对于其于用户口令的用户认证机制来说,( )不属于增强系统安全性应使用的防范措施。A.对本地存储的口令进行加密 B.在用户输入的非法口令达到规定的次数之后,禁用相应帐户 C.建议用户使用英文单词或姓名等容易记忆的口令 D.对于关键领域或安全性要求较高的系统,应该当保证用过的用户删除或停用后,保留该用户记录,且新用户不能与该用户名
题目
对于其于用户口令的用户认证机制来说,( )不属于增强系统安全性应使用的防范措施。
A.对本地存储的口令进行加密
B.在用户输入的非法口令达到规定的次数之后,禁用相应帐户
C.建议用户使用英文单词或姓名等容易记忆的口令
D.对于关键领域或安全性要求较高的系统,应该当保证用过的用户删除或停用后,保留该用户记录,且新用户不能与该用户名
B.在用户输入的非法口令达到规定的次数之后,禁用相应帐户
C.建议用户使用英文单词或姓名等容易记忆的口令
D.对于关键领域或安全性要求较高的系统,应该当保证用过的用户删除或停用后,保留该用户记录,且新用户不能与该用户名
相似考题
参考答案和解析
答案:C
解析:
更多“对于其于用户口令的用户认证机制来说,( )不属于增强系统安全性应使用的防范措施。”相关问题
-
第1题:
阅读下列说明,回答问题l至问题3,将解答填入答题纸的对应栏内。
【说明】
某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图4-1所示。
企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。
【问题1】(8分)
为防止针对网校学员的口令攻击,请从口令的强度、传输存储及管理等方面,说明可采取哪些安全防护措施。相应地,对于网校学员所采用的口令认证机制进行测试时,请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。
【问题2】(6分)
为提高系统认证环节安全性,系统在网校教师及管理员登录认证时引入了USB Key,请说明对公钥认证客户端进行安全测试时,USB Key的功能与性能测试应包含哪些基本的测试点。
【问题3】(6分)
系统证书服务器主要提供证书审核注册管理及证书认证两项功能,根据系统实际情况,目前只设置人员证书,请说明针对证书服务器的功能与性能测试应包含哪些基本的测试点。
正确答案:
参考答案:【问题1】:通过安全策略设置密码的最小长度,设置口令锁定,使用通信加密技术,对存储在数据库中的数据进行加密、设置访问控制等对于用户名称的测试关键在于测试用户名称的惟一性:1.同时存在的用户名称在不考虑大小写的状态下,不能同名2.对于关键领域的软件产品和安全性要求较高的软件,应当同时保证使用过的的用户在用户删除或停用后,保留该用户记录,并且新用户不得与该用户同名测试用户口令的强度和口令存储的位置和加密强度:1.最大口令时效2.最小口令时效3.口令历史4.最小口令长度5.口令复杂度6.加密选项7.口令锁定8.账户复位【问题2】:功能测试:是否具备基础加/解密服务功能能否为应用提供相对稳定的统一安全服务接口能否提供对多密码算法的支持随着业务量的逐渐增加,是否可以灵活地增加密码服务模块,实现性能平滑扩展,且不影响上层的应用系统性能测试:RSA算法密钥长度能否达到1024~2048位,ECC算法密钥长度能否达到192位如果有必要进行系统速度测试,对应用层的客户端密码设备测试项:公钥密码算法签名速度、公钥密码算法验证速度、对称密钥密码算法加/解密速度,验证是否满足需求处理性能如公钥密码算法签名等是否具有扩展能力【问题3】:对证书业务服务系统的功能测试:1.证书认证系统是否采用国际密码主管部门审批的签名算法完成签名操作,是否提供证书的签发和管理、证书撤销列表的签发和管理、证书/证书撤销列表的发布以及证书审核注册中心的设立、审核及管理等功能2.按使用对象分类,系统是否能提供人员证书、设备证书、机构证书三种类型的证书3.是否可以提供加密证书和签名证书4.数字证书格式是否采用X.509V45.系统是否提供证书申请、身份审核、证书下载等服务功能6.