某互联网企业开发了一个大型电子商务平台,平台主要功能是支持注册卖家与买家的在线交易。在线交易的安全性是保证平台正常运行的重要因素,安全中心是平台中提供安全保护措施的核心系统,该系统提供的主要功能包括: 14密钥管理功能,包括公钥加密体系中的公钥及私钥生成与管理,会话密钥的协商、生成、更新及分发等。 15基础加解密服务,包括基于RSA、ECC及AES等多密码算法的基本加解密服务。 16认证服务,提供基于PKI及用户名/口令的认证机制。 17授权服务,为应用提供资源及功能的授权管理和访问控制服务。 现企业测试部门拟对平台的密钥管理与加密服务系统进行安全性测试,以检验平台的安全性。14、给出安全中心需应对的常见安全攻击手段并进行简要说明。(4分)15、针对安全中心的安全性测试,可采用哪些基本的安全性测试方法?(6分)16、请分别说明针对密钥管理功能进行功能测试和性能测试各自应包含的基本测试点。(5分)17、请分别说明针对加解密服务功能进行功能测试和性能测试各自应包含的基本测试点。(5分)
某互联网企业开发了一个大型电子商务平台,平台主要功能是支持注册卖家与买家的在线交易。在线交易的安全性是保证平台正常运行的重要因素,安全中心是平台中提供安全保护措施的核心系统,该系统提供的主要功能包括:
14密钥管理功能,包括公钥加密体系中的公钥及私钥生成与管理,会话密钥的协商、生成、更新及分发等。
15基础加解密服务,包括基于RSA、ECC及AES等多密码算法的基本加解密服务。
16认证服务,提供基于PKI及用户名/口令的认证机制。
17授权服务,为应用提供资源及功能的授权管理和访问控制服务。 现企业测试部门拟对平台的密钥管理与加密服务系统进行安全性测试,以检验平台的安全性。
14、给出安全中心需应对的常见安全攻击手段并进行简要说明。(4分)
15、针对安全中心的安全性测试,可采用哪些基本的安全性测试方法?(6分)
16、请分别说明针对密钥管理功能进行功能测试和性能测试各自应包含的基本测试点。(5分)
17、请分别说明针对加解密服务功能进行功能测试和性能测试各自应包含的基本测试点。(5分)
14密钥管理功能,包括公钥加密体系中的公钥及私钥生成与管理,会话密钥的协商、生成、更新及分发等。
15基础加解密服务,包括基于RSA、ECC及AES等多密码算法的基本加解密服务。
16认证服务,提供基于PKI及用户名/口令的认证机制。
17授权服务,为应用提供资源及功能的授权管理和访问控制服务。 现企业测试部门拟对平台的密钥管理与加密服务系统进行安全性测试,以检验平台的安全性。
14、给出安全中心需应对的常见安全攻击手段并进行简要说明。(4分)
15、针对安全中心的安全性测试,可采用哪些基本的安全性测试方法?(6分)
16、请分别说明针对密钥管理功能进行功能测试和性能测试各自应包含的基本测试点。(5分)
17、请分别说明针对加解密服务功能进行功能测试和性能测试各自应包含的基本测试点。(5分)
参考解析
解析:14、该平台需应对的常见安全攻击手段应包括:
(1)网络侦听:指在数据通信或数据交互的过程中,攻击者对数据进行截取分析,从而实现对包括用户支付账号及口令数据的非授权获取和使用。
(2)冒充攻击:攻击者采用口令猜测、消息重演与篡改等方式,伪装成另一个实体,欺骗安全中心的认证及授权服务,从而登录系统,获取对系统的非授权访问。
(3)拒绝服务攻击:攻击者通过对网络协议的实现缺陷进行故意攻击,或通过野蛮手段耗尽被攻击对象的资源,使电子商务平台中包括安全中心在内的关键服务停止响应甚至崩溃,从而使系统无法提供正常的服务或资源访问。
(4)Web安全攻击:攻击者通过跨站脚本或SQL注入等攻击手段,在电子商务平台系统网页中植入恶意代码或在表单中提交恶意SQL命令,从而旁路系统正常访问控制或恶意盗取用户信息。
15、可采用的基本安全性测试方法包括:
(1)功能验证:采用软件测试中的黑盒测试方法,对安全中心提供的密钥管理、加解密服务、认证服务以及授权服务进行功能测试,验证所提供的相应功能是否有效。
(2)漏洞扫描:借助于特定的漏洞扫描工具,对安全中心本地主机、网络及相应功能模块进行扫描,发现系统中存在的安全性弱点及安全漏洞,从而在安全漏洞造成严重危害之前,发现并加以防范。
(3)模拟攻击试验:模拟攻击试验是一组特殊的黑盒测试案例,通过模拟典型的安全攻击来验证安全中心的安全防护能力。
(4)侦听测试:通过典型的网络数据包获取技术,在系统数据通信或数据交互的过程中,对数据进行截取分析,从而发现系统在防止敏感数据被窃取方面的安全防护能力。
16、密钥管理功能的基本测试点:
(1)功能测试
①系统是否具备密钥生成、密钥发送、密钥存储、密钥查询、密钥撤销、密钥恢复等基本功能;
②密钥库管理功能是否完善;
③密钥管理中心的系统、设备、数据、人员等安全管理是否严密;
④密钥管理中心的审计、认证、恢复、统计等系统管理是否具备;
⑤密钥管理系统与证书认证系统之间是否采用基于身份认证的安全通信协议。
(2)性能测试
①检查证书服务器的处理性能是否具备可伸缩配置及扩展能力利用并发压力测试工具测试受理点连接数、签发在用证书数目、密钥发放并发请求数是否满足业务需求;
②测试是否具备系统所需最大量的密钥生成、存储、传送、发布、归档等密钥管理功能;
③是否支持密钥用户要求年限的保存期;
④是否具备异地容灾备份;
⑤是否具备可伸缩配置及扩展能力;
⑥关键部分是否采用双机热备和磁盘镜像。
17、加解密服务功能的基本测试点:
(1)功能测试
①系统是否具备基础加解密功能;
②能否为应用提供相对稳定的统一安全服务接口;
③能否提供对多密码算法的支持;
④随着业务量的逐渐增加,是否可以灵活增加密码服务模块,实现性能平滑扩展。
(2)性能测试
①各加密算法使用的密钥长度是否达到业内安全的密钥长度;
②RSA、ECC等公钥算法的签名和验证速度以及AES等对称密钥算法的加解密速度是否满足业务要求;
③处理性能如公钥密码算法签名等是否具备可扩展能力。
【解析】
软件系统的安全性是信息安全的一个重要组成部分,对于在线交易业务来说,安全性更是保证系统正常运行的重要因素,针对安全中心安全保护措施的测试是检验安全中心可用性的主要手段,本题考查对安全保护措施进行安全性测试的相关知识。
第一小题考查考生对常见安全攻击手段的了解。在解答本问题时,应结合电子商务平台的业务特征及题目中给出的安全中心主要功能,给出需应对的常见安全攻击手段。该平台需应对的常见安全攻击手段应包括: (1)网络侦听:指在数据通信或数据交互的过程中,攻击者对数据进行截取分析,从而实现对包括用户支付账号及口令数据的非授权获取和使用。
(2)冒充攻击:攻击者采用口令猜测、消息重演与篡改等方式,伪装成另一个实体,欺骗安全中心的认证及授权服务,从而登录系统,获取对系统的非授权访问。
(3)拒绝服务攻击:攻击者通过对网络协议的实现缺陷进行故意攻击,或通过野蛮手段耗尽被攻击对象的资源,使电子商务平台中包括安全中心在内的关键服务停止响应甚至崩溃,从而使系统无法提供正常的服务或资源访问。
(4)Web安全攻击:攻击者通过跨站脚本或SQL注入等攻击手段,在电子商务平台系统网页中植入恶意代码或在表单中提交恶意SQL命令,从而旁路系统正常访问控制或恶意盗取用户信息。
第二小题考查考生对安全测试基本方法的理解。在解答本问题时,应针对电子商务平台的业务特征及题目中给出的安全中心主要功能,给出相应的安全性测试方法。针对安全中心的安全性测试,可采用的基本安全性测试方法包括:
(1)功能验证:采用软件测试中的黑盒测试方法,对安全中心提供的密钥管理、加解密服务、认证服务以及授权服务进行功能测试,验证所提供的相应功能是否有效。
