首页
外语
计算机
考研
公务员
职业资格
财经
工程
司法
医学
专升本
自考
实用职业技能
登录
计算机
阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。 【说明】 某互联网企业开发了一个大型电子商务平台,平台主要功能是支持注册卖家与买家的在线交易。在线交易的安全性是保证平台正常运行的重要因素,安全中心是平台中提供安全保护措施的核
阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。 【说明】 某互联网企业开发了一个大型电子商务平台,平台主要功能是支持注册卖家与买家的在线交易。在线交易的安全性是保证平台正常运行的重要因素,安全中心是平台中提供安全保护措施的核
admin
2016-11-13
31
问题
阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】
某互联网企业开发了一个大型电子商务平台,平台主要功能是支持注册卖家与买家的在线交易。在线交易的安全性是保证平台正常运行的重要因素,安全中心是平台中提供安全保护措施的核心系统,该系统提供的主要功能包括:
(1)密钥管理功能,包括公钥加密体系中的公钥及私钥生成与管理,会话密钥的协商、生成、更新及分发等。
(2)基础加解密服务,包括基于RSA、ECC及AES等多密码算法的基本加解密服务。
(3)认证服务,提供基于PKI及用户名/口令的认证机制。
(4)授权服务,为应用提供资源及功能的授权管理和访问控制服务。
现企业测试部门拟对平台的密钥管理与加密服务系统进行安全性测试,以检验平台的安全性。
【问题1】
给出安全中心需应对的常见安全攻击手段并进行简要说明。
选项
答案
该平台需应对的常见安全攻击手段应包括: (1)网络侦听:指在数据通信或数据交互的过程中,攻击者对数据进行截取分析,从而实现对包括用户支付账号及口令数据的非授权获取和使用。 (2)冒充攻击:攻击者采用口令猜测、消息重演与篡改等方式,伪装成另一个实体,欺骗安全中心的认证及授权服务,从而登录系统,获取对系统的非授权访问。 (3)拒绝服务攻击:攻击者通过对网络协议的实现缺陷进行故意攻击,或通过野蛮手段耗尽被攻击对象的资源,使电子商务平台中包括安全中心在内的关键服务停止响应甚至崩溃,从而使系统无法提供正常的服务或资源访问。 (4)Web安全攻击:攻击者通过跨站脚本或SQL注入等攻击手段,在电子商务平台系统网页中植入恶意代码或在表单中提交恶意SQL命令,从而旁路系统正常访问控制或恶意盗取用户信息。
解析
软件系统的安全性是信息安全的一个重要组成部分,对于在线交易业务来说,安全性更是保证系统正常运行的重要因素,针对安全中心安全保护措施的测试是检验安全中心可用性的主要手段,本题考查对安全保护措施进行安全性测试的相关知识。
本问题考查考生对常见安全攻击手段的了解。在解答本问题时,应结合电子商务平台的业务特征及题目中给出的安全中心主要功能,给出需应对的常见安全攻击手段。该平台需应对的常见安全攻击手段应包括:
(1)网络侦听:指在数据通信或数据交互的过程中,攻击者对数据进行截取分析,从而实现对包括用户支付账号及口令数据的非授权获取和使用。
(2)冒充攻击:攻击者采用口令猜测、消息重演与篡改等方式,伪装成另一个实体,欺骗安全中心的认证及授权服务,从而登录系统,获取对系统的非授权访问。
(3)拒绝服务攻击:攻击者通过对网络协议的实现缺陷进行故意攻击,或通过野蛮手段耗尽被攻击对象的资源,使电子商务平台中包括安全中心在内的关键服务停止响应甚至崩溃,从而使系统无法提供正常的服务或资源访问。
(4)Web安全攻击:攻击者通过跨站脚本或SQL注入等攻击手段,在电子商务平台系统网页中植入恶意代码或在表单中提交恶意SQL命令,从而旁路系统正常访问控制或恶意盗取用户信息。
转载请注明原文地址:https://kaotiyun.com/show/77WZ777K
本试题收录于:
软件评测师下午应用技术考试题库软考中级分类
0
软件评测师下午应用技术考试
软考中级
相关试题推荐
根据软件项目的规模等级和安全性等级、软件测试可由不同机构组织实施。集成测试通常由()组织实施。
某信息系统工程对质量控制特别重视,多次召开三方会议讨论质量控制方案,建设单位、承建单位、监理单位对质量控制点的设置和处理策略产生了分歧。下列说法正确的是()。
使用不同的操作方式,灾难恢复所耗费的时间和成本有所不同。在()方式下,系统恢复所需时间最长,成本最低。
GB/T28827.1-2012《信息技术服务运行维护第1部分:通用要求》中,运行维护服务能力模型包括人员、资源、技术、过程4个关键要素,其中()属于过程要素的内容。
监理工程师对信息系统工程项目进行投资控制时,不宜采用_____________原则。
虚拟化资源是指一些可以实现一定操作具有一定功能,但其本身是(11)的资源,如计算池、存储池等,通过软件技术可实现相关的虚拟化功能包括虚拟环境、虚拟系统、虚拟平台。
招标文件要求工程的实施期限不得超过20个月,承建单位在投标书内承诺18个月竣工。施工过程中,监理工程师因变更批准顺延工期1个月;综合布线工程露天场地施工中遇到尚未达到合同约定的不可预见外界条件等级的连续降雨,监理工程师为了保证工程质量,指示该部分的施工停工
软件测试方法可分为白盒测试法和黑盒测试法。黑盒测试法可以发现的软件问题不包含()。
设计模式是面向对象的系统设计过程中反复出现的问题解决方案,其基本要素不包括_____________。
随机试题
初产妇女,正常宫缩15小时后自娩一女活婴,现胎儿娩出已10分钟,胎盘尚未娩出,无阴道流血。此时的处理下列哪项不恰当
IV型超敏反应的特征是
我国生产及使用的麻醉药品有( )。
以下关于湖泊、水库水质的取样方式正确的是()。
保险人在签发正式保险单之前而出立的临时保险凭证被称为( )。
出租固定资产的折旧额,计入到利润表中的营业成本项目中。()
某烟厂(一般纳税人)2014年9月外购烟丝,取得的增值税专用发票上注明烟丝的买价为50万元。本月生产卷烟领用80%;本期销售卷烟20箱,取得不含税收入197万元,该烟厂本月应纳消费税为()万元。
“你怎么这么懒?还不快去做作业!”属于()。
同家工商行政管理总局是国务院的()。
不允许出现重复字段值的索引是()。
最新回复
(
0
)