第十一章、十三章
第十一章 信息安全技術
口袋應試:本章教程中的出題概率不高,大家對數字簽名、安全協議和數據備份方面的知識多瞭解即可。
11.信息安全技術
11.1.2散列函數與數字簽名
2.數字簽名與數字水印
1)數字簽名
數字簽名可以解決否認、僞造、篡改及冒充等問題。具體要求:發送者事後不能否 認發送的報文簽名、接收者能夠覈實發送者發送的報文簽名、接收者不能僞造發送者的 報文簽名、接收者不能對發送者的報文進行部分篡改、網絡中的某一用戶不能冒充另一 用戶作爲發送者或接收者。凡是需要對用戶的身份進行判斷的情況都可以使用數字簽名, 例如加密信件、商務信函、訂貨購買系統、遠程金融交易和自動模式處理等。
[email protected]
出題概率:★★
180164、180165
11.1.5安全協議
2. SSL協議
SSL協議(Secure Socket Layer)是Natscape推出的一種網絡安全協議,是在傳輸 過程通信協議(TCP/IP)上實現的一種安全協議。在SSL中,採用了公開密鑰和私有密 鑰兩種加密方式,它對計算機之間的整個會話進行加密。SSL的安全服務位於TCP和 應用層之間,可爲應用層,如HTTP、FPT、SMTP提供安全業務,服務對象主要是Web 應用,即客戶瀏覽器和服務器。它的基本目標是在通信雙方之間建立安全的連接,可運 行在任何可靠的通信協議之上、應用層協議之下。
HTTPS是一個安全通信通道,用於在客戶計算機和服務器之間交換信息。它使用安全套接字層(SSL)進行信息交換,所有的數據在傳輸過程中都是加密的。
[email protected]
出題概率:★
140168
擴展題點
MIME、S/MIME
MIME(Multipurpose Internet Mail Extensions)中文名爲:多用途互聯網郵件擴展類型。Internet電子郵件由一個郵件頭部和一個可選的郵件主體組成,其中郵件頭部含有郵件的發送方和接收方的有關信息。而MIME是針對郵件主體的一種擴展描述機制。它設定某種擴展名的文件用一種應用程序來打開的方式類型,當該擴展名文件被訪問的時候,瀏覽器會自動使用指定應用程序來打開。多用於指定一些客戶端自定義的文件名,以及一些媒體文件打開方式。所以這是與郵件內容直接相關的一個協議。
而S/MIME (Secure Multipurpose Internet Mail Extensions)是對MIME在安全方面的擴展。它可以把MIME實體(比如數字簽名和加密信息等)封裝成安全對象。增強安全服務,例如具有接收方確認簽收的功能,這樣就可以確保接收者不能否認已經收到過的郵件。還可以用於提供數據保密、完整性保護、認證和鑑定服務等功能。
S/MIME只保護郵件的郵件主體,對頭部信息則不進行加密,以便讓郵件成功地在發送者和接收者的網關之間傳遞。
出題概率:★
170113
網絡攻擊有主動攻擊和被動攻擊兩類。
在被動攻擊(passive attack)中,攻擊者的目的只是獲取信息,這就意味着攻擊者不會篡改信息或危害系統。系統可以不中斷其正常運行。常見的被動攻擊包括:竊聽和流量分析。
主動攻擊(active attack)可能改變信息或危害系統。威脅信息完整性和有效性的攻擊就是主動攻擊。主動攻擊通常易於探測但卻難於防範,因爲攻擊者可以通過多種方法發起攻擊。常見的主動攻擊包括:篡改、僞裝、重放、拒絕服務攻擊。
出題概率:★
160165
安全威脅
信息系統面臨的安全威脅多種多樣,來自多個方面。請指出信息系統面臨哪些方面的安全威脅並分別予以簡要描述。
信息系統面臨的安全威脅來自於管理、應用系統、通信鏈路、網絡系統、物理環境、操作系統等多個方面。口決:管應通,網物操
●物理安全威脅是指對系統所用設備的威脅,如自然災害、電源故障、數據庫故障和設備被盜等造成數據丟失或信息泄漏。
●通信鏈路安全威脅是指在傳輸線路上安裝竊聽裝置或對通信鏈路進行干擾。
●網絡安全威脅當前主要是指由於因特網的開放性、國際性與無安全管理性,對內部網絡形成的嚴重安全威脅。
●操作系統安全威脅指的是操作系統本身的後門或安全缺陷,如“木馬”和“陷阱 門”等。
●應用系統安全威脅是指對於網絡服務或用戶業務系統安全的威脅,包括應用系統自身漏洞,也受到“木馬”的威脅。
●管理系統安全威脅指的是人員管理和各種安全管理制度。
如果大家要在備考複習中進行分類測試練習,或者查找更詳細的備考資料,可以使用“系統架構設計師口袋應試”小程序,或者關注我的個人公衆號“跬步郎”來查找後續更新的內容。
第十三章 可靠性設計、測試
口袋應試:教材中的題點內容幾乎沒有,但是每年試題都會考測試內容,主要集中在《計算機測試規範》GB/T15532-2008的標準裏,所以建議大家多複習測試規範標準中附錄A的內容,包括:靜態測試、動態測試、集成測試、黑盒白盒測試等。
