扫描?在很多人眼中,做安全的就是整天那个工具在哪里扫描操作,使用各种不同的工具做扫描。
是的,扫描是安全测试的重要组成部分。扫描可以快速有效地发现问题。扫描工具的易用性和便利性决定了它的重要位置。但是,扫描工具的局限性和程序的灵活性也很明显。安全测试人员与扫描报告的分析,漏洞的深入挖掘以及测试的组织密不可分。因此,只能说扫描工具减少了测试人员的工作量,是安全测试的一种手段。
安全测试者是怎样定位自己的?
我们经常听到一些有关安全的名称,像软件安全、信息安全、网络安全、计算机安全等一些词组,这些领域都是做安全的,那我们属于哪一个呢?
【软件安全】往小了说就是某一个软件产品,说大了除了硬件就是软件了。
【信息安全】看名字我们就知道关键是信息两个字,但是什么是信息呢,客户的数据还是一切有用的数据?
【网络安全】什么是网络,网络系统硬件、软件这都是些模糊的可大可小的概念。
【计算机安全】PC?服务器?路由器?
我们可以看到这些概念往大了说成了组成我们今天互联网的各种设备包括各种嵌入式机器、外接USB、蓝牙等设备的共同体的硬软件,以及使用、维护、管理这些东西人的整个安全问题。
在看他们的区别,他们以不同的地方为其主要关注点,或者说出发点,他们并没有明显的界限却有着自己的侧重点。
我们的侧重点是什么呢,我们产品是一个什么样的产品呢?我们有web服务、接口服务、文件服务、视频等服务,我们把他们统一称为我们的系统,那么我们就是在做这个系统的安全测试,所以我觉得我们应该定位为系统安全测试。
当然我们的系统运行中也涉及到人、涉及到硬件,此处都不是我们的关注点,我们只从软件技术的角度来识别它。那么,系统安全测试就成了区别于功能测试,和性能测试一样,单独列出来的专项测试。
安全的本质是什么?
信任、人性(网络安全最大的漏洞就是人)、止损、攻防。
以上是当前网上一些主要的论点,以信任或者不信任作为本质出发点的还是占据主流的。
概念定义
【敏感数据】具体的范围取决于产品具体的应用场景,产品应根据风险进行分析和判断。
典型敏感数据包括口令、银行账号、大批量个人数据、用户通信内容和密钥等。
【个人数据】指直接通过该数据或者结合该数据与其他的信息,可识别出自然人的信息。
【匿名化】指对个人数据进行更改(单独单向散列、截短、替换等,如需保留个人数据真实值与替换值之间的对应关系,可使用对称加密或映射表方式,但密钥/映射表必须由数据所有这控制),使原有关个人信息不再能归属到一个可识别的自然人,或推理这种归属需要耗费过多、不相称的时间、费用和精力。
更多软件测试教学是可在http://www.cemaxueyuan.com/courses观看。
如果你想了解更多关于软件测试的专业知识,可以加入python自动化测试交流群3:737683259,里面都是同行,欢迎你们的加入,合理利用自己每一分每一秒的时间来学习提升自己,不要再用"没有时间“来掩饰自己思想上的懒惰!趁年轻,使劲拼,给未来的自己一个交代!