亚洲国产精品色区在线观看_亚洲日韩国产欧美久久久_免费a级毛片无码a∨奶水在线_毛片黄片免费视频观看_久热精品视频在线观看99小说_美女日逼免费观看_后式a一视频国产_午夜福利理论片一区二区三区_91久久亚洲综人网_中文字幕免费在线

歡迎來到 廣東科鑒檢測(cè)工程技術(shù)有限公司
全國(guó)咨詢熱線: 400-108-9880
聯(lián)系我們

地址:廣州科學(xué)城玉樹工業(yè)園J棟103房 105房 107房

電話:400-108-9880

傳真:020-3170 7367

郵箱:kj-mark@svtest.cn

軟件產(chǎn)品的信息安全性

軟件產(chǎn)品的信息安全性受到越來越多的重視。

軟件產(chǎn)品的信息安全性(圖1)

目前,針對(duì)軟件開發(fā)、軟件測(cè)評(píng)主要依照的標(biāo)準(zhǔn)是《GB/T 25000.51-2016系統(tǒng)與軟件工程 系統(tǒng)與軟件質(zhì)量要求和評(píng)價(jià)(SQuaRE) 第51部分:就緒可用軟件產(chǎn)品(RUSP)的質(zhì)量要求和測(cè)試細(xì)則》以及《GB/T 25000.10-2016系統(tǒng)與軟件工程 系統(tǒng)與軟件質(zhì)量要求和評(píng)價(jià)(SQuaRE) 第10部分:系統(tǒng)與軟件質(zhì)量模型》。標(biāo)準(zhǔn)將軟件產(chǎn)品的質(zhì)量特性分為了八個(gè)特性(功能性、性能效率、兼容性、易用性、可靠性、信息安全性、維護(hù)性、可移植性)。

(一)信息安全性的定義:
軟件產(chǎn)品質(zhì)量的信息安全性是指產(chǎn)品或者系統(tǒng)保護(hù)信息和數(shù)據(jù)的程度,以使用戶、其他產(chǎn)品或系統(tǒng)具有與其授權(quán)類型和授權(quán)級(jí)別一致的數(shù)據(jù)訪問度。
在《GB/T 25000.51-2016系統(tǒng)與軟件工程 系統(tǒng)與軟件質(zhì)量要求和評(píng)價(jià)(SQuaRE) 第51部分:就緒可用軟件產(chǎn)品(RUSP)的質(zhì)量要求和測(cè)試細(xì)則》信息安全性要求為:
1)軟件應(yīng)按照用戶文檔集中定義的信息安全性特征來運(yùn)行。
2) 軟件應(yīng)能防止對(duì)程序和數(shù)據(jù)的未授權(quán)訪問(不管是無意的還是故意的)。
3) 軟件應(yīng)能識(shí)別出對(duì)結(jié)構(gòu)數(shù)據(jù)庫或文件完整性產(chǎn)生損害的事件,且能阻止該事件,并通報(bào)給授權(quán)用戶。
4) 軟件應(yīng)能按照信息安全要求,對(duì)訪問權(quán)限進(jìn)行管理。
5) 軟件應(yīng)能對(duì)保密數(shù)據(jù)進(jìn)行保護(hù),只允許授權(quán)用戶訪問。

(二)信息安全性的解析
依據(jù)《GB/T 25000.10-2016系統(tǒng)與軟件工程 系統(tǒng)與軟件質(zhì)量要求和評(píng)價(jià)(SQuaRE) 第10部分:系統(tǒng)與軟件質(zhì)量模型》中的要求,信息安全性被劃分為6個(gè)子特性:保密性、完整性、抗抵賴性、可核查性、真實(shí)性、信息安全性的依從性。

