软考真题
首页
题库
登录
第4题
某企业为防止自身信息资源的非授权访问,建立了如图4-1所示的访问控制系统。
(1) 认证:管理企业的合法用户,验证用户所宣称身份的合法性,该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制;
(2) 授权:赋予用户访问系统资源的权限,对企业资源的访问请求进行授权决策;
(3) 安全审计:对系统记录与活动进行独立审查,发现访问控制机制中的安全缺陷,提出安全改进建议。
【问题:4.1】对该访问控制系统进行测试时,用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面?每个方面具体的测试内容又有哪些?
【问题:4.2】测试过程中需对该访问控制系统进行模拟攻击试验,以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击,并简要说明模拟攻击的基本原理。
【问题:4.3】对该系统安全审计功能设计的测试点应包括哪些?
2012年 下半年 下午试卷 案例
正确答案:
你的答案:
上一题
下一题
请先在App中激活(应用市场搜“软考真题”)
知识点:
试卷:
2012年 下半年 下午试卷 案例
标签:
协议
管理员
认证服务
数据采集
身份认证
攻击
访问控制
加密
XML
安全测试
系统管理
内部攻击
数据
数据流
合法性
重放攻击
测试
测试过程
带宽
自定义
非授权访问
支持
合理性
模块
用户
PKI
系统安全
测试点
系统资源
数据收集
功能设计
管理信息
网络
实验设计
安全
内容
访问控制机制
控制系统
信息资源
软件系统
用户名
软件
安全审计
管理模式
身份鉴别
系统管理员
唯一性
数字证书
消息
功能
笔记
提交
答题卡
加油
计算器
纠错
草稿纸
得分:0
1
2
3
4
5