系統(tǒng)測(cè)試和安裝步驟含案例分析

1、系統(tǒng)測(cè)試和安裝步驟含案例分析系統(tǒng)測(cè)試系統(tǒng)測(cè)試是對(duì)已經(jīng)集成好的軟件系統(tǒng)進(jìn)行徹底的測(cè)試，以驗(yàn)證軟件系統(tǒng)的正確性和性能等滿足其規(guī)約所指定的要求。系統(tǒng)測(cè)試過(guò)程制定測(cè)試計(jì)劃（PLAN)按計(jì)劃完成測(cè)試（Do)審核和評(píng)審測(cè)試文檔（Check）維護(hù)測(cè)試文檔（Action）測(cè)試計(jì)劃ANSI/IEEE軟件測(cè)試文檔標(biāo)準(zhǔn)829-1983將測(cè)試計(jì)劃定義為：“一個(gè)敘述了預(yù)定的測(cè)試活動(dòng)的范圍、途徑、資源及進(jìn)度安排的文檔。它確認(rèn)了測(cè)試項(xiàng)、被測(cè)特征、測(cè)試任務(wù)、人員安排，以及任何偶發(fā)事件的風(fēng)險(xiǎn)?！眰渥ⅲ篈NSI/IEEE(美國(guó)國(guó)家標(biāo)準(zhǔn)學(xué)會(huì)/電氣和電子工程師協(xié)會(huì))測(cè)試計(jì)劃內(nèi)容確定系統(tǒng)測(cè)試類型確定系統(tǒng)測(cè)試進(jìn)度確定系統(tǒng)測(cè)試人員確定系統(tǒng)

2、測(cè)試環(huán)境確定系統(tǒng)測(cè)試工具如何做好測(cè)試計(jì)劃明確測(cè)試的目標(biāo)，增強(qiáng)測(cè)試計(jì)劃的實(shí)用性堅(jiān)持“5W1H”規(guī)則采用評(píng)審和更新機(jī)制，保證測(cè)試計(jì)劃滿足實(shí)際需求分別創(chuàng)建測(cè)試計(jì)劃與測(cè)試詳細(xì)規(guī)格、測(cè)試用例變更控制系統(tǒng)測(cè)試設(shè)計(jì)針對(duì)軟件的不同層采用不同的測(cè)試方法。用戶層應(yīng)用層功能層子系統(tǒng)層協(xié)議層用戶層用戶界面是軟件與用戶交互的最直接的層，界面的好壞決定用戶對(duì)軟件的第一印象。而且設(shè)計(jì)良好的界面能夠引導(dǎo)用戶自己完成相應(yīng)的操作，起到向?qū)У淖饔谩Ｍ瑫r(shí)界面如同人的面孔，具有吸引用戶的直接優(yōu)勢(shì)。用戶層測(cè)試方法用戶支持測(cè)試用戶手冊(cè)、使用幫助、支持客戶的其他產(chǎn)品技術(shù)手冊(cè)是否正確、是否易于理解、是否人性化。用戶界面測(cè)試在確保用戶界面能夠通

3、過(guò)測(cè)試對(duì)象控件或入口得到相應(yīng)訪問(wèn)的情況下，測(cè)試用戶界面的風(fēng)格是否滿足用戶要求，例如：界面是否美觀、界面是否直觀、操作是否友好、是否人性化、易操作性是否較好。用戶層測(cè)試設(shè)計(jì)可維護(hù)性測(cè)試可維護(hù)性是系統(tǒng)軟、硬件實(shí)施和維護(hù)功能的方便性。目的是降低維護(hù)功能對(duì)系統(tǒng)正常運(yùn)行帶來(lái)的影響。例如：對(duì)支持遠(yuǎn)程維護(hù)系統(tǒng)的功能或工具的測(cè)試。安全性測(cè)試安全性主要包括了兩部分：數(shù)據(jù)的安全性和操作的安全性。核實(shí)只有規(guī)格規(guī)定的數(shù)據(jù)才可以訪問(wèn)系統(tǒng)，其他不符合規(guī)格的數(shù)據(jù)不能夠訪問(wèn)系統(tǒng)；核實(shí)只有規(guī)格規(guī)定的操作權(quán)限才可以訪問(wèn)系統(tǒng)，其他不符合規(guī)格的操作權(quán)限不能夠訪問(wèn)系統(tǒng)；應(yīng)用層測(cè)試設(shè)計(jì)針對(duì)產(chǎn)品工程應(yīng)用或行業(yè)應(yīng)用的測(cè)試。重點(diǎn)站在系統(tǒng)應(yīng)用的

