某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图1所示。企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。图1 在线网络学校系统拓扑结构2、为提高系统认证环节安全性,系统在网校教师及管理员登录认证时引入了USBKey,请说明对公钥认证客户端进行安全测试时,USB Key的功能与性能测试应包含哪些基本的测试点。
某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图1所示。企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。
图1 在线网络学校系统拓扑结构
2、为提高系统认证环节安全性,系统在网校教师及管理员登录认证时引入了USBKey,请说明对公钥认证客户端进行安全测试时,USB Key的功能与性能测试应包含哪些基本的测试点。
图1 在线网络学校系统拓扑结构
2、为提高系统认证环节安全性,系统在网校教师及管理员登录认证时引入了USBKey,请说明对公钥认证客户端进行安全测试时,USB Key的功能与性能测试应包含哪些基本的测试点。
参考解析
解析:客户端USB Key测试的基本测试点:
(1)功能测试
①是否支持AES、RSA等常用加解密算法。
②是否提供外部接口以支持用户证书及私钥的导入。
③是否提供外部接口支持将数据传入Key内,经过公钥,私钥计算后导出。
④是否能实现USB Key插入状态实时监测,当USB Key意外拔出时是否能自动锁定用户状态。
⑤是否使用口令进行保护。
(2)性能测试
①是否具备私钥不能导出的基本安全特性。
②Key内加解密算法的执行效率是否满足系统最低要求。
【解析】
第二小题考查考生对USB Key安全测试内容的理解。
USB Key内置单片机或智能卡芯片有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的加密算法可以实现对用户身份的认证。由于用户私钥通常保存在密码锁中,理论上无法读取,因此可保证用户认证的安全性。
针对USB Key的测试通常包括功能与性能测试两个方面。功能测试的基本测试点包括是否支持AES、RSA等常用加解密算法;是否提供外部接口以支持用户证书及私钥的导入;是否提供外部接口支持将数据传入Key内,经过公钥/私钥计算后导出;是否能实现USB Key插入状态实时监测,当USB Key意外拔出时是否能自动锁定用户状态;是否使用口令进行保护等。性能测试的基本测试点包括是否具备私钥不能导出的基本安全特性;Key内加解密算法的执行效率是否满足系统最低要求等。
(1)功能测试
①是否支持AES、RSA等常用加解密算法。
②是否提供外部接口以支持用户证书及私钥的导入。
③是否提供外部接口支持将数据传入Key内,经过公钥,私钥计算后导出。
④是否能实现USB Key插入状态实时监测,当USB Key意外拔出时是否能自动锁定用户状态。
⑤是否使用口令进行保护。
(2)性能测试
①是否具备私钥不能导出的基本安全特性。
②Key内加解密算法的执行效率是否满足系统最低要求。
【解析】
第二小题考查考生对USB Key安全测试内容的理解。
USB Key内置单片机或智能卡芯片有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的加密算法可以实现对用户身份的认证。由于用户私钥通常保存在密码锁中,理论上无法读取,因此可保证用户认证的安全性。
针对USB Key的测试通常包括功能与性能测试两个方面。功能测试的基本测试点包括是否支持AES、RSA等常用加解密算法;是否提供外部接口以支持用户证书及私钥的导入;是否提供外部接口支持将数据传入Key内,经过公钥/私钥计算后导出;是否能实现USB Key插入状态实时监测,当USB Key意外拔出时是否能自动锁定用户状态;是否使用口令进行保护等。性能测试的基本测试点包括是否具备私钥不能导出的基本安全特性;Key内加解密算法的执行效率是否满足系统最低要求等。
相关考题:
阅读下列说明,回答问题l至问题3,将解答填入答题纸的对应栏内。【说明】某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图4-1所示。企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。【问题1】(8分)为防止针对网校学员的口令攻击,请从口令的强度、传输存储及管理等方面,说明可采取哪些安全防护措施。相应地,对于网校学员所采用的口令认证机制进行测试时,请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。【问题2】(6分)为提高系统认证环节安全性,系统在网校教师及管理员登录认证时引入了USB Key,请说明对公钥认证客户端进行安全测试时,USB Key的功能与性能测试应包含哪些基本的测试点。【问题3】(6分)系统证书服务器主要提供证书审核注册管理及证书认证两项功能,根据系统实际情况,目前只设置人员证书,请说明针对证书服务器的功能与性能测试应包含哪些基本的测试点。
对于基于用户名/口令的用户认证机制来说,_____不属于增强系统安全性所应使用的防范措施。A.应对本地存储的口令进行加密B.在用户输入的非法口令达到规定的次数之后,应禁用相应账户C.建议用户使用英文单词或姓名等容易记忆的口令D.对于关键领域或安全性要求较高的系统,应该当保证使用过的用户删除或停用后,保留该用户记录,且新用户不能与该用户同名
[说明] 某企业为防止自身信息资源的非授权访问,建立了如图4-1所示的访问控制系统。企业访问控制系统 该系统提供的主要安全机制包括: 12认证:管理企业的合法用户,验证用户所宣称身份的合法性,该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制; 13授权:赋予用户访问系统资源的权限,对企业资源的访问请求进行授权决策; 14安全审计:对系统记录与活动进行独立审查,发现访问控制机制中的安全缺陷,提出安全改进建议。12、[问题1] 对该访问控制系统进行测试时,用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面?每个方面具体的测试内容又有哪些?(6分)13、[问题2] 测试过程中需对该访问控制系统进行模拟攻击试验,以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击,并简要说明模拟攻击的基本原理。(3分)14、[问题3] 对该系统安全审计功能设计的测试点应包括哪些?(3分)
某互联网企业开发了一个大型电子商务平台,平台主要功能是支持注册卖家与买家的在线交易。在线交易的安全性是保证平台正常运行的重要因素,安全中心是平台中提供安全保护措施的核心系统,该系统提供的主要功能包括: 14密钥管理功能,包括公钥加密体系中的公钥及私钥生成与管理,会话密钥的协商、生成、更新及分发等。 15基础加解密服务,包括基于RSA、ECC及AES等多密码算法的基本加解密服务。 16认证服务,提供基于PKI及用户名/口令的认证机制。 17授权服务,为应用提供资源及功能的授权管理和访问控制服务。 现企业测试部门拟对平台的密钥管理与加密服务系统进行安全性测试,以检验平台的安全性。14、给出安全中心需应对的常见安全攻击手段并进行简要说明。(4分)15、针对安全中心的安全性测试,可采用哪些基本的安全性测试方法?(6分)16、请分别说明针对密钥管理功能进行功能测试和性能测试各自应包含的基本测试点。(5分)17、请分别说明针对加解密服务功能进行功能测试和性能测试各自应包含的基本测试点。(5分)
阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。【说明】某企业为防止自身信息资源的非授权访问,建立了如下图所示的访问控制系统。该系统提供的主要安全机制包括:(1)认证:管理企业的合法用户,验证用户所宣称身份的合法性,该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制;(2)授权:赋予用户访问系统资源的权限,对企业资源的访问请求进行授权决策;(3)安全审计:对系统记录与活动进行独立审查,发现访问控制机制中的安全缺陷, 提出安全改进建议。【问题1】(6分)对该访问控制系统进行测试时,用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面?每个方面具体的测试内容又有哪些?【问题2】(3分) 测试过程中需对该访问控制系统进行模拟攻击试验,以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击,并简要说明模拟攻击的基本原理。【问题3】(6分)对该系统安全审计功能设计的测试点应包括哪些?
