軟件安全測試的幾個原則(2)

　　測試采取的防護措施是否正確裝配好，有關系統的補丁是否打上就十分的重要。

　　4. 最小特權

　　最小特權原則規定：確定只授予執行操作所必需的最少訪問權，并且對于該訪問權只準許使用所需的最少時間。

　　當軟件給出了某些部分的訪問權時，一般會出現濫用與那個訪問權相關的特權的風險。例如，我們假設您出去度假并把您家的鑰匙給了您的朋友，好讓他來喂養您的寵物、收集郵件等等。盡管您可能信任那位朋友，但總是存在這樣的可能：您的朋友未經您同意就在您的房子里開派對或發生其它您不喜歡的事情。

　　一位程序員可能希望訪問某種數據對象，但只需要從該對象上進行讀。不過，不管出于什么原因，通常該程序員實際需要的不僅是必需的特權。通常，該程序員是在試圖使編程更容易一些。

　　如果軟件設置的訪問權結構不是“完全訪問或根本不準訪問”，那么最小特權原則會非常有效。

　　5. 分隔

　　分隔背后的基本思想是如果我們將系統分成盡可能多的獨立單元，那么我們可以將對系統可能造成損害的量降到最低。

　　通常，如果攻擊者利用了代碼中的緩沖區溢出，對磁盤進行原始寫并胡亂修改內核所在內存中的任何數據。沒有保護機制能阻止他這樣做。因此，系統進行適度的分隔顯得十分重要，軟件要能直接支持本地磁盤上永遠不能被擦去的日志文件，這意味著直到

　　攻擊者闖入時，才不能保持精確的審計信息。

　　適度使用的分隔，將利于系統的管理，但是對每一個功能都進行分隔，那么系統將很難管理。

　　三、安全性測試的主要目的是查找軟件自身程序設計中存在的安全隱患，并檢查應用程序對非法侵入的防范能力， 根據安全指標不同測試策略也不同，如果遵循相同的原則，去證明軟件的安全性，將有利于軟件安全測試的工作規范的進行，有利于軟件安全測試工作的發展。

　　安全測試檢查系統對非法侵入的防范能力。安全測試期間，測試人員假扮非法入侵者，采用各種辦法試圖突破防線。例如，①想方設法截取或破譯口令;②專門定做軟件破壞系統的保護機制;③故意導致系統失敗，企圖趁恢復之機非法進入;④試圖通過瀏覽非保密數據，推導所需信息，等等。理論上講，只要有足夠的時間和資源，沒有不可進入的系統。因此系統安全設計的準則是，使非法侵入的代價超過被保護信息的價值。此時非法侵入者已無利可圖。

　　安全測試用來驗證集成在系統內的保護機制是否能夠在實際中保護系統不受到非法的侵入。俗話說： “ 系統的安全當然必須能夠經受住正面的攻擊 —但是它也必須能夠經受住側面的和背后的攻擊。 ”

　　在安全測試過程中，測試者扮演著一個試圖攻擊系統的個人角色。測試者可以嘗試去通過外部的手段來獲取系統的密碼，可以使用可以瓦解任何防守的客戶軟件來攻擊系統;可以把系統“制服”，使得別人無法訪問;可以有目的地引發系統錯誤，期望在系統恢復過程中侵入系統;可以通過瀏覽非保密的數據，從中找到進入系統的鑰匙等等。

　　只要有足夠的時間和資源，好的安全測試就一定能夠最終侵入一個系統。系統設計者的任務就是要把系統設計為想要攻破系統而付出的代價大于攻破系統之后得到的信息的價值。

原文轉自：http://www.uml.org.cn/Test/201112223.asp