系統(tǒng)安全性測(cè)試

　　1.安全測(cè)試，什么是安全測(cè)試。安全性測(cè)試（Security test）它是指：在測(cè)試軟件系統(tǒng)中對(duì)程序的危險(xiǎn)防止和危險(xiǎn)處理進(jìn)行的測(cè)試，以驗(yàn)證其是否有效。

　　2.安全性測(cè)試我們要做哪些工作呢？

　　a.全面檢驗(yàn)軟件在軟件需求規(guī)格說(shuō)明中規(guī)定的防止危險(xiǎn)狀態(tài)措施的有效性和在每一個(gè)危險(xiǎn)狀態(tài)下的處理反應(yīng)情況；

　　b.對(duì)軟件設(shè)計(jì)中用于提高安全性的邏輯結(jié)構(gòu)、處理方案，進(jìn)行針對(duì)性測(cè)試；

　　c.在異常條件下測(cè)試軟件，以表明不會(huì)因可能的單個(gè)或多個(gè)輸入錯(cuò)誤而導(dǎo)致不安全狀態(tài)

　　d.用錯(cuò)誤的安全性關(guān)鍵操作進(jìn)行測(cè)試，以驗(yàn)證系統(tǒng)對(duì)這些操作錯(cuò)誤的反應(yīng)；

　　e.對(duì)安全性關(guān)鍵的軟件單元功能模塊要單獨(dú)進(jìn)行加強(qiáng)的測(cè)試以確認(rèn)其滿足安全性需求。

　　3. 安全性測(cè)試方法

　　1）功能驗(yàn)證

　　功能驗(yàn)證是采用軟件測(cè)試當(dāng)中的黑盒測(cè)試方法,對(duì)涉及安全的

　　軟件功能,如：用戶管理模塊，權(quán)限管理，加密系統(tǒng)，認(rèn)證系

　　統(tǒng)等進(jìn)行測(cè)試，主要驗(yàn)證上述功能是否有效。

　　2）洞掃描

　　安全漏洞掃描主要是借助于特定的漏洞掃描器完成的。通過(guò)使

　　用漏洞掃描器，系統(tǒng)管理員能夠發(fā)現(xiàn)系統(tǒng)存在的安全漏洞，

　　從而在系統(tǒng)安全中及時(shí)修補(bǔ)漏洞的措施。一般漏洞掃描分為

　　兩種類型：主機(jī)漏洞掃描器是指在系統(tǒng)本地運(yùn)行檢測(cè)系統(tǒng)漏

　　洞的程序。網(wǎng)絡(luò)漏洞掃描器是指基于網(wǎng)絡(luò)遠(yuǎn)程檢測(cè)目標(biāo)網(wǎng)絡(luò)

　　和主機(jī)系統(tǒng)漏洞的程序。

　　3）模擬攻擊

　　對(duì)于安全測(cè)試來(lái)說(shuō)，模擬攻擊測(cè)試是一組特殊的極端的測(cè)試方

　　法，我們以模擬攻擊來(lái)驗(yàn)證軟件系統(tǒng)的安全防護(hù)能力。

　　剛才我們主要講了兩個(gè)內(nèi)容：

　　1）系統(tǒng)安全測(cè)試要我們做的哪些工作。

　　2）系統(tǒng)安全測(cè)試的方法。

　　下面我們切入主題講系統(tǒng)的安全測(cè)試，都要測(cè)試哪些東西？

　　系統(tǒng)安全測(cè)試的內(nèi)容：

　　1）應(yīng)用程序安全測(cè)試

　　2）操作系統(tǒng)安全測(cè)試

　　3）數(shù)據(jù)庫(kù)安全測(cè)試

　　4）IIS服務(wù)器安全測(cè)試

　　5）網(wǎng)絡(luò)環(huán)境安全測(cè)試

　　當(dāng)然在這里我主要講的是我做過(guò)的項(xiàng)目系統(tǒng)中需要測(cè)試的內(nèi)容，對(duì)不同的系統(tǒng)安全性測(cè)試的內(nèi)容也不一樣，這個(gè)需要結(jié)合項(xiàng)目本身的情況和用戶使用環(huán)境來(lái)確定測(cè)試的內(nèi)容。

