一、信息安全性測試的定義
軟件安全是一個廣泛而復雜的主題,每一個新軟件都可能存在安全的缺陷,甚至這個缺陷是前所未見的。信息安全性測試的目的在于通過系統(tǒng)的測試,對所測軟件提出安全改進建議,幫助用戶將風險控制/轉(zhuǎn)移/降低在國家安全標準允許或公眾接受的許可范圍內(nèi)。
湖北軟件評測中心是一家專業(yè)提供計算機軟件檢測服務的第三方檢測機構(gòu),具備CMA證書資質(zhì)和CNAS證書資質(zhì),可以提供信息安全性測試服務。
二、信息安全性測試的作用
(1)為信息系統(tǒng)安全驗收出具報告:政府類資金支持的項目或者課題在驗收時,需進行安全驗收測評;在系統(tǒng)升級或變更時也需要進行安全驗收測評。
(2)幫助信息系統(tǒng)進行推廣:信息系統(tǒng)建成后,需要第三方測評機構(gòu)出具安全驗收測評報告證明其安全性,以便其推廣。
(3)為系統(tǒng)管理方和建設方提供技術支持:為甲方在安全方面把關;協(xié)助乙方達到甲方的要求。
(4)提供信息系統(tǒng)安全咨詢和規(guī)劃建議:為已有信息系統(tǒng)進行信息安全現(xiàn)狀檢測,提供安全整改建議;為待建信息系統(tǒng)提供信息安全咨詢;提供信息安全建設規(guī)劃,便于逐步完善信息安全建設,申請預算。
(5)需進行信息安全管理體系建設的單位:完善信息安全管理體系,以便應對監(jiān)管機構(gòu)檢查;加強內(nèi)部信息安全管理。
三、測試內(nèi)容
依據(jù)國家標準、行業(yè)標準、地方標準或相關技術規(guī)范,嚴格按照程序?qū)π畔⑾到y(tǒng)的安全保障能力進行科學公正的綜合測試評估,以幫助系統(tǒng)運行單位分析系統(tǒng)當前的安全運行狀況、查找存在的安全問題,并提供安全改進建議,從而最大程度地降低系統(tǒng)的安全風險。
四、測試流程
(1)售前與委托單位就測評項目進行前期溝通,簽署《保密協(xié)議》,接收客戶提交的資料,雙方簽署《軟件技術測試服務合同》。客戶提交資料如下:
①軟件測試委托表、軟件產(chǎn)品測試功能列表;
②用戶手冊、操作、安裝、說明、維護手冊等;
③樣品安裝光盤;
④設計文檔、數(shù)據(jù)庫文檔、相關測試要求或行業(yè)標準。
(2)測試組對委托方提供信息安全性測試的軟件系統(tǒng)相關資料和接受狀態(tài)進行確認,并記錄在測試流轉(zhuǎn)表中;
(3)測試組檢查被測物品的狀態(tài)后,如發(fā)現(xiàn)相關問題,則將被測軟件系統(tǒng)接受狀態(tài)確認表反饋給委托方;
(4)委托方按照《用戶需求說明書》的要求,搭建測試環(huán)境;
(5)測試組對測試環(huán)境進行確認,對計算機系統(tǒng)進行病毒檢查,檢查情況在測試流轉(zhuǎn)表中進行記錄;
(6)測試組按照《用戶產(chǎn)品說明書》,編寫測試計劃;
(7)測試組按照測試依據(jù)編寫測試用例,并實施軟件測試。執(zhí)行完畢后,測試人員根據(jù)測試用例的執(zhí)行結(jié)果,在測試記錄中進行記錄;
(8)測試組根據(jù)測試員的測試記錄出具測試問題報告;
(9)測試項目主管對問題報告進行審核,出現(xiàn)錯誤要求測試工程師進行重新或補充測試;
(10)測試組對測試出的問題做相應的分析,進一步對問題進行確認;
(11)測試組就問題報告與委托方的技術人員進行面對面的溝通;
(12)委托方對問題報告的問題進行一一對應的修復;
(13)測試組對被測系統(tǒng)做回歸測試;
(14)測試組根據(jù)測試結(jié)果出具測試報告,并由測試機構(gòu)授權簽字人批準;
(15)測試機構(gòu)將信息安全性測試報告的成果提交給委托方。
