系统的安全性测试.docx

系统的安全性测试 1、安全性 测试 安全性测试 （Security test ） 它是指： 在测试软件系统中对程序的危险防止和危险处理进行的测试， 以 验证其是否有效。 2、安全性测试我们要做哪些 工作 呢？ a.全面检验软件在软件需求规格说明中规定的防止危险状态措施的有效性和在每一个危险状态下的处 理反应情况； b.对软件设计中用于提高安全性的逻辑结构、处理方案，进行针对性测试； c.在异常条件下测试软件，以表明不会因可能的单个或多个输入错误而导致不安全状态 d.用错误的安全性关键操作进行测试，以验证系统对这些操作错误的反应； e.对安全性关键的软件单元功能模块要单独进行加强的测试以确认其满足安全性需求。 3、安全性测试方法 1 ）功能验证 功能验证是采用 软件测试 当中的 黑盒测试 方法，对涉及安全的软件功能，如：用户管理模块，权限管 理，加密系统，认证系统等进行测试，主要验证上述功能是否有效。 2 ）漏洞扫描 安全漏洞扫描主要是借助于特定的漏洞扫描器完成的。通过使用漏洞扫描器，系统管理员能够发现系 统存在的安全漏洞，从而在系统安全中及时修补漏洞的措施。一般漏洞扫描分为两种类型：主机漏洞扫描 器是指在系统本地运行检测系统漏洞的程序。网络漏洞扫描器是指基于网络远程检测目标网络和主机系统 漏洞的程序。 3 ）模拟攻击 对于 安全测试 来说，模拟攻击测试是一组特殊的极端的测试方法，我们以模拟攻击来验证软件系统的 安全防护能力。 系统安全测试的内容，它主要包括： （ 1）应用程序安全测试 （ 2） 操作系统 安全测试 （ 3） 数据库 安全测试 （ 4） IIS 服务器安全测试 （ 5）网络环境安全测试 当然在这里我主要讲的是我做过的项目系统中需要测试的内容，对不同的系统安全性测试的内容也不 一样，这个需要结合项目本身的情况和用户使用环境来确定测试的内容。 第一部分 应用程序的安全性： 包括对数据或业务功能的访问，在预期的安全性情况下，操作者只能访问应用程序的特定功能、有限 的数据。其测试是核实操作者只能访问其所属用户类型已被授权访问的那些功能或数据。测试时，确定有 不同权限的用户类型，创建各用户类型并用各用户类型所特有的事务来核实其权限，最后修改用户类型并 为相同的用户重新运行测试。 应用程序的安全性问题： 以上的安全性测试方法中，对于不同的安全性测试策略列举了不同的问题，当然我列的不全，在这里 我主要是告诉大家一个测试的思路，因为对于不同的安全性问题大家有或许有不同的看法，所以我只列举 了部分问题给大家参考。 功能验证 1. 有效的密码是否接受，无效的密码是否拒绝。 2. 系统对于无效用户或密码登陆是否有提示。 3. 用户是否会自动超时退出，超时的时间是否合理。 4. 各级用户权限划分是否合理。 漏洞扫描 无 模拟攻击 1. 系统是否允许极端或不正常的登陆方式访问。 （如拷贝软件系统中的某个功能点的 url 地址，然后直 接通过 IE 访问看是否成功） 第二部分 系统安全性： 注意（这里的系统指的是操作系统也就是应用程序所运行的操作系统） 系统安全测试： 可确保只有具备系统访问权限的用户才能访问应用程序，而且只能通过相应的网关来访问，包括对系 统的登录或远程访问。 其测试是核实只有具备系统和应用程序访问权限的操作者才能访问系统和应用程序。 操作系统安全测试 1 、帐号和口令 2 、网络与服务 3 、文件系统 4 、日志审核 5 、其它安全设置 帐号和口令 1. 对主机或域上用户强制进行口令复杂度。 2. 检查系统是否使用默认管理员帐号。 3. 检查在系统中是否存在可疑或与系统无关的帐号。 4. 检查系统用户是否有口令最短和口令长度要求。 5. 检查系统用户是否有密码过期策略。 6. 网络与服务： a.查看主机开放的共享，关掉不必要的共享和系统默认的共享服务。 b.查看主机进程信息。（不允许系统中安装有与应用服务无关的应用程序） c.查看系统启动的服务列表。 d.查看系统启用的端口号。 e.查看系统是否制定操作系统的备份恢复策略服务 文件系统 文件系统的安全主要是检查主机磁盘分区类型和某些特定目录的权限。 注意：服务器应使用具有安全特性的 NTFS 格式，而不应该使用 FAT 或 FAT32 分区（上述描述的内 容主要是针对 windows 操作系统）。 日志审核 日志的审核主要是检查主机日志的审核情况。 它主要包括： 1. 应用程序日志。（运行在操作系统上的程序产生的） 2. 安全日志。（用户登录系统的日志） 3. 系统日志。 其它安全设置 1、 系统补丁漏洞。 2