返回
软件系统的安全性测试培训文档课件.ppt

软件系统的安全性测试培训文档课件.ppt

ID:57036197

大小:44.50 KB

页数:26页

时间:2020-07-27

软件系统的安全性测试培训文档课件.ppt_第1页
软件系统的安全性测试培训文档课件.ppt_第2页
软件系统的安全性测试培训文档课件.ppt_第3页
软件系统的安全性测试培训文档课件.ppt_第4页
软件系统的安全性测试培训文档课件.ppt_第5页
资源描述:

《软件系统的安全性测试培训文档课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、系统的安全性测试质量管理部二○○七年六月安全性测试的目的安全性(security)测试。它是指在测试软件系统中危险防止和危险处理设施进行的测试,以验证其是否有效。安全性测试应包括下面的工作:a.全面检验软件在软件需求规格说明中规定的防止危险状态措施的有效性和在每一个危险状态下的反应;b.对软件设计中用于提高安全性的结构、算法、容错、冗余、中断处理等方案,进行针对性测试;c.在异常条件下测试软件,以表明不会因可能的单个或多个输入错误而导致不安全状态。d.用错误的安全性关键操作进行测试,以验证系统对这些操作错误的反应;e.对安全性关键的软件单元和软件部件,要单独进行加强的测试,以确认

2、其满足安全性需求。安全性测试方法1.功能验证功能验证是采用软件测试当中的黑盒测试方法,对涉及安全的软件功能,如:用户管理模块,权限管理,加密系统,认证系统等进行测试,主要验证上述功能是否有效。2.漏洞扫描安全漏洞扫描主要是借助于特定的漏洞扫描器完成的。通过使用漏洞扫描器,系统管理员能够发现系统存在的安全漏洞,从而在系统安全中及时修补漏洞的措施。一般漏洞扫描分为两种类型:主机漏洞扫描器是指在系统本地运行检测系统漏洞的程序。网络漏洞扫描器是指基于网络远程检测目标网络和主机系统漏洞的程序。3.模拟攻击对于安全测试来说,模拟攻击测试是一组特殊的极端的测试方法,我们以模拟攻击来验证软件系统

3、的安全防护能力。系统安全测试的内容1.应用程序安全测试2.操作系统安全测试3.数据库安全测试4.IIS服务器安全测试5.网络环境安全测试第一部分应用程序安全测试应用程序的安全性:包括对数据或业务功能的访问,在预期的安全性情况下,操作者只能访问应用程序的特定功能、有限的数据。其测试是核实操作者只能访问其所属用户类型已被授权访问的那些功能或数据。测试时,确定有不同权限的用户类型,创建各用户类型并用各用户类型所特有的事务来核实其权限,最后修改用户类型并为相同的用户重新运行测试。应用程序的安全性问题:功能验证1.有效的密码是否接受,无效的密码是否拒绝。2.系统对于无效用户或密码登陆是否有

4、提示。3.用户是否会自动超时退出,超时的时间是否合理。4.各级用户权限划分是否合理。模拟攻击1.系统是否允许极端或不正常的登陆方式访问。(如不通过登入页面,直接输入URL,看其是否能够进入)第二部分系统安全测试系统安全测试:可确保只有具备系统访问权限的用户才能访问应用程序,而且只能通过相应的网关来访问,包括对系统的登录或远程访问。其测试是核实只有具备系统和应用程序访问权限的操作者才能访问系统和应用程序。操作系统安全测试帐号和口令网络与服务文件系统日志审核其它安全设置帐号和口令对主机或域上用户强制进行口令复杂度。检查系统是否使用默认管理员帐号。检查在系统中是否存在可疑或与系统无关的

5、帐号。检查系统用户是否有口令最短和口令长度要求。检查系统用户是否有密码过期策略。网络与服务查看主机开放的共享,关掉不必要的共享和系统默认的共享服务。查看主机进程信息。(不允许系统中安装有与应用服务无关的应用程序)查看系统启动的服务列表。查看系统启用的端口号。查看系统是否制定操作系统的备份恢复策略服务。文件系统文件系统的安全主要是检查主机磁盘分区类型和某些特定目录的权限。注意:服务器应使用具有安全特性的NTFS格式,而不应该使用FAT或FAT32分区(上述描述的内容主要是针对windows操作系统)。日志审核日志的审核主要是检查主机日志的审核情况。它主要包括:1.应用程序日志。2.

6、安全日志。(用户登录系统的日志)3.系统日志。其它安全设置系统补丁漏洞。登陆系统操作的用户的权限。病毒防治。系统日志是否有备份功能。数据的备份与恢复。系统上卸载与无关组件或应用程序。第三部分数据库安全测试数据库安全在管理和维护数据库的过程中为了保障数据库安全我们从以下几方面限制数据库的访问安全:1、限制能访问Oracle数据库的客户端,指定的IP才可以访问,防止恶意的用户登陆。2、即使有访问Oracle数据库的机会,帐户的密码使用强口令和其他登陆策略,恶意用户也无法轻松进入。3、为每个登陆帐户设置了合适的权限,执行改变数据库状态的权限需要得到管理员的授权,确保了系统合法帐户对数据

7、库的操作安全。1.无关IP禁止访问方法一:在Oracle服务器的SQLNet.Ora文件中设置允许访问的IP地址,或不允许访问的IP地址;方法二:在Oracle服务器上使用NetManager工具设置;2.用户密码为强口令锁定不用的默认帐户,如scott;更改使用的默认帐户的口令,这些帐户的密码是公开的,安装时自动建立,如帐户system密码manager为确保安全默认帐户必须修改密码;密码使用强口令,即数字、特殊字符、字母组成的至少8未的密码;设置密码失效的策略文件profil

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。