某企业最近上线了ERP系统,该系统运行的网络环境如图所示。企业信息中心目前拟对该系统相关安全防护体系进行全面的安全性测试,以提供全面的安全测评报告。数据库服务器中目前主要存储ERP系统业务数据,后续还需要存储企业网站相关数据,当前ERP系统的用户认证方式包含口令认证方式,相应的用户权限和口令也存储在数据库二维表中。针对上述实际情况,参与测试的李工认为在对数据库权限进行测试时,除数据库账号保护及权限设置相关的常规测试外,还必须对敏感数据加密保护及对数据库访问方式进行相应测试。请用200字以内文字,对敏感数据加密保护和数据库访问方式两个方面的测试内容进行简要说明。
某企业最近上线了ERP系统,该系统运行的网络环境如图所示。企业信息中心目前拟对该系统相关安全防护体系进行全面的安全性测试,以提供全面的安全测评报告。
数据库服务器中目前主要存储ERP系统业务数据,后续还需要存储企业网站相关数据,当前ERP系统的用户认证方式包含口令认证方式,相应的用户权限和口令也存储在数据库二维表中。针对上述实际情况,参与测试的李工认为在对数据库权限进行测试时,除数据库账号保护及权限设置相关的常规测试外,还必须对敏感数据加密保护及对数据库访问方式进行相应测试。请用200字以内文字,对敏感数据加密保护和数据库访问方式两个方面的测试内容进行简要说明。
数据库服务器中目前主要存储ERP系统业务数据,后续还需要存储企业网站相关数据,当前ERP系统的用户认证方式包含口令认证方式,相应的用户权限和口令也存储在数据库二维表中。针对上述实际情况,参与测试的李工认为在对数据库权限进行测试时,除数据库账号保护及权限设置相关的常规测试外,还必须对敏感数据加密保护及对数据库访问方式进行相应测试。请用200字以内文字,对敏感数据加密保护和数据库访问方式两个方面的测试内容进行简要说明。
参考解析
解析:敏感数据加密保护和数据库访问方式的测试内容为:
①敏感数据的加密保护:由于ERP系统的用户权限和口令存储在数据库中,因此需要测试相应敏感数据是否采用加密算法进行加密保护。
②数据库访问方式测试:是否为不同应用系统或业务设置不同的专门用户用于数据库访问,应杜绝在代码中使用超级用户及默认密码对数据库进行访问。
【解析】
本问题考查考生对数据库权限测试内容的理解。
根据本题说明,ERP系统的用户权限和口令信息存储在数据库中,因此需要测试相应敏感数据是否采用加密算法进行加密保护:而数据库中还需要存储ERP系统之外的其他系统业务数据,因此应为不同应用系统或业务设置不同的专门用户用于数据库访问,且应杜绝在代码中使用超级用户及默认密码对数据库进行访问。
①敏感数据的加密保护:由于ERP系统的用户权限和口令存储在数据库中,因此需要测试相应敏感数据是否采用加密算法进行加密保护。
②数据库访问方式测试:是否为不同应用系统或业务设置不同的专门用户用于数据库访问,应杜绝在代码中使用超级用户及默认密码对数据库进行访问。
【解析】
本问题考查考生对数据库权限测试内容的理解。
根据本题说明,ERP系统的用户权限和口令信息存储在数据库中,因此需要测试相应敏感数据是否采用加密算法进行加密保护:而数据库中还需要存储ERP系统之外的其他系统业务数据,因此应为不同应用系统或业务设置不同的专门用户用于数据库访问,且应杜绝在代码中使用超级用户及默认密码对数据库进行访问。
相关考题:
阅读下列说明,回答问题1至问题3,将解答填入的对应栏内。[说明]某企业信息中心委托系统集成单位开发了企业网站,将应用服务器、Web服务器和数据库服务器都部署在信息中心机房,系统集成工作完成后,集成单位对网段、防火墙、入侵检测系统、防病毒系统等进行了全面的安全检查,向信息中心提交了安全测评报告。信息中心主管认为该测评报告不够全面,要求尽可能提供系统的、多层次的、深入的安全测评报告。请简述系统的安全防护体系包括的层次。对于服务器操作系统的安全,应当从哪些方面进行测评?安全日志是软件被动防范的措施,是重要的安全功能,软件的安全日志应当记录哪些信息?在安全测试中应当检查安全日志的哪些方面?请帮忙给出每个问题的正确答案和分析,谢谢!
