安全性測試與評估
- 軟件安全性是與防止對程序及數據的非授權的故意或意外訪問的能力有關的軟件屬性,所以,針對程序和數據的安全性測試是軟件安全性測試的重要內容
- 易用性與安全性緊密聯繫,同時也存在矛盾:通常易用性強的軟件系統安全性相對較差,安全性較高的軟件系統易用性也比較弱
用戶認證機制
- 數字證書
- 智能卡
- 雙重認證
- 安全電子交易(SET)協議
加密機制
- 對原來的明文文件或數據按某種算法進行處理,使其成爲不可讀的一段代碼,通常稱爲“密文”
安全防護策略
- 安全日誌:記錄非法用戶的登錄名稱、操作時間以及內容等信息,僅記錄相關信息,不對非法行爲做出主動反應,因此屬於被動防護的策略
- 入侵檢測:是主動的網絡安全防護措施,防火牆之後的第二道安全閘門,不影響網絡性能的情況下對網絡進行檢測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護
- 隔離防護:將系統中的安全部分與非安全部分進行隔離的措施。目前採用的技術主要有隔離網閘和防火牆
- 漏洞掃描:對軟件系統及網絡系統進行與安全性相關的檢測,以找出安全隱患和可被黑客利用的漏洞
對業務系統進行全面保障的安全體系,主要體現在以下7個層次
- 實體安全
- 平臺安全
- 數據安全
- 通信安全
- 應用安全
- 運行安全
- 管理安全
未完