S结构软件的安全保密性测试
BS结 构 即浏 览 器 Bo sr和 服 务 器 (evr结 / rw e) Sre)
构, 它是一种对 CS /结构的变化或者改进的结构。 1 Bs结构软件安全保密性测试的意义 . / 3
果进行监测 , 并通过异常的输出结果发现系统漏洞。
( )故障注入” 2“ 是指在各类协议数据包 中植入故
第 1 8卷 第 5期
2 01 0年 1 O月
电
脑
与
信
息
技
术
Vo .8 No. 11 5
Co ue n I fr t n e h oo y mp tr a d no mai T c n lg o
Oe . 0 0 t2 1
文章 编 号 :0 5 12 (0 0 0 — 0 2 0 10 — 2 8 2 1 )5 0 3 — 3
23 测试 设计 .
据库上 ; 防火墙 本身 或受保 护 网段 的非 法攻 击 系统 , 对 是否 提供 多种告 警方 式 以及 多种 级别 的告 警等 。 e入 侵检 测 系 统 能 否 在检 测 到入 侵 事 件 时 , . 自 动执行切断服务 、 记录人侵过程 、 邮件报警等动作 ; 是
能相互进行修改 、 删除 ; 高权限用户能对低权限用户进 行管理 , 低权限用户不能对高权限用户进行管理。 c. 数据加密及安全传输 对于有特殊安全要求 的
数 据 , 否 在传输 中进 行必 要 的加密处 理 , 网上支 付 是 如 信 息 ; 据 加密使 用 的算法 是 否符合 国家规 定等 。 数 d 安全 缺 陷屏 蔽 . 是 否对 非法访 问有识别 和屏 蔽 功 能 ; 权 ( 能授 权 、 据 授权 ) 制 是 否灵 活 安全 ; 授 功 数 机
f . 备份还原系统 是否提供多种备份策略。 24 测试具 体步 骤 .
() 1制定测试计划 制定安全保密性测试计划 , 包
括制定测试计划分为几个测试阶段 , 每个阶段 的目的、 任务 、 测试 人员 、 测试 方法 等 。 ( ) 定测 试 需 求 根 据 软件 的具 体情 况 制 定详 2制 细的测试需求 , 并根据测试需求搭建相应的测试环境 。 ( ) 定通 过 一不 通过 准 则 根 据 软 件 的测 试需 3制 求 ,制定用于判定测试结果是否证实软件与产品说明 和用 户文 档集 的符合 性准 则 。 () 4 编写测 试用例 根 据用 户提 供 的用 户文 档 , 并 结合 测试 需求及 国家 标准 ,编 写软 件安 全保 密性 测试 用例 , 每个测试用例应包括如下要素: a. 其测 试 目标 ; b . 唯一性标识符 ;
Ab t a t Th s ri e n lz s h rao f r aey n s c e y et g f s f r .I a dt n i a b e b e y sr c : i at l a ay e t e es n o sft a d e rc ts n o ot e n d i o , t s e n r f c i wa i h il s mmaie h t o n x e e c fsft n e r c e t g o f r ,whc ae n B/ t cu e to es a u r d t e meh d a d e p r n e o e y a d s ce y ts n f s t e z i a i o wa ih b s d o S s u t r .I f r r g i e f ro h rt s r wh r trse n sft n e rc e t g o f ae u d t e et s o e o ae i e etd i a y a d s ce y ts n fs t r . n e i ow Ke r s B/ sft n e r c s f r s n y wo d : S;a y a d sc e y; t et t g e o wa ei
等操作系统 。 b 防火墙 是否支持交换 和路 由两种工作模式 ; . 是否考虑到防火墙的冗余设计 ;是否支持对 日 志的统 计分析功能, 同时 , 志是否可 以存储在本地和网络数 日
身份 认证
主要 检 查 系统 是 否提 供用 户 功能 权
限管理 ; 是否提供用户数据访 问权限管理 ; 是否身份验 证不成功有次数限制及相应处理措施 ;是否用户名称 应具有唯一性 ; 是否用户在被删除或被停用后 , 保留该 用户记录 , 新增用户不得与该用户同名 ; 是否对 电子签 名 进行 验 证 ; 否提 供 U B e 是 S ky加密 验 证 , 提供 数 字 证
系统将 自动 退 出 。
d . 详细实施步骤 ;
e . 系统 的预 期行 为 ;
f 试用 例 的预期输 出 测
g - 解 释的准 则 ; 结果
() 2 系统安全解决方案评估 a . 病毒 防治 能 否支 持 多种 平 台的病 毒 防 范 ; 能
否支持 对服 务器 的病 毒 防治 ;能否 提供 对病 毒特 征信 息和 检测 引擎 的定期 在线 更新 服务 ;防病毒 范 围是否
c . 的输人 数据 和测 试边 界 ; 测试
软件程序本身是否存在可能引起安全缺陷的语句 、 命 令等。 e日志 和 审 计 对 关 键 数 据 的变 更 是 否 记 入 日
志 ; 否对 日志信 息有 查询 、 是 统计 、 析 和分类 管理 ; 分 是 否 提供 安全 审计 功能 等 。
安全保密性, 发现软件存在的安全漏洞 , 避免非法侵入 及攻击 , 保护用户信息等就显得非常重要。
2 安全保密性测试
21 测试 内容 .
