一种基于开放式系统互联参考模型的系统安全测试方法
【专利说明】一种基于开放式系统互联参考模型的系统安全测试方法
[0001]
技术领域
[0002]本发明涉及网络与软件层面的七层模型,具体的说是一种基于开放式系统互联参考模型的系统安全测试方法。
【背景技术】
[0003]开放式系统互联参考七层模型采用了分层的框架性结构化技术,这个模型把系统的通信功能划分为七个层次,从邻接物理媒体的层次开始,分别赋于I,2,……7层的顺序编号,相应地称之为物理层、数据链路层、网络层、运输层、会话层、表示层和应用层,每一层的功能是独立的。每一层利用其下一层提供的服务并为其上一层提供服务,而与其他层的具体实现无关。这里所谓的“服务”就是下一层向上一层提供的通信功能和层之间的会话规定,一般用通信原语实现。两个开放系统中的同等层之间的通信规则和约定称之为协议。通常把I?4层协议称为下层协议,5?7层协议称为上层协议。
[0004]互联参考七层模型是一种异构系统互连的分层结构;提供了控制互连系统交互规则的标准骨架;不同系统中相同层的实体为同等层实体;同等层实体之间通信由该层的协议管理;相同层间的接口定义了原语操作和低层向上层提供的服务;所提供的公共服务是面向连接的或无连接的数据服务;直接的数据传送仅在最低层实现;每层完成所定义的功能,修改本层的功能并不影响其他层。
[0005]目前针对系统的安全测试方法比较缺少,都是针对某一个威胁的测试方法。开放式系统互联参考七层模型能够解决异种网络互连时所遇到的兼容性问题,其最主要的功能使就是帮助不同类型的主机实现数据传输。鉴于现在系统应用的安全性要求越来越高,本发明建立一种基于开放式系统互联参考模型的系统安全测试方法。
【发明内容】
[0006]本发明针对目前需求以及现有技术发展的不足之处,提供一种基于开放式系统互联参考模型的系统安全测试方法。
[0007]本发明所述一种基于开放式系统互联参考模型的系统安全测试方法,解决上述技术问题采用的技术方案如下:所述基于开放式系统互联参考模型的系统安全测试方法,根据互联参考模型的七个层次,设置出各个层次的安全测试用例通用基础库,并从其他角度如开发技术、中间件、业界常见漏洞库等定义出扩展库,同时将软件的安全需求转换为安全测试需求的安全用例库;基于上述通用基础库、扩展库以及安全用例库,组合形成安全测试的可执行用例库,然后根据所述可执行用例库,再结合时间、人员计划,形成安全测试方案。
[0008]优选的,系统对应互联参考模型中每层的内容抽取转化,从通用基础库中选择适应的用例集合A。
[0009]优选的,该系统的0WASP,CWE漏洞库、中间件的漏洞库进行入手分析,从扩展库中抽取满足安全需求的用例,形成用例集合B。
[0010]优选的,将用例集合A和B合并形成通用安全测试用例库。
[0011]优选的,将通用安全测试用例库中用例与安全用例库进行匹配,筛选出可执行用例。
[0012]本发明所述一种基于开放式系统互联参考模型的系统安全测试方法与现有技术相比具有的有益效果是:本发明解决了目前各种系统通用的安全测试性用例提取的困难,为设计安全测试用例提供了可依靠的模板;同时,扩展库针对技术的发展,进行不断的补充与完善,解决了软件技术可能存在的安全性问题,保证了安全用例的全面性、可共享性、可扩展性和可维护更新;通用安全测试用例库的使用,保证了项目需求与通用安全性的匹配程度,满足了项目上的安全需求。同时,本发明提供的系统安全测试方法,根据互联参考模型的七个层次,系统从需求到用例,再到自动形成测试方案,极大提高了测试效率,提高了软件的安全质量。
【附图说明】
[0013]
附图1为基于开放式系统互联参考模型的系统安全测试方法的流程框图。
【具体实施方式】
[0014]为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,对本发明所述一种基于开放式系统互联参考模型的系统安全测试方法进一步详细说明。
[0015]本发明提出了一种基于开放式系统互联参考模型的系统安全测试方法,以开放式系统互联参考模型为基础,形成多层次的安全测试用例通用基础库,然后从开发技术等分析定义出扩展库,对于软件的安全需求转换为安全测试需求的安全用例库,从这三个库中组合抽取出满足的内容,形成安全测试的可执行用例库,并可以快速从可执行用例库自动形成安全测试方案,形成一套完整的安全测试方法体系和支撑系统。
