您的位置:360文档中心› 软件系统安全测试管理规范标准

软件系统安全测试管理规范标准

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

软件系统安全测试

管理规范

上海理想信息产业(集团)有限公司2022年4月27日

版本历史

【目录】

1概述 (5)

1.1编写目的 (5)

1.2适用范围 (5)

1.3角色定义 (5)

1.4参考资料 (5)

2项目背景 (6)

3软件系统安全测试流程 (7)

4测试准备 (9)

4.1测试准备 (9)

4.1.1测试对象 (9)

4.1.2测试范围 (9)

4.1.3工作权责 (9)

4.2测试方案 (10)

4.2.1测试准备 (10)

4.2.2测试分析 (11)

4.2.3制作测试用例 (13)

4.2.4实施测试方法 (14)

4.2.5回归测试方法 (14)

4.3测试计划 (14)

4.4实施测试 (15)

4.5回归测试 (15)

4.6测试总结 (15)

1概述

1.1编写目的

建立和完善-系统安全测试管理制度。规范软件系统安全测试各环节的要求、规范各岗位人员的工作职责、明确软件系统安全测试实施过程中的管理行为及文档要求。

以规范化的文档指导软件系统安全测试工作,提升管理效率、降低项目风险。

1.2适用范围

本规范适用于智能信息化系统建设项目软件安全测试管理过程。

1.3角色定义

1.4参考资料

2项目背景

校园内信息化软件众多,这些软件不光承载着学校核心业务,同时还生成、处理、存储着学校的核心敏感信息:账户、隐私、科研、薪资等,一旦软件的安全性不足,将可能造成业务中断、数据泄露等问题的出现。

希望通过规范软件系统安全测试管理,改善和提高学校软件安全测试水准,将学校软件系统可能发生的风险控制在可以接受的范围内,提高系统的安全性能。

3软件系统安全测试流程

软件系统安全测试流程分为6个阶段:

1)测试准备:确定测试对象、测试范围、测试相关人员权责;

2)测试方案:按要求整理撰写《安全测试方案》,并完成方案审批;

3)测试计划:测试方案通过后,协调确认各相关人员时间,形成测试计划;

4)实施测试:按计划实施软件安全测试工作,输出《软件安全测试报告》;

5)回归测试:问题修复,回归测试循环进行,直到没有新的问题出现;

6)测试总结:测试过程总结,输出文档评审,相关文档归档。

其整体流程见流程图(下图):

软件安全测试流程

总集PM 图信PM 安全测试团队厂商负责人文档

阶段

开始

提出安全测试需求

协调测试团队

编撰软件安全测试方案

审核方案

审核方案

通过

不通过

不通过

提供安全测试环境信息

协调相关人员时间

通过

制定安全测试计划

实施测试

软件安全测试方案

软件安全测试计划软件安全测试报告

回归测试

测试总结

软件安全测试总结

修复问题或漏洞

结束

4测试准备

4.1测试准备

明确本次安全测试的软件系统及其测试范围,并对涉及各方权责做出说明4.1.1测试对象

软件系统名称,软件厂商信息、软件开发语言等

4.1.2测试范围

软件内部程序、软件外部接口、数据库、网络服务器环境等

4.1.3工作权责

4.2测试方案

安全测试团队根据软件构成、软件环境以及图信安全需求编制《X软件系统安全测试方案》;

此方案要求图信PM、总集PM均审核通过;

若审核未通过,由安全测试团队根据反馈建议,针对未通过的业务内容进行修改或重新调研,完成后进行再提交审核。

软件系统安全测试方案至少要覆盖以下内容:

1)测试准备(对象、范围、分工)

2)测试分析(系统分析、威胁分析)

3)制作测试用例

4)实施测试方法

5)回归测试方法

4.2.1测试准备

明确本次安全测试的软件系统及其测试范围,并对涉及各方权责做出说明

测试分析主要是熟悉被测系统,通过系统的外部环境分析、物理架构分析和逻辑架构分析,了解系统特性,便于后续的威胁分析以及对应的用例编写。4.2.2.1系统分析

系统分析包含外部环境分析、物理架构分析和逻辑架构分析的划分。

1)外部环境分析

对系统所在的外部环境,如操作系统、服务器、网络等进行分析

●服务器安全防护(系统补丁、漏洞、木马、外挂、开放端口)

●服务器用户及其权限管理,密码更新机制

●服务器备份机制

2)物理架构分析

按照系统物理架构分析其使用的组件,如底层使用何种数据库,控制层使用何种组件,表示层使用何种前端库等,组件之间使用那些通信协议等,了解系统特性。

数据存储层:如MySQL、Oracle、Redis、Bigtable等;

控制层:如spring、Struts2、Tomcat、Weblogic等;

表示层:如ExtJS、Bootstrap等;

通信协议:如AMQP等

3)逻辑架构分析

按照系统的业务逻辑划分业务,再根据各业务数据流从身份验证、加密、输入校验、敏感数据、配置管理、授权、异常管理、会话管理、参数操作、审核和日志记录、部署和基础结构等方面入手分析。

相关文档
最新文档