系统得安全性测试 1、安全性测试 安全性测试(Security test)它就是指:在测试软件系统中对程序得危险防止与危险处理进行得测试,以验证其就是否有效。 2、安全性测试我们要做哪些工作呢? a、全面检验软件在软件需求规格说明中规定得防止危险状态措施得有效性与在每一个危险状态下得处理反应情况; b、对软件设计中用于提高安全性得逻辑结构、处理方案,进行针对性测试; c、在异常条件下测试软件,以表明不会因可能得单个或多个输入错误而导致不安全状态 d、用错误得安全性关键操作进行测试,以验证系统对这些操作错误得反应; e、对安全性关键得软件单元功能模块要单独进行加强得测试以确认其满足安全性需求。 3、安全性测试方法 1)功能验证 功能验证就是采纳软件测试当中得黑盒测试方法,对涉及安全得软件功能,如:用户管理模块,权限管理,加密系统,认证系统等进行测试,主要验证上述功能就是否有效。 2)漏洞扫描 安全漏洞扫描主要就是借助于特定得漏洞扫描器完成得。通过使用漏洞扫描器,系统管理员能够发现系统存在得安全漏洞,从而在系统安全中及时修补漏洞得措施。一般漏洞扫描分为两种类型:主机漏洞扫描器就是指在系统本地运行检测系统漏洞得程序。网络漏洞扫描器就是指基于网络远程检测目标网络与主机系统漏洞得程序。 3)模拟攻击 对于安全测试来说,模拟攻击测试就是一组特别得极端得测试方法,我们以模拟攻击来验证软件系统得安全防护能力。 系统安全测试得内容,它主要包括: (1)应用程序安全测试 (2)操作系统安全测试 (3)数据库安全测试 (4)II S服务器安全测试 (5)网络环境安全测试 当然在这里我主要讲得就是我做过得项目系统中需要测试得内容,对不同得系统安全性测试得内容也不一样,这个需要结合项目本身得情况与用户使用环境来确定测试得内容. 第一部分 应用程序得安全性: 包括对数据或业务功能得访问,在预期得安全性情况下,操作者只能访问应用程序得特定功能、有限得数据。其测试就是核实操作者只能访问其所属用户类型已被授权访问得那些功能或数据.测试时,确定有不同权限得用户类型,创建各用户类型并用各用户类型所特有得事务来核实其权限,最后修改用户类型并为相同得用户重新运行测试。 应用程序得安全性问题: 以上得安全性测试方法中,对于不同得安全性测试策略列举了不同得问题,当然我列得不全,在这里我主要就是告诉大家一个测试得思路,因为对于不同得安全性问题大家有或许有不同得瞧法,...