　　第一部分

　　應(yīng)用程序的安全性：

　　包括對(duì)數(shù)據(jù)或業(yè)務(wù)功能的訪問(wèn)，在預(yù)期的安全性情況下，操作者只能訪問(wèn)應(yīng)用程序的特定功能、有限的數(shù)據(jù)。其測(cè)試是核實(shí)操作者只能訪問(wèn)其所屬用戶類型已被授權(quán)訪問(wèn)的那些功能或數(shù)據(jù)。測(cè)試時(shí)，確定有不同權(quán)限的用戶類型，創(chuàng)建各用戶類型并用各用戶類型所特有的事務(wù)來(lái)核實(shí)其權(quán)限，最后修改用戶類型并為相同的用戶重新運(yùn)行測(cè)試。

　　應(yīng)用程序的安全性問(wèn)題:

　　我主要是結(jié)合我們剛才講的安全性測(cè)試方法中，對(duì)于不同的安全性測(cè)試策略列舉了不同的問(wèn)題，當(dāng)然我列的不全，在這里我主要是告訴大家一個(gè)測(cè)試的思路，因?yàn)閷?duì)于不同的安全性問(wèn)題大家有或許有不同的看法，所以我只列舉了部分問(wèn)題給大家參考。

　　功能驗(yàn)證

　　1.有效的密碼是否接受，無(wú)效的密碼是否拒絕。

　　2.系統(tǒng)對(duì)于無(wú)效用戶或密碼登陸是否有提示。

　　3.用戶是否會(huì)自動(dòng)超時(shí)退出，超時(shí)的時(shí)間是否合理。

　　4.各級(jí)用戶權(quán)限劃分是否合理。

　　漏洞掃描

　　無(wú)

　　模擬攻擊

　　1.系統(tǒng)是否允許極端或不正常的登陸方式訪問(wèn)。（如

　　拷貝軟件系統(tǒng)中的某個(gè)功能點(diǎn)的url地址，然后直接

　　通過(guò)IE訪問(wèn)看是否成功）

　　第二部分

　　系統(tǒng)安全性：

　　注意（這里的系統(tǒng)指的是操作系統(tǒng)也就是應(yīng)用程序所運(yùn)行的操作系統(tǒng)）

　　系統(tǒng)安全測(cè)試：

　　可確保只有具備系統(tǒng)訪問(wèn)權(quán)限的用戶才能訪問(wèn)應(yīng)用程序，而且只能通過(guò)相應(yīng)的網(wǎng)關(guān)來(lái)訪問(wèn)，包括對(duì)系統(tǒng)的登錄或遠(yuǎn)程訪問(wèn)。其測(cè)試是核實(shí)只有具備系統(tǒng)和應(yīng)用程序訪問(wèn)權(quán)限的操作者才能訪問(wèn)系統(tǒng)和應(yīng)用程序。

　　操作系統(tǒng)安全測(cè)試

　　帳號(hào)和口令

　　網(wǎng)絡(luò)與服務(wù)

　　文件系統(tǒng)

　　日志審核

　　其它安全設(shè)置

　　帳號(hào)和口令

　　1、對(duì)主機(jī)或域上用戶強(qiáng)制進(jìn)行口令復(fù)雜度。

　　2、檢查系統(tǒng)是否使用默認(rèn)管理員帳號(hào)。

　　3、檢查在系統(tǒng)中是否存在可疑或與系統(tǒng)無(wú)關(guān)的帳號(hào)。

　　4、檢查系統(tǒng)用戶是否有口令最短和口令長(zhǎng)度要求。

　　5、檢查系統(tǒng)用戶是否有密碼過(guò)期策略。

　　網(wǎng)絡(luò)與服務(wù)

　　1、查看主機(jī)開(kāi)放的共享，關(guān)掉不必要的共享和系統(tǒng)默認(rèn)的共享服務(wù)。

　　2、查看主機(jī)進(jìn)程信息。（不允許系統(tǒng)中安裝有與應(yīng)用服務(wù)無(wú)關(guān)的應(yīng)用程序）

　　3、查看系統(tǒng)啟動(dòng)的服務(wù)列表。

　　4、查看系統(tǒng)啟用的端口號(hào)。

　　5、查看系統(tǒng)是否制定操作系統(tǒng)的備份恢復(fù)策略服務(wù)

