某企业为防止自身信息资源的非授权访问，建立了如图4－1所示的访问控制系统。

企业访问控制系统

该系统提供的主要安全机制包括：

12认证：管理企业的合法用户，验证用户所宣称身份的合法性，该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制；

13授权：赋予用户访问系统资源的权限，对企业资源的访问请求进行授权决策；

14安全审计：对系统记录与活动进行独立审查，发现访问控制机制中的安全缺陷，提出安全改进建议。

12、[问题1] 对该访问控制系统进行测试时，用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面？每个方面具体的测试内容又有哪些？

13、[问题2] 测试过程中需对该访问控制系统进行模拟攻击试验，以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击，并简要说明模拟攻击的基本原理。

14、[问题3] 对该系统安全审计功能设计的测试点应包括哪些？

查看答案 纠错

答案：

本题解析：

1、两个方面:

①评价用户权限控制的体系合理性，是否采用三层的管理模式即系统管理员、业务领导和操作人员三级分离；

②用户名称基本采用中文和英文两种，对于测试来说，对于用户名称的测试关键在于测试用户名称的唯一性。

用户名称的唯一性体现有哪些方面？

●同时存在的用户名称在不考虑大小的状态下，不能够同名；

●对于关键领域的软件产品和安全要求较高的软件，应当同时保证使用过的用户在用户删除或停用后，保留该用户记录，并且新用户不得与之同名。

2、模拟攻击试验：对于安全测试来说，模拟攻击试验是一组特殊的黑盒测试案例，我们以模拟攻击验证软件或信息的安全防护能力。可采用冒充、重演、消息篡改、服务拒绝、内部攻击、外部攻击、陷阱门、特洛伊木马方法进行测试。

泪滴(teardrop)。泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP(包括service pack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。防御措施有服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。

口令猜测。一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户账号，然后因为使用简单的密码或者没有设密码，导致黑客能很快的将口令猜出。当然事实上用蛮力是可以破解任何密码的，关键是是否迅速，设置的密码是否能导致黑客花很大的时间和效率成本。防御措施有要选用难以猜测的口令，比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略，就进行锁定。

伪造电子邮件。由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的链接。防御措施有使用PGP等安全工具并安装电子邮件证书。

3、对该系统安全审计功能设计的测试点应包括:

①能否进行系统数据收集，统一存储，集中进行安全审计；

②是否支持基于PKI的应用审计；

③是否支持基于XML的审计数据采集协议；

④是否提供灵活的自定义审计规则。

更新时间：2021-11-16 19:20

你可能感兴趣的试题

单选题

Advancements in （ ）have contributed to the growth of the automotive industry through the creation and evolution of self-driving vehicles.

• A.Artificial Intelligence
• B.Cloud Computing
• C.Internet of Things
• D.Big Data

查看答案

单选题

In project human resource management , （ ）is not a source of power for the project manager.

• A.referent power
• B.expert power
• C.reward power
• D.audit power

查看答案

单选题

At the project establishment stage , the feasibility study mainly includes techinical feasibility analysis , （ ）, operation environment feasibility analysis and other aspects of feasibility analysis.

• A.detail feasibility analysis
• B.opportunity analysis
• C.economic feasibility analysis
• D.risk analysis

查看答案

单选题

（ ）is a grid that shows the project resources assigned to each work package.

• A.Stakeholder engagement assessment matrix
• B.Requirements traceability matrix
• C.Probability and impact matrix
• D.Responsibility assignment matrix

查看答案

单选题

Xinhua News Agency reported in January 2022，Chian will further promote the developmet of a digital economy during the 14th Five-Year Plan eriod（2021-2025）. The plan also emphasized industrial （ ）transformation.

• A.digital
• B.networking
• C.intelligentize
• D.informatization

查看答案

单选题

某公司投资一个使用寿命为5年的项目，第一年年初投入1000万元，从第1年到第5年每年年末都有净现金流量300万元。则项目的静态投资回收期为（ ）年。

• A.2
• B.2.5
• C.3
• D.3.3

查看答案

单选题

下图是某地的街区网络图（单位:）里），疫情防控期间，一辆消毒车从疾控中心出发，需要消杀所有的街道并返回疾控中心。该消毒车完成消杀工作至少需要运行（ ）公里 。

• A.43
• B.45
• C.46
• D.48

查看答案

单选题

某公司有东部、中部、西部三个生产基地，生产的产品需要运送带甲、乙、丙、丁四个市场，从生产基地到各个市场的单位运价及产量和需求量如表所示，完成该运输任务所需的最小运费为（ ）。

• A.242
• B.244
• C.289
• D.302

查看答案

单选题

某炼油厂每季度需供应合同单位汽油15吨，煤油12吨，重油12吨，该厂从甲乙两处运回原油提炼，已知两处炼油成分如表所示，从甲处采购原油价格为2000元/吨，乙处为2900元/吨，为了使成本最低，炼油厂应从甲处购15吨，乙处采购（ ）吨。

• A.20
• B.25
• C.30
• D.35

查看答案

单选题

某炼油厂每季度需供应合同单位汽油15吨，煤油12吨，重油12吨，该厂从甲乙两处运回原油提炼，已知两处炼油成分如表所示，从甲处采购原油价格为2000元/吨，乙处为2900元/吨，为了使成本最低，炼油厂应从甲处购（ ）吨，乙处采购20吨。

• A.15
• B.20
• C.25
• D.30

查看答案