信息安全性測試的流程

發(fā)表時(shí)間：2023-07-13 08:52

安全測試

一、信息安全性測試的定義

軟件安全是一個(gè)廣泛而復(fù)雜的主題，每一個(gè)新軟件都可能存在安全的缺陷，甚至這個(gè)缺陷是前所未見的。信息安全性測試的目的在于通過系統(tǒng)的測試，對所測軟件提出安全改進(jìn)建議，幫助用戶將風(fēng)險(xiǎn)控制/轉(zhuǎn)移/降低在國家安全標(biāo)準(zhǔn)允許或公眾接受的許可范圍內(nèi)。

二、信息安全性測試的作用

（1）為信息系統(tǒng)安全驗(yàn)收出具報(bào)告：政府類資金支持的項(xiàng)目或者課題在驗(yàn)收時(shí)，需進(jìn)行安全驗(yàn)收測評；在系統(tǒng)升級或變更時(shí)也需要進(jìn)行安全驗(yàn)收測評。

（2）幫助信息系統(tǒng)進(jìn)行推廣：信息系統(tǒng)建成后，需要第三方測評機(jī)構(gòu)出具安全驗(yàn)收測評報(bào)告證明其安全性，以便其推廣。

（3）為系統(tǒng)管理方和建設(shè)方提供技術(shù)支持：為甲方在安全方面把關(guān)；協(xié)助乙方達(dá)到甲方的要求。

（4）提供信息系統(tǒng)安全咨詢和規(guī)劃建議：為已有信息系統(tǒng)進(jìn)行信息安全現(xiàn)狀檢測，提供安全整改建議；為待建信息系統(tǒng)提供信息安全咨詢；提供信息安全建設(shè)規(guī)劃，便于逐步完善信息安全建設(shè)，申請預(yù)算。

（5）需進(jìn)行信息安全管理體系建設(shè)的單位：完善信息安全管理體系，以便應(yīng)對監(jiān)管機(jī)構(gòu)檢查；加強(qiáng)內(nèi)部信息安全管理。

三、測試內(nèi)容

依據(jù)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)或相關(guān)技術(shù)規(guī)范，嚴(yán)格按照程序?qū)π畔⑾到y(tǒng)的安全保障能力進(jìn)行科學(xué)公正的綜合測試評估，以幫助系統(tǒng)運(yùn)行單位分析系統(tǒng)當(dāng)前的安全運(yùn)行狀況、查找存在的安全問題，并提供安全改進(jìn)建議，從而最大程度地降低系統(tǒng)的安全風(fēng)險(xiǎn)。

四、測試流程

（1）售前與委托單位就測評項(xiàng)目進(jìn)行前期溝通，簽署《保密協(xié)議》，接收客戶提交的資料，雙方簽署《軟件技術(shù)測試服務(wù)合同》。客戶提交資料如下：

①軟件測試委托表、軟件產(chǎn)品測試功能列表；

②用戶手冊、操作、安裝、說明、維護(hù)手冊等；

③樣品安裝光盤；

④設(shè)計(jì)文檔、數(shù)據(jù)庫文檔、相關(guān)測試要求或行業(yè)標(biāo)準(zhǔn)。

（2）測試組對委托方提供信息安全性測試的軟件系統(tǒng)相關(guān)資料和接受狀態(tài)進(jìn)行確認(rèn)，并記錄在測試流轉(zhuǎn)表中；

（3）測試組檢查被測物品的狀態(tài)后，如發(fā)現(xiàn)相關(guān)問題，則將被測軟件系統(tǒng)接受狀態(tài)確認(rèn)表反饋給委托方；

（4）委托方按照《用戶需求說明書》的要求，搭建測試環(huán)境；

（5）測試組對測試環(huán)境進(jìn)行確認(rèn)，對計(jì)算機(jī)系統(tǒng)進(jìn)行病毒檢查，檢查情況在測試流轉(zhuǎn)表中進(jìn)行記錄；

（6）測試組按照《用戶產(chǎn)品說明書》，編寫測試計(jì)劃；

（7）測試組按照測試依據(jù)編寫測試用例，并實(shí)施軟件測試。執(zhí)行完畢后，測試人員根據(jù)測試用例的執(zhí)行結(jié)果，在測試記錄中進(jìn)行記錄；