首页
登录
从业资格
某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图1所示。企业信息
某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图1所示。企业信息
题库
2022-08-02
60
问题
某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图1所示。企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。
1、为防止针对网校学员的口令攻击,请从口令的强度、传输存储及管理等方面,说明可采取哪些安全防护措施。相应地,对于网校学员所采用的口令认证机制进行测试时,请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。2、为提高系统认证环节安全性,系统在网校教师及管理员登录认证时引入了USBKey,请说明对公钥认证客户端进行安全测试时,USB Key的功能与性能测试应包含哪些基本的测试点。3、系统证书服务器主要提供证书审核注册管理及证书认证两项功能,根据系统实际情况,目前只设置人员证书,请说明针对证书服务器的功能与性能测试应包含哪些基本的测试点。
选项
答案
解析
1、(1)可采取的安全防护措施包括:
①口令强度:可设置最小口令长度,同时可采取要求用户在口令中使用非数字字母的字符等增加口令复杂度的手段提高口令强度。
②口令传输存储:可采用加密或Hashing手段,系统服务端存储的用户口令可加密或Hashing后存储,网络传输的用户口令可加密或Hashing后进行传输。
③口令管理:可设置最大口令时效强制用户定期更新口令,引入口令锁定机制以应对口令猜测攻击,引入口令历史强制用户设置新口令等。
(2)对口令认证机制测试应包含的基本测试点:
①对用户名称测试的主要测试点在于测试用户名称的唯一性,即测试同时存在的用户名称在不考虑大小写的情况下,不能够同名。
②对用户口令测试应主要测试用户口令是否满足当前流行的控制模式。主要测试点应包括最大/最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。
2、客户端USB Key测试的基本测试点:
(1)功能测试
①是否支持AES、RSA等常用加解密算法。
②是否提供外部接口以支持用户证书及私钥的导入。
③是否提供外部接口支持将数据传入Key内,经过公钥,私钥计算后导出。
④是否能实现USB Key插入状态实时监测,当USB Key意外拔出时是否能自动锁定用户状态。
⑤是否使用口令进行保护。
(2)性能测试
①是否具备私钥不能导出的基本安全特性。
②Key内加解密算法的执行效率是否满足系统最低要求。
3、证书服务器测试的基本测试点:
(1)功能测试
①系统是否提证书的申请、审核、签发与管理功能。
②系统是否提供证书撤销列表的发布和管理等功能。
③系统是否提供证书认证策略及操作管理策略、自身证书安全管理等管理服务。
④是否可以提供加密证书和签名证书。
⑤证书格式是否采用标准X.509格式。
(2)性能测试
①检查证书服务器的处理性能是否具备可伸缩配置及扩展能力。
②关键部分是否采用双机热备和磁盘镜像等安全机制。
③是否满足系统的不间断运行、在线故障恢复和在线系统升级的需要。
④是否满足需求中预测的最大数量用户正常访问需求,且是否具备3~4倍冗余,并根据需要测试证书服务器的并发处理能力。
软件系统的安全性是信息安全的一个重要组成部分,针对程序和数据的安全性测试与评估是软件安全性测试的重要内容,本题考查软件安全性测试的相关知识。
第一小题考查考生对基于口令的用户认证机制相关安全测试内容的了解。
基于口令的认证是最简单的用户认证方式,口令具有共享秘密的属性,该方式也容易受到相应的口令攻击。为防范口令攻击,通常可以从口令的强度、传输存储及管理等方面采取相应的安全防护措施,具体措施可包括设置最小口令长度,同时可采取要求用户在口令中使用非数字字母的字符等增加口令复杂度的手段提高口令强度;采用加密或Hashing手段,系统服务端存储的用户口令可加密或Hashing后存储,网络传输的用户口令可加密或Hashing后进行传输;设置最大口令时效强制用户定期更新口令,引入口令锁定机制以应对口令猜测攻击,引入口令历史强制用户设置新口令等。
