软件的安全性应从哪几个方面去测试？

一、用户认证安全的测试：

1、明确区分系统中不同用户权限

2、系统中会不会出现用户冲突

3、系统会不会因用户的权限的改变造成混乱

4、用户登陆密码是否是可见、可复制

5、是否可以通过绝对途径登陆系统（拷贝用户登陆后的链接直接进入系统）

6、用户退出系统后是否删除了所有鉴权标记，是否可以使用后退键而不通过输入口令进入系统

二、系统网络安全的测试

1、测试采取的防护措施是否正确装配好，有关系统的补丁是否打上

2、模拟非授权攻击，看防护系统是否坚固

3、采用成熟的网络漏洞检查工具检查系统相关漏洞（即用最专业的黑客攻击工具攻击试一下，现在最常用的是 NBSI 系列和 IPhacker IP ）

4、采用各种木马检查工具检查系统木马情况

5、采用各种防外挂工具检查系统各组程序的客外挂漏洞

三、 数据库安全测试：

1、系统数据是否机密（比如对银行系统，这一点就特别重要，一般的网站就没有太高要求）

2、系统数据的完整性（我刚刚结束的企业实名核查服务系统中就曾存在数据的不完整，对于这个系统的功能实现有了障碍）

3、系统数据可管理性

4、系统数据的独立性

5、系统数据可备份和恢复能力（数据备份是否完整，可否恢复，恢复是否可以完整）

产品介绍：

品牌：索菲亚(SOGAL)

产品：整体定制衣帽间

材质：植物纤维板(也可以自选木料定制)

外观设计：

本次测评的索菲亚衣帽间整体形状呈L型，简约美观且时尚大方，素雅的白色带给它一种梦幻般宁静的气质。内部结构错落有致，简欧式风格无任何繁琐之处，令人一目了然。配以中世纪宫廷复古水晶灯，加上韩式田园风格中岛柜的点缀，塑造出一个多变的空间，让家居和收纳相得益彰。

板材

属于植物纤维板，市场上大部分都是使用这种材料，符合大众的需求。美观耐用，更牢固且不易变形。(这款属于定制家具，也可以自己指定某种木料去定做)

细节测评：

古典铜质拉手，无处不在的复古体现，无需多言的贵族气息流露。

隐蔽式穿衣镜设计，据说，中国风水学中最忌讳镜子对着门、床和洗手间，中西方文化的差异导致法国人之前设计的对着门的衣柜不太受中国人认可。

明白其中缘由后一位设计师开始认真研究中国的家居风水，并从汽车的反光镜中得到灵感，创造出这款小巧灵便镜子，迎合了易经八卦中的家宅风水论，布置的格局可以让人家财兴旺，从而成功叩开了中国人的心门~

简而强大的储物功能：

田园风格储物箱，与下面的裤架楚河汉界泾渭分明~法式优雅的设计搭配简洁清晰的线条，烘托出小格间本身的自然美感。适宜收藏一些小杂物~

推拉裤架，含芯合金钢制成，钢管上套有防滑黑色橡皮圈，阻尼缓冲、自动修复。得体有度的设计，更加人性化~

测评总结：

索菲亚这款定制衣帽间，可以根据人的性格爱好随心所欲选择偏爱的颜色定制产品。实用性很强，源自法国经典的原创设计，自然价格不菲。较适合中产阶级以上收入的人群。

一、软件安全性测试基本概念

软件安全性测试包括程序、网络、数据库安全性测试。根据系统安全指标不同测试策略也不同。

1用户程序安全的测试要考虑问题包括：

① 明确区分系统中不同用户权限;

② 系统中会不会出现用户冲突;

③ 系统会不会因用户的权限的改变造成混乱;

④ 用户登陆密码是否是可见、可复制;

⑤ 是否可以通过绝对途径登陆系统(拷贝用户登陆后的链接直接进入系统);

⑥ 用户推出系统后是否删除了所有鉴权标记，是否可以使用后退键而不通过输入口令进入系统。

2系统网络安全的测试要考虑问题包括：

① 测试采取的防护措施是否正确装配好，有关系统的补丁是否打上;

② 模拟非授权攻击，看防护系统是否坚固;

③ 采用成熟的网络漏洞检查工具检查系统相关漏洞;

④ 采用各种木马检查工具检查系统木马情况;

⑤ 采用各种防外挂工具检查系统各组程序的客外挂漏洞。

3数据库安全考虑问题：

① 系统数据是否机密(比如对银行系统，这一点就特别重要，一般的网站就没有太高要求);

② 系统数据的完整性;

③ 系统数据可管理性;

④ 系统数据的独立性;

⑤ 系统数据可备份和恢复能力(数据备份是否完整，可否恢复，恢复是否可以完整)。

二、根据软件安全测试需要考虑的问题

1 保护了最薄弱的环节

攻击者往往设法攻击最易攻击的环节，这对于您来说可能并不奇怪。即便他们在您系统各部分上花费相同的精力，他们也更可能在系统最需要改进的部分中发现问题。这一直觉是广泛适用的，因此我们的安全性测试应侧重于测试最薄弱的部分。

如果执行一个好的风险分析，进行一次最薄弱环节的安全测试，标识出您觉得是系统最薄弱的组件应该非常容易，消除最严重的风险，是软件安全测试的重要环节。

2 是否具有纵深防御的能力

纵深防御背后的思想是：使用多重防御策略来测试软件，以至少有一层防御将会阻止完全的黑客破坏。 “保护最薄弱环节”的原则适用于组件具有不重叠的安全性功能。当涉及到冗余的安全性措施时，所提供的整体保护比任意单个组件提供的保护要强得多，纵深防御 能力的测试是软件安全测试应遵循的原则。

3 是否有保护故障的措施

大量的例子出现在数字世界。经常因为需要支持不安全的旧版软件而出现问题。例如，比方说，该软件的原始版本十分“天真”，完全没有使用加密。现在该软件想修正这一问题，但已建立了广大的用户基础。此外，该软件已部署了许多或许在长时间内都不会升级的服务器。更新更聪明的客户机和服务器需 要同未使用新协议更新的较旧的客户机进行互操作。该软件希望强迫老用户升级，没有指望老用户会占用户基础中如此大的一部分，以致于无论如何这将真的很麻 烦。怎么办呢让客户机和服务器检查它从对方收到的第一条消息，然后从中确定发生了什么事情。如果我们在同一段旧的软件“交谈”，那么我们就不执行加密。