網站資訊安全測試流程

網站資訊安全測試流程

ID-100282700

由於Web service 的使用普及,

舉凡線上購物、網路銀行、網路郵件、檔案分享,許多的服務與社交工具皆由 web services延伸

另一方面,也讓有心人士透過web service 達到一些非預期的結果,產生額外的資訊安全等議題。

 

什麼是資訊安全測試

“測試” 不外乎是根據一定步驟作驗證,得知該結果是否符合預期。

例如:功能上的驗證,產品或不會正常運作。例如:壓力測試,極端條件下,產品運作的狀況。

加上”資訊安全”,讓測試更加複雜一些.

因為資訊安全測試驗證的步驟是需要經過特別的設計,

舉例來說:我們想要知道該網站的帳號密碼驗證是否安全?

我們就必須設計一連串相關的測試個案來驗證,並且學習相關的測試工具

許多微小的弱點都有可能被利用來做攻擊的途徑

因為網站資訊安全測試就是評估目前系統潛在會遇到的風險  – 這也是QA專業價值所

 

為什麼要測試

就像汽車的油耗值一樣,需要實際的測試數據,

經過一定的方法與程序才會比較讓市場與消費者接受

網站資訊安全測試也是同樣的道理。

試想兩位 QA 這麼說,哪一位您會覺得比較專業,比較容易說服大家呢(特別是專業的RD)?

A: 理論上,這個 login 可能會有問題

B: 這個 login 會有問題,因為經過 xxx 測試,xxx log 顯示,…所以會有問題

 

什麼時候開始測試

資訊安全測試是一個不斷評估改善的過程。什麼時候開始都不嫌晚,甚至沒有結束的時間點。

由於新技術不斷的演進,新的軟體版本不斷的更新,資訊安全測試為一個不斷檢視評估的過程。

 

有效測試計畫

一個有效的測試計畫通常會考量

  • 人員:資訊安全的了解程度與專業
  • 流程:公司品管政策與相關法規
  • 技術:完成測試所需要的技能與工具

 

軟體開發週期

資訊安全測試如何發生於整個軟體開發週期的循環呢?

目前國際上,主要有三個標準可以參考,筆者比較推薦 Open SAMM,

因為Open SAMM,清楚的定義每一個週期需要做相關活動,

而且說明公司可以如何分階段的達到level 1/2/3

OpenSAMM http://www.opensamm.org/download/

BSIMM-V

ISO/IEC 27034 (開發中)

 舉 Open SAMM (Software Assurance Maturity Model) 來說,

SAMM 將軟體發展流程定義為四大階段,每個階段又定義三個任務

1. 政策管理= 策略 + 訓練 + 法規

2. 建置 = 弱點評估 + 資訊安全需求 + 安全架構

3. 驗證 = 設計評估 + 程式碼驗證 + 資訊安全測試

4. 系統上線 = 系統環境更新 + 作業持續改善 + 入侵與弱點管理程序

舉例來說,

很多狀況是在開發的過程都做到了 1+2+3,

但是當一個網站上線之後,”4. 系統上線 ” 更是重要

例如有 patch 需要更新、防火牆需要安裝與設定、使用的 3rd library 產生已知風險、

這些需要持續不斷的定期觀察與檢視,並且將這些狀況跟研發部討論,

才能夠回到持續改善的流程 1 –> 2 –> 3 –> 4 –> 1  –> 2 –> 3 –> 4……

 

盡早測試

定期安排週期性的檢查,例如每周 / 每月 / 每季

在每個週期中,資訊安全的測試,盡早測試發現問題盡早解決

希望這篇文章對於 “資訊安全測試”的全貌認識有所幫助。
SAAM Overview

 

 

Leave a Reply

Your email address will not be published.