2. 计算机
  3. 阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。 【说明】 某企业为防止自身信息资源的非授权访问,建立了如图4-1所示的访问控制系统。 该系统提供的主要安全机制包括: (1)认证:管理企业的合法用户,验证用户

阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。 【说明】 某企业为防止自身信息资源的非授权访问,建立了如图4-1所示的访问控制系统。 该系统提供的主要安全机制包括: (1)认证:管理企业的合法用户,验证用户

admin2013-01-19  85
问题 阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。
【说明】
    某企业为防止自身信息资源的非授权访问,建立了如图4-1所示的访问控制系统。
   
    该系统提供的主要安全机制包括:
    (1)认证:管理企业的合法用户,验证用户所宣称身份的合法性,该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制;
    (2)授权:赋予用户访问系统资源的权限,对企业资源的访问请求进行授权决策:
    (3)安全审计:对系统记录与活动进行独立审查,发现访问控制机制中的安全缺陷,提出安全改进建议。
测试过程中需对该访问控制系统进行模拟攻击试验,以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击,并简要说明模拟攻击的基本原理。
选项
答案冒充攻击:攻击者控制企业某台主机,发现其中系统服务中可利用的用户账号,进行口令猜测,从而假装成特定用户,对企业资源进行非法访问。 重演攻击(或重放攻击):攻击者通过截获含有身份鉴别信息或授权请求的有效消息,将该消息进行重演,以达到鉴别自身或获得授权的目的,实现对氽业资源的访问。 服务拒绝攻击:攻击者通过向认证服务或授权服务发送大量虚假请求,占用系统带宽并造成系统关键服务繁忙,从而使得认证授权服务功能不能正常执行,产生服务拒绝。 内部攻击:不具有相应权限的系统合法用户以非授权方式进行动作,如截获并存储其他业务部门的网络数据流,或对系统访问控制管理信息进行攻击以获得他人权限等。 以上攻击,任给出3种即可。
解析 本问题考查针对特定系统的模拟攻击实验设计。模拟攻击试验是一组特殊的墨盒测试安全,相关模拟攻击实验的设计应结合应用具体的安全机制及特点。针对系统的身份认证机制,可设计冒充攻击试验;针对系统用于认证及授权决策的网络消息,可设计重演攻击试验;针对系统关键核心安全模块,可设计服务拒绝攻击试验;由于系统运行时涉及各种内部用户,因此安全测试需验证系统防范内部用户的安全攻击,因此可设计内部攻击实验。
转载请注明原文地址:https://kaotiyun.com/show/37WZ777K
本试题收录于: 软件评测师下午应用技术考试题库软考中级分类
0

软件评测师下午应用技术考试

软考中级

相关试题推荐
随机试题
最新回复(0)