軟件安全性測試就是有關驗證應用程序的安全服務和識別潛在安全性缺陷的過程。

實施安全性測試時，需要考慮軟件系統(tǒng)的安全性需求。通常包括兩類：一類是作用于整個系統(tǒng)的系統(tǒng)安全性需求，另一類是與某些特定功能相關的特定安全性需求。軟件系統(tǒng)的全局的安全性問題，可能與應用程序的架構以及整體實現(xiàn)相關，許多系統(tǒng)都利用了第三方資源來實現(xiàn)特殊的功能性需求，對于測試人員來說，驗證所有經過這些組件的信息，是否遵從了系統(tǒng)的全局安全性需求規(guī)格說明書是尤其重要的。

對于第三方產品來說，緊跟和安裝廠商提供的最新補丁是非常重要的，其中包括web服務器、操作系統(tǒng)和數(shù)據(jù)庫的補丁。與所有更新一樣，每次安裝了補丁以后，還應該對系統(tǒng)進行回歸測試來保證沒有引入新的問題。

1.特定需求和整個系統(tǒng)的安全性測試考慮

通常利用用戶管理和訪問控制、通信和數(shù)據(jù)加密、數(shù)據(jù)備份和恢復等功能進行安全防護。

1）用戶管理和訪問控制安全性測試需要考慮的問題：

• 明確區(qū)分系統(tǒng)中不同用戶的權限：應用程序級別的安全性、系統(tǒng)級別的安全性；
• 檢查系統(tǒng)在非授權的內部或外部用戶訪問或故意破壞時是否出現(xiàn)錯誤；
• 系統(tǒng)中會不會出現(xiàn)用戶沖突；
• 系統(tǒng)會不會因為用戶權限的改變造成混亂；
• 用戶登錄密碼是否是可見、可復制；
• 是否可以通過絕對途徑登錄系統(tǒng)（復制用戶登錄后的鏈接直接進入系統(tǒng)）；
• 用戶退出系統(tǒng)后是否刪除了所有鑒權標記，是否可以使用后退鍵而不通過輸入口令進入系統(tǒng)；
• 用戶錯誤登錄次數(shù)的規(guī)定和處理。

2）數(shù)據(jù)庫安全性測試需要考慮的問題

• 系統(tǒng)數(shù)據(jù)是否機密；
• 系統(tǒng)數(shù)據(jù)的完整性；
• 系統(tǒng)數(shù)據(jù)的可管理性；
• 系統(tǒng)數(shù)據(jù)的獨立性；
• 系統(tǒng)數(shù)據(jù)可備份和恢復能力。檢查數(shù)據(jù)備份是否完整，可否恢復，恢復后是否完整。

2.軟件安全性測試的方法

采用各種方式來驗證或發(fā)現(xiàn)系統(tǒng)安全方面的問題，對于軟件需求說明書上既定的有關安全的功能需求，要一一進行驗證測試，對于沒有在軟件需求說明書上標明的可能影響系統(tǒng)運行安全的隱形需求也要努力的發(fā)現(xiàn)。主動發(fā)現(xiàn)，避免被動發(fā)現(xiàn)。

除了有針對軟件系統(tǒng)的安全防護功能的功能測試外，還有漏洞掃描、木馬檢查、模擬攻擊試驗和使用偵聽技術，具體如下：

1）功能測試：檢查權限管理模塊、數(shù)據(jù)恢復功能等這些功能是否達到預期的安全目標，是否達到了沒有安全疏漏的要求。

2）漏洞掃描：采用成熟的網(wǎng)絡漏洞檢查工具檢查系統(tǒng)相關漏洞（用專業(yè)黑客攻擊工具試一下，如NBSI系統(tǒng)和IPhacker IP）。

3）模擬攻擊試驗：模擬非授權攻擊，檢查防護系統(tǒng)是否堅固。

4）偵聽技術。

3.外購安全性測試

第三方安全性測試公司進行安全性測試，與內部測試結合，保證系統(tǒng)安全性。

服務區(qū)域：廣東省、廣州(天河、蘿崗開發(fā)區(qū)、黃埔開發(fā)區(qū)、南沙新區(qū)、番禺、花都、從化、增城、越秀、白云）、珠海市、中山市、江門市、佛山市、惠州市、東莞市、深圳市、肇慶市、云浮市、茂名市、湛江市、清遠市、韶關市、梅州市、汕頭市、潮州市、河源市、揭陽市、陽江市

