某企业为防止自身信息资源的非授权访问，建立了如图4－1所示的访问控制系统。

企业访问控制系统

该系统提供的主要安全机制包括：

12认证：管理企业的合法用户，验证用户所宣称身份的合法性，该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制；

13授权：赋予用户访问系统资源的权限，对企业资源的访问请求进行授权决策；

14安全审计：对系统记录与活动进行独立审查，发现访问控制机制中的安全缺陷，提出安全改进建议。

12、[问题1] 对该访问控制系统进行测试时，用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面？每个方面具体的测试内容又有哪些？

13、[问题2] 测试过程中需对该访问控制系统进行模拟攻击试验，以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击，并简要说明模拟攻击的基本原理。

14、[问题3] 对该系统安全审计功能设计的测试点应包括哪些？

查看答案 纠错

答案：

本题解析：

1、两个方面:

①评价用户权限控制的体系合理性，是否采用三层的管理模式即系统管理员、业务领导和操作人员三级分离；

②用户名称基本采用中文和英文两种，对于测试来说，对于用户名称的测试关键在于测试用户名称的唯一性。

用户名称的唯一性体现有哪些方面？

●同时存在的用户名称在不考虑大小的状态下，不能够同名；

●对于关键领域的软件产品和安全要求较高的软件，应当同时保证使用过的用户在用户删除或停用后，保留该用户记录，并且新用户不得与之同名。

2、模拟攻击试验：对于安全测试来说，模拟攻击试验是一组特殊的黑盒测试案例，我们以模拟攻击验证软件或信息的安全防护能力。可采用冒充、重演、消息篡改、服务拒绝、内部攻击、外部攻击、陷阱门、特洛伊木马方法进行测试。

泪滴(teardrop)。泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP(包括service pack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。防御措施有服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。

口令猜测。一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户账号，然后因为使用简单的密码或者没有设密码，导致黑客能很快的将口令猜出。当然事实上用蛮力是可以破解任何密码的，关键是是否迅速，设置的密码是否能导致黑客花很大的时间和效率成本。防御措施有要选用难以猜测的口令，比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略，就进行锁定。

伪造电子邮件。由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的链接。防御措施有使用PGP等安全工具并安装电子邮件证书。

3、对该系统安全审计功能设计的测试点应包括:

①能否进行系统数据收集，统一存储，集中进行安全审计；

②是否支持基于PKI的应用审计；

③是否支持基于XML的审计数据采集协议；

④是否提供灵活的自定义审计规则。

更新时间：2021-11-16 19:20

你可能感兴趣的试题

单选题

（　　）is the process of transforming information so it is unintelligible to anyone but the intended recipient.

• A.Encryption
• B.Decryption
• C.Security
• D.Protection

查看答案

单选题

As each application module is completed,it undergoes（　　）to ensure that it operates correctly and reliably.

• A.unit testing
• B.integration testing
• C.system testing
• D.acceptance testing

查看答案

单选题

（　　）algorithm specifies the way to arrange data in a particular order.

• A.Search
• B.Random
• C.Sorting
• D.Merge

查看答案

单选题

After analyzing the source code,（　　）generates machine instructions that will carry out the meaning of the program at a later time.

• A.an interpreter
• B.a linker
• C.a compiler
• D.a converter

查看答案

单选题

（　　）can help organizations to better understand the information contained within the data and will also help identify the data that is most important to the business and future business decisions.

• A.Data processing system
• B.Big Data analytics
• C.Cloud computing
• D.Database management

查看答案

单选题

浏览器开启无痕浏览模式后，（　　）依然会被保存下来。

• A.浏览历史
• B.搜索历史
• C.已下载文件
• D.临时文件

查看答案

单选题

下列协议中，不属于TCP/IP协议簇的是（　　）。

• A.CSMA/CD
• B.IP
• C.TCP
• D.UDP

查看答案

单选题

下列传输介质中，带宽最宽、抗干扰能力最强的是（　　）。

• A.双绞线
• B.红外线
• C.同轴电缆
• D.光纤

查看答案

单选题

数控编程常需要用参数来描述需要加工的零件的图形。在平面坐标系内，确定一个点需要2个独立的参数，确定一个正方形需要（　　）个独立的参数。

• A.3
• B.4
• C.5
• D.6

查看答案

单选题

某书的页码为1，2，3，...，共用数字900个（一个多位数页码包含多个数字），据此可以推断，该书最大的页码为（　　）。

• A.237
• B.336
• C.711
• D.900

查看答案