2014年软件评测师考试下午真题加答案解析(四)

2014年软件评测师考试下午真题加答案解析(四)

ID:27398493

大小:652.00 KB

页数:13页

时间:2018-12-03

2014年软件评测师考试下午真题加答案解析(四)_第1页
2014年软件评测师考试下午真题加答案解析(四)_第2页
2014年软件评测师考试下午真题加答案解析(四)_第3页
2014年软件评测师考试下午真题加答案解析(四)_第4页
2014年软件评测师考试下午真题加答案解析(四)_第5页
资源描述:

《2014年软件评测师考试下午真题加答案解析(四)》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、软件评测师http://www.educity.cn/rk/test/index.html2014年软件评测师考试下午真题加答案解析(三)2016年下半年软件评测师考试即将于11月12日进行,准备参加2017上半年软件评测师考试的同学们,历年软考真题是否是你特别想要的学习资料?下面希赛软考学院为您提供2014软件评测师下午真题,希望对大家有所帮助。试题四(共20分)阅读下列说明,回答问题l至问题3,将解答填入答题纸的对应栏内。【说明】某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图4-1所示。软件评测师http://www.educity.cn/rk/test/in

2、dex.html企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。【问题1】(8分)为防止针对网校学员的口令攻击,请从口令的强度、传输存储及管理等方面,说明可采取哪些安全防护措施。相应地,对于网校学员所采用的口令认证机制进行测试时,请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。【问题2】(6分)为提高系统认证环节安全性,系统在网校教师及管理员登录认证时引入了USBKey,请说明对公钥认证客户端进行安全测试时,USBKey的功能与性

3、能测试应包含哪些基本的测试点。【问题3】(6分)系统证书服务器主要提供证书审核注册管理及证书认证两项功能,根据系统实际情况,目前只设置人员证书,请说明针对证书服务器的功能与性能测试应包含哪些基本的测试点。参考答案:【问题1】:通过安全策略设置密码的最小长度,设置口令锁定,使用通信加密技术,对存储在数据库中的数据进行加密、设置访问控制等对于用户名称的测试关键在于测试用户名称的惟一性:1.同时存在的用户名称在不考虑大小写的状态下,不能同名2.对于关键领域的软件产品和安全性要求较高的软件,应当同时保证使用过的的用户在用户删除或停用后,保留该用户记录,并且新用户不得与该用户同名软件评测师h

4、ttp://www.educity.cn/rk/test/index.html测试用户口令的强度和口令存储的位置和加密强度:1.最大口令时效2.最小口令时效3.口令历史4.最小口令长度5.口令复杂度6.加密选项7.口令锁定8.账户复位【问题2】:功能测试:是否具备基础加/解密服务功能能否为应用提供相对稳定的统一安全服务接口能否提供对多密码算法的支持随着业务量的逐渐增加,是否可以灵活地增加密码服务模块,实现性能平滑扩展,且不影响上层的应用系统性能测试:RSA算法密钥长度能否达到1024~2048位,ECC算法密钥长度能否达到192位如果有必要进行系统速度测试,对应用层

5、的客户端密码设备测试项:公钥密码算法签名速度、公钥密码算法验证速度、对称密钥密码算法加/解密速度,验证是否满足需求软件评测师http://www.educity.cn/rk/test/index.html处理性能如公钥密码算法签名等是否具有扩展能力【问题3】:对证书业务服务系统的功能测试:1.证书认证系统是否采用国际密码主管部门审批的签名算法完成签名操作,是否提供证书的签发和管理、证书撤销列表的签发和管理、证书/证书撤销列表的发布以及证书审核注册中心的设立、审核及管理等功能2.按使用对象分类,系统是否能提供人员证书、设备证书、机构证书三种类型的证书3.是否可以提供加

6、密证书和签名证书4.数字证书格式是否采用X.509V45.系统是否提供证书申请、身份审核、证书下载等服务功能6.证书申请、身份审核、证书下载等服务是否都可采用在线或离线两种方式7.系统是否提供证书认证策略及操作策略管理、自身证书安全管理等证书管理服务证书业务服务系统性能测试:1.检查证书业务服务系统设计的处理性能是否具备可伸缩配置及扩展的能力2.关键部分是否采用双机热备份和磁盘镜像3.是否满足系统的不间断运行、在线故障修复和在线系统升级4.是否满足需求说明中预测的最大数量用户正常访问的需求,并且,是否有3~4倍的冗余,如有必要,需要测试系统的并发压力承受能力。试题分析:软件评测师h

7、ttp://www.educity.cn/rk/test/index.html【问题1】口令攻击目前常见的方式有:社会工程学;暴力破解;弱口令扫描;密码监听等,对于网校网站针对社会工程学方面仅能友善提醒相关人员保护密码;对于密码监听,可以采用通信加密的方式来从技术方面进行一定的保护;对于弱口令扫描,可以通过配置安全策略让用户设置一个安全密码,避免设置弱密码,增加口令破解的难度,同时设置密码锁定策略,可以有效的方式密码扫描和暴力破解;对于存储在数据库服务器中的用户密码则

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。