某企业为防止自身信息资源的非授权访问,建立了如图4-1所示的访问控制系统。
该系统提供的主要安全机制包括:
(1) 认证:管理企业的合法用户,验证用户所宣称身份的合法性,该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制;
(2) 授权:赋予用户访问系统资源的权限,对企业资源的访问请求进行授权决策;
(3) 安全审计:对系统记录与活动进行独立审查,发现访问控制机制中的安全缺陷,提出安全改进建议。
【问题1】 (6分)
对该访问控制系统进行测试时,用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面每个方面具体的测试内容又有哪些
【问题2】(3分)
测试过程中需对该访问控制系统进行模拟攻击试验,以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击,并简要说明模拟攻击的基本原理。
【问题3】(3分)
对该系统安全审计功能设计的测试点应包括哪些
正确答案及解析
正确答案
解析
【问题1】
(1)对用户权限控制体系合理性的评价,其具体测试内容包括;
是否采用系统管理员、业务领导、操作人员三级分离的管理模式。
是否具有唯一性,口令的强度及口令存储的位置和加密强度等。
(2)对用户权限分配合理性的评价,其具体测试内容包括:
用户权限系统本身权限分配的细致程度。
特定权限用户访问系统功能的能力测试。
【问题2】
冒充攻击:攻击者控制企业某台主机,发现其中系统服务中可利用的用户账号,进行口令猜测,从而假装成特定用户,对企业资源进行非法访问。
重演攻击:(或重放攻击):攻击者通过截获含有身份鉴别信息或授权请求的有效消息,将该消息进行重演,以达到鉴别自身或获得授权的目的,实现对企业资源的访问。
服务拒绝攻击:攻击者通过向认证服务或授权服务发送大量虚假请求,占用系统带宽并造成关键服务繁忙,从而使得认证授权服务功能不能正常执行,产生服务拒绝。
内部攻击:不具有相应权限的系统合法用户以非授权方式进行动作,如截获并存储。
其他业务部门的网络数据流,或对系统访问控制管理信息进行攻击以获得他人权限等。
以上攻击,任给出3种即可。
【问题3】
对该系统安全审计功能设计的测试点应包括:
能否进行系统数据收集,统一存储,集中进行安全审计。
是否支持基于PKI的应用审计。
是否支持基于XML等的审计数据采集协议。
是否提供灵活的自定义审计规则。
包含此试题的试卷
你可能感兴趣的试题
-
- A.V(S2)和P(S4)
- B.P(S2)和V(S4)
- C.P(S2)和P(S4)
- D.V(S2)和V(S4)
- 查看答案
-
- A.V(S1)P(S2)和V(S3)
- B.P(S1)V(S2)和V(S3)
- C.V(S1)V(S2)和V(S3)
- D.P(S1)P(S2)和V(S3)
- 查看答案
-
- A.P(S4)和V(S4)V(S5)
- B.V(S5)和P(S4)P(S5)
- C.V(S3)和V(S4)V(S5)
- D.P(S3)和P(S4)V(P5)
- 查看答案
-
- A.P(S3)和V(S4)V(S5)
- B.V(S3)和P(S4)P(S5)
- C.P(S3)和P(S4)P(S5)
- D.V(S3)和V(S4)V(S5)
- 查看答案
-
- A.P(S2)和P(S4)
- B.P(S2)和V(S4)
- C.V(S2)和P(S4)
- D.V(S2)和V(S4)
- 查看答案