　　文件系統(tǒng)

　　文件系統(tǒng)的安全主要是檢查主機(jī)磁盤(pán)分區(qū)類型和某些特定目錄的權(quán)限。

　　注意：服務(wù)器應(yīng)使用具有安全特性的NTFS格式，而不應(yīng)該使用FAT或FAT32分區(qū)（上述描述的內(nèi)容主要是針對(duì)windows操作系統(tǒng)）。

　　日志審核

　　日志的審核主要是檢查主機(jī)日志的審核情況。

　　它主要包括：

　　1、應(yīng)用程序日志。（運(yùn)行在操作系統(tǒng)上的程序產(chǎn)生的）

　　2、安全日志。（用戶登錄系統(tǒng)的日志）

　　3、系統(tǒng)日志。

　　其它安全設(shè)置

　　1、系統(tǒng)補(bǔ)丁漏洞。

　　2、登陸系統(tǒng)操作的用戶的權(quán)限。

　　3、***防治。

　　4、系統(tǒng)日志是否有備份功能。

　　5、數(shù)據(jù)的備份與恢復(fù)。

　　6、系統(tǒng)上卸載與無(wú)關(guān)組件或應(yīng)用程序。

　　第三部分

　　數(shù)據(jù)庫(kù)安全測(cè)試

　　數(shù)據(jù)庫(kù)安全

　　在管理和維護(hù)數(shù)據(jù)庫(kù)的過(guò)程中為了保障數(shù)據(jù)庫(kù)安全我們從以下幾方面限制數(shù)據(jù)庫(kù)訪問(wèn)安全：

　　1、限制能訪問(wèn)Oracle數(shù)據(jù)庫(kù)的客戶端，指定的IP才可以訪問(wèn)，防止惡意的用戶登陸。

　　2、即使有訪問(wèn)Oracle數(shù)據(jù)庫(kù)的機(jī)會(huì)，帳戶的密碼使用強(qiáng)口令和其他登陸策略，惡意用戶也無(wú)法輕松進(jìn)入。

　　3、為每個(gè)登陸帳戶設(shè)置了合適的權(quán)限，執(zhí)行改變數(shù)據(jù)庫(kù)狀態(tài)的權(quán)限需要得到管理員的授權(quán)，確保了系統(tǒng)合法帳戶對(duì)數(shù)據(jù)庫(kù)的操作安全。

　　解決辦法

　　1.無(wú)關(guān)IP禁止訪問(wèn)

　　方法一：在Oracle服務(wù)器的SQLNet.Ora文件中設(shè)置允許訪問(wèn)的IP地址,或不允許訪問(wèn)的IP地址；

　　方法二：在Oracle服務(wù)器上使用NetManager工具設(shè)置；

　　2.用戶密碼為強(qiáng)口令

　　鎖定不用的默認(rèn)帳戶，如scott；

　　更改使用的默認(rèn)帳戶的口令，這些帳戶的密碼是公開(kāi)的，安裝時(shí)自動(dòng)建立，如帳戶system密碼manager為確保安全默認(rèn)帳戶必須修改密碼；

　　密碼使用強(qiáng)口令，即數(shù)字、特殊字符、字母組成的至少8未的密碼；

　　設(shè)置密碼失效的策略文件profile，可在控制臺(tái)中設(shè)置。

　　3.用戶賦予適當(dāng)?shù)臋?quán)限

　　不要每個(gè)帳戶都設(shè)置DBA權(quán)限，把系統(tǒng)所有操作暴露給每個(gè)用戶；

　　每個(gè)帳戶僅賦予它完成操作所需要的權(quán)限；不要輕易為帳戶賦予delete或delete any權(quán)限，確保數(shù)據(jù)不會(huì)被誤刪除；

