信息系统承建单位应严格落实内部安全测试机制，完善内部安全测试手段。在提交第三方安全测试前应进行出厂前安全测试，特殊情况下可无需提交测试报告（）

B．B.承建

C．C.安全测试

D．D.网络接口

阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。

【说明】

某企业为防止自身信息资源的非授权访问，建立了如图4-1所示的访问控制系统。

该系统提供的主要安全机制包括：

(1) 认证：管理企业的合法用户，验证用户所宣称身份的合法性，该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制；

(2) 授权：赋予用户访问系统资源的权限，对企业资源的访问请求进行授权决策；

(3) 安全审计：对系统记录与活动进行独立审查，发现访问控制机制中的安全缺陷，提出安全改进建议。

【问题1】 (6分)

对该访问控制系统进行测试时，用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面？每个方面具体的测试内容又有哪些？

【问题2】（3分）

测试过程中需对该访问控制系统进行模拟攻击试验，以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击，并简要说明模拟攻击的基本原理。

【问题3】（3分）

对该系统安全审计功能设计的测试点应包括哪些？

阅读以下说明，回答问题 1 至问题4，将解答填入答题纸的对应栏内。

【说明】

某企业委托软件公司设计企业管理系统，该系统涉及企业的许多商业机密，对软件安全性、可靠性、易用性等方面提出了较高的要求。

【问题 1】（3 分）

为了达到预期的安全性，测试人员采用了静态代码安全测试、动态渗透测试、程序数据扫描三种方法对系统进行安全性测试。

其中，

（1） 对应用系统进行攻击性测试，从中找出系统运行时所存在的安全漏洞；

（2） 在早期的代码开发阶段完成；

（3） 通过内存测试来发现缓冲区溢出类的漏洞。

【问题 2】（6 分）

为了方便用户使用本系统，测试人员对软件的易用性进行了测试。功能易用性测试是软件易用性测试的一个方面，它包括业务符合性、功能定制性、业务模块的集成度、数据共享能力、约束性、交互性和错误提示等。

其中， （

4） 是测试界面风格、表格设计、数据加密机制等是否符合相关的法律法

规及使用人员的习惯；

（5） 是测试数据库表的关联和数据重用程度；

（6） 是测试关

键操作前是否有明确提示。

（4）~（6）的备选答案：

A．业务符合性测试 B．业务模块的集成度测试 C．约束性测试

D．功能定制性测试 E．数据共享能力 F．错误提示测试

【问题 3】（3 分）

为了验证系统的可恢复性，测试人员从自动恢复和人工恢复两个方面着手测试。自动恢复需验证数据恢复、 （7） 和 （8） 等机制的正确性；需人工干预的系统恢复还需 （9） ，确定其是否在可接受的范围内。

（7）~（9）的备选答案：

A．重新初始化 B．数据备份 C．重新启动

D．关闭系统 E．界面刷新 F．估计平均修复时间

G．估计平均故障时间

【问题 4】（3 分）

技术员小张选择以下三个实例对系统进行测试：

A．输入错误的密码

B．手工拔下客户端的网线，在许可的时间范围内再插上

C．关闭服务器电源，判断备份机器是否能够正常启动

其中， （10） 进行的是可恢复性测试； （11） 进行的是安全测试； （12） 进行的是故障转移测试。

B．B.上线运行前

C．C.上线试运行前

D．D.运营单位

B．三一致

C．三对照

D．三同时

B．互控

C．他控

D．管控

B．错误

B．四不伤害

C．四个管住

D．四不放过

B．运行方式

C．部署方式

D．系统性能

A. 应委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告；

B. 在测试验收前应根据设计方案或合同要求等制订测试验收方案，在测试验收过程中应详细记录测试验收结果，并形成测试验收报告；

C. 应指定或授权专门的部门负责系统测试验收的管理，并按照管理规定的要求完成系统测试验收工作；

D. 应组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认。