一,、信息安全性測試的定義
軟件安全是一個(gè)廣泛而復(fù)雜的主題,每一個(gè)新軟件都可能存在安全的缺陷,,甚至這個(gè)缺陷是前所未見的,。信息安全性測試的目的在于通過系統(tǒng)的測試,對(duì)所測軟件提出安全改進(jìn)建議,,幫助用戶將風(fēng)險(xiǎn)控制/轉(zhuǎn)移/降低在國家安全標(biāo)準(zhǔn)允許或公眾接受的許可范圍內(nèi),。
湖北軟件評(píng)測中心是一家專業(yè)提供計(jì)算機(jī)軟件檢測服務(wù)的第三方檢測機(jī)構(gòu),具備CMA證書資質(zhì)和CNAS證書資質(zhì),,可以提供信息安全性測試服務(wù),。
二、信息安全性測試的作用
(1)為信息系統(tǒng)安全驗(yàn)收出具報(bào)告:政府類資金支持的項(xiàng)目或者課題在驗(yàn)收時(shí),,需進(jìn)行安全驗(yàn)收測評(píng),;在系統(tǒng)升級(jí)或變更時(shí)也需要進(jìn)行安全驗(yàn)收測評(píng)。
(2)幫助信息系統(tǒng)進(jìn)行推廣:信息系統(tǒng)建成后,,需要第三方測評(píng)機(jī)構(gòu)出具安全驗(yàn)收測評(píng)報(bào)告證明其安全性,,以便其推廣,。
(3)為系統(tǒng)管理方和建設(shè)方提供技術(shù)支持:為甲方在安全方面把關(guān);協(xié)助乙方達(dá)到甲方的要求,。
(4)提供信息系統(tǒng)安全咨詢和規(guī)劃建議:為已有信息系統(tǒng)進(jìn)行信息安全現(xiàn)狀檢測,,提供安全整改建議;為待建信息系統(tǒng)提供信息安全咨詢,;提供信息安全建設(shè)規(guī)劃,,便于逐步完善信息安全建設(shè),申請(qǐng)預(yù)算,。
(5)需進(jìn)行信息安全管理體系建設(shè)的單位:完善信息安全管理體系,,以便應(yīng)對(duì)監(jiān)管機(jī)構(gòu)檢查;加強(qiáng)內(nèi)部信息安全管理,。
三,、測試內(nèi)容
依據(jù)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn),、地方標(biāo)準(zhǔn)或相關(guān)技術(shù)規(guī)范,,嚴(yán)格按照程序?qū)π畔⑾到y(tǒng)的安全保障能力進(jìn)行科學(xué)公正的綜合測試評(píng)估,以幫助系統(tǒng)運(yùn)行單位分析系統(tǒng)當(dāng)前的安全運(yùn)行狀況,、查找存在的安全問題,,并提供安全改進(jìn)建議,從而最大程度地降低系統(tǒng)的安全風(fēng)險(xiǎn),。
四,、測試流程
(1)售前與委托單位就測評(píng)項(xiàng)目進(jìn)行前期溝通,簽署《保密協(xié)議》,,接收客戶提交的資料,,雙方簽署《軟件技術(shù)測試服務(wù)合同》??蛻籼峤毁Y料如下:
①軟件測試委托表,、軟件產(chǎn)品測試功能列表;
②用戶手冊(cè),、操作,、安裝、說明,、維護(hù)手冊(cè)等,;
③樣品安裝光盤;
④設(shè)計(jì)文檔,、數(shù)據(jù)庫文檔,、相關(guān)測試要求或行業(yè)標(biāo)準(zhǔn)。
(2)測試組對(duì)委托方提供信息安全性測試的軟件系統(tǒng)相關(guān)資料和接受狀態(tài)進(jìn)行確認(rèn),并記錄在測試流轉(zhuǎn)表中,;
(3)測試組檢查被測物品的狀態(tài)后,,如發(fā)現(xiàn)相關(guān)問題,則將被測軟件系統(tǒng)接受狀態(tài)確認(rèn)表反饋給委托方,;
(4)委托方按照《用戶需求說明書》的要求,,搭建測試環(huán)境;
(5)測試組對(duì)測試環(huán)境進(jìn)行確認(rèn),,對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行病毒檢查,,檢查情況在測試流轉(zhuǎn)表中進(jìn)行記錄;
(6)測試組按照《用戶產(chǎn)品說明書》,,編寫測試計(jì)劃,;
(7)測試組按照測試依據(jù)編寫測試用例,并實(shí)施軟件測試,。執(zhí)行完畢后,,測試人員根據(jù)測試用例的執(zhí)行結(jié)果,,在測試記錄中進(jìn)行記錄,;
(8)測試組根據(jù)測試員的測試記錄出具測試問題報(bào)告;
(9)測試項(xiàng)目主管對(duì)問題報(bào)告進(jìn)行審核,,出現(xiàn)錯(cuò)誤要求測試工程師進(jìn)行重新或補(bǔ)充測試,;
(10)測試組對(duì)測試出的問題做相應(yīng)的分析,進(jìn)一步對(duì)問題進(jìn)行確認(rèn),;
(11)測試組就問題報(bào)告與委托方的技術(shù)人員進(jìn)行面對(duì)面的溝通,;
(12)委托方對(duì)問題報(bào)告的問題進(jìn)行一一對(duì)應(yīng)的修復(fù);
(13)測試組對(duì)被測系統(tǒng)做回歸測試,;
(14)測試組根據(jù)測試結(jié)果出具測試報(bào)告,,并由測試機(jī)構(gòu)授權(quán)簽字人批準(zhǔn);
(15)測試機(jī)構(gòu)將信息安全性測試報(bào)告的成果提交給委托方,。