4、角度，模擬實(shí)際應(yīng)用環(huán)境對(duì)系統(tǒng)的兼容性、可靠性等進(jìn)行的測(cè)試。系統(tǒng)性能測(cè)試系統(tǒng)可靠性、穩(wěn)定性測(cè)試系統(tǒng)兼容性測(cè)試系統(tǒng)組網(wǎng)測(cè)試系統(tǒng)安裝升級(jí)測(cè)試功能層測(cè)試設(shè)計(jì)設(shè)計(jì)主要針對(duì)產(chǎn)品具體功能實(shí)現(xiàn)的測(cè)試。業(yè)務(wù)功能的覆蓋：關(guān)注需求規(guī)格定義的功能系統(tǒng)是否都已實(shí)現(xiàn)。業(yè)務(wù)功能的分解：通過(guò)對(duì)系統(tǒng)進(jìn)行黑盒分析，分解測(cè)試項(xiàng)及每個(gè)測(cè)試項(xiàng)關(guān)注的測(cè)試類型。業(yè)務(wù)功能的組合：主要關(guān)注相關(guān)聯(lián)的功能項(xiàng)的組合功能的實(shí)現(xiàn)情況。業(yè)務(wù)功能的沖突：業(yè)務(wù)功能間存在的功能沖突情況。比如：共享資源訪問(wèn)等。子系統(tǒng)測(cè)試設(shè)計(jì)針對(duì)產(chǎn)品內(nèi)部結(jié)構(gòu)性能的測(cè)試。關(guān)注子系統(tǒng)內(nèi)部的性能，模塊間接口的瓶頸。單個(gè)子系統(tǒng)的性能：應(yīng)用層關(guān)注的是整個(gè)系統(tǒng)各種軟、硬件、接口配合情況下的整

5、體性能，這里關(guān)注單個(gè)系統(tǒng)。子系統(tǒng)間的接口瓶頸：例如：子系統(tǒng)間通訊請(qǐng)求包的并發(fā)瓶頸。子系統(tǒng)間的相互影響：子系統(tǒng)的工作狀態(tài)變化對(duì)其他子系統(tǒng)的影響。系統(tǒng)測(cè)試-性能測(cè)試基本概念 性能測(cè)試主要檢驗(yàn)軟件是否達(dá)到需求規(guī)格說(shuō)明書(shū)中規(guī)定的各類性能指標(biāo)，并滿足一些性能相關(guān)的約束和限制條件 性能測(cè)試包括以下幾個(gè)方面：評(píng)估系統(tǒng)的能力：測(cè)試中得到的負(fù)荷和響應(yīng)時(shí)間等數(shù)據(jù)可以被用于驗(yàn)證所計(jì)劃的模型的能力，并幫助做出決策識(shí)別系統(tǒng)中的弱點(diǎn)：受控的負(fù)荷可以被增加到一個(gè)極端的水平并突破它，從而修復(fù)系統(tǒng)的瓶頸或薄弱的地方系統(tǒng)調(diào)優(yōu)：重復(fù)運(yùn)行測(cè)試，驗(yàn)證調(diào)整系統(tǒng)的活動(dòng)得到了預(yù)期的結(jié)果，從而改進(jìn)性能，檢測(cè)軟件中的問(wèn)題系統(tǒng)測(cè)試-性能測(cè)試性能測(cè)

