精华内容
下载资源
问答
  • 众所周知,TCP/IP协议以及基于TCP/IP的HTTP,FTP等都存在着不安全的问题,因此致力于提高改进这些协议的安全性,甚至创新的安全协议始终是人类,追求的目标,目前,安全协议利率和技术的研究主要包括协议的安全性分析...
    1. 安全体系结构与技术的研究-安全体系结构理论,主要研究如何利用形式化的数学描述和分析方法建立信息系统的安全体系结构模型。
    2. 安全协议理论与技术的研究-众所周知,TCP/IP协议以及基于TCP/IP的HTTP,FTP等都存在着不安全的问题,因此致力于提高改进这些协议的安全性,甚至创新的安全协议始终是人类,追求的目标,目前,安全协议利率和技术的研究主要包括协议的安全性分析方法,和各种使用安全协议设计与分析。协议的安全性分析方法主要有两类,一类是攻击检验法,通过使用各种有效攻击方法,逐一对使用安全协议的系统进行攻击,一检验安全协议抵抗攻击的能力,这种分析方法的难点在于攻击方法的设计和选择;另一类是形式化分析方法,系采用各种形式化的语言,或者模型,建立安全协议模型,并按照规定的建设和分析,验证方法等来证明协议的安全性,目前形式化分析方法是,安全性研究中的热点之一,但是就其实用性来说,还是没有什么突破性的进展,主要原因是协议安全性的行摄化过程比较困难。
    3. 信息系统安全监控与保护技术的研究-信息系统安全监控和保护技术,可以说是目前安全研究中,与实际结合最紧密的一个领域,也是一个热点领域,因为其研究成果可以立即与实际网络产品结合而产生经济效益,所以相关组织和企业,会不遗余力的投入,在此领域的研究主要包括安全整体解决方案,分析与设计,安全产品的研发等。
    4. 密码学及密码技术的研究-密码学是研究数据加密算法的一门学科,密码学及密码技术是保障信息安全系统最基本的技术手段。但是,随着计算机运算速度和生物识别理论的进步,各种敬语非数学计算的密码技术相继出现,如量子密码,混沌理论,DNA密码,以及基于特征识别的指纹,视网膜,面部特征,语音特征识别技术的等。
    5. 信息系统安全风险评估的研究-信息系统安全风险评估是风险评估理论在计算机信息系统安全领域的延伸,风险评估是计算机系统安全保证的关键技术,主要研究内容包括信息系统安全风险评估的理论框架和标准,以及模型技术和方法等。
    展开全文
  • 阿里云的云安全防护产品哪些?都有什么作用? 阿里云的云安全防护产品有以下产品,不同的云安全防护产品有不同的安全防护作用,分别详细介绍如下 (注:点击产品名称,可进入产品页购买或了解详情): DDoS...

    阿里云的云安全防护产品有哪些?都有什么作用?

     

    阿里云的云安全防护产品有以下产品,不同的云安全防护产品有不同的安全防护作用,分别详细介绍如下

    注:点击产品名称,可进入产品页购买或了解详情):