[0016]实施例:
本实施例所述一种基于开放式系统互联参考模型的系统安全测试方法,根据互联参考模型的七个层次,设置出各个层次的安全测试用例通用基础库,并从其他角度如开发技术、中间件、业界常见漏洞库等定义出扩展库,同时将软件的安全需求转换为安全测试需求的安全用例库;基于上述通用基础库、扩展库以及安全用例库,组合形成安全测试的可执行用例库,然后根据所述可执行用例库,再结合时间、人员计划,形成安全测试方案。该安全测试方案能够指导后续的测试执行,保证质量。
[0017]附图1为基于开放式系统互联参考模型的系统安全测试方法的流程框图,如附图1所示,下面以某个系统的安全测试方案的形成为例,对该系统安全测试方法进行详细说明:
步骤一,首先系统对应互联参考模型中每层的内容抽取转化,从通用基础库中选择适应的用例集合A;
步骤二,从该系统的开发语言、中间件、架构等方面漏洞库进行入手分析,从扩展库中抽取满足安全需求的用例,形成用例集合B;
步骤三,将用例集合A和B合并形成通用安全测试用例库; 步骤四,将系统的安全需求用测试的思想转换成测试的用例,即安全需求生成的安全用例库;
步骤五,将通用安全测试用例库中用例与安全用例库进行匹配,筛选出可执行用例,将不符合需求和不适用的用例挑选出来,剩余的用例即可执行用例;
步骤六,最后,结合人力、时间等因素,形成安全测试方案。
[0018]步骤二中,可以从该系统的OWASP,CWE漏洞库、中间件的漏洞库,以及其他技术的漏洞库进行入手分析,从扩展库中抽取满足安全需求的用例,形成用例集合。如附图1所示。
[0019]上述【具体实施方式】仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述【具体实施方式】,任何符合本发明的权利要求书的且任何所属技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。
【主权项】
1.一种基于开放式系统互联参考模型的系统安全测试方法,其特征在于,根据互联参考模型的七个层次,设置出各个层次的安全测试用例通用基础库,并从其他角度如开发技术、中间件、业界常见漏洞库等定义出扩展库,同时将软件的安全需求转换为安全测试需求的安全用例库;基于上述通用基础库、扩展库以及安全用例库,组合形成安全测试的可执行用例库,然后根据所述可执行用例库,再结合时间、人员计划,形成安全测试方案。2.根据权利要求1所述一种基于开放式系统互联参考模型的系统安全测试方法,其特征在于,系统对应互联参考模型中每层的内容抽取转化,从通用基础库中选择适应的用例集合A。3.根据权利要求2所述一种基于开放式系统互联参考模型的系统安全测试方法,其特征在于,该系统的OWASP,CWE漏洞库、中间件的漏洞库进行入手分析,从扩展库中抽取满足安全需求的用例,形成用例集合B。4.根据权利要求3所述一种基于开放式系统互联参考模型的系统安全测试方法,其特征在于,将用例集合A和B合并形成通用安全测试用例库。5.根据权利要求4所述一种基于开放式系统互联参考模型的系统安全测试方法,其特征在于,将通用安全测试用例库中用例与安全用例库进行匹配,筛选出可执行用例。
【专利摘要】本发明公开一种基于开放式系统互联参考模型的系统安全测试方法,涉及网络与软件层面的七层模型,根据互联参考模型的七个层次,设置出各个层次的安全测试用例通用基础库,并从其他角度如开发技术、中间件、业界常见漏洞库等定义出扩展库,同时将软件的安全需求转换为安全用例库;基于上述通用基础库、扩展库以及安全用例库,组合形成安全测试的可执行用例库,然后根据所述可执行用例库,再结合时间、人员计划,形成安全测试方案。本发明解决了目前各种系统通用的安全测试性用例提取的困难,为设计安全测试用例提供了可依靠的模板;系统从需求到用例,再到自动形成测试方案,极大提高了测试效率,提高了软件的安全质量。
【IPC分类】H04L12/26, H04L29/08, H04L29/06
【公开号】CN105610650
【申请号】CN201610096469
【发明人】徐蕾
【申请人】浪潮通用软件有限公司
【公开日】2016年5月25日
【申请日】2016年2月22日