系統安全性測試

　　1.安全測試，什么是安全測試。安全性測試（Security test）它是指：在測試軟件系統中對程序的危險防止和危險處理進行的測試，以驗證其是否有效。

　　2.安全性測試我們要做哪些工作呢？

　　a.全面檢驗軟件在軟件需求規格說明中規定的防止危險狀態措施的有效性和在每一個危險狀態下的處理反應情況；

　　b.對軟件設計中用于提高安全性的邏輯結構、處理方案，進行針對性測試；

　　c.在異常條件下測試軟件，以表明不會因可能的單個或多個輸入錯誤而導致不安全狀態

　　d.用錯誤的安全性關鍵操作進行測試，以驗證系統對這些操作錯誤的反應；

　　e.對安全性關鍵的軟件單元功能模塊要單獨進行加強的測試以確認其滿足安全性需求。

　　3. 安全性測試方法

　　1）功能驗證

　　功能驗證是采用軟件測試當中的黑盒測試方法,對涉及安全的

　　軟件功能,如：用戶管理模塊，權限管理，加密系統，認證系

　　統等進行測試，主要驗證上述功能是否有效。

　　2）洞掃描

　　安全漏洞掃描主要是借助于特定的漏洞掃描器完成的。通過使

　　用漏洞掃描器，系統管理員能夠發現系統存在的安全漏洞，

　　從而在系統安全中及時修補漏洞的措施。一般漏洞掃描分為

　　兩種類型：主機漏洞掃描器是指在系統本地運行檢測系統漏

　　洞的程序。網絡漏洞掃描器是指基于網絡遠程檢測目標網絡

　　和主機系統漏洞的程序。

　　3）模擬攻擊

　　對于安全測試來說，模擬攻擊測試是一組特殊的極端的測試方

　　法，我們以模擬攻擊來驗證軟件系統的安全防護能力。

　　剛才我們主要講了兩個內容：

　　1）系統安全測試要我們做的哪些工作。

　　2）系統安全測試的方法。

　　下面我們切入主題講系統的安全測試，都要測試哪些東西？

　　系統安全測試的內容：

　　1）應用程序安全測試

　　2）操作系統安全測試

　　3）數據庫安全測試

　　4）IIS服務器安全測試

　　5）網絡環境安全測試

　　當然在這里我主要講的是我做過的項目系統中需要測試的內容，對不同的系統安全性測試的內容也不一樣，這個需要結合項目本身的情況和用戶使用環境來確定測試的內容。

　　第一部分

　　應用程序的安全性：

　　包括對數據或業務功能的訪問，在預期的安全性情況下，操作者只能訪問應用程序的特定功能、有限的數據。其測試是核實操作者只能訪問其所屬用戶類型已被授權訪問的那些功能或數據。測試時，確定有不同權限的用戶類型，創建各用戶類型并用各用戶類型所特有的事務來核實其權限，最后修改用戶類型并為相同的用戶重新運行測試。

　　應用程序的安全性問題:

　　我主要是結合我們剛才講的安全性測試方法中，對于不同的安全性測試策略列舉了不同的問題，當然我列的不全，在這里我主要是告訴大家一個測試的思路，因為對于不同的安全性問題大家有或許有不同的看法，所以我只列舉了部分問題給大家參考。

　　功能驗證

　　1.有效的密碼是否接受，無效的密碼是否拒絕。

　　2.系統對于無效用戶或密碼登陸是否有提示。

　　3.用戶是否會自動超時退出，超時的時間是否合理。

　　4.各級用戶權限劃分是否合理。

　　漏洞掃描

　　無

　　模擬攻擊

　　1.系統是否允許極端或不正常的登陸方式訪問。（如

　　拷貝軟件系統中的某個功能點的url地址，然后直接

　　通過IE訪問看是否成功）

　　第二部分

　　系統安全性：

　　注意（這里的系統指的是操作系統也就是應用程序所運行的操作系統）

　　系統安全測試：

　　可確保只有具備系統訪問權限的用戶才能訪問應用程序，而且只能通過相應的網關來訪問，包括對系統的登錄或遠程訪問。其測試是核實只有具備系統和應用程序訪問權限的操作者才能訪問系統和應用程序。

