面向云服务的测试方法——安全性评测

安全性评测

安全性是软件质量的一个重要属性。软件安全性是软件在受到恶意攻击时仍提供所需功能的能力。

1.安全测试概述

安全性测试是检验软件中已存在的软件安全性措施是否有效的测试，是保证软件系统安全性的重要手段。安全性测试的目的是设法设计出一些测试用例，试图突破系统的安全保密措施。比如：①设法截取或破译口令；②专门编制软件以破坏系统的保护机制：③故意导致系统失败，企图趁恢复之机非法进入；④试图通过浏览非保密数据，推导出所需信息等，以检验系统是否有安全保密的漏洞。

安全功能测试的目的在于测试软件的安全功能实现是否与软件的安全功能需求一致，是否正确完备。软件安全性测试可分为软件功能测试、安全漏洞测试及基于威胁的软件安全性测试。其中，安全漏洞测试就是识别和发现软件的安全漏洞，避免其受到攻击。软件漏洞如若被利用，就可能造成软件受到攻击，使软件进入不安全的状态。基于威胁的软件安全性测试是从软件外部考察软件的安全性，即识别软件面临的安全威胁并测试其是否能够发生。

国内外对于软件安全性测试方法的研究已经有了很多成果，下面介绍几种常用的安全性测试方法。

（1）基于故障树分析（FTA)的安全性测试方法基于故障树分析的软件安全性测试方法是利用故障树的最小割集来生成软件安全性测试用例的方法。它以系统中最不希望发生的故障状态作为故障分析的顶事件，寻找导致这一故障发生的全部可能因素，绘制故障树，然后搜索出最小割集，并以最小割集为依据生成软件安全性测试用例。
（2）基于Petri网的安全性测试方法基于Petri网的软件安全性测试方法主要有正向分析法和逆向分析法。正向分析法首先建立完整的可达图和状态标识表，得到Petri网的可达集，建立相应的Petri网模型，然后在可达集中搜索所有包含任意一个状态的状态标识，并将其标记为危险标识，从初始状态到该危险标识的每个变迁序列均可设计为一个测试用例。在生成用例时，对每个被标记的危险标识应至少生成一个用例。这些用例构成了针对该Petri网模型的软件安全性测试用例集。迎向分析方法是构造所有可能导致危险的软件危险状态，然后分析求出由初始状态到该危险状态可能的路径，并通过构造测试用例来验证该路径是否可行。给于正向分析方法需要生成完整的可达图和状态标识集，这对于逻辑和结构比较复杂的系统是比较困难的，甚至容易形成组合爆炸的问题。
（3）基于故障注入的安全性测试软件故障注入可以有效地模拟各种各样的异常程序行为，通过故障注入方法能够强制性地使程序进入到某些特定的状态，这些状态在采用常规的标准测试技术的情况下，一般是无法到达的。软件故障注入针对应用与环境的交互点，主要包括用户输入、文件系统、网络接口和环境变量等引起的故障。主要思路是通过构造各类协议数据包测试目标软件是否能正确处理。实质是在各类协议数据包中植入故障，如修改某些协议字段的值等，以发现被测软件是否存在安全漏洞。故障注入技术最大的特点是高度灵活性，既能开发特殊的硬件辅助设备进行硬件方法的测试，也能实现软件方法的故障注入测试技术。
（4）模糊测试模糊测试是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件安全漏洞的方法。模糊测试将随机数据插入程序，观察其是否能够容忍杂乱输入。模糊测试是不合迎相的，只是产生杂乱数据政击程序。采用模糊测试政击程序可以发现其他采用逻辑思维来测试难以发现的安全缺陷。
（5）基于风险的安全测试基于风险的安全测试方法是将风险分析、安全测试与软件开发过程结合起来，尽可能早地发现高风险的安全漏洞。这种方法强调在软件开发的各个阶段进行识用模式、异常场景、风险分析以及渗透测试等，测试不再是软件发布后打补丁，而是将安全测试相关过程集成到软件开发生命周期中。

2.云计算的安全测试

针对云计算面临的不同安全问题，安全测试的内容包括：①云平台自身安全，虚拟技术是实现云计算的核心技术，因此应分析各类虚拟化管理软件本身的安全问题，形成虚拟化管理软件安全配置核查手册：②虚拟机环境间安全区隔，重点是考虑各虚拟机之间的访问控制策略实施手段，检测分析虚拟机之间是否有隐蔽信道，同时应监控物理CPU、内存和网络等公共资源的访问行为，确保虚拟机未非法访问其他虚拟机的物理资源；③云上的数据保护，主要检测云计算服务商是否能访问用户数据，用户使用习惯隐私是否被记录或分析，用户数据物理存储位置是否被正确存储在其指定的国家或区域等：④云资源访问控制，由于各个云应用属于不同的安全管理域，每个安全域都管理着本地的资源和用户，当用户跨域访问资源时，需在域边界设置认证服务，对访问共享资源的用户进行统一的身份认证管理，在跨多个域的资源访问中，各域有自己的访问控制策略，在进行资源共享和保护时必须对共享资源制订一个公共的、双方都认同的访问控制策略。

因此，应检测跨域访问资源时访问控制策略的安全性，对于云计算的安全评测的研究已经有了较多成果，如Zech等人认为由于云一直随着应用和服务的变化而不断变化，所以云计算环境的安全性不是一次性的任务，而是贯穿于云计算的完整生命周期中。基于此，他们提出了一种变化驱动的新型方法模型，利用公共服务的接口作为主要入侵点，采用风险分析以便于在所有层次测试云计算环境的安全性。

Whaidurzaman等人2以基于渗透测试提出一种针对第三方的自动化软件脚本模型，可以在云服务提供商一方运行，识别漏洞并检查云服务提供商的安全强度和故障承受能力。

Mirkovit等人四通过提供一组控制和限定指标原则，提出一种针对云的可衡量模型，并对可以用于评测私有、公共或者混合云的安全测试工具进行研究。为解决安全问题并在云计算中进行安全评测，引入了与其对应的分级安全设计模型，提出一种云计算环境中基于攻击图的安全评价方法。将行为模式扩展为综合行为模式，并依据综合行为模式学习持续行为关系的程度，使用基于Petri网的行为理论进行云计算的安全评测。