1. 明確區分系統中不同用戶權限
2. 系統中會不會出現用戶沖突
3. 系統會不會因用戶的權限的改變造成混亂
4. 用戶登陸密碼是否是可見、可復制
5. 是否可以通過絕對途徑登陸系統(拷貝用戶登陸後的鏈接直接進入系統)
6. 用戶推出系統後是否刪除了所有鑒權標記,是否可以使用後退鍵而不通過輸入口令進入系統
系統網絡安全的測試要考慮問題
1. 測試采取的防護措施是否正確裝配好,有關系統的補丁是否打上
2. 模擬非授權攻擊,看防護系統是否堅固
3. 采用成熟的網絡漏洞檢查工具檢查系統相關漏洞(即用最專業的黑客攻擊工具攻擊試壹下,現在最常用的是 NBSI 系列和 IPhacker IP )
4. 采用各種木馬檢查工具檢查系統木馬情況
5. 采用各種防外掛工具檢查系統各組程序的客外掛漏洞
數據庫安全考慮問題:
1. 系統數據是否機密(比如對銀行系統,這壹點就特別重要,壹般的網站就沒有太高要求)
2. 系統數據的完整性(我剛剛結束的企業實名核查服務系統中就曾存在數據的不完整,對於這個系統的功能實現有了障礙)
3. 系統數據可管理性
4. 系統數據的獨立性
5. 系統數據可備份和恢復能力(數據備份是否完整,可否恢復,恢復是否可以完整)