　　操作系統安全測試

　　帳號和口令

　　網絡與服務

　　文件系統

　　日志審核

　　其它安全設置

　　帳號和口令

　　1、對主機或域上用戶強制進行口令復雜度。

　　2、檢查系統是否使用默認管理員帳號。

　　3、檢查在系統中是否存在可疑或與系統無關的帳號。

　　4、檢查系統用戶是否有口令最短和口令長度要求。

　　5、檢查系統用戶是否有密碼過期策略。

　　網絡與服務

　　1、查看主機開放的共享，關掉不必要的共享和系統默認的共享服務。

　　2、查看主機進程信息。（不允許系統中安裝有與應用服務無關的應用程序）

　　3、查看系統啟動的服務列表。

　　4、查看系統啟用的端口號。

　　5、查看系統是否制定操作系統的備份恢復策略服務

　　文件系統

　　文件系統的安全主要是檢查主機磁盤分區類型和某些特定目錄的權限。

　　注意：服務器應使用具有安全特性的NTFS格式，而不應該使用FAT或FAT32分區（上述描述的內容主要是針對windows操作系統）。

　　日志審核

　　日志的審核主要是檢查主機日志的審核情況。

　　它主要包括：

　　1、應用程序日志。（運行在操作系統上的程序產生的）

　　2、安全日志。（用戶登錄系統的日志）

　　3、系統日志。

　　其它安全設置

　　1、系統補丁漏洞。

　　2、登陸系統操作的用戶的權限。

　　3、***防治。

　　4、系統日志是否有備份功能。

　　5、數據的備份與恢復。

　　6、系統上卸載與無關組件或應用程序。

　　第三部分

　　數據庫安全測試

　　數據庫安全

　　在管理和維護數據庫的過程中為了保障數據庫安全我們從以下幾方面限制數據庫訪問安全：

　　1、限制能訪問Oracle數據庫的客戶端，指定的IP才可以訪問，防止惡意的用戶登陸。

　　2、即使有訪問Oracle數據庫的機會，帳戶的密碼使用強口令和其他登陸策略，惡意用戶也無法輕松進入。

　　3、為每個登陸帳戶設置了合適的權限，執行改變數據庫狀態的權限需要得到管理員的授權，確保了系統合法帳戶對數據庫的操作安全。

　　解決辦法

　　1.無關IP禁止訪問

　　方法一：在Oracle服務器的SQLNet.Ora文件中設置允許訪問的IP地址,或不允許訪問的IP地址；

　　方法二：在Oracle服務器上使用NetManager工具設置；

　　2.用戶密碼為強口令

　　鎖定不用的默認帳戶，如scott；

　　更改使用的默認帳戶的口令，這些帳戶的密碼是公開的，安裝時自動建立，如帳戶system密碼manager為確保安全默認帳戶必須修改密碼；

　　密碼使用強口令，即數字、特殊字符、字母組成的至少8未的密碼；

　　設置密碼失效的策略文件profile，可在控制臺中設置。

　　3.用戶賦予適當的權限

　　不要每個帳戶都設置DBA權限，把系統所有操作暴露給每個用戶；

　　每個帳戶僅賦予它完成操作所需要的權限；不要輕易為帳戶賦予delete或delete any權限，確保數據不會被誤刪除；

　　數據庫安全（sql server）

　　1、關閉服務器端的tcp/ip協議服務。

　　2、數據庫用戶登錄方式選擇sql server身份認證。

　　3、設置用戶訪問指定的數據庫。

　　4、設置用戶對數據庫中的對象有指定的操作權限。

　　5、查看數據是否有定期自動備份的操作。

　　第四部分

　　IIS服務器安全測試

　　1、IIS基礎服務組件安裝情況。（根據系統情況合理的安裝，減少安裝不必要的服務控件）

　　2、查看IIS日志是否啟用，日志存儲路徑以及日志記錄選項

　　3、IIS主目錄路徑和目錄訪問權限的設置。

　　（注意:目錄建議不要和系統盤符設置在同一路徑下，目錄訪問權限根據所在項目系統的實際情況來設置,通常只啟用”讀取”權限,記錄訪問和索引資料權限跟系統的安全無關都默認啟用,因為所用的internet用戶訪問的目錄就是IIS設定主目錄）

