软件评测师简答题(部分答案)V10
《软件评测师简答题(部分答案)V10》由会员分享,可在线阅读,更多相关《软件评测师简答题(部分答案)V10(12页珍藏版)》请在文档大全上搜索。
1、安全性测试的测试内容?(用户认证、加密机制、安全防护策略、数据备份与恢复、防病毒系统)安全防护策略?(漏洞扫描、入侵检查、安全日志、隔离防护)数据备份与恢复技术通常涉及那几个方面?(存储设备、存储优化、存储保护、存储管理)基本的防毒技术有哪几部分?(集中式管理、分布式杀毒,数据库技术、LDAP技术应用,多引擎支持,不同操作系统的保护,远程安装或分发安装)基本的安全防护系统测试的测试点?(防火墙、入侵检测、漏洞扫描、安全审计、病毒防治、Web信息防篡改系统)防火墙的测试点?A、 是否支持交换机和路由器两种工作模式B、 是否支持对HTTP、FTP、SMTP等服务类型的访问控制C、 是否考虑到了防火
2、墙的冗余设计D、 是否支持日志的统计分析功能,日志是否可以存储在本地和网络数据库上E、 对防火墙和受保护网段的非法攻击系统,是否提供多种告警方式和多种告警级别入侵检测的测试点?A、 能否在检测到入侵事件时,自动执行切断服务,记录入侵过程,邮件报警等动作B、 是否支持攻击特征信息的集中式发布和攻击取证信息的分布式上载C、 能否提供多种方式对监视引擎和检测特征的定期更新服务D、 内置的网络能否使用状况监控工具和网络监听工具漏洞扫描的功能?漏洞扫描器有几种类型?漏洞扫描功能是自动检查远程或本地主机安全性漏洞,以便于及时修补漏洞。1、 主机漏洞扫描器,在本地运行检测系统漏洞。2、 网络漏洞扫描器,基于
3、网络远程检测目标网络和主机系统漏洞。定期或不定期的使用安全性分析工具,对整个内部系统进行安全扫描,及时发现系统的安全漏洞,报警及提出补救措施。病毒防治的测试点?A、 能否支持多平台的病毒防范B、 能否支持对服务器的病毒防治C、 能否支持对电子邮件附件的病毒防治D、 能否提供对病毒特征信息和检测引擎的定期更新服务E、 病毒防范范围是否广泛,是否包括UNIX、Linux、Window等操作系统安全审计的测试点?A、 能否支持系统数据采集,统一存储、集中进行安全审计B、 是否支持基于PKI的应用审计C、 是否支持基于XML的审计数据采集协议D、 是否提供灵活的自定义审计规则Web信息防篡改系统的测试
4、点?A、 是否支持多种操作系统B、 是否具有集成发布与监控功能,使系统能够区分合法的修改与非法的篡改C、 是否可以实时发布与备份D、 是否具备自动监控、自动恢复、自动报警的能力E、 是否提供日志管理、扫描策略管理、更新管理安全系统防护体系有哪几层?(实体安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全)安全性测试方法有哪些?(功能验证、漏洞扫描、模拟攻击实验、侦听技术)功能测试(白盒测试、黑盒测试、灰盒测试)漏洞的类型(拒绝服务漏洞、本地用户扩权漏洞、远程用户扩权漏洞)模拟攻击技术4种类型:A、 服务拒绝型攻击(死亡之ping、泪滴teardrop、UDP洪水、SYN洪水、La
5、nd攻击、Smurf攻击、Fraggle攻击、电子邮件炸弹、畸形消息攻击)B、 漏洞木马型攻击(口令猜想、特洛伊木马、缓冲区溢出)C、 信息收集技术(扫描技术、体系结构探测、利用信息服务)D、 伪装欺骗型攻击(DNS高速缓存污染、伪造电子邮件、ARP欺骗、IP欺骗)主动攻击的方式(窃听、电磁/射频截获、业务流分析、截获并修改、重放、伪装、非法使用、服务拒绝、特洛伊木马、陷门)安全机制有哪些?1、 数字签名机制 2、访问控制机制 3、数据完整性机制 4、认证机制 5、通信业务填充机制 6、路由器控制机制 7、公正机制请简述系统的安全防护体系中安全系统的主要构成一般包括什么?答:安全系统的主要构成
