问答题
试题四
阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。
[说明] 某企业为防止自身信息资源的非授权访问,建立了如图4-1所示的访问控制系统。
该系统提供的主要安全机制包括: (1)认证:管理企业的合法用户,验证用户所宣称身份的合法性,该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制; (2)授权:赋予用户访问系统资源的权限,对企业资源的访问请求进行授权决策; (3)安全审计:对系统记录与活动进行独立审查,发现访问控制机制中的安全缺陷,提出安全改进建议。
对该访问控制系统进行测试时,用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面每个方面具体的测试内容又有哪些
【参考答案】
(1)对用户权限控制体系合理性的评价,其具体测试内容包括:是否采用系统管理员、业务领导、操作人员三级分离的管理模式 ·用户名称是否具有唯一性,口令的强度及口令存储的位置和加密强度等 (2)对用户权限分配合理性的评价,其具体测试内容包括: ·用户权限系统本身权限分配的细致程度 ·特定权限用户访问系统功能的能力测试