國產軟件安全測試方法探討

青海省測試計算中心 劉 鑫

國產軟件安全測試方法探討

青海省測試計算中心 劉 鑫

進行軟件的安全測試，是在將軟件投入市場之前必不可少的重要前提條件之一，只有經過安全測試達到標準之后，才能夠正式投入市場。我國國產的軟件在科技含量和運行流暢程度方面具有一定的劣勢，在市場競爭中往往處于不利地位，因此更需要加強安全測試環節，保證投入市場的軟件的安全性，促進軟件行業的良性發展。

國產軟件；安全測試；軟件安全；測試方法

1.軟件安全測試

一個軟件的安全性代表著這一軟件的質量，而軟件的安全測試則是為了檢驗軟件的潛在安全缺陷，并且確認軟件的安全性能否達到與預期一致。對軟件進行安全測試，是軟件開發環節中比較重要的一環，最終目的就是在軟件投入使用之前，就檢測出其是否存在問題，并對可能存在的問題提前設置解決的辦法，從而達到對軟件潛在故障的修正目的。

軟件進行安全測試在本質上是為了能夠有效地查找出程序中的錯誤，其方法通常包括靜態測試和動態測試兩類。靜態測試，是對源代碼進行掃描，直接在代碼中找出可能存在的安全漏洞。動態測試是通過模擬黑客的行為模式，對系統進行攻擊，從系統的應對和反應中找出可能存在的漏洞。這種測試相對而言比較真實有效，淡數據有限，無法達成對軟件的全面測試[1]。

對軟件的安全進行測試，主要包括兩個方面。其一是針對軟件的漏洞進行測試，測試條件是要求檢查出軟件內部具有的缺陷；另一方面是安全性測試，它所測試的是軟件的“禁止區”，檢查軟件所不能進行的行動是否保障其不會進行，也就是對軟件是否能夠遵守規約進行測試，要求軟件在輸入A命令時決不能執行B命令。

2.軟件安全測試中的注意事項

2.1 注意事項

軟件安全測試包括滲透、功能、驗證等環節的測試，其必要的條件在于三個方面，其一是了解軟件有可能存在的安全漏洞，其二是去評估軟件可能出現的安全風險，三是需要擁有效率和質量水準都比較高的安全測試工具，以高質量的技術進行測試。針對軟件進行檢測的過程中，需要根據具體出現的情況進行綜合性的分析，在進行了深入分析之后，需要選擇適合的檢測技術，制定出一個足夠高效的測試計劃。而在另一方面，在安全測試計劃的執行期間，也要根據測試人和需要用到的測試設備的保養狀況等實際情況進行，要配備的不僅包括能夠對軟件安全進行專門的專業分析人員，而且也要對被測試的軟件系統整體情況有高度熟悉度、最好是這一系統的設計人員加入到軟件安全測試的計劃中，通過進行多方面的合作，進而更好的完成測試計劃[2]。

在進行軟件安全測試時，各個等級的分析工作必不可少。當需要進行測試的軟件規模相對較大，對軟件結構設計本身進行分析的工作也同樣需要專業人員的支持和加入，因此在對軟件進行分析的過程中，需要測試和分析人員能夠根據實際需求對分析技術進行高效的選擇，并且如果測試要求中有這個必要，那么也可以構建一個仿真環境，通過方針的分析工具進行協助性的測試。軟件的安全檢測是一個非常系統化的工作，無法通過使用一個簡單而單純的測試方法，來解決整個系統的測試，不可能建立一個測試體系和測試環境，通過全自動的方式一鍵將系統整體測試完畢。因此，在軟件安全測試實際進行的過程中，非常有必要來選擇一個足夠高效和合理的測試方法。

2.2 評估方法

在軟件安全性測試結束之后，對于判斷這一軟件能否真正達到預期中的安全程度，需要測試人員能夠建立一個行之有效的安全評估體系。建立這一體系能夠從兩個方面進行全面的評估。

其一是對軟件的缺陷數據進行評估。如果軟件中被發現的漏洞越多，這就意味著會被留下的缺陷也就越多。因此在進行評估時，需要建立一個能夠作為參照系的基線數據，以此進行全面評估，否則其結果就會沒有依據，即使最后得到了結果，這個結論也無法肯定是否正確。

其二是需要采用漏洞植入法對軟件進行進一步的評估。這一做法具體而言，就是直接在被測試軟件中插入安全隱患，要求令不參加測試的工作者在軟件中植入一定漏洞，通過測試后，將結果與這些工作者進行核對，看他們所植入的漏洞中有多少能夠被發現，來評估軟件安全性。

3.軟件安全測試主要步驟

對軟件進行安全檢測，一般而言的進行方式是模塊測試（單元測試）——集成測試——系統測試這一順序。模塊測試（單元測試）就是針對軟件中最小的單位進行安全檢測，檢查各個模塊中的每一個部分是否能夠正確地去實現其功能，最終的目的是為了能夠發現各個模塊中可能存在的缺陷。集成測試是把通過了之前的單元測試的模塊進行組裝，測試軟件的體系結構是否安全。系統測試則是在完成了以上兩個步驟之后，將軟件實際運行，與其它的系統組合測試，以此來確認軟件能否實現其在設計之初預期達到的各種功能。

4.軟件安全測試的可行方法

進行軟件的安全測試，具體全面的測試方法包括多個方面的復數內容，其中系統安全性的測試方法包括：源代碼評審法、基于風險的安全測試、滲透性測試方法 、模糊測試方法。代碼安全性檢驗方法包括：程序代碼安全性、C++/Java安全性列表、JavaScript安全性列表、代碼安全性掃描工具。對系統功能安全性驗證主要包括：口令安全性、用戶權限、非授權攻擊、配置管理以及功能失效、異常帶來的安全風險等。數據安全性驗證主要包括：數據編碼驗證、加密和解密，系統數據完整性、管理性、獨立性、備份和災難恢復等[3]。而在其中，能夠有效地達成對軟件進行的安全測試，可行的方法包括以下六種：

第一是語法測試。這種方法是對受測軟件的功能接口進行測試，通過對其功能接口輸入多種不同的命令，檢測軟件是否能夠根據命令進行符合設計者預期的運行，最終確定其結果是否能夠達到預期的效果。

第二種是屬性測試。這種檢測方法具體而言需要確認軟件的編程規則，對已經經過確認了的編程規則編碼進行驗證，檢測的主要內容是確認系統程序中正在運行的代碼是否能夠遵守軟件編寫之初建立起的規則。這種檢測方法能夠有效地對安全漏洞進行分析，檢驗其交互性。

第三種是比較常見的故障注入測試，通過進行故障分析，來尋找會導致軟件發生事故的中間事件與底端事件，以此進行邏輯構架，構成故障樹，其檢測的效率比較高。

5.結論

我國軟件在國際市場上具有一定的劣勢，因此需要格外加強在軟件安全檢測環節的嚴格性。另一方面，如果能夠選擇正確有效的方式進行檢測，那么在工作環節中就能夠事半功倍，起到更好的效果。本次研究通過對軟件安全測試的重要性進行分析，確定進行軟件安全測試過程中所需要注意的問題，確立了幾種有效的軟件測試方法，為加強軟件測試環節的針對性和有效性提供理論支持。

[1]張升,陳恒如,韓利凱．軟件安全測試方法探討[J]．科技視界,2015,11(22)：89+110．

[2]崔天意,肖洋．安全關鍵軟件測試設計方法[J]．甘肅科技,2015,04(14)：6-7．

[3]高寧寧．面向國產安全數據庫的測試體系的構建[D]．中國科學院大學(工程管理與信息技術學院),2014．