(2)漏洞扫描:借助于特定的漏洞扫描工具,对安全中心本地主机、网络及相应功能模块进行扫描,发现系统中存在的安全性弱点及安全漏洞,从而在安全漏洞造成严重危害之前,发现并加以防范。
(3)模拟攻击试验:模拟攻击试验是一组特殊的黑盒测试案例,通过模拟典型的安全攻击来验证安全中心的安全防护能力。
(4)侦听测试:通过典型的网络数据包获取技术,在系统数据通信或数据交互的过程中,对数据进行截取分析,从而发现系统在防止敏感数据被窃取方面的安全防护能力。
第三小题考查密钥管理功能安全测试内容的相关知识。
按题目描述,密钥管理功能包括公钥加密体系中的公钥及私钥生成与管理,会话密钥的协商、生成、更新及分发等,因此密钥管理功能的安全测试应涵盖相应主要功能的测试,此外,对于本系统还应进行相应的性能测试。
功能测试的基本测试点包括系统是否制定了密钥管理策略;系统是否具备密钥生成、密钥发送、密钥存储、密钥查询、密钥撤销、密钥恢复等基本功能;密钥库管理功能是否完善;密钥管理中心的系统、设备、数据、人员等安全管理是否严密;密钥管理中心的审计、认证、恢复、统计等系统管理是否具备;密钥管理系统与证书认证系统之间是否采用基于身份认证的安全通信协议等。性能测试的基本测试点包括利用并发压力测试工具测试受理点连接数、签发在用证书数目、密钥发放并发请求数是否满足业务需求;测试是否具备系统所需最大量的密钥生成、存储、传送、发布、归档等密钥管理功能;是否支持密钥用户要求年限的保存期;是否具备异地容灾备份;是否具备可伸缩配置及扩展能力;关键部分是否采用双机热备和磁盘镜像等。
第四小题考查加解密服务功能安全测试内容的相关知识。
按题目描述,加解密服务功能包括基于RSA、ECC及AES等多密码算法的基本加解密服务,因此加解密服务功能的安全测试应涵盖基本加解密算法相应的功能测试与性能测试。
功能测试的基本测试点包括系统是否具备基础加解密功能;能否为应用提供相对稳定的统一安全服务接口;能否提供对多密码算法的支持;随着业务量的逐渐增加,是否可以灵活增加密码服务模块,实现性能平滑扩展等。性能测试的基本测试点包括各加密算法使用的密钥长度是否达到业内安全的密钥长度;RSA、ECC等公钥算法的签名和验证速度以及AES等对称密钥算法的加解密速度是否满足业务要求;处理性能如公钥密码算法签名等是否具备可扩展能力等。
(1)网络侦听:指在数据通信或数据交互的过程中,攻击者对数据进行截取分析,从而实现对包括用户支付账号及口令数据的非授权获取和使用。
(2)冒充攻击:攻击者采用口令猜测、消息重演与篡改等方式,伪装成另一个实体,欺骗安全中心的认证及授权服务,从而登录系统,获取对系统的非授权访问。
(3)拒绝服务攻击:攻击者通过对网络协议的实现缺陷进行故意攻击,或通过野蛮手段耗尽被攻击对象的资源,使电子商务平台中包括安全中心在内的关键服务停止响应甚至崩溃,从而使系统无法提供正常的服务或资源访问。
(4)Web安全攻击:攻击者通过跨站脚本或SQL注入等攻击手段,在电子商务平台系统网页中植入恶意代码或在表单中提交恶意SQL命令,从而旁路系统正常访问控制或恶意盗取用户信息。
15、可采用的基本安全性测试方法包括:
(1)功能验证:采用软件测试中的黑盒测试方法,对安全中心提供的密钥管理、加解密服务、认证服务以及授权服务进行功能测试,验证所提供的相应功能是否有效。
(2)漏洞扫描:借助于特定的漏洞扫描工具,对安全中心本地主机、网络及相应功能模块进行扫描,发现系统中存在的安全性弱点及安全漏洞,从而在安全漏洞造成严重危害之前,发现并加以防范。
(3)模拟攻击试验:模拟攻击试验是一组特殊的黑盒测试案例,通过模拟典型的安全攻击来验证安全中心的安全防护能力。
(4)侦听测试:通过典型的网络数据包获取技术,在系统数据通信或数据交互的过程中,对数据进行截取分析,从而发现系统在防止敏感数据被窃取方面的安全防护能力。