    • DDoS高防IP:针对互联网服务器(包括非阿里云主机)在遭受大流量DDoS攻击后导致服务不可用的情况下,推出的付费服务,用户可通过配置高防IP,将攻击流量引流到高防IP,确保源站的稳定可靠;
    • Web应用防火墙:对网站或者APP的业务流量进行恶意特征识别及防护,将正常、安全的流量回源到服务器。避免网站服务器被恶意入侵,保障业务的核心数据安全,解决因恶意攻击导致的服务器性能异常问题;
    • SSL证书在云上签发各品牌数字证书,实现网站HTTPS化,使网站可信,防劫持、防篡改、防监听、安全加密。统一生命周期管理,简化证书部署,一键分发到CDN、负载均衡、OSS等其它云上产品。
    • 实人认证依托活体检测、人脸比对等生物识别技术、证件 OCR 识别技术等进行的自然人真实身份的核验服务。
    • 堡垒机集中管理资产权限,全程记录操作数据,实时还原运维场景,助力企业用户构建云上统一、安全、高效运维通道;保障云端运维工作权限可管控、操作可审计、合规可遵从。
    • 渗透测试以攻击者思维,模拟黑客对业务系统进行全面深入的安全测试,帮助企业挖掘出正常业务流程中的安全缺陷和漏洞。助力企业先于黑客发现安全风险,防患于未然。
    • 数据库审计智能解析数据库通信流量,细粒度审计数据库访问行为,帮助企业精准识别、记录云上数据安全威胁,为云端数据库提供全方位的安全、诊断、维护及合规能力。
    • 爬虫风险管理专业检测高级爬虫,降低爬虫、自动化工具对网站的业务影响,提供对Web网页端/H5页面/APP/API全方位防护。主要防护场景:航空占座、电商黄牛、恶意撞库、核心接口被刷、刷票刷积分等。
    • 敏感数据保护敏感数据保护是一款发现,分类和保护敏感数据的阿里云安全服务。该服务从海量数据中自动发现,记录并分析敏感数据的使用情况,及时发现数据使用是否存在安全违规并对其进行风险预警,帮助用户防止数据泄露和满足GDPR等合规要求。
    • 游戏盾革命性网络安全产品,精准定位黑客并完成风险隔离,彻底解决APP类业务的DDoS/CC攻击问题!
    • 云安全中心(态势感知)云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统,通过防勒索、防病毒、防篡改、合规检查等安全能力,帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环,保护云上资产和本地主机并满足监管合规要求。
    • 内容安全内容安全基于深度学习技术, 提供图片、视频、语音、文字等多媒体的内容风险智能识别服务,不仅能帮助用户降低色情、暴恐、涉政等违规风险,而且能大幅度降低人工审核成本。
    • 风险识别基于大数据、流式计算、机器学习算法,为客户提供决策引擎平台、风险识别API、专家定制建模等多维风控服务,一站式解决企业在用户注册、运营活动、交易、信贷审核等关键业务中所遇到的欺诈问题。
    • 安全管家阿里云安全管家服务是阿里云安全专家基于阿里云多年安全最佳实践经验为云上用户提供的全方位安全技术和咨询服务,为云上用户建立和持续优化云安全防御体系,保障用户业务安全。
    • 云防火墙集中管理公网IP的访问策略,内置威胁入侵防御模块(IPS),支持失陷主机检测、主动外联行为的阻断、业务间访问关系可视,留存6个月网络流量日志,等保必备。
    • 漏洞扫描以企业IT资产为核心,提供全面、快速、精准的漏洞扫描及风险监测服务,帮助企业持续地发现暴露在互联网边界上的常见安全风险。
    • 加密服务加密服务基于国家密码局认证的硬件加密机,提供了云上数据加解密解决方案,用户能够对密钥进行安全可靠的管理,也能使用多种加密算法来对云上业务的数据进行可靠的加解密运算
    • 访问控制RAM 使您能够安全地集中管理对阿里云服务和资源的访问。您可以使用 RAM 创建和管理用户和组,并使用各种权限来允许或拒绝他们对云资源的访问。
    展开全文
  • 华为产品安全基线

    千次阅读 2019-07-27 18:10:39
    一、敏感信息安全传输 1、采用HTTPS安全协议传输 2、客户端本地保存的敏感信息,需要先加密再保存使用,不可逆支持PBKDF2(迭代10000次)加密保存,可逆支持AES256+IV保存,密钥支持可更新 二、认证鉴权 1、...

    在这里插入图片描述

    一、敏感信息安全传输

    1、采用HTTPS安全协议传输
    2、客户端本地保存的敏感信息,需要先加密再保存使用,不可逆支持PBKDF2(迭代10000次)加密保存,可逆支持AES256+IV保存,密钥支持可更新
    

    二、认证鉴权

    1、License中心与分析节点分布式部署,需要做用户名+口令安全认证,支持使用HTTPS安全协议。
    
    
    2、客户端登录支持防暴力破解,支持验证码,多次连续尝试登陆失败后锁定账号或IP
    
    3、用户口令符合安全复杂度要求
    
    4、机机接口支持口令修改
    

    三、协议与接口防攻击

    1、系统所有的对外通信连接必须是系统运行和维护必需的,对使用到的通信端口在产品通信矩阵文档中说明,动态侦听端口必须限定确定的合理的范围。通过端口扫描工具验证,未在通信矩阵中列出的端口必须关闭。
    

    四、产品开发、发布和安装安全

      1、禁止存在任何“未公开接口”  
    
