某企业为防止自身信息资源非授权访问,建立了如图4-1所示访问控制系统。
企业访问控制系统
该系统提供主要安全机制包括:
12认证:管理企业合法用户,验证用户所宣称身份合法性,该系统中认证机制集成了基于口令认证机制和基于PKI数字证书认证机制;
13授权:赋予用户访问系统资源权限,对企业资源访问请求进行授权决策;
14安全审计:对系统记录与活动进行独立审查,发现访问控制机制中安全缺陷,提出安全改进建议。
12、[问题1] 对该访问控制系统进行测试时,用户权限控制是其中一个测试重点。对用户权限控制测试应包含哪两个主要方面?每个方面具体测试内容又有哪些?
13、[问题2] 测试过程中需对该访问控制系统进行模拟攻击试验,以验证其对企业资源非授权访问防范能力。请给出三种针对该系统可能攻击,并简要说明模拟攻击基本原理。
14、[问题3] 对该系统安全审计功能设计测试点应包括哪些?
1、两个方面:
①评价用户权限控制体系合理性,是否采用三层管理模式即系统管理员、业务领导和操作人员三级分离;
②用户名称基本采用中文和英文两种,对于测试来说,对于用户名称测试关键在于测试用户名称唯一性。
用户名称唯一性体现有哪些方面?
●同时存在用户名称在不考虑大小状态下,不能够同名;
●对于关键领域软件产品和安全要求较高软件,应当同时保证使用过用户在用户删除或停用后,保留该用户记录,并且新用户不得与之同名。
2、模拟攻击试验:对于安全测试来说,模拟攻击试验是一组特殊黑盒测试案例,我们以模拟攻击验证软件或信息安全防护能力。可采用冒充、重演、消息篡改、服务拒绝、内部攻击、外部攻击、陷阱门、特洛伊木马方法进行测试。
泪滴(teardrop)。泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中包标题头所包含信息实现自己攻击。IP分段含有指示该分段所包含是原包哪一段信息,某些TCP/IP(包括service pack 4以前NT)在收到含有重叠偏移伪造分段时将崩溃。防御措施有服务器应用最新服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。
口令猜测。一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样服务可利用用户账号,然后因为使用简单密码或者没有设密码,导致黑客能很快将口令猜出。当然事实上用蛮力是可以破解任何密码,关键是是否迅速,设置密码是否能导致黑客花很大时间和效率成本。防御措施有要选用难以猜测口令,比如词和标点符号组合。确保像NFS、NetBIOS和Telnet这样可利用服务不暴露在公共范围。如果该服务支持锁定策略,就进行锁定。
伪造电子邮件。由于SMTP并不对邮件发送者身份进行鉴定,因此黑客可以对你内部客户伪造电子邮件,声称是来自某个客户认识并相信人,并附带上可安装特洛伊木马程序,或者是一个引向恶意网站链接。防御措施有使用PGP等安全工具并安装电子邮件证书。
3、对该系统安全审计功能设计测试点应包括:
①能否进行系统数据收集,统一存储,集中进行安全审计;
②是否支持基于PKI应用审计;
③是否支持基于XML审计数据采集协议;
④是否提供灵活自定义审计规则。