　　4、默認文檔的啟用。

　　5、訪問控制的身份驗證。

　　6、連接超時功能的設置（可以根據項目的安全要求具體的可參考系統需求規格說明書來進行合理的設置）。

　　7、安全補丁的更新和安裝情況

　　第五部分

　　網絡環境安全測試

　　主要檢測的是系統所在局域網內的網絡環境的的安全設置,根據情況可以忽略。

　　1.備份和升級情況

　　2.訪問控制情況

　　3.網絡服務情況

　　4.路由協議情況

服務區域：廣東省、廣州(天河、蘿崗開發區、黃埔開發區、南沙新區、番禺、花都、從化、增城、越秀、白云）、珠海市、中山市、江門市、佛山市、惠州市、東莞市、深圳市、肇慶市、云浮市、茂名市、湛江市、清遠市、韶關市、梅州市、汕頭市、潮州市、河源市、揭陽市、陽江市

全國各省、市、自治區：廣東省、海南省、福建省、湖南省、四川省、重慶市、貴州省、云南省、廣西壯族自治區、湖北省、河南省、山東省、河北省、陜西省、山西省、浙江省、江蘇省、遼寧省、黑龍江省、吉林省、上海市、天津市、北京市、甘肅省、西藏自治區、安徽省、青海省、寧夏回族自治區、內蒙古自治區、新疆維吾爾族自治區

WX:一三三+++++四二捌伍++++++二伍一捌

主要業務為軟件產品測試、電子產品檢測、安防產品檢測、軟件第三方驗收測試、科技項目驗收測試、信息系統第三方檢測、集成電路檢測、芯片檢測、IC檢測、雷電防護裝置檢測（建筑防雷裝置檢測、防雷定期檢測、防雷首次檢測）、通信網防御雷電安全保護檢測、移動通信基站防雷檢測、地理信息系統軟件測試、數字社區應用軟件測評、 建設領域軟硬件測評、軟件安全性測試、軟件驗收項目（安全、性能、驗收測試、滲透測試、漏洞掃描、***檢查、代碼審計、代碼檢測）、廣東省安全技術防范系統設計、施工、維修資格備案證業績檢測（安防工程檢測）、信息化項目技術績效評估(網站或系統績效評估）、政務信息化項目效能評估、信息系統安全等級保護備案證明、信息系統安全等保報告、網絡安全等保測評、信息系統安全等保測評、數字新基建項目第三方測試(5G建設、特高壓、城際高速鐵路和城市軌道交通、新能源汽車充電樁、大數據中心、人工能、工業互聯網)、廣東省守合同重企業、通用航空經營許可（即原來的：民用無人駕駛航空器經營許可、道路運輸經營許可、AOPA無人機多旋翼駕駛員培訓、無人機研發生產銷售、無人機合作辦學、無人機實訓室建設、信息系統建設和服務能力評估CS、信息系統服務交付能力評估CCID、計算機信息系統安全服務證、信息系統集成及服務資質、信息系統運維資質、音視頻系統集成資質、安防系統集成資質、音視頻集成工程企業能力等級證書、信息化能力評價、EDI/ICP安全防護檢測、廣東省安全技術防范系統設計、施工與維修證、廣東省有線廣播電視工程設計（安裝）證、廣東省防雷工程企業能力評價、軟件過程及能力成熟度評估CMMI、涉密信息系統集成資質、數據管理能力成熟度評估模型DCMM、信息技術服務運行維護標準ITSS、信息安全服務資質CCRC、科技成果評價、科技成果登記、科技成果登記合作（即掛名）、科學技術獎申請、專利合作申請（即掛名）、國家高新技術企業認證、雙軟認定、動漫企業認定、技術合同登記、知識產權服務、發明專利加急、集成電路布圖專有權登記、計算機軟件著作權登記、軟件檢測報告（軟件項目驗收鑒定報告）、工商注冊、代理記賬、創業補助申請等服務領域。VX;133-------4二捌五----2518

如有計劃辦的企業，可協助解決企業人員問題，可咨詢我們，v---x：133----四二捌五----2518