操作系统应利用安全工具提供以下哪些访问控制功能?()A、验证用户身份，必要的话，还应进行终端或物理地点识别B、记录所有系统访问日志C、必要时，应能限制用户连接时间D、都不对

公司软件的使用应充分考虑软件的安全性、可靠性、稳定性和可扩展性，应具备身份验证、访问控制、故障恢复、安全保护、分权制约等功能。

验证用户身份和控制信息资源访问是安全软件的主要功能。选项B不正确，因为计算机活动在操作系统日志中记录，包括每个程序的开始时间、访问的文件、每个程序的结束时间。选项C不正确，因为硬件监视器显示在终端键盘上输入的数据。选项D不正确，因为记录和监控程序源代码和目标代码的变更是源代码库维护软件的功能。

工具程序是数据访问安全中最严重的漏洞，因为有些程序确实可以绕过正规的访问控制。选项A不正确，尽管这种类型的控制存在从应用程序软件向其他软件转移的情况，然而大部分这类控制存在于应用软件。选项C不正确，访问控制软件的一个主要目的是改善系统中所有数据的访问安全性。选项D不正确，大多数数据库管理软件在它们允许时增强了数据访问的安全性。

12、两个方面:
①评价用户权限控制的体系合理性，是否采用三层的管理模式即系统管理员、业务领导和操作人员三级分离；
②用户名称基本采用中文和英文两种，对于测试来说，对于用户名称的测试关键在于测试用户名称的唯一性。
用户名称的唯一性体现有哪些方面？
●同时存在的用户名称在不考虑大小的状态下，不能够同名；
●对于关键领域的软件产品和安全要求较高的软件，应当同时保证使用过的用户在用户删除或停用后，保留该用户记录，并且新用户不得与之同名。
13、模拟攻击试验：对于安全测试来说，模拟攻击试验是一组特殊的黑盒测试案例，我们以模拟攻击验证软件或信息的安全防护能力。可采用冒充、重演、消息篡改、服务拒绝、内部攻击、外部攻击、陷阱门、特洛伊木马方法进行测试。
泪滴(teardrop)。泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP(包括service pack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。防御措施有服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。
口令猜测。一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户账号，然后因为使用简单的密码或者没有设密码，导致黑客能很快的将口令猜出。当然事实上用蛮力是可以破解任何密码的，关键是是否迅速，设置的密码是否能导致黑客花很大的时间和效率成本。防御措施有要选用难以猜测的口令，比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略，就进行锁定。
伪造电子邮件。由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的链接。防御措施有使用PGP等安全工具并安装电子邮件证书。 14、对该系统安全审计功能设计的测试点应包括:
①能否进行系统数据收集，统一存储，集中进行安全审计；
②是否支持基于PKI的应用审计；
③是否支持基于XML的审计数据采集协议；
④是否提供灵活的自定义审计规则。