B.B.承建
C.C.安全测试
D.D.网络接口
第2题
阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。
【说明】
某企业为防止自身信息资源的非授权访问,建立了如图4-1所示的访问控制系统。
该系统提供的主要安全机制包括:
(1) 认证:管理企业的合法用户,验证用户所宣称身份的合法性,该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制;
(2) 授权:赋予用户访问系统资源的权限,对企业资源的访问请求进行授权决策;
(3) 安全审计:对系统记录与活动进行独立审查,发现访问控制机制中的安全缺陷,提出安全改进建议。
【问题1】 (6分)
对该访问控制系统进行测试时,用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面?每个方面具体的测试内容又有哪些?
【问题2】(3分)
测试过程中需对该访问控制系统进行模拟攻击试验,以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击,并简要说明模拟攻击的基本原理。
【问题3】(3分)
对该系统安全审计功能设计的测试点应包括哪些?
第3题
阅读以下说明,回答问题 1 至问题4,将解答填入答题纸的对应栏内。
【说明】
某企业委托软件公司设计企业管理系统,该系统涉及企业的许多商业机密,对软件安全性、可靠性、易用性等方面提出了较高的要求。
【问题 1】(3 分)
为了达到预期的安全性,测试人员采用了静态代码安全测试、动态渗透测试、程序数据扫描三种方法对系统进行安全性测试。
其中,
(1) 对应用系统进行攻击性测试,从中找出系统运行时所存在的安全漏洞;
(2) 在早期的代码开发阶段完成;
(3) 通过内存测试来发现缓冲区溢出类的漏洞。
【问题 2】(6 分)
为了方便用户使用本系统,测试人员对软件的易用性进行了测试。功能易用性测试是软件易用性测试的一个方面,它包括业务符合性、功能定制性、业务模块的集成度、数据共享能力、约束性、交互性和错误提示等。
其中, (
4) 是测试界面风格、表格设计、数据加密机制等是否符合相关的法律法
规及使用人员的习惯;
(5) 是测试数据库表的关联和数据重用程度;
(6) 是测试关
键操作前是否有明确提示。
(4)~(6)的备选答案:
A.业务符合性测试 B.业务模块的集成度测试 C.约束性测试
D.功能定制性测试 E.数据共享能力 F.错误提示测试
【问题 3】(3 分)
为了验证系统的可恢复性,测试人员从自动恢复和人工恢复两个方面着手测试。自动恢复需验证数据恢复、 (7) 和 (8) 等机制的正确性;需人工干预的系统恢复还需 (9) ,确定其是否在可接受的范围内。
(7)~(9)的备选答案:
A.重新初始化 B.数据备份 C.重新启动
D.关闭系统 E.界面刷新 F.估计平均修复时间
G.估计平均故障时间
【问题 4】(3 分)
技术员小张选择以下三个实例对系统进行测试:
A.输入错误的密码
B.手工拔下客户端的网线,在许可的时间范围内再插上
C.关闭服务器电源,判断备份机器是否能够正常启动
其中, (10) 进行的是可恢复性测试; (11) 进行的是安全测试; (12) 进行的是故障转移测试。
第9题
B.运行方式
C.部署方式
D.系统性能
第10题
A. 应委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告;
B. 在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告;
C. 应指定或授权专门的部门负责系统测试验收的管理,并按照管理规定的要求完成系统测试验收工作;
D. 应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。
为了保护您的账号安全,请在“上学吧”公众号进行验证,点击“官网服务”-“账号验证”后输入验证码“”完成验证,验证成功后方可继续查看答案!