证书申请、身份审核、证书下载等服务是否都可采用在线或离线两种方式7.系统是否提供证书认证策略及操作策略管理、自身证书安全管理等证书管理服务证书业务服务系统性能测试:1.检查证书业务服务系统设计的处理性能是否具备可伸缩配置及扩展的能力2.关键部分是否采用双机热备份和磁盘镜像3.是否满足系统的不间断运行、在线故障修复和在线系统升级4.是否满足需求说明中预测的最大数量用户正常访问的需求,并且,是否有3~4倍的冗余,如有必要,需要测试系统的并发压力承受能力。试题分析:【问题1】口令攻击目前常见的方式有:社会工程学;暴力破解;弱口令扫描;密码监听等,对于网校网站针对社会工程学方面仅能友善提醒相关人员保护密码;对于密码监听,可以采用通信加密的方式来从技术方面进行一定的保护;对于弱口令扫描,可以通过配置安全策略让用户设置一个安全密码,避免设置弱密码,增加口令破解的难度,同时设置密码锁定策略,可以有效的方式密码扫描和暴力破解;对于存储在数据库服务器中的用户密码则可以通过加密方式和数据库的访问控制来保证密码存储的安全对于用户名称的测试关键在于测试用户名称的唯一性。唯一性的体现基本基于以下两个方面:1)同时存在的用户在不考虑大小写的状态下,不能够同名2)对于关键领域的软件产品和安全性要求较高的软件,应当同时保证使用过的用户在用户删除或停用后,保留该用户记录,并且新用户不得与该用户同名用户口令应当满足当前流行的控制模式,注意测试用户口令的强度和口令存储的位置和加密强度:最大口令时效最小口令时效口令历史最小口令长度口令复杂度加密选项口令锁定账户复位【问题2】本题引入USB-Key认证方式,该认证采用的是PKI认证方式,测试是对USB-Key相关的公钥客户进行的功能和性能测试,对于公钥功能和性能进行测试主要包括如下内容:功能测试:是否具备基础加/解密服务功能能否为应用提供相对稳定的统一安全服务接口能否提供对多密码算法的支持随着业务量的逐渐增加,是否可以灵活地增加密码服务模块,实现性能平滑扩展,且不影响上层的应用系统性能测试:RSA算法密钥长度能否达到1024~2048位,ECC算法密钥长度能否达到192位如果有必要进行系统速度测试,对应用层的客户端密码设备测试项:公钥密码算法签名速度、公钥密码算法验证速度、对称密钥密码算法加/解密速度,验证是否满足需求处理性能如公钥密码算法签名等是否具有扩展能力【问题3】对证书业务服务系统的功能测试:证书认证系统是否采用国际密码主管部门审批的签名算法完成签名操作,是否提供证书的签发和管理、证书撤销列表的签发和管理、证书/证书撤销列表的发布以及证书审核注册中心的设立、审核及管理等功能按使用对象分类,系统是否能提供人员证书是否可以提供加密证书和签名证书数字证书格式是否采用X.509V4系统是否提供证书申请、身份审核、证书下载等服务功能证书申请、身份审核、证书下载等服务是否都可采用在线或离线两种方式系统是否提供证书认证策略及操作策略管理、自身证书安全管理等证书管理服务证书业务服务系统性能测试:检查证书业务服务系统设计的处理性能是否具备可伸缩配置及扩展的能力关键部分是否采用双机热备份和磁盘镜像是否满足系统的不间断运行、在线故障修复和在线系统升级是否满足需求说明中预测的最大数量用户正常访问的需求,并且,是否有3~4倍的冗余,如有必要,需要测试系统的并发压力承受能力。 -
第2题:
对于基于用户名/口令的用户认证机制来说,_____不属于增强系统安全性所应使用的防范措施。A.应对本地存储的口令进行加密
B.在用户输入的非法口令达到规定的次数之后,应禁用相应账户
C.建议用户使用英文单词或姓名等容易记忆的口令
D.对于关键领域或安全性要求较高的系统,应该当保证使用过的用户删除或停用后,保留该用户记录,且新用户不能与该用户同名答案:C解析:本题考查用户认证机制的安全防范措施。
基于用户名/口令的用户认证机制是最基本的认证机制,相应增强系统安全性的防范措施包括设置口令时效、增加口令复杂度、口令加密存储、口令锁定、保证用户名称的唯一性等,题目候选项中,候选答案A、B及D属于典型的安全防范措施,而候选答案C的方法则会降低口令的复杂度,从而使得系统更易受到口令猜测攻击,不属于增强系统安全性所应采取的措施。 -