16、密钥管理功能的基本测试点:
(1)功能测试
①系统是否具备密钥生成、密钥发送、密钥存储、密钥查询、密钥撤销、密钥恢复等基本功能;
②密钥库管理功能是否完善;
③密钥管理中心的系统、设备、数据、人员等安全管理是否严密;
④密钥管理中心的审计、认证、恢复、统计等系统管理是否具备;
⑤密钥管理系统与证书认证系统之间是否采用基于身份认证的安全通信协议。
(2)性能测试
①检查证书服务器的处理性能是否具备可伸缩配置及扩展能力利用并发压力测试工具测试受理点连接数、签发在用证书数目、密钥发放并发请求数是否满足业务需求;
②测试是否具备系统所需最大量的密钥生成、存储、传送、发布、归档等密钥管理功能;
③是否支持密钥用户要求年限的保存期;
④是否具备异地容灾备份;
⑤是否具备可伸缩配置及扩展能力;
⑥关键部分是否采用双机热备和磁盘镜像。
17、加解密服务功能的基本测试点:
(1)功能测试
①系统是否具备基础加解密功能;
②能否为应用提供相对稳定的统一安全服务接口;
③能否提供对多密码算法的支持;
④随着业务量的逐渐增加,是否可以灵活增加密码服务模块,实现性能平滑扩展。
(2)性能测试
①各加密算法使用的密钥长度是否达到业内安全的密钥长度;
②RSA、ECC等公钥算法的签名和验证速度以及AES等对称密钥算法的加解密速度是否满足业务要求;
③处理性能如公钥密码算法签名等是否具备可扩展能力。
【解析】
软件系统的安全性是信息安全的一个重要组成部分,对于在线交易业务来说,安全性更是保证系统正常运行的重要因素,针对安全中心安全保护措施的测试是检验安全中心可用性的主要手段,本题考查对安全保护措施进行安全性测试的相关知识。
第一小题考查考生对常见安全攻击手段的了解。在解答本问题时,应结合电子商务平台的业务特征及题目中给出的安全中心主要功能,给出需应对的常见安全攻击手段。该平台需应对的常见安全攻击手段应包括: (1)网络侦听:指在数据通信或数据交互的过程中,攻击者对数据进行截取分析,从而实现对包括用户支付账号及口令数据的非授权获取和使用。
(2)冒充攻击:攻击者采用口令猜测、消息重演与篡改等方式,伪装成另一个实体,欺骗安全中心的认证及授权服务,从而登录系统,获取对系统的非授权访问。
(3)拒绝服务攻击:攻击者通过对网络协议的实现缺陷进行故意攻击,或通过野蛮手段耗尽被攻击对象的资源,使电子商务平台中包括安全中心在内的关键服务停止响应甚至崩溃,从而使系统无法提供正常的服务或资源访问。
(4)Web安全攻击:攻击者通过跨站脚本或SQL注入等攻击手段,在电子商务平台系统网页中植入恶意代码或在表单中提交恶意SQL命令,从而旁路系统正常访问控制或恶意盗取用户信息。
第二小题考查考生对安全测试基本方法的理解。在解答本问题时,应针对电子商务平台的业务特征及题目中给出的安全中心主要功能,给出相应的安全性测试方法。针对安全中心的安全性测试,可采用的基本安全性测试方法包括:
(1)功能验证:采用软件测试中的黑盒测试方法,对安全中心提供的密钥管理、加解密服务、认证服务以及授权服务进行功能测试,验证所提供的相应功能是否有效。
(2)漏洞扫描:借助于特定的漏洞扫描工具,对安全中心本地主机、网络及相应功能模块进行扫描,发现系统中存在的安全性弱点及安全漏洞,从而在安全漏洞造成严重危害之前,发现并加以防范。
(3)模拟攻击试验:模拟攻击试验是一组特殊的黑盒测试案例,通过模拟典型的安全攻击来验证安全中心的安全防护能力。
(4)侦听测试:通过典型的网络数据包获取技术,在系统数据通信或数据交互的过程中,对数据进行截取分析,从而发现系统在防止敏感数据被窃取方面的安全防护能力。
第三小题考查密钥管理功能安全测试内容的相关知识。
按题目描述,密钥管理功能包括公钥加密体系中的公钥及私钥生成与管理,会话密钥的协商、生成、更新及分发等,因此密钥管理功能的安全测试应涵盖相应主要功能的测试,此外,对于本系统还应进行相应的性能测试。
