全部科目 > 软件评测师 >
2012年下半年 上午试卷 综合知识
第 31 题
知识点 加密   加密机制   检验  
关键词 测试   加密   信息系统  
章/节 测试技术的分类  
 
 
由于不同加密机制的用途及强度不同,因此一个信息系统中加密机制使用是否合理,强度是否满足当前需要,需要通过测试来检验,通常(31)是测试的一个重要手段。
 
  A.  加密代码审查
 
  B.  漏洞扫描
 
  C.  模拟加密
 
  D.  模拟解密
 
 




 
 
相关试题     测试与评估内容 

  第53题    2010年下半年  
以下关于软件系统安全防护策略的叙述,不正确的是(53)。

  第31题    2011年下半年  
安全防护策略是软件系统对抗攻击的主要手段,安全防护策略不包括(31)。

  第68题    2016年下半年  
不同加密机制或算法的用途、强度是不相同的,一个软件或系统中的加密机制使用是否合理,强度是否满足当前要求,需要通过测试来完成,通常(68)是测试的一个重要手段。

 
知识点讲解
· 加密
· 加密机制
· 检验
 
        加密
        如果应用程序使用加密来提供安全性,检查加密的内容以及加密的使用方法。下表显示了与加密有关的常见漏洞。
        
        常见的加密漏洞
        测试中需要考虑下列问题,帮助验证应用程序处理敏感数据的方法。
        . 为何使用特定的算法。
        加密只有在正确使用时才能提供真正的安全保障。不同作业使用不同的算法。算法的程度也非常重要。考虑下列问题,评价所使用的加密算法。
        ①是否开发自己的加密技术。
        不应开发自己的加密技术。众所周知,加密算法和例程的开发非常难,而且很难成功。自定义实施的安全保护一般很弱,基本上不如久经考验的系统平台服务提供的安全措施。
        ②是否使用合适的密钥大小来应用正确的算法。
        检查应用程序使用的算法及使用该算法的目的。较大的密钥可提供较高的安全性,但会影响性能。对于在数据存储中长时间保存的永久数据,较强的加密非常重要。
        . 如何确保加密密钥的安全性。
        加密数据的安全与密钥的安全同等重要。要破解加密数据,攻击者必须能检索出密钥和密码文本。因此,需要检查设计,确保加密密钥和加密数据的安全。考虑下列评价问题。
        ①如何确保加密密钥的安全。
        如果使用DPAPI,将由系统平台为用户管理密钥。其他情况下,则由应用程序负责密钥管理。检查应用程序确保加密密钥安全的方法。一种较好的方法是,使用DPAPI加密其他加密形式所需的加密密钥。然后,安全地保存加密密钥,例如,将其放在配置了受限ACL的注册表项目下。
        ②回收密钥的频率如何。
        不能滥用密钥。同一密钥使用的时间越长,被发现的可能性就越高。设计是否考虑了怎样回收密钥、回收的频率,以及如何将它们分发并安置在服务器中。
 
        加密机制
        加密机制是保护数据安全的重要手段,加密的基本过程就是对原来为明文的文件或数据,按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才能显示出明文内容,通过这样的途径来达到保护数据不被非法窃取、阅读的目的。该过程的逆过程为解密,即将该编码信息还原为其原来数据的过程。
        密码函数可用来作为加密、解密、保证数据完整性、鉴别交换、口令存储与检验等的一部分,借以达到保密和鉴别的目的当用于机密性的加密时,密码技术被用于把敏感性较强的数据(即受保护的数据)变换成敏感性较弱的形式。当用于保证数据完整性或鉴别交换时,密码技术被用来计算不可伪造的函数。加密开始时,在明文上实施以产生密文,解密的结果或是明文,或是在某种掩护下的密文。使用明文作通用的处理在计算上是可行的,它的语义内容是可以理解的。除了以特定的方式,密文是不能用来计算的,因为它的语义内容已隐藏起来。有时故意让加密是不可逆的(例如截短或数据丢失),这样做的目的是不希望导出原来的明文,例如口令。
        密码技术能够提供或有助于提供相关保护,以防止消息流的观察和篡改、通信业务流分析、抵赖、伪造、非授权连接、篡改消息等行为的出现。主要用于密码的保护、数据的传输过程中的安全防护、数据存储过程的安全防护等。
        不同加密机制或密码函数的用途、强度是不相同的,一个软件或系统中的加密机制使用得是否合理,强度是否满足当前需求,是需要通过测试来完成的,通常模拟解密是测试的一个重要手段。
 
        检验
        检验(检查)包括测量、检查和测试等活动,目的是确定项目成果是否与要求相一致。检验可以在任何管理层次中开展,例如,一个单项活动的结果和整个项目的最后成果都可以检验。检验有各种名称,如复查、产品复查、审查及评审等。
        检查表(核对表)是常用的检验技术,检查表通常是由详细的条目组成的,用于检查和核对一系列必须采取的步骤是否已经实施的结构化工具,其具体内容因应用的不同而不同。检查表是一种有条理的工具,可简单可烦琐,语言表达形式可以是命令式,也可以是询问式。
        例如,下表是一个确认测试工具属性的检查表例子。
        
        一个确认测试工具属性的检查表例子



更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5
京公网安备 11010502032051号 | 营业执照
 Copyright ©2000-2023 All Rights Reserved
软考在线版权所有