某互联网企业开发了一个大型电子商务平台,平台主要功能是支持注册卖家与买家的在线交易。在线交易的安全性是保证平台上正常运行的重要因素,安全中心是平台上提供安全保护措施的核心系统 ,该系统的主要功能包括:
(1)密钥管理功能,包括公钥加密体系中的公钥及私钥生成与管理,会话密的协商、生成、更新及分发等。
(2)基础加解密服务,包括基于RSA、ECC及AES 等多密码算法的期本加解密服务。
(3)认证服务,提供基于PKI及用户名/口令的认证机制。
(4)授权服务,为应用提供资源及功能的授权管理和访问控制服务。
现企业测试部门拟对平台的密钥管理与加密服务系统进行安全性测试,以检验平台的安全性。
【问题1】(4分)
给出安全中心需应对的常见安全攻击手段并简要说明。
【问题2】(6分)
针对安全中心的安全性测试,可采用哪些基本的安全性测试方法
【问题3】(5分)
请分别说明针对密钥管理功能进行功能测试和性能测试各自应包含的基本测试点。
【问题4】(5分)
请分别说明针对加解密服务功能进行功能测试和性能测试各自应包含的基本测试点。
正确答案及解析
正确答案
解析
【问题1】
冒充:就是一个实体假装成一个不同的实体。常与主动攻击形式一起使用,特别是消息的重演与篡改。
重演:当一个消息或部分消息为了产生非授权效果而被重复时,出现重演。
消息篡改:数据所传送的内容被改变而未被发觉,并导致非授权后果。
服务拒绝:当一个实体不能执行它的正常功能,或它的动作妨碍了别的实体执行它们的正常功能的时候,便发生服务拒绝。
【问题2】
功能验证
漏洞扫描
模拟攻击试验
侦听技术
【问题3】
功能测试:
是否制定了密钥管理策略
是否具备密钥生成、密钥发送、密钥存储、密钥查询、密钥撤销、密钥恢复等基本功能
密钥库管理功能是否完善
密钥管理中心的系统、设备、数据、人员等安全管理是否严密
密钥管理中心的审计、认证、恢复、统计等系统管理是否具备
密钥管理系统与证书认证系统之间是否采用基于身份认证的安全通信协议
性能测试:
针对按实际需要配置密钥管理系统,利用企业级的并发压力测试工具测试受理点连接数、签发在用证书数目、密钥发放并发请求数是否满足基本业务需求。
测试是否具备系统所需最大量的密钥生成、存储、传送、发布、归档等密钥管理功能。
测试是否支持密钥5年(或用户要求的年限)保存期。
是否具备异地容灾备份。
是否具备可伸缩配置及扩展能力。
关键部分是否采用双机热备份和磁盘镜像。
【问题4】
功能测试:
是否具备基础加/解密服务功能。
能否为应用提供相对稳定的统一安全服务接口。
能否提供对多密码算法的支持。
随着业务量的逐渐增加,是否可以灵活地增加密码服务模块,实现性能平滑扩展,且不影响上层的应用系统。
性能测试:
RSA算法密钥长度能否达到1024~2048位,ECC算法密钥长度能否达到192位。
如果有必要进行系统速度测试,对应用层的客户端密码设备测试项:公钥密码算法签名速度、公钥密码算法验证速度、对称密钥密码算法加/解密速度,验证是否满足需求。
处理性能如公钥密码算法签名等是否具有扩展能力。
包含此试题的试卷
你可能感兴趣的试题
-
- A.V(S2)和P(S4)
- B.P(S2)和V(S4)
- C.P(S2)和P(S4)
- D.V(S2)和V(S4)
- 查看答案
-
- A.V(S1)P(S2)和V(S3)
- B.P(S1)V(S2)和V(S3)
- C.V(S1)V(S2)和V(S3)
- D.P(S1)P(S2)和V(S3)
- 查看答案
-
- A.P(S4)和V(S4)V(S5)
- B.V(S5)和P(S4)P(S5)
- C.V(S3)和V(S4)V(S5)
- D.P(S3)和P(S4)V(P5)
- 查看答案
-
- A.P(S3)和V(S4)V(S5)
- B.V(S3)和P(S4)P(S5)
- C.P(S3)和P(S4)P(S5)
- D.V(S3)和V(S4)V(S5)
- 查看答案
-
- A.P(S2)和P(S4)
- B.P(S2)和V(S4)
- C.V(S2)和P(S4)
- D.V(S2)和V(S4)
- 查看答案