靜態測試
靜態測試包括代碼檢查、靜態結構分析、代碼質量度量等。它可以由人工進行,充分發揮人的邏輯思維優勢,也可以藉助軟件工具自動進行。代碼檢查包括代碼走查、桌面檢查、代碼審查等,主要檢查代碼和設計的一致性,代碼對標準的遵循、可讀性,代碼的邏輯表達的正確性,代碼結構的合理性等方面;可以發現違背程序編寫標準的問題,程序中不安全、不明確和模糊的部分,找出程序中不可移植部分、違背程序編程風格的問題,包括變量檢查、命名和類型審查、程序邏輯審查、程序語法檢查和程序結構檢查等內容。
出題概率:★
180143
軟件集成測試
軟件集成測試也稱爲組裝測試、聯合測試(對於子系統而言,則稱爲部件測試)。它將已通過單元測試的模塊集成在一起,主要測試模塊之間的協作性。從組裝策略而言,可以分爲一次性組裝測試和增量式組裝(包括自頂向下、自底向上及混合式)兩種。集成測試計劃通常是在軟件概要設計階段完成的,集成測試一般採用黑盒測試方法。
出題概率:★★
160142、160143
根據國家標準GB/T15532-2008,軟件測試可分爲單元測試、集成測試、配置項測試、系統測試、驗收測試和迴歸測試等類別。
單元測試也稱爲模塊測試,測試的對象是可獨立編譯或彙編的程序模塊、軟件構件或面向對象軟件中的類(統稱爲模塊),其目的是檢查每個模塊能否正確地實現設計說明中的功能、性能、接口和其他設計約束等條件,發現模塊內可能存在的各種差錯。單元測試的技術依據是軟件詳細設計說明書。
集成測試的目的是檢查模塊之間,以及模塊和己集成的軟件之間的接口關係,並驗證已集成的軟件是否符合設計要求。集成測試的技術依據是軟件概要設計文檔。
系統測試的對象是完整的、集成的計算機系統,系統測試的目的是在真實系統工作環境下,驗證完整的軟件配置項能否和系統正確連接,並滿足系統/子系統設計文檔和軟件開發合同規定的要求。系統測試的技術依據是用戶需求或開發合同。
配置項測試的對象是軟件配置項,配置項測試的目的是檢驗軟件配置項與軟件需求規格說明的一致性。
確認測試主要驗證軟件的功能、性能和其他特性是否與用戶需求一致。
驗收測試是指針對軟件需求規格說明,在交付前以用戶爲主進行的測試。
迴歸測試的目的是測試軟件變更之後,變更部分的正確性和對變更需求的複合型,以及軟件原有的、正確的功能、性能和其他規定的要求的不損害性。
出題概率:★
150138、150139
第三方認證服務
Kerberos可以防止偷聽和重放攻擊,保護數據的完整性。Kerberos的安全機制如下。
●S(Authentication Server):認證服務器,是爲用戶發放TGT的服務器。
●GS(Ticket Granting Server):票證授予服務器,負責發放訪問應用服務器時需要的票證。認證服務器和票據授予服務器組成密鑰分發中心(Key DistributionCenter,KDC)。
● V:用戶請求訪問的應用服務器。
● TGT(Ticket Granting Ticket):用戶向TGS證明自己身份的初始票據,即KTGS(A,Ks)。
公鑰基礎結構(Public Key Infrastructure,PKI)是運用公鑰的概念和技術來提供安全服務的、普遍適用的網絡安全基礎設施,包括由PKI策略、軟硬件系統、認證中心、註冊機構(Registration Authority,RA)、證書籤發系統和PKI應用等構成的安全體系。
出題概率:★
130164
測試
白盒測試也稱爲結構測試,主要用於軟件單元測試階段,測試人員按照程序內部邏輯結構設計測試用例,檢測程序中的主要執行通路是否都能按預定要求正確工作。白盒測試方法主要有控制流測試、數據流測試和程序變異測試等。
控制流測試根據程序的內部邏輯結構設計測試用例,常用的技術是邏輯覆蓋。主要的覆蓋標準有語句覆蓋、判定覆蓋、條件覆蓋、條件/判定覆蓋、條件組合覆蓋、修正的條件/判定覆蓋和路徑覆蓋等。
語句覆蓋是指選擇足夠多的測試用例,使得運行這些測試用例時,被測程序的每個語句至少執行一次。
判定覆蓋也稱爲分支覆蓋,它是指不僅每個語句至少執行一次,而且每個判定的每種可能的結果(分支)都至少執行一次。
條件覆蓋是指不僅每個語句至少執行一次,而且使判定表達式中的每個條件都取得各種可能的結果。
條件/判定覆蓋同時滿足判定覆蓋和條件覆蓋。它的含義是選取足夠的測試用例,使得判定表達式中每個條件的所有可能結果至少出現一次,而且每個判定本身的所有可能結果也至少出現一次。
條件組合覆蓋是指選取足夠的測試用例,使得每個判定表達式中條件結果的所有可能組合至少出現一次。
修正的條件/判定覆蓋。需要足夠的測試用例來確定各個條件能夠影響到包含的判定結果。
路徑覆蓋是指選取足夠的測試用例,使得程序的每條可能執行到的路障都至少經過一次(如果程序中有環路,則要求每條環路路徑至少經過一次)。
出題概率:★
130138、