现代企业级的信息系统设计包括两个方面的内容:一是对在系统分析中所确定的业务系统进行实现的基本过程的设计,该设计称为______;二是将与具体的系统运行环境直接联系(如操作系统、数据库管理系统、网络系统等软件、硬件平台)的设计,该设计称为______。
阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。【说明】某企业最近上线了ERP系统,该系统运行的网络环境如图4.1所示。企业信息中心目前拟对该系统相关安全防护体系进行全面的安全性测试,以提供全面的安全测评报告。企业ERP系统上线后,企业主要业务的日常运作都高度依赖该系统的正常运行,因此ERP系统的稳定性与可靠性对企业至关重要。故障恢复与容灾备份措施是提高系统稳定性与可靠性的重要因素。对于故障恢复与容灾备份措施,参与测试的王工认为应从故障恢复、数据备份和容灾备份等三个方面进行测试。请用300字以内文字,对这三方面的测试内容进行简要说明。【问题2】(4分)数据库服务器中目前主要存储ERP系统业务数据,后续还需要存储企业网站相关数据,当前ERP系统的用户认证方式包含口令认证方式,相应的用户权限和口令也存储在数据库二维表中。针对上述实际情况,参与测试的李工认为在对数据库权限进行测试时,除数据库账号保护及权限设置相关的常规钡试外,还必须对敏感数据加密保护及对数据库访问方式进行相应测试。请用200字以内文字,对敏感数据加密保护和数据库访问方式两个方面的测试内容进行简要说明。【问题3] (10分)为对抗来自外网或内网的主动攻击,系统通常会采用多种安全防护策略,请给出四种常见的安全防护策略并进行简要解释。结合一种在图4-1中明确标识出的安全防护策略机制,说明针对该机制的安全测试应包含哪些基本测试点。软件系统的安全性是信息安全的一个重要组成部分,针对程序和数据的安全性测试与评估是软件安全性测试的重要内容,本题考查软件安全性测试的相关知识。
某测评公司依照国家《计算机信息系统安全保护等级划分准则》、《网络安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准,以及某大学对信息系统等级保护工作的有关规定和要求,对某大学的网络和信息系统进行等级保护定级,按信息系统逐个编制定级报告和定级备案表,并指导该大学信息化人员将定级材料提交当地公安机关备案。【问题1】(7分)测评公司小李分析了某大学现有网络拓扑结构,认为学校信息系统网络系统未严格按“系统功能、应用相似性”、“资产价值相似性”、“安全要求相似性”、“威胁相似性”等原则对现有网络结构进行安全区域的划分。导致网络结构没有规范化、缺少区域访问控制和网络层防病毒措施、不能有效控制蠕虫病毒等信息安全事件发生后所影响的范围,从而使得网络和安全管理人员无法对网络安全进行有效的管理。因此,小李按照学校系统的重要性和网络使用的逻辑特性划分安全域,具体将学校网络划分为外部接入域、核心交换域、终端接入域、核心数据域、核心应用域、安全管理域、存储网络域共7个域,具体拓扑如图1所示。请将7个域名称,填入图1(1)~(7)空中。【问题2】(8分)某高校信息中心张主任看到该拓扑图后,认为该拓扑图可能存在一些明显的设计问题。请依据个人经验,回答下列问题。(1)核心交换域是否存在设计问题?如果存在问题,则具体问题是什么,理由是什么,该如何解决?(2)核心应用域是否存在设计问题?如果存在问题,则具体问题是什么,理由是什么,该如何解决?【问题3】(6分)测评公司小李把测评指标和测评方式结合到信息系统的具体测评对象上,构成了可以具体测评的工作单元。具体分为物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等十个层面。通过访谈相关负责人,检查机房及其除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿属于(8)测评;通过访谈安全员,检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力属于(9)测评;通过访谈系统建设负责人,检查相关文档,测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展属于(10)测评。【问题4】(4分)简述部署漏洞扫描系统带来的好处。
