安全测试中如何实现对资源控制

  • A+
所属分类:网络安全

有一个电子政务系统要求做三级安全测试,测试有一项要求是 资源控制。
检测要求如下:
1、当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;
2、应能够对系统的最大并发会话连接数进行限制;
3、应能够对单个帐户的多重并发会话进行限制;
4、应能够对一个时间段内可能的并发会话连接数进行限制;
5、应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额;
6、应能够对系统服务水平降低到预先规定的最小值进行检测和报警;
7、应提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。

电子政务系统采用Struts+spring+hibernate架构开发,运行在Tomcat6上,操作系统是windows2003 server。
对于测试要求1、2、3可以通过配置tomcat与软件实现容易做到,而对于后面几条怎么实现?望大家给个方案。感激不尽!

1.

使用测试软件loadrunner或Jmeter + Jprofiler可以测试,基本使用对象池Pool 以及EJB 有态bean类似的机制来控制,具体可参考本站相关标签下讨论

2.

4、应能够对一个时间段内可能的并发会话连接数进行限制;
5、应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额;
6、应能够对系统服务水平降低到预先规定的最小值进行检测和报警;
7、应提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。

这几个问题都涉及到了系统分析的层面,也就是说当前的系统需要提供什么级别的资源管理能力,需要管理什么样的资源。这样的分析需要严格依赖于客户的业务过程。

4/5/7涉及到了对于帐户的资源管理,这样需要系统提供一个面向使用者的资源管理系统。(实际一点的例子是windows中的NTFS分区支持面向账号的容量管理。)接下来需要划分所需管理的资源类型和特征,完成抽象后可以了解怎样的管理方式是适用于当前业务过程的。然后才能开始进行系统中资源管理和分配相关部分的设计工作。

6,是将运行系统本身当作了一个“客户”进行资源管理,这其中至少涉及到了2部分相关内容:运行系统本身、运行环境(不仅限于操作系统,如果对于Java那么JVM的可用内存是有限的)。此时需要站在系统级别机型考虑(可以适当的脱离具体业务过程),运行所需要的资源与当前全部可分配资源间的关系。

以上是一些最基本需要考虑的内容,更为详细的在这种方式下很难说的清楚了。

另外说起来lz的这段描述只能是最初的功能需求描述,如果没有具体的指标则无法提供进行测试用例的考量

3.

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: