软件评测师--第11小时 安全测试和评估
一、测试与评估内容
软件组成3要素
程序、数据、文档
软件安全性定义
防止程序及数据的非授权故意或意外访问的能力有关的软件属性
密码技术的主要作用
密码的保护、数据的传输过程中的安全保护、数据存储过程的安全防护等
安全测试与评估的内容
1、用户机制认证
数字证书
智能卡
双重认证
安全电子交易(SET)协议
2、加密机制
3、安全防护策略
软件系统对抗攻击的主要手段
安全日志
被动防护的策略
入侵检测
主动
隔离防护
隔离网闸和防火墙
漏洞扫描
4、数据备份与恢复手段
存储、优化 保护 管理
5、防病毒系统
1、集中式管理、分布式杀毒
2、数据库技术、LDAP技术的应用
3、多引擎支持
4、不同操作系统的防护
5、远程安装或分发安装
数据备份与恢复技术知识点
存储设备:磁盘阵列、磁带机、光盘库、SAN设备。
存储优化:DAS、NAS、SAN
存储保护:磁盘阵列、双机容错、集群、备份与恢复
存储管理:数据库备份与恢复、文件与卷管理、复制、SAN管理。
杀毒软件的集中管理方式
以策略为中心
以服务器为中心
隔离网闸的目的:实现内网与外网的物理隔离
防火墙:内网和外网的逻辑隔离
二、安全系统测试策略
基本安全保护系统一般采用防火墙、入侵检测、漏洞扫描、安全审计、病毒防治、Web信息防篡改、物理安全等基础安全技术,以保障应用系统的安全。
防火墙
(1)是否支持交换和路由两种工作模式;
(2)是否支持对HTTP、FTP、SMTP等服务类型的访问控制;
(3)是否考虑到防火墙的冗余设计;
(4)是否支持对日志的统计分析功能,同时,日志是否可以存储在本地和网络数据库上;
(5)对防火墙本身或受保护网段的非法攻击
入侵监测系统
(1)能否在检测到入侵事件时,自动执行切断服务、记录入侵过程、邮件报警等动作;
(2)是否支持攻击特征信息的集中式发布和攻击取证信息的分布式上载;
(3)能否提供多种方式对监视引擎和检测特征的定期更新服务;
(4)内置的网络能否使用状况监控工具和网络监听工具。
漏洞扫描
能否定期或不定期地使用安全性分析软件,对整个内部系统进行安全扫描,及时发现系统的安全漏洞、报警,并提出补救建议。
病毒防治
(1)能否支持多种平台的病毒防治;
(2)能否支持对服务器的病毒防治;
(3)能否支持对电子邮件附件的病毒防治;
(4)能否提供对病毒特征信息和检测引擎的定期在线更新服务;
(5)防病毒范围是否广泛,是否包括UNIX、Windows、Linux系统等操作系统。
安全审计
(1)能否进行系统数据收集,统一存储,集中进行安全审计;
(2)是否支持基于PKI的应用审计;
(3)是否支持基于XML的审计数据采集协议;
(4)是否提供灵活的自定义审计规则。
Web信息防篡改系统
(1)是否支持多种操作系统;
(2)是否具有集成发布与监控功能,使系统能够区分合法更新与非法篡改;
(3)是否可以实时发布和备份;
(4)是否具备自动监控、自动恢复、自动报警的能力;
(5)是否提供日志管理、扫描策略管理和更新管理。
安全系统防护体系
(1)实体安全
(2)平台安全
(3)数据安全
(4)通信安全
(5)应用安全
(6)运行安全
(7)管理安全
9层次进行测试和评估
(1)证书业务服务系统测试
(2)证书查询验证服务系统测试
(3)密钥管理系统测试
(4)密码服务系统测试
(5)可信授权服务系统测试
(6)可信时间戳服务系统测试
(7)网络信任域系统测试
(8)故障恢复与容灾备份测试
(9)安全产品的选择
三、安全性测试方法
1)漏洞扫描
漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。
主机漏洞扫描器(Host Scanner):指在系统本地运行检测系统漏洞的程序
网络漏洞扫描器(Network Scanner):指基于网络远程检测目标网络和主机系统漏洞的程序。
2)模拟攻击实验
是一组特殊的黑盒测试案例,通过模拟攻击来验证软件或信息系统的安全防护能力。
冒充、重演、消息篡改、服务拒绝、内外部攻击、陷阱门、特洛伊木马
3)侦听技术
数据截取分析 Capture 主要用于对网络加密的验证。
