軟件系統(tǒng)的安全性測(cè)試培訓(xùn)文檔教學(xué)內(nèi)容_第1頁
軟件系統(tǒng)的安全性測(cè)試培訓(xùn)文檔教學(xué)內(nèi)容_第2頁
軟件系統(tǒng)的安全性測(cè)試培訓(xùn)文檔教學(xué)內(nèi)容_第3頁
軟件系統(tǒng)的安全性測(cè)試培訓(xùn)文檔教學(xué)內(nèi)容_第4頁
軟件系統(tǒng)的安全性測(cè)試培訓(xùn)文檔教學(xué)內(nèi)容_第5頁
已閱讀5頁,還剩21頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、軟件系統(tǒng)的安全性測(cè)試培訓(xùn)文檔安全性測(cè)試應(yīng)包括下面的工作:安全性測(cè)試應(yīng)包括下面的工作:a.全面檢驗(yàn)軟件在軟件需求規(guī)格說明中規(guī)定的防止危險(xiǎn)狀態(tài)措施的有效性和在每一個(gè)危險(xiǎn)狀態(tài)下的反應(yīng);b.對(duì)軟件設(shè)計(jì)中用于提高安全性的結(jié)構(gòu)、算法、容錯(cuò)、冗余、中斷處理等方案,進(jìn)行針對(duì)性測(cè)試;c.在異常條件下測(cè)試軟件,以表明不會(huì)因可能的單個(gè)或多個(gè)輸入錯(cuò)誤而導(dǎo)致不安全狀態(tài)。d.用錯(cuò)誤的安全性關(guān)鍵操作進(jìn)行測(cè)試,以驗(yàn)證系統(tǒng)對(duì)這些操作錯(cuò)誤的反應(yīng);e.對(duì)安全性關(guān)鍵的軟件單元和軟件部件,要單獨(dú)進(jìn)行加強(qiáng)的測(cè)試,以確認(rèn)其滿足安全性需求。安全性測(cè)試方法安全性測(cè)試方法 1. 功能驗(yàn)證功能驗(yàn)證 功能驗(yàn)證是采用軟件測(cè)試當(dāng)中的黑盒測(cè)試方法,對(duì)涉及

2、安全的軟件功能,如:用戶管理模塊,權(quán)限管理,加密系統(tǒng),認(rèn)證系統(tǒng)等進(jìn)行測(cè)試,主要驗(yàn)證上述功能是否有效。2. 漏洞掃描漏洞掃描 安全漏洞掃描主要是借助于特定的漏洞掃描器完成的。通過使 用漏洞掃描器,系統(tǒng)管理員能夠發(fā)現(xiàn)系統(tǒng)存在的安全漏洞,從 而在系統(tǒng)安全中及時(shí)修補(bǔ)漏洞的措施。一般漏洞掃描分為兩種類型:主機(jī)漏洞掃描器是指在系統(tǒng)本地運(yùn)行檢測(cè)系統(tǒng)漏洞的程序。網(wǎng)絡(luò)漏洞掃描器是指基于網(wǎng)絡(luò)遠(yuǎn)程檢測(cè)目標(biāo)網(wǎng)絡(luò)和主機(jī)系統(tǒng)漏洞的程序。3. 模擬攻擊模擬攻擊 對(duì)于安全測(cè)試來說,模擬攻擊測(cè)試是一組特殊的極端的測(cè)試方法,我們以模擬攻擊來驗(yàn)證軟件系統(tǒng)的安全防護(hù)能力。系統(tǒng)安全測(cè)試的內(nèi)容系統(tǒng)安全測(cè)試的內(nèi)容1.應(yīng)用程序安全測(cè)試應(yīng)用程

3、序安全測(cè)試2.操作系統(tǒng)安全測(cè)試操作系統(tǒng)安全測(cè)試3.數(shù)據(jù)庫安全測(cè)試數(shù)據(jù)庫安全測(cè)試4.IIS服務(wù)器安全測(cè)試服務(wù)器安全測(cè)試5.網(wǎng)絡(luò)環(huán)境安全測(cè)試網(wǎng)絡(luò)環(huán)境安全測(cè)試第一部分第一部分應(yīng)用程序安全測(cè)試應(yīng)用程序安全測(cè)試應(yīng)用程序的安全性:應(yīng)用程序的安全性:包括對(duì)數(shù)據(jù)或業(yè)務(wù)功能的訪問,在預(yù)期的安全性情況下,操作者只能訪問應(yīng)用程序的特定功能、有限的數(shù)據(jù)。其測(cè)試是核實(shí)操作者只能訪問其所屬用戶類型已被授權(quán)訪問的那些功能或數(shù)據(jù)。測(cè)試時(shí),確定有不同權(quán)限的用戶類型,創(chuàng)建各用戶類型并用各用戶類型所特有的事務(wù)來核實(shí)其權(quán)限,最后修改用戶類型并為相同的用戶重新運(yùn)行測(cè)試。 應(yīng)用程序的安全性問題應(yīng)用程序的安全性問題:功能驗(yàn)證功能驗(yàn)證 1.