    
       1) 禁止存在可绕过系统安全机制(认证、权限控制、日志记录)对系统或数据进行访问的功能。 
    
                          a) 禁止隐秘访问方式:包括隐藏账号、隐藏口令、无鉴权的隐藏模式命令/参数、隐藏组合键访问方式;隐藏的协议/端口/服务;隐藏的生产命令/端口、调测命令/端口;不记录日志的非查询操作等。                            
    
                           b) 禁止不可管理的认证/访问方式:包括用户不可管理的帐号,人机接口以及可远程访问的机机接口的硬编码口令,不经认证直接访问系统的接口等。
    
       2) 未文档化的命令/参数、端口等接入方式(包括但不限于产品的生产、调测、维护用途),需通过产品资料等向运营商或监管机构公开或受限公开。
    

    五、Web系统安全

    1、口令不允许明文存储在系统中,应该加密保护。在不需要还原口令的场景,必须使用不可逆算法加密。对银行账号等敏感数据的访问要有认证、授权和加密机制。
    
    
    2、禁止使用私有加密算法。
    
    3、用于敏感数据传输加密的密钥,不能硬编码在代码中。
    
    4、涉及个人数据的采集/处理的功能须提供安全保护机制(如认证、权限控制、日志记录等),并通过产品资料向客户公开。
    

    六、系统管理和维护安全

    1、系统自身操作维护类口令满足 “口令安全要求”。
    

    七、WEB安全

    1、产品对于每一个需要授权访问的请求都需核实用户的会话标识是否合法、用户是否被授权执行此操作。
    
            说明:
            1)请求是否需要鉴权,由产品根据具体业务需要以及安全风险确定。
    
            2)对于图标、CSS文件、静态页面或JavaScript等,如果公开后没有安全风险,不强制认证鉴权。
    
    2、对用户的最终认证处理过程必须在服务器端进行。
    
    3、使用Appscan工具扫描,扫描结果应进行分析处理,与XSS、SQL注入和命令注入漏洞相关的告警(告警描述中有相应描述),如果确认是问题的,都必须在版本发布前得到解决。
    
    4、若输出到客户端或者解释器的数据来自不可信的数据源,则须对该数据进行相应的编码或转义。
    
    说明:产品根据实际输出的目标位置,使用ESAPI或Web安全框架中提供的相应的编码接口对不可信数据进行编码。如自己实现,至少确保对&、<、>、"、'、(、)七种特殊字符进行编码。
    
    5、使用公司指定的Web漏洞扫描工具AppScan对产品Web应用和Web服务器进行扫描测试,(测试应使用当时最新的漏洞库、配置所有漏洞相关插件)。 
    扫描结果应进行分析处理,确认漏洞的实际风险级别,其中高风险级别的必须在版本发布前得到解决(如修改、补丁安装、有效规避并在资料中提示风险),中低风险级别的若当前版本确实无法解决的,必须给出分析结论并明确后续解决版本。
    
    6、Web应用程序使用业界主流的web容器(Apache、Tomcat、jboss、weblogic、nginx、jetty、resin、websphere、IIS)的会话标识生成机制生成会话标识。
    
    7、用户登陆认证通过后必须更换会话标识,以防止会话固定(session fixation)漏洞。
    
    8、产品的Web应用如果提供上传文件到Web内容目录的功能,必须在服务端对上传的文件类型进行限制(基于白名单机制对文件扩展名进行限制),仅允许上传业务允许的文件类型。
    
    说明:Web内容目录是指通过Web可以直接浏览、访问的目录。
    

    八、漏洞扫描

    1.产品自研代码使用Coverity代码静态检查工具进行扫描,并对扫描的告警进行分析,确认告警的实际风险等级,对于实际风险为“高”的漏洞(CVSS 7分及以上),必须进行解决或规避。
    
    
    2. 通过华为应用商店发布的应用软件需在所运行的平台上经过公司要求的安全软件进行扫描,不允许存在病毒、木马、恶意程序。
    
    在公司VMP自动化病毒扫描部署以前,各平台按照以下要求实施:
    
        1)Windows平台公司要求使用MacAfee和Norton 进行扫描。
    
        2)Linux平台如不涉及安装应用软件,暂不要求。
    
    3、对于通过华为应用商店发布的移动应用(Mobile app),禁止存在病毒、木马,以及发送恶意广告、吸费、恶意消耗流量的行为。
    

    九、合法监听接口

    1、合法监听接口应遵循通用的国际标准。如果少数国家对此标准有特殊要求时,应严格限制该产品只能在该国销售或应用。如果我司被要求不能提供合法监听接口时,必须从产品和解决方案中删除此接口,确保现网设备无法通过任何形式启用
    