4)功能验证
黑盒测试
四、软件产品安全测试
软件产品安全测试侧重于以下两方面:用户对数据或业务功能的访问控制,数据存储和数据通信的远程安全控制。
用户管理和访问控制
1)用户权限控制
2)操作系统安全性的测试
3)数据库权限的测试
通信加密
目前使用的加密技术包括:VPN技术、对称加密算法、非对称加密算法、HASH算法等。
安全日志测试
日志应当记录所有用户访问系统的操作内容,包括登录用户名称、登录时间、浏览数据动作、修改数据动作、删除数据动作、退出时间、登录机器的IP等。
五、加密算法
生成消息摘要算法:MD5、SHA-1、SHA-256
公钥加密算法:RSA
选择题 BCDDA BCCCB
1、对一段信息生成消息摘要是防止信息在网络传输及存储过程中被篡改的基本手段,()不属于生成消息摘要的基本算法。
A.MD5
B.RSA
C.SHA-1
D.SHA-256
2、软件系统的安全性是信息安全的一个重要组成部分,针对程序和数据的安全性测试与评估是软件安全性测试的重要内容,()不属于安全性测试与评估的基本内容。
A.用户认证机制
B.加密机制
C.系统能承受的并发用户量
D.数据备份与恢复手段
3、模拟攻击实验是一种基本的软件安全测试方式,以下关于模拟攻击实验的叙述中,正确的是()
A、模拟攻击实验必须借助于特定的漏洞扫描器才能完成
B、对安全性测试来说,模拟攻击实验是一组特殊的白盒测试案例,必须在充分了解系统安全机制的软件组成基础上,才能进行相对攻击实验的设计和实验
C、缓冲区溢出攻击是一种常见的模拟攻击实验,此类攻击者通常通过截获含有身份鉴别信息或授权请求的有效信息,将该消息重演
D、服务拒绝攻击是一种常见的模拟攻击实验,此类攻击者通过向服务器发送大量的虚假请求,使得服务器功能不能正常执行
4、以下属于安全测试方法的是()。
①安全功能验证
②安全漏洞扫描
③模拟攻击实验
④数据侦听
A.①③
B.①②③
C.①②④
D.①②③④
5、不属于网站渗透测试的内容。
A.防火墙日志审查
B.防火墙远程探测与攻击
C.跨站攻击
D.SQL注入
6、不同加密机制或算法的用途、强度是不相同的,一个软件或系统中的加密机制使用是否合理,强度是否满足当前要求,需要通过测试来完成,通常( )是测试的一个重要手段。
A.模拟加密
B.模拟解密
C.漏洞扫描
D.算法强度理论分析
7、安全日志是软件产品的一种被动防范措施,是系统重要的安全功能,因此安全日志测试是软件系统安全性测试的重要内容,下列不属于安全日志测试基本测试内容的是( )。
A.对安全日志的完整性进行测试,测试安全日志中是否记录包括用户登录名称、时间、地址、擞据操作行为以及退出时间等全部内容
B.对安全日志的正确性进行测试,测试安全日志中记录的用户登录、数据操作等日志信息是否正确
C.对日志信息的保密性进行测试,测试安全日志中的日志信息是否加密存储,加密强度是否充分
D.对于大型应用软件系统,测试系统是否提供安全日志的统计分析能力
8、下到关于DoS攻击的描述中,错误的是( )。
A.DoS攻击通常通过抑制所有或流向某一特定目的端的消息,从而使系统某一实体不能执行其正常功能,产生服务拒绝
B.DoS攻击不需入目标系统,仅从外部就可实现攻击
C.只要软件系统内部没有漏洞,DoS攻击就不可能成功
D.死亡之Ping、Land攻击、UDP洪水、Smurf攻击均是常见的DoS攻击手段
9、软件产品安全测试中,下列()不属于用户管理和访问控制测试
A、用户权限控制
B、操作系统安全性测试
C、网络安全测试
D、数据库权限测试
10、隔离网闸的主要作用是实现内网和外网的(),防火墙主要作用于内网和外网的()
A、逻辑隔离。物理隔离
B、物理隔离、逻辑隔离
C、网络隔离、逻辑隔离
D、逻辑隔离、网络隔离
软件评测师--第11小时 安全测试和评估相关推荐
- 软件评测师--第十小时 网络测试
1.网络安全测试基础概念 目的:确保网络能够承载各种各样的应用,对网络上加载不同应用的情况进行测试 重点:可靠性测试 生命周期 1.网络规划设计阶段 目的:利用网络仿真技术测试设计方案以及网络设备进行 ...
