某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图1所示。企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。1、为防止针对网校学员的口令攻击,请从口令的强度、传输存储及管理等方面,说明可采取哪些安全防护措施。相应地,对于网校学员所采用的口令认证机制进行测试时,请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。
某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图1所示。企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。
1、为防止针对网校学员的口令攻击,请从口令的强度、传输存储及管理等方面,说明可采取哪些安全防护措施。相应地,对于网校学员所采用的口令认证机制进行测试时,请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。
1、为防止针对网校学员的口令攻击,请从口令的强度、传输存储及管理等方面,说明可采取哪些安全防护措施。相应地,对于网校学员所采用的口令认证机制进行测试时,请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。
参考解析
解析:(1)可采取的安全防护措施包括:
①口令强度:可设置最小口令长度,同时可采取要求用户在口令中使用非数字字母的字符等增加口令复杂度的手段提高口令强度。
②口令传输存储:可采用加密或Hashing手段,系统服务端存储的用户口令可加密或Hashing后存储,网络传输的用户口令可加密或Hashing后进行传输。
③口令管理:可设置最大口令时效强制用户定期更新口令,引入口令锁定机制以应对口令猜测攻击,引入口令历史强制用户设置新口令等。
(2)对口令认证机制测试应包含的基本测试点:
①对用户名称测试的主要测试点在于测试用户名称的唯一性,即测试同时存在的用户名称在不考虑大小写的情况下,不能够同名。
②对用户口令测试应主要测试用户口令是否满足当前流行的控制模式。主要测试点应包括最大/最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。
【解析】
软件系统的安全性是信息安全的一个重要组成部分,针对程序和数据的安全性测试与评估是软件安全性测试的重要内容,本题考查软件安全性测试的相关知识。
第一小题考查考生对基于口令的用户认证机制相关安全测试内容的了解。
基于口令的认证是最简单的用户认证方式,口令具有共享秘密的属性,该方式也容易受到相应的口令攻击。为防范口令攻击,通常可以从口令的强度、传输存储及管理等方面采取相应的安全防护措施,具体措施可包括设置最小口令长度,同时可采取要求用户在口令中使用非数字字母的字符等增加口令复杂度的手段提高口令强度;采用加密或Hashing手段,系统服务端存储的用户口令可加密或Hashing后存储,网络传输的用户口令可加密或Hashing后进行传输;设置最大口令时效强制用户定期更新口令,引入口令锁定机制以应对口令猜测攻击,引入口令历史强制用户设置新口令等。
对用户名称测试的主要测试点在于测试用户名称的唯一性,即测试同时存在的用户名称在不考虑大小写的情况下,不能够同名。对用户口令测试应主要测试用户口令是否满足当前流行的控制模式,主要测试点应包括最大/最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。
①口令强度:可设置最小口令长度,同时可采取要求用户在口令中使用非数字字母的字符等增加口令复杂度的手段提高口令强度。
②口令传输存储:可采用加密或Hashing手段,系统服务端存储的用户口令可加密或Hashing后存储,网络传输的用户口令可加密或Hashing后进行传输。
③口令管理:可设置最大口令时效强制用户定期更新口令,引入口令锁定机制以应对口令猜测攻击,引入口令历史强制用户设置新口令等。
(2)对口令认证机制测试应包含的基本测试点:
①对用户名称测试的主要测试点在于测试用户名称的唯一性,即测试同时存在的用户名称在不考虑大小写的情况下,不能够同名。
②对用户口令测试应主要测试用户口令是否满足当前流行的控制模式。主要测试点应包括最大/最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。
【解析】
软件系统的安全性是信息安全的一个重要组成部分,针对程序和数据的安全性测试与评估是软件安全性测试的重要内容,本题考查软件安全性测试的相关知识。
第一小题考查考生对基于口令的用户认证机制相关安全测试内容的了解。
基于口令的认证是最简单的用户认证方式,口令具有共享秘密的属性,该方式也容易受到相应的口令攻击。为防范口令攻击,通常可以从口令的强度、传输存储及管理等方面采取相应的安全防护措施,具体措施可包括设置最小口令长度,同时可采取要求用户在口令中使用非数字字母的字符等增加口令复杂度的手段提高口令强度;采用加密或Hashing手段,系统服务端存储的用户口令可加密或Hashing后存储,网络传输的用户口令可加密或Hashing后进行传输;设置最大口令时效强制用户定期更新口令,引入口令锁定机制以应对口令猜测攻击,引入口令历史强制用户设置新口令等。
