系统的平安性测试1、平安性测试平安性测试Security test 它是指在测试软件系统中对程序的危险防止和危险处理进行的测试,以验证其是否有效。2、平安性测试我们要做哪些 工作呢a.全面检验软件在软件需求规格说明中规定的防止危险状态措施的有效性和在每一个危险状态下的处 理反响情况;b.对软件设计中用于提高平安性的逻辑结构、处理方案,进行针对性测试;c.在异常条件下测试软件,以说明不会因可能的单个或多个输入错误而导致不平安状态d.用错误的平安性关键操作进行测试,以验证系统对这些操作错误的反响;e.对平安性关键的软件单元功能模块要单独进行加强的测试以确认其满足平安性需求。3、平安性测试方法1 功能验证功能验证是采用 软件测试当中的黑盒测试方法,对涉及平安的软件功能,如用户管理模块,权限管 理,加密系统,认证系统等进行测试,主要验证上述功能是否有效。2 漏洞扫描平安漏洞扫描主要是借助于特定的漏洞扫描器完成的。通过使用漏洞扫描器,系统管理员能够发现系 统存在的平安漏洞,从而在系统平安中及时修补漏洞的措施。一般漏洞扫描分为两种类型主机漏洞扫描 器是指在系统本地运行检测系统漏洞的程序。网络漏洞扫描器是指基于网络远程检测目标网络和主机系统 漏洞的程序。3 模拟攻击对于平安测试来说,模拟攻击测试是一组特殊的极端的测试方法,我们以模拟攻击来验证软件系统的 平安防护能力。系统平安测试的内容,它主要包括1 应用程序平安测试2 操作系统平安测试3 数据库平安测试4 IIS效劳器平安测试5 网络环境平安测试当然在这里我主要讲的是我做过的工程系统中需要测试的内容,对不同的系统平安性测试的内容也不一样,这个需要结合工程本身的情况和用户使用环境来确定测试的内容。第一局部应用程序的平安性包括对数据或业务功能的访问,在预期的平安性情况下,操作者只能访问应用程序的特定功能、有限的数据。其测试是核实操作者只能访问其所属用户类型已被授权访问的那些功能或数据。测试时,确定有不同权限的用户类型,创立各用户类型并用各用户类型所特有的事务来核实其权限,最后修改用户类型并为相同的用户重新运行测试。应用程序的平安性问题以上的平安性测试方法中,对于不同的平安性测试策略列举了不同的问题,当然我列的不全,在这里我主要是告诉大家一个测试的思路,因为对于不同的平安性问题大家有或许有不同的看法,所以我只列举 了局部问题给大家参考。功能验证1.有效的密码是否接受,无效的密码是否拒绝。2.系统对于无效用户或密码登陆是否有提示。3.用户是否会自动超时退岀,超时的时间是否合理。4.各级用户权限划分是否合理。漏洞扫描无模拟攻击1.系统是否允许极端或不正常的登陆方式访问。如拷贝软件系统中的某个功能点的url地址,然后直接通过IE访问看是否成功第二局部系统平安性注意这里的系统指的是操作系统也就是应用程序所运行的操作系统系统平安测试 可确保只有具备系统访问权限的用户才能访问应用程序,而且只能通过相应的网关来访问,包括对系统的登录或远程访问。
其测试是核实只有具备系统和应用程序访问权限的操作者才能访问系统和应用程序。
操作系统平安测试1、帐号和口令2、网络与效劳3、文件系统4、日志审核5、其它平安设置帐号和口令1.对主机或域上用户强制进行口令复杂度。2.检查系统是否使用默认管理员帐号。3.检查在系统中是否存在可疑或与系统无关的帐号。4.检查系统用户是否有口令最短和口令长度要求。5.检查系统用户是否有密码过期策略。6.网络与效劳a.查看主机开放的共享,关掉不必要的共享和系统默认的共享效劳。b.查看主机进程信息。不允许系统中安装有与应用效劳无关的应用程序c.查看系统启动的效劳列表。d.查看系统启用的端口号。e.查看系统是否制定操作系统的备份恢复策略效劳文件系统文件系统的平安主要是检查主机磁盘分区类型和某些特定目录的权限。注意效劳器应使用具有平安特性的 NTFS 格式,而不应该使用 FAT 或 FAT32 分区上述描述的内 容主要是针对 windows 操作系统。日志审核日志的审核主要是检查主机日志的审核情况。它主要包括1.应用程序日志。运行在操作系统上的程序产生的2.平安日志。用户登录系统的日志3.系统日志。其它平安设置1 、系统补丁漏洞。2 、登陆系统操作的用户的权限。3 、病毒防治。4 、系统日志是否有备份功能。5 、数据的备份与恢复。6 、系统上卸载与无关组件或应用程序。第三局部数据库平安测试数据库平安在管理和维护数据库的过程中为了保障数据库平安我们从以下几方面限制数据库访问平安1.限制能访问 Oracle 数据库的客户端,指定的 IP 才可以访问,防止恶意的用户登陆。2.即使有访问 Oracle 数据库的时机,帐户的密码使用强口令和其他登陆策略,恶意用户也无法轻松进3.为每个登陆帐户设置了适宜的权限,执行改变数据库状态的权限需要得到管理员的授权,确保了系 统合法帐户对数据库的操作平安。解决方法1.无关 IP 禁止访问方法一在 Oracle 效劳器的 SQLNet.Ora 文件中设置允许访问的 IP 地址,或不允许访问的 IP 地址;方法二在 Oracle 效劳器上使用 NetManager 工具设置;2.用户密码为强口令锁定不用的默认帐户,如 scott ;更改使用的默认帐户的口令,这些帐户的密码是公开的,安装时自动建立,如帐户 system 密码 manager 为确保平安默认帐户必须修改密码;密码使用强口令,即数字、特殊字符、字母组成的至少 8 未的密码;设置密码失效的策略文件 profile ,可在控制台中设置。3.用户赋予适当的权限不要每个帐户都设置 DBA 权限,把系统所有操作暴露给每个用户;每个帐户仅赋予它完成操作所需要的权限;不要轻易为帐户赋予 delete 或 delete any 权限,确保数据 不会被误删除;数据库平安 sql server 1 、关闭效劳器端的 tcp/ip 协议效劳。2 、数据库用户登录方式选择 sql server 身份认证。3、设置用户访问指定的数据库。4、设置用户对数据库中的对象有指定的操作权限。5、查看数据是否有定期自动备份的操作。第四局部IIS 效劳器平安测试1 、IIS 根底效劳组件安装情况。根据系统情况合理的安装,减少安装不必要的效劳控件2 、查看 IIS 日志是否启用,日志存储路径以及日志记录选项3 、IIS 主目录路径和目录访问权限的设置。注意 1.目录建议不要和系统盘符设置在同一路径下,2.目录访问权限根据所在工程系统的实际情况 来设置,通常只启用 读取 权限,记录访问和索引资料权限跟系统的平安无关都默认启用,因为所用的 internet 用户访问的目录就是 IIS 设定主目录4、默认文档的启用。5、访问控制的身份验证。6 、连接超时功能的设置 可以根据工程的平安要求具体的可参考系统需求规格说明书来进行合理的设 置。7、平安补丁的更新和安装情况第五局部网络环境平安测试主要检测的是系统所在局域网内的网络环境的的平安设置,根据情况可以忽略。1.备份和升级情况2.访问控制情况3.网络效劳情况4.路由协议情况