　　數(shù)據(jù)庫(kù)安全（sql server）

　　1、關(guān)閉服務(wù)器端的tcp/ip協(xié)議服務(wù)。

　　2、數(shù)據(jù)庫(kù)用戶登錄方式選擇sql server身份認(rèn)證。

　　3、設(shè)置用戶訪問(wèn)指定的數(shù)據(jù)庫(kù)。

　　4、設(shè)置用戶對(duì)數(shù)據(jù)庫(kù)中的對(duì)象有指定的操作權(quán)限。

　　5、查看數(shù)據(jù)是否有定期自動(dòng)備份的操作。

　　第四部分

　　IIS服務(wù)器安全測(cè)試

　　1、IIS基礎(chǔ)服務(wù)組件安裝情況。（根據(jù)系統(tǒng)情況合理的安裝，減少安裝不必要的服務(wù)控件）

　　2、查看IIS日志是否啟用，日志存儲(chǔ)路徑以及日志記錄選項(xiàng)

　　3、IIS主目錄路徑和目錄訪問(wèn)權(quán)限的設(shè)置。

　?。ㄗ⒁?目錄建議不要和系統(tǒng)盤(pán)符設(shè)置在同一路徑下，目錄訪問(wèn)權(quán)限根據(jù)所在項(xiàng)目系統(tǒng)的實(shí)際情況來(lái)設(shè)置,通常只啟用”讀取”權(quán)限,記錄訪問(wèn)和索引資料權(quán)限跟系統(tǒng)的安全無(wú)關(guān)都默認(rèn)啟用,因?yàn)樗玫膇nternet用戶訪問(wèn)的目錄就是IIS設(shè)定主目錄）

　　4、默認(rèn)文檔的啟用。

　　5、訪問(wèn)控制的身份驗(yàn)證。

　　6、連接超時(shí)功能的設(shè)置（可以根據(jù)項(xiàng)目的安全要求具體的可參考系統(tǒng)需求規(guī)格說(shuō)明書(shū)來(lái)進(jìn)行合理的設(shè)置）。

　　7、安全補(bǔ)丁的更新和安裝情況

　　第五部分

　　網(wǎng)絡(luò)環(huán)境安全測(cè)試

　　主要檢測(cè)的是系統(tǒng)所在局域網(wǎng)內(nèi)的網(wǎng)絡(luò)環(huán)境的的安全設(shè)置,根據(jù)情況可以忽略。

　　1.備份和升級(jí)情況

　　2.訪問(wèn)控制情況

　　3.網(wǎng)絡(luò)服務(wù)情況

　　4.路由協(xié)議情況

服務(wù)區(qū)域：廣東省、廣州(天河、蘿崗開(kāi)發(fā)區(qū)、黃埔開(kāi)發(fā)區(qū)、南沙新區(qū)、番禺、花都、從化、增城、越秀、白云）、珠海市、中山市、江門(mén)市、佛山市、惠州市、東莞市、深圳市、肇慶市、云浮市、茂名市、湛江市、清遠(yuǎn)市、韶關(guān)市、梅州市、汕頭市、潮州市、河源市、揭陽(yáng)市、陽(yáng)江市

全國(guó)各省、市、自治區(qū)：廣東省、海南省、福建省、湖南省、四川省、重慶市、貴州省、云南省、廣西壯族自治區(qū)、湖北省、河南省、山東省、河北省、陜西省、山西省、浙江省、江蘇省、遼寧省、黑龍江省、吉林省、上海市、天津市、北京市、甘肅省、西藏自治區(qū)、安徽省、青海省、寧夏回族自治區(qū)、內(nèi)蒙古自治區(qū)、新疆維吾爾族自治區(qū)