对用户名称测试的主要测试点在于测试用户名称的唯一性,即测试同时存在的用户名称在不考虑大小写的情况下,不能够同名。对用户口令测试应主要测试用户口令是否满足当前流行的控制模式,主要测试点应包括最大/最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。
相关考题:
阅读下列说明,回答问题l至问题3,将解答填入答题纸的对应栏内。【说明】某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图4-1所示。企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。【问题1】(8分)为防止针对网校学员的口令攻击,请从口令的强度、传输存储及管理等方面,说明可采取哪些安全防护措施。相应地,对于网校学员所采用的口令认证机制进行测试时,请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。【问题2】(6分)为提高系统认证环节安全性,系统在网校教师及管理员登录认证时引入了USB Key,请说明对公钥认证客户端进行安全测试时,USB Key的功能与性能测试应包含哪些基本的测试点。【问题3】(6分)系统证书服务器主要提供证书审核注册管理及证书认证两项功能,根据系统实际情况,目前只设置人员证书,请说明针对证书服务器的功能与性能测试应包含哪些基本的测试点。
对于基于用户名/口令的用户认证机制来说,_____不属于增强系统安全性所应使用的防范措施。A.应对本地存储的口令进行加密B.在用户输入的非法口令达到规定的次数之后,应禁用相应账户C.建议用户使用英文单词或姓名等容易记忆的口令D.对于关键领域或安全性要求较高的系统,应该当保证使用过的用户删除或停用后,保留该用户记录,且新用户不能与该用户同名
[说明] 某企业为防止自身信息资源的非授权访问,建立了如图4-1所示的访问控制系统。企业访问控制系统 该系统提供的主要安全机制包括: 12认证:管理企业的合法用户,验证用户所宣称身份的合法性,该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制; 13授权:赋予用户访问系统资源的权限,对企业资源的访问请求进行授权决策; 14安全审计:对系统记录与活动进行独立审查,发现访问控制机制中的安全缺陷,提出安全改进建议。12、[问题1] 对该访问控制系统进行测试时,用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面?每个方面具体的测试内容又有哪些?(6分)13、[问题2] 测试过程中需对该访问控制系统进行模拟攻击试验,以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击,并简要说明模拟攻击的基本原理。(3分)14、[问题3] 对该系统安全审计功能设计的测试点应包括哪些?(3分)
某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图1所示。企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。图1 在线网络学校系统拓扑结构2、为提高系统认证环节安全性,系统在网校教师及管理员登录认证时引入了USBKey,请说明对公钥认证客户端进行安全测试时,USB Key的功能与性能测试应包含哪些基本的测试点。
某互联网企业开发了一个大型电子商务平台,平台主要功能是支持注册卖家与买家的在线交易。在线交易的安全性是保证平台正常运行的重要因素,安全中心是平台中提供安全保护措施的核心系统,该系统提供的主要功能包括: 14密钥管理功能,包括公钥加密体系中的公钥及私钥生成与管理,会话密钥的协商、生成、更新及分发等。 15基础加解密服务,包括基于RSA、ECC及AES等多密码算法的基本加解密服务。 16认证服务,提供基于PKI及用户名/口令的认证机制。 17授权服务,为应用提供资源及功能的授权管理和访问控制服务。 现企业测试部门拟对平台的密钥管理与加密服务系统进行安全性测试,以检验平台的安全性。14、给出安全中心需应对的常见安全攻击手段并进行简要说明。(4分)15、针对安全中心的安全性测试,可采用哪些基本的安全性测试方法?(6分)16、请分别说明针对密钥管理功能进行功能测试和性能测试各自应包含的基本测试点。(5分)17、请分别说明针对加解密服务功能进行功能测试和性能测试各自应包含的基本测试点。(5分)
阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。【说明】某企业为防止自身信息资源的非授权访问,建立了如下图所示的访问控制系统。该系统提供的主要安全机制包括:(1)认证:管理企业的合法用户,验证用户所宣称身份的合法性,该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制;(2)授权:赋予用户访问系统资源的权限,对企业资源的访问请求进行授权决策;(3)安全审计:对系统记录与活动进行独立审查,发现访问控制机制中的安全缺陷, 提出安全改进建议。【问题1】(6分)对该访问控制系统进行测试时,用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面?每个方面具体的测试内容又有哪些?【问题2】(3分) 测试过程中需对该访问控制系统进行模拟攻击试验,以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击,并简要说明模拟攻击的基本原理。【问题3】(6分)对该系统安全审计功能设计的测试点应包括哪些?
