某企业为防止自身信息资源的非授权访问，建立了如下图所示的访问控制系统。

该系统提供的主要安全机制包括：(1)认证：管理企业的合法用户，验证用户所宣称身份的合法性，该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制；(2)授权：赋予用户访问系统资源的权限，对企业资源的访问请求进行授权决策；(3)安全审计：对系统记录与活动进行独立审查，发现访问控制机制中的安全缺陷， 提出安全改进建议。

【问题1】对该访问控制系统进行测试时，用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面？每个方面具体的测试内容又有哪些？

【问题2】测试过程中需对该访问控制系统进行模拟攻击试验，以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击，并简要说明模拟攻击的基本原理。

【问题3】对该系统安全审计功能设计的测试点应包括哪些？

查看答案 纠错

答案：

本题解析：

【问题1】1、对用户权限控制体系合理性的评价，内容如下：① 是否采用系统管理员、业务领导和操作人员三级分离的管理模式。② 用户名称是否具有唯一性，口令强度及口令存储的位置的加密强度等。2、对用户权限分配合理性的评价，内容如下：①用户权限系统本身权限分配的细致程度。②特定权限用户访问系统功能的能力测试。

【问题2】冒充攻击：攻击者控制企业某台主机，发现其中系统服务中可利用的用户账号，进行口令猜测，从而假装成特定用户，对企业资源进行非法访问。重演攻击：攻击者通过截获含有身份鉴别信息或授权请求的有效消息，将该消息进行重演，以达到鉴别自身或获得授权的目的，实现对企业信息的访问。服务拒绝攻击：攻击者通过向认证服务器或授权服务发送大量虚假请求，占用系统带宽并造成系统关键服务繁忙，从而使得认证授权服务功能不能正常执行，产生服务拒绝。

【问题3】① 能否进行系统数据收集、统一存储、集中进行安全审计；② 是否支持基于KPI的应用审计；③ 是否支持基于XML的审计数据采集协议；

【问题1】本问题考查用户权限控制相关安全测试的基本测试内容。对这部分进行安全测试包含对用户权限控制体系合理性的评价和对用户权限分配合理性的评价。

【问题2】本题考查针对特定系统的模拟攻击实验设计。模拟攻击试验：对于安全测试来说，模拟攻击试验是一组特殊的黑盒测试案例。我们以模拟攻击验证软件或信息的安全防护能力。可采用冒充攻击、重演攻击、消息篡改、服务拒绝攻击和内部攻击等方法进行测试。本问题考查针对特定系统的模拟攻击实验设计。相关模拟攻击实验的设计应结合应用具体的安全机制及特点。针对系统的身份认证机制，可设计冒充攻击试验；针对系统用于认证及授权决策的网络消息，可设计重演攻击试验；针对系统关键核心安全模块，可设计服务拒绝攻击试验；由于系统运行时涉及各种内部用户，因此安全测试需验证系统防范内部用户的安全攻击，因此可设计内部攻击实验。（1）冒充攻击：攻击者控制企业某台主机，发现其中系统服务中可利用的用户账号，进行口令猜测，从而假装成特定用户，对企业资源进行非法访问。（2）重演攻击：攻击者通过截获含有身份鉴别信息或授权请求的有效消息，将该消息进行重演，以达到鉴别自身或获得授权的目的，实现对企业信息的访问。（3）服务拒绝攻击：攻击者通过向认证服务器或授权服务发送大量虚假请求，占用系统带宽并造成系统关键服务繁忙，从而使得认证授权服务功能不能正常执行，产生服务拒绝。（4）内部攻击： 不具有相应权限的系统合法用户以非授权方式进行动作，例如截获并存储其他业务部门的网络数据流，或对系统访问控制管理信息进行攻击以获得他人权限等。（以上4点，任意写出三种即可）

【问题3】本题考查系统安全审计功能设计的测试点。① 能否进行系统数据收集、统一存储、集中进行安全审计；② 是否支持基于KPI的应用审计；③ 是否支持基于XML的审计数据采集协议；④ 是否提供灵活的自定义审计规则。（以上测试点，任意给出三个即可）

更新时间：2021-11-22 08:51

你可能感兴趣的试题

单选题

（　　）is the process of transforming information so it is unintelligible to anyone but the intended recipient.

• A.Encryption
• B.Decryption
• C.Security
• D.Protection

查看答案

单选题

As each application module is completed,it undergoes（　　）to ensure that it operates correctly and reliably.

• A.unit testing
• B.integration testing
• C.system testing
• D.acceptance testing

查看答案

单选题

（　　）algorithm specifies the way to arrange data in a particular order.

• A.Search
• B.Random
• C.Sorting
• D.Merge

查看答案

单选题

After analyzing the source code,（　　）generates machine instructions that will carry out the meaning of the program at a later time.

• A.an interpreter
• B.a linker
• C.a compiler
• D.a converter

查看答案

单选题

（　　）can help organizations to better understand the information contained within the data and will also help identify the data that is most important to the business and future business decisions.

• A.Data processing system
• B.Big Data analytics
• C.Cloud computing
• D.Database management

查看答案

单选题

浏览器开启无痕浏览模式后，（　　）依然会被保存下来。

• A.浏览历史
• B.搜索历史
• C.已下载文件
• D.临时文件

查看答案

单选题

下列协议中，不属于TCP/IP协议簇的是（　　）。

• A.CSMA/CD
• B.IP
• C.TCP
• D.UDP

查看答案

单选题

下列传输介质中，带宽最宽、抗干扰能力最强的是（　　）。

• A.双绞线
• B.红外线
• C.同轴电缆
• D.光纤

查看答案

单选题

数控编程常需要用参数来描述需要加工的零件的图形。在平面坐标系内，确定一个点需要2个独立的参数，确定一个正方形需要（　　）个独立的参数。

• A.3
• B.4
• C.5
• D.6

查看答案

单选题

某书的页码为1，2，3，...，共用数字900个（一个多位数页码包含多个数字），据此可以推断，该书最大的页码为（　　）。

• A.237
• B.336
• C.711
• D.900

查看答案