那么系統(tǒng)上線前需要做哪些測(cè)試內(nèi)容呢?"/>
專(zhuān)業(yè)CMA\CNAS第三方軟件測(cè)試報(bào)告服務(wù)商

全國(guó)服務(wù)熱線:18684048962(微信同號(hào))

系統(tǒng)上線安全測(cè)評(píng)需要做哪些內(nèi)容?

59
發(fā)表時(shí)間:2023-06-16 09:41

安全測(cè)試

安全測(cè)試報(bào)告




電力信息系統(tǒng)、航空航天、交通運(yùn)輸、銀行金融、地圖繪畫(huà)、政府官網(wǎng)等系統(tǒng)再正式上線前需要做安全測(cè)試。避免造成數(shù)據(jù)泄露從而引起的各種嚴(yán)重問(wèn)題。

那么系統(tǒng)上線前需要做哪些測(cè)試內(nèi)容呢?下面由我給大家介紹


1、安全機(jī)制檢測(cè)-應(yīng)用安全

身份鑒別
登錄控制模塊
應(yīng)提供專(zhuān)用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別
鑒別信息復(fù)雜度
應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能,保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí),身份鑒別信息不易被冒用
登錄失敗處理
應(yīng)提供登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施
安全策略配置參數(shù)
應(yīng)啟用身份鑒別、 用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能,并根據(jù)安全策略配置相關(guān)參數(shù)
訪問(wèn)控制
訪問(wèn)控制策略
應(yīng)提供訪問(wèn)控制功能, 依據(jù)安全策略控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問(wèn)
訪問(wèn)控制范圍
訪問(wèn)控制的覆蓋范圍應(yīng)包括與資源訪問(wèn)相關(guān)的主體、客體及它們之間的操作
授權(quán)主體配置
應(yīng)由授權(quán)主體配置訪問(wèn)控制策略,并嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限
最小權(quán)限
應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限,并在它們之間形成相互制約的關(guān)系
安全審計(jì)
安全審計(jì)覆蓋范圍
應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能,對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)
審計(jì)記錄保護(hù)
應(yīng)保證無(wú)法刪除、修改或覆蓋審計(jì)記錄
審計(jì)內(nèi)容
審計(jì)記錄的內(nèi)容至少應(yīng)包括事件日期、時(shí)間、發(fā)起者信息、類(lèi)型、描述和結(jié)果等
通信完整性
通信完整性
應(yīng)采用校驗(yàn)碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性
通信保密性
會(huì)話初始化
在通信雙方建立連接之前,應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證
敏感信息加密
應(yīng)對(duì)通信過(guò)程中的敏感信息字段進(jìn)行加密
軟件容錯(cuò)
數(shù)據(jù)有效性校驗(yàn)
保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求
故障恢復(fù)
在故障發(fā)生時(shí),應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功能,確保能夠?qū)嵤┍匾拇胧?/span>
資源控制
自動(dòng)結(jié)束會(huì)話
當(dāng)通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng),另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話
會(huì)話連接數(shù)
應(yīng)能夠?qū)?yīng)用系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制
多重并發(fā)限制
應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制


2、漏洞掃描

漏洞掃描通過(guò) Ping 掃描、端口掃描、OS 探測(cè)、脆弱點(diǎn)探測(cè)、防火墻掃描五種主要技術(shù),每種技術(shù)實(shí)現(xiàn)的目標(biāo)和運(yùn)用的原理各不相同。Ping 掃描確定目標(biāo)主機(jī)的 IP 地址,端口掃描探測(cè)目標(biāo)主機(jī)所開(kāi)放的端口,然后基于端口掃描的結(jié)果,進(jìn)行 OS 探測(cè)和脆弱點(diǎn)掃描。

漏洞掃描主要覆蓋以下漏洞:遠(yuǎn)程和本地輸入驗(yàn)證錯(cuò)誤;遠(yuǎn)程和本地代碼注入漏洞;跨站腳本攻擊(XSS);跨站請(qǐng)求偽造(CSRF);不安全的直接對(duì)象引用;錯(cuò)誤的認(rèn)證和會(huì)話管理;安全配置錯(cuò)誤;代碼問(wèn)題安全漏洞;文件包含漏洞;文件上傳漏洞;業(yè)務(wù)邏輯漏洞;其他的注入問(wèn)題(LDAP注入、PHP注入、MySQL注入等);其他通用弱點(diǎn)(如上傳漏洞、路徑遍歷等)。


3、代碼審計(jì)

代碼審計(jì)是針對(duì)系統(tǒng)開(kāi)發(fā)的源代碼進(jìn)行安全性檢查,通過(guò)工具掃描件加人工驗(yàn)證的形式是從代碼層面審計(jì)發(fā)掘,系統(tǒng)在開(kāi)發(fā)的過(guò)程中,代碼邏輯是否合理,是否存在后門(mén)等漏洞。