某企业最近上线了ERP系统,该系统运行的网络环境如图所示。企业信息中心目前拟对该系统相关安全防护体系进行全面的安全性测试,以提供全面的安全测评报告。为对抗来自外网或内网的主动攻击,系统通常会采用多种安全防护策略,请给出四种常见的安全防护策略并进行简要解释。结合一种在图中明确标识出的安全防护策略机制,说明针对该机制的安全测试应包含哪些基本测试点。
某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图1所示。企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。图1 在线网络学校系统拓扑结构3、系统证书服务器主要提供证书审核注册管理及证书认证两项功能,根据系统实际情况,目前只设置人员证书,请说明针对证书服务器的功能与性能测试应包含哪些基本的测试点。
某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图1所示。企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。1、为防止针对网校学员的口令攻击,请从口令的强度、传输存储及管理等方面,说明可采取哪些安全防护措施。相应地,对于网校学员所采用的口令认证机制进行测试时,请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。2、为提高系统认证环节安全性,系统在网校教师及管理员登录认证时引入了USBKey,请说明对公钥认证客户端进行安全测试时,USB Key的功能与性能测试应包含哪些基本的测试点。3、系统证书服务器主要提供证书审核注册管理及证书认证两项功能,根据系统实际情况,目前只设置人员证书,请说明针对证书服务器的功能与性能测试应包含哪些基本的测试点。
某企业最近上线了ERP系统,该系统运行的网络环境如图所示。企业信息中心目前拟对该系统相关安全防护体系进行全面的安全性测试,以提供全面的安全测评报告。问题1:企业ERP系统上线后,企业主要业务的日常运作都高度依赖该系统的正常运行,因此ERP系统的稳定性与可靠性对企业至关重要。故障恢复与容灾备份措施是提高系统稳定性与可靠性的重要因素。对于故障恢复与容灾备份措施,参与测试的王工认为应从故障恢复、数据备份和容灾备份等三个方面进行测试。请用300字以内文字,对这三方面的测试内容进行简要说明。问题2:数据库服务器中目前主要存储ERP系统业务数据,后续还需要存储企业网站相关数据,当前ERP系统的用户认证方式包含口令认证方式,相应的用户权限和口令也存储在数据库二维表中。针对上述实际情况,参与测试的李工认为在对数据库权限进行测试时,除数据库账号保护及权限设置相关的常规测试外,还必须对敏感数据加密保护及对数据库访问方式进行相应测试。请用200字以内文字,对敏感数据加密保护和数据库访问方式两个方面的测试内容进行简要说明。问题3:为对抗来自外网或内网的主动攻击,系统通常会采用多种安全防护策略,请给出四种常见的安全防护策略并进行简要解释。结合一种在图中明确标识出的安全防护策略机制,说明针对该机制的安全测试应包含哪些基本测试点。
对于其于用户口令的用户认证机制来说,( )不属于增强系统安全性应使用的防范措施。A.对本地存储的口令进行加密B.在用户输入的非法口令达到规定的次数之后,禁用相应帐户C.建议用户使用英文单词或姓名等容易记忆的口令D.对于关键领域或安全性要求较高的系统,应该当保证用过的用户删除或停用后,保留该用户记录,且新用户不能与该用户名
某企业最近上线了ERP系统,该系统运行的网络环境如图所示。企业信息中心目前拟对该系统相关安全防护体系进行全面的安全性测试,以提供全面的安全测评报告。数据库服务器中目前主要存储ERP系统业务数据,后续还需要存储企业网站相关数据,当前ERP系统的用户认证方式包含口令认证方式,相应的用户权限和口令也存储在数据库二维表中。针对上述实际情况,参与测试的李工认为在对数据库权限进行测试时,除数据库账号保护及权限设置相关的常规测试外,还必须对敏感数据加密保护及对数据库访问方式进行相应测试。请用200字以内文字,对敏感数据加密保护和数据库访问方式两个方面的测试内容进行简要说明。
对于基于PKI的认证服务系统,说法不正确的是()A、PKI(公钥基础设施)是一个基于公钥加密技术的安全技术体系B、PKI是硬件产品、软件产品、策略和过程的综合体C、基于PKI的认证服务系统的核心服务是创建、管理、存储、分配和吊销用户的数字证书D、D.一个基于PKI的第三方认证服务系统至少包括:用户、证书、注册机构(R、证书机构(CA.、证书库、作废证书库等实体
单选题目前最安全的身份认证机制是()。A一次口令机制B双因素法C基于智能卡的用户身价认证D身价认证的单因素法