功能测试的基本测试点包括系统是否制定了密钥管理策略;系统是否具备密钥生成、密钥发送、密钥存储、密钥查询、密钥撤销、密钥恢复等基本功能;密钥库管理功能是否完善;密钥管理中心的系统、设备、数据、人员等安全管理是否严密;密钥管理中心的审计、认证、恢复、统计等系统管理是否具备;密钥管理系统与证书认证系统之间是否采用基于身份认证的安全通信协议等。性能测试的基本测试点包括利用并发压力测试工具测试受理点连接数、签发在用证书数目、密钥发放并发请求数是否满足业务需求;测试是否具备系统所需最大量的密钥生成、存储、传送、发布、归档等密钥管理功能;是否支持密钥用户要求年限的保存期;是否具备异地容灾备份;是否具备可伸缩配置及扩展能力;关键部分是否采用双机热备和磁盘镜像等。
第四小题考查加解密服务功能安全测试内容的相关知识。
按题目描述,加解密服务功能包括基于RSA、ECC及AES等多密码算法的基本加解密服务,因此加解密服务功能的安全测试应涵盖基本加解密算法相应的功能测试与性能测试。
功能测试的基本测试点包括系统是否具备基础加解密功能;能否为应用提供相对稳定的统一安全服务接口;能否提供对多密码算法的支持;随着业务量的逐渐增加,是否可以灵活增加密码服务模块,实现性能平滑扩展等。性能测试的基本测试点包括各加密算法使用的密钥长度是否达到业内安全的密钥长度;RSA、ECC等公钥算法的签名和验证速度以及AES等对称密钥算法的加解密速度是否满足业务要求;处理性能如公钥密码算法签名等是否具备可扩展能力等。
相关考题:
软件质量属性某软件开发公司欲为某电子商务企业开发一个在线交易平台,支持客户完成网上购物活动中的在线交易。在系统开发之初,企业对该平台提出了如下要求:①在线交易平台必须在1s内完成客户的交易请求。②该平台必须保证客户个人信息和交易信息的安全。③当发生故障时,该平台的平均故障恢复时间必须小于10s。④由于企业业务发展较快,需要经常为该平台添加新功能或进行硬件升级。添加新功能或进行硬件升级必须在6小时内完成。针对这些要求,该软件开发公司决定采用基于架构的软件开发方法,以架构为核心进行在线交易平台的设计与实现。请对该在线交易平台的4个要求进行分析,用300字以内的文字指出每个要求对应何种软件质量属性;并针对每种软件质量属性,各给出2种实现该质量属性的架构设计策略。
软件质量属性某软件开发公司欲为某电子商务企业开发一个在线交易平台,支持客户完成网上购物活动中的在线交易。在系统开发之初,企业对该平台提出了如下要求:①在线交易平台必须在1s内完成客户的交易请求。②该平台必须保证客户个人信息和交易信息的安全。③当发生故障时,该平台的平均故障恢复时间必须小于10s。④由于企业业务发展较快,需要经常为该平台添加新功能或进行硬件升级。添加新功能或进行硬件升级必须在6小时内完成。针对这些要求,该软件开发公司决定采用基于架构的软件开发方法,以架构为核心进行在线交易平台的设计与实现。软件质量属性是影响软件架构设计的重要因素。请用200字以内的文字列举6种不同的软件质量属性名称,并解释其含义。
阅读以下软件架构设计的问题,在答题纸上回答问题1和问题2。某软件开发公司欲为某电子商务企业开发一个在线交易平台,支持客户完成网上购物活动中的在线交易。在系统开发之初,企业对该平台提出了如下要求。(1)在线交易平台必须在1秒内完成客户的交易请求。(2)该平台必须保证客户个人信息和交易信息的安全。(3)当发生故障时,该平台的平均故障恢复时间必须小于10秒。(4)由于企业业务发展较快,需要经常为该平台添加新功能或进行硬件升级。添加新功能或进行硬件升级必须在6小时内完成。针对这些要求,该软件开发公司决定采用基于架构的软件开发方法,以架构为核心进行在线交易平台的设计与实现。请对该在线交易平台的4个要求进行分析,用300字以内的文字指出每个要求对应何种软件质量属性;并针对每种软件质量属性,各给出两种实现该质量属性的架构设计策略。