- 软件评测师--第13小时 标准符合性测试
一.标准符合性测试分类 测试内容 测量产品的功能和性能指标,与相关国家标准或行业标准所规定的功能和性能指标之间符合程度的测试活动 与一般测试区别 标准符合性测试依据和测试规程一定是国家标准或行业标准, ...
- 软件测评师--第15小时 可靠性测试
一.软件可靠性和可靠性测试 可靠性 概要设计阶段 指产品在规定的条件下和规定的时间内完成规定功能的能力 固有可靠性 通过设计.制造的影响,又受使用条件的影响 使用可靠性 即受设计.制造的影响,又 ...
- 软件测评师--第14小时 易用性测试
一.安装测试 除嵌入式软件,其他软件安装测试是第一步 注意事项 1.安装手册的评估 2.安装的自动化程度测试 3.安装选项和设置的测试 4.安装过程的中断测试 5.安装顺序测试 6.多环境安装测试 7 ...
- 软件测评师--第七小时 面向对象测试技术
1.面向对象技术 对象和类 传统过程式编程语言:程序=算法+数据 面向对象编程语言:程度对象+消息 三大特性 继承 1.从一个类派生到另一个类 2.派生类(子类)继承了其父类和祖先类的数据成员和成员函 ...
- 软件评测师考试学习计划
2021年11月10日决定参加软件评测师考试,虽然已工作多年,但是并未考取任何证书,可做了妈妈以后又多了一份责任,需要更加努力才能给孩子最好的生活.从<软件评测师教程>阅读开始,每天记录笔 ...
- 【软考软件评测师】第五章节 安全测试测试方法
[软考软件评测师]第五章节 安全测试测试方法 第五章节 安全测试测试方法 [软考软件评测师]第五章节 安全测试测试方法 第一部分 知识点集锦 1.常见安全攻击手段并简要说明 2.基本的安全性测试方法 ...
- 【软考软件评测师】第二十九章 可靠性可用性测试
[软考软件评测师]第二十九章 可靠性可用性测试 [软考软件评测师]第二十九章 可靠性可用性测试 [软考软件评测师]第二十九章 可靠性可用性测试 第一部分知识点集锦 1.可靠性测试 1)主要活动 2)考 ...
- 09年软件评测师考试下午试题答案
09年软件评测师考试下午试题 试题一 (18分) 阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内. [说明] 软件测试的质量决定着被测产品的质量,是企业关注的重点 ...
- 【软考软件评测师】2013综合知识历年真题
[软考软件评测师]2013综合知识历年真题 2013软件评测师综合知识历年真题 [软考软件评测师]2013综合知识历年真题 [2013年评测真题第01题:绿色] 01.在程序执行过程中,Cache与主 ...
最新文章
- 基于TransactionScope类的分布式隐式事务
- javaWeb服务详解(含源代码,测试通过,注释) ——Emp的Service层
- [react] 说说react的生命周期有哪些?
- OpenVINO Inference Engine之custom Layer自定义算法(VPU版本)
- ICCV2019 | 腾讯优图13篇论文入选,其中3篇被选为Oral
- 观察者模式在android网络监控下的运用
- ES6新特性_let使用案例---JavaScript_ECMAScript_ES6-ES11新特性工作笔记004
- 注意了!System.currentTimeMillis() 存在性能问题...
- C语言多线程基础-01-线程的创建与销毁
- Python数据类型-list得切片(slices)
- 2022年开始学习Delphi并成为Delphi程序员的5个重要原因
- 问题解决:无法解析的外部符号 _imp_XXXXXXXXX
- verilog驱动1602液晶屏
- B站哔哩哔哩视频一键下载,这个视频下载工具太给力了
- 用户输入一个字符串,请将字符串中的所有字母全部向后移动移动一位,最后一个字母放到字符串的开头,最后将新的字符串输出。
- 大型互联网公司如何防止黑客入侵?(下)
- Studing Day3 - python基础3
- Unity 镜面反射
- 汇编指令CLI/STI
- AHCI VS IDE 把我整疯了。。。