軟件安全問(wèn)題不僅僅關(guān)乎著用戶(hù)的隱私還關(guān)乎到企業(yè)的名聲，所以軟件安全測(cè)試是軟件產(chǎn)品必不可少的一項(xiàng)檢測(cè)。每個(gè)軟件產(chǎn)品的性質(zhì)不同所以測(cè)試的方案也有所不同。如果遵循相同的原則，證明軟件的安全性，將有利于軟件安全性測(cè)試工作規(guī)范的實(shí)施和軟件安全性測(cè)試的發(fā)展。

       安全測(cè)試的主要目的是在軟件自己的程序中查找隱藏的安全隱患，并檢查應(yīng)用程序防止非法入侵的能力。根據(jù)不同的安全指標(biāo)，測(cè)試策略也有所不同。如果遵循相同的原則，證明軟件的安全性，將有利于軟件安全性測(cè)試工作規(guī)范的實(shí)施和軟件安全性測(cè)試的發(fā)展。

       安全測(cè)試檢查系統(tǒng)防止非法入侵的能力。

       在安全測(cè)試期間，測(cè)試人員假裝為非法入侵者，并使用各種方法試圖突破防御。

例如：

       ①找到攔截或解密密碼的方法；

       ②專(zhuān)門(mén)定制的軟件破壞了系統(tǒng)的保護(hù)機(jī)制；

       ③故意造成系統(tǒng)故障，并在恢復(fù)過(guò)程中嘗試非法進(jìn)入；

       ④?chē)L試通過(guò)瀏覽非機(jī)密數(shù)據(jù)等來(lái)獲取所需信息。

       從理論上講，只要有足夠的時(shí)間和資源，就不會(huì)有無(wú)法訪問(wèn)的系統(tǒng)。因此，系統(tǒng)安全設(shè)計(jì)的原則是使非法入侵的代價(jià)超過(guò)受保護(hù)信息的價(jià)值。目前，侵入者已無(wú)法再獲利了。

       安全測(cè)試用于驗(yàn)證系統(tǒng)中集成的保護(hù)機(jī)制是否可以在實(shí)踐中保護(hù)系統(tǒng)免受非法入侵。俗話說(shuō)：“系統(tǒng)的安全性當(dāng)然必須能夠抵御正面攻擊，但也必須能夠抵御側(cè)面和背面的攻擊。”

       在安全測(cè)試期間，測(cè)試人員扮演個(gè)人角色，試圖攻擊系統(tǒng)。測(cè)試人員可以嘗試通過(guò)外部手段獲取系統(tǒng)密碼，并可以使用可能破壞任何防御措施的客戶(hù)端軟件來(lái)攻擊系統(tǒng)；該系統(tǒng)可以被“制服”，以使其他人無(wú)法訪問(wèn)它；它可能有目的地導(dǎo)致系統(tǒng)錯(cuò)誤。在系統(tǒng)恢復(fù)期間入侵系統(tǒng)；您可以通過(guò)瀏覽非機(jī)密數(shù)據(jù)等找到進(jìn)入系統(tǒng)的密鑰。

        只要有足夠的時(shí)間和資源，良好的安全測(cè)試最終就會(huì)入侵系統(tǒng)。系統(tǒng)設(shè)計(jì)者的任務(wù)是設(shè)計(jì)系統(tǒng)，以使破壞系統(tǒng)的成本大于破壞系統(tǒng)后獲得的信息的價(jià)值。