6、試的基準(zhǔn)大體有以下幾方面：響應(yīng)時(shí)間：從應(yīng)用系統(tǒng)發(fā)出請(qǐng)求開(kāi)始，到客戶端接收到最后一個(gè)字節(jié)數(shù)據(jù)為止所消耗的時(shí)間。合理的響應(yīng)時(shí)間取決于實(shí)際的用戶需求。并發(fā)用戶數(shù)： 一般是指同一時(shí)間段內(nèi)訪問(wèn)系統(tǒng)的用戶數(shù)量。吞吐量： 指單位時(shí)間內(nèi)系統(tǒng)處理的客戶請(qǐng)求數(shù)量。性能計(jì)數(shù)器：描述服務(wù)器或操作系統(tǒng)性能的一些數(shù)據(jù)指標(biāo)，比如Windows系統(tǒng)資源管理器。性能測(cè)試執(zhí)行計(jì)劃階段測(cè)試階段分析階段定義目標(biāo)并設(shè)置期望值收集系統(tǒng)和測(cè)試要求定義工作負(fù)載選擇要收集的性能度量值標(biāo)出要運(yùn)行的測(cè)試并決定什么時(shí)候運(yùn)行它們決定工具選項(xiàng)和生成負(fù)載編寫(xiě)測(cè)試計(jì)劃，設(shè)計(jì)用戶場(chǎng)景并創(chuàng)建測(cè)試腳本做準(zhǔn)備工作（如建立測(cè)試服務(wù)器或布置其他設(shè)備）運(yùn)行測(cè)試收集數(shù)據(jù)分

7、析結(jié)果改變系統(tǒng)以優(yōu)化性能設(shè)計(jì)新的測(cè)試系統(tǒng)測(cè)試-壓力測(cè)試壓力測(cè)試是指摸擬巨大的工作負(fù)荷，以查看系統(tǒng)在峰值使用情況下是否可以正常運(yùn)行。壓力測(cè)試是通過(guò)逐步增加系統(tǒng)負(fù)載來(lái)測(cè)試系統(tǒng)性能的變化，并最終確定在什么負(fù)載條件下系統(tǒng)性能處于失效狀態(tài)，以此來(lái)獲得系統(tǒng)性能提供的最大服務(wù)級(jí)別的測(cè)試。壓力測(cè)試特點(diǎn)壓力測(cè)試是檢查系統(tǒng)處于壓力情況下的能力表現(xiàn)通過(guò)增加并發(fā)用戶的數(shù)量，檢測(cè)系統(tǒng)的服務(wù)能力和水平；通過(guò)增加文件記錄數(shù)來(lái)檢測(cè)數(shù)據(jù)處理的能力和水平等等壓力測(cè)試一般通過(guò)模擬方法進(jìn)行通常在系統(tǒng)對(duì)內(nèi)存使用率達(dá)到75%以上、CPU使用率達(dá)到75%以上，并在此觀測(cè)系統(tǒng)響應(yīng)時(shí)間、系統(tǒng)有無(wú)錯(cuò)誤產(chǎn)生。除了對(duì)內(nèi)存和CPU的使用率進(jìn)行設(shè)定外，

8、數(shù)據(jù)庫(kù)的連接數(shù)量、數(shù)據(jù)庫(kù)服務(wù)器的CPU利用率也都可以作為壓力測(cè)試的依據(jù)。壓力測(cè)試一般用于測(cè)試系統(tǒng)的穩(wěn)定性。系統(tǒng)能夠在壓力環(huán)境下穩(wěn)定運(yùn)行一段時(shí)間，那么該系統(tǒng)在普遍的運(yùn)行環(huán)境下就應(yīng)該可以達(dá)到令人滿意的穩(wěn)定程度。壓力測(cè)試與性能測(cè)試壓力測(cè)試是用來(lái)保證產(chǎn)品發(fā)布后系統(tǒng)能否滿足用戶需求，關(guān)注的重點(diǎn)是系統(tǒng)整體；性能測(cè)試可以發(fā)生在各個(gè)測(cè)試階段，即使是在單元層，一個(gè)單獨(dú)模塊的性能也可以進(jìn)行評(píng)估。壓力測(cè)試是通過(guò)確定一個(gè)系統(tǒng)的瓶頸，來(lái)獲得系統(tǒng)能提供的最大服務(wù)級(jí)別的測(cè)試。性能測(cè)試是檢測(cè)系統(tǒng)在一定負(fù)荷下的表現(xiàn)，是正常能力的表現(xiàn)；而壓力測(cè)試是極端情況下的系統(tǒng)能力的表現(xiàn)。壓力測(cè)試方法重復(fù)測(cè)試：重復(fù)測(cè)試就是一遍又一遍地執(zhí)行某個(gè)

