>>>>软件评测师培训视频

     >>>>软件评测师考试教材

     >>>>软件评测师模拟考试

     软件评测师考试属于全国计算机技术与软件专业技术资格考试中的一个中级考试。准备参加2016下半年软件评测师考试的同学们，历年软考真题是必看和必做的一个练习，做真题能提升自己的考试水平。下面希赛软考网为您提供2014年软件评测师真题，希望对大家有所帮助。

      试题四（共20分）

      阅读下列说明，回答问题l至问题3，将解答填入答题纸的对应栏内。

      【说明】

      某大型教育培训机构近期上线了在线网络学校系统，该系统拓扑结构如图4-1所示。

      企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试，系统注册用户分为网校学员、教师及管理员三类，其中网校学员采用用户名／口令机制进行认证，教师及管理员采用基于公钥的认证机制。

      【问题1】（8分）

      为防止针对网校学员的口令攻击，请从口令的强度、传输存储及管理等方面，说明可采取哪些安全防护措施。相应地，对于网校学员所采用的口令认证机制进行测试时，请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。

      【问题2】（6分）

      为提高系统认证环节安全性，系统在网校教师及管理员登录认证时引入了USB Key，请说明对公钥认证客户端进行安全测试时，USB Key的功能与性能测试应包含哪些基本的测试点。

      【问题3】（6分）

      系统证书服务器主要提供证书审核注册管理及证书认证两项功能，根据系统实际情况，目前只设置人员证书，请说明针对证书服务器的功能与性能测试应包含哪些基本的测试点。

      参考答案：

      【问题1】：

      通过安全策略设置密码的最小长度，设置口令锁定，使用通信加密技术，对存储在数据库中的数据进行加密、设置访问控制等

      对于用户名称的测试关键在于测试用户名称的惟一性：

      1.同时存在的用户名称在不考虑大小写的状态下，不能同名

      2.对于关键领域的软件产品和安全性要求较高的软件，应当同时保证使用过的的用户在用户删除或停用后，保留该用户记录，并且新用户不得与该用户同名

      测试用户口令的强度和口令存储的位置和加密强度：

      1.最大口令时效

      2.最小口令时效

      3.口令历史

      4.最小口令长度

      5.口令复杂度

      6.加密选项

      7.口令锁定

      8.账户复位

      【问题2】：

      功能测试：

      是否具备基础加/解密服务功能

      能否为应用提供相对稳定的统一安全服务接口

      能否提供对多密码算法的支持

      随着业务量的逐渐增加，是否可以灵活地增加密码服务模块，实现性能平滑扩展，且不影响上层的应用系统

      性能测试：

      RSA算法密钥长度能否达到1024~2048位，ECC算法密钥长度能否达到192位

      如果有必要进行系统速度测试，对应用层的客户端密码设备测试项：公钥密码算法签名速度、公钥密码算法验证速度、对称密钥密码算法加/解密速度，验证是否满足需求

      处理性能如公钥密码算法签名等是否具有扩展能力

      【问题3】：

      对证书业务服务系统的功能测试：

      1.证书认证系统是否采用国际密码主管部门审批的签名算法完成签名操作，是否提供证书的签发和管理、证书撤销列表的签发和管理、证书/证书撤销列表的发布以及证书审核注册中心的设立、审核及管理等功能

