常常被問到這樣一個問題：在做測試過程中，我們的軟件產品在安全性方面考慮了多少？應該如何測評一個軟件到底有多安全？

　　這個軟件因為涉及客戶商業上重要的信息資料，因此用戶關心的核心問題始終圍繞“這個軟件安全嗎”。一個由于設計導致的安全漏洞和一個由于實現導致的安全漏洞，對用戶的最終影響都是巨大的。我的任務就是確保這個軟件在安全性方面能滿足客戶期望。

　　一、什么是軟件安全性測試

　?。?）什么是軟件安全

　　軟件安全屬于軟件領域里一個重要的子領域。在以前的單機時代，安全問題主要是操作系統容易感染***，單機應用程序軟件安全問題并不突出。但是自從互聯網普及后，軟件安全問題愈加顯加突顯，使得軟件安全性測試的重要性上升到一個前所未有的高度。

　 　軟件安全一般分為兩個層次，即應用程序級別的安全性和操作系統級別的安全性。應用程序級別的安全性，包括對數據或業務功能的訪問，在預期的安全性情況 下，操作者只能訪問應用程序的特定功能、有限的數據等。操作系統級別的安全性是確保只有具備系統平臺訪問權限的用戶才能訪問，包括對系統的登錄或遠程訪 問。

　　本文所講的軟件安全主要是應用程序層的安全，包括兩個層面：①是應用程序本身的安全性。一般來說，應用程序的安全問題主要是由軟件漏洞導 致的，這些漏洞可以是設計上的缺陷或是編程上的問題，甚至是開發人員預留的后門。②是應用程序的數據安全，包括數據存儲安全和數據傳輸安全兩個方面。

　?。?）軟件安全性測試

　　一般來說，對安全性要求不高的軟件，其安全性測試可以混在單元測試、集成測試、系統測試里一起做。但對安全性有較高需求的軟件，則必須做專門的安全性測試，以便在破壞之前預防并識別軟件的安全問題。

　 　安全性測試（Security Testing）是指有關驗證應用程序的安全等級和識別潛在安全性缺陷的過程。應用程序級安全測試的主要目的是查找軟件自身程序設計中存在的安全隱患，并 檢查應用程序對***侵入的防范能力，根據安全指標不同測試策略也不同。注意：安全性測試并不最終證明應用程序是安全的，而是用于驗證所設立策略的有效性， 這些對策是基于威脅分析階段所做的假設而選擇的。例如，測試應用軟件在防止非授權的內部或外部用戶的訪問或故意破壞等情況時的運作。

　　二、軟件安全性測試過程

　　（1）安全性測試方法

　　有許多的測試手段可以進行安全性測試，目前主要安全測試方法有：

　 　①靜態的代碼安全測試：主要通過對源代碼進行安全掃描，根據程序中數據流、控制流、語義等信息與其特有軟件安全規則庫進行匹對，從中找出代碼中潛在的安 全漏洞。靜態的源代碼安全測試是非常有用的方法，它可以在編碼階段找出所有可能存在安全風險的代碼，這樣開發人員可以在早期解決潛在的安全問題。而正因為 如此，靜態代碼測試比較適用于早期的代碼開發階段，而不是測試階段。

　　②動態的滲透測試：滲透測試也是常用的安全測試方法。是使用自動化工具或 者人工的方法模擬黑客的輸入，對應用系統進行攻擊性測試，從中找出運行時刻所存在的安全漏洞。這種測試的特點就是真實有效，一般找出來的問題都是正確的， 也是較為嚴重的。但滲透測試一個致命的缺點是模擬的測試數據只能到達有限的測試點，覆蓋率很低。

　?、鄢绦驍祿呙?。一個有高安全性需求的軟件， 在運行過程中數據是不能遭到破壞的，否則就會導致緩沖區溢出類型的攻擊。數據掃描的手段通常是進行內存測試，內存測試可以發現許多諸如緩沖區溢出之類的漏 洞，而這類漏洞使用除此之外的測試手段都難以發現。例如，對軟件運行時的內存信息進行掃描，看是否存在一些導致隱患的信息，當然這需要專門的工具來進行驗 證，手工做是比較困難的。

