CNAS软件检测实验室在申请信息安全领域测试的相关资质时,需要按照GB/T 25000.51-2016《软件产品质量要求和测试细则》标准中的方法,编写作业指导书,指导软件检测实验室内部信息安全性测试的开展。CNAS软件检测实验室信息安全性测试作业指导与其他类型的软件测试作业指导书在架构上大同小异,需要涵盖的比较核心的部分主要有测试需求分析、测试用例涉及和测试执行三个方面。
一、测试需求分析
首先分析确定要测试内容(身份鉴别、访问控制、数据安全、安全审计、漏洞扫描、接口安全、密码应用、抗抵赖性、个人信息保护、剩余信息保护、组件安全、业务安全、依从性),然后根据要测试内容,进一步分析系统所涉及到的敏感数据、关键功能处理逻辑、关键业务流程、数据接口等信息,为测试用例设计做准备。
安全性测试需求分析可依据的文档包括:
《系统招标文件》
《系统开发合同》
《软件需求分析规格说明书》
1、测试内容分析
查阅相关资料,分析是否有明确的安全性要求。若有明确的安全性要求,进一步分析确定出要测试验证的类别及具体的测试内容;若没有明确的安全性要求,则可选取信息安全性的子特性作为安全性的测试内容。
2、用户角色及权限分析
若对访问控制有明确的安全要求,则需要进一步分析系统的用户角色及各角色所涉及到的业务数据信息等。
3、敏感信息分析
不论对敏感信息是否有明确的安全要求,都需要分析系统所涉及到的所有敏感信息,包括:
➢ 登录信息:用户名、密码;
➢ 个人信息:姓名、身份证、住址、财产等;
➢ 支付信息:商品支付金额、数量、商品编号、订单 ID、验证手机号、验证邮箱等;
➢ ……
4、关键功能处理逻辑分析
若对业务安全有要求,则分析系统是否有如下潜在安全风险的功能处理。如有类似密码找回的功能、有流程回退的业务流程、有验证码的功能操作、有数量限制的功能操作等。
5、数据接口分析
若对接口有明确的安全要求,则需要进一步分析接口的处理机制、安全控制机制、接口参数等。
二、测试用例设计
根据安全测试需求分析结果,结合信息安全测试用例库,设计针对性的测试用例。 如身份鉴别方面主要是验证系统对访问用户身份的认证,可以从如下方面来进行用例设计:
1)身份识别
用户在登录时是否采用了身份鉴别措施;
用户列表确认用户身份标识是否具有唯一性;
用户配置信息或测试验证是否不存在空口令用户;
用户鉴别信息是否具有复杂度要求并定期更换;
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现;
密码输入框中,密码不应明文显示,且不可复制;
……
2)会话管理
系统是否配置并启用了登录失败处理功能;
以错误的用户名或密码登录系统,是否可以登录系统;
是否配置并启用了限制非法登录功能,非法登录达到一定次数后采取特
定动作,如账户锁定等;
是否配置并启用了登录连接超时及自动退出功能;
是否对单个用户的多重并发会话进行限制;
对登录失败的用户名或密码给出的错误提示信息中不应包含诸如“用户名错误”、“密码错误”等确切错误分类信息;
当前已有用户登录,退出系统;点击浏览器的后退键,能否进入已登录界面;
……
三、测试执行
根据设计的测试用例及实施验证方法进行测试、分析。如身份鉴别类,人工检查系统登录模块,用户及口令相关配置,并进行登录等相关的操作,验证相关测试项是否符合预期的安全要求。
以上就是CNAS软件检测实验室信息安全性测试作业指导书的大致内容,如需CNAS软件检测实验室信息安全性测试测试用例集,可私信我获取。
(谢绝转载,更多内容可查看我的主页)