0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

临时测试或认证哪个安全性更好?

杨万富 来源:胡扯123 作者:胡扯123 2022-07-20 15:49 次阅读

有多种方法可以确定 IT 系统的安全性,目的是通过适当的措施提高它们的安全性。所谓的 ad-hoc 安全测试被广泛用于评估。这意味着人们研究程序的源代码及其文档,以便在此知识的基础上专门搜索弱点。黑客马拉松是一个奇怪的特点。这些是试图找出设备或软件中的弱点的竞赛。一个突出的例子是专门针对惠普手持式 Palm V 的黑客马拉松。

Ad hoc 安全测试可提供快速结果,并且通常会发现软件中的弱点。然而,软件在安全性方面开发得越仔细,测试人员就越难发现漏洞。Ad-hoc 安全测试是一种合适的方法,可以快速发现攻击者可以轻松识别的漏洞,然后对其进行补救。

该程序相对便宜,但从 IT 安全的角度来看,它有其自身的弱点,因为缺乏像通用标准(CC) 那样的系统安全审查方法可能会忽略一些可能的攻击。可以忽略的向量包括微架构侧信道攻击,例如 Spectre 和 Meltdown。

临时安全测试的质量在很大程度上取决于测试实验室测试人员的技能。他们训练得越好,知识越丰富,经验越丰富,他们就越有可能认识到软件的弱点并制定出成功的攻击向量。

另一方面,安全认证(例如,根据通用标准)是一个程序,不仅包括临时安全测试,还包括系统安全审查方法。独立专家参与认证过程,该过程控制结果并使用有据可查的方法接受或拒绝它们。如果结果不充分,可以进行改进,如果升级,也可以拒绝认证。

在认证过程的开始,客户、支持客户认证工作的测试实验室和独立的认证机构就认证什么、实现什么以及如何实施达成一致。为此创建了一个特殊文档,即所谓的安全目标(ST)。ST 是此程序的基础,并确保评估的产品和相关的安全问题定义得到明确定义,并且派生的功能和保证安全要求以通用标准语言表达,从赞助商和开发人员到评估者和认证机构的所有各方明白无误。

此过程要复杂得多且昂贵得多,但也提供了更多实际保护。通过这种方式,安全专家追求的目标是找到软件中的每一个弱点。这种漏洞搜索具有很强的优势:可以在产品生命周期的早期发现源代码中的问题结构并永久纠正。

因此,虽然临时测试有助于快速评估明显的攻击潜力,但认证追求的是长期、全面的承诺,以提高软件的架构安全性。在 ad-hoc 测试期间发现的弱点也在安全认证期间发现,但最重要的是在 ad-hoc 测试期间可以忽略的弱点。这种使软件安全的有条不紊的方法大大减少了无法修复的软件架构的可能性。

在 CC 认证过程的最后阶段,评估人员通过渗透测试进行彻底的漏洞分析,这与临时安全方法非常相似,但基于在早期阶段收集的有关产品的所有知识。评估(生产规范和文档审查,可追溯至代码、安全要求的功能测试等)。


审核编辑 黄昊宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 测试
    +关注

    关注

    8

    文章

    5068

    浏览量

    126288
  • 安全认证
    +关注

    关注

    0

    文章

    29

    浏览量

    10749
  • IT
    IT
    +关注

    关注

    2

    文章

    843

    浏览量

    63432
  • 工业安全
    +关注

    关注

    0

    文章

    29

    浏览量

    9804
收藏 人收藏

    评论

    相关推荐

    socket编程的安全性考虑

    在Socket编程中,安全性是一个至关重要的考虑因素。以下是一些关键的安全性考虑和措施: 1. 数据加密 使用TLS/SSL协议 :TLS/SSL(传输层安全性/安全套接层)是网络
    的头像 发表于 11-01 16:46 109次阅读

    深圳南柯电子 大功率电源EMC测试整改实验室:确保设备的安全性

    深圳南柯电子|大功率电源EMC测试整改实验室:确保设备的安全性
    的头像 发表于 10-30 14:38 94次阅读
    深圳南柯电子 大功率电源EMC<b class='flag-5'>测试</b>整改实验室:确保设备的<b class='flag-5'>安全性</b>

    智能系统的安全性分析

    )和非对称加密(如RSA)等技术,确保数据在存储和传输过程中的机密。 加密算法应经过广泛验证和测试,以确保其安全性和可靠。 数据完整
    的头像 发表于 10-29 09:56 122次阅读

    UPS电源的安全性和可靠分析

    随着信息技术的飞速发展,数据和信息已成为现代社会的重要资产。因此,确保数据的持续可用和完整变得至关重要。不间断电源(UPS)系统作为保护关键设备免受电力中断影响的重要手段,其安全性和可靠
    的头像 发表于 10-28 10:49 133次阅读

    云计算安全性如何保障

    云计算的安全性是一个复杂而多维的问题,涉及多个层面和多种技术手段。为了保障云计算的安全性,需要采取一系列综合措施,以下是具体的保障方法: 一、数据加密 数据加密是保护云计算安全性的核心手段之一
    的头像 发表于 10-24 09:14 137次阅读

    恒讯科技分析:IPSec与SSL/TLS相比,安全性如何?

    ,防止数据被窃听篡改。SSL/TLS更侧重于应用程序层的安全性,保护数据的机密和完整,通常位于传输层之上。2、兼容方面:SSL/TL
    的头像 发表于 10-23 15:08 178次阅读
    恒讯科技分析:IPSec与SSL/TLS相比,<b class='flag-5'>安全性</b>如何?

    固态电池安全性怎么样

    固态电池在安全性方面表现出显著的优势,这主要得益于其独特的固态电解质结构。以下是对固态电池安全性的详细分析:
    的头像 发表于 09-15 11:47 396次阅读

    国电西高产品助力电气安全性测试

    电气安全性测试主要有耐电压测试,绝缘电阻测试、接地电阻测试、漏电流测试等。这些
    的头像 发表于 08-20 19:30 594次阅读

    请问DM平台访问安全性如何控制?

    DM平台访问安全性如何控制?
    发表于 07-25 06:10

    蓝牙模块的安全性与隐私保护

    蓝牙模块作为现代无线通信的重要组成部分,在智能家居、可穿戴设备、健康监测等多个领域得到了广泛应用。然而,随着蓝牙技术的普及,其安全性和隐私保护问题也日益凸显。本文将探讨蓝牙模块在数
    的头像 发表于 06-14 16:06 451次阅读

    开关电源安全性测试项目有哪些?如何测试

    总结而言,通过对开关电源进行过压保护、过流保护、短路保护、绝缘电阻测试、高压测试以及温升测试等一系列全面的安全性检测,可以充分评估电源的可靠
    的头像 发表于 05-23 17:41 769次阅读
    开关电源<b class='flag-5'>安全性</b><b class='flag-5'>测试</b>项目有哪些?如何<b class='flag-5'>测试</b>?

    DC电源模块的安全性能评估与测试方法

    电压稳定性、输入电流范围、输入电流保护等方面的测试测试方法可以是逐步增加输入电压输入电流,观察模块的工作状态和保护功能。 2. 输出安全性测试
    的头像 发表于 03-08 11:15 590次阅读
    DC电源模块的<b class='flag-5'>安全性</b>能评估与<b class='flag-5'>测试</b>方法

    电流探头测试小技巧:提高准确安全性

    电流探头是一种常用的测试工具,用于测量电路中的电流。正确使用电流探头可以提高测试的准确,并确保操作的安全性。本文将介绍一些电流探头的测试
    的头像 发表于 03-08 09:31 302次阅读
    电流探头<b class='flag-5'>测试</b>小技巧:提高准确<b class='flag-5'>性</b>和<b class='flag-5'>安全性</b>

    润和软件与华为昇腾AI完成兼容测试认证

    近日,江苏润和软件股份有限公司(以下简称“润和软件”)基于大模型的AI智能中枢平台AIRUNS与华为昇腾通过相互兼容测试认证。经过严格的联合测试,润和软件AI智能中枢平台AIRUNS
    的头像 发表于 01-25 16:51 991次阅读

    DC电源模块的安全性能评估及认证标准

    IEC 60950-1(信息技术设备安全性通用要求)、IEC 62368-1(音视频和信息技术设备安全性通用要求)等。 2. 电气安全:DC电源模块的电气安全包括绝缘、耐电压、接地等方
    的头像 发表于 01-08 16:35 691次阅读
    DC电源模块的<b class='flag-5'>安全性</b>能评估及<b class='flag-5'>认证</b>标准