容錯性測試和安全性測試[2]

　　容錯性測試和安全性測試[2]   安全測試工具　

    　在進行安全測試時，測試人員假扮非法入侵者，采用各種辦法試圖突破防線。例如：

　　a.想方設法截取或破譯口令;

　　b.專門開發軟件來破壞系統的保護機制;

　　c.故意導致系統失敗，企圖趁恢復之機非法進入;

　　d.試圖通過瀏覽非保密數據，推導所需信息等等。

　　安全性一般分為兩個層次，即應用程序級別的安全性和系統級別的安全性，針對不同的安全級別，其測試策略和方法也不相同：

　　應用程序級別的安全性，包括對數據或業務功能的訪問，在預期的安全性情況下，操作者只能訪問應用程序的特定功能、有限的數據。其測試是核實操作者只能訪問其所屬用戶類型已被授權訪問的那些功能或數據。測試時，確定有不同權限的用戶類型，創建各用戶類型并用各用戶類型所特有的事務來核實其權限，最后修改用戶類型并為相同的用戶重新運行測試。軟件測試

　　系統級別的安全性，可確保只有具備系統訪問權限的用戶才能訪問應用程序，而且只能通過相應的網關來訪問，包括對系統的登錄或遠程訪問。其測試是核實只有具備系統和應用程序訪問權限的操作者才能訪問系統和應用程序。

原文轉自：http://www.anti-gravitydesign.com