9、操作或功能，比如重復(fù)調(diào)用一個(gè)Web服務(wù)。壓力測(cè)試的一項(xiàng)任務(wù)就是確定在極端情況下一個(gè)操作能否正常執(zhí)行，并且能否持續(xù)不斷地在每次執(zhí)行時(shí)都正常。這對(duì)于推斷一個(gè)產(chǎn)品是否適用于某種生產(chǎn)情況至關(guān)重要，客戶通常會(huì)重復(fù)使用產(chǎn)品。重復(fù)測(cè)試往往與其它測(cè)試手段一并使用。并發(fā)測(cè)試：并發(fā)是同時(shí)執(zhí)行多個(gè)操作的行為，即在同一時(shí)間執(zhí)行多個(gè)測(cè)試線程。例如，在同一個(gè)服務(wù)器上同時(shí)調(diào)用許多Web服務(wù)。并發(fā)測(cè)試原則上不一定適用于所有產(chǎn)品（比如無(wú)狀態(tài)服務(wù)），但多數(shù)軟件都具有某個(gè)并發(fā)行為或多線程行為元素，這一點(diǎn)只能通過(guò)執(zhí)行多個(gè)代碼測(cè)試用例才能得到測(cè)試結(jié)果。壓力測(cè)試方法量級(jí)增加：壓力測(cè)試可以重復(fù)執(zhí)行一個(gè)操作，但是操作自身也要盡量給產(chǎn)品增加負(fù)

10、擔(dān)。例如一個(gè)Web服務(wù)允許客戶機(jī)輸入一條消息，測(cè)試人員可以通過(guò)模擬輸入超長(zhǎng)消息來(lái)使操作進(jìn)行高強(qiáng)度的使用，即增加這個(gè)操作的量級(jí)。這個(gè)量級(jí)的確定總是與應(yīng)用系統(tǒng)有關(guān)，可以通過(guò)查找產(chǎn)品的可配置參數(shù)來(lái)確定量級(jí)。隨機(jī)變化：該手段是指對(duì)上述測(cè)試手段進(jìn)行隨機(jī)組合，以便獲得最佳的測(cè)試效果。壓力測(cè)試執(zhí)行壓力測(cè)試用例選取可以從以下幾個(gè)方面考慮：輸入待處理事務(wù)來(lái)檢查是否有足夠的磁盤(pán)空間；創(chuàng)造極端的網(wǎng)絡(luò)負(fù)載；制造系統(tǒng)溢出條件；系統(tǒng)測(cè)試-容量測(cè)試所謂的容量測(cè)試（Volume Testing）是指，采用特定的手段測(cè)試系統(tǒng)能夠承載處理任務(wù)的極限值所從事的測(cè)試工作。這里的特定手段是指，測(cè)試人員根據(jù)實(shí)際運(yùn)行中可能出現(xiàn)極限，制造相

11、對(duì)應(yīng)的任務(wù)組合，來(lái)激發(fā)系統(tǒng)出現(xiàn)極限的情況容量測(cè)試的目的是使系統(tǒng)承受超額的數(shù)據(jù)容量來(lái)發(fā)現(xiàn)它是否能夠正確處理，通過(guò)測(cè)試，預(yù)先分析出反映軟件系統(tǒng)應(yīng)用特征的某項(xiàng)指標(biāo)的極限值（如最大并發(fā)用戶數(shù)、數(shù)據(jù)庫(kù)記錄數(shù)等），確定系統(tǒng)在其極限值狀態(tài)下是否還能保持主要功能正常運(yùn)行。容量測(cè)試還將確定測(cè)試對(duì)象在給定時(shí)間內(nèi)能夠持續(xù)處理的最大負(fù)載或工作量。容量測(cè)試方法進(jìn)行容量測(cè)試的首要任務(wù)就是確定被測(cè)系統(tǒng)數(shù)據(jù)量的極限，即容量極限。這些數(shù)據(jù)可以是數(shù)據(jù)庫(kù)所能容納的最大值，可以是一次處理所能允許的最大數(shù)據(jù)量等等。系統(tǒng)出現(xiàn)問(wèn)題，通常是發(fā)生在極限數(shù)據(jù)量產(chǎn)生或臨界產(chǎn)生的情況下，這時(shí)容易造成磁盤(pán)數(shù)據(jù)的丟失、緩沖區(qū)溢出等一些問(wèn)題容量測(cè)試方法圖

