Test bảo mật và kiểm soát truy cập tập trung vào hai lĩnh vực bảo mật chính:
- Bảo mật ở mức ứng dụng, bao gồm truy cập dữ liệu và các chức năng nghiệp vụ
- Bảo mật ở mức hệ thống, bao gồm truy cập vào hệ thống hoặc truy cập từ xa
- Bảo mật mức ứng dụng đảm bảo rằng, dựa trên bảo mật đã yêu cầu, người dùng bị hạn chế sử dụng một số chức năng hoặc tình huống sử dụng, hoặc bị hạn chế trong giới hạn dữ liệu phù hợp với họ. Ví dụ, mọi người có thể được phép nhập dữ liệu để tạo account nhưng chỉ có người quản lý có thể xóa chúng. Nếu là bảo mật ở mức dữ liệu, việc test đảm bảo rằng “người dùng nhóm 1” có thể nhìn thấy các thông tin khách hàng, bao gồm dữ liệu tài chính, tuy nhiên “người dùng nhóm 2” chỉ nhìn thấy các thông tin chung chung cho cùng một khách hàng.
- Bảo mật mức hệ thống đảm bảo rằng chỉ những người dùng được cho quyền truy cập vào hệ thống mới có khả năng truy cập vào ứng dụng và chỉ bằng các cổng thích hợp

Mục đích test:
- Bảo mật mức ứng dụng: Đảm bảo rằng một người dùng chỉ có thể truy cập vào những chức năng hoặc dữ liệu mà nhóm người dùng đó được phép
- Bảo mật mức hệ thống: Đảm bảo rằng chỉ những người được phép truy cập hệ thống và ứng dụng được phép truy cập chúng

Cách thực hiện: Bảo mật ứng dụng: Xác định và liệt kê từng nhóm người dùng và các chức năng hoặc dữ liệu mà họ được phép truy cập
- Tạo test case cho mỗi nhóm người dùng và kiểm tra từng quyền bằng cách tạo các giao dịch xác định cho mỗi nhóm
- Sửa lại nhóm người dùng và chạy lại tình huống test cho cùng những người dùng. Với mỗi trường hợp, kiểm tra các chức năng thêm vào hoặc dữ liệu có đúng không hay bị từ chối.
- Truy cập mức hệ thống: tham khảo các điều kiện đặc biệt dưới đây

Điều kiện hoàn thành:
- Với mỗi nhóm người dùng đều có các chức năng hoặc dữ liệu thích hợp, và toàn bộ các chức năng giao dịch đều như dự kiến và chạy trong các test chức năng ứng dụng trước đó

Các vấn đề đặc biệt: Truy cập vào hệ thống phải được xem xét hoặc thảo luận với quản trị hệ thống hoặc quản trị mạng, có thể không cần nếu nó là chức năng của quản trị mạng hoặc quản trị hệ thống
Share
Related Documents
  1. How to Test Application Security – Web and Desktop Application Security Testing Techniques (3289)
  2. [Ebook] The Art of Software Security Testing: Identifying Software Security Flaws (10312)
  3. Security Acts - the Magazine for IT Security (set 2) (871)
  4. Software Security Exam Questions (3322)
  5. [PodCast] Security Testing (104M) (916)
  6. State of Software Security Report Volume 1 (923)
  7. [Magazine] Palisade : focuses on application security (966)
  8. CGISecurity : Web Server and Application Database website (790)
  9. Putting Security Into Your Virtual World (668)
  10. [Free] WebGoat : Security Testing Tool (2335)
  11. Steps to do security testing (1816)
  12. 2011-03-14, SANS Singapore 2011 @ Singapore (832)
  13. [Ebook] Linux 101 Hacks (2751)
  14. SQL Injection for newbie (2184)
  15. Software Security Assurance (1928)
  16. Security Acts - the Magazine for IT Security (set 1) (828)
  17. Bảo mật thông tin - bí quyết và giải pháp (1478)
  18. Topics in Security Testing (1420)
  19. 2010-10-21, Embedded Live @ UK (1304)
  20. [Webinar] Are You Ready for DO-178C and Emerging Security-Critical Standards? (1235)