安全防范系统进行系统检测时应提供（）

安全日志是软件产品的一种被动防范措施，是系统重要的安全功能，因此安全日志测试是软件系统安全性测试的重要内容，下列不属于安全日志测试基本测试内容的是（ ）。

A.对安全日志的完整性进行测试，测试安全日志中是否记录包括用户登录名称、时间、地址、擞据操作行为以及退出时间等全部内容B.对安全日志的正确性进行测试，测试安全日志中记录的用户登录、数据操作等日志信息是否正确C.对日志信息的保密性进行测试，测试安全日志中的日志信息是否加密存储，加密强度是否充分D.对于大型应用软件系统，测试系统是否提供安全日志的统计分析能力

阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。

【说明】

图3-1是某互联网服务企业网络拓扑，该企业主要对外提供网站消息发布、在线销售管理服务，Web网站和在线销售管理服务系统采用JavaEE开发，中间件使用Weblogic，采用访问控制、NAT地址转换、异常流量检测、非法访问阻断等网络安全措施。

问题：3.1根据网络安全防范需求，需在不同位置部署不同的安全设备，进行不同的安全防范，为上图中的安全设备选择相应的网络安全设备。

在安全设备1处部署(1)；

在安全设备2处部署(2)；

在安全设备3处部署(3)。

(1)～(3)备选答案：

A．防火墙B．入侵检测系统(IDS)C．入侵防御系统(IPS)

问题：3.2

在网络中需要加入如下安全防范措施：

A．访问控制

B．NAT

C．上网行为审计

D．包检测分析

E．数据库审计

F．DDoS攻击检测和阻止

G．服务器负载均衡

H．异常流量阻断

I．漏洞扫描

J．Web应用防护

其中，在防火墙上可部署的防范措施有(4)；

在IDS上可部署的防范措施有(5)；

在口S上可部署的防范措施有(6)。

问题：3.3结合上述拓扑，请简要说明入侵防御系统(IPS)的不足和缺点。

问题：3.4该企业网络管理员收到某知名漏洞平台转发在线销售管理服务系统的漏洞报告，报告内容包括：

1．利用Java反序列化漏洞，可以上传jsp文件到服务器。

2．可以获取到数据库链接信息。

3．可以链接数据库，查看系统表和用户表，获取到系统管理员登录帐号和密码信息，其中登录密码为明文存储。

4．使用系统管理员帐号登录销售管理服务系统后，可以操作系统的所有功能模块。

针对上述存在的多处安全漏洞，提出相应的改进措施。

试题四（共12分）

阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。

【说明】

某企业为防止自身信息资源的非授权访问，建立了如图4-1所示的访问控制系统。

该系统提供的主要安全机制包括：

(1) 认证：管理企业的合法用户，验证用户所宣称身份的合法性，该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制；

(2) 授权：赋予用户访问系统资源的权限，对企业资源的访问请求进行授权决策；

(3) 安全审计：对系统记录与活动进行独立审查，发现访问控制机制中的安全缺陷，提出安全改进建议。

【问题1】 (6分)

对该访问控制系统进行测试时，用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面？每个方面具体的测试内容又有哪些？

【问题2】（3分）

测试过程中需对该访问控制系统进行模拟攻击试验，以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击，并简要说明模拟攻击的基本原理。

【问题3】（3分）

对该系统安全审计功能设计的测试点应包括哪些？

（二）背景资料 A公司中标了某商业中心机电安装工程，工程内容有建筑给排水，建筑电气、通风空调、消防工程、安全防范工程和电梯安装工程。其空调系统采用制冷站集中供冷，制冷站提供冷水给商业楼的室内空调机组。商业楼室内给水系统由水泵房集中供水；商业中心建设一个地下变电所。商业中心共有电梯12台、自动扶梯60台。 为方便施工管理，业主授权A公司可按合同文件与其他公司签订供货和安装合同。A公司将消防工程、安全防范工程分包给B公司施工；制冷站分包给C公司施工；地下变电所分包给电力工程公司；电梯安装由具备资质的C安装公司承担，并规定在安装的过程中必须接受A公司的指导和监控，安装完成后由A公司进行检测合格后进行报验。 电力工程公司在地下变电所工程完工后，经自检合格就通知业主和监理工程师组织检查验收。 问题 1．A公司所承担的商业中心的机电安装工程可分为哪几个分部工程。 2．电梯设备到达施工现场后，C公司应该检查的主要部件有哪些? 3．电力工程公司在地下变电所工程完工后，经自检合格就通知业主和监理工程师组织检查验收的做法是否正确？请说明理由。 4．合同规定电梯安装的相关内容是否正确?

商业银行为有效防范柜面业务操作风险，应采取的风险控制措施有()。

A.按照商业银行内部控制指引的有关要求，建立健全内部控制体系，明确内部控制职责，完善内部控制措施

B.加强业务管理条线、风险合规条线、审计监督条线“三道防线”建设

C.加强业务系统建设，尽可能将业务纳入系统处理，并在系统中自动设立风险监控要点，发现操作中的风险点能及时提供警示信息

D.加强岗位培训，特别是新业务和新产品培训，不断提高柜员操作技能和业务水平，同时培养柜员岗位安全意识和自我保护意识

E.强化一线实时监督检查，促进事后监督向专业化、规范化迈进，改进检查监督方法，同时充分发挥各专业部门的指导、检查和督促作用

阅读下列说明，回答问题1至问题3，将解答填入的对应栏内。

[说明]

某企业信息中心委托系统集成单位开发了企业网站，将应用服务器、Web服务器和数据库服务器都部署在信息中心机房，系统集成工作完成后，集成单位对网段、防火墙、入侵检测系统、防病毒系统等进行了全面的安全检查，向信息中心提交了安全测评报告。

信息中心主管认为该测评报告不够全面，要求尽可能提供系统的、多层次的、深入的安全测评报告。

请简述系统的安全防护体系包括的层次。

对于服务器操作系统的安全，应当从哪些方面进行测评?

安全日志是软件被动防范的措施，是重要的安全功能，软件的安全日志应当记录哪些信息?在安全测试中应当检查安全日志的哪些方面?

请帮忙给出每个问题的正确答案和分析，谢谢！

阅读下列说明，回答问题1至问题3，将解答填入的对应栏内。

[说明]

某企业信息中心委托系统集成单位开发了企业网站，将应用服务器、Web服务器和数据库服务器都部署在信息中心机房，系统集成工作完成后，集成单位对网段、防火墙、入侵检测系统、防病毒系统等进行了全面的安全检查，向信息中心提交了安全测评报告。

信息中心主管认为该测评报告不够全面，要求尽可能提供系统的、多层次的、深入的安全测评报告。

请简述系统的安全防护体系包括的层次。

对于服务器操作系统的安全，应当从哪些方面进行测评?

安全日志是软件被动防范的措施，是重要的安全功能，软件的安全日志应当记录哪些信息?在安全测试中应当检查安全日志的哪些方面?

请帮忙给出每个问题的正确答案和分析，谢谢！