12、中反映了資源利用率、響應(yīng)時(shí)間與用戶負(fù)載之間的關(guān)系?？梢钥吹剑脩糌?fù)載增加，響應(yīng)時(shí)間也緩慢的增加，而資源利用率幾乎是線形增長(zhǎng)。這是因?yàn)閼?yīng)用做更多的工作，它需要更多的資源。一旦資源利用率接近百分之百時(shí)，出現(xiàn)一個(gè)有趣的現(xiàn)象，就是響應(yīng)以指數(shù)曲線方式下降，這點(diǎn)在容量評(píng)估中被稱作為飽和點(diǎn)。飽和點(diǎn)是指所有性能指標(biāo)都不滿足，隨后應(yīng)用發(fā)生恐慌的時(shí)間點(diǎn)。執(zhí)行容量評(píng)估的目標(biāo)是保證用戶知道這點(diǎn)在哪，并且永遠(yuǎn)不要出現(xiàn)這種情況。在這種負(fù)載發(fā)生前，管理者應(yīng)優(yōu)化系統(tǒng)或者增加適當(dāng)額外的硬件。容量測(cè)試方法為了確定容量極限，可以進(jìn)行一些組合條件下的測(cè)試，如核實(shí)測(cè)試對(duì)象在以下高容量條件下能否正常運(yùn)行：鏈接或模擬了最大（實(shí)際或?qū)嶋H允許

13、）數(shù)量的客戶機(jī)。所有客戶機(jī)在長(zhǎng)時(shí)間內(nèi)執(zhí)行相同的、可能性能不穩(wěn)定的重要業(yè)務(wù)功能。已達(dá)到最大的數(shù)據(jù)庫(kù)大?。▽?shí)際的或按比例縮放的），而一起同時(shí)執(zhí)行多個(gè)查詢或報(bào)表事務(wù)。容量測(cè)試當(dāng)然需要注意，不能簡(jiǎn)單地說(shuō)在某一標(biāo)準(zhǔn)配置服務(wù)器上運(yùn)行某軟件的容量是多少，選用不同的加載策略可以反映不同狀況下的容量。舉個(gè)簡(jiǎn)單的例子，網(wǎng)上聊天室軟件的容量是多少？在一個(gè)聊天室內(nèi)有1000個(gè)用戶，和100個(gè)聊天室每個(gè)聊天室內(nèi)有10個(gè)用戶，同樣都是1000個(gè)用戶，在性能表現(xiàn)上可能會(huì)出現(xiàn)很大的不同，在服務(wù)器端數(shù)據(jù)輸出量、傳輸量更是截然不同的。在更復(fù)雜的系統(tǒng)內(nèi)，就需要分別為多種情況提供相應(yīng)的容量數(shù)據(jù)作為參考。容量測(cè)試執(zhí)行獲取測(cè)試需求容量需

14、求通常出現(xiàn)在需求規(guī)格說(shuō)明書(shū)中的基本性能指標(biāo)、極限數(shù)據(jù)量要求和測(cè)試環(huán)境部分。用例設(shè)計(jì)方法規(guī)范導(dǎo)出法、邊界值分析、錯(cuò)誤猜測(cè)法容量測(cè)試執(zhí)行步驟分析系統(tǒng)的外部數(shù)據(jù)源，并進(jìn)行分類；對(duì)每類數(shù)據(jù)源分析可能的容量限制，對(duì)于記錄類型數(shù)據(jù)需要分析記錄長(zhǎng)度限制，記錄中每個(gè)域長(zhǎng)度限制和記錄數(shù)量限制；對(duì)每個(gè)類型數(shù)據(jù)源，構(gòu)造大容量數(shù)據(jù)對(duì)系統(tǒng)進(jìn)行測(cè)試；分析測(cè)試結(jié)果，并與期望值比較，確定目前系統(tǒng)的容量瓶頸；對(duì)系統(tǒng)進(jìn)行優(yōu)化并重復(fù)以上四步，直到系統(tǒng)達(dá)到期望的容量處理能力。健壯性測(cè)試健壯性的兩層含義：一是高可靠性，二是從錯(cuò)誤中恢復(fù)的能力。前者體現(xiàn)了軟件系統(tǒng)的質(zhì)量；后者體現(xiàn)了軟件系統(tǒng)的適應(yīng)性。二者也給測(cè)試工作提出了不同的測(cè)試要求，前

15、者需要根據(jù)符合規(guī)格說(shuō)明的數(shù)據(jù)選擇測(cè)試用例，用于檢測(cè)在正常情況下系統(tǒng)輸出的正確性；后者需要在異常數(shù)據(jù)中選擇測(cè)試用例，檢測(cè)非正常情況下的系統(tǒng)行為。健壯性測(cè)試健壯性測(cè)試可以根據(jù)以下方面評(píng)價(jià)系統(tǒng)的健壯性：通過(guò)：系統(tǒng)調(diào)用運(yùn)行輸入的參數(shù)產(chǎn)生預(yù)期的正常結(jié)果。災(zāi)難性失效：這是系統(tǒng)健壯性測(cè)試中最嚴(yán)重的失效，這種失效只有通過(guò)系統(tǒng)重新引導(dǎo)才能得到解決。重啟失效：一個(gè)系統(tǒng)函數(shù)的調(diào)用沒(méi)有返回，使得調(diào)用它的程序掛起或停止。夭折失效：程序執(zhí)行時(shí)由于異常輸入，系統(tǒng)發(fā)出錯(cuò)誤提示使程序中止。沉寂失效：異常輸入時(shí)，系統(tǒng)應(yīng)當(dāng)發(fā)出錯(cuò)誤提示，但是測(cè)試結(jié)果卻沒(méi)有發(fā)生異常。干擾失效：指系統(tǒng)異常時(shí)返回了錯(cuò)誤的提示，但是該錯(cuò)誤提示不是期望中的錯(cuò)

16、誤。健壯性測(cè)試的策略基于錯(cuò)誤的策略：確認(rèn)所有可能的錯(cuò)誤源，為每一類錯(cuò)誤開(kāi)發(fā)錯(cuò)誤注入技術(shù)；基于覆蓋率的策略：接口覆蓋的數(shù)量，故障位置覆蓋的數(shù)量，例外覆蓋的數(shù)量；基于失效的策略：用例設(shè)計(jì)故障是否被處理了，例外是否被處理了，一個(gè)組件中的失效是否影響另一個(gè)組件；試用例設(shè)計(jì)方法在進(jìn)行健壯性測(cè)試時(shí)，常用的用例設(shè)計(jì)方法主要有三種：故障插入測(cè)試，變異測(cè)試和錯(cuò)誤猜測(cè)法。健壯性測(cè)試方法通常需要構(gòu)造一些不合理的輸入來(lái)引誘軟件出錯(cuò)，如輸入錯(cuò)誤的數(shù)據(jù)類型，輸入定義域之外的數(shù)值等。安全性測(cè)試安全測(cè)試檢查系統(tǒng)對(duì)非法侵入的防范能力。目的是為了發(fā)現(xiàn)軟件系統(tǒng)中是否存在安全漏洞。安全測(cè)試期間，測(cè)試人員假扮非法入侵者，采用各種辦法試

17、圖突破防線。例如想方設(shè)法截取或破譯口令；專門(mén)定做軟件破壞系統(tǒng)的保護(hù)機(jī)制；故意導(dǎo)致系統(tǒng)失敗，企圖趁恢復(fù)之機(jī)非法進(jìn)入；試圖通過(guò)瀏覽非保密數(shù)據(jù)，推導(dǎo)所需信息等等。理論上講，只要有足夠的時(shí)間和資源，沒(méi)有不可進(jìn)入的系統(tǒng)。系統(tǒng)安全設(shè)計(jì)的準(zhǔn)則是，使非法侵入的代價(jià)超過(guò)被保護(hù)信息的價(jià)值，此時(shí)非法侵入者已無(wú)利可圖。安全性測(cè)試方法功能驗(yàn)證功能驗(yàn)證是采用軟件測(cè)試當(dāng)中的黑盒測(cè)試方法，對(duì)涉及安全的軟件功能，如用戶管理模塊、權(quán)限管理模塊、加密系統(tǒng)、認(rèn)證系統(tǒng)等進(jìn)行測(cè)試，主要是驗(yàn)證上述功能是否有效。漏洞掃描 安全漏洞掃描通常都是借助于特定的漏洞掃描器完成。漏洞掃描器是一種能自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序，通過(guò)使用漏洞掃

18、描器，系統(tǒng)管理員能夠發(fā)現(xiàn)所維護(hù)信息系統(tǒng)存在的安全漏洞，從而在信息系統(tǒng)網(wǎng)絡(luò)安全防護(hù)過(guò)程中做到有的放矢，及時(shí)修補(bǔ)漏洞。安全性測(cè)試方法模擬攻擊試驗(yàn) 對(duì)于安全測(cè)試來(lái)說(shuō)，模擬攻擊試驗(yàn)是一組特殊的黑盒測(cè)試案例，通常以模擬攻擊來(lái)驗(yàn)證軟件或信息系統(tǒng)的安全防護(hù)能力。安全性目標(biāo)預(yù)防：對(duì)有可能被攻擊的部分采取必要的保護(hù)措施，如密碼驗(yàn)證等。跟蹤審計(jì)：從數(shù)據(jù)庫(kù)系統(tǒng)本身、主體和客體三個(gè)方面來(lái)設(shè)置審計(jì)選項(xiàng)，審計(jì)對(duì)數(shù)據(jù)庫(kù)對(duì)象的訪問(wèn)以及與安全相關(guān)的事件。數(shù)據(jù)庫(kù)審計(jì)員可以分析審計(jì)信息、跟蹤審計(jì)事件、追查責(zé)任，并且對(duì)系統(tǒng)效率的影響減至最小。監(jiān)控：能夠?qū)︶槍?duì)軟件或數(shù)據(jù)庫(kù)的實(shí)時(shí)操作進(jìn)行監(jiān)控，并對(duì)越權(quán)行為或危險(xiǎn)行為發(fā)出警報(bào)信息。保密性和

19、機(jī)密性：可防止非授權(quán)用戶的侵入和機(jī)密信息的泄漏。多級(jí)安全性：指多級(jí)安全關(guān)系數(shù)據(jù)庫(kù)在單一數(shù)據(jù)庫(kù)系統(tǒng)中存儲(chǔ)和管理不同敏感性的數(shù)據(jù)，同時(shí)通過(guò)自主訪問(wèn)控制和強(qiáng)制訪問(wèn)控制機(jī)制保持?jǐn)?shù)據(jù)的安全性。匿名性：防止匿名登陸。數(shù)據(jù)的完整性：防止數(shù)據(jù)在未被授權(quán)情況下不被修改的性質(zhì)。安全的原則加固最脆弱的連接：進(jìn)行風(fēng)險(xiǎn)分析并提交報(bào)告，加固其薄弱環(huán)節(jié)。實(shí)行深度防護(hù)：利用分散的防護(hù)策略來(lái)管理風(fēng)險(xiǎn)。失敗安全：在系統(tǒng)運(yùn)行失敗時(shí)有相應(yīng)的措施保障軟件安全。最小優(yōu)先權(quán)：原則是對(duì)于一個(gè)操作，只賦予所必須的最小的訪問(wèn)權(quán)限，而且只分配所必須的最少時(shí)間。分割：將系統(tǒng)盡可能分割成小單元，隔離那些有安全特權(quán)的代碼，將對(duì)系統(tǒng)可能的損害減少到最小。

20、簡(jiǎn)單化：軟件設(shè)計(jì)和實(shí)現(xiàn)要盡可能直接, 滿足安全需求的前提下構(gòu)筑盡量簡(jiǎn)單的系統(tǒng), 關(guān)鍵的安全操作都部署在系統(tǒng)不多的關(guān)鍵點(diǎn)（choke points）上。保密性：避免濫用用戶的保密信息。安全的原則緩沖區(qū)溢出：密碼學(xué)的應(yīng)用：信任管理和輸入的有效性:口令認(rèn)證:客戶端安全性:安全控制/構(gòu)架:安全性測(cè)試執(zhí)行危險(xiǎn)和威脅分析。執(zhí)行系統(tǒng)和它的實(shí)用環(huán)境的風(fēng)險(xiǎn)和威脅分析。以一種它們可以和系統(tǒng)的安全性動(dòng)作相比較的方式來(lái)定義安全性需求和劃分優(yōu)先級(jí)。基于威脅分析，為系統(tǒng)定義安全需求，最關(guān)鍵的安全性需求應(yīng)該得到最大程度的關(guān)注。注意，系統(tǒng)最弱的鏈接也是重要的，安全性需求的定義是一個(gè)反復(fù)的過(guò)程。模擬安全行為?；趧澐值陌踩枨?/p>

21、的優(yōu)先次序，識(shí)別形成系統(tǒng)安全動(dòng)作的功能和它們依賴的優(yōu)先順序。執(zhí)行安全性測(cè)試。實(shí)用合適的證據(jù)收集和測(cè)試工具。估計(jì)基于證據(jù)的安全活動(dòng)的可能性和影響。合計(jì)出一個(gè)準(zhǔn)確的結(jié)果及系統(tǒng)是否滿足安全性需求?？煽啃詼y(cè)試軟件可靠性測(cè)試是以計(jì)算軟件可靠性為目的。通常選取如下：需要長(zhǎng)時(shí)間運(yùn)行的軟件。如服務(wù)器軟件和航天、電信、金融服務(wù)等領(lǐng)域的軟件等。對(duì)故障率有特別需求的軟件。如驅(qū)動(dòng)程序等。使用頻度非常高的底層模塊。如驅(qū)動(dòng)程序模塊、公用模塊等。可靠性測(cè)試方法測(cè)試用例設(shè)計(jì)充分。多個(gè)組進(jìn)行獨(dú)立測(cè)試真實(shí)環(huán)境測(cè)試長(zhǎng)時(shí)間運(yùn)行測(cè)試故障插入測(cè)試恢復(fù)性測(cè)試恢復(fù)性測(cè)試主要檢查系統(tǒng)的容錯(cuò)能力。當(dāng)系統(tǒng)出錯(cuò)時(shí)，能否在指定時(shí)間間隔內(nèi)修正錯(cuò)誤并重新

22、啟動(dòng)系統(tǒng)?；謴?fù)測(cè)試首先要采用各種辦法強(qiáng)迫系統(tǒng)失敗，然后驗(yàn)證系統(tǒng)是否能盡快恢復(fù)。對(duì)于自動(dòng)恢復(fù)，需驗(yàn)證重新初始化、檢查點(diǎn)、數(shù)據(jù)恢復(fù)和重新啟動(dòng)等機(jī)制的正確性；對(duì)于人工干預(yù)的恢復(fù)系統(tǒng)，還需估測(cè)平均修復(fù)時(shí)間，確定其是否在可接受的范圍內(nèi) 備份測(cè)試是恢復(fù)測(cè)試的一個(gè)補(bǔ)充，也是恢復(fù)性測(cè)試的一個(gè)部分。備份測(cè)試的目的是驗(yàn)證系統(tǒng)在軟件或者硬件失敗時(shí)備份數(shù)據(jù)的能力。恢復(fù)性測(cè)試設(shè)計(jì)測(cè)試是否存在潛在的災(zāi)難，以及它們可能造成的損失？消防訓(xùn)練式的布置災(zāi)難場(chǎng)景是一種有效的方法。保護(hù)和恢復(fù)工作是否為災(zāi)難提供了足夠的準(zhǔn)備？評(píng)審人員應(yīng)該評(píng)審測(cè)試工作及測(cè)試步驟，以便檢查對(duì)災(zāi)難的準(zhǔn)備情況。評(píng)審人員包括主要事件專家和系統(tǒng)用戶。當(dāng)真正需要時(shí)，恢復(fù)過(guò)程是否能夠正常工作？模擬的災(zāi)難需要和實(shí)際的系統(tǒng)一起被創(chuàng)建以驗(yàn)證恢復(fù)過(guò)程。用戶、供應(yīng)商應(yīng)當(dāng)共同完成測(cè)試工作。兼容性測(cè)試兼容性測(cè)試是指檢查軟件之間是否能夠正確地進(jìn)行交互和共享信息。對(duì)新軟件進(jìn)行軟件兼容性測(cè)試，需要解決：軟件設(shè)計(jì)