安全測試需要做哪些工作？

　　進入到系統中，看到有說窩里面做安全測試的盟友比較多，就可以對自己的不明白的幫我解釋下，先謝謝窩里的朋友了。

　　我知道安全測試是在產品的生命周期中，產品開發基本完成到發布的時候，對產品進行檢驗以驗證產品符合安全需求定義和產品質量標準的過程，主要是為了提高產品的安全質量，盡量在發布前找到安全問題并給與修補，以降低開發成本，也避免在上線后帶來了缺陷，但我知道的處理辦法只能是在實際應用中對系統進行保護，讓不受到非法入侵，不受到各種因素的干擾。以上的這些說明是不是就是要保證系統不會被黑客入侵，導用致被攻擊者利用安全隱患造成不必要的麻煩呢?這個測試要怎么展開，怎么執行呢、

　　在網上看到安全包括三個層次：

　　1、安全功能，說是特性，那可以理解為是從系統角度分析安全問題必須從外部、內部權限對象的角度實施威脅防范，對系統的界面，數據流進行測試;

　　2、安全策略，主要是通過部署、配置和全局設計這些方面考慮，是否就是在網絡、數據庫等方面考慮，這些還是不怎么清楚，那需要部署的是需要通過工具SCV，使用這個方案，需要執行以下任務：

　　a.使用 SCW 根據服務器的角色為服務器創建一個包含所有所需安全設置的安全策略。

　　b.使用 SCW 和 Scwcmd 命令行工具將此安全策略應用于目標計算機。

　　c.使用 Scwcmd 命令行工具查看和分析此安全策略。

　　d.使用 Scwcmd 命令行工具將安全策略保存為組策略對象 (GPO) 格式

　　通過命令執行，但感覺不是所有的都使用

　　3、安全實現，就是對系統做安全測試的結果，達到安全實現的效果

　　雖然看了網上資料，是能多少能了解些，但對于沒有做過這方面測試的還是很茫然。感覺上比自學LR做性能測試困難多了。

原文轉自：http://www.anti-gravitydesign.com