基金网上交易系统是一种非常重要的应用系统，为保护用户信息和资金数据，必须大力提高系统的安全性能。安全性测试是提高系统安全性的一种有效手段，本文旨在对安全性测试的关注点和实施活动进行探讨，从而能够使安全性测试更加合理和有效。

　　在软件测试领域，安全性测试一直处于一个比较尴尬的位置。不管是客户提出的软件需求，还是开发团队执行的设计开发，几乎都是对软件的功能实现比较看重，往往忽略软件自身的安全能力是否得到了足够的保证。对于很多不太重要的软件系统而言，关注功能而忽视安全其实无可厚非，但是对于基金网上交易系统这样的重要应用，系统中执行的几乎都是直接涉及用户信息、账户资金等敏感信息的操作，所以在建设基金网上交易系统的时候，必须将安全性建设提高到与功能实现同等重要的地位，在开发业务所需的基本功能的过程中，同步构建应用系统的整体安全能力。本文即是与大家探讨，在构建安全的基金网上交易系统的过程中，应该怎么对系统进行安全性方面的测试。

　　1.明确安全性测试的关注点

　　对基金网上交易系统进行测试的主要目的是查找系统开发是否存在缺陷，其次是验证需求设计的功能组件是否被正确地实现。软件系统测试有多种方法，比较常用的有白盒测试、黑盒测试、单元测试、集成测试、压力测试等。而在安全性测试方面，需要考虑的内容通常有系统的安全审计功能、通信安全性、密码使用、对用户数据的保护、对用户的标识和鉴别、安全管理、数据安全保护、会话管理等方面。

　　安全审计包括识别、记录、存储和分析那些与安全相关活动有关的信息。安全审计应当能够对安全事件进行自动的识别和响应，包括实时事件报警、违例进程终止、服务强制中断、会话断开、账号冻结等。同时应对审计数据的存储和访问进行控制，如确定哪些角色可以访问哪些数据，从而避免审计数据导致的私密性受损。

　　通信安全性主要关注通信过程的不可抵赖性，包括原发抗抵赖和接收抗抵赖。原发抗抵赖是指信息的发送者不能否认其是否发送了信息，接收抗抵赖是指信息的接收者无法否认其是否接收了信息。

　　在密码使用方面，主要关注密钥管理和密码运算过程。对密钥的安全管理需要全面考虑密钥的整个生命周期，包括产生、分发、存取和销毁等环节。密码运算过程是指应用系统应采用安全强度足够的密码算法和密钥长度，并且良好的实现密码运算功能。

　　对用户数据的保护涉及内容比较多，包括访问控制策略的确立和控制，对重要数据进行加密和数字签名，对数据进行分类分级从而防止非法信息流动，确保删除后的残余信息不包含敏感内容等方面。由于基金交易行为与账户资金等敏感信息直接相关，必须对重要数据做出严格控制，限制其可流动的系统范围。

　　对用户的标识和鉴别是指对授权用户进行明确的标识，同时根据标识信息可以迅速准确地判断用户是否是其所声称的身份。对基金交易系统来说，对用户的身份认证非常重要，特别是在难以实施多因素认证的情况下，必须尽量提高单因素认证手段的安全性和有效性，以便确保基金交易指令来自于正确的用户个体。

　　安全管理是指系统中应该具有安全管理功能，有完善的机制对关键角色进行授权，使其能够对系统中的各种安全属性进行编辑和控制，如确定用户角色权限、更改系统安全参数、管理审计数据等。

　　数据安全保护包括数据传输过程的保密性和完整性，数据复制前后的一致性，以及数据丢失后的可信恢复。对基金交易系统来说，应合理利用数据加密、编码、备份、检查等手段确保数据信息的安全性，防止因数据泄露、数据篡改、数据丢失等问题带来的业务安全风险。

　　一个用户会话实际上是一个周期，当用户与系统之间进行交互时即开始，完成标识和鉴别工作后，执行相关指令操作，当所有与会话相关的资源和属性都被撤销时，会话即宣告终止。对用户会话的管理包括会话历史记录、会话连接数限制、锁定或关闭长时间无活动的会话等内容。

　　2.安全性测试的执行和管理

　　编写测试用例是测试工作中的一项重要内容，优秀的用例设计可以让测试团队投入最少的资源，在最短的时间内完成测试工作，并准确发现软件系统具有的缺陷。对基金网上交易系统来说，由于系统目标是为基金业务服务，所以其安全测试用例的编写除了考虑常规的系统环境因素，还应对业务逻辑进行适当的考虑，设计良好的测试场景。

　　用例的编写应当目的明确，内容清晰简洁，格式整齐规范，最大程度的覆盖测试对象，方便对测试数据进行管理，减少回归测试的复杂程度，提高工作效率。同时应建立良好的用例和缺陷跟踪机制，确保每一条用例都得到了良好的执行和反馈，确保每一个缺陷都进行了相应的处理。

　　由于基金网上交易系统测试工作的重要性和独特性，可以将系统的测试工作作为一个单独的项目来看待，于是我们需要考虑项目实施过程中的管理要求，包括项目进度管理、项目风险管理、项目质量管理、项目配置管理、项目沟通管理等。很多测试项目都是由于忽视了项目管理的重要性，所以引发了各种本可避免的实施问题。一种比较常见的情况是，测试人员在使用测试账号进行一个测试操作，但与此同时，开发人员正在修改某个数据表，于是测试人员发现操作指令不能正常执行。假如测试人员和开发人员之间有良好的沟通机制，这种情况就可以避免。

　　除了以上测试方法，还有一种安全测试手段可以非常有效地指出基金交易系统的安全漏洞，那就是渗透性测试。渗透性测试是指由专业的安全专家模拟黑客的入侵手段，对基金网上交易系统进行渗透，从而非常直观地发现测试对象具有什么样的安全隐患。目前有很多专业安全厂商可以提供渗透测试服务，如启明星辰等。渗透性测试与真实黑客入侵的区别之处在于，黑客的行为无所顾忌，而渗透测试过程将会主动避免可能会带来破坏的动作。

　　启明星辰作为国内信息安全领域的领航企业，多年来在安全产品、安全解决方案和专业安全服务方面有大量的项目经验和研究积累，至今已经在全球率先发现了多达70余个漏洞，发现漏洞数量在整个亚洲居于首位，已经成为国内最具技术创新和产品开发实力的领导厂商之一。在渗透测试服务领域，启明星辰拥有大量银行、保险、证券、基金等行业内标杆企业的成功案例，在很大程度上反映出了启明星辰的技术实力，也为各金融行业客户奠定了良好的诚信基础。
来源：太平洋电脑网