    
    2、系统中和合法监听相关的接口禁止存在合法监听网关正常接口之外的任何其它调用方式,包括命令、脚本、调试接口等。确保产品和解决方案的合法监听接口的安全性,防止被盗用、误用或滥用,防止被监听对象以及任何未经授权的第三方感知,防止相关信息或内容被泄露。
    
    3、在正常业务流程和标准协议之外,禁止提供可在最终用户不知情同意的情况下,采集最终用户原始通信内容(语音类、短信/彩信类、传真类、数据业务类)的功能,即使该功能是为了保障网络运营和服务。
    
    特定国家法律不禁止的情况下,可以对销售往该国的产品定制开发。
    

    十、隐私保护

    1、涉及个人数据的采集/处理的功能须提供安全保护机制(如认证、权限控制、日志记录等),并通过产品资料向客户公开。
    
    
    2、对于移动终端,通过网络对个人数据进行采集/共享/同步的功能须得到最终用户的明确同意,同时给予最终用户随时撤回同意的机会。
    
    3、禁止将个人数据转移出EEA,产品出于定位问题目的从客户网络导出的包含个人数据的数据时应对个人数据进行过滤或匿名化处理
    
    4、在正常业务流程和标准协议之外,禁止出于故障定位目的进行用户精确位置信息定位。在运营商提供增值服务时,如需处理用户精确位置数据,应获得运营商的授权,并在方案设计时,给予最终用户随时撤回同意的机会。
    
    特定国家法律不禁止的情况下,可以对销售往该国的产品定制开发。
    
    5、涉及个人数据的采集/处理的功能须提供安全保护机制(如认证、权限控制、日志记录等),并通过产品资料向客户公开。
    

    十一、未公开接口

    1、禁止存在任何“未公开接口”:
    
    
        1)禁止存在可绕过系统安全机制(认证、权限控制、日志记录)对系统或数据进行访问的功能。
    
            • 禁止隐秘访问方式:包括隐藏账号、隐藏口令、无鉴权的隐藏模式命令/参数、隐藏组合键访问方式;隐藏的协议/端口/服务;隐藏的生产命令/端口、调测命令/端口
    
            • 禁止不可管理的认证/访问方式:包括用户不可管理的帐号,人机接口以及可远程访问的机机接口的硬编码口令。
    
        2)未文档化的命令/参数、端口等接入方式(包括但不限于产品的生产、调测、维护用途),需通过产品资料等对客户公开或受限公开。
    

    十二、访问通道控制

    1、系统支持无法从用户面直接登录连接管理接口(不支持独立的管理IP地址的产品除外)。
    
    
    2、系统所有的对外通信连接必须是系统运行和维护必需的,对使用到的通信端口在产品通信矩阵文档中说明,动态侦听端口必须限定确定的合理的范围。通过端口扫描工具验证,未在通信矩阵中列出的端口必须关闭。
    
    3、所有能对系统进行管理的人机接口以及跨信任网络的机机接口必须有接入认证机制,标准协议没有认证机制的除外。
    
    4、设备外部可见的能对系统进行管理的物理接口必须有接入认证机制。
    

    十三、软件完整性保护

    1、在软件包(含补丁包)发布前,需要经过至少二款防病毒软件扫描,保证防病毒软件不产生告警,特殊情况下对告警作出解释说明。扫描记录(防病毒软件名称、软件版本、病毒库版本、扫描时间、扫描结果等)存档并随软件包(含补丁包)发布给客户。
    
    
    2、产品对外发布的软件(包含软件包/补丁包)必须提供完整性校验机制,在安装、升级过程中对软件进行完整性验证。
    

    十四、敏感数据与加密保护

    1、认证凭据不允许明文存储在系统中,应该加密保护。
    
    2、禁止使用私有加密算法。
    
    3、用于敏感数据传输加密的密钥,不能硬编码在代码中。
    

    十五、日志审计

    1、管理面所有对系统产生影响的用户活动、操作指令必须记录日志,日志内容要能支撑事后的审计,记录包括用户ID、时间、事件类型、被访问资源的名称、访问发起端地址或标识、访问结果等;日志要有访问控制,只有管理员才能有删除权限。
    