1 概 述
11 什 么是软 件的安 全保密 性 .
个人认为 BS / 结构软件 的安全保密性测试应包括 4大方 面 : 测试 系统 及起数 据访 问的可 控性 ; 测试 系统
广 泛 ,是否 包 括 U i 列 、 n o s 列 、 iu nx系 Widw 系 Ln x系列
h用 于判定测 试 用例 的肯定 或否 定结 果 的准则 . ( ) 试 执行 和 过 程控 制 5测 依据 和对 照 系统 的测 试 用例 , 进行软 件安 全保 密性 测试 。例 如 , 系统登 录 在 的地 址栏 进 行 S L注入 操 作 ,输 入 A mi’r1=。 Q d no… l , 若 系统 存 在 安 全漏 洞 ,这 个 操 作 就 可 以 利 用 已知 的 A mn账号 , 输入 密码 就能 登 录系统 。 di 不 又如 系统 如果
收稿 日期 :0 0 0 — 0 2 1— 6 3
作者简介 : 刘
琛(9 0 )男, 1 8一 , 在读硕士 , 助理工程师 , 研究方向: 软件测试。
第 1 卷 第 5期 8
刘
琛: 浅谈 BS结构软件 的安全保密性测试 /
・ 3・ 3
障 ,通过故障注入 函数能够强制性地使程序进入到某 些 特定 的状 态 。
安全 事 件 ( 黑客 人侵 、 如 网络 恶 意 攻击 、 毒 感 染 和破 病 坏) , 否能 够提供 紧 急 响应 和快 速救 援 与恢 复 服务 时 是
等。
不 可修 改 的最高权 限用户 ,保证 系统 在其 他用 户数 据 被 删 除后 能 对软 件进 行维 护 ;相 同权 限级 别 的用户 不
An l z ngSa e y a d Se r c s i g o o t r s d o S St u t r a y i f t n c e yTe tn fS fwa eBa e n B/ r c u e
LI Ch n U e
( c o l f ot r o Ce t l o t iesy. a gh 1 0 3, i a S h o S f e f nr uhUn rt Ch n s a 0 8 Chn ) o wa aS v i 4
用“ 系统 安全 性检 查 ” 系统安全 解 决方 案评估 ” 和“ 对 BS 构软 件进 行测 试检查 表设 计 。 /结 () 1系统 安全性 检查
a.
否支持攻击特征信息的集 中式发布和攻击取证信息的 分布式上载 ;能否提供多种方式对监视引擎和检测特
征 的定 期更新 服 务 ;内置 的 网络 能否 使用 状 况监 控工 具和 网络监 听工 具等 。
f 密码设置
进入系统是否需要密码身份验证 ;
是否有密码设置策略, 包括有效期、 最小长度 、 复杂度、
非 空设 置 、 大小 写敏感 度 等 ; 否所有 的密码不 得 明码 是
显示、 存储与传输等。 数据备份与还原 是否提供数据备份与还原手段。 h超 时 自动退 出 超 过一 定 的 时 限未进 行 操 作 , .
浅谈 BS结构软件的安全保密性测试 /
刘 琛
40 8 ) 10 3 ( 中南大学软件学院, 湖南 长沙
摘
要: 文章分析 了对软件进行安全保密性测试的必要性 , 总结了对 B S结构软件进行安全保密性测试的方法及经验 , / 对
测试工作有引导作用。 关键词 : / ; B S 安全保 密性 : 软件测试 中图分 类号 :P 9 .8 T 33 0 文献标识码: A
防止非 法操作 的模式 , 括 防止 非授权 的创 建 、 除或 包 删
在 中华 人 民共 和 国 颁 布 的 国 家 标 准 ( B G/ T 120120/ OIC 16 1 0 1中, 66 . 06 S / 2— : 0) 软件的安全保 — I E 9 2 ) 密性即“ 软件产品保护信息和数据的能力 , 以使未授权 人员或系统不能阅读或修改这些信息和数据 ,而不拒 绝授权 人员或 系统对 它们 的访问 ” 。
伴随着 I e t n me 的发展和普及 , t 人们对信息的需求 成倍增长 ,一种对 CS / 结构进行改进的结构 BS / 随之 产生。BS / 结构软件具有简化客户端电脑负载 , 减轻系 统维护与升级的成本及工作量 ,降低用户的总成本等 优 点 , 当今 中 国的软 件市场 得到 了广泛 的应用 , 在 但是 伴 随其 产生 的各 种 问题 也逐 步体 现 出来 。作 为 BS结 /