WX:一三三+++++四二捌伍++++++二伍一捌

主要業(yè)務(wù)為軟件產(chǎn)品測(cè)試、電子產(chǎn)品檢測(cè)、安防產(chǎn)品檢測(cè)、軟件第三方驗(yàn)收測(cè)試、科技項(xiàng)目驗(yàn)收測(cè)試、信息系統(tǒng)第三方檢測(cè)、集成電路檢測(cè)、芯片檢測(cè)、IC檢測(cè)、雷電防護(hù)裝置檢測(cè)（建筑防雷裝置檢測(cè)、防雷定期檢測(cè)、防雷首次檢測(cè)）、通信網(wǎng)防御雷電安全保護(hù)檢測(cè)、移動(dòng)通信基站防雷檢測(cè)、地理信息系統(tǒng)軟件測(cè)試、數(shù)字社區(qū)應(yīng)用軟件測(cè)評(píng)、 建設(shè)領(lǐng)域軟硬件測(cè)評(píng)、軟件安全性測(cè)試、軟件驗(yàn)收項(xiàng)目（安全、性能、驗(yàn)收測(cè)試、滲透測(cè)試、漏洞掃描、***檢查、代碼審計(jì)、代碼檢測(cè)）、廣東省安全技術(shù)防范系統(tǒng)設(shè)計(jì)、施工、維修資格備案證業(yè)績(jī)檢測(cè)（安防工程檢測(cè)）、信息化項(xiàng)目技術(shù)績(jī)效評(píng)估(網(wǎng)站或系統(tǒng)績(jī)效評(píng)估）、政務(wù)信息化項(xiàng)目效能評(píng)估、信息系統(tǒng)安全等級(jí)保護(hù)備案證明、信息系統(tǒng)安全等保報(bào)告、網(wǎng)絡(luò)安全等保測(cè)評(píng)、信息系統(tǒng)安全等保測(cè)評(píng)、數(shù)字新基建項(xiàng)目第三方測(cè)試(5G建設(shè)、特高壓、城際高速鐵路和城市軌道交通、新能源汽車(chē)充電樁、大數(shù)據(jù)中心、人工能、工業(yè)互聯(lián)網(wǎng))、廣東省守合同重企業(yè)、通用航空經(jīng)營(yíng)許可（即原來(lái)的：民用無(wú)人駕駛航空器經(jīng)營(yíng)許可、道路運(yùn)輸經(jīng)營(yíng)許可、AOPA無(wú)人機(jī)多旋翼駕駛員培訓(xùn)、無(wú)人機(jī)研發(fā)生產(chǎn)銷(xiāo)售、無(wú)人機(jī)合作辦學(xué)、無(wú)人機(jī)實(shí)訓(xùn)室建設(shè)、信息系統(tǒng)建設(shè)和服務(wù)能力評(píng)估CS、信息系統(tǒng)服務(wù)交付能力評(píng)估CCID、計(jì)算機(jī)信息系統(tǒng)安全服務(wù)證、信息系統(tǒng)集成及服務(wù)資質(zhì)、信息系統(tǒng)運(yùn)維資質(zhì)、音視頻系統(tǒng)集成資質(zhì)、安防系統(tǒng)集成資質(zhì)、音視頻集成工程企業(yè)能力等級(jí)證書(shū)、信息化能力評(píng)價(jià)、EDI/ICP安全防護(hù)檢測(cè)、廣東省安全技術(shù)防范系統(tǒng)設(shè)計(jì)、施工與維修證、廣東省有線廣播電視工程設(shè)計(jì)（安裝）證、廣東省防雷工程企業(yè)能力評(píng)價(jià)、軟件過(guò)程及能力成熟度評(píng)估CMMI、涉密信息系統(tǒng)集成資質(zhì)、數(shù)據(jù)管理能力成熟度評(píng)估模型DCMM、信息技術(shù)服務(wù)運(yùn)行維護(hù)標(biāo)準(zhǔn)ITSS、信息安全服務(wù)資質(zhì)CCRC、科技成果評(píng)價(jià)、科技成果登記、科技成果登記合作（即掛名）、科學(xué)技術(shù)獎(jiǎng)申請(qǐng)、專利合作申請(qǐng)（即掛名）、國(guó)家高新技術(shù)企業(yè)認(rèn)證、雙軟認(rèn)定、動(dòng)漫企業(yè)認(rèn)定、技術(shù)合同登記、知識(shí)產(chǎn)權(quán)服務(wù)、發(fā)明專利加急、集成電路布圖專有權(quán)登記、計(jì)算機(jī)軟件著作權(quán)登記、軟件檢測(cè)報(bào)告（軟件項(xiàng)目驗(yàn)收鑒定報(bào)告）、工商注冊(cè)、代理記賬、創(chuàng)業(yè)補(bǔ)助申請(qǐng)等服務(wù)領(lǐng)域。VX;133-------4二捌五----2518

如有計(jì)劃辦的企業(yè)，可協(xié)助解決企業(yè)人員問(wèn)題，可咨詢我們，v---x：133----四二捌五----2518