　?。?）反向安全性測試過程

　　大部分軟件的安全測試都是依據缺陷空間反向設計原則來進行的，即事先檢查哪些 地方可能存在安全隱患，然后針對這些可能的隱患進行測試。因此，反向測試過程是從缺陷空間出發，建立缺陷威脅模型，通過威脅模型來尋找入侵點，對入侵點進 行已知漏洞的掃描測試。好處是可以對已知的缺陷進行分析，避免軟件里存在已知類型的缺陷，但是對未知的攻擊手段和方法通常會無能為力。

　?、俳⑷毕萃{模型。建立缺陷威脅模型主要是從已知的安全漏洞入手，檢查軟件中是否存在已知的漏洞。建立威脅模型時，需要先確定軟件牽涉到哪些專業領域，再根據各個專業領域所遇到的攻擊手段來進行建模。

　?、趯ふ液蛼呙枞肭贮c。檢查威脅模型里的哪些缺陷可能在本軟件中發生，再將可能發生的威脅納入入侵點矩陣進行管理。如果有成熟的漏洞掃描工具，那么直接使用漏洞掃描工具進行掃描，然后將發現的可疑問題納入入侵點矩陣進行管理。

　?、廴肭志仃嚨尿炞C測試。創建好入侵矩陣后，就可以針對入侵矩陣的具體條目設計對應的測試用例，然后進行測試驗證。

　?。?）正向安全性測試過程

　　為了規避反向設計原則所帶來的測試不完備性，需要一種正向的測試方法來對軟件進行比較完備的測試，使測試過的軟件能夠預防未知的攻擊手段和方法。

　?、傧葮俗R測試空間。對測試空間的所有的可變數據進行標識，由于進行安全性測試的代價高昂，其中要重點對外部輸入層進行標識。例如，需求分析、概要設計、詳細設計、編碼這幾個階段都要對測試空間進行標識，并建立測試空間跟蹤矩陣。

　?、诰_定義設計空間。重點審查需求中對設計空間是否有明確定義，和需求牽涉到的數據是否都標識出了它的合法取值范圍。在這個步驟中，最需要注意的是精確二字，要嚴格按照安全性原則來對設計空間做精確的定義。

　 　③標識安全隱患。根據找出的測試空間和設計空間以及它們之間的轉換規則，標識出哪些測試空間和哪些轉換規則可能存在安全隱患。例如，測試空間愈復雜，即 測試空間劃分越復雜或可變數據組合關系越多也越不安全。還有轉換規則愈復雜，則出問題的可能性也愈大，這些都屬于安全隱患。

　?、芙⒑万炞C入侵矩陣。安全隱患標識完成后，就可以根據標識出來的安全隱患建立入侵矩陣。列出潛在安全隱患，標識出存在潛在安全隱患的可變數據，和標識出安全隱患的等級。其中對于那些安全隱患等級高的可變數據，必須進行詳盡的測試用例設計。

　　（4）正向和反向測試的區別

　 　正向測試過程是以測試空間為依據尋找缺陷和漏洞，反向測試過程則是以已知的缺陷空間為依據去尋找軟件中是否會發生同樣的缺陷和漏洞，兩者各有其優缺點。 反向測試過程主要的一個優點是成本較低，只要驗證已知的可能發生的缺陷即可，但缺點是測試不完善，無法將測試空間覆蓋完整，無法發現未知的攻擊手段。正向 測試過程的優點是測試比較充分，但工作量相對來說較大。因此，對安全性要求較低的軟件，一般按反向測試過程來測試即可，對于安全性要求較高的軟件，應以正 向測試過程為主，反向測試過程為輔。

　　三、常見的軟件安全性缺陷和漏洞

　　軟件的安全有很多方面的內容，主要的安全問題是由軟件本身的漏洞造成的，下面介紹常見的軟件安全性缺陷和漏洞。

　?。?）緩沖區溢出

　 　緩沖區溢出已成為軟件安全的頭號公敵，許多實際中的安全問題都與它有關。造成緩沖區溢出問題通常有以下兩種原因。①設計空間的轉換規則的校驗問題。即缺 乏對可測數據的校驗，導致***數據沒有在外部輸入層被檢查出來并丟棄。***數據進入接口層和實現層后，由于它超出了接口層和實現層的對應測試空間或設計空 間的范圍，從而引起溢出。②局部測試空間和設計空間不足。當合法數據進入后，由于程序實現層內對應的測試空間或設計空間不足，導致程序處理時出現溢出。