某企业最近上线了ERP系统,该系统运行的网络环境如图所示。企业信息中心目前拟对该系统相关安全防护体系进行全面的安全性测试,以提供全面的安全测评报告。为对抗来自外网或内网的主动攻击,系统通常会采用多种安全防护策略,请给出四种常见的安全防护策略并进行简要解释。结合一种在图中明确标识出的安全防护策略机制,说明针对该机制的安全测试应包含哪些基本测试点。
某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图1所示。企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。图1 在线网络学校系统拓扑结构3、系统证书服务器主要提供证书审核注册管理及证书认证两项功能,根据系统实际情况,目前只设置人员证书,请说明针对证书服务器的功能与性能测试应包含哪些基本的测试点。
某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图1所示。企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。1、为防止针对网校学员的口令攻击,请从口令的强度、传输存储及管理等方面,说明可采取哪些安全防护措施。相应地,对于网校学员所采用的口令认证机制进行测试时,请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。
某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图1所示。企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。1、为防止针对网校学员的口令攻击,请从口令的强度、传输存储及管理等方面,说明可采取哪些安全防护措施。相应地,对于网校学员所采用的口令认证机制进行测试时,请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。2、为提高系统认证环节安全性,系统在网校教师及管理员登录认证时引入了USBKey,请说明对公钥认证客户端进行安全测试时,USB Key的功能与性能测试应包含哪些基本的测试点。3、系统证书服务器主要提供证书审核注册管理及证书认证两项功能,根据系统实际情况,目前只设置人员证书,请说明针对证书服务器的功能与性能测试应包含哪些基本的测试点。
某企业最近上线了ERP系统,该系统运行的网络环境如图所示。企业信息中心目前拟对该系统相关安全防护体系进行全面的安全性测试,以提供全面的安全测评报告。问题1:企业ERP系统上线后,企业主要业务的日常运作都高度依赖该系统的正常运行,因此ERP系统的稳定性与可靠性对企业至关重要。故障恢复与容灾备份措施是提高系统稳定性与可靠性的重要因素。对于故障恢复与容灾备份措施,参与测试的王工认为应从故障恢复、数据备份和容灾备份等三个方面进行测试。请用300字以内文字,对这三方面的测试内容进行简要说明。问题2:数据库服务器中目前主要存储ERP系统业务数据,后续还需要存储企业网站相关数据,当前ERP系统的用户认证方式包含口令认证方式,相应的用户权限和口令也存储在数据库二维表中。针对上述实际情况,参与测试的李工认为在对数据库权限进行测试时,除数据库账号保护及权限设置相关的常规测试外,还必须对敏感数据加密保护及对数据库访问方式进行相应测试。请用200字以内文字,对敏感数据加密保护和数据库访问方式两个方面的测试内容进行简要说明。问题3:为对抗来自外网或内网的主动攻击,系统通常会采用多种安全防护策略,请给出四种常见的安全防护策略并进行简要解释。结合一种在图中明确标识出的安全防护策略机制,说明针对该机制的安全测试应包含哪些基本测试点。
对于其于用户口令的用户认证机制来说,( )不属于增强系统安全性应使用的防范措施。A.对本地存储的口令进行加密B.在用户输入的非法口令达到规定的次数之后,禁用相应帐户C.建议用户使用英文单词或姓名等容易记忆的口令D.对于关键领域或安全性要求较高的系统,应该当保证用过的用户删除或停用后,保留该用户记录,且新用户不能与该用户名
某企业最近上线了ERP系统,该系统运行的网络环境如图所示。企业信息中心目前拟对该系统相关安全防护体系进行全面的安全性测试,以提供全面的安全测评报告。数据库服务器中目前主要存储ERP系统业务数据,后续还需要存储企业网站相关数据,当前ERP系统的用户认证方式包含口令认证方式,相应的用户权限和口令也存储在数据库二维表中。针对上述实际情况,参与测试的李工认为在对数据库权限进行测试时,除数据库账号保护及权限设置相关的常规测试外,还必须对敏感数据加密保护及对数据库访问方式进行相应测试。请用200字以内文字,对敏感数据加密保护和数据库访问方式两个方面的测试内容进行简要说明。
对于基于PKI的认证服务系统,说法不正确的是()A、PKI(公钥基础设施)是一个基于公钥加密技术的安全技术体系B、PKI是硬件产品、软件产品、策略和过程的综合体C、基于PKI的认证服务系统的核心服务是创建、管理、存储、分配和吊销用户的数字证书D、D.一个基于PKI的第三方认证服务系统至少包括:用户、证书、注册机构(R、证书机构(CA.、证书库、作废证书库等实体
单选题目前最安全的身份认证机制是()。A一次口令机制B双因素法C基于智能卡的用户身价认证D身价认证的单因素法