对用户名称测试的主要测试点在于测试用户名称的唯一性,即测试同时存在的用户名称在不考虑大小写的情况下,不能够同名。对用户口令测试应主要测试用户口令是否满足当前流行的控制模式,主要测试点应包括最大/最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。
第二小题考查考生对USB Key安全测试内容的理解。
USB Key内置单片机或智能卡芯片有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的加密算法可以实现对用户身份的认证。由于用户私钥通常保存在密码锁中,理论上无法读取,因此可保证用户认证的安全性。
针对USB Key的测试通常包括功能与性能测试两个方面。功能测试的基本测试点包括是否支持AES、RSA等常用加解密算法;是否提供外部接口以支持用户证书及私钥的导入;是否提供外部接口支持将数据传入Key内,经过公钥/私钥计算后导出;是否能实现USB Key插入状态实时监测,当USB Key意外拔出时是否能自动锁定用户状态;是否使用口令进行保护等。性能测试的基本测试点包括是否具备私钥不能导出的基本安全特性;Key内加解密算法的执行效率是否满足系统最低要求等。
第三小题考查证书服务器安全测试内容的相关知识。
按题目描述,系统证书服务器主要提供证书审核注册管理及证书认证两项功能,因此针对证书服务器的安全测试也应主要涵盖这两项主要功能的相应测试。
功能测试的基本测试点包括系统是否提证书的申请、审核、签发与管理功能;系统是否提供证书撤销列表的发布和管理等功能;系统是否提供证书认证策略及操作管理策略、自身证书安全管理等管理服务;是否可以提供加密证书和签名证书;证书格式是否采用标准X.509格式等。性能测试的基本测试点包括检查证书服务器的处理性能是否具备可伸缩配置及扩展能力,关键部分是否采用双机热备和磁盘镜像等安全机制;是否满足系统的不间断运行、在线故障恢复和在线系统升级的需要;是否满足需求中预测的最大数量用户正常访问需求;且是否具备3~4倍冗余,并根据需要测试证书服务器的并发处理能力等。
转载请注明原文地址:https://tihaiku.com/congyezige/2417107.html
本试题收录于:
中级 软件评测师题库软件水平考试初中高级分类
中级 软件评测师
软件水平考试初中高级
相关试题推荐
音频信号经计算机系统处理后送到扬声器的信号是()信号。A.数字 B.模
在数据库设计过程中,关系规范化属于()。A.概念结构设计 B.逻辑结构设计
由于设计缺陷和编码缺陷对已经运行的软件系统进行修改,此行为属于()维护。A.
创建型设计模式抽象了实例化过程,有助于系统开发者将对象的创建、组合和表示方式进行
对于长度为n的线性表(即n个元素构成的序列),若采用顺序存储结构(数组存储),则
在网络操作系统环境中,当用户A的文件或文件夹被共享时,(),这是因为访问用户
在网络操作系统环境中,当用户A的文件或文件夹被共享时,(),这是因为访问用户
微机系统中的系统总线(如PCI)用来连接各功能部件以构成一个完整的系统,它需包括
某数据库系统中,假设有部门关系Dept(部门号,部门名,负责人,电话),其中
某数据库系统中,假设有部门关系Dept(部门号,部门名,负责人,电话),其中
随机试题
Lowself-esteempopsupregularlyinacademicreportsasanexplanationfor
Formostspeciesofanimals,thenumberofindividualsinthespeciesisinverse
论按劳分配与按生产要素分配相结合的收入分配制度。
高压氧对哪项耳聋无辅助治疗作用A.创伤性聋 B.药物性聋 C.突发性聋 D
关于糖原累积病的叙述,错误的是:()A.各型共同的生化特征为糖原储存
A.代谢性酸中毒B.呼吸性酸中毒C.代谢性碱中毒D.呼吸性碱中毒E.无酸碱平衡紊
城市绿地属于下列哪一种物品分类?( )A.私人物品 B.自然垄断物品 C.
以下不属于建筑火灾原因的是()。A.电气火灾 B.燃放烟花爆竹 C.吸烟
某石化生产企业为增值税一般纳税人,该企业原油生产成本为1400元/吨,最近时期同
检验管道系统强度和严密性的试验是()。A、压力试验B、真空度试验C、侧漏性试
最新回复
(
0
)