第11章 安全测试与评估

第11章安全测试与评估

1、用户认证机制

是指软件系统用日元在使用软件或系统时，必须提供用户身份证明，然后软件系统根据用户数据库的资料，开放特定的权限给登录用户。

2、用户认证机制

数字证书、智能卡、双重认证、安全电子交易（SET）协议

3、加密机制

是保护数据安全的重要手段，加密的基本过程就是对原来为明文的文件或数据，按某种算法进行处理，使其成为不可读的一段代码，称为“密文”，使其只能在输入相应的密钥之后能显示出明文内容，通过这样的途径来达到保护数据不被非法窃取、阅读的目的。

密码：孩止法息流的观察和篡改、通信业务流分析、抵赖、伪造、非授权连接、篡改消息等行为

4、安全防护策略

是软件系统对抗攻击的主要手段，安全防护策略主要有安全日志、入侵检测、隔离防掮、漏洞扫描等

5、数据备份与恢复手段

是一种数据安全策略，从软件系统本身角度，我们认为任一款软件系统都应当提供数据的备份与恢复功能，对自身的数据进行保护。

存储设备、存储优化、存储保护、存储管理

6、防病毒系统

1）、集中式管理、分布式杀毒

2）、数据库技术、LDAP技术的应用

3）、多引擎支持

4）、不同操作系统的防护

5）、远程安装或分发安装

7、安全系统测试策略

1）、基本安全防护系统测试

防火墙、入侵监测系统、漏洞扫描、病毒防治、安全审计、WEB信息防篡改系统

2）、安全系统防护体系

实体、平台、数据、通信、应用、运行、管理安全

8、安全性测试方法

功能验证、漏洞扫描、模拟攻击试验、侦听技术

9、软件产品安全测试

1）、用户管理和访问控制

用户权限控制、操作系统安全性的测试、数据库权限的测试

2）、通信加密

VPN技术、对称加密算法、非对称加密算法、HASH算法

3）、安全日志测试