阅读下列说明,回答问题1至问题3,将解答填入的对应栏内。[说明]某企业信息中心委托系统集成单位开发了企业网站,将应用服务器、Web服务器和数据库服务器都部署在信息中心机房,系统集成工作完成后,集成单位对网段、防火墙、入侵检测系统、防病毒系统等进行了全面的安全检查,向信息中心提交了安全测评报告。信息中心主管认为该测评报告不够全面,要求尽可能提供系统的、多层次的、深入的安全测评报告。16、 [问题1](5分)请简述系统的安全防护体系包括的层次。17、 [问题2](5分)对于服务器操作系统的安全,应当从哪些方面进行测评?18、 [问题3](4分)安全日志是软件被动防范的措施,是重要的安全功能,软件的安全日志应当记录哪些信息?在安全测试中应当检查安全日志的哪些方面?
某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图1所示。企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。图1 在线网络学校系统拓扑结构2、为提高系统认证环节安全性,系统在网校教师及管理员登录认证时引入了USBKey,请说明对公钥认证客户端进行安全测试时,USB Key的功能与性能测试应包含哪些基本的测试点。
某企业最近上线了ERP系统,该系统运行的网络环境如图所示。企业信息中心目前拟对该系统相关安全防护体系进行全面的安全性测试,以提供全面的安全测评报告。为对抗来自外网或内网的主动攻击,系统通常会采用多种安全防护策略,请给出四种常见的安全防护策略并进行简要解释。结合一种在图中明确标识出的安全防护策略机制,说明针对该机制的安全测试应包含哪些基本测试点。
某企业想开发一套B2C系统,其主要目的是在线销售商品和服务,使顾客可以在线浏览和购买商品和服务,系统的用户的IT技能,访问系统的方式差异较大,因此系统的易用性、安全性、兼容性等方面的测试至关重要。 系统要求: (1)所有链接都要正确; (2)支持不同移动设备,操作系统和浏览器; (3)系统需通过SSL进行访问,没有登录的用户不能访问应用内部的内容。3.1、简要叙述链接测试的目的以及测试的主要内容。(5分)3.2、简要叙述为了达到系统要求(2),要测试哪些方面的兼容性。(4分)3.3、本系统强调安全性,简要叙述Web应用安全测试应考虑哪些方面。(4分)3.4、针对系统要求(3),设计测试用例以测试Web应用的安全性。(4分)
某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图1所示。企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。图1 在线网络学校系统拓扑结构3、系统证书服务器主要提供证书审核注册管理及证书认证两项功能,根据系统实际情况,目前只设置人员证书,请说明针对证书服务器的功能与性能测试应包含哪些基本的测试点。
某企业最近上线了ERP系统,该系统运行的网络环境如图所示。企业信息中心目前拟对该系统相关安全防护体系进行全面的安全性测试,以提供全面的安全测评报告。企业ERP系统上线后,企业主要业务的日常运作都高度依赖该系统的正常运行,因此ERP系统的稳定性与可靠性对企业至关重要。故障恢复与容灾备份措施是提高系统稳定性与可靠性的重要因素。对于故障恢复与容灾备份措施,参与测试的王工认为应从故障恢复、数据备份和容灾备份等三个方面进行测试。请用300字以内文字,对这三方面的测试内容进行简要说明。
某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图1所示。企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。1、为防止针对网校学员的口令攻击,请从口令的强度、传输存储及管理等方面,说明可采取哪些安全防护措施。相应地,对于网校学员所采用的口令认证机制进行测试时,请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。
