

防止特洛伊木马等恶意软件的欺骗性访问。A选项错误，DAC的访问控制粒度可以很

细；C选项错误，DAC本身性能开销较小；D选项错误，DAC实际上支持跨域访问，

只是安全性不足。知识点：DAC模型的安全缺陷。易错点：容易混淆DAC与其他访问

控制模型的性能特点。

2、DAC模型中，以下哪种情况最可能导致权限滥用？

A、管理员集中授权

B、用户自主传递权限

C、系统强制访问控制

D、角色继承机制

【答案】B

【解析】正确答案是B。DAC允许用户自主传递权限，这是权限滥用的主要途径。

A选项错误，管理员集中授权属于MAC特点；C选项错误，强制访问控制不是DAC

特征；D选项错误，角色继承是RBAC特征。知识点：DAC权限传递机制。易错点：

容易忽略自主授权带来的风险。

3、以下哪项不是DAC模型的安全风险？

A、信息泄露

B、权限扩散

C、拒绝服务攻击

D、权限提升

【答案】C

【解析】正确答案是C。拒绝服务攻击不是DAC模型特有的安全风险，而是通用网

络安全问题。A、B、D都是DAC模型特有的风险。知识点：DAC安全风险分类。易

错点：容易将通用安全风险与模型特定风险混淆。

2025年信息系统安全专家DAC模型的安全缺陷与风险分析专题试卷及解析2

4、在DAC环境中，以下哪种防护措施最有效？

A、强制访问控制

B、权限最小化原则

C、数据加密

D、防火墙配置

【答案】B

【解析】正确答案是B。权限最小化原则是缓解DAC风险的最直接有效措施。A选

项错误，强制访问控制与DAC冲突；C、D选项属于通用安全措施，不针对DAC缺

陷。知识点：DAC安全防护策略。易错点：容易选择过于通用的安全措施。

5、DAC模型中的”自主”主要体现在哪个方面？

A、系统自主分配权限

B、用户自主决定访问权限

C、程序自主执行操作

D、网络自主控制流量

【答案】B

【解析】正确答案是B。DAC的”自主”指用户可以自主决定谁可以访问其拥有的资

源。其他选项都是对”自主”的错误理解。知识点：DAC基本概念。易错点：容易混淆不

同层面的”自主”含义。

6、以下哪种攻击方式最可能利用DAC模型的缺陷？

A、SQL注入

B、缓冲区溢出

C、权限欺骗

D、跨站脚本

【答案】C

【解析】正确答案是C。权限欺骗攻击直接利用DAC的自主授权缺陷。其他攻击

方式与DAC模型特性关系不大。知识点：DAC相关攻击方式。易错点：容易选择与

DAC无关的攻击类型。

7、在DAC模型中，以下哪项是权限传递的主要载体？

A、访问控制列表

B、能力表

C、安全标签

D、角色矩阵

【答案】A

【解析】正确答案是A。ACL是DAC中实现权限传递的主要机制。B选项错误，

能力表用于能力系统；C选项错误，安全标签用于MAC；D选项错误，角色矩阵用于

2025年信息系统安全专家DAC模型的安全缺陷与风险分析专题试卷及解析3

RBAC。知识点：DAC实现机制。易错点：容易混淆不同访问控制模型的实现方式。

8、DAC模型最不适合应用