某互联网企业开发了一个大型电子商务平台,平台主要功能是支持注册卖家与买家的在线交易。在线交易的安全性是保证平台正常运行的重要因素,安全中心是平台中提供安全保护措施的核心系统,该系统提供的主要功能包括:
密钥管理功能,包括公钥加密体系中的公钥及私钥生成与管理,会话密钥的协商、生成、更新及分发等。
基础加解密服务,包括基于RSA、ECC及AES等多密码算法的基本加解密服务。
认证服务,提供基于PKI及用户名/口令的认证机制。
授权服务,为应用提供资源及功能的授权管理和访问控制服务。现企业测试部门拟对平台的密钥管理与加密服务系统进行安全性测试,以检验平台的安全性。
1、给出安全中心需应对的常见安全攻击手段并进行简要说明。
2、针对安全中心的安全性测试,可采用哪些基本的安全性测试方法?
3、请分别说明针对密钥管理功能进行功能测试和性能测试各自应包含的基本测试点。
4、请分别说明针对加解密服务功能进行功能测试和性能测试各自应包含的基本测试点。
正确答案及解析
正确答案
解析
1、该平台需应对的常见安全攻击手段应包括:
(1)网络侦听:指在数据通信或数据交互的过程中,攻击者对数据进行截取分析,从而实现对包括用户支付账号及口令数据的非授权获取和使用。
(2)冒充攻击:攻击者采用口令猜测、消息重演与篡改等方式,伪装成另一个实体,欺骗安全中心的认证及授权服务,从而登录系统,获取对系统的非授权访问。
(3)拒绝服务攻击:攻击者通过对网络协议的实现缺陷进行故意攻击,或通过野蛮手段耗尽被攻击对象的资源,使电子商务平台中包括安全中心在内的关键服务停止响应甚至崩溃,从而使系统无法提供正常的服务或资源访问。
(4)Web安全攻击:攻击者通过跨站脚本或SQL注入等攻击手段,在电子商务平台系统网页中植入恶意代码或在表单中提交恶意SQL命令,从而旁路系统正常访问控制或恶意盗取用户信息。
2、可采用的基本安全性测试方法包括:
(1)功能验证:采用软件测试中的黑盒测试方法,对安全中心提供的密钥管理、加解密服务、认证服务以及授权服务进行功能测试,验证所提供的相应功能是否有效。
(2)漏洞扫描:借助于特定的漏洞扫描工具,对安全中心本地主机、网络及相应功能模块进行扫描,发现系统中存在的安全性弱点及安全漏洞,从而在安全漏洞造成严重危害之前,发现并加以防范。
(3)模拟攻击试验:模拟攻击试验是一组特殊的黑盒测试案例,通过模拟典型的安全攻击来验证安全中心的安全防护能力。
(4)侦听测试:通过典型的网络数据包获取技术,在系统数据通信或数据交互的过程中,对数据进行截取分析,从而发现系统在防止敏感数据被窃取方面的安全防护能力。
3、密钥管理功能的基本测试点:
(1)功能测试
①系统是否具备密钥生成、密钥发送、密钥存储、密钥查询、密钥撤销、密钥恢复等基本功能;
②密钥库管理功能是否完善;
③密钥管理中心的系统、设备、数据、人员等安全管理是否严密;
④密钥管理中心的审计、认证、恢复、统计等系统管理是否具备;
⑤密钥管理系统与证书认证系统之间是否采用基于身份认证的安全通信协议。
(2)性能测试
①检查证书服务器的处理性能是否具备可伸缩配置及扩展能力利用并发压力测试工具测试受理点连接数、签发在用证书数目、密钥发放并发请求数是否满足业务需求;
②测试是否具备系统所需最大量的密钥生成、存储、传送、发布、归档等密钥管理功能;
③是否支持密钥用户要求年限的保存期;
④是否具备异地容灾备份;
⑤是否具备可伸缩配置及扩展能力;
⑥关键部分是否采用双机热备和磁盘镜像。
4、加解密服务功能的基本测试点:
(1)功能测试
①系统是否具备基础加解密功能;
②能否为应用提供相对稳定的统一安全服务接口;
③能否提供对多密码算法的支持;
④随着业务量的逐渐增加,是否可以灵活增加密码服务模块,实现性能平滑扩展。
(2)性能测试
①各加密算法使用的密钥长度是否达到业内安全的密钥长度;
②RSA、ECC等公钥算法的签名和验证速度以及AES等对称密钥算法的加解密速度是否满足业务要求;
③处理性能如公钥密码算法签名等是否具备可扩展能力。
软件系统的安全性是信息安全的一个重要组成部分,对于在线交易业务来说,安全性更是保证系统正常运行的重要因素,针对安全中心安全保护措施的测试是检验安全中心可用性的主要手段,本题考查对安全保护措施进行安全性测试的相关知识。
第一小题考查考生对常见安全攻击手段的了解。在解答本问题时,应结合电子商务平台的业务特征及题目中给出的安全中心主要功能,给出需应对的常见安全攻击手段。该平台需应对的常见安全攻击手段应包括: (1)网络侦听:指在数据通信或数据交互的过程中,攻击者对数据进行截取分析,从而实现对包括用户支付账号及口令数据的非授权获取和使用。
(2)冒充攻击:攻击者采用口令猜测、消息重演与篡改等方式,伪装成另一个实体,欺骗安全中心的认证及授权服务,从而登录系统,获取对系统的非授权访问。
(3)拒绝服务攻击:攻击者通过对网络协议的实现缺陷进行故意攻击,或通过野蛮手段耗尽被攻击对象的资源,使电子商务平台中包括安全中心在内的关键服务停止响应甚至崩溃,从而使系统无法提供正常的服务或资源访问。
(4)Web安全攻击:攻击者通过跨站脚本或SQL注入等攻击手段,在电子商务平台系统网页中植入恶意代码或在表单中提交恶意SQL命令,从而旁路系统正常访问控制或恶意盗取用户信息。
第二小题考查考生对安全测试基本方法的理解。在解答本问题时,应针对电子商务平台的业务特征及题目中给出的安全中心主要功能,给出相应的安全性测试方法。针对安全中心的安全性测试,可采用的基本安全性测试方法包括:
(1)功能验证:采用软件测试中的黑盒测试方法,对安全中心提供的密钥管理、加解密服务、认证服务以及授权服务进行功能测试,验证所提供的相应功能是否有效。
(2)漏洞扫描:借助于特定的漏洞扫描工具,对安全中心本地主机、网络及相应功能模块进行扫描,发现系统中存在的安全性弱点及安全漏洞,从而在安全漏洞造成严重危害之前,发现并加以防范。
(3)模拟攻击试验:模拟攻击试验是一组特殊的黑盒测试案例,通过模拟典型的安全攻击来验证安全中心的安全防护能力。
(4)侦听测试:通过典型的网络数据包获取技术,在系统数据通信或数据交互的过程中,对数据进行截取分析,从而发现系统在防止敏感数据被窃取方面的安全防护能力。
第三小题考查密钥管理功能安全测试内容的相关知识。
按题目描述,密钥管理功能包括公钥加密体系中的公钥及私钥生成与管理,会话密钥的协商、生成、更新及分发等,因此密钥管理功能的安全测试应涵盖相应主要功能的测试,此外,对于本系统还应进行相应的性能测试。
功能测试的基本测试点包括系统是否制定了密钥管理策略;系统是否具备密钥生成、密钥发送、密钥存储、密钥查询、密钥撤销、密钥恢复等基本功能;密钥库管理功能是否完善;密钥管理中心的系统、设备、数据、人员等安全管理是否严密;密钥管理中心的审计、认证、恢复、统计等系统管理是否具备;密钥管理系统与证书认证系统之间是否采用基于身份认证的安全通信协议等。性能测试的基本测试点包括利用并发压力测试工具测试受理点连接数、签发在用证书数目、密钥发放并发请求数是否满足业务需求;测试是否具备系统所需最大量的密钥生成、存储、传送、发布、归档等密钥管理功能;是否支持密钥用户要求年限的保存期;是否具备异地容灾备份;是否具备可伸缩配置及扩展能力;关键部分是否采用双机热备和磁盘镜像等。
第四小题考查加解密服务功能安全测试内容的相关知识。
按题目描述,加解密服务功能包括基于RSA、ECC及AES等多密码算法的基本加解密服务,因此加解密服务功能的安全测试应涵盖基本加解密算法相应的功能测试与性能测试。
功能测试的基本测试点包括系统是否具备基础加解密功能;能否为应用提供相对稳定的统一安全服务接口;能否提供对多密码算法的支持;随着业务量的逐渐增加,是否可以灵活增加密码服务模块,实现性能平滑扩展等。性能测试的基本测试点包括各加密算法使用的密钥长度是否达到业内安全的密钥长度;RSA、ECC等公钥算法的签名和验证速度以及AES等对称密钥算法的加解密速度是否满足业务要求;处理性能如公钥密码算法签名等是否具备可扩展能力等。
你可能感兴趣的试题
Advancements in ( )have contributed to the growth of the automotive industry through the creation and evolution of self-driving vehicles.
-
- A.Artificial Intelligence
- B.Cloud Computing
- C.Internet of Things
- D.Big Data
- 查看答案
In project human resource management , ( )is not a source of power for the project manager.
-
- A.referent power
- B.expert power
- C.reward power
- D.audit power
- 查看答案
At the project establishment stage , the feasibility study mainly includes techinical feasibility analysis , ( ), operation environment feasibility analysis and other aspects of feasibility analysis.
-
- A.detail feasibility analysis
- B.opportunity analysis
- C.economic feasibility analysis
- D.risk analysis
- 查看答案
( )is a grid that shows the project resources assigned to each work package.
-
- A.Stakeholder engagement assessment matrix
- B.Requirements traceability matrix
- C.Probability and impact matrix
- D.Responsibility assignment matrix
- 查看答案
Xinhua News Agency reported in January 2022,Chian will further promote the developmet of a digital economy during the 14th Five-Year Plan eriod(2021-2025). The plan also emphasized industrial ( )transformation.
-
- A.digital
- B.networking
- C.intelligentize
- D.informatization
- 查看答案