全部科目 > 软件评测师 >
2009年上半年 上午试卷 综合知识
第 66 题
知识点 安全性   用户权限控制  
关键词 安全  
章/节 测试技术的分类  
 
 
以下对用户口令进行限定的措施中,(66)对提高安全性来说是无用的。
 
  A.  最小改变口令的时限
 
  B.  最短口令长度
 
  C.  口令不能全为数字或小写字母之外的字符
 
  D.  首次登录必须改变口令
 
 




 
 
相关试题     用户管理和访问控制 

  第67题    2018年下半年  
用户口令测试应考虑的测试点包括( )。
①口令时效 ②口令长度
③口令复杂度 ④口令锁定

  第18题    2020年下半年  
访问控制是对信息系统资源进行保护的重要措施,适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。计算机系统中,访问控制的任务不包括(18)。

 
知识点讲解
· 安全性
· 用户权限控制
 
        安全性
        安全性是指软件产品在指定使用环境下,获得可接受的对人类、事务、软件、财产或环境有害的风险级别的能力。
 
        用户权限控制
        对于应用软件来说,用户权限的控制是比较重要的,一个用户能够访问一个应用系统的权限,通常我们认为来源于三个方面,即:应用软件本身、操作系统和数据库。应用软件产品在开发的过程中,主要采用用户名和密码登录的方式完成。对于安全强度较高的软件也可采用指纹认证、智能卡认证等方式进行。对于测试者来说,应当注意以下几个方面。首先应当评价用户权限控制的体系合理性,是否采用三层架构的管理模式,即系统管理员、业务领导和操作人员三级分离;用户名称基本采用中文和英文两种,对于测试来说,对于用户名称的测试关键在于测试用户名称的惟一性。惟一性的体现基本基于以下两个方面。
        ①同时存在的用户名称在不考虑大小写的状态下,不能够同名;
        ②对于关键领域的软件产品和安全性要求较高的软件,应当同时保证使用过的用户在用户删除或停用后,保留该用户记录,并且新用户不得与该用户同名。
        用户口令应当满足当前流行的控制模式,注意测试用户口令的强度和口令存储的位置和加密强度,如下所示。
        ①最大口令时效:指定用户可以保留当前口令的时间。
        ②最小口令时效:指定在修改口令之前,用户必须保留口令的时间。
        ③口令历史:确定系统将要记住的口令的数量。如果用户选择的口令存在于口令历史数据库中,系统将强制用户选择其他口令。
        ④最小口令长度:对于用户口令,可以包含的最少的可以接受的字符数目。
        ⑤口令复杂度:在口令中要求用户使用非字母数字的字符或大写字母。
        ⑥加密选项:可以加密本地存储的口令。
        ⑦口令锁定:口令锁定是被用来对付猜测口令的主要工具。在输入的非法口令达到规定的次数之后,系统将禁用这个账户。这种技术在对付远程暴力攻击的时候特别有效。
        ⑧账户复位:账户锁定后定义是否可以在规定时间间隔后自动恢复,可以减轻系统管理员的工作强度。
        用户权限分配方式是否合理,用户认证的目的在于访问控制,对于软件产品来说,主要是用户能够使用某些功能或访问某些数据的能力。从软件测试的角度来说,应当结合黑盒功能测试,首先测试软件用户权限系统本身权限分配的细致程度,比如,对于查询功能来说,查询的数据是否能够按照业务需求进行细致划分,然后对特定权限用户访问系统功能的能力进行测试,该部分测试应当充分利用等价值划分方法进行案例设计,避免重复测试。



更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5
京公网安备 11010502032051号 | 营业执照
 Copyright ©2000-2023 All Rights Reserved
软考在线版权所有