[发明专利]一种基于开放式系统互联参考模型的系统安全测试方法

说明书

本发明公开一种基于开放式系统互联参考模型的系统安全测试方法,涉及网络与软件层面的七层模型，根据互联参考模型的七个层次，设置出各个层次的安全测试用例通用基础库，并从其他角度如开发技术、中间件、业界常见漏洞库等定义出扩展库，同时将软件的安全需求转换为安全用例库；基于上述通用基础库、扩展库以及安全用例库，组合形成安全测试的可执行用例库，然后根据所述可执行用例库，再结合时间、人员计划，形成安全测试方案。本发明解决了目前各种系统通用的安全测试性用例提取的困难，为设计安全测试用例提供了可依靠的模板；系统从需求到用例，再到自动形成测试方案，极大提高了测试效率，提高了软件的安全质量。

技术领域

本发明涉及网络与软件层面的七层模型，具体的说是一种基于开放式系统互联参考模型的系统安全测试方法。

背景技术

开放式系统互联参考七层模型采用了分层的框架性结构化技术，这个模型把系统的通信功能划分为七个层次，从邻接物理媒体的层次开始，分别赋于1，2，……7层的顺序编号，相应地称之为物理层、数据链路层、网络层、运输层、会话层、表示层和应用层，每一层的功能是独立的。每一层利用其下一层提供的服务并为其上一层提供服务，而与其他层的具体实现无关。这里所谓的“服务”就是下一层向上一层提供的通信功能和层之间的会话规定，一般用通信原语实现。两个开放系统中的同等层之间的通信规则和约定称之为协议。通常把1～4层协议称为下层协议，5～7层协议称为上层协议。

互联参考七层模型是一种异构系统互连的分层结构；提供了控制互连系统交互规则的标准骨架；不同系统中相同层的实体为同等层实体；同等层实体之间通信由该层的协议管理；相同层间的接口定义了原语操作和低层向上层提供的服务；所提供的公共服务是面向连接的或无连接的数据服务；直接的数据传送仅在最低层实现；每层完成所定义的功能，修改本层的功能并不影响其他层。

目前针对系统的安全测试方法比较缺少，都是针对某一个威胁的测试方法。开放式系统互联参考七层模型能够解决异种网络互连时所遇到的兼容性问题,其最主要的功能使就是帮助不同类型的主机实现数据传输。鉴于现在系统应用的安全性要求越来越高，本发明建立一种基于开放式系统互联参考模型的系统安全测试方法。

发明内容

本发明针对目前需求以及现有技术发展的不足之处，提供一种基于开放式系统互联参考模型的系统安全测试方法。

本发明所述一种基于开放式系统互联参考模型的系统安全测试方法，解决上述技术问题采用的技术方案如下：所述基于开放式系统互联参考模型的系统安全测试方法, 根据互联参考模型的七个层次，设置出各个层次的安全测试用例通用基础库，并从其他角度如开发技术、中间件、业界常见漏洞库等定义出扩展库，同时将软件的安全需求转换为安全测试需求的安全用例库；基于上述通用基础库、扩展库以及安全用例库，组合形成安全测试的可执行用例库，然后根据所述可执行用例库，再结合时间、人员计划，形成安全测试方案。

优选的，系统对应互联参考模型中每层的内容抽取转化，从通用基础库中选择适应的用例集合A。

优选的，该系统的OWASP,CWE漏洞库、中间件的漏洞库进行入手分析，从扩展库中抽取满足安全需求的用例，形成用例集合B。

优选的，将用例集合A和B合并形成通用安全测试用例库。

优选的，将通用安全测试用例库中用例与安全用例库进行匹配，筛选出可执行用例。