每年都会涉及；可能会考大题；多记！！！
典型考点：sql注入、xss；
从2个方面记：
1、测试对象的功能、性能；
2、相关设备的工作原理；
如防火墙，要了解防火墙的功能、工作原理；

主要议题：基本安全策略、数据库、操作系统、安全日志考察较多；其他议题偶尔涉及；

1.安全系统测试策略

基本部分

防火墙：工作原理是数据包通过防火墙，检查数据包是否满足我们制定的访问规则；满足则通过，否则不让通过；2种工作模式：路由模式、交换模式；
防火墙测试：
1、是否满足两种工作模式；
2、防火墙是否是单点故障点，即是否做了冗余设计；
3、功能是否正常，如应用的访问控制；
4、防火墙日志功能，是否提供日志分析功能，是否将日志传到指定的数据库中；
5、防火墙本身是否能对抗常用的网络攻击；受到攻击时，能否产生警报，警报有多个级别，防火墙对多个级别的支持程度；
入侵检测系统：防火墙之后第二道检测的闸门；工作原理是侦听网络通信的数据流信息，将这些信息与攻击库中的攻击特征进行匹配；攻击发生后，提供警报，或者通知防火墙断掉一些连接；
入侵检测系统测试：
1、能否在检测到入侵事件后自动执行一些事情，如通知防火墙断开连接、记录入侵过程、发送邮件给管理员（警报）；
2、是否支持攻击信息特征的上传；集中式、发布式的上传；
3、能否同步攻击监测引擎的信息；攻击特征能否及时更新，是否内置了监控和侦听工具；
漏洞扫描：监测漏洞扫描工具能否定期、或不定期的进行漏洞扫描分析；是否能够对所选内容进行漏洞扫描；及时发现漏洞，并反馈给管理员，同时给出修复漏洞的建议；
病毒防治：
常涉及到的病毒扫描的内容：
1、操作系统不一样；2、服务器端和客户端不同；3、文件、电子邮件；
检测时，检测病毒防治体系是否满足上3者的要求：
1、是否支持多种操作系统、文件、邮件；
2、病毒库、病毒特征、病毒引擎能否及时更新；
3、病毒防范是否广泛；
安全审计：收集安全相关的数据，放到某个地方统一管理；
1、安全审计系统是否进行系统数据的手机、统一存储、集中进行安全审计工作；
2、是否支持PTR应用的审计；是否支持xml的数据采集协议；是否支持自定义规则的审计；
web信息防篡改系统：web会采用不同的应用平台，如Windows、linux，
1、对各个操作系统的支持情况；
2、是否支持发布、监控功能；能否区分合法的更新还是非法的篡改；
3、能否实时发布和备份；
4、能否自动发布、自动恢复；
4、是否有日志扫描、更新管理等功能；

高级部分

2大方面：功能测试、性能测试；
看教程！！！

故障恢复与容灾备份测试
故障恢复：
1、系统是否存在单点故障；单点故障：这个点失败，系统就会宕机，不具备容错能力；
2、关键的应用系统是否实现双机热备、实现冗余；能否按照规则将请求从一个设备转到另一个设备上，一个服务器宕机后请求能否转到另一台服务器上；对于磁盘来讲，是否采用镜像技术来实现磁盘冗余、实现高速访问；对于主机操作系统一般使用镜像的阵列；
数据备份：
1、 关键的应用系统是否实现双机热备、实现冗余；关键业务要求可靠性较高；
2、用磁带、磁盘进行备份；
容灾备份：
是否建立容灾备份中心，主中心发生灾难，备份中心要接收所有的业务；对于备份中心，考虑带宽是否足够，保证能够实时接收主中心的备份数据，能够满足提供服务的要求；

2.安全性测试方法

软件产品安全测试，划√的考的多！！！

3.用户权限控制测试

4.操作系统安全性测试

2、是否删除不必要的账户；
重点！！！

5.数据库权限测试

6.通信加密测试

7.安全日志测试

重点！！！