全國各省、市、自治區(qū)：廣東省、海南省、福建省、湖南省、四川省、重慶市、貴州省、云南省、廣西壯族自治區(qū)、湖北省、河南省、山東省、河北省、陜西省、山西省、浙江省、江蘇省、遼寧省、黑龍江省、吉林省、上海市、天津市、北京市、甘肅省、西藏自治區(qū)、安徽省、青海省、寧夏回族自治區(qū)、內蒙古自治區(qū)、新疆維吾爾族自治區(qū)

WX:一三三+++++四二捌伍++++++二伍一捌
主要業(yè)務為軟件產品測試、電子產品檢測、安防產品檢測、軟件第三方驗收測試、科技項目驗收測試、信息系統(tǒng)第三方檢測、集成電路檢測、芯片檢測、IC檢測、雷電防護裝置檢測（建筑防雷裝置檢測、防雷定期檢測、防雷首次檢測）、通信網(wǎng)防御雷電安全保護檢測、移動通信基站防雷檢測、地理信息系統(tǒng)軟件測試、數(shù)字社區(qū)應用軟件測評、 建設領域軟硬件測評、軟件安全性測試、軟件驗收項目（安全、性能、驗收測試、滲透測試、漏洞掃描、病毒檢查、代碼審計、代碼檢測）、廣東省安全技術防范系統(tǒng)設計、施工、維修資格備案證業(yè)績檢測（安防工程檢測）、信息化項目技術績效評估(網(wǎng)站或系統(tǒng)績效評估）、政務信息化項目效能評估、信息系統(tǒng)安全等級保護備案證明、信息系統(tǒng)安全等保報告、網(wǎng)絡安全等保測評、信息系統(tǒng)安全等保測評、數(shù)字新基建項目第三方測試(5G建設、特高壓、城際高速鐵路和城市軌道交通、新能源汽車充電樁、大數(shù)據(jù)中心、人工能、工業(yè)互聯(lián)網(wǎng))、廣東省守合同重企業(yè)、通用航空經營許可（即原來的：民用無人駕駛航空器經營許可、道路運輸經營許可、AOPA無人機多旋翼駕駛員培訓、無人機研發(fā)生產銷售、無人機合作辦學、無人機實訓室建設、信息系統(tǒng)建設和服務能力評估CS、信息系統(tǒng)服務交付能力評估CCID、計算機信息系統(tǒng)安全服務證、信息系統(tǒng)集成及服務資質、信息系統(tǒng)運維資質、音視頻系統(tǒng)集成資質、安防系統(tǒng)集成資質、音視頻集成工程企業(yè)能力等級證書、信息化能力評價、EDI/ICP安全防護檢測、廣東省安全技術防范系統(tǒng)設計、施工與維修證、廣東省有線廣播電視工程設計（安裝）證、廣東省防雷工程企業(yè)能力評價、軟件過程及能力成熟度評估CMMI、涉密信息系統(tǒng)集成資質、數(shù)據(jù)管理能力成熟度評估模型DCMM、信息技術服務運行維護標準ITSS、信息安全服務資質CCRC、科技成果評價、科技成果登記、科技成果登記合作（即掛名）、科學技術獎申請、專利合作申請（即掛名）、國家高新技術企業(yè)認證、雙軟認定、動漫企業(yè)認定、技術合同登記、知識產權服務、發(fā)明專利加急、集成電路布圖專有權登記、計算機軟件著作權登記、軟件檢測報告（軟件項目驗收鑒定報告）、工商注冊、代理記賬、創(chuàng)業(yè)補助申請等服務領域。VX;133-------4二捌五----2518
如有計劃辦的企業(yè)，可協(xié)助解決企業(yè)人員問題，可咨詢我們，v---x：133----四二捌五----2518