　?。?）加密弱點

　 　這幾種加密弱點是不安全的：①使用不安全的加密算法。加密算法強度不夠，一些加密算法甚至可以用窮舉法破解。②加密數據時密碼是由偽隨機算法產生的，而 產生偽隨機數的方法存在缺陷，使密碼很容易被破解。③身份驗證算法存在缺陷。④客戶機和服務器時鐘未同步，給攻擊者足夠的時間來破解密碼或修改數據。⑤未 對加密數據進行簽名，導致攻擊者可以篡改數據。所以，對于加密進行測試時，必須針對這些可能存在的加密弱點進行測試。

　?。?）錯誤處理

　 　一般情況下，錯誤處理都會返回一些信息給用戶，返回的出錯信息可能會被惡意用戶利用來進行攻擊，惡意用戶能夠通過分析返回的錯誤信息知道下一步要如何做 才能使攻擊成功。如果錯誤處理時調用了一些不該有的功能，那么錯誤處理的過程將被利用。錯誤處理屬于異?？臻g內的處理問題，異?？臻g內的處理要盡量簡單， 使用這條原則來設計可以避免這個問題。但錯誤處理往往牽涉到易用性方面的問題，如果錯誤處理的提示信息過于簡單，用戶可能會一頭霧水，不知道下一步該怎么 操作。所以，在考慮錯誤處理的安全性的同時，需要和易用性一起進行權衡。

　?。?）權限過大

　　如果賦予過大的權限，就可能導致只有普通 用戶權限的惡意用戶利用過大的權限做出危害安全的操作。例如沒有對能操作的內容做出限制，就可能導致用戶可以訪問超出規定范圍的其他資源。進行安全性測試 時必須測試應用程序是否使用了過大的權限，重點要分析在各種情況下應該有的權限，然后檢查實際中是否超出了給定的權限。權限過大問題本質上屬于設計空間過 大問題，所以在設計時要控制好設計空間，避免設計空間過大造成權限過大的問題。

　　四、做好安全性測試的建議

　　許多軟件安全測試經驗告訴我們，做好軟件安全性測試的必要條件是：一是充分了解軟件安全漏洞，二是評估安全風險，三是擁有高效的軟件安全測試技術和工具。

　?。?）充分了解軟件安全漏洞

　 　評估一個軟件系統的安全程度，需要從設計、實現和部署三個環節同時著手。我們先看一下Common Criteria是如何評估軟件系統安全的。首先要確定軟件產品對應的Protection Profile（PP）。一個PP定義了一類軟件產品的安全特性模板。例如數據庫的PP、防火墻的PP等。然后，根據PP再提出具體的安全功能需求，如用 戶的身份認證實現。最后，確定安全對象以及是如何滿足對應的安全功能需求的。因此，一個安全軟件的三個環節，哪個出問題都不行。

　　（2）安全性測試的評估

　　當做完安全性測試后，軟件是否能夠達到預期的安全程度呢？這是安全性測試人員最關心的問題，因此需要建立對測試后的安全性評估機制。一般從以下兩個方面進行評估。①安全性缺陷數據評估。

　 　如果發現軟件的安全性缺陷和漏洞越多，可能遺留的缺陷也越多。進行這類評估時，必須建立基線數據作為參照，否則評估起來沒有依據就無法得到正確的結論。 ②采用漏洞植入法來進行評估。漏洞植入法和可靠性測試里的故障插入測試是同一道理，只不過這里是在軟件里插入一些有安全隱患的問題。采用漏洞植入法時，先 讓不參加安全測試的特定人員在軟件中預先植入一定數量的漏洞，最后測試完后看有多少植入的漏洞被發現，以此來評估軟件的安全性測試做得是否充分。