4、有效的密碼是否接受,無效的密碼是否拒絕。 2.系統(tǒng)對(duì)于無效用戶或密碼登陸是否有提示。 3.用戶是否會(huì)自動(dòng)超時(shí)退出,超時(shí)的時(shí)間是否合理。 4.各級(jí)用戶權(quán)限劃分是否合理。 模擬攻擊模擬攻擊 1.系統(tǒng)是否允許極端或不正常的登陸方式訪問。(如 不通過登入頁面,直接輸入U(xiǎn)RL,看其是否能夠 進(jìn)入)第二部分第二部分系統(tǒng)安全測(cè)試系統(tǒng)安全測(cè)試系統(tǒng)安全測(cè)試系統(tǒng)安全測(cè)試:可確保只有具備系統(tǒng)訪問權(quán)限的用戶才能訪問應(yīng)用程序,而且只能通過相應(yīng)的網(wǎng)關(guān)來訪問,包括對(duì)系統(tǒng)的登錄或遠(yuǎn)程訪問。其測(cè)試是核實(shí)只有具備系統(tǒng)和應(yīng)用程序訪問權(quán)限的操作者才能訪問系統(tǒng)和應(yīng)用程序。 操作系統(tǒng)安全測(cè)試操作系統(tǒng)安全測(cè)試l帳號(hào)和口令 l網(wǎng)絡(luò)與服務(wù) l

5、文件系統(tǒng) l日志審核 l其它安全設(shè)置帳號(hào)和口令帳號(hào)和口令 l對(duì)主機(jī)或域上用戶強(qiáng)制進(jìn)行口令復(fù)雜度。l檢查系統(tǒng)是否使用默認(rèn)管理員帳號(hào)。l檢查在系統(tǒng)中是否存在可疑或與系統(tǒng)無關(guān)的帳號(hào)。l檢查系統(tǒng)用戶是否有口令最短和口令長度要求。l檢查系統(tǒng)用戶是否有密碼過期策略。網(wǎng)絡(luò)與服務(wù)網(wǎng)絡(luò)與服務(wù) l查看主機(jī)開放的共享,關(guān)掉不必要的共享和系統(tǒng)默認(rèn)的共享服務(wù)。l查看主機(jī)進(jìn)程信息。(不允許系統(tǒng)中安裝有與應(yīng)用服務(wù)無關(guān)的應(yīng) 用程序 )l查看系統(tǒng)啟動(dòng)的服務(wù)列表。l查看系統(tǒng)啟用的端口號(hào) 。l查看系統(tǒng)是否制定操作系統(tǒng)的備份恢復(fù)策略服務(wù)。文件系統(tǒng)文件系統(tǒng) 文件系統(tǒng)的安全主要是檢查主機(jī)磁盤分區(qū)類型和某些特定目錄的權(quán)限 。 注意:服務(wù)器

6、應(yīng)使用具有安全特性的NTFS格式,而不應(yīng)該使用FAT或FAT32分區(qū)(上述描述的內(nèi)容主要是針對(duì)windows操作系統(tǒng))。日志審核日志審核 日志的審核主要是檢查主機(jī)日志的審核情況。 它主要包括: 1.應(yīng)用程序日志。 2.安全日志。(用戶登錄系統(tǒng)的日志) 3.系統(tǒng)日志。其它安全設(shè)置其它安全設(shè)置 l系統(tǒng)補(bǔ)丁漏洞。l登陸系統(tǒng)操作的用戶的權(quán)限。l病毒防治。l系統(tǒng)日志是否有備份功能 。l數(shù)據(jù)的備份與恢復(fù)。l系統(tǒng)上卸載與無關(guān)組件或應(yīng)用程序。第三部分第三部分?jǐn)?shù)據(jù)庫安全測(cè)試數(shù)據(jù)庫安全測(cè)試數(shù)據(jù)庫安全數(shù)據(jù)庫安全 在管理和維護(hù)數(shù)據(jù)庫的過程中為了保障數(shù)據(jù)庫安全我們從以下幾方面限制數(shù)據(jù)庫的訪問安全:1、限制能訪問Orac