1)保密性:產(chǎn)品或系統(tǒng)確保數(shù)據(jù)只有在被授權(quán)時(shí)才能被訪問的程度。
測(cè)試的主要內(nèi)容:
驗(yàn)證軟件產(chǎn)品是否具有對(duì)系統(tǒng)正常訪問的控制能力。依據(jù)安全策略和用戶角色設(shè)置訪問控制矩陣,用戶權(quán)限應(yīng)遵循“最小權(quán)限原則”。
測(cè)試系統(tǒng)是否進(jìn)行用戶身份鑒別,并在每次用戶登錄系統(tǒng)時(shí)進(jìn)行鑒別。
測(cè)試軟件鑒別信息是否為不可見,且具有相應(yīng)的抗攻擊能力,并在存儲(chǔ)或傳輸時(shí)用加密方法或具有相同安全強(qiáng)度的其他方法進(jìn)行安全保護(hù)。
驗(yàn)證數(shù)據(jù)在傳輸過程中不被竊聽,對(duì)整個(gè)通信過程中的整個(gè)報(bào)文或會(huì)話過程進(jìn)行加密,如采用3DES(三重?cái)?shù)據(jù)加密算法)、AES(高級(jí)加密標(biāo)準(zhǔn))和IDEA(國(guó)際數(shù)據(jù)加密算法)等加密處理。
明確區(qū)分系統(tǒng)中不同用戶權(quán)限,系統(tǒng)不會(huì)因用戶權(quán)限的改變?cè)斐苫靵y。
合適的身份認(rèn)證方式,用戶登密碼是否可見、可復(fù)制,密碼的存儲(chǔ)和傳輸安全,密碼策略保證密碼安全。
測(cè)試系統(tǒng)是否對(duì)不成功的鑒別嘗試的值(包括嘗試次數(shù)和時(shí)間的閾值)進(jìn)行預(yù)先定義,并明確規(guī)定達(dá)到該值時(shí)是否采取了具有規(guī)范性和安全性的措施來實(shí)現(xiàn)鑒別失敗的處理。
軟件應(yīng)能防止對(duì)程序和數(shù)據(jù)的未授權(quán)訪問(不管是無意的還是故意的)。

測(cè)試用例參考:
明確區(qū)分系統(tǒng)中不同的用戶權(quán)限。
系統(tǒng)不會(huì)因用戶權(quán)限的改變?cè)斐苫靵y,把原來高權(quán)限用戶改為低權(quán)限用戶,登錄后系統(tǒng)是否異常。
系統(tǒng)中存在用戶登錄鑒別模塊,并且每次登錄需要鑒別。
是否存在登錄驗(yàn)證碼,登錄失敗次數(shù)限制等抗攻擊能力。
用戶登錄密碼是否可見、可復(fù)制,密碼是否加密存儲(chǔ)和傳輸。
網(wǎng)站是否為HTTPS協(xié)議傳輸。
是否可以通過絕對(duì)路徑登錄系統(tǒng)(訪問用戶登錄后的鏈接直接進(jìn)入系統(tǒng))。

2)完整性:系統(tǒng)、產(chǎn)品或組件防止未授權(quán)訪問、篡改計(jì)算機(jī)程序或數(shù)據(jù)的程度。
測(cè)試的主要內(nèi)容:
驗(yàn)證軟件產(chǎn)品是否具有對(duì)未授權(quán)用戶非法訪間的控制能力。
采用專業(yè)測(cè)試工具開展“滲透測(cè)試”、“漏洞掃描”等手段,在模擬非法入侵攻擊事件的條件下,驗(yàn)證軟件產(chǎn)品是否有控制和處理能力。
驗(yàn)證軟件產(chǎn)品對(duì)非授權(quán)人創(chuàng)建、刪除或修改信息是否有控制和處理能力。
軟件應(yīng)能識(shí)別出對(duì)結(jié)構(gòu)數(shù)據(jù)庫或文件完整性產(chǎn)生損害的事件,且能阻止該事件,并通報(bào)給授權(quán)人。
系統(tǒng)數(shù)據(jù)的完整性、可管理性,可備份和可恢復(fù)能力,數(shù)據(jù)傳輸、數(shù)據(jù)使用、數(shù)據(jù)存儲(chǔ)的完整性。

