安全性测试什么是安全性测试.pptxVIP

;什么是安全测试 安全测试的目的 系统安全的标准 从哪些方面进行测试 怎么测;安全测试是在IT软件产品的生命周期中，特别是产品开发基本完成到发布阶段，对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程 。;提升IT产品的安全质量； 尽量在发布前找到安全问题予以修补降低成本 ； 度量安全； 验证安装在系统内的保护机制能否在实际应用中对系统进行保护，使之不被非法入侵，不受各种因素的干扰。 ;无 保 护 级（D级） 自主保护级（C级） 强制保护级（B级） 验证保护级（A级）;这是计算机安全的最低一级； 整个计算机系统是不可信任的，硬件和操作系统很容易被侵袭； D1级计算机系统标准规定对用户没有验证，也就是任何人都可以使用该计算机系统而不会有任何障碍； 系统不要求用户进行登记（要求用户提供用户名）或口令保护（要求用户提供唯一字符串来进行访问）； 任何人都可以坐在计算机前并开始使用它。?;C1级系统要求硬件有一定的安全机制（如硬件带锁装置和需要钥匙才能使用计算机等），用户在使用前必须登录到系统； C1级系统还要求具有完全访问控制的能力，经应当允许系统管理员为一些程序或数据设立访问许可权限； C1级防护不足之处在于用户直接访问操作系统的根； C1级不能控制进入系统的用户的访问级别，所以用户可以将系统的数据任意移走。;C2级在C1级的某些不足之处加强了几个特性，C2级引进了受控访问环境（用户权限级别）的增强特性； 授权分级使系统管理员能够分用户分组，授予他们访问某些程序的权限或访问分级目录； 另一方面，用户权限以个人为单位授权用户对某一程序所在目录的访问。如果其他程序和数据也在同一目录下，那么用户也将自动得到访问这些信息的权限； C2级系统还采用了系统审计，审计特性跟踪所有的“安全事件”，如登录（成功和失败的），以及系统管理员的工作，如改变用户访问和口令。;B1级系统支持多级安全，多级是指这一安全保护安装在不同级别的系统中（网络、应用程序、工作站等），它对敏感信息提供更高级的保护。例如安全级别可以分为解密、保密和绝密级别。;这一级别称为结构化的保护(Structured Protection)。B2 级安全要求计算机系统中所有对象加标签，而且给设备（如工作站、终端和磁盘驱动器）分配安全级别。如用户可以访问一台工作站，但可能不允许访问装有人员工资资料的磁盘子系统。?;B3级要求用户工作站或终端通过可信任途径连接网络系统，这一级必须采用硬件来保护安全系统的存储区。;这是橙皮书中的最高安全级别，这一级有时也称为验证设计(verified design)； A级还附加一个安全系统受监视的设计要求，合格的安全个体必须分析并通过这一设计； 另外，必须采用严格的形式化方法来证明该系统的安全性； 而且在A级，所有构成系统的部件的来源必须安全保证，这些安全措施还必须担保在销售过程中这些部件不受损害。 ;基本安全防护系统测试 安全系统防护体系 证书业务服务系统 证书查询验证服务系统 密钥管理系统 可信授权服务系统 可信时间戳服务系统 网络信任域系统 故障恢复与容灾备份 ;防火墙、入侵监测系统、漏洞扫描、病毒防治、安全审计、WEB信息防篡改系统;由实体安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全七层次，因此安全性测试测策针对7层进行测试和评估。 ;包括证书认证及证书审核注册，需验证功能和性能；测试采用过程是否符合标准；证书类型是否正确；证书格式、申请、审核、下载功能是否正确；并发性、扩展性、备份。;验证功能和性能； 测试查询、管理、证书信息发布、下载、更新功能； 并发性、扩展性。;验证功能和性能； 测试密钥生成、发送存储、查询等基本功能，安全管理功能、系统管理功能； 并发压力、最大量密钥系统的基本功能、密钥的保存期、备份； ;集中式授权服务 验证是否具有用户管理、审核管理、资源管理、角色管理等主要功能； 分布式授权服务 验证其是否有资源访问的签名授权、授权管理等功能； 同时还要对系统进行并发压力测试。 ;验证功能和性能； 测试时间来源是否正确、保存功能、签发功能； 时间精度、验证时间戳请求并发性、可扩展性。;由通过安全审查的网络可信接入设备和网络信任域管理系统组成； 验证功能和性能； 接入认证交换机、限制、管理、管理配置功能； 认证时间、认证接入请求数并发性、接口。 ;故障恢复、数据备份、容灾备份。 ; 静态的代码安全测试 主要通过对源代码进行安全扫描，根据程序中数据流、控制流、语义等信息与其特有软件安全规则库进行匹对，从中找出代码中潜在??安全漏洞。静态的源代码安全测试是非常有用的方法，它可以在编码阶段找出所有可能存在安全风险的代码，这样开发人员可以在早期解决潜在的安全问题。而正因为如此，静态代码测试比较适用于早期的代码开发