返回
软件安全性测试技术探究

软件安全性测试技术探究

ID:6051907

大小:27.50 KB

页数:6页

时间:2018-01-01

软件安全性测试技术探究_第1页
软件安全性测试技术探究_第2页
软件安全性测试技术探究_第3页
软件安全性测试技术探究_第4页
软件安全性测试技术探究_第5页
资源描述:

《软件安全性测试技术探究》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、软件安全性测试技术探究  摘要随着网络技术的发达以及计算机技术的使用,软件的普及率越来越高,其复杂程度以及具备的规模也不断提高,软件中的漏洞以及安全性的缺乏给人们造成的损失也不断增加,软件安全性问题突出已经引起了全社会的关注。而软件的安全性测试技术正是为了弥补软件运用中所存在的这一缺陷而诞生的。软件安全性测试是降低软件运用风险,保证软件使用安全性的重要手段,通晓软件安全性测试技术,将使我们更好、更全面地了解日常使用的软件,以及学会如果更好地规避软件使用中的风险。本文将重点关注软件安全性的测试技术,并从软件安全性测试的特

2、点、分类,主要的测试方法和安全性测试工具分类与功能这三个方面进行相关的论述与探析。关键词软件;安全性;测试技术中图分类号:TP311文献标识码:A文章编号:1671-7597(2013)11-0000-006软件的安全性主要包括软件的失效安全性以及保密安全性。失效安全性是指软件在不间断运行中,不发生系统事故的能力。其包括:因安全性失效可能造成单位的财产与人员损失、环境污染等重大安全事故。而保密安全性是指软件所具有的可以防止对数据和程序进行非法存取的预防能力。在我国,相关的软件技术人员更多的是侧重于软件的失效安全性。建立

3、在可靠性理论基础上的失效安全性主要度量标准有软件事故率、失效度、安全度以及平均事故间隔时间。目前常有的测试方法有基于最小割集的测试、故障树的测试、ISO9126质量模型、基于模型的测试、基于属性的测试等。1软件安全性测试的特点和分类6软件安全性测试是通过测试手段,来确定软件的安全性是否与预期结果保持一致的过程。软件安全性的测试,是区别与其它软件的测试类型,它具有自身的特殊性、安全性,相关缺陷也与一般软件缺陷相区别的特点。软件的安全性测试主要包括验证,渗透测试,安全功能测试的过程。与其他传统测试软件相比,软件的安全性测试

4、最大不同之处:软件安全性测试强调软件“不应该做什么”,而不是“应该做什么”,比如软件缺陷所产生的影响甚微,但难以发现的软件漏洞可能是致命错误,能让客户蒙受重大损失。软件安全性测试的这种不同,正是由其特殊性、安全性所决定的。相比软件中的非安全性测试,安全性测试更强调的是软件的否定需求,比如用户在使用该软件的时候,如果登陆三次失败就锁定账号。相比非安全性测试中的违反常规,安全性测试的缺点是由软件的副作用引起的。比如,在非安全性测试缺陷下,本来软件应该做G的,但它却做了F;而在安全性测试缺陷下,本来软件应该做G的,但是它在做

5、完G的同时也顺带完成了F。软件的安全测试主要包括:安全漏洞的测试与安全功能的测试。所谓软件的安全漏洞指软件系统在设计、使用等方面,存在可被利用的漏洞。当不法分子发现或者利用这些软件漏洞时,软件便处于不安全的状态。所以,利用软件的安全漏洞测试才能发现并识别软件中的这些漏洞,并及时加以修补。而所谓的安全功能需求包括数据的机密性,完整性以及可靠性,不可否认性,还包括身份认证,访问设置,跟踪追查,安全管理,隐私保护等。而基于软件的安全功能需求的安全功能测试,就是用来测试该软件是否具备与预期相一致的功能的。2软件安全性测试主要方

6、法2.1基于故障注入的安全性测试故障注入的软件安全性测试,就是指通过构造各类协议数据包来植入故障,以测试目标软件是否能正确处理这些预置故障。该测试方法是WenlingDu建立的一种软件与环境交互,将故障注入技术用于软件安全性测试的一种故障模型。该项目通过修改某些协议中的数据,支持的协议有HTTP、HIP、WAP、SNMP等。故障注入就是通过故障注入函数,进行故障模拟,并使程序强制进入某些特定状态,而使用常规的测试技术是很难查看到的。2.2基于自盒的安全性测试6基于自盒的安全测试主要是静态分析,主要考察缓冲区溢出、数据竞

7、争等安全性缺陷代码模式,主要的技术分析有数据流分析、技术型推断和约束分析。为了在程序运行的时候插入攻击代码,测试安全机制是否真正可用,LoriPollock和BenBreech提出一种基于动态编译技术的安全测试框架,主要用来测试基于程序的攻击。2.3攻击树理论与威胁模型安全性研究方法大致可分为:基于漏洞的方法、基于威胁的方法。前者是为了识别软件的安全漏洞,主要是从软件的内部考虑软件的安全性。而后者是通过分解应用程序(识别入口点,出口点,数据流描述),识别要保护的资产等步骤,来识别软件所面临的安全威胁并测试是否能够正常发

8、生。最常用的威胁分类方法有篡改、欺骗、信息泄露、否认、拒绝服务等等,简称STRIDE。2.4基于模型的安全功能测试Markblackbum与RobertBusser研究出基于模型的安全功能测试,该模型安全功能测试常用的模型有:UML模型有限状态机两种。这种方法的适用范围取决于安全功能的建模能力,是一种较为一般的安全功能测试。3软件

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。