第3题:
某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图1所示。企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。
1、为防止针对网校学员的口令攻击,请从口令的强度、传输存储及管理等方面,说明可采取哪些安全防护措施。相应地,对于网校学员所采用的口令认证机制进行测试时,请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。答案:解析:(1)可采取的安全防护措施包括:
①口令强度:可设置最小口令长度,同时可采取要求用户在口令中使用非数字字母的字符等增加口令复杂度的手段提高口令强度。
②口令传输存储:可采用加密或Hashing手段,系统服务端存储的用户口令可加密或Hashing后存储,网络传输的用户口令可加密或Hashing后进行传输。
③口令管理:可设置最大口令时效强制用户定期更新口令,引入口令锁定机制以应对口令猜测攻击,引入口令历史强制用户设置新口令等。
(2)对口令认证机制测试应包含的基本测试点:
①对用户名称测试的主要测试点在于测试用户名称的唯一性,即测试同时存在的用户名称在不考虑大小写的情况下,不能够同名。
②对用户口令测试应主要测试用户口令是否满足当前流行的控制模式。主要测试点应包括最大/最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。
【解析】
软件系统的安全性是信息安全的一个重要组成部分,针对程序和数据的安全性测试与评估是软件安全性测试的重要内容,本题考查软件安全性测试的相关知识。
第一小题考查考生对基于口令的用户认证机制相关安全测试内容的了解。
基于口令的认证是最简单的用户认证方式,口令具有共享秘密的属性,该方式也容易受到相应的口令攻击。为防范口令攻击,通常可以从口令的强度、传输存储及管理等方面采取相应的安全防护措施,具体措施可包括设置最小口令长度,同时可采取要求用户在口令中使用非数字字母的字符等增加口令复杂度的手段提高口令强度;采用加密或Hashing手段,系统服务端存储的用户口令可加密或Hashing后存储,网络传输的用户口令可加密或Hashing后进行传输;设置最大口令时效强制用户定期更新口令,引入口令锁定机制以应对口令猜测攻击,引入口令历史强制用户设置新口令等。
对用户名称测试的主要测试点在于测试用户名称的唯一性,即测试同时存在的用户名称在不考虑大小写的情况下,不能够同名。对用户口令测试应主要测试用户口令是否满足当前流行的控制模式,主要测试点应包括最大/最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。
-
第4题:
下列关于对终端机的用户口令使用和管理说法正确的有()。
A对终端机的用户口令使用和管理需要由专人负责
B对终端机的用户口令使用和管理需要由系统管理员负责
C用户应做好口令使用的安全工作
D系统管理员应做好口令使用的安全工作
A,C
略 -
第5题:
口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信息,进而非法获得系统和资源访问权限。
正确答案:正确 -
第6题:
为了增强远程接入的安全性,应该尽量选择以下方式认证用户()
- A、口令
- B、LDAP
- C、双因素认证
- D、Kerbotcs
正确答案:C -
第7题:
以下哪项不属于防止口令猜测的措施?()
- A、严格限定从一个给定的终端进行非法认证的次数
- B、确保口令不在终端上再现
- C、防止用户使用太短的口令
- D、使用机器产生的口令
正确答案:B -
第8题:
等级保护三级以上系统应至少采用两种认证方式,下列属于认证方式的有()。
- A、用户名、口令认证
- B、一次性口令、动态口令认证
- C、证书认证
- D、短信验证码
正确答案:A,B,C -
