软件安全性测试技术探析摘要随着网络技术的发达以及计算机技术的使用，软件的普及率越来越高，其复杂程度以及具备的规模也不断提高，软件中的漏洞以及安全性的缺乏给人们造成的损失也不断增加，软件安全性问题突出已经引起了全社会的关注。而软件的安全性测试技术止是为了弥补软件运用中所存在的这一缺陷而诞生的。软件安全性测试是降低软件运用风险，保证软件使用安全性的重要手段，通晓软件安全性测试技术，将使我们更好、更全面地了解日常使用的软件，以及学会如果更好地规避软件使用中的风险。本文将重点关注软件安全性的测试技术，并从软件安全性测试的特点、分类，主要的测试方法和安全性测试工具分类与功能这三个方面进行相关的论述与探析。关键词软件；安全性；测试技术中图分类号：TP311文献标识码：A文章编号：1671-7597(2013)11-0000-00软件的安全性主要包括软件的失效安全性以及保密安全性。失效安全性是指软件在不间断运行屮，不发生系统事故的能力。其包扌亞因安全性失效可能造成单位的财产与人员损失、环境污染等重大安全事故。而保密安全性是指软件所具有的可以防止对数据和程序进行非法存取的预防能力。在我国，相关的软件技术人员更多的是侧重于软件的失效安全性。建立在可靠性理论基础上的失效安全性主要度量标准有软件事故率、失效度、安全度以及平均事故间隔时间。目前常有的测试方法有基于最小割集的测试、故障树的测试、IS09126质量模型、基于模型的测试、基于属性的测试等。1软件安全性测试的特点和分类软件安全性测试是通过测试手段，来确定软件的安全性是否与预期结果保持一致的过程。软件安全性的测试，是区别与其它软件的测试类型，它具有自身的特殊性、安全性，相关缺陷也与一般软件缺陷相区别的特点。软件的安全性测试主要包括验证，渗透测试，安全功能测试的过程。与其他传统测试软件相比，软件的安全性测试最大不同之处：软件安全性测试强调软件“不应该做什么”，而不是“应该做什么”，比如软件缺陷所产生的影响甚微，但难以发现的软件漏洞可能是致命错误，能让客户蒙受重大损失。软件安全性测试的这种不同，正是由其特殊性、安全性所决定的。相比软件屮的非安全性测试，安全性测试更强调的是软件的否定需求，比如用户在使用该软件的时候，如果登陆三次失败就锁定账号。相比非安全性测试中的违反常规，安全性测试的缺点是山软件的副作用引起的。比如,在非安全性测试缺陷下，本來软件应该做G的，但它却做了F；而在安全性测试缺陷下，本来软件应该做G的，但是它在做完G的同时也顺带完成TF0软件的安全测试主要包括：安全漏洞的测试与安全功能的测试。所谓软件的安全漏洞指软件系统在设计、使用等方面，存在可被利用的漏洞。当不法分子发现或者利用这些软件漏洞时，软件便处于不安全的状态。所以，利用软件的安全漏洞测试才能发现并识别软件中的这些漏洞，并及时加以修补。而所谓的安全功能需求包括数据的机密性，完整性以及可靠性,不可否认性，还包括身份认证，访问设置，跟踪追查，安全管理，隐私保护等。而基于软件的安全功能需求的安全功能测试，就是用來测试该软件是否具备与预期相一致的功能的。2软件安全性测试主要方法2.1基于故障注入的安全性测试故障注入的软件安全性测试，就是指通过构造各类协议数据包来植入故障，以测试目标软件是否能正确处理这些预置故障。该测试方法是WenlingDu建立的一种软件与环境交互，将故障注入技术用于软件安全性测试的一种故障模型。该项目通过修改某些I办议中的数据，支持的协议有HTTP、IIIP、WAP、SNMP等。故障注入就是通过故障注入函数，进行故障模拟，并使程序强制进入某些特定状态，而使用常规的测试技术是很难查看到的。2.2基于自盒的安全性测试基于口盒的安全测试主要是静态分析，主要考察缓冲区溢出、数据竞争等安全性缺陷代码模式，主要的技术分析有数据流分析、技术型推断和约束分析。为了在程序运行的时候插入攻击代码，测试安全机制是否真正可用，LoriPollock和BenBreech提出一种基于动态编译技术的安全测试框架，主要用来测试基于程序的攻击。2.3攻击树理论与威胁模型安全性研究方法大致可分为...