某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图1所示。企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。
1、为防止针对网校学员的口令攻击,请从口令的强度、传输存储及管理等方面,说明可采取哪些安全防护措施。相应地,对于网校学员所采用的口令认证机制进行测试时,请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。
2、为提高系统认证环节安全性,系统在网校教师及管理员登录认证时引入了USBKey,请说明对公钥认证客户端进行安全测试时,USB Key的功能与性能测试应包含哪些基本的测试点。
3、系统证书服务器主要提供证书审核注册管理及证书认证两项功能,根据系统实际情况,目前只设置人员证书,请说明针对证书服务器的功能与性能测试应包含哪些基本的测试点。
1、(1)可采取的安全防护措施包括:
①口令强度:可设置最小口令长度,同时可采取要求用户在口令中使用非数字字母的字符等增加口令复杂度的手段提高口令强度。
②口令传输存储:可采用加密或Hashing手段,系统服务端存储的用户口令可加密或Hashing后存储,网络传输的用户口令可加密或Hashing后进行传输。
③口令管理:可设置最大口令时效强制用户定期更新口令,引入口令锁定机制以应对口令猜测攻击,引入口令历史强制用户设置新口令等。
(2)对口令认证机制测试应包含的基本测试点:
①对用户名称测试的主要测试点在于测试用户名称的唯一性,即测试同时存在的用户名称在不考虑大小写的情况下,不能够同名。
②对用户口令测试应主要测试用户口令是否满足当前流行的控制模式。主要测试点应包括最大/最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。
2、客户端USB Key测试的基本测试点:
(1)功能测试
①是否支持AES、RSA等常用加解密算法。
②是否提供外部接口以支持用户证书及私钥的导入。
③是否提供外部接口支持将数据传入Key内,经过公钥,私钥计算后导出。
④是否能实现USB Key插入状态实时监测,当USB Key意外拔出时是否能自动锁定用户状态。
⑤是否使用口令进行保护。
(2)性能测试
①是否具备私钥不能导出的基本安全特性。
②Key内加解密算法的执行效率是否满足系统最低要求。
3、证书服务器测试的基本测试点:
(1)功能测试
①系统是否提证书的申请、审核、签发与管理功能。
②系统是否提供证书撤销列表的发布和管理等功能。
③系统是否提供证书认证策略及操作管理策略、自身证书安全管理等管理服务。
④是否可以提供加密证书和签名证书。
⑤证书格式是否采用标准X.509格式。
(2)性能测试
①检查证书服务器的处理性能是否具备可伸缩配置及扩展能力。
②关键部分是否采用双机热备和磁盘镜像等安全机制。
③是否满足系统的不间断运行、在线故障恢复和在线系统升级的需要。
④是否满足需求中预测的最大数量用户正常访问需求,且是否具备3~4倍冗余,并根据需要测试证书服务器的并发处理能力。
【解析】
软件系统的安全性是信息安全的一个重要组成部分,针对程序和数据的安全性测试与评估是软件安全性测试的重要内容,本题考查软件安全性测试的相关知识。
第一小题考查考生对基于口令的用户认证机制相关安全测试内容的了解。
基于口令的认证是最简单的用户认证方式,口令具有共享秘密的属性,该方式也容易受到相应的口令攻击。为防范口令攻击,通常可以从口令的强度、传输存储及管理等方面采取相应的安全防护措施,具体措施可包括设置最小口令长度,同时可采取要求用户在口令中使用非数字字母的字符等增加口令复杂度的手段提高口令强度;采用加密或Hashing手段,系统服务端存储的用户口令可加密或Hashing后存储,网络传输的用户口令可加密或Hashing后进行传输;设置最大口令时效强制用户定期更新口令,引入口令锁定机制以应对口令猜测攻击,引入口令历史强制用户设置新口令等。
对用户名称测试的主要测试点在于测试用户名称的唯一性,即测试同时存在的用户名称在不考虑大小写的情况下,不能够同名。对用户口令测试应主要测试用户口令是否满足当前流行的控制模式,主要测试点应包括最大/最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。
第二小题考查考生对USB Key安全测试内容的理解。
