非功能性测试指南.doc

非功能性测试指南..doc非功能性测试指南
非功能性测试指南
狗京北方
VST NORTH KING
非功能性测试指南
文档名称： 状态： 版本号: 版本提交日期
非功能性测试指南 初始版本

2012/08/13
非功能性测试指南
和代码评审应有专门针对安全性的内容 等等，然后才是测试。测试员仅仅能测试验证软件的安全性。当然，对于没有在软件 需求书上标明的可能影响系统运行安全的隐性需求测试人员也要努力的发现， 这也是
一个有经验的安全性测试人员的可贵之处。
当然，理论上没有任何一个信息系统是安全的，因为只要进行攻击，任何系统 都能被攻破，只不过付出的代价的大小。而我们一般说某个信息系统是安全的就是基 于如果要攻破该系统所必须付出的代价要高于或远远高于攻破系统后获得的利益。
测试目标
测试应用或系统的安全机制，保证系统运行和使用的安全性
非功能性测试指南
非功能性测试指南
Page 8 of 13
Page 9 of 13
测试策略
米取静态分析技术和功能测试两种方式拦截系统开发时存在的漏洞 软件生命周期早期的代码、设计评审（由开发人员完成）对软件安全 性的提咼非常有效和重要，可以人工评审和自动化工具结合的方法进 行
更详细的测试策略描述请参看下文软件安全性测试详细策略参考
Bank of Shanghai
测试重点考 虑
相关信息安全法律法规的要求
测试环境
网络安全
日志评审
文件完整性检查
系统软件安全
客户端应用安全
客户端到服务端应用通讯安全
服务端应用安全
测试通过准
应用满足和符合米用的安全机制，在应用规定的程度上能保证系统正
则
常运行和安全使用
软件安全性测试详细策略参考：
软件安全性测试包括应用软件、网络系统、数据库和系统软件安全性测试。根 据系统安全指标不同测试策略也不同。
用户认证安全的测试要考虑问题：
系统中是否有不同的用户使用权限
系统会不会因用户的权限的改变造成混乱
系统中会不会出现用户冲突
用户登陆密码是否可见、可复制
是否可以通过绝对路径登陆系统（拷贝用户登陆后的链接直接进入系统） 用户退出系统后是否删除了所有鉴权标记，是否可以使用后退键而不通 过输入口令进入系统
非功能性测试指南
非功能性测试指南
Page 10 of 13
Page 7 of 13
应用方面安全的测试要考虑问题：
缓冲区溢出
无效的数据类型
关键信息是否采用加密技术
是否可以通过绝对路径进入系统
非功能性测试指南
非功能性测试指南
Page # of 13
Bank of Shanghai
使用的端口号
远程进入服务（如有）
文件完整性检查
日志评审
模拟黑客攻击
系统网络安全的测试要考虑问题
物理连接上的安全，包括无线部分（如有）
防火墙、防病毒软件的安全
测试采取的防护措施是否正确装配好，有关系统的补丁是否打上
模拟非授权攻击，看防护系统是否坚固
采用成熟的网络漏洞检查工具检查系统相关漏洞
入侵网络监察系统和防护系统
采用各种木马检查工具检查系统木马情况
采用各种防外挂工具检查系统各组程序的外挂漏洞
数据库安全考虑问题：
系统数据是否机密
系统数据的完整性
系统数据可管理性
系统数据的独立性
系统数据可备份和恢复能力（数据备份是否完整，可否恢复，恢复是否 可以完整）
系统级别软件安全考虑问题：
系统级别软件（如操作系统、数据库系统和中间件系统等）是否最新的，
尤其如果使用开源软件或免费软件
系统软件是否有相应的补丁，尤其是安全性方面的补丁包
从安全性考虑，系统级别软件是否是最可靠的（如使用 Tomcat还是
Weblogic）
从安全性考虑，系统级别软件是否匹配应用设计技术
Page 7 of 13
非功能性测试指南
非功能性测试指南
Page 12 of 13
Bar k of Sfianghal

安装测试有两个目的。第一个目的是确保软件能够在不同的条件下进行安装， 例如，首次安装、升级安装、完整或自定义安装；在正常和异常条件下的安装。异常 条件例如磁盘空间不足、安装用户缺少目录创建权限等。第二个目的是验证软件在安 装后能正确操作。这通常意味着要运行大量为功能测试开发的测试用例。
建议对于安装测试，其重点应该放在第一个目的上，对于第二个目的可以根据 需要和实际情况穿插在后续的测试，如冒烟测试、功能测试中体现。
测试目标
验证被测软件在各种需要的软硬件配置下正确安装，包括下列情况： 新安装。一新的机器，先前从未安装过该软件 更新。该机器先前安装过该软件同样的版本