7、le 數(shù)據(jù)庫的客戶端,指定的IP才可以訪問,防止惡意的用戶登陸。2、即使有訪問 Oracle 數(shù)據(jù)庫的機(jī)會(huì),帳戶的密碼使用強(qiáng)口令和其他登陸策略,惡意用戶也無法輕松進(jìn)入。3、為每個(gè)登陸帳戶設(shè)置了合適的權(quán)限,執(zhí)行改變數(shù)據(jù)庫狀態(tài)的權(quán)限需要得到管理員的授權(quán),確保了系統(tǒng)合法帳戶對(duì)數(shù)據(jù)庫的操作安全。 1.無關(guān)無關(guān)IP禁止訪問禁止訪問 方法一: 在Oracle 服務(wù)器的SQLNet.Ora 文件中設(shè)置允許訪問的IP 地址,或不允許訪問的 IP 地址; 方法二:在Oracle 服務(wù)器上使用NetManager 工具設(shè)置;2.用戶密碼為強(qiáng)口令用戶密碼為強(qiáng)口令 鎖定不用的默認(rèn)帳戶,如scott ; 更改使用的默認(rèn)

8、帳戶的口令,這些帳戶的密碼是公開的,安裝時(shí)自動(dòng)建立,如帳戶 system 密碼manager 為確保安全默認(rèn)帳戶必須修改密碼; 密碼使用強(qiáng)口令,即數(shù)字、特殊字符、字母組成的至少8未的密碼; 設(shè)置密碼失效的策略文件 profile,可在 控制臺(tái)中設(shè)置。3.用戶賦予適當(dāng)?shù)臋?quán)限用戶賦予適當(dāng)?shù)臋?quán)限 不要每個(gè)帳戶都設(shè)置DBA權(quán)限,把系統(tǒng)所有操作暴露給每個(gè)用戶; 每個(gè)帳戶僅賦予它完成操作所需要的權(quán)限;不要輕易為帳戶賦予delete 或delete any 權(quán)限,確保數(shù)據(jù)不會(huì)被誤刪除;數(shù)據(jù)庫安全數(shù)據(jù)庫安全數(shù)據(jù)庫安全(數(shù)據(jù)庫安全(sql server)1、關(guān)閉服務(wù)器端的tcp/ip協(xié)議服務(wù)。2、數(shù)據(jù)庫用戶登錄

9、方式選擇sql server身份認(rèn)證。3、設(shè)置用戶訪問指定的數(shù)據(jù)庫。4、設(shè)置用戶對(duì)數(shù)據(jù)庫中的對(duì)象有指定的操作權(quán)限。5、查看數(shù)據(jù)是否有定期自動(dòng)備份的操作。6、日志文件和數(shù)據(jù)文件存放的位置第四部分第四部分IIS服務(wù)器安全測(cè)試服務(wù)器安全測(cè)試IIS安全測(cè)試安全測(cè)試1、IIS基礎(chǔ)服務(wù)組件安裝情況。 (根據(jù)系統(tǒng)情況合理的安裝,減少安裝不必要的服務(wù)控件)2、查看IIS日志是否啟用,日志存儲(chǔ)路徑以及日志記錄選項(xiàng) 3、IIS主目錄路徑和目錄訪問權(quán)限的設(shè)置。 (注意:1.目錄建議不要和系統(tǒng)盤符設(shè)置在同一路徑下, 2.目錄訪問權(quán)限根據(jù)所在項(xiàng)目系統(tǒng)的實(shí)際情況來設(shè)置,通常只啟用”讀取”權(quán)限,記錄訪問和索引資料權(quán)限跟系統(tǒng)的安全無關(guān)都默認(rèn)啟用,因?yàn)樗玫膇nternet用戶訪問的目錄就是IIS設(shè)定主目錄)4、默認(rèn)文檔的啟用。5、訪問控制的身份驗(yàn)證。6、連接超時(shí)功能的設(shè)置(可以根據(jù)項(xiàng)目的安全要求具體的可參考系統(tǒng)需求規(guī)格說明書來進(jìn)行合理的設(shè)置)。7、安全補(bǔ)丁的更新和安裝情況第五部分第五部分網(wǎng)絡(luò)環(huán)境安全測(cè)試網(wǎng)絡(luò)環(huán)境安全測(cè)試網(wǎng)絡(luò)環(huán)境安全測(cè)試 主要檢測(cè)的是系統(tǒng)所在的網(wǎng)絡(luò)環(huán)境安全設(shè)置,此測(cè)試可以根據(jù)項(xiàng)目本身的情況進(jìn)行,或者可以忽略。 下面給幾點(diǎn)主要是是提醒大家在做網(wǎng)絡(luò)安全測(cè)試時(shí)需要注意的幾點(diǎn)。(緊供參考) 1.備份和升級(jí)情況2.訪問控制情況3.網(wǎng)絡(luò)服務(wù)情況4.路由協(xié)議情況5.日志審核

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論