USB Key内置单片机或智能卡芯片有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的加密算法可以实现对用户身份的认证。由于用户私钥通常保存在密码锁中,理论上无法读取,因此可保证用户认证的安全性。
针对USB Key的测试通常包括功能与性能测试两个方面。功能测试的基本测试点包括是否支持AES、RSA等常用加解密算法;是否提供外部接口以支持用户证书及私钥的导入;是否提供外部接口支持将数据传入Key内,经过公钥/私钥计算后导出;是否能实现USB Key插入状态实时监测,当USB Key意外拔出时是否能自动锁定用户状态;是否使用口令进行保护等。性能测试的基本测试点包括是否具备私钥不能导出的基本安全特性;Key内加解密算法的执行效率是否满足系统最低要求等。
第三小题考查证书服务器安全测试内容的相关知识。
按题目描述,系统证书服务器主要提供证书审核注册管理及证书认证两项功能,因此针对证书服务器的安全测试也应主要涵盖这两项主要功能的相应测试。
功能测试的基本测试点包括系统是否提证书的申请、审核、签发与管理功能;系统是否提供证书撤销列表的发布和管理等功能;系统是否提供证书认证策略及操作管理策略、自身证书安全管理等管理服务;是否可以提供加密证书和签名证书;证书格式是否采用标准X.509格式等。性能测试的基本测试点包括检查证书服务器的处理性能是否具备可伸缩配置及扩展能力,关键部分是否采用双机热备和磁盘镜像等安全机制;是否满足系统的不间断运行、在线故障恢复和在线系统升级的需要;是否满足需求中预测的最大数量用户正常访问需求;且是否具备3~4倍冗余,并根据需要测试证书服务器的并发处理能力等。
一台主机的IP地址为202.123.25.36,掩码为255.255.254.0。如果该主机需要在该网络进行直接广播,那么它应该使用的目的地址为( )
在计算机系统的日常维护工作中,应当注意硬盘工作时不能__(2)__。另外,需要防范病毒,而__(3)__是不会被病毒感觉的。
有 4 个 IP 地址:201.117.15.254、201.117.17.01、201.117.24.5 和 201.117.29.3,如果子网掩码为 255.255.248.0,则这 4 个地址分别属于3个子网;其中属于同一个子网的是()
在异步通信中,每个字符包含1位起始位、7位数据位、1位奇偶位和1位终止位,每秒钟传送200个字符,采用4相位调制,则码元速率为()。
在 Windows 中,运行( )命令得到下图所示结果。以下关于该结果的叙述中,错误的是( )。
Pinging 59.74.111.8 with 32 bytes of data:
Reply from 59.74.111.8: bytes=32 time=3ms TTL=60
Reply from 59.74.111.8: bytes=32 time=5ms TTL=60
Reply from 59.74.111.8: bytes=32 time=3ms TTL=60
Reply from 59.74.111.8: bytes=32 time=5ms TTL=60
Ping statistics for 59.74.111.8:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 3ms, Maximum = 5ms, Average = 4ms
在ISO OSF/RM参考模型中,七层协议中的__(1)__利用通信子网提供的服务实现两个用户进程之间端到端的通信。在这个模型中,如果A用户需要通过网络向B用户传送数据,则首先将数据送入应用层,在该层给它附加控制信息后送入表示层;在表示层对数据进行必要的变换并加头标后送入会话层;在会话层加头标送入传输层;在传输层将数据分解为__(本题)__后送至网络层;在网络层将数据封装成__(3)__后送至数据链路层;在数据链路层将数据加上头标和尾标封装成__(4)__后发送到物理层;在物理层数据以__(5)__形式发送到物理线路。B用户所在的系统接收到数据后,层层剥去控制信息,把原数据传送给B用户。
在OSI/RM中,解释应用数据语义的协议层是()。
在TCP/IP协议栈中,ARP协议的作用是(),RARP协议的作用是(请作答此空)。
在地址 http://www.dailynews.com.cn/channel/welcome.htm 中,www.dailynews.com.cn 表示( ),welcome.htm 表示(请作答此空)。
在电子表格软件Excel中,假设A1单元格的值为15,若在A2单元格输入“=AND(15<A1,A1<100)”,则A2单元格显示的值为 ()