第9题:
单选题在使用网络和计算机时,我们最常用的认证方式是()A用户名/口令认证
B指纹认证
CCA认证
D动态口令认证
正确答案: A解析: 暂无解析 -
第10题:
多选题SMTP和POP3除了功能不同外,还有一些区别()。APOP3需要口令和用户认证
BSMTP需要口令和用户认证
CPOP3不需要口令和用户认证
DSMTP不需要口令和用户认证
正确答案: B,D解析: SMTP服务器就是发送邮件的服务器。POP,即邮局协议,把接受邮件的服务器称为POP服务器(或POP3服务器)。STMP和POP3协议除了功能不同,还有一个重要区别,即POP3需要口令和用户认证,而STMP协议却不需要。 -
第11题:
单选题下面不属于非授权访问的是( )。A非法用户通过猜测用户口令的办法冒充合法用户进行操作
B非法用户通过窃取口令的办法冒充合法用户进行操作
C非法用户通过设法绕过网络安全认证系统来冒充合法用户进行操作
D非法用户通过攻击使服务器瘫痪
正确答案: D解析:
网络中的非法用户可以通过猜测用户口令、窃取口令的办法,或者设法绕过网络安全认证系统来冒充合法用户,非法查看、下载、修改、删除未授权访问的信息,以及使用未授权的网络服务。 -
第12题:
单选题下列关于用户口令说法错误的是()。A口令不能设置为空
B口令长度越长,安全性越高
C复杂口令安全性足够高,不需要定期修改
D口令认证是最常见的认证机制
正确答案: A解析: 暂无解析 -
第13题:
下列选项中,不属于非授权访问的是( )。
A.非法用户通过攻击使服务器瘫痪
B.非法用户通过窃取口令的办法冒充合法用户进行操作
C.非法用户通过猜测用户口令的办法冒充合法用户进行操作
D.非法用户通过设法绕过网络安全认证系统来冒充合法用户进行操作
正确答案:A
解析:网络中的非法用户可以通过猜测用户口令、窃取口令的方法,或者设法绕过网络安全认证系统来冒充合法用户,非法查看、下载、修改、删除未授权访问的信息,以及使用未授权的网络服务。 -
第14题:
某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图1所示。企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。
图1 在线网络学校系统拓扑结构
2、为提高系统认证环节安全性,系统在网校教师及管理员登录认证时引入了USBKey,请说明对公钥认证客户端进行安全测试时,USB Key的功能与性能测试应包含哪些基本的测试点。答案:解析:客户端USB Key测试的基本测试点:
(1)功能测试
①是否支持AES、RSA等常用加解密算法。
②是否提供外部接口以支持用户证书及私钥的导入。
③是否提供外部接口支持将数据传入Key内,经过公钥,私钥计算后导出。
④是否能实现USB Key插入状态实时监测,当USB Key意外拔出时是否能自动锁定用户状态。
⑤是否使用口令进行保护。
(2)性能测试
①是否具备私钥不能导出的基本安全特性。
②Key内加解密算法的执行效率是否满足系统最低要求。
【解析】
第二小题考查考生对USB Key安全测试内容的理解。
USB Key内置单片机或智能卡芯片有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的加密算法可以实现对用户身份的认证。由于用户私钥通常保存在密码锁中,理论上无法读取,因此可保证用户认证的安全性。
针对USB Key的测试通常包括功能与性能测试两个方面。功能测试的基本测试点包括是否支持AES、RSA等常用加解密算法;是否提供外部接口以支持用户证书及私钥的导入;是否提供外部接口支持将数据传入Key内,经过公钥/私钥计算后导出;是否能实现USB Key插入状态实时监测,当USB Key意外拔出时是否能自动锁定用户状态;是否使用口令进行保护等。性能测试的基本测试点包括是否具备私钥不能导出的基本安全特性;Key内加解密算法的执行效率是否满足系统最低要求等。 -
第15题:
某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图1所示。企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。
1、为防止针对网校学员的口令攻击,请从口令的强度、传输存储及管理等方面,说明可采取哪些安全防护措施。相应地,对于网校学员所采用的口令认证机制进行测试时,请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。
2、为提高系统认证环节安全性,系统在网校教师及管理员登录认证时引入了USBKey,请说明对公钥认证客户端进行安全测试时,USB Key的功能与性能测试应包含哪些基本的测试点。
3、系统证书服务器主要提供证书审核注册管理及证书认证两项功能,根据系统实际情况,目前只设置人员证书,请说明针对证书服务器的功能与性能测试应包含哪些基本的测试点。答案:解析:1、(1)可采取的安全防护措施包括:
①口令强度:可设置最小口令长度,同时可采取要求用户在口令中使用非数字字母的字符等增加口令复杂度的手段提高口令强度。
②口令传输存储:可采用加密或Hashing手段,系统服务端存储的用户口令可加密或Hashing后存储,网络传输的用户口令可加密或Hashing后进行传输。
③口令管理:可设置最大口令时效强制用户定期更新口令,引入口令锁定机制以应对口令猜测攻击,引入口令历史强制用户设置新口令等。
(2)对口令认证机制测试应包含的基本测试点:
①对用户名称测试的主要测试点在于测试用户名称的唯一性,即测试同时存在的用户名称在不考虑大小写的情况下,不能够同名。
②对用户口令测试应主要测试用户口令是否满足当前流行的控制模式。主要测试点应包括最大/最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。
2、客户端USB Key测试的基本测试点:
(1)功能测试
①是否支持AES、RSA等常用加解密算法。
②是否提供外部接口以支持用户证书及私钥的导入。
③是否提供外部接口支持将数据传入Key内,经过公钥,私钥计算后导出。
④是否能实现USB Key插入状态实时监测,当USB Key意外拔出时是否能自动锁定用户状态。
⑤是否使用口令进行保护。
(2)性能测试
①是否具备私钥不能导出的基本安全特性。
②Key内加解密算法的执行效率是否满足系统最低要求。
3、证书服务器测试的基本测试点:
(1)功能测试
①系统是否提证书的申请、审核、签发与管理功能。
②系统是否提供证书撤销列表的发布和管理等功能。
③系统是否提供证书认证策略及操作管理策略、自身证书安全管理等管理服务。
④是否可以提供加密证书和签名证书。
⑤证书格式是否采用标准X.509格式。
(2)性能测试
①检查证书服务器的处理性能是否具备可伸缩配置及扩展能力。
②关键部分是否采用双机热备和磁盘镜像等安全机制。
③是否满足系统的不间断运行、在线故障恢复和在线系统升级的需要。
④是否满足需求中预测的最大数量用户正常访问需求,且是否具备3~4倍冗余,并根据需要测试证书服务器的并发处理能力。
【解析】
软件系统的安全性是信息安全的一个重要组成部分,针对程序和数据的安全性测试与评估是软件安全性测试的重要内容,本题考查软件安全性测试的相关知识。
第一小题考查考生对基于口令的用户认证机制相关安全测试内容的了解。
基于口令的认证是最简单的用户认证方式,口令具有共享秘密的属性,该方式也容易受到相应的口令攻击。为防范口令攻击,通常可以从口令的强度、传输存储及管理等方面采取相应的安全防护措施,具体措施可包括设置最小口令长度,同时可采取要求用户在口令中使用非数字字母的字符等增加口令复杂度的手段提高口令强度;采用加密或Hashing手段,系统服务端存储的用户口令可加密或Hashing后存储,网络传输的用户口令可加密或Hashing后进行传输;设置最大口令时效强制用户定期更新口令,引入口令锁定机制以应对口令猜测攻击,引入口令历史强制用户设置新口令等。