測(cè)試用例參考:
未授權(quán)訪問,低權(quán)限用戶訪問高權(quán)限用戶數(shù)據(jù)。
未授權(quán)修改,無修改權(quán)限用戶修改系統(tǒng)數(shù)據(jù)(包括創(chuàng)建、刪除、修改)。
漏洞掃描或滲透測(cè)試中,系統(tǒng)是否存在告警機(jī)制、是否存在自動(dòng)限制賬號(hào)、IP訪問等控制處理功能。
數(shù)據(jù)庫、文件篡改、破壞是否具備防止和恢復(fù)功能。
漏洞掃描測(cè)試未發(fā)現(xiàn)存在已知漏洞。

3)抗抵賴性:活動(dòng)或事件發(fā)生后可以被證實(shí)且不可被否認(rèn)的程度。
測(cè)試的主要內(nèi)容:
測(cè)試軟件是否具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者提供數(shù)據(jù)原發(fā)證據(jù)的功能。
測(cè)試軟件是否具有在請(qǐng)求的情況下為數(shù)據(jù)接收者提供數(shù)據(jù)接收證據(jù)的功能。
測(cè)試軟件是否使用數(shù)字證書等方式保證用戶的身份認(rèn)證,在收到請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接受者提供數(shù)據(jù)原發(fā)和接收的證據(jù)。
測(cè)試軟件是否具備完整且無法篡改的審計(jì)記錄,確保用戶操作可經(jīng)過審計(jì)及追蹤。系統(tǒng)操作日志/審計(jì)、異常日志、告警日志,審計(jì)日志的完整性、保密性。
驗(yàn)證審計(jì)日志的管理,日志不能被任何人修改和刪除,能夠形成完整的證據(jù)鏈。

測(cè)試用例參考:
用戶操作是否存在審計(jì)日志。
用戶操作審計(jì)日志是否可以刪除。
軟件是否使用數(shù)字證書加密。
軟件的系統(tǒng)操作日志、異常日志、告警日志,審計(jì)日志完整性,并只有授權(quán)用戶能訪問。

4)可核查性:實(shí)體的活動(dòng)可以被唯一地追溯到該實(shí)體的程度。
測(cè)試的主要內(nèi)容:
測(cè)試系統(tǒng)是否將用戶進(jìn)程與所有者用戶相關(guān)聯(lián),使用戶進(jìn)程行為可以追溯到進(jìn)程所有者。
測(cè)試系統(tǒng)是否將系統(tǒng)進(jìn)程動(dòng)態(tài)地與當(dāng)前服務(wù)要求者用戶相關(guān)聯(lián),使系統(tǒng)進(jìn)程的行為可以追溯。
測(cè)試系統(tǒng)或軟件的審計(jì)模塊、檢查模塊是否具有完善的安全審計(jì)功能;考察啟用安全審計(jì)功能后,覆蓋用戶的多少和安全事件的程度,覆蓋到每個(gè)用戶活動(dòng),日志記錄內(nèi)容至少應(yīng)包括事件日期、事件、發(fā)起者信息、類型、描述和結(jié)果等,審計(jì)跟蹤設(shè)置是否定義了審計(jì)跟蹤極限的閥值,當(dāng)存儲(chǔ)空間被耗盡時(shí),能否采取必要的保護(hù)措施。
賬戶管理,包括賬戶唯一性、登錄機(jī)制、密碼管理策略。
會(huì)話管理,設(shè)計(jì)登錄成功使用新的會(huì)話;設(shè)計(jì)會(huì)話數(shù)據(jù)的存儲(chǔ)安全;設(shè)計(jì)會(huì)話數(shù)據(jù)的傳輸安全;設(shè)計(jì)會(huì)話的安全終止;設(shè)計(jì)合理的會(huì)話存活時(shí)間;設(shè)計(jì)避免跨站請(qǐng)求偽造。

測(cè)試用例參考:
審計(jì)模塊是否具有安全審計(jì)功能,功能是否合理完善有效。
身份標(biāo)識(shí)具有唯一性,無法注冊(cè)相同用戶名。
多因素登錄保證用戶登錄的一致性,且其中一種至少應(yīng)使用密碼技術(shù)實(shí)現(xiàn)。
是否存在避免跨站請(qǐng)求偽造漏洞,關(guān)鍵數(shù)據(jù)操作是否驗(yàn)證請(qǐng)求來源。
用戶退出登錄后是否刪除所有鑒權(quán)信息,退出登錄系統(tǒng)后使用瀏覽器的后退功能是否可以不通過輸入口令進(jìn)入系統(tǒng)。
是否存在登錄連接超時(shí)自動(dòng)退出功能。

