返回
系统的安全性测试.doc

系统的安全性测试.doc

ID:2032714

大小:34.00 KB

页数:6页

时间:2017-11-14

系统的安全性测试.doc_第1页
系统的安全性测试.doc_第2页
系统的安全性测试.doc_第3页
系统的安全性测试.doc_第4页
系统的安全性测试.doc_第5页
资源描述:

《系统的安全性测试.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、系统的安全性测试 1、安全性测试  安全性测试(Securitytest)它是指:在测试软件系统中对程序的危险防止和危险处理进行的测试,以验证其是否有效。  2、安全性测试我们要做哪些工作呢?  a.全面检验软件在软件需求规格说明中规定的防止危险状态措施的有效性和在每一个危险状态下的处理反应情况;  b.对软件设计中用于提高安全性的逻辑结构、处理方案,进行针对性测试;  c.在异常条件下测试软件,以表明不会因可能的单个或多个输入错误而导致不安全状态  d.用错误的安全性关键操作进行测试,以验证系统对这些操作错误的反应;  e.对安全性关键的软件单元功能

2、模块要单独进行加强的测试以确认其满足安全性需求。  3、安全性测试方法  1)功能验证  功能验证是采用软件测试当中的黑盒测试方法,对涉及安全的软件功能,如:用户管理模块,权限管理,加密系统,认证系统等进行测试,主要验证上述功能是否有效。  2)漏洞扫描  安全漏洞扫描主要是借助于特定的漏洞扫描器完成的。通过使用漏洞扫描器,系统管理员能够发现系统存在的安全漏洞,从而在系统安全中及时修补漏洞的措施。一般漏洞扫描分为两种类型:主机漏洞扫描器是指在系统本地运行检测系统漏洞的程序。网络漏洞扫描器是指基于网络远程检测目标网络和主机系统漏洞的程序。  3)模拟攻击

3、  对于安全测试来说,模拟攻击测试是一组特殊的极端的测试方法,我们以模拟攻击来验证软件系统的安全防护能力。  系统安全测试的内容,它主要包括:  (1)应用程序安全测试  (2)操作系统安全测试  (3)数据库安全测试  (4)IIS服务器安全测试  (5)网络环境安全测试  当然在这里我主要讲的是我做过的项目系统中需要测试的内容,对不同的系统安全性测试的内容也不一样,这个需要结合项目本身的情况和用户使用环境来确定测试的内容。  第一部分  应用程序的安全性:  包括对数据或业务功能的访问,在预期的安全性情况下,操作者只能访问应用程序的特定功能、有限的

4、数据。其测试是核实操作者只能访问其所属用户类型已被授权访问的那些功能或数据。测试时,确定有不同权限的用户类型,创建各用户类型并用各用户类型所特有的事务来核实其权限,最后修改用户类型并为相同的用户重新运行测试。  应用程序的安全性问题:  以上的安全性测试方法中,对于不同的安全性测试策略列举了不同的问题,当然我列的不全,在这里我主要是告诉大家一个测试的思路,因为对于不同的安全性问题大家有或许有不同的看法,所以我只列举了部分问题给大家参考。  功能验证  1.有效的密码是否接受,无效的密码是否拒绝。  2.系统对于无效用户或密码登陆是否有提示。  3.用户

5、是否会自动超时退出,超时的时间是否合理。  4.各级用户权限划分是否合理。  漏洞扫描  无  模拟攻击  1.系统是否允许极端或不正常的登陆方式访问。(如拷贝软件系统中的某个功能点的url地址,然后直接通过IE访问看是否成功)  第二部分  系统安全性:  注意(这里的系统指的是操作系统也就是应用程序所运行的操作系统)  系统安全测试:  可确保只有具备系统访问权限的用户才能访问应用程序,而且只能通过相应的网关来访问,包括对系统的登录或远程访问。其测试是核实只有具备系统和应用程序访问权限的操作者才能访问系统和应用程序。  操作系统安全测试  1、帐号

6、和口令  2、网络与服务  3、文件系统  4、日志审核  5、其它安全设置  帐号和口令  1.对主机或域上用户强制进行口令复杂度。  2.检查系统是否使用默认管理员帐号。  3.检查在系统中是否存在可疑或与系统无关的帐号。  4.检查系统用户是否有口令最短和口令长度要求。  5.检查系统用户是否有密码过期策略。  6.网络与服务:  a.查看主机开放的共享,关掉不必要的共享和系统默认的共享服务。  b.查看主机进程信息。(不允许系统中安装有与应用服务无关的应用程序)  c.查看系统启动的服务列表。  d.查看系统启用的端口号。  e.查看系统是否制

7、定操作系统的备份恢复策略服务  文件系统  文件系统的安全主要是检查主机磁盘分区类型和某些特定目录的权限。  注意:服务器应使用具有安全特性的NTFS格式,而不应该使用FAT或FAT32分区(上述描述的内容主要是针对windows操作系统)。 日志审核  日志的审核主要是检查主机日志的审核情况。  它主要包括:  1.应用程序日志。(运行在操作系统上的程序产生的)  2.安全日志。(用户登录系统的日志)  3.系统日志。  其它安全设置  1、系统补丁漏洞。  2、登陆系统操作的用户的权限。  3、病毒防治。  4、系统日志是否有备份功能。  5、数据

8、的备份与恢复。  6、系统上卸载与无关组件或应用程序。  第三部分  数据库安全测试  数据库

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。