Тестирование безопасности

Материал из devopswiki
Перейти к: навигация, поиск

Тестирование безопасности (англ. Security Testing) - это процесс выявления защищенности информационной системы, касательно безопасности данных и сохранения заданной функциональности. При этом производится оценка уязвимости программного обеспечения к различным атакам.

Компьютерные системы очень часто являются мишенью незаконного проникновения. Под проникновением понимается широкий диапазон действий: попытки хакеров проникнуть в систему из спортивного интереса, месть рассерженных служащих, взлом мошенниками для незаконной наживы.

Тестирование безопасности проверяет фактическую реакцию защитных механизмов, встроенных в систему, на проникновение.

В ходе тестирования безопасности испытатель играет роль взломщика. Ему разрешено все:

  • попытки узнать пароль с помощью внешних средств;
  • атака системы с помощью специальных утилит, анализирующих защиты;
  • подавление, ошеломление системы (в надежде, что она откажется обслуживать других клиентов);
  • целенаправленное введение ошибок в надежде проникнуть в систему в ходе восстановления;
  • просмотр несекретных данных в надежде найти ключ для входа в систему.

При неограниченном времени и ресурсах хорошее тестирование безопасности взломает любую систему. Задача проектировщика системы — сделать цену проникновения более высокой, чем цена получаемой в результате информации.

Принципы безопасности программного обеспечения

Общая стратегия безопасности основывается на трех основных принципах:

  • конфиденциальность
  • целостность
  • доступность

Конфиденциальность

Конфиденциальность - это сокрытие определенных ресурсов или информации. Под конфиденциальностью можно понимать ограничение доступа к ресурсу некоторой категории пользователей, или другими словами, при каких условиях пользователь авторизован получить доступ к данному ресурсу.

Целостность

Существует два основных критерия при определении понятия целостности:

  1. Доверие. Ожидается, что ресурс будет изменен только соответствующим способом определенной группой пользователей.
  2. Повреждение и восстановление. В случае когда данные повреждаются или неправильно меняются авторизованным или не авторизованным пользователем, вы должны определить на сколько важной является процедура восстановления данных.

Доступность

Доступность представляет собой требования о том, что ресурсы должны быть доступны авторизованному пользователю, внутреннему объекту или устройству. Как правило, чем более критичен ресурс тем выше уровень доступности должен быть.

Список ПО для тестирования безопасности

Ссылки

Тестирование безопасности в Wikipedia

Особенности тестирования безопасности ПО

Определение Тестирования безопасности

Тестирование безопасности в финансовых учреждениях

Источник — «http://devopswiki.net/index.php?title=Тестирование_безопасности&oldid=573»