专为小白解说:什么是安全测试?

发表于:2021-2-23 09:13  作者:weixin_34322964   来源:CSDN

字体: | 上一篇 | 下一篇 |我要投稿 | 推荐标签: 安全测试

  1.安全测试在做什么?
  扫描?在很多人眼中,做安全的就是整天那个工具在哪里扫描操作,使用各种不同的工具做扫描。
  是的,扫描是安全测试很重要的一部分,扫描可快速有效发现问题。扫描工具的易用性,方便性决定了其重要地位。但是扫描工具的局限性,程序的不够灵活等缺点也是显而易见的。不管是扫描报告的分析、漏洞的深度挖掘、测试的组织等等工作都离不开安全测试人员,所以只能说扫描工具减轻了测试人员的工作量,是安全测试的一种手段。
  2.安全测试者是怎样定位自己的?
  我们经常听到一些有关安全的名称,像软件安全、信息安全、网络安全、计算机安全等一些词组,这些领域都是做安全的,那我们属于哪一个呢?
  【软件安全】往小了说就是某一个软件产品,说大了除了硬件就是软件了。
  【信息安全】看名字我们就知道关键是信息两个字,但是什么是信息呢,客户的数据还是一切有用的数据?
  【网络安全】什么是网络,网络系统硬件、软件这都是些模糊的可大可小的概念。
  【计算机安全】PC?服务器?路由器?
  我们可以看到这些概念往大了说成了组成我们今天互联网的各种设备包括各种嵌入式机器、外接USB、蓝牙等设备的共同体的硬软件,以及使用、维护、管理这些东西人的整个安全问题。
  在看他们的区别,他们以不同的地方为其主要关注点,或者说出发点,他们并没有明显的界限却有着自己的侧重点。
  我们的侧重点是什么呢,我们产品是一个什么样的产品呢?我们有web服务、接口服务、文件服务、视频等服务,我们把他们统一称为我们的系统,那么我们就是在做这个系统的安全测试,所以我觉得我们应该定位为系统安全测试。
  当然我们的系统运行中也涉及到人、涉及到硬件,此处都不是我们的关注点,我们只从软件技术的角度来识别它。那么,系统安全测试就成了区别于功能测试,和性能测试一样,单独列出来的专项测试。
  3.安全的本质是什么?
  信任、人性(网络安全最大的漏洞就是人)、止损、攻防。
  以上是当前网上一些主要的论点,以信任或者不信任作为本质出发点的还是占据主流的。
  4.概念定义
  【敏感数据】具体的范围取决于产品具体的应用场景,产品应根据风险进行分析和判断。
  典型敏感数据包括口令、银行账号、大批量个人数据、用户通信内容和密钥等。
  【个人数据】指直接通过该数据或者结合该数据与其他的信息,可识别出自然人的信息。
  【匿名化】指对个人数据进行更改(单独单向散列、截短、替换等,如需保留个人数据真实值与替换值之间的对应关系,可使用对称加密或映射表方式,但密钥/映射表必须由数据所有这控制),使原有关个人信息不再能归属到一个可识别的自然人,或推理这种归属需要耗费过多、不相称的时间、费用和精力。

  本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理

评 论

论坛新帖

顶部 底部


建议使用IE 6.0以上浏览器,800×600以上分辨率,法律顾问:上海信义律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2021, 沪ICP备05003035号
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪公网安备 31010102002173号

51Testing官方微信

51Testing官方微博

扫一扫 测试知识全知道