免费智能真题库 > 历年试卷 > 软件评测师 > 2012年下半年 软件评测师 上午试卷 综合知识
  第31题      
  知识点:   加密   加密机制   检验
  关键词:   测试   加密   信息系统        章/节:   测试技术的分类       

 
由于不同加密机制的用途及强度不同,因此一个信息系统中加密机制使用是否合理,强度是否满足当前需要,需要通过测试来检验,通常(31)是测试的一个重要手段。
 
 
  A.  加密代码审查
 
  B.  漏洞扫描
 
  C.  模拟加密
 
  D.  模拟解密
 
 
 

 
  第31题    2011年下半年  
   44%
安全防护策略是软件系统对抗攻击的主要手段,安全防护策略不包括(31)。
  第55题    2010年下半年  
   49%
目前信息系统所使用的主要用户认证机制,身份识别标识不包括(55)。
  第67题    2015年下半年  
   25%
对于其于用户口令的用户认证机制来说,(67)不属于增强系统安全性应使用的防范措施。
   知识点讲解    
   · 加密    · 加密机制    · 检验
 
       加密
        如果应用程序使用加密来提供安全性,检查加密的内容以及加密的使用方法。下表显示了与加密有关的常见漏洞。
        
        常见的加密漏洞
        测试中需要考虑下列问题,帮助验证应用程序处理敏感数据的方法。
        . 为何使用特定的算法。
        加密只有在正确使用时才能提供真正的安全保障。不同作业使用不同的算法。算法的程度也非常重要。考虑下列问题,评价所使用的加密算法。
        ①是否开发自己的加密技术。
        不应开发自己的加密技术。众所周知,加密算法和例程的开发非常难,而且很难成功。自定义实施的安全保护一般很弱,基本上不如久经考验的系统平台服务提供的安全措施。
        ②是否使用合适的密钥大小来应用正确的算法。
        检查应用程序使用的算法及使用该算法的目的。较大的密钥可提供较高的安全性,但会影响性能。对于在数据存储中长时间保存的永久数据,较强的加密非常重要。
        . 如何确保加密密钥的安全性。
        加密数据的安全与密钥的安全同等重要。要破解加密数据,攻击者必须能检索出密钥和密码文本。因此,需要检查设计,确保加密密钥和加密数据的安全。考虑下列评价问题。
        ①如何确保加密密钥的安全。
        如果使用DPAPI,将由系统平台为用户管理密钥。其他情况下,则由应用程序负责密钥管理。检查应用程序确保加密密钥安全的方法。一种较好的方法是,使用DPAPI加密其他加密形式所需的加密密钥。然后,安全地保存加密密钥,例如,将其放在配置了受限ACL的注册表项目下。
        ②回收密钥的频率如何。
        不能滥用密钥。同一密钥使用的时间越长,被发现的可能性就越高。设计是否考虑了怎样回收密钥、回收的频率,以及如何将它们分发并安置在服务器中。
 
       加密机制
        加密机制是保护数据安全的重要手段,加密的基本过程就是对原来为明文的文件或数据,按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才能显示出明文内容,通过这样的途径来达到保护数据不被非法窃取、阅读的目的。该过程的逆过程为解密,即将该编码信息还原为其原来数据的过程。
        密码函数可用来作为加密、解密、保证数据完整性、鉴别交换、口令存储与检验等的一部分,借以达到保密和鉴别的目的当用于机密性的加密时,密码技术被用于把敏感性较强的数据(即受保护的数据)变换成敏感性较弱的形式。当用于保证数据完整性或鉴别交换时,密码技术被用来计算不可伪造的函数。加密开始时,在明文上实施以产生密文,解密的结果或是明文,或是在某种掩护下的密文。使用明文作通用的处理在计算上是可行的,它的语义内容是可以理解的。除了以特定的方式,密文是不能用来计算的,因为它的语义内容已隐藏起来。有时故意让加密是不可逆的(例如截短或数据丢失),这样做的目的是不希望导出原来的明文,例如口令。
        密码技术能够提供或有助于提供相关保护,以防止消息流的观察和篡改、通信业务流分析、抵赖、伪造、非授权连接、篡改消息等行为的出现。主要用于密码的保护、数据的传输过程中的安全防护、数据存储过程的安全防护等。
        不同加密机制或密码函数的用途、强度是不相同的,一个软件或系统中的加密机制使用得是否合理,强度是否满足当前需求,是需要通过测试来完成的,通常模拟解密是测试的一个重要手段。
 
       检验
        检验(检查)包括测量、检查和测试等活动,目的是确定项目成果是否与要求相一致。检验可以在任何管理层次中开展,例如,一个单项活动的结果和整个项目的最后成果都可以检验。检验有各种名称,如复查、产品复查、审查及评审等。
        检查表(核对表)是常用的检验技术,检查表通常是由详细的条目组成的,用于检查和核对一系列必须采取的步骤是否已经实施的结构化工具,其具体内容因应用的不同而不同。检查表是一种有条理的工具,可简单可烦琐,语言表达形式可以是命令式,也可以是询问式。
        例如,下表是一个确认测试工具属性的检查表例子。
        
        一个确认测试工具属性的检查表例子
   题号导航      2012年下半年 软件评测师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第31题    在手机中做本题