5)真實(shí)性:對(duì)象或資源的身份標(biāo)識(shí)能夠被證實(shí)符合其聲明的程度。
測(cè)試的主要內(nèi)容:
驗(yàn)證軟件是否具有當(dāng)前使用系統(tǒng)的用戶列表和配置表。
驗(yàn)證軟件在系統(tǒng)的訪問歷史數(shù)據(jù)庫中記錄的訪問登錄記錄是否完整。
檢查軟件是否具有用戶使用系統(tǒng)的歷史日志及日志管理功能。
在模擬攻擊事件的入侵的情況下,驗(yàn)證軟件的日志內(nèi)容是否有相關(guān)記錄。
檢查軟件中的“用戶訪問系統(tǒng)和數(shù)據(jù)”的記錄內(nèi)是否包括防止病毒的“病毒檢測(cè)記錄”。

測(cè)試用例參考:
軟件是否存在用戶管理模塊,是否具有用戶列表和配置表功能。
查看數(shù)據(jù)庫日志、訪問登錄日志是否完整并真實(shí)記錄。
查看審計(jì)日志是否有用戶登錄使用日志。
查看審計(jì)日志是否有攻擊防護(hù)日志。
軟件中的"用戶訪問系統(tǒng)和數(shù)據(jù)”的記錄內(nèi)是否包括防止病毒的“病毒檢測(cè)記錄”。

6)信息安全性的依從性:產(chǎn)品或系統(tǒng)遵循與信息安全性相關(guān)的標(biāo)準(zhǔn)、約定或法規(guī)以及類似規(guī)定的程度。
測(cè)試的主要內(nèi)容:
檢查軟件產(chǎn)品的信息安全性是否遵循了所實(shí)施法規(guī)、標(biāo)準(zhǔn)和約定。

測(cè)試用例參考:
軟件是否遵循了所實(shí)施法規(guī)、標(biāo)準(zhǔn)和約定,行業(yè)標(biāo)準(zhǔn)、驗(yàn)收標(biāo)準(zhǔn)、等級(jí)保護(hù)標(biāo)準(zhǔn)等,若提及并提供證明材料,則認(rèn)可;否則,應(yīng)驗(yàn)證軟件與提及的文件(需求文檔)要求是否相符。

軟件產(chǎn)品的信息安全性(圖2)
軟件產(chǎn)品的信息安全性(圖3)

聯(lián)系我們

電話:400 108 9880 

網(wǎng)址:joined-tech.cn

  郵箱:kj-sv@svtest.cn

傳真:020-31707367


聯(lián)系地址
廣州:廣州開發(fā)區(qū)科學(xué)城玉樹創(chuàng)新園 J 棟 103 房
北京:北京市海淀區(qū)永定路 15 號(hào)院南門 208 室
長(zhǎng)沙:長(zhǎng)沙市雨花區(qū)保利東郡 8 棟 1803 房
深圳:深圳市南山區(qū)西麗深圳大學(xué)城學(xué)苑大道 1068 號(hào)(深圳先進(jìn)院內(nèi))
        深圳市龍華區(qū)觀湖街道松元廈社區(qū)虎地排121號(hào)錦繡大地11號(hào)樓410
石家莊:石家莊市鹿泉區(qū)山尹村鎮(zhèn)濱海路19號(hào)2號(hào)樓


?
聯(lián)系我們

地址:廣州黃埔區(qū)科學(xué)城玉樹工業(yè)園 敬業(yè)三街2號(hào)J棟103房,105房.107房

傳真:020-3170-7367

400熱線:400-108-9880

郵箱:kj-mark@svtest.cn

粵ICP備2021012026號(hào)-2

掃一掃關(guān)注我們
Copyright ? ?2017 廣東科鑒檢測(cè)工程技術(shù)有限公司? ?版權(quán)所有