安全性测试幻灯片.ppt

兰州直方科技有限公司 安全性测试 主要内容 安全性测试的基本概念和内容 特定需求和整个系统的安全性测试 软件安全性测试的方法 外购安全性测试 软件安全性分析 兰州直方科技有限公司 安全性测试的基本概念和内容 软件安全性测试就是有关验证应用程序的安全服务和识别潜在安全性缺陷的过程。 通常，软件系统的安全性需求包括两类需求 一类是作用于整个系统的系统安全级需求 如:用SSL(Secure Socket Layer)来加密客户端浏览器和Web服务器之间传送的数据 另一类是与某些特定功能相关的特定安全性需求。 例如：一个客户端-服务器系统中，必须指定允许登录的重试次数、登录失败时应该采取的行动、某项输入允许用户输入的最大长度。 兰州直方科技有限公司 特定需求和整个系统的安全性测试 考虑软件特定需求和整个系统的安全性，通常利用用户管理和访问控制、通信和数据加密、数据备份和恢复等功能进行安全防护。 针对这些安全防护功能进行安全性测试，需要考虑很多问题。 兰州直方科技有限公司 用户管理和访问控制安全性测试需要考虑的问题 1)明确区分系统中不同用户权限 2)检查系统在非授权的内部或外部用户访问或故意破坏的时候是否出现错误。 3)系统中会不会出现用户冲突。 4)系统会不会因用户权限的改变造成混乱。 5)用户登录密码是否是可见、可复制。 6)是否可以通过绝对途径登录系统(复制用户登录后的链接直接进入系统)。 7)用户退出系统后是否删除了所有鉴权标记，是否可以使用后退键而不通过输入口令进入系统。 8)用户错误登录次数的规定和处理。 兰州直方科技有限公司 数据库安全性测试需要考虑的问题 1)系统数据是否机密。 2)系统数据的完整性。 3)系统数据可管理性。 4)系统数据的独立性。 5)系统数据可备份和恢复能力。 兰州直方科技有限公司 软件安全性测试的方法 软件安全性测试的方法很多，除了有针对软件系统的安全防护功能的功能测试外，还有漏洞扫描、木马检查、模拟攻击试验和使用侦听技术，具体内容如下所示： 功能测试：在软件设计和开发过程中，软件中会增加一些必要的安全防护措施，如权限管理模块、数据恢复功能等。安全性测试时，就需要通过功能测试来检查这些功能是否达到预期的安全目标，是否达到了没有安全疏漏的要求。 漏洞扫描：采用成熟的网络漏洞检查工具检查系统相关漏洞(即用最专业的黑客攻击工具攻击试一下，比如NBSI系列和Iphacker IP)。 模拟攻击试验：测试人员模拟非授权攻击，检查防护系统是否坚固。 侦听技术。 兰州直方科技有限公司 外购安全性测试 目前，已有许多第三方的安全性测试公司可以提供较好的技术来进行安全性测试，因此，要发布一个安全的应用程序，将外部采购和内部测试结合起来是一种非常好的、保证系统安全性的测试方法。 兰州直方科技有限公司 软件安全性分析 测试人员一方面要使用软件安全性测试方法降低系统安全风险，也要使用软件安全性分析手段躲避系统安全风险，可以认为软件安全性分析是软件安全性测试的补充，也是保证软件安全质量的重要手段。 兰州直方科技有限公司 软件安全性分析的主要任务 软件安全性分析的主要任务包括七个方面 ： 1.软件需求安全性分析——对分配给软件的系统级安全性需求进行分析 2.软件结构设计安全性分析——评价结构设计的安全性，以保证软件安全功能的完整性 3.软件编程安全性分析——选择合适的编程语言 4.软件详细设计安全性分析——设计实现是否符合安全性要求 5.软件编码安全性分析——完成安全相关软件的编码活动 6.软件测试安全性分析——保证软件安全性 7.软件变更安全性分析——应对可能出现的软件变更 兰州直方科技有限公司 本章总结 安全性测试的基本概念和内容 特定需求和整个系统的安全性测试 软件安全性测试的方法 外购安全性测试 软件安全性分析 兰州直方科技有限公司 * 兰州直方科技有限公司 *