    
    1)用户活动包括:
    
           (1)登录和注销;
    
           (2)增加、删除用户和用户属性(帐号、口令等)的变更;
    
           (3)用户的锁定和解锁,禁用和恢复;
    
           (4)角色权限变更;
    
           (5)系统相关安全配置(如安全日志内容配置)的变更;
    
           (6)重要资源的变更,如某个重要文件的删除、修改等。
    

    2)操作指令包括:

           (1)对系统配置参数的修改;
    
           (2)对系统进行启动、关闭、重启、暂停、恢复、倒换;
    
           (3)对业务的加载、卸载;
    
           (4)软件的升级操作,包括远程升级和本地升级;
    
           (5)对重要业务数据(特别是与财务相关的数据,包括:卡号、余额、话单、费率、费用、订单、出货、帐单等)的创建、删除、修改;
    
           6)所有帐户的命令行非查询操作命令。
    
    上述活动和指令,如果第三方OS/DB不支持记录日志或者启用记录存在严重性能影响,不强制缺省启用。
    

    十六、权限最小化

    1、检查提供的进程是否支持非root账号运行
    

    十七、口令要求

    1、设置口令时,默认检测口令复杂度:
    
    
    系统默认检测口令复杂度,口令至少满足如下要求:
    
        1)口令长度至少6个字符;
    
        2)口令必须包含如下至少两种字符的组合:
    
              -至少一个小写字母;
    
              -至少一个大写字母;
    
              -至少一个数字;
    
              -至少一个特殊字符:`~!@#$%^&*()-_=+\|[{}];:'",<.>/?  和空格
    

    在这里插入图片描述

    展开全文
  • 文章目录系统测试概述功能测试性能测试负载测试压力测试性能测试、压力测试、负载测试的关系兼容性测试安全测试健壮性测试配置测试可用性测试文档测试 系统测试概述 系统测试的定义 将已经集成好的软件系统,作为...

    系统测试概述

    • 系统测试的定义
      • 将已经集成好的软件系统,作为整个计算机系统的一个元素,与计算机硬件、外设、某些支持软件、数据和人员等其它系统元素结合在一起,在实际运行(使用)环境下, - 对计算机系统进行一系列测试活动。
    • 根本任务
      • 证明被测系统的功能和结构的稳定性;还要有一些非功能测试:性能测试、压力测试、可靠性测试等等。
    • 目的
      • 确保软件产品能够被用户或操作者接受。
    • 系统测试属于黑盒测试范畴,不再对软件的源代码进行分析和测试。
    • 系统测试的组织
      • 系统测试主要是由质量部门的测试工程师来主导工作。
        • 测试组组长:组织测试;
        • 测试分析员:负责设计和实现测试脚本和测试用例;
        • 测试者:负责执行测试脚本中记录的测试用例。
      • 系统测试员和用户
        • 相似的地方
          • 都是使用软件,一般不接触软件的代码
          • 都是假设软件应该正确实现说明书的功能
        • 不同的地方
          • 使用软件的目的
          • 对待错误
    • 系统测试的内容
      • 功能特性的测试:功能测试、用户界面测试、安装/卸载测试、可使用性测试。
      • 非功能特性的测试:性能测试、负载测试、压力测试、疲劳测试、安全测试、恢复测试、兼容性测试、可靠性测试、强度测试、容量测试、配置测试。

    功能测试

    功能测试(Functional Test)是在规定的一段时间内运行软件系统的所有功能,以验证这个软件系统有无严重错误。

    • 目标
      • 检验产品功能是否正确实现
    • 内容
      • 正常功能、异常功能、边界测试、界面测试、接口测试、安全测试、错误处理测试等。
    • 依据
      • 需求规格说明书
    • 方法
      • 黑盒测试
        在这里插入图片描述

