安全测试---资源控制怎么实现?

09-01-05 dreammore
有一个电子政务系统要求做三级安全测试,测试有一项要求是 资源控制。

检测要求如下:

1、当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;

2、应能够对系统的最大并发会话连接数进行限制;

3、应能够对单个帐户的多重并发会话进行限制;

4、应能够对一个时间段内可能的并发会话连接数进行限制;

5、应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额;

6、应能够对系统服务水平降低到预先规定的最小值进行检测和报警;

7、应提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。

电子政务系统采用Struts+spring+hibernate架构开发,运行在Tomcat6上,操作系统是windows2003 server。

对于测试要求1、2、3可以通过配置tomcat与软件实现容易做到,而对于后面几条怎么实现?望大家给个方案。感激不尽!

[该贴被dreammore于2009-01-05 15:59修改过]

4
banq
2009-01-05 18:35
使用测试软件loadrunner或Jmeter + Jprofiler可以测试,基本使用对象池Pool 以及EJB 有态bean类似的机制来控制,具体可参考本站相关标签下讨论

IceQi
2009-01-05 23:55
lz在说测试还是开发?

如果是开发,这些明显是设计问题,不是很容就就可以说明白的。还是尽可能在现实里找一个合适的人来做吧。

dreammore
2009-01-06 11:37
谢谢楼上二位的回复。

我是没有说明白。banq大哥从测试角度回答了,谢谢。

IceQi说的对,这个是开发。就是这个电子政务系统怎么做才能满足三级安全要求。只是身边难得找到高手了解决。

herowzz
2009-01-06 11:45
既然IceQi认为是开发设计的问题

那请问这位高手如何在开发设计的角度上解决上面的4,5,6,7这几个问题?

IceQi
2009-01-06 13:10
4、应能够对一个时间段内可能的并发会话连接数进行限制;

5、应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额;

6、应能够对系统服务水平降低到预先规定的最小值进行检测和报警;

7、应提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。

这几个问题都涉及到了系统分析的层面,也就是说当前的系统需要提供什么级别的资源管理能力,需要管理什么样的资源。这样的分析需要严格依赖于客户的业务过程。

4/5/7涉及到了对于帐户的资源管理,这样需要系统提供一个面向使用者的资源管理系统。(实际一点的例子是windows中的NTFS分区支持面向账号的容量管理。)接下来需要划分所需管理的资源类型和特征,完成抽象后可以了解怎样的管理方式是适用于当前业务过程的。然后才能开始进行系统中资源管理和分配相关部分的设计工作。

6,是将运行系统本身当作了一个“客户”进行资源管理,这其中至少涉及到了2部分相关内容:运行系统本身、运行环境(不仅限于操作系统,如果对于Java那么JVM的可用内存是有限的)。此时需要站在系统级别机型考虑(可以适当的脱离具体业务过程),运行所需要的资源与当前全部可分配资源间的关系。

以上是一些最基本需要考虑的内容,更为详细的在这种方式下很难说的清楚了。

另外说起来lz的这段描述只能是最初的功能需求描述,如果没有具体的指标则无法提供进行测试用例的考量。

dreammore
2009-01-07 09:31
多谢,楼上高手的解答。

猜你喜欢