|
|
|
| |
|
|
|
| 目标 |
对系统可能遇到的各种威胁进行预测,然后模拟各种威胁,检查系统是否有对应的安全保护机制。 |
| 输入 |
《安全需求文档》
《系统架构模型》 |
| 输出 |
《威胁模型》《安全bug》《安全测试报告》 |
| 规则 |
安全是一个涉及内容非常广泛的话题,只要存在,就有安全的风险。所以安全测试人员需要:
首先了解系统的架构,知道系统存在哪些资源、
然后在此基础上进行威胁建模:系统的各种资源可能遇到什么样的威胁,这些威胁的入侵手段是什么,可能造成什么样的危害。
然后通过各种手段模拟入侵,检查是否具有防护措施。
安全测试的本至是进行安全的攻防演练,提前找到入侵者可能利用的漏洞:
有些漏洞是已知的,这需要时刻关注业界的漏洞公告;
有些漏洞是未知的,这需要根据安全日志分析发现可能的问题。
|
| 工具 |
建模工具
EA,需求管理工具iSpace,易用性测试工具,质量管理工具 |
|
|
|
Start:易安全性需求分析
End :确认安全测试结果
建议:根据具体环境、选择最佳路径,达到想要的结果。如果您对如何工作方法存在困惑,可以参考如下: |
| |
|
|
|
|
| |
726 次浏览  24 次
|
|
| |
|
|
|
