面向云服务的测试方法——安全性评测

本文涉及的产品
访问控制,不限时长
简介: 安全性是软件质量的一个重要属性。软件安全性是软件在受到恶意攻击时仍提供所需功能的能力。

安全性评测

安全性是软件质量的一个重要属性。软件安全性是软件在受到恶意攻击时仍提供所需功能的能力。

1.安全测试概述

安全性测试是检验软件中已存在的软件安全性措施是否有效的测试,是保证软件系统安全性的重要手段。安全性测试的目的是设法设计出一些测试用例,试图突破系统的安全保密措施。比如:①设法截取或破译口令;②专门编制软件以破坏系统的保护机制:③故意导致系统失败,企图趁恢复之机非法进入;④试图通过浏览非保密数据,推导出所需信息等,以检验系统是否有安全保密的漏洞。

安全功能测试的目的在于测试软件的安全功能实现是否与软件的安全功能需求一致,是否正确完备。软件安全性测试可分为软件功能测试、安全漏洞测试及基于威胁的软件安全性测试。其中,安全漏洞测试就是识别和发现软件的安全漏洞,避免其受到攻击。软件漏洞如若被利用,就可能造成软件受到攻击,使软件进入不安全的状态。基于威胁的软件安全性测试是从软件外部考察软件的安全性,即识别软件面临的安全威胁并测试其是否能够发生。

国内外对于软件安全性测试方法的研究已经有了很多成果,下面介绍几种常用的安全性测试方法。

(1)基于故障树分析(FTA)的安全性测试方法基于故障树分析的软件安全性测试方法是利用故障树的最小割集来生成软件安全性测试用例的方法。它以系统中最不希望发生的故障状态作为故障分析的顶事件,寻找导致这一故障发生的全部可能因素,绘制故障树,然后搜索出最小割集,并以最小割集为依据生成软件安全性测试用例。
(2)基于Petri网的安全性测试方法基于Petri网的软件安全性测试方法主要有正向分析法和逆向分析法。正向分析法首先建立完整的可达图和状态标识表,得到Petri网的可达集,建立相应的Petri网模型,然后在可达集中搜索所有包含任意一个状态的状态标识,并将其标记为危险标识,从初始状态到该危险标识的每个变迁序列均可设计为一个测试用例。在生成用例时,对每个被标记的危险标识应至少生成一个用例。这些用例构成了针对该Petri网模型的软件安全性测试用例集。迎向分析方法是构造所有可能导致危险的软件危险状态,然后分析求出由初始状态到该危险状态可能的路径,并通过构造测试用例来验证该路径是否可行。给于正向分析方法需要生成完整的可达图和状态标识集,这对于逻辑和结构比较复杂的系统是比较困难的,甚至容易形成组合爆炸的问题。
(3)基于故障注入的安全性测试软件故障注入可以有效地模拟各种各样的异常程序行为,通过故障注入方法能够强制性地使程序进入到某些特定的状态,这些状态在采用常规的标准测试技术的情况下,一般是无法到达的。软件故障注入针对应用与环境的交互点,主要包括用户输入、文件系统、网络接口和环境变量等引起的故障。主要思路是通过构造各类协议数据包测试目标软件是否能正确处理。实质是在各类协议数据包中植入故障,如修改某些协议字段的值等,以发现被测软件是否存在安全漏洞。故障注入技术最大的特点是高度灵活性,既能开发特殊的硬件辅助设备进行硬件方法的测试,也能实现软件方法的故障注入测试技术。
(4)模糊测试模糊测试是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件安全漏洞的方法。模糊测试将随机数据插入程序,观察其是否能够容忍杂乱输入。模糊测试是不合迎相的,只是产生杂乱数据政击程序。采用模糊测试政击程序可以发现其他采用逻辑思维来测试难以发现的安全缺陷。
(5)基于风险的安全测试基于风险的安全测试方法是将风险分析、安全测试与软件开发过程结合起来,尽可能早地发现高风险的安全漏洞。这种方法强调在软件开发的各个阶段进行识用模式、异常场景、风险分析以及渗透测试等,测试不再是软件发布后打补丁,而是将安全测试相关过程集成到软件开发生命周期中。

2.云计算的安全测试

针对云计算面临的不同安全问题,安全测试的内容包括:①云平台自身安全,虚拟技术是实现云计算的核心技术,因此应分析各类虚拟化管理软件本身的安全问题,形成虚拟化管理软件安全配置核查手册:②虚拟机环境间安全区隔,重点是考虑各虚拟机之间的访问控制策略实施手段,检测分析虚拟机之间是否有隐蔽信道,同时应监控物理CPU、内存和网络等公共资源的访问行为,确保虚拟机未非法访问其他虚拟机的物理资源;③云上的数据保护,主要检测云计算服务商是否能访问用户数据,用户使用习惯隐私是否被记录或分析,用户数据物理存储位置是否被正确存储在其指定的国家或区域等:④云资源访问控制,由于各个云应用属于不同的安全管理域,每个安全域都管理着本地的资源和用户,当用户跨域访问资源时,需在域边界设置认证服务,对访问共享资源的用户进行统一的身份认证管理,在跨多个域的资源访问中,各域有自己的访问控制策略,在进行资源共享和保护时必须对共享资源制订一个公共的、双方都认同的访问控制策略。

