软件评测师简(部分)V1.0分析报告.docVIP

安全性测试的测试内容？（用户认证、加密机制、安全防护策略、数据备份与恢复、防病毒系统） 安全防护策略？（漏洞扫描、入侵检查、安全日志、隔离防护） 数据备份与恢复技术通常涉及那几个方面？（存储设备、存储优化、存储保护、存储管理） 基本的防毒技术有哪几部分？（集中式管理、分布式杀毒，数据库技术、LDAP技术应用，多引擎支持，不同操作系统的保护，远程安装或分发安装） 基本的安全防护系统测试的测试点？（防火墙、入侵检测、漏洞扫描、安全审计、病毒防治、Web信息防篡改系统） 防火墙的测试点？ 是否支持交换机和路由器两种工作模式 是否支持对HTTP、FTP、SMTP等服务类型的访问控制 是否考虑到了防火墙的冗余设计 是否支持日志的统计分析功能，日志是否可以存储在本地和网络数据库上 对防火墙和受保护网段的非法攻击系统，是否提供多种告警方式和多种告警级别 入侵检测的测试点？ 能否在检测到入侵事件时，自动执行切断服务，记录入侵过程，邮件报警等动作 是否支持攻击特征信息的集中式发布和攻击取证信息的分布式上载 能否提供多种方式对监视引擎和检测特征的定期更新服务 内置的网络能否使用状况监控工具和网络监听工具 漏洞扫描的功能？漏洞扫描器有几种类型？ 漏洞扫描功能是自动检查远程或本地主机安全性漏洞，以便于及时修补漏洞。 主机漏洞扫描器，在本地运行检测系统漏洞。 网络漏洞扫描器，基于网络远程检测目标网络和主机系统漏洞。 定期或不定期的使用安全性分析工具，对整个内部系统进行安全扫描，及时发现系统的安全漏洞，报警及提出补救措施。 病毒防治的测试点？ 能否支持多平台的病毒防范 能否支持对服务器的病毒防治 能否支持对电子邮件附件的病毒防治 能否提供对病毒特征信息和检测引擎的定期更新服务 病毒防范范围是否广泛，是否包括UNIX、Linux、Window等操作系统 安全审计的测试点？ 能否支持系统数据采集，统一存储、集中进行安全审计 是否支持基于PKI的应用审计 是否支持基于XML的审计数据采集协议 是否提供灵活的自定义审计规则 Web信息防篡改系统的测试点？ 是否支持多种操作系统 是否具有集成发布与监控功能，使系统能够区分合法的修改与非法的篡改 是否可以实时发布与备份 是否具备自动监控、自动恢复、自动报警的能力 是否提供日志管理、扫描策略管理、更新管理 安全系统防护体系有哪几层？（实体安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全） 安全性测试方法有哪些？（功能验证、漏洞扫描、模拟攻击实验、侦听技术） 功能测试（白盒测试、黑盒测试、灰盒测试）漏洞的类型（拒绝服务漏洞、本地用户扩权漏洞、远程用户扩权漏洞） 模拟攻击技术4种类型： 服务拒绝型攻击（死亡之ping、泪滴teardrop、UDP洪水、SYN洪水、Land攻击、Smurf攻击、Fraggle攻击、电子邮件炸弹、畸形消息攻击） 漏洞木马型攻击（口令猜想、特洛伊木马、缓冲区溢出） 信息收集技术（扫描技术、体系结构探测、利用信息服务） 伪装欺骗型攻击（DNS高速缓存污染、伪造电子邮件、ARP欺骗、IP欺骗） 主动攻击的方式(窃听、电磁/射频截获、业务流分析、截获并修改、重放、伪装、非法使用、服务拒绝、特洛伊木马、陷门) 安全机制有哪些？ 数字签名机制 2、访问控制机制 3、数据完整性机制 4、认证机制 5、通信业务填充机制 6、路由器控制机制 7、公正机制 请简述系统的安全防护体系中安全系统的主要构成一般包括什么？ 答：安全系统的主要构成一般包括证书业务服务系统、证书查询验证服务系统、密钥管理系统、密码服务系统、可信授权服务系统、可信时间戳服务系统、网络信任域系统、故障恢复与容灾备份。 软件产品安全测试的内容？（用户管理与访问控制、通信机密、安全日志） 用户管理与访问控制包括哪些？（用户权限控制、操作系统安全性测试、数据库权限的测试） 用户名称的测试关键？（测试用户名称的唯一性，A、同时存在的用户名称在不考虑大小写的状态下，不能同名，B、对于已经删除或者停用的用户名称，应保留用户记录，并且新的用户名称不能与之同名） 用户口令的测试点？ 应注意用户口令的强度、存储位置、加密强度 最大口令时效、最小口令时效、口令历史、口令复杂度、加密选项、口令锁定、口令复位 操作系统安全性的测试点是什么？ 是否关闭或卸载了不必要的服务或程序 是否存在不必要的帐户 权限设置是否合理 安装相应的安全补丁程序 操作系统日志管理 数据库权限的测试点是什么？ 应用软件部署后，数据库管理用户的设置应当注意对帐户的保护，超级用户口令不得为空或者为默认口令，对数据库帐号和组的权限应做相应的设置，如锁定一些默认的数据库用户，撤销不必要的权限 数据库中关于应用软件用户权限和口令存储的相关表格，应尽量采用加密算法进行加密 软件企业在进行