　?。?）采用安全測試技術和工具

　　可使用專業的具有特定功能的安全掃描軟件來尋找潛在的漏洞，將已經發生的缺陷納入缺陷庫，然后通過自動化測試方法來使用自動化缺陷庫進行轟炸測試。例如，使用一些能夠模擬各種攻擊的軟件來進行測試。

　　安全測試是用來驗證集成在軟件內的保護機制是否能夠在實際中保護系統免受***的侵入。一句通俗的話說：軟件系統的安全當然必須能夠經受住正面的攻擊——但是它也必須能夠經受住側面的和背后的攻擊

服務區域：廣東省、廣州(天河、蘿崗開發區、黃埔開發區、南沙新區、番禺、花都、從化、增城、越秀、白云）、珠海市、中山市、江門市、佛山市、惠州市、東莞市、深圳市、肇慶市、云浮市、茂名市、湛江市、清遠市、韶關市、梅州市、汕頭市、潮州市、河源市、揭陽市、陽江市

全國各省、市、自治區：廣東省、海南省、福建省、湖南省、四川省、重慶市、貴州省、云南省、廣西壯族自治區、湖北省、河南省、山東省、河北省、陜西省、山西省、浙江省、江蘇省、遼寧省、黑龍江省、吉林省、上海市、天津市、北京市、甘肅省、西藏自治區、安徽省、青海省、寧夏回族自治區、內蒙古自治區、新疆維吾爾族自治區

WX:一三三+++++四二捌伍++++++二伍一捌

主要業務為軟件產品測試、電子產品檢測、安防產品檢測、軟件第三方驗收測試、科技項目驗收測試、信息系統第三方檢測、集成電路檢測、芯片檢測、IC檢測、雷電防護裝置檢測（建筑防雷裝置檢測、防雷定期檢測、防雷首次檢測）、通信網防御雷電安全保護檢測、移動通信基站防雷檢測、地理信息系統軟件測試、數字社區應用軟件測評、 建設領域軟硬件測評、軟件安全性測試、軟件驗收項目（安全、性能、驗收測試、滲透測試、漏洞掃描、***檢查、代碼審計）、廣東省安全技術防范系統設計、施工、維修資格備案證業績檢測（安防工程檢測）、信息化項目技術績效評估(網站或系統績效評估）、政務信息化項目效能評估、信息系統安全等級保護備案證明、信息系統安全等保報告、網絡安全等保測評、信息系統安全等保測評、數字新基建項目第三方測試(5G建設、特高壓、城際高速鐵路和城市軌道交通、新能源汽車充電樁、大數據中心、人工能、工業互聯網)、廣東省守合同重企業、通用航空經營許可（即原來的：民用無人駕駛航空器經營許可、道路運輸經營許可、AOPA無人機多旋翼駕駛員培訓、無人機研發生產銷售、無人機合作辦學、無人機實訓室建設、信息系統建設和服務能力評估CS、信息系統服務交付能力評估CCID、計算機信息系統安全服務證、信息系統集成及服務資質、信息系統運維資質、音視頻系統集成資質、安防系統集成資質、音視頻集成工程企業能力等級證書、信息化能力評價、EDI/ICP安全防護檢測、廣東省安全技術防范系統設計、施工與維修證、廣東省有線廣播電視工程設計（安裝）證、廣東省防雷工程企業能力評價、軟件過程及能力成熟度評估CMMI、涉密信息系統集成資質、數據管理能力成熟度評估模型DCMM、信息技術服務運行維護標準ITSS、信息安全服務資質CCRC、科技成果評價、科技成果登記、科技成果登記合作（即掛名）、科學技術獎申請、專利合作申請（即掛名）、國家高新技術企業認證、雙軟認定、動漫企業認定、技術合同登記、知識產權服務、發明專利加急、集成電路布圖專有權登記、計算機軟件著作權登記、軟件檢測報告（軟件項目驗收鑒定報告）、工商注冊、代理記賬、創業補助申請等服務領域。VX;133-------4二捌五----2518

如有計劃辦的企業，可協助解決企業人員問題，可咨詢我們，v---x：133----四二捌五----2518