    性能测试

    性能测试(Performance Testing)通过自动化的测试工具模拟多种正常、峰值以及异常负载条件来对系统的各项性能指标进行测试。

    • 目标
      • 对产品的性能进行测试,检验是否达标、是否能够保持。
    • 工具
      • 在需要大访问量时候尤其需要使用工具。
      • 并发性能测试工具 (load—负载)
        • LoadRunner、 QALoad、 SilkPerformer、 WebLoad
    • 用户视角的软件性能
      • 从用户角度来说,软件性能就是软件对用户操作的响应时间。
    • 系统管理员视角的软件性能
      • 系统的响应时间;
      • 系统运行时服务器的状态,如CPU利用情况、内存使用情况等;
      • 系统是否能够实现扩展;
      • 系统支持多少用户访问;
      • 系统性能可能的瓶颈在哪里;
      • 系统是否支持7*24小时的业务访问。
    • 软件性能指标
      • 并发用户
        • 一给定时间内,某个时刻与服务器同时进行会话操作的用户数。
      • 响应时间
        • 客户端发出请求到得到服务器返回结果的整个过程所经历的时间。
      • 吞吐量
        • 单位时间内系统处理的客户请求的数量
        • 一般来说,吞吐量用请求数/秒或页面数/秒来衡量。
        • 从业务的角度,吞吐量也可以用访问人数/天或处理的业务数/小时等单位来衡量。
        • 从网络的角度来说,也可以用字节数/天等单位来考察网络流量。
      • 资源利用率
        • 指系统资源的使用程度,比如服务器的CPU利用率、内存利用率、磁盘利用率、网络带宽利用率等。
    • 软件性能要素
      • 环境要素
        • 软件、硬件、网络
      • 业务要素
        • 用户数、执行功能、数据量
      • 在使用性能指标描述软件的性能特征时,应该给出明确的软件性能要素,否则,所给出的性能指标无法参考。
    • 性能测试用例的设计:主要是通过改变模拟的业务因素来测试软件的性能。
      • 并发用户数
        • 精算法
          在这里插入图片描述
        • 估算法
          在这里插入图片描述
        • 经验值
          • 对于一些系统,可以通过同类软件系统的用户数据来估算,这种估算可以通过类似系统的日志分析和问卷调查来进行。
      • 吞吐量
      • 基于业务的设计

    负载测试

    • 定义
      • 数据在超负荷环境下运行,测试软件系统是否能够承担。这种超负荷主要指多并发用户。
    • 方法
      • 人为生成大数据量,并利用工具模拟频繁并发访问
    • 工具
      • 一般需要使用自动化工具
    • 考察指标
      • 响应时间、交易容量、资源使用率等

    压力测试

    • 定义
      • 指系统不断施加越来越大的负载(并发,循环操作,多用户,网络流量)的测试。
    • 目标
      • 通过确定一个系统的瓶颈或者不能接收的性能点,来确定系统能提供的最大服务级别的测试。

    性能测试、压力测试、负载测试的关系

    • 性能测试是正常情况下的性能指标;
    • 压力测试是测试系统的瓶颈所在;
    • 负载测试是指系统重负荷性能指标;
    • 性能测试、压力测试、负载测试在广义上讲都是性能测试的内容,建议将三种测试结合起来并行进行。

    兼容性测试

    • 定义
      • 测试软件在一个特定的硬件、软件、操作系统、网络等环境下系统能否正常运行。
    • 目的
      • 检验被测软件对其他应用软件或者其他系统的兼容性。

    安全测试

    • 定义
      • 安全测试检测系统对非法入侵的防范能力。
    • 应用程序级别的安全性测试
    • 数据库安全性测试
    • 系统级别的安全性测试

    健壮性测试

    • 定义
      • 又称为容错测试。主要检查系统容错能力。当系统出错时,能否在指定的时间间隔内修正错误并重启系统。
    • 方法
      • 容错测试首先要通过各种手段让软件系统强制发生故障,然后验证系统能否快速恢复。

    配置测试

    • 定义
      • 配置测试将验证软件与其所依赖硬件环境的依赖程度。
    • 测试中的硬件环境指进行测试所必需的服务器、客户端、网络连接设备,以及打印机、扫描仪等辅助硬件设备所构成的环境。
    • 所有软件都需向用户说明其运行的硬件环境,对于多层结构的软件系统来说,需要分别说明其服务器、客户端以及网络所需的环境。

    可用性测试

    可用性测试是面向用户的系统测试。让一群有代表性的用户尝试对产品进行典型操作,- - 同时观察员和开发人员在一旁观察,聆听,做记录。

    • 系统中是否存在繁琐的功能以及指令;
    • 安装过程是否复杂;
    • 错误信息提示内容是否详细;
    • GUI接口是否标准;
    • 登录是否方便;
    • 需要用户记住内容的多少;
    • 帮助文本是否详细;