6、一般包括证书业务服务系统、证书查询验证服务系统、密钥管理系统、密码服务系统、可信授权服务系统、可信时间戳服务系统、网络信任域系统、故障恢复与容灾备份。软件产品安全测试的内容?(用户管理与访问控制、通信机密、安全日志)用户管理与访问控制包括哪些?(用户权限控制、操作系统安全性测试、数据库权限的测试)用户名称的测试关键?(测试用户名称的唯一性,A、同时存在的用户名称在不考虑大小写的状态下,不能同名,B、对于已经删除或者停用的用户名称,应保留用户记录,并且新的用户名称不能与之同名)用户口令的测试点?应注意用户口令的强度、存储位置、加密强度最大口令时效、最小口令时效、口令历史、口令复杂度、加密选项、口
7、令锁定、口令复位操作系统安全性的测试点是什么?A、 是否关闭或卸载了不必要的服务或程序B、 是否存在不必要的帐户C、 权限设置是否合理D、 安装相应的安全补丁程序E、 操作系统日志管理数据库权限的测试点是什么?A、 应用软件部署后,数据库管理用户的设置应当注意对帐户的保护,超级用户口令不得为空或者为默认口令,对数据库帐号和组的权限应做相应的设置,如锁定一些默认的数据库用户,撤销不必要的权限B、 数据库中关于应用软件用户权限和口令存储的相关表格,应尽量采用加密算法进行加密C、 软件企业在进行软件产品研发时,开发人员通常为了方便在客户端与数据库通信时,均使用超级用户及默认口令访问数据库,这种方式带
8、来严重的安全隐患,测试人员可以通过网络侦听技术活使用白盒测试进行测试,并且建议开发人员根据不同程序访问数据库的功能使用不同的数据库用户进行连接,且必须设置复杂的密码。通信加密通常使用什么手段完成?(验证和侦听技术)安全日志应当记录哪些内容?记录用户访问系统的所有操作内容,如登录名称、登录ip、登录时间、浏览数据动作、修改数据动作、删除数据动作、退出时间等安全测试中应当检查安全日志的哪些方面?测试人员应根据业主要求和设计需求,对日志的完整性、正确性进行测试,测试安全日志是否包含该些内容,是否正确,并且对于大型的应用软件来说,系统是否提供了安全日志的智能分析能力,是否可以按照各种特征项进行日志统计
9、,分析潜在的安全隐患,并且及时发现非法行为安全保护国家标准有哪几个级别?5个级别1、 用户自主保护级:普通内联网用户; 2、 系统审计保护级: 内联和国际商务活动,需要保密的非重要单位; 3、 安全标记保护级: 地方级国家机关,金融,邮电,能源,交通,大型工商与it,重点工程;4、 结构化保护级 :中央,广播电视,重要物资储备,社会应服务,尖端科技 ,国家科研国防高妹; 5、 安全域级保护级(访问验证):国防关键部门 和依法需要对计算机系统实施特殊隔离的单位。易用性特性(易理解性、易学习性、易操作性、易吸引性、易用性依从性)易用性测试的内容?(安装测试、界面测试、辅助系统测试)安装测试的内容?
10、1、 用户手册的评估 2、安装选项和设置的测试 3、安装自动化程度 4、安装中断测试 5、安装顺序测试 6、安装的正确性 7、多环境安装测试 8、安装的修复和卸载测试功能易用性测试的范围包括哪些?1、 业务复符合性 2、功能定制性 3、业务模块的集成度 4、数据共享能力 5、约束性 6、 交互性 7 、系统信息与错误提示界面整体测试的测试点?(一致性、规范性、合理性、界面定制性测试)界面元素的测试点?(桌面、菜单、图标、鼠标、文字)帮助测试的要点? (内容的正确性、与程序的接口、索引的查询、超链接的正确性、超链接的意义、风格简洁)可靠性(成熟性、容错性、易恢复性)可靠性是指产品在规定的条件下和
11、规定的时间内完成规定功能的能力可靠性测试的广义定义与狭义定义是什么?广义可靠性测试:是为了最终评价软件系统的可靠性而运用建模、统计、实验、分析、评价等一系列手段对软件系统实施的一种测试狭义可靠性测试:是为了获取可靠性数据,按预先确定的测试用例,在软件的预期使用环境中,对软件实施的一种测试从技术的角度看影响软件可靠性的主要因素有哪些?运行剖面、软件规模、软件内部结构、软件开发方法和环境、软件的可靠性投入软件可靠性模型通常有哪几部分组成?模型假设、性能度量、参数估计方法、数据要求一个好的软件可靠性模型应具有哪些重要特性?基于可靠的假设、简单、计算一些有用的量、给出未来失效行为的好的映射、可广泛应用