某企业提供在线短期租赁的信息发布、用户身份审核、场地资料审核、交易规则制定等服务,用户注册后,租赁双方可自行选择进行交易,该企业不参与交易洽谈,但从双方成交金额中收取一定比例的费用。该企业属于:A.电子商务平台经营者;B.平台内经营者;C.自建网站销售商品和提供服务的经营者;D.其他网络服务提供者。
()构成网上系统的运行环境,应具有很好的安全性、稳定性和可扩展性。目前全球大部分的电子商务平台都是运行在UNIX操作系统和大型数据库的系统上。 A.系统的安全平台B.系统的网站门户平台C.系统的业务平台D.系统的基础技术平台
Secure Payment 是阿里巴巴国际站针对国际贸易提供交易资金安全保障的服务,它联合第三方支付平台Alipay提供在线上交易资金支付的安全保障,同时保护买卖家从事在线交易,并解决交易中资金纠纷问题。() 此题为判断题(对,错)。
信用保障服务联合第三方支付平台alipay提供在线上交易资金支付的安全保障,同时保护买卖家从事在线交易,并解决交易中资金纠纷问题。主要优势:安全收款、快速交易、多种支付。() 此题为判断题(对,错)。
阅读以下软件架构设计的问题,在答题纸上回答问题1和问题2。某软件开发公司欲为某电子商务企业开发一个在线交易平台,支持客户完成网上购物活动中的在线交易。在系统开发之初,企业对该平台提出了如下要求:(1)在线交易平台必须在1s内完成客户的交易请求。(2)该平台必须保证客户个人信息和交易信息的安全。(3)当发生故障时,该平台的平均故障恢复时间必须小于10s。(4)由于企业业务发展较快,需要经常为该平台添加新功能或进行硬件升级。添加新功能或进行硬件升级必须在6小时内完成。针对这些要求,该软件开发公司决定采用基于架构的软件开发方法,以架构为核心进行在线交易平台的设计与实现。【问题1】(9分)软件质量属性是影响软件架构设计的重要因素。请用200字以内的文字列举六种不同的软件质量属性名称,并解释其含义。【问题2】(16分)请对该在线交易平台的4个要求进行分析,用300字以内的文字指出每个要求对应何种软件质量属性;并针对每种软件质量属性,各给出2种实现该质量属性的架构设计策略。
()作为功能强大的支付平台,作为在线支付工具,在B2C、C2C在线交易中,起到了信用中介的作用,同时为CP、SP提供了在线支付通道以及统一的计费平台,解除了个人用户和广大商家的安全顾虑,保证了在线交易的资金和商品安全。A、支付宝B、网付通C、网汇通D、财付通
下面说法正确的是()A、拍拍网属于第三方B2B电子商务平台B、相对于大多数企业通过其它形式开展的营销活动而言,通过B2B第三方平台交易成本相对较低C、第三方电子商务平台为大型企业应用电子商务提供了有力的支持D、自建网上商店可以解决交易双方的身份认证问题,使交易更加安全
根据《“互联网+”招标采购行动方案(2017-2019年)》的规定,鼓励电子招标投标交易平台、公共服务平台、行政监督平台与政府建立的投资项目在线审批监管平台对接,实现投资项目全过程在线运行、闭环监管,建立健全纵横联动协同投资监管体系。
坚持"互联网+监督"思维,加快推进电子化招标投标系统与()的全面对接,构建"标前+标中+标后"的全程监管体系,实现从前期审批到后期监管的全流程电子化。A、投资项目在线投诉平台B、投资项目在线审批平台C、公共资源交易服务平台D、公共资源交易监督平台
单选题下面说法正确的是()A拍拍网属于第三方B2B电子商务平台B相对于大多数企业通过其它形式开展的营销活动而言,通过B2B第三方平台交易成本相对较低C第三方电子商务平台为大型企业应用电子商务提供了有力的支持D自建网上商店可以解决交易双方的身份认证问题,使交易更加安全