首页
登录
从业资格
某企业为防止自身信息资源的非授权访问,建立了如下图所示的访问控制系统。 该
某企业为防止自身信息资源的非授权访问,建立了如下图所示的访问控制系统。 该
题库
2022-08-02
66
问题
某企业为防止自身信息资源的非授权访问,建立了如下图所示的访问控制系统。
该系统提供的主要安全机制包括:(1)认证:管理企业的合法用户,验证用户所宣称身份的合法性,该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制;(2)授权:赋予用户访问系统资源的权限,对企业资源的访问请求进行授权决策;(3)安全审计:对系统记录与活动进行独立审查,发现访问控制机制中的安全缺陷, 提出安全改进建议。【问题1】对该访问控制系统进行测试时,用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面?每个方面具体的测试内容又有哪些?【问题2】测试过程中需对该访问控制系统进行模拟攻击试验,以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击,并简要说明模拟攻击的基本原理。【问题3】对该系统安全审计功能设计的测试点应包括哪些?
选项
答案
解析
【问题1】1、对用户权限控制体系合理性的评价,内容如下:① 是否采用系统管理员、业务领导和操作人员三级分离的管理模式。② 用户名称是否具有唯一性,口令强度及口令存储的位置的加密强度等。2、对用户权限分配合理性的评价,内容如下:①用户权限系统本身权限分配的细致程度。②特定权限用户访问系统功能的能力测试。
【问题2】冒充攻击:攻击者控制企业某台主机,发现其中系统服务中可利用的用户账号,进行口令猜测,从而假装成特定用户,对企业资源进行非法访问。重演攻击:攻击者通过截获含有身份鉴别信息或授权请求的有效消息,将该消息进行重演,以达到鉴别自身或获得授权的目的,实现对企业信息的访问。服务拒绝攻击:攻击者通过向认证服务器或授权服务发送大量虚假请求,占用系统带宽并造成系统关键服务繁忙,从而使得认证授权服务功能不能正常执行,产生服务拒绝。
【问题3】① 能否进行系统数据收集、统一存储、集中进行安全审计;② 是否支持基于KPI的应用审计;③ 是否支持基于XML的审计数据采集协议;
【问题1】本问题考查用户权限控制相关安全测试的基本测试内容。对这部分进行安全测试包含对用户权限控制体系合理性的评价和对用户权限分配合理性的评价。
【问题2】本题考查针对特定系统的模拟攻击实验设计。模拟攻击试验:对于安全测试来说,模拟攻击试验是一组特殊的黑盒测试案例。我们以模拟攻击验证软件或信息的安全防护能力。可采用冒充攻击、重演攻击、消息篡改、服务拒绝攻击和内部攻击等方法进行测试。本问题考查针对特定系统的模拟攻击实验设计。相关模拟攻击实验的设计应结合应用具体的安全机制及特点。针对系统的身份认证机制,可设计冒充攻击试验;针对系统用于认证及授权决策的网络消息,可设计重演攻击试验;针对系统关键核心安全模块,可设计服务拒绝攻击试验;由于系统运行时涉及各种内部用户,因此安全测试需验证系统防范内部用户的安全攻击,因此可设计内部攻击实验。(1)冒充攻击:攻击者控制企业某台主机,发现其中系统服务中可利用的用户账号,进行口令猜测,从而假装成特定用户,对企业资源进行非法访问。(2)重演攻击:攻击者通过截获含有身份鉴别信息或授权请求的有效消息,将该消息进行重演,以达到鉴别自身或获得授权的目的,实现对企业信息的访问。(3)服务拒绝攻击:攻击者通过向认证服务器或授权服务发送大量虚假请求,占用系统带宽并造成系统关键服务繁忙,从而使得认证授权服务功能不能正常执行,产生服务拒绝。(4)内部攻击: 不具有相应权限的系统合法用户以非授权方式进行动作,例如截获并存储其他业务部门的网络数据流,或对系统访问控制管理信息进行攻击以获得他人权限等。(以上4点,任意写出三种即可)
【问题3】本题考查系统安全审计功能设计的测试点。① 能否进行系统数据收集、统一存储、集中进行安全审计;② 是否支持基于KPI的应用审计;③ 是否支持基于XML的审计数据采集协议;④ 是否提供灵活的自定义审计规则。(以上测试点,任意给出三个即可)
转载请注明原文地址:https://tihaiku.com/congyezige/2416368.html
本试题收录于:
中级 软件评测师题库软件水平考试初中高级分类
中级 软件评测师
软件水平考试初中高级
相关试题推荐
云计算支持用户在任意位置、使用各种终端获取应用服务,所请求的资源来自云中不固
面向服务的架构体系(SOA.让用户可以不受限制地重复使用软件、连接各种资源。以(
统一资源地址(URL)http://www.xyz.edu.cn/index
某质量技术监督部门为检测某企业生产的某个批次的化妆品含铅量是否超标,通常宜采用(
以下选项中,主要联系高层管理人员的信息系统是()。A.MIS(管理信息
某企业职工关系EMP(E_no,E_name,DEPT,E_addr,E_t
某企业的培训关系模式R(培训科目,培训师,学生,成绩,时间,教室),R的函数依赖
某系统交付运行之后,发现无法处理四十个汉字的地址信息,因此需对系统进行修改。此行
应用系统的数据库设计中,概念设计阶段是在(57)的基础上,依照用户需求对信息进行
张工负责某信息系统的数据库设计。在局部E-R模式的合并过程中,张工发现小杨和小李
随机试题
(1)Atacertainseasonofourlifeweareaccustomedtoconsidereveryspot
AnoverviewofthehistoryofEnglishintheSubcontinent(南亚次大陆)willhelp
TheWorldTradeOrganizationwasestablishedin1995.It【B1】______outofth
[originaltext]Twomonthsago,ZogbyInternational,aWashington-basedresea
美国心理学家卡特尔将智力分为流体智力和晶体智力。其中,流体智力随着机体的衰老而减
患者女性,30岁,右侧上颌第二双尖牙缺失,第一双尖牙牙根有轻度吸收,最佳的固定桥
商业银行先要和公积金管理中心签订( ),取得公积金个人住房贷款业务的承办权之后
下列不属于"外感六淫"的是A.风 B.寒 C.暑 D.湿 E.痰
建设工程项目的可能的资金总供应量属于()。A、资金需求计划的内容 B、资源
有关生物利用度的表述不恰当的是A.指剂型中的药物被吸收进入体循环的速度与程度B.
最新回复
(
0
)