摘 要:基金网上交易系统是一种非常重要的应用系统,为保护用户信息和资金数据,必须大力提高系统的安全性能。安全性测试是提高系统安全性的一种有效手段,本文旨在对安全新测试的关注点和实施活动进行探讨,从而能够使安全性测试更加合理和有效。
关键词:网上交易;基金;安全测试;项目管理;
引言
在计算机刚刚开始发展的时期,程序员们认为计算机程序可以像橡皮泥一样随意地揉捏,使其达到各种预期的效果,故而很有创意地将他们的程序作品称为“软”件。然而随着计算机工业的不断发展,人们发现软件开发并不是想象中那么简单,上万行代码所带来的复杂性和不确定性常常让人难以估量,甚至仅仅是几百行代码都可能需要非常大量的维护工作,程序员们被自己编写的得意代码弄得焦头烂额。在这种情况下,人们开始思考如何编写更可靠、更规范、更易于维护的软件程序,而软件测试也开始慢慢地发展起来,并越来越受到人们的重视。
在软件测试领域,安全性测试一直处于一个比较尴尬的位置。不管是客户提出的软件需求,还是开发团队执行的设计开发,几乎都是对软件的功能实现比较看重,于是忽略软件自身的安全能力是否得到了足够的保证。对于很多不太重要的软件系统而言,关注功能而忽视安全其实无可厚非,但是对于基金网上交易系统这样的重要应用,系统中执行的几乎都是直接涉及用户信息、账户资金等敏感信息的操作,所以我们在建设基金网上交易系统的时候,必须将安全性建设提高到与功能实现同等的地步,在开发业务所需的基本功能的过程中,同步构建应用系统的整体安全能力。本文即是与大家探讨,在构建安全的基金网上交易系统的过程中,应该怎么对系统进行安全性方面的测试。
1.明确安全性测试的关注点
对基金网上交易系统进行测试的主要目的是查找系统开发是否存在缺陷,其次是验证需求设计的功能组件是否被正确地实现。软件系统测试有多种方法,比较常用的有白盒测试、黑盒测试、单元测试、集成测试、压力测试等。而在安全性测试方面,需要考虑的内容通常有系统的安全审计功能、通信安全性、密码使用、对用户数据的保护、对用户的标识和鉴别、安全管理、数据安全保护、会话管理等方面。
安全审计包括识别、记录、存储和分析那些与安全相关活动有关的信息。安全审计应当能够对安全事件进行自动的识别和响应,包括实时事件报警、违例进程终止、服务强制中断、会话断开、帐号冻结等。同时应对审计数据的存储和访问进行控制,如确定哪些角色可以访问哪些数据,从而避免审计数据导致的私密性受损。
通信安全性主要关注通信过程的不可抵赖性,包括原发抗抵赖和接收抗抵赖。原发抗抵赖是指信息的发送者不能否认其是否发送了信息,接收抗抵赖是指信息的接收者无法否认其是否接收了信息。
在密码使用方面,主要关注密钥管理和密码运算过程。对密钥的安全管理需要全面考虑密钥的整个生命周期,包括产生、分发、存取和销毁等环节。密码运算过程是指应用系统应采用安全强度足够的密码算法和密钥长度,并且良好的实现密码运算功能。
对用户数据的保护涉及内容比较多,包括访问控制策略的确立和控制、对重要数据进行加密和数字签名、对数据进行分类分级从而防止非法信息流动、确保删除后的残余信息不包含敏感内容等方面。由于基金交易行为与账户资金等敏感信息直接相关,必须对重要数据做出严格控制,限制其可流动的系统范围。
对用户的标识和鉴别是指对授权用户进行明确的标识,同时根据标识信息可以迅速准确地判断用户是否是其所声称的身份。对基金交易系统来说,对用户的身份认证非常重要,特别是在难以实施多因素认证的情况下,必须尽量提高单因素认证手段的安全性和有效性,以便确保基金交易指令来自于正确的用户个体。
安全管理是指系统中应该具有安全管理功能,有完善的机制对关键角色进行授权,使其能够对系统中的各种安全属性进行编辑和控制,如确定用户角色权限、更改系统安全参数、管理审计数据等。
数据安全保护包括数据传输过程的保密性和完整性,数据复制前后的一致性,以及数据丢失后的可信恢复。对基金交易系统来说,应合理利用数据加密、编码、备份、检查等手段确保数据信息的安全性,防止因数据泄露、数据篡改、数据丢失等问题带来的业务安全风险。
一个用户会话实际上是一个周期,当用户与系统之间进行交互时即开始,完成标识和鉴别工作后,执行相关指令操作,当所有与会话相关的资源和属性都被撤销时,会话即宣告终止。对用户会话的管理包括会话历史记录、会话连接数限制、锁定或关闭长时间无活动的会话等内容。
2.安全性测试的执行和管理
编写测试用例是测试工作中的一项重要内容,优秀的用例设计可以让测试团队投入最少的资源,在最短的时间内完成测试工作,并准确发现软件系统具有的缺陷。对基金网上交易系统来说,由于系统目标是为基金业务服务,所以其安全测试用例的编写除了考虑常规的系统环境因素,还应对业务逻辑进行适当的考虑,设计良好的测试场景。
用例的编写应当目的明确,内容清晰简洁,格式整齐规范,最大程度的覆盖测试对象,方便对测试数据进行管理,减少回归测试的复杂程度,提高工作效率。同时应建立良好的用例和缺陷跟踪机制,确保每一条用例都得到了良好的执行和反馈,确保每一个缺陷都进行了相应的处理。
由于基金网上交易系统测试工作的重要性和独特性,可以将系统的测试工作作为一个单独的项目来看待,于是我们需要考虑项目实施过程中的管理要求,包括项目进度管理、项目风险管理、项目质量管理、项目配置管理、项目沟通管理等。很多测试项目都是由于忽视了项目管理的重要性,所以引发了各种本可避免的实施问题。一种比较常见的情况是,测试人员在使用测试帐号进行一个测试操作,但与此同时,开发人员正在修改某个数据表,于是测试人员发现操作指令不能正常执行。类似这样的事件有很多,但是我们可以看到,加入测试人员和开发人员之间有良好执行的沟通机制,这种情况就可以避免。
除了以上测试方法,还有一种安全测试手段可以非常有效地指出基金交易系统的安全漏洞,那就是渗透性测试。渗透性测试是指由专业的安全专家模拟黑客的入侵手段,对基金网上交易系统进行渗透,从而非常直观地发现测试对象具有什么样的安全隐患。目前有很多专业安全厂商可以提供渗透测试服务,如启明星辰等,渗透性测试与真实黑客入侵的区别之处在于,黑客的行为无所顾忌,而渗透测试过程将会主动避免可以会带来破坏的动作。
3.结语
基金网上交易系统直接面向开放式互联网中的大量基金客户,一旦发生安全问题,可能会导致用户信息泄露、资金损失等事件,给基金公司带来经济损失、名誉损失等风险,所以保障基金网上交易系统的安全性非常重要,必须加强对基金网上交易系统的安全测试工作。
参考文献
[1] 姚文强,徐长生. 中国开放式基金 任重而道远[J]. 特区经济,2002,(12):35-37.
[2] 张书杰,潘兴庆,李健. 基于PKI/CA的银行与基金公司在线交易系统的构建[J]. 北京工业大学学报,2006,05(06):23-26.
[3] 崔香梅,黄京华. 信用评价体系以及相关因素对一口价网上交易影响的实证研究[J]. 管理学报,2010,7(1):12-14.
[4] 廖根为. 网上交易犯罪特征论[J]. 犯罪研究,2007, (03):16-19.
[5] 张雪,马光思,毛宏燕. 基于SSL提高网上安全交易性能的研究[J]. 微电子学与计算机,2011(02):11-17.
[6] 李广晖. 虚拟市场中管理者和交易者的博弈分析[J]. 商业时代,2009(35):11-17.
[7] 邢小东,侯飞,李千路. 电子商务安全防范技术[J]. 山西大同大学学报(自然科学版),2011(01):11-17.
中国论文网(www.lunwen.net.cn)免费学术期刊论文发表,目录,论文查重入口,本科毕业论文怎么写,职称论文范文,论文摘要,论文文献资料,毕业论文格式,论文检测降重服务。
