軟件安全性測(cè)試就是有關(guān)驗(yàn)證應(yīng)用程序的安全服務(wù)和識(shí)別潛在安全性缺陷的過(guò)程。

實(shí)施安全性測(cè)試時(shí)，需要考慮軟件系統(tǒng)的安全性需求。通常包括兩類：一類是作用于整個(gè)系統(tǒng)的系統(tǒng)安全性需求，另一類是與某些特定功能相關(guān)的特定安全性需求。軟件系統(tǒng)的全局的安全性問(wèn)題，可能與應(yīng)用程序的架構(gòu)以及整體實(shí)現(xiàn)相關(guān)，許多系統(tǒng)都利用了第三方資源來(lái)實(shí)現(xiàn)特殊的功能性需求，對(duì)于測(cè)試人員來(lái)說(shuō)，驗(yàn)證所有經(jīng)過(guò)這些組件的信息，是否遵從了系統(tǒng)的全局安全性需求規(guī)格說(shuō)明書(shū)是尤其重要的。

對(duì)于第三方產(chǎn)品來(lái)說(shuō)，緊跟和安裝廠商提供的最新補(bǔ)丁是非常重要的，其中包括web服務(wù)器、操作系統(tǒng)和數(shù)據(jù)庫(kù)的補(bǔ)丁。與所有更新一樣，每次安裝了補(bǔ)丁以后，還應(yīng)該對(duì)系統(tǒng)進(jìn)行回歸測(cè)試來(lái)保證沒(méi)有引入新的問(wèn)題。

1.特定需求和整個(gè)系統(tǒng)的安全性測(cè)試考慮

通常利用用戶管理和訪問(wèn)控制、通信和數(shù)據(jù)加密、數(shù)據(jù)備份和恢復(fù)等功能進(jìn)行安全防護(hù)。

1）用戶管理和訪問(wèn)控制安全性測(cè)試需要考慮的問(wèn)題：

• 明確區(qū)分系統(tǒng)中不同用戶的權(quán)限：應(yīng)用程序級(jí)別的安全性、系統(tǒng)級(jí)別的安全性；
• 檢查系統(tǒng)在非授權(quán)的內(nèi)部或外部用戶訪問(wèn)或故意破壞時(shí)是否出現(xiàn)錯(cuò)誤；
• 系統(tǒng)中會(huì)不會(huì)出現(xiàn)用戶沖突；
• 系統(tǒng)會(huì)不會(huì)因?yàn)橛脩魴?quán)限的改變?cè)斐苫靵y；
• 用戶登錄密碼是否是可見(jiàn)、可復(fù)制；
• 是否可以通過(guò)絕對(duì)途徑登錄系統(tǒng)（復(fù)制用戶登錄后的鏈接直接進(jìn)入系統(tǒng)）；
• 用戶退出系統(tǒng)后是否刪除了所有鑒權(quán)標(biāo)記，是否可以使用后退鍵而不通過(guò)輸入口令進(jìn)入系統(tǒng)；
• 用戶錯(cuò)誤登錄次數(shù)的規(guī)定和處理。

2）數(shù)據(jù)庫(kù)安全性測(cè)試需要考慮的問(wèn)題

• 系統(tǒng)數(shù)據(jù)是否機(jī)密；
• 系統(tǒng)數(shù)據(jù)的完整性；
• 系統(tǒng)數(shù)據(jù)的可管理性；
• 系統(tǒng)數(shù)據(jù)的獨(dú)立性；
• 系統(tǒng)數(shù)據(jù)可備份和恢復(fù)能力。檢查數(shù)據(jù)備份是否完整，可否恢復(fù)，恢復(fù)后是否完整。

