测试技术-安全测试与评估

**

安全测试与评估

**
1 概述
软件安全性是与防止程序及数据的非授权故意或意外访问的能力有关的软件属性。
安全测试是在IT软件产品的生命周期中，特别是产品开发基本完成到发布阶段，对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程 。
2 测试与评估内容
2.1 用户认证机制
用户认证就是指软件系统用户在使用软件或系统时，必须提供用户身份证明，然后软件系统根据用户数据库的资料，开发放特定的权限给登录用户。
目前主要的用户认证机制有如下几种：
1）数字证书；
2）智能卡；
3）双重认证；
4）安全电子交易（SET）协议。解决信用卡电子付款的安全保障性问题：保证信息的机密性，保证信息安全传输，不能被窃听，只有收件人才能得到和解密信息。
2.2 加密机制
密码技术主要用于密码的保护、数据的传输过程中的安全保护、数据存储过程的安全防护等。
2.3 安全防护策略
安全防护策略是软件系统对抗攻击的主要手段，安全防护策略主要有安全日志、入侵检测、隔离防护、漏洞扫描等。
1）安全日志是记录非法用户的登录名称、操作时间及内容等信息，以便于发现问题并提出解决措施。安全日志仅记录相关信息，不对非法行为作出主动反应，因此属于被动防护的策略。
2）入侵检测系统是一种主动的网络安全防护措施，它从系统内部和各种网络资源中主动采集信息，从中分析可能的网络入侵或攻击。一般来说，入侵检测系统还应对入侵行为作出紧急响应。
3）漏洞扫描就是对软件系统及网络系统进行与安全相关的检测，可以找出安全隐患