一、信息安全性测试的定义
软件安全是一个广泛而复杂的主题,每一个新软件都可能存在安全的缺陷,甚至这个缺陷是前所未见的。信息安全性测试的目的在于通过系统的测试,对所测软件提出安全改进建议,帮助用户将风险控制/转移/降低在国家安全标准允许或公众接受的许可范围内。
二、信息安全性测试的作用
(1)为信息系统安全验收出具报告:政府类资金支持的项目或者课题在验收时,需进行安全验收测评;在系统升级或变更时也需要进行安全验收测评。
(2)帮助信息系统进行推广:信息系统建成后,需要第三方测评机构出具安全验收测评报告证明其安全性,以便其推广。
(3)为系统管理方和建设方提供技术支持:为甲方在安全方面把关;协助乙方达到甲方的要求。
(4)提供信息系统安全咨询和规划建议:为已有信息系统进行信息安全现状检测,提供安全整改建议;为待建信息系统提供信息安全咨询;提供信息安全建设规划,便于逐步完善信息安全建设,申请预算。
(5)需进行信息安全管理体系建设的单位:完善信息安全管理体系,以便应对监管机构检查;加强内部信息安全管理。
三、测试内容
依据国家标准、行业标准、地方标准或相关技术规范,严格按照程序对信息系统的安全保障能力进行科学公正的综合测试评估,以帮助系统运行单位分析系统当前的安全运行状况、查找存在的安全问题,并提供安全改进建议,从而大程度地降低系统的安全风险。
四、测试流程
(1)售前与委托单位就测评项目进行前期沟通,签署《保密协议》,接收客户提交的资料,双方签署《软件技术测试服务合同》。客户提交资料如下:
①软件测试委托表、软件产品测试功能列表;
②用户手册、操作、安装、说明、维护手册等;
③样品安装光盘;
④设计文档、数据库文档、相关测试要求或行业标准。
(2)测试组对委托方提供信息安全性测试的软件系统相关资料和接受状态进行确认,并记录在测试流转表中;
(3)测试组检查被测物品的状态后,如发现相关问题,则将被测软件系统接受状态确认表反馈给委托方;
(4)委托方按照《用户需求说明书》的要求,搭建测试环境;
(5)测试组对测试环境进行确认,对计算机系统进行病毒检查,检查情况在测试流转表中进行记录;
(6)测试组按照《用户产品说明书》,编写测试计划;
(7)测试组按照测试依据编写测试用例,并实施软件测试。执行完毕后,测试人员根据测试用例的执行结果,在测试记录中进行记录;
(8)测试组根据测试员的测试记录出具测试问题报告;
(9)测试项目主管对问题报告进行审核,出现错误要求测试工程师进行重新或补充测试;
(10)测试组对测试出的问题做相应的分析,进一步对问题进行确认;
(11)测试组就问题报告与委托方的技术人员进行面对面的沟通;
(12)委托方对问题报告的问题进行一一对应的修复;
(13)测试组对被测系统做回归测试;
(14)测试组根据测试结果出具测试报告,并由测试机构授权签字人批