给出安全中心需应对的常见安全攻击手段并进行简要说明。

使用微信搜索喵呜刷题，轻松应对考试！

答案：

14、该平台需应对的常见安全攻击手段应包括：
(1)网络侦听：指在数据通信或数据交互的过程中，攻击者对数据进行截取分析，从而实现对包括用户支付账号及口令数据的非授权获取和使用。
(2)冒充攻击：攻击者采用口令猜测、消息重演与篡改等方式，伪装成另一个实体，欺骗安全中心的认证及授权服务，从而登录系统，获取对系统的非授权访问。
(3)拒绝服务攻击：攻击者通过对网络协议的实现缺陷进行故意攻击，或通过野蛮手段耗尽被攻击对象的资源，使电子商务平台中包括安全中心在内的关键服务停止响应甚至崩溃，从而使系统无法提供正常的服务或资源访问。
(4)Web安全攻击：攻击者通过跨站脚本或SQL注入等攻击手段，在电子商务平台系统网页中植入恶意代码或在表单中提交恶意SQL命令，从而通过系统正常访问控制或恶意盗取用户信息。　　
15、可采用的基本安全性测试方法包括：
(1)功能验证：采用软件测试中的黑盒测试方法，对安全中心提供的密钥管理、加解密服务、认证服务以及授权服务进行功能测试，验证所提供的相应功能是否有效。
(2)漏洞扫描：借助于特定的漏洞扫描工具，对安全中心本地主机、网络及相应功能模块进行扫描，发现系统中存在的安全性弱点及安全漏洞，从而在安全漏洞造成严重危害之前，发现并加以防范。
(3)模拟攻击试验：模拟攻击试验是一组特殊的黑盒测试案例，通过模拟典型的安全攻击来验证安全中心的安全防护能力。
(4)侦听测试：通过典型的网络数据包获取技术，在系统数据通信或数据交互的过程中，对数据进行截取分析，从而发现系统在防止敏感数据被窃取方面的安全防护能力。　　
16、密钥管理功能的基本测试点：
(1)功能测试
①系统是否具备密钥生成、密钥发送、密钥存储、密钥查询、密钥撤销、密钥恢复等基本功能；
②密钥库管理功能是否完善；
③密钥管理中心的系统、设备、数据、人员等安全管理是否严密；
④密钥管理中心的审计、认证、恢复、统计等系统管理是否具备；
⑤密钥管理系统与证书认证系统之间是否采用基于身份认证的安全通信协议。
(2)性能测试
①检查证书服务器的处理性能是否具备可伸缩配置及扩展能力利用并发压力测试工具测试受理点连接数、签发在用证书数目、密钥发放并发请求数是否满足业务需求；
②测试是否具备系统所需最大量的密钥生成、存储、传送、发布、归档等密钥管理功能；
③是否支持密钥用户要求年限的保存期；
④是否具备异地容灾备份；
⑤是否具备可伸缩配置及扩展能力；
⑥关键部分是否采用双机热备和磁盘镜像。　　
17、加解密服务功能的基本测试点：
(1)功能测试
①系统是否具备基础加解密功能；
②能否为应用提供相对稳定的统一安全服务接口；
③能否提供对多密码算法的支持；
④随着业务量的逐渐增加，是否可以灵活增加密码服务模块，实现性能平滑扩展。
(2)性能测试
①各加密算法使用的密钥长度是否达到业内安全的密钥长度；
②RSA、ECC等公钥算法的签名和验证速度以及AES等对称密钥算法的加解密速度是否满足业务要求；
③处理性能如公钥密码算法签名等是否具备可扩展能力。

解析：

本题考查了关于安全保护措施进行安全性测试的相关知识。对于第一小题，需要了解常见安全攻击手段，结合电子商务平台的业务特征和安全中心的主要功能给出答案。对于第二小题，针对安全中心的安全性测试，采用基本的安全性测试方法，结合电子商务平台的业务特征和安全中心的主要功能进行解答。对于第三和第四小题，需要分别针对密钥管理功能和加解密服务功能的安全测试内容，结合题目描述和相关知识进行解答。

给出安全中心需应对的常见安全攻击手段并进行简要说明。

答案：

解析：

最热门资讯

JAVA工程师面试指导--猎头内部资料

常见面试问题100问！