    文档测试

    • 定义
      • 文档测试是对系统提交给文档进行验证,它要求检查系统的文档是否齐全。
    • 文档的种类
      • 包括联机帮助文档或用户手册,指南和向导,
      • 安装、设置指南,示例及模板,错误提示信息,
      • 用于演示的图像和声音,
      • 授权/注册登记表及用户许可协议,
      • 软件的包装、广告宣传材料等。
    展开全文
  • Java面试题大全(2020版)

    万次阅读 多人点赞 2019-11-26 11:59:06
    String 声明的是不可变的对象,每次操作都会生成新的 String 对象,然后将指针指向新的 String 对象,而 StringBuffer、StringBuilder 可以在原有对象的基础上进行操作,所以在经常改变字符串内容的情况下最好不要...
  • 例如协同过滤(包括基于用户的和基于物品的)、基于内容的推荐算法、混合式的推荐算法、基于统计理论的推荐算法、基于社交网络信息(关注、被关注、信任、知名度、信誉度等)的过滤推荐算法、群体推荐算法、基于位置...
  • 2019工程伦理慕课答案(2019秋)习题及期末答案

    万次阅读 多人点赞 2019-11-08 18:19:53
    内容和性质 目的 活动主体 任务、对象和思维方式 单选题 (1/1 point) 下列哪一项不是工程活动的特征 自主性 创造性 社会性 确定性 多选题 (1points) 下列哪项是工程的完整生命周期中的环节...
  • 目前,对水利工程进行可行性论证时,包含如下哪些评价内容: 技术 经济 环境 伦理 在进行区域水资源配置时,为贯彻公平正义的原则,应该考虑哪些因素? 区域对水资源总量的贡献 区域对水资源的依赖程度 ...
  • 人工智能时代,所需要了解人工智能的基本常识

    万次阅读 多人点赞 2018-12-10 22:49:44
    国内对于人工智能的讨论大多是不成体系的碎片式,很难从中深入了解人工智能的发展脉络和技术体系,也很难有实际借鉴意义。... 近几年各界对人工智能的兴趣激增,自2011年以来,开发与人工智能相关的产品和技术...
  • 阿里云内容安全

    千次阅读 2019-03-29 13:01:11
    大家好,我们都知道最近直播短视频类可以说是非常火爆了,海量的流量随之而来的问题就是鉴别不合规的内容,单纯的依靠人工审核是远远不够的,今天给大家介绍由阿里云推出的内容安全这款产品内容安全是一款多媒体...
  • 运维工作梳理

    千次阅读 多人点赞 2019-12-19 07:44:12
    1.1 inux运维的主要工作内容 1、什么是linux运维 运维是指大型组织已经建立好的网络软硬件的维护,就是要保证业务的上线与运作的正常。 在他运转的过程中,对他进行维护,他集合了网络、系统、数据库、开发、...
  • 对比于传统的基础安全,业务安全哪些特点呢?为什么它能够成为一个独立的领域呢?在业务安全中,我们需要重点关注的防护方法又有哪些呢? 以上这些问题,在这个模块中我会详细来讲。今天,我们先从业务安全的特点...
  • 软件测试面试题(面试前准备篇)

    万次阅读 多人点赞 2019-09-27 10:42:37
    让说下自己会的内容 看了哪些书籍(有问到) 了解过哪些技术博客/论坛(有问到) 是否了解软件测试需要掌握哪些知识(问到类似问题) 之前面试过,觉得自己需要补充哪些?做了哪些行动? 为什么做测试,...
  • 测试开发需要学习的知识结构

    万次阅读 多人点赞 2018-04-12 10:40:58
    努力成为一个优秀的测试开发从业者,加油!... - 假装在测试的回答 - 知乎白盒与黑盒测试什么区分1、黑盒测试 黑盒测试也称功能测试或数据驱动测试,它是在已知产品所应具有的功能,通过测试来检...
  • 首先,公安、国家保密、国家密码管理、技术监督、信息产业等国家有关信息网络安全的行政主管部门要在×××的统一领导下,制定我国开展信息网络安全等级保护工作的发展政策,统一制定针对不同安全保护等级的管理规定...
  • 在中国政策下,互联网得利者如何进行内容安全管理。短信,文章,直播视频充斥着内容安全风险,提供的内容安全的核心能力,适用的核心场景,具体如下: 场景一:UGC内容智能审核 UGC内容主要分为几个场景。一个是...
  • 产品包括以下基本内容: * a GNU-based C/C++ compiler 工具链 * 基于Eclipse的集成开发环境 HighTec EDV Systeme 公司在布拉格设立有能力和服务中心,负责嵌入式多核应用开发和功能安全的咨询和工程服务...
  •  安全方向的产品经理,工作范围包括对内负责平安集团下各子公司的APP应用安全和业务安全运营,对外投产,进行项目盈利; 2、面试及工作地点 上海崂山路 平安科技 3、面试流程及各时间节点 平安的面试流...
  • 浅谈网络安全产品的分类

