CNAS软件检测实验室信息安全性测试作业指导书编写指南

news2024/11/17 0:00:13

CNAS软件检测实验室在申请信息安全领域测试的相关资质时,需要按照GB/T 25000.51-2016《软件产品质量要求和测试细则》标准中的方法,编写作业指导书,指导软件检测实验室内部信息安全性测试的开展。CNAS软件检测实验室信息安全性测试作业指导与其他类型的软件测试作业指导书在架构上大同小异,需要涵盖的比较核心的部分主要有测试需求分析、测试用例涉及和测试执行三个方面。

一、测试需求分析

首先分析确定要测试内容(身份鉴别、访问控制、数据安全、安全审计、漏洞扫描、接口安全、密码应用、抗抵赖性、个人信息保护、剩余信息保护、组件安全、业务安全、依从性),然后根据要测试内容,进一步分析系统所涉及到的敏感数据、关键功能处理逻辑、关键业务流程、数据接口等信息,为测试用例设计做准备。

安全性测试需求分析可依据的文档包括:

《系统招标文件》

《系统开发合同》

《软件需求分析规格说明书》

1、测试内容分析

查阅相关资料,分析是否有明确的安全性要求。若有明确的安全性要求,进一步分析确定出要测试验证的类别及具体的测试内容;若没有明确的安全性要求,则可选取信息安全性的子特性作为安全性的测试内容。

2、用户角色及权限分析

若对访问控制有明确的安全要求,则需要进一步分析系统的用户角色及各角色所涉及到的业务数据信息等。

3、敏感信息分析

不论对敏感信息是否有明确的安全要求,都需要分析系统所涉及到的所有敏感信息,包括:

➢ 登录信息:用户名、密码;

➢ 个人信息:姓名、身份证、住址、财产等;

➢ 支付信息:商品支付金额、数量、商品编号、订单 ID、验证手机号、验证邮箱等;

➢ ……

4、关键功能处理逻辑分析

若对业务安全有要求,则分析系统是否有如下潜在安全风险的功能处理。如有类似密码找回的功能、有流程回退的业务流程、有验证码的功能操作、有数量限制的功能操作等。

5、数据接口分析

若对接口有明确的安全要求,则需要进一步分析接口的处理机制、安全控制机制、接口参数等。

二、测试用例设计

根据安全测试需求分析结果,结合信息安全测试用例库,设计针对性的测试用例。 如身份鉴别方面主要是验证系统对访问用户身份的认证,可以从如下方面来进行用例设计:

1)身份识别

用户在登录时是否采用了身份鉴别措施;

用户列表确认用户身份标识是否具有唯一性;

用户配置信息或测试验证是否不存在空口令用户;

用户鉴别信息是否具有复杂度要求并定期更换;

应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现;

密码输入框中,密码不应明文显示,且不可复制;

……

2)会话管理

系统是否配置并启用了登录失败处理功能;

以错误的用户名或密码登录系统,是否可以登录系统;

是否配置并启用了限制非法登录功能,非法登录达到一定次数后采取特

定动作,如账户锁定等;

是否配置并启用了登录连接超时及自动退出功能;

是否对单个用户的多重并发会话进行限制;

对登录失败的用户名或密码给出的错误提示信息中不应包含诸如“用户名错误”、“密码错误”等确切错误分类信息;

当前已有用户登录,退出系统;点击浏览器的后退键,能否进入已登录界面;

……

三、测试执行

根据设计的测试用例及实施验证方法进行测试、分析。如身份鉴别类,人工检查系统登录模块,用户及口令相关配置,并进行登录等相关的操作,验证相关测试项是否符合预期的安全要求。

以上就是CNAS软件检测实验室信息安全性测试作业指导书的大致内容,如需CNAS软件检测实验室信息安全性测试测试用例集,可私信我获取。

(谢绝转载,更多内容可查看我的主页)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2162877.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