某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图1所示。企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。1、为防止针对网校学员的口令攻击,请从口令的强度、传输存储及管理等方面,说明可采取哪些安全防护措施。相应地,对于网校学员所采用的口令认证机制进行测试时,请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。2、为提高系统认证环节安全性,系统在网校教师及管理员登录认证时引入了USBKey,请说明对公钥认证客户端进行安全测试时,USB Key的功能与性能测试应包含哪些基本的测试点。3、系统证书服务器主要提供证书审核注册管理及证书认证两项功能,根据系统实际情况,目前只设置人员证书,请说明针对证书服务器的功能与性能测试应包含哪些基本的测试点。
某企业最近上线了ERP系统,该系统运行的网络环境如图所示。企业信息中心目前拟对该系统相关安全防护体系进行全面的安全性测试,以提供全面的安全测评报告。问题1:企业ERP系统上线后,企业主要业务的日常运作都高度依赖该系统的正常运行,因此ERP系统的稳定性与可靠性对企业至关重要。故障恢复与容灾备份措施是提高系统稳定性与可靠性的重要因素。对于故障恢复与容灾备份措施,参与测试的王工认为应从故障恢复、数据备份和容灾备份等三个方面进行测试。请用300字以内文字,对这三方面的测试内容进行简要说明。问题2:数据库服务器中目前主要存储ERP系统业务数据,后续还需要存储企业网站相关数据,当前ERP系统的用户认证方式包含口令认证方式,相应的用户权限和口令也存储在数据库二维表中。针对上述实际情况,参与测试的李工认为在对数据库权限进行测试时,除数据库账号保护及权限设置相关的常规测试外,还必须对敏感数据加密保护及对数据库访问方式进行相应测试。请用200字以内文字,对敏感数据加密保护和数据库访问方式两个方面的测试内容进行简要说明。问题3:为对抗来自外网或内网的主动攻击,系统通常会采用多种安全防护策略,请给出四种常见的安全防护策略并进行简要解释。结合一种在图中明确标识出的安全防护策略机制,说明针对该机制的安全测试应包含哪些基本测试点。
网络安全系统调试内容包括( )。A.检查网络安全系统的软件配置B.依据网络安全方案进行攻击测试并记录C.网络层次全调试应对防火墙进行模拟攻击测试D.使用防病毒系统进行常驻检测E.对网络设备应进行配置并连通
信息安全测评是指依据相关标准,从安全功能等角度对信息技术产品、信息系统、服务提供商以及人员进行测试和评估,以下关于信息安全测评说法不正确的是()A、信息产品安全评估是测评机构对产品的安全性做出的独立评价,增强用户对己评估产品安全的信任B、目前我国常见的信息系统安全测评包括信息系统风险评估和信息系统安全保障测评两种类型C、信息安全工程能力评估是对信息安全服务提供者的资格状况、技术实力和实施服务过程质量保证能力的具体衡量和评价D、信息系统风险评估是系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件可能造成的危害程度,提出有针对性的安全防护策略和整改措施
《国家电网公司网络与信息系统安全管理办法》网络与信息系统上线前、重要升级前、与生产系统联合调试前对()等进行全面测试以及整改加固,通过测试后方可正式上线试运行。A、安全防护设计遵从度B、应用软件安全功能C、代码安全、运行环境安全D、运行环境安全
公司智能电网业务系统信息安全防护划分为物理环境安全防护、()、边界安全防护、网络环境安全防护、主机系统安全防护、应用与数据安全防护六个层次进行主动全面的安全防护措施设计。A、生产大区安全防护B、业务终端安全防护C、信息大区安全防护D、信息内网安全防护
问答题计算机网络系统测试的目的是验证网络是否为应用系统提供了稳定、高校的网络平台,在安装网络应用系统之前,应该对系统层进行哪些方面的测试?