源代碼靜態(tài)分析是一種在不運(yùn)行程序的情況下分析程序代碼的方法,目的是檢測(cè)代碼中的潛在問(wèn)題,如安全漏洞、性能問(wèn)題、代碼質(zhì)量問(wèn)題等。以下是一些常用的源代碼靜態(tài)分析方法:

詞法分析:將源代碼分解成一個(gè)個(gè)單詞或標(biāo)記,以便后續(xù)分析。

語(yǔ)法分析:將源代碼轉(zhuǎn)換為抽象語(yǔ)法樹(shù),以便后續(xù)分析。

數(shù)據(jù)流分析:分析程序中的變量和函數(shù)調(diào)用,以確定變量的生命周期和值的變化情況。

控制流分析:分析程序中的控制流語(yǔ)句,以確定程序的執(zhí)行路徑。

符號(hào)執(zhí)行:在執(zhí)行程序的同時(shí)跟蹤變量值,以確定程序的執(zhí)行路徑和結(jié)果。

路徑敏感分析:分析程序中的每一條執(zhí)行路徑,以確定程序在不同路徑下的行為。

模型檢查:通過(guò)建立程序的形式化模型,自動(dòng)驗(yàn)證模型是否滿足安全性和正確性等屬性。

源代碼靜態(tài)分析工具可以根據(jù)編程語(yǔ)言的特定規(guī)則和標(biāo)準(zhǔn)進(jìn)行開(kāi)發(fā),以識(shí)別潛在的問(wèn)題和漏洞,并提供修復(fù)建議。


4、滲透測(cè)試

滲透測(cè)試是一種授權(quán)模擬攻擊,旨在對(duì)其安全性進(jìn)行評(píng)估,目的是證明網(wǎng)絡(luò)防御按照預(yù)期計(jì)劃正常運(yùn)行而提供的一種機(jī)制。它是一種安全評(píng)估方法,通過(guò)對(duì)目標(biāo)系統(tǒng)進(jìn)行模擬攻擊,發(fā)現(xiàn)系統(tǒng)可能存在的漏洞、弱點(diǎn)及其它安全問(wèn)題,從而評(píng)估系統(tǒng)的安全性能。

滲透測(cè)試是為了證明網(wǎng)絡(luò)防御按照預(yù)期計(jì)劃正常運(yùn)行而提供的一種機(jī)制,具體流程階段如下:

前期交互階段。該階段通常是用來(lái)確定滲透測(cè)試的范圍和目標(biāo)。

情報(bào)收集階段。該階段需要采用各種方法來(lái)收集目標(biāo)主機(jī)的信息。

威脅建模階段。該階段主要是使用信息搜集階段所獲得的信息,來(lái)標(biāo)識(shí)目標(biāo)系統(tǒng)有存在可能存在的安全漏洞與弱點(diǎn)的方法之一。

漏洞分析階段。該階段將綜合從前面幾個(gè)環(huán)節(jié)中獲取到的信息,從中分析理解那些攻擊和用途徑是可行的,特別是需要重點(diǎn)分析端口和漏掃描結(jié)果,截獲到服務(wù)的重要信息,以及在信息收集環(huán)節(jié)中得到其他關(guān)鍵性的位置信息。

滲透攻擊階段。該階段可能是存在滲透測(cè)試過(guò)程中最吸引人的地方,然后在這種情況下,往往沒(méi)有用戶所預(yù)想的那么一帆風(fēng)順,而是曲徑通幽,在攻擊目標(biāo)系統(tǒng)主機(jī)時(shí),一定要清晰的了解在目標(biāo)系統(tǒng)存在這個(gè)漏洞,否則,根本無(wú)法啟動(dòng)攻擊成功的步驟。

后滲透測(cè)試階段。該階段在任何一次滲透過(guò)程中都是一個(gè)關(guān)鍵環(huán)節(jié),該階段將以特定的業(yè)務(wù)系統(tǒng)作為目標(biāo),識(shí)別出關(guān)鍵的基礎(chǔ)設(shè)施,并尋找客戶組織罪具有價(jià)值和嘗試進(jìn)行安全保護(hù)的信息和資產(chǎn)。

滲透測(cè)試報(bào)告。報(bào)告是滲透測(cè)試過(guò)程中最重要的因素,使用該報(bào)告文檔可以交流滲透測(cè)試過(guò)程中國(guó)做了什么,如何做的以及最為重要的安全漏洞和弱點(diǎn)。



標(biāo)簽:安全測(cè)試,安全測(cè)評(píng)