对用户名称测试的主要测试点在于测试用户名称的唯一性,即测试同时存在的用户名称在不考虑大小写的情况下,不能够同名。对用户口令测试应主要测试用户口令是否满足当前流行的控制模式,主要测试点应包括最大/最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。
第二小题考查考生对USB Key安全测试内容的理解。
USB Key内置单片机或智能卡芯片有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的加密算法可以实现对用户身份的认证。由于用户私钥通常保存在密码锁中,理论上无法读取,因此可保证用户认证的安全性。
针对USB Key的测试通常包括功能与性能测试两个方面。功能测试的基本测试点包括是否支持AES、RSA等常用加解密算法;是否提供外部接口以支持用户证书及私钥的导入;是否提供外部接口支持将数据传入Key内,经过公钥/私钥计算后导出;是否能实现USB Key插入状态实时监测,当USB Key意外拔出时是否能自动锁定用户状态;是否使用口令进行保护等。性能测试的基本测试点包括是否具备私钥不能导出的基本安全特性;Key内加解密算法的执行效率是否满足系统最低要求等。
第三小题考查证书服务器安全测试内容的相关知识。
按题目描述,系统证书服务器主要提供证书审核注册管理及证书认证两项功能,因此针对证书服务器的安全测试也应主要涵盖这两项主要功能的相应测试。
功能测试的基本测试点包括系统是否提证书的申请、审核、签发与管理功能;系统是否提供证书撤销列表的发布和管理等功能;系统是否提供证书认证策略及操作管理策略、自身证书安全管理等管理服务;是否可以提供加密证书和签名证书;证书格式是否采用标准X.509格式等。性能测试的基本测试点包括检查证书服务器的处理性能是否具备可伸缩配置及扩展能力,关键部分是否采用双机热备和磁盘镜像等安全机制;是否满足系统的不间断运行、在线故障恢复和在线系统升级的需要;是否满足需求中预测的最大数量用户正常访问需求;且是否具备3~4倍冗余,并根据需要测试证书服务器的并发处理能力等。
-
第16题:
对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近()次(含)内已使用的口令
- A、3
- B、5
- C、4
- D、6
正确答案:B -
第17题:
下列关于用户口令说法错误的是()。
- A、口令不能设置为空
- B、口令长度越长,安全性越高
- C、复杂口令安全性足够高,不需要定期修改
- D、口令认证是最常见的认证机制
正确答案:C -
第18题:
关于信息系统登录口令的管理,以下说法不正确的是()
- A、必要时,使用密码技术,生物特征等代替口令
- B、用提示信息告知用户输入的口令是否正确
- C、明确告知用户应遵从的优质口令策略
- D、使用互动式管理确保用户使用优质口令
正确答案:B -
第19题:
在使用网络和计算机时,我们最常用的认证方式是:()。
- A、用户名/口令认证
- B、指纹认证
- C、CA认证
- D、动态口令认证
正确答案:A -
第20题:
判断题口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信息,进而非法获得系统和资源访问权限。A对
B错
正确答案: 对解析: 暂无解析 -
第21题:
多选题下列关于对终端机的用户口令使用和管理说法正确的有()。A对终端机的用户口令使用和管理需要由专人负责
B对终端机的用户口令使用和管理需要由系统管理员负责
C用户应做好口令使用的安全工作
D系统管理员应做好口令使用的安全工作
正确答案: A,D解析: 暂无解析 -
第22题:
单选题为了增强远程接入的安全性,应该尽量选择以下方式认证用户()A口令
BLDAP
C双因素认证
DKerboros
正确答案: A解析: 暂无解析 -
第23题:
单选题对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近()次(含)内已使用的口令A3
B5
C4
D6
正确答案: B解析: 暂无解析