    万次阅读 2018-06-27 10:15:24
    最近又犯病了,居然对网络安全产品的分类动了心思。用了两个晚上时间梳理了一下,总算是有个勉强可接受的结果。在此感谢启明星辰叶蓬关于分类的意见,和你的讨论让我受益匪浅。第一部分 概述我们先来看看IDC沿用多年...
  • 1.明尼苏达员工满意度量表包括哪些内容? 明尼苏达量表MSQ (Minnesota Satisfaction Question-naire)分为长式量表分量表(分量表100个)和短式量(分 量表21个)组成。长式量表包括100个题目,可测量员工对...
  • 需求分析

    千次阅读 多人点赞 2019-06-19 11:03:02
    需求分类 需求分析概括就是:需求分析主要是确定待开发...(1)问题识别:用于发现需求、描述需求,主要包括功能需求、性能需求、环境需求、 可靠性需求、安全保密需求、用户界面需求、资源使用需求、软件成本消...
  • 需要网络安全制度汇编请下载网络安全等级保护-信息安全管理制度汇编参考下载,等级保护测评公司,网络安全等级保护测评,等级保护测评机构,等级保护机构 需要加强等网络、信息安全级保护定级备案,网络安全测评及...
  • 《数据库原理》— 数据库系统概论第五版习题解析

    万次阅读 多人点赞 2017-05-29 14:57:48
    因为 DBMS 在数据库建立、运用和维护时对数据库进行统一的管理和控制,包括数据的完整性、安全性、多用户并发控制、故障恢复等,都由 DBMS 执行。总之,使用数据库系统的优点是很多的,既便于数据的集中管理,...
  • 史上最全面Java面试汇总(面试题+答案)

    万次阅读 多人点赞 2018-07-06 14:09:25
    36.Java线程池技术及原理 参考文章: http://www.cnblogs.com/dolphin0520/p/3932921.html 37.java并发包concurrent及常用的类 这个内容有点多,参考文章: 并发包诸类概览:http://www.raychase.net/1912 线程池:...
  • 网络安全审计系统产品竞品分析

    万次阅读 2018-05-07 11:29:06
    那么,未来安全审计产品在技术层面有哪些发展趋势?一、背景随着网络的日益普及,利用网络实施犯罪的新型网络违法与犯罪行为也随之日渐增多;网络的虚拟性与不确定性,造成传统的办案手段对此已力不从...
  • 在项目开发过程中,应该按要求编写好十三种文档,文档编制要求具有针对性、精确性、清晰性、完整性、... ◇ 项目开发计划:为软件项目实施方案制订出具体计划,应该包括各部分工作的负责人员、开发的进度、开发经费
  • 推广业务系统防攻击防入侵通用保护技术的普及和应用,引入并推广匿名技术、数据泄露保护模型技术等业已成熟的大数据安全保护专用技术。 二是加强基础保护技术体系的建设和实施。制定并组织实施适用于大数据安全保护...
  • 互联网给人们生活带来便利的同时也隐含了大量不良信息,防范互联网平台有害内容传播引起了多方面的高度关注。本次演讲从技术层面分享网易易盾在内容安全领域的算法实践经验,包括深度...
  • 这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意...
  • 软件测试入门知识了解

    万次阅读 多人点赞 2018-09-05 14:59:58
    需求评审和设计评审是验证软件产品的需求定义和设计实现,验证所定义的产品特性是否符合客户的期望、系统的设计是否合理、是否具有可测试性以及满足非功能质量特性的要求。这个阶段主要通过对需求文档、设计文档等...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 238,355
精华内容 95,342
关键字:

产品安全包括哪些内容