【正确答案】 (1)对用户权限控制体系合理性的评价，其具体测试内容包括： ·是否采用系统管理员、业务领导、操作人员三级分离的管理模式 ·用户名称是否具有唯一性，口令的强度及口令存储的位置和加密强度等 (2)对用户权限分配合理性的评价，其具体测试内容包括： ·用户权限系统本身权限分配的细致程度 ·特定权限用户访问系统功能的能力测试

【答案解析】 本问题考查用户权限控制相关安全测试的基本测试内容。对这部分进行安全测试应包含对用户权限控制体系合理性的评价和对用户权限分配合理性的评价，详见参考答案。

【正确答案】 冒充攻击：攻击者控制企业某台主机，发现其中系统服务中可利用的用户账号，进行口令猜测，从而假装成特定用户，对企业资源进行非法访问。 重演攻击(或重放攻击)：攻击者通过截获含有身份鉴别信息或授权请求的有效消息，将该消息进行重演，以达到鉴别自身或获得授权的目的，实现对企业资源的访问。 服务拒绝攻击：攻击者通过向认证服务或授权服务发送大量虚假请求，占用系统带宽并造成系统关键服务繁忙，从而使得认证授权服务功能不能正常执行，产生服务拒绝。 内部攻击：不具有相应权限的系统合法用户以非授权方式进行动作，如截获并存储其他业务部门的网络数据流，或对系统访问控制管理信息进行攻击以获得他人权限等。 以上攻击，任给出3种即可。

【答案解析】 本问题考查针对特定系统的模拟攻击实验设计。模拟攻击试验是一组特殊的墨盒测试安全，相关模拟攻击实验的设计应结合应用具体的安全机制及特点。针对系统的身份认证机制，可设计冒充攻击试验；针对系统用于认证及授权决策的网络消息，可设计重演攻击试验；针对系统关键核心安全模块，可设计服务拒绝攻击试验；由于系统运行时涉及各种内部用户，因此安全测试需验证系统防范内部用户的安全攻击，因此可设计内部攻击实验。

【正确答案】 对该系统安全审计功能设计的测试点应包括： ·能否进行系统数据收集，统一存储，集中进行安全审计 ·是否支持基于PKI的应用审计 ·是否支持基于XML等的审计数据采集协议 ·是否提供灵活的自定义审计规则 以上测试点，任意给出3个即可。

【答案解析】 本问题考查软件系统安全审计功能的主要测试点，在对安全审计功能进行测试时，设计的测试点详见参考答案。