风力发电机叶片表面缺陷识别检测数据集yolo数据集 共7000张

风力发电机叶片表面缺陷识别检测数据集yolo数据集 共7000张 风力发电机叶片表面缺陷识别数据集(Wind Turbine Blade Defects Recognition Dataset, WTBDRD) 摘要 WTBDRD 是一个专门为风力发电机叶片表面缺陷识别而设计的数据集,旨在为相关领…

【目标检测】隐翅虫数据集386张VOC+YOLO

隐翅虫数据集:图片来自网页爬虫,删除重复项后整理标注而成 数据集格式:Pascal VOC格式YOLO格式(不包含分割路径的txt文件,仅仅包含jpg图片以及对应的VOC格式xml文件和yolo格式txt文件) 图片数量(jpg文件个数):386 标注…

Oracle逻辑备份脚本【生产环境适用】

1 说明 从Oracle10g开始,引入了数据泵(Data Pump),是一种高效的数据传输工具,它通过导出(Export)和导入(Import)的方式帮助用户迁移数据。 在Oracle的产品设计中&#…

IntraWeb开发Web网站时对数据库“增、删、改、查”的操作

delphi源代码:示例两列布局带顶部汉堡菜单,对数据库“增、删、改、查”的操作(兼容电脑与手机) 功能:交互式网页,两列布局,顶部汉堡菜单,点击汉堡图标关闭左侧栏,这里演示…

责任链模式优化 文章发布的接口(长度验证,敏感词验证,图片验证等环节) 代码,示例

需求:后端需要提供一个文章发布的接口,接口中需要先对文章内容进行如下校验,校验通过后才能发布 1. 文章长度不能超过1万个字符 2. 不能有敏感词 3. 文章中图片需要合规 责任链相当于一个链条一样,链条上有很多节点,节…

Flask学习之项目搭建

一、项目基本结构 1、 exts.py 存在的目的:在Python中,如果两个或更多模块(文件)相互导入对方,就会形成导入循环。例如,模块A导入了模块B,同时模块B又导入了模块A,这就会导致导入循环。 比如在这个项目中…

拦截器filter

使用拦截器对请求进行拦截,查看请求头是否携带token 可以看到,拦截器引入了web的依赖 前端的请求会经过网关(gateway),网关用的是netty服务器,会和web默认的tomcat服务器冲突,但是前端过来的请求…

SMTP/IMAP服务发在线邮件时要用到

SMTP/IMAP服务 require PHPMailerAutoload.php; // 或 require class.phpmailer.php;// 创建实例 $mail new PHPMailer();// 设定邮件服务器 $mail->isSMTP(); $mail->Host smtp.example.com; // 邮件服务器地址 $mail->SMTPAuth true; $mail->Username your…

Golang | Leetcode Golang题解之第434题字符串中的单词数

题目: 题解: func countSegments(s string) (ans int) {for i, ch : range s {if (i 0 || s[i-1] ) && ch ! {ans}}return }

Redis面试笔记

1.什么是Redis 简单来说 redis 就是一个数据库,不过与传统数据库不同的是 redis 的数据是存在内存中的,所以读写速度非常快,因此 redis 被广泛应用于缓存方向。另外,redis 也经常用来做分布式锁。redis 提供了多种数据类型来支持…

如何在算家云搭建DiffSynth-Kolors-Painter(图像生成)

一、DiffSynth-Kolors-Painter简介 DiffSynth 画板提供了 Prompt 分区控制技术,可以通过创建图层、调整不同的提示(Prompt)精细地控制画面的每一部分,影响画面的特定区域,从而实现对画面的精细操控,实现了…

LobeChat:使用服务端数据库部署 - Docker+NextAuth(github)+腾讯云

总流程 Docker部署 身份验证服务-NextAuth github S3存储服务 腾讯云COS 1. 安装Docker brew install docker --cask2. 创建pgvector容器(PostgresSQL) docker run --name [myPgvector] -p 5432:5432 -e POSTGRES_PASSWORD[pwd] -d -e POSTGRES_USER[username] pgvector/…

MySQL—存储过程详解

基本介绍 存储过程和函数是数据库中预先编译并