因此,应检测跨域访问资源时访问控制策略的安全性,对于云计算的安全评测的研究已经有了较多成果,如Zech等人认为由于云一直随着应用和服务的变化而不断变化,所以云计算环境的安全性不是一次性的任务,而是贯穿于云计算的完整生命周期中。基于此,他们提出了一种变化驱动的新型方法模型,利用公共服务的接口作为主要入侵点,采用风险分析以便于在所有层次测试云计算环境的安全性。

Whaidurzaman等人2以基于渗透测试提出一种针对第三方的自动化软件脚本模型,可以在云服务提供商一方运行,识别漏洞并检查云服务提供商的安全强度和故障承受能力。

Mirkovit等人四通过提供一组控制和限定指标原则,提出一种针对云的可衡量模型,并对可以用于评测私有、公共或者混合云的安全测试工具进行研究。为解决安全问题并在云计算中进行安全评测,引入了与其对应的分级安全设计模型,提出一种云计算环境中基于攻击图的安全评价方法。将行为模式扩展为综合行为模式,并依据综合行为模式学习持续行为关系的程度,使用基于Petri网的行为理论进行云计算的安全评测。

目录
相关文章
|
7天前
|
数据采集 监控 机器人
浅谈网页端IM技术及相关测试方法实践(包括WebSocket性能测试)
最开始转转的客服系统体系如IM、工单以及机器人等都是使用第三方的产品。但第三方产品对于转转的业务,以及客服的效率等都产生了诸多限制,所以我们决定自研替换第三方系统。下面主要分享一下网页端IM技术及相关测试方法,我们先从了解IM系统和WebSocket开始。
23 4
|
2月前
|
测试技术 API 项目管理
API测试方法
【10月更文挑战第18天】API测试方法
55 1
|
2月前
|
测试技术 UED
软件测试中的“灰盒”方法:一种平衡透明度与效率的策略
在软件开发的复杂世界中,确保产品质量和用户体验至关重要。本文将探讨一种被称为“灰盒测试”的方法,它结合了白盒和黑盒测试的优点,旨在提高测试效率同时保持一定程度的透明度。我们将通过具体案例分析,展示灰盒测试如何在实际工作中发挥作用,并讨论其对现代软件开发流程的影响。
|
15天前
|
机器学习/深度学习 算法 UED
在数据驱动时代,A/B 测试成为评估机器学习项目不同方案效果的重要方法
在数据驱动时代,A/B 测试成为评估机器学习项目不同方案效果的重要方法。本文介绍 A/B 测试的基本概念、步骤及其在模型评估、算法改进、特征选择和用户体验优化中的应用,同时提供 Python 实现示例,强调其在确保项目性能和用户体验方面的关键作用。
22 6
|
18天前
|
JavaScript 安全 编译器
TypeScript 与 Jest 测试框架的结合使用,从 TypeScript 的测试需求出发,介绍了 Jest 的特点及其与 TypeScript 结合的优势,详细讲解了基本测试步骤、常见测试场景及异步操作测试方法
本文深入探讨了 TypeScript 与 Jest 测试框架的结合使用,从 TypeScript 的测试需求出发,介绍了 Jest 的特点及其与 TypeScript 结合的优势,详细讲解了基本测试步骤、常见测试场景及异步操作测试方法,并通过实际案例展示了其在项目中的应用效果,旨在提升代码质量和开发效率。
33 6
|
1月前
|
Java 测试技术 Maven
Java一分钟之-PowerMock:静态方法与私有方法测试
通过本文的详细介绍,您可以使用PowerMock轻松地测试Java代码中的静态方法和私有方法。PowerMock通过扩展Mockito,提供了强大的功能,帮助开发者在复杂的测试场景中保持高效和准确的单元测试。希望本文对您的Java单元测试有所帮助。
104 2
|
2月前
|
测试技术 Python
自动化测试项目学习笔记(三):Unittest加载测试用例的四种方法
本文介绍了使用Python的unittest框架来加载测试用例的四种方法,包括通过测试用例类、模块、路径和逐条加载测试用例。
84 0
自动化测试项目学习笔记(三):Unittest加载测试用例的四种方法
|
2月前
|
测试技术 Python
自动化测试项目学习笔记(二):学习各种setup、tearDown、断言方法
本文主要介绍了自动化测试中setup、teardown、断言方法的使用,以及unittest框架中setUp、tearDown、setUpClass和tearDownClass的区别和应用。
72 0
自动化测试项目学习笔记(二):学习各种setup、tearDown、断言方法
|
2月前
|
安全 测试技术 API
一图看懂API测试9种方法
一图看懂API测试九种方法:冒烟测试验证基本功能,功能测试确保符合规格,集成测试检查组件协同工作,回归测试防止新变更引入问题,负载测试评估性能稳定性,压力测试挑战极限负载,安全测试发现并修复漏洞,用户界面测试确保UI与API协调,模糊测试提升异常数据处理鲁棒性。
|
2月前
|
测试技术 UED
软件测试中的探索性测试:一种创新的质量保证方法
在软件开发的生命周期中,测试阶段扮演着至关重要的角色。传统的软件测试方法,如自动化测试和回归测试,虽然在一定程度上保证了软件质量,但它们往往依赖于预定义的测试用例和脚本,可能无法覆盖所有用户场景和边缘情况。为了克服这些限制,探索性测试作为一种创新的质量保证方法应运而生。本文将深入探讨探索性测试的概念、优势以及如何有效地实施它,以帮助读者更好地理解和应用这种测试技术。