      2.按使用对象分类，系统是否能提供人员证书、设备证书、机构证书三种类型的证书

      3.是否可以提供加密证书和签名证书

      4.数字证书格式是否采用X.509 V4

      5.系统是否提供证书申请、身份审核、证书下载等服务功能

      6.证书申请、身份审核、证书下载等服务是否都可采用在线或离线两种方式

      7.系统是否提供证书认证策略及操作策略管理、自身证书安全管理等证书管理服务

      证书业务服务系统性能测试：

      1.检查证书业务服务系统设计的处理性能是否具备可伸缩配置及扩展的能力

      2.关键部分是否采用双机热备份和磁盘镜像

      3.是否满足系统的不间断运行、在线故障修复和在线系统升级

      4.是否满足需求说明中预测的最大数量用户正常访问的需求，并且，是否有3~4倍的冗余，如有必要，需要测试系统的并发压力承受能力。

      试题分析：

      【问题1】

      口令攻击目前常见的方式有：社会工程学；暴力破解；弱口令扫描；密码监听等，对于网校网站针对社会工程学方面仅能友善提醒相关人员保护密码；对于密码监听，可以采用通信加密的方式来从技术方面进行一定的保护；对于弱口令扫描，可以通过配置安全策略让用户设置一个安全密码，避免设置弱密码，增加口令破解的难度，同时设置密码锁定策略，可以有效的方式密码扫描和暴力破解；对于存储在数据库服务器中的用户密码则可以通过加密方式和数据库的访问控制来保证密码存储的安全

      对于用户名称的测试关键在于测试用户名称的性。性的体现基本基于以下两个方面：

      1）同时存在的用户在不考虑大小写的状态下，不能够同名

      2）对于关键领域的软件产品和安全性要求较高的软件，应当同时保证使用过的用户在用户删除或停用后，保留该用户记录，并且新用户不得与该用户同名

      用户口令应当满足当前流行的控制模式，注意测试用户口令的强度和口令存储的位置和加密强度：

      最大口令时效

      最小口令时效

      口令历史

      最小口令长度

      口令复杂度

      加密选项

      口令锁定

      账户复位

      【问题2】

      本题引入USB-Key认证方式，该认证采用的是PKI认证方式，测试是对USB-Key相关的公钥客户进行的功能和性能测试，对于公钥功能和性能进行测试主要包括如下内容：

      功能测试：

      是否具备基础加/解密服务功能

      能否为应用提供相对稳定的统一安全服务接口能否提供对多密码算法的支持随着业务量的逐渐增加，是否可以灵活地增加密码服务模块，实现性能平滑扩展，且不影响上层的应用系统

      性能测试：

      RSA算法密钥长度能否达到1024~2048位，ECC算法密钥长度能否达到192位

      如果有必要进行系统速度测试，对应用层的客户端密码设备测试项：公钥密码算法签名速度、公钥密码算法验证速度、对称密钥密码算法加/解密速度，验证是否满足需求处理性能如公钥密码算法签名等是否具有扩展能力

      【问题3】

      对证书业务服务系统的功能测试：

      证书认证系统是否采用国际密码主管部门审批的签名算法完成签名操作，是否提供证书的签发和管理、证书撤销列表的签发和管理、证书/证书撤销列表的发布以及证书审核注册中心的设立、审核及管理等功能按使用对象分类，系统是否能提供人员证书

      是否可以提供加密证书和签名证书数字证书格式是否采用X.509 V4

      系统是否提供证书申请、身份审核、证书下载等服务功能

      证书申请、身份审核、证书下载等服务是否都可采用在线或离线两种方式系统是否提供证书认证策略及操作策略管理、自身证书安全管理等证书管理服务

      证书业务服务系统性能测试：

      检查证书业务服务系统设计的处理性能是否具备可伸缩配置及扩展的能力

      关键部分是否采用双机热备份和磁盘镜像

      是否满足系统的不间断运行、在线故障修复和在线系统升级

      是否满足需求说明中预测的最大数量用户正常访问的需求，并且，是否有3~4倍的冗余，如有必要，需要测试系统的并发压力承受能力。

    返回总目录：2014年软件评测师考试下午真题加答案解析汇总

    希赛软考网，拥有十四年软考培训经验，希赛网一直坚持自主研发，将丰富的软考培训经验有效融入教程研发过程，自成体系的软考在线题库（软考历年真题）、软考培训教材和软考视频教程，多样的培训方式包括在线辅导、面授、和，使考生的学习更具系统性，辅导更具针对性。采用全程督学机制，，软考平均通过率在全国。