软件安全可靠性的质量标准

1、操作系统安全性
对于大型的信息系统，可以通过公认的安全工具进行系统扫描测试。
2、本身的安全性
如数据库安全性、软件安全性
3、安全的作用
——使一般的用户和仅凭运气的人不能闯入；
——使得对系统的闯入消耗非常多的时间、资源；
——有问题时，应该有据可查。
4、分布式管理
——权限采用分布式管理，不同级别控制不同权限，相同级别的权限相互隔离
测试时一定要注意不同组之间以及同组之间的权限关系。
5、用户名和口令
新建用户应有初始口令，第一次登陆，允许修改口令；口令长度有无限制；对口令的选择有无限制；对不好的口令有无提示；对错误登陆次数有无限制；一定数量失败登陆有没有死锁功能等。
测试时，可能会包含用户名和口令，用户名加数字做口令，新口令和旧口令相同，有效的用户名和口令等。
6、不同权限的功能实现
7、加密实现方式（加密算法、函数变换）
对用户口令使用何种加密方法，是采用加密算法来实现，还是普通的字符变换，利用现有的探测密码工具能否探测到。
8、日志留痕
对用户的登陆时间、状态、失败次数等有没有留痕，这些留痕对谁可见。
9、可靠的程序应该是正确的、完整的、一致的和健壮的。
10、软件的错误
1)错误范围：
a．灾难性的，如死机或未保存退出系统
b．严重的，如造成系统和数据库等不稳定
c．损害性的，产生错误的结果，导致业务或决策错误
d．性能上的，导致性能严重下降
e．中等的，不正确，但是没有特别的输出
f．小错误，按钮和标签上有错误的单词等

2)对错误的提示：
是否莫名其妙或模糊不清
3)对错误的屏蔽
从错误状态能否恢复到正常状态，发生错误时，是否仍可以实现预定的功能
11、对敏感输入数据的合法性检查
12、备份与恢复：数据库本身的工具
13、破坏性测试
——关闭数据库
——毁坏数据库中的表
——将系统的DLL文件转移到其他目录
——用尽磁盘空间
——制造网络硬件异常
——在传送数据时，切断网络，并在短时间内恢复。