某企业为防止自身信息资源非授权访问,建立了如下图所示访问控制系统。
该系统提供主要安全机制包括:(1)认证:管理企业合法用户,验证用户所宣称身份合法性,该系统中认证机制集成了基于口令认证机制和基于PKI数字证书认证机制;(2)授权:赋予用户访问系统资源权限,对企业资源访问请求进行授权决策;(3)安全审计:对系统记录与活动进行独立审查,发现访问控制机制中安全缺陷, 提出安全改进建议。
【问题1】对该访问控制系统进行测试时,用户权限控制是其中一个测试重点。对用户权限控制测试应包含哪两个主要方面?每个方面具体测试内容又有哪些?
【问题2】测试过程中需对该访问控制系统进行模拟攻击试验,以验证其对企业资源非授权访问防范能力。请给出三种针对该系统可能攻击,并简要说明模拟攻击基本原理。
【问题3】对该系统安全审计功能设计测试点应包括哪些?
【问题1】1、对用户权限控制体系合理性评价,内容如下:① 是否采用系统管理员、业务领导和操作人员三级分离管理模式。② 用户名称是否具有唯一性,口令强度及口令存储位置加密强度等。2、对用户权限分配合理性评价,内容如下:①用户权限系统本身权限分配细致程度。②特定权限用户访问系统功能能力测试。
【问题2】冒充攻击:攻击者控制企业某台主机,发现其中系统服务中可利用用户账号,进行口令猜测,从而假装成特定用户,对企业资源进行非法访问。重演攻击:攻击者通过截获含有身份鉴别信息或授权请求有效消息,将该消息进行重演,以达到鉴别自身或获得授权目,实现对企业信息访问。服务拒绝攻击:攻击者通过向认证服务器或授权服务发送大量虚假请求,占用系统带宽并造成系统关键服务繁忙,从而使得认证授权服务功能不能正常执行,产生服务拒绝。
【问题3】① 能否进行系统数据收集、统一存储、集中进行安全审计;② 是否支持基于KPI应用审计;③ 是否支持基于XML审计数据采集协议;
【问题1】本问题考查用户权限控制相关安全测试基本测试内容。对这部分进行安全测试包含对用户权限控制体系合理性评价和对用户权限分配合理性评价。
【问题2】本题考查针对特定系统模拟攻击实验设计。模拟攻击试验:对于安全测试来说,模拟攻击试验是一组特殊黑盒测试案例。我们以模拟攻击验证软件或信息安全防护能力。可采用冒充攻击、重演攻击、消息篡改、服务拒绝攻击和内部攻击等方法进行测试。本问题考查针对特定系统模拟攻击实验设计。相关模拟攻击实验设计应结合应用具体安全机制及特点。针对系统身份认证机制,可设计冒充攻击试验;针对系统用于认证及授权决策网络消息,可设计重演攻击试验;针对系统关键核心安全模块,可设计服务拒绝攻击试验;由于系统运行时涉及各种内部用户,因此安全测试需验证系统防范内部用户安全攻击,因此可设计内部攻击实验。(1)冒充攻击:攻击者控制企业某台主机,发现其中系统服务中可利用用户账号,进行口令猜测,从而假装成特定用户,对企业资源进行非法访问。(2)重演攻击:攻击者通过截获含有身份鉴别信息或授权请求有效消息,将该消息进行重演,以达到鉴别自身或获得授权目,实现对企业信息访问。(3)服务拒绝攻击:攻击者通过向认证服务器或授权服务发送大量虚假请求,占用系统带宽并造成系统关键服务繁忙,从而使得认证授权服务功能不能正常执行,产生服务拒绝。(4)内部攻击: 不具有相应权限系统合法用户以非授权方式进行动作,例如截获并存储其他业务部门网络数据流,或对系统访问控制管理信息进行攻击以获得他人权限等。(以上4点,任意写出三种即可)
【问题3】本题考查系统安全审计功能设计测试点。① 能否进行系统数据收集、统一存储、集中进行安全审计;② 是否支持基于KPI应用审计;③ 是否支持基于XML审计数据采集协议;④ 是否提供灵活自定义审计规则。(以上测试点,任意给出三个即可)