2.軟件安全性測(cè)試的方法

采用各種方式來(lái)驗(yàn)證或發(fā)現(xiàn)系統(tǒng)安全方面的問(wèn)題，對(duì)于軟件需求說(shuō)明書(shū)上既定的有關(guān)安全的功能需求，要一一進(jìn)行驗(yàn)證測(cè)試，對(duì)于沒(méi)有在軟件需求說(shuō)明書(shū)上標(biāo)明的可能影響系統(tǒng)運(yùn)行安全的隱形需求也要努力的發(fā)現(xiàn)。主動(dòng)發(fā)現(xiàn)，避免被動(dòng)發(fā)現(xiàn)。

除了有針對(duì)軟件系統(tǒng)的安全防護(hù)功能的功能測(cè)試外，還有漏洞掃描、木馬檢查、模擬攻擊試驗(yàn)和使用偵聽(tīng)技術(shù)，具體如下：

1）功能測(cè)試：檢查權(quán)限管理模塊、數(shù)據(jù)恢復(fù)功能等這些功能是否達(dá)到預(yù)期的安全目標(biāo)，是否達(dá)到了沒(méi)有安全疏漏的要求。

2）漏洞掃描：采用成熟的網(wǎng)絡(luò)漏洞檢查工具檢查系統(tǒng)相關(guān)漏洞（用專業(yè)黑客攻擊工具試一下，如NBSI系統(tǒng)和IPhacker IP）。

3）模擬攻擊試驗(yàn)：模擬非授權(quán)攻擊，檢查防護(hù)系統(tǒng)是否堅(jiān)固。

4）偵聽(tīng)技術(shù)。

3.外購(gòu)安全性測(cè)試

第三方安全性測(cè)試公司進(jìn)行安全性測(cè)試，與內(nèi)部測(cè)試結(jié)合，保證系統(tǒng)安全性。

服務(wù)區(qū)域：廣東省、廣州(天河、蘿崗開(kāi)發(fā)區(qū)、黃埔開(kāi)發(fā)區(qū)、南沙新區(qū)、番禺、花都、從化、增城、越秀、白云）、珠海市、中山市、江門(mén)市、佛山市、惠州市、東莞市、深圳市、肇慶市、云浮市、茂名市、湛江市、清遠(yuǎn)市、韶關(guān)市、梅州市、汕頭市、潮州市、河源市、揭陽(yáng)市、陽(yáng)江市

全國(guó)各省、市、自治區(qū)：廣東省、海南省、福建省、湖南省、四川省、重慶市、貴州省、云南省、廣西壯族自治區(qū)、湖北省、河南省、山東省、河北省、陜西省、山西省、浙江省、江蘇省、遼寧省、黑龍江省、吉林省、上海市、天津市、北京市、甘肅省、西藏自治區(qū)、安徽省、青海省、寧夏回族自治區(qū)、內(nèi)蒙古自治區(qū)、新疆維吾爾族自治區(qū)

