第八章 信息安全基础知识
第一节 信息安全概述
-
为针对网校学员的口令攻击,请从口令的强度、传输存储及管理等方面,说明可采取哪些安全防护措施。相应地,对于网校学员所采用的口令认证机制进行测试时,请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。
答:(1)可采取的安全防护措施包括:
a.口令强度:可设置最小口令长度,同时可采取要求用户在口令中使用非数字字母的字符等增加口令复杂度的手段提高口令强度。
b.口令传输存储:可采用加密或Hashing手段,系统服务端存储的用户口令可加密或Hashing后存储,网络传输的用户口令可加密或Hashing后进行传输。
c.口令管理:可设置最大口令时效强制用户定期更新口令,引入口令锁定机制以应对口令猜测攻击,引入口令历史强制用户设置新口令等。
(2)对口令认证机制测试应包含的基本测试点:
a.对用户名称测试的主要测试点在于测试用户名称的唯一性,即测试同时存在的用户名称在不考虑大小写的情况下,不能够同名。
b.对用户口令测试应注意测试用户口令是否满足当前流行的控制模式。主要测试点应包括最大/最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。 -
为提高系统认证环节安全性,系统在网校教师及管理员登录认证时引入了USBKey,请说明对公钥认证客户端进行安全测试时,USBKey的功能与性能测试应包含哪些基本的测试点。
答:客户端USBKey测试的基本测试点:
(1)功能测试
a.是否支持AES、RSA等常用加解密算法。
b.是否提供外部接口以支持用户证书及私钥的导入。
c.是否提供外部接口支持将数据传入Key内,经过公钥,私钥计算后导出。
d.是否能实现USBKey插入状态实时监测,当USBKey意外拔出时是否能自动锁定用户状态。
e.是否使用口令进行保护。
(2)性能测试
a.是否具备私钥不能导出的基本安全特性。
b.Key内加解密算法的执行效率是否满足系统最低要求。 -
系统证书服务器主要提供审核注册管理及证书认证两项功能,根据系统实际情况,目前只设置人员证书,请说明针对证书服务器的功能与性能测试应包含哪些基本的测试点。
答:证书服务器测试的基本测试点:
(1)功能测试
a.系统是否提供证书的申请、审核、签发与管理功能。
b.系统是否提供证书撤销列表的发布和管理等功能。
c.系统是否提供证书认证策略及操作管理策略、自身证书安全管理等管理服务。
d.是否可以提供加密证书和签名证书。
e.证书格式是否采用标准X.509格式。
(2)性能测试
a.检查证书服务器的处理性能是否具备可伸缩配置及扩展能力。
b.关键部分是否采用双机热备和磁盘镜像等安全机制。
c.是否满足系统的不间断运行、在线故障恢复和在线系统升级的需要。
d.是否满足需求中预测的最大数量用户正常访问需求,且是否具备3~4倍冗余,并根据需要测试证书服务器的并发处理能力。