关于企业访问控制系统的测试问题

12、两个方面:
①评价用户权限控制的体系合理性，是否采用三层的管理模式即系统管理员、业务领导和操作人员三级分离；
②用户名称基本采用中文和英文两种，对于测试来说，对于用户名称的测试关键在于测试用户名称的唯一性。
用户名称的唯一性体现有哪些方面？
●同时存在的用户名称在不考虑大小的状态下，不能够同名；
●对于关键领域的软件产品和安全要求较高的软件，应当同时保证使用过的用户在用户删除或停用后，保留该用户记录，并且新用户不得与之同名。　　
13、模拟攻击试验：对于安全测试来说，模拟攻击试验是一组特殊的黑盒测试案例，我们以模拟攻击验证软件或信息的安全防护能力。可采用冒充、重演、消息篡改、服务拒绝、内部攻击、外部攻击、陷阱门、特洛伊木马方法进行测试。
泪滴(teardrop)。泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP(包括service pack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。防御措施有服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。
口令猜测。一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户账号，然后因为使用简单的密码或者没有设密码，导致黑客能很快的将口令猜出。当然事实上用蛮力是可以破解任何密码的，关键是是否迅速，设置的密码是否能导致黑客花很大的时间和效率成本。防御措施有要选用难以猜测的口令，比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略，就进行锁定。
伪造电子邮件。由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的链接。防御措施有使用PGP等安全工具并安装电子邮件证书。　　 14、对该系统安全审计功能设计的测试点应包括:
①能否进行系统数据收集，统一存储，集中进行安全审计；
②是否支持基于PKI的应用审计；
③是否支持基于XML的审计数据采集协议；
④是否提供灵活的自定义审计规则。

问题1的解答中，用户权限控制的测试确实包含体系合理性和用户名称唯一性两个方面。体系合理性主要测试系统的管理层次和分工是否明确；用户名称的唯一性则关注在同一时间内是否存在重复的用户名称，以及删除或停用用户后是否保证用户名称的唯一性。

问题2的解答中，模拟攻击试验是针对系统的安全防护能力进行的测试。泪滴攻击、口令猜测和伪造电子邮件是常见的针对访问控制系统的攻击方式。每种攻击方式都有其特定的原理和利用的系统漏洞。

问题3的解答中，系统安全审计功能的测试点应涵盖数据收集、存储和集中审计的能力，对PKI的支持，基于XML的审计数据采集协议的支持，以及自定义审计规则的灵活性。这些都是评估系统安全审计功能设计的重要方面。

关于企业访问控制系统的测试问题

答案：

解析：

最热门资讯

JAVA工程师面试指导--猎头内部资料

常见面试问题100问！