WX:一三三+++++四二捌伍++++++二伍一捌
主要業(yè)務(wù)為軟件產(chǎn)品測(cè)試、電子產(chǎn)品檢測(cè)、安防產(chǎn)品檢測(cè)、軟件第三方驗(yàn)收測(cè)試、科技項(xiàng)目驗(yàn)收測(cè)試、信息系統(tǒng)第三方檢測(cè)、集成電路檢測(cè)、芯片檢測(cè)、IC檢測(cè)、雷電防護(hù)裝置檢測(cè)（建筑防雷裝置檢測(cè)、防雷定期檢測(cè)、防雷首次檢測(cè)）、通信網(wǎng)防御雷電安全保護(hù)檢測(cè)、移動(dòng)通信基站防雷檢測(cè)、地理信息系統(tǒng)軟件測(cè)試、數(shù)字社區(qū)應(yīng)用軟件測(cè)評(píng)、 建設(shè)領(lǐng)域軟硬件測(cè)評(píng)、軟件安全性測(cè)試、軟件驗(yàn)收項(xiàng)目（安全、性能、驗(yàn)收測(cè)試、滲透測(cè)試、漏洞掃描、病毒檢查、代碼審計(jì)、代碼檢測(cè)）、廣東省安全技術(shù)防范系統(tǒng)設(shè)計(jì)、施工、維修資格備案證業(yè)績(jī)檢測(cè)（安防工程檢測(cè)）、信息化項(xiàng)目技術(shù)績(jī)效評(píng)估(網(wǎng)站或系統(tǒng)績(jī)效評(píng)估）、政務(wù)信息化項(xiàng)目效能評(píng)估、信息系統(tǒng)安全等級(jí)保護(hù)備案證明、信息系統(tǒng)安全等保報(bào)告、網(wǎng)絡(luò)安全等保測(cè)評(píng)、信息系統(tǒng)安全等保測(cè)評(píng)、數(shù)字新基建項(xiàng)目第三方測(cè)試(5G建設(shè)、特高壓、城際高速鐵路和城市軌道交通、新能源汽車充電樁、大數(shù)據(jù)中心、人工能、工業(yè)互聯(lián)網(wǎng))、廣東省守合同重企業(yè)、通用航空經(jīng)營(yíng)許可（即原來(lái)的：民用無(wú)人駕駛航空器經(jīng)營(yíng)許可、道路運(yùn)輸經(jīng)營(yíng)許可、AOPA無(wú)人機(jī)多旋翼駕駛員培訓(xùn)、無(wú)人機(jī)研發(fā)生產(chǎn)銷售、無(wú)人機(jī)合作辦學(xué)、無(wú)人機(jī)實(shí)訓(xùn)室建設(shè)、信息系統(tǒng)建設(shè)和服務(wù)能力評(píng)估CS、信息系統(tǒng)服務(wù)交付能力評(píng)估CCID、計(jì)算機(jī)信息系統(tǒng)安全服務(wù)證、信息系統(tǒng)集成及服務(wù)資質(zhì)、信息系統(tǒng)運(yùn)維資質(zhì)、音視頻系統(tǒng)集成資質(zhì)、安防系統(tǒng)集成資質(zhì)、音視頻集成工程企業(yè)能力等級(jí)證書(shū)、信息化能力評(píng)價(jià)、EDI/ICP安全防護(hù)檢測(cè)、廣東省安全技術(shù)防范系統(tǒng)設(shè)計(jì)、施工與維修證、廣東省有線廣播電視工程設(shè)計(jì)（安裝）證、廣東省防雷工程企業(yè)能力評(píng)價(jià)、軟件過(guò)程及能力成熟度評(píng)估CMMI、涉密信息系統(tǒng)集成資質(zhì)、數(shù)據(jù)管理能力成熟度評(píng)估模型DCMM、信息技術(shù)服務(wù)運(yùn)行維護(hù)標(biāo)準(zhǔn)ITSS、信息安全服務(wù)資質(zhì)CCRC、科技成果評(píng)價(jià)、科技成果登記、科技成果登記合作（即掛名）、科學(xué)技術(shù)獎(jiǎng)申請(qǐng)、專利合作申請(qǐng)（即掛名）、國(guó)家高新技術(shù)企業(yè)認(rèn)證、雙軟認(rèn)定、動(dòng)漫企業(yè)認(rèn)定、技術(shù)合同登記、知識(shí)產(chǎn)權(quán)服務(wù)、發(fā)明專利加急、集成電路布圖專有權(quán)登記、計(jì)算機(jī)軟件著作權(quán)登記、軟件檢測(cè)報(bào)告（軟件項(xiàng)目驗(yàn)收鑒定報(bào)告）、工商注冊(cè)、代理記賬、創(chuàng)業(yè)補(bǔ)助申請(qǐng)等服務(wù)領(lǐng)域。VX;133-------4二捌五----2518
如有計(jì)劃辦的企業(yè)，可協(xié)助解決企業(yè)人員問(wèn)題，可咨詢我們，v---x：133----四二捌五----2518