【软件评测师】考点13——安全测试

安全测试是软件评测师上午场考试中每年必考的知识点，软件系统的安全性是信息安全的一个重要组成部分，软件安全性是与防止对程序及数据的非授权的故意或意外访问的能力有关的软件属性。下面就安全防护策略、安全测试的方法和口令测试等知识点进行总结学习。

一、安全防护策略是软件系统对抗攻击的主要手段，安全防护策略主要有以下四种：

（1）安全日志：是记录非法用户的登录名称、操作时间及内容等信息，以便于发现问题并提出解决措施。安全日志仅记录相关信息，并且日志本身是不用加密存储的，不对非法行为作出主动反应，因此属于被动防护的策略。

（2）入侵检测：入侵检测系统是一种主动的网络安全防护措施，它从系统内部和各种网络资源中主动采集信息，从中分析可能的网络入侵或攻击。一般来说，入侵检测系统还应对入侵行为作出紧急响应。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

（3）漏洞扫描：就是对软件系统及网络系统进行与安全相关的检测，以找出安全隐患和可被黑客利用的漏洞，同时漏洞扫描技术也是安全性测试的一项必要手段。

（4）隔离防护：是将系统中的安全部分与非安全部分进行隔离的措施，目前采用的技术主要有两种，即隔离网闸和防火墙，隔离网闸属于近两年新兴的网络安全技术，主要目的在于实现内网和外网的物理隔离，防火墙是相对成熟的防护技术，主要用于内网和外网的逻辑隔离。

二、安全测试的方法主要包括以下四类：

（1）功能验证：采用软件测试当中的黑盒测试方法，对涉及安全的软件功能，如用户管理模块、权限管理模块、加密系统、认证系统等进行测试，主要是验证上述功能是否有效。

（2）漏洞扫描：通常都是借助于特定的漏洞扫描器完成的。漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器，系统管理员能够发现所维护信息系统存在的安全漏洞，从而及时修补漏洞。安全漏洞扫描是可以用于日常安全防护，同时可以作为对软件产品或信息系统进行测试的手段，可以在安全漏洞造成严重危害前，发现漏洞并加以防范。

（3）模拟攻击试验：对于安全测试来说，模拟攻击试验是一组特殊的黑盒测试案例，我们以模拟攻击来验证软件或信息系统的安全防护能力。模拟攻击试验主要包括以下几种形式：

1）冒充：就是一个实体假装成一个不同的实体。冒充常与某些别的主动攻击形式一起使用，特别是消息的重演与篡改。

2）重演：当一个消息或部分消息为了产生非授权效果而被重复时，出现重演。例如一个含有鉴别信息的有效消息可能被另一个实体所重演，目的是鉴别它自己。

3）消息篡改：数据所传送的内容被改变而未被发觉，并导致非授权后果。

4）服务拒绝（DoS）：当一个实体不能执行它的正常功能，或它的动作妨碍了别的实体执行它们的正常功能的时候，便发生服务拒绝。这种攻击可能是一般性的，比如一个实体抑制所有的消息，也可能是有具体目标的。服务拒绝攻击的种类有很多，例如死亡之Ping、泪滴、UDP洪水、SYN洪水、Land攻击、Smurf攻击、Fraggle攻击、电子邮件炸弹和畸形消息攻击等。

（4）侦听技术：实际上是在数据通信或数据交互过程，对数据进行截取分析的过程。目前最为流行的是网络数据包的捕获技术，黑客可以利用该项技术实现数据的盗用，而测试人员同样可利用该项技术实现安全测试，该项技术主要用于对网络加密的验证。

三、用户口令应当满足当前流行的控制模式，注意测试用户口令的强度和口令存储的位置和加密强度，具体测试点如下所示：

（1）最大口令时效：指定用户可以保留当前口令的时间。

（2）最小口令时效：指定在修改口令之前，用户必须保留口令的时间。

（3）口令历史：确定系统将要记住的口令的数量。如果用户选择的口令存在于口令历史数据库中，系统将强制用户选择其他口令。

（4）最小口令长度：对于用户口令，可以包含的最少的可以接受的字符数目。

（5）口令复杂度：在口令中要求用户使用非字母数字的字符或大写字母。

（6）加密选项：可以加密本地存储的口令。

（7）口令锁定：口令锁定是被用来对付猜测口令的主要工具。在输入的非法口令达到规定的次数之后，系统将禁用这个账户。这种技术在对付远程暴力攻击的时候特别有效。

（8）账户复位：账户锁定后定义是否可以在规定时间间隔后自动恢复，可以减轻系统管理员的工作强度。

下面是近几年对安全测试考察过的真题，基本上都是在上午题的第68小题出现，以后仍是考试出题的重点，大家要重视起来。

【2017年68题】以下不属于安全防护策略的是（  ）

A、入侵检测

B、隔离防护

C、安全测试

D、漏洞扫描

解析：本题考查安全防护策略的基础知识。

安全防护策略：包括入侵检测、隔离防护、安全日志和漏洞扫描。安全测试不属于安全防护策略。

故正确答案为：C

【2018年68题】用户口令测试应考虑的测试点包括( ) 。

①口令时效 

②口令长度

③口令复杂度 

④口令锁定

A.①③ 

B.②③ 

C.①②③ 

D.①②③④

解析：本题考查用户口令测试的基础知识。

本题①②③④都属于用户口令安全测试相关的内容。

故正确答案为：D

【2019年68题】模拟攻击试验是安全性测试方法之一，以下不属于模拟攻击试验的是（ ）。

A. 冒充       

B. 重演        

C. 侦听       

D. 拒绝服务

解析：本题考查软件测试的基础知识。

侦听技术不属于模拟攻击试验。

故正确答案为：C

作者唯一官方个人微信公众号（昊洋与你一起成长）：HYJY20180101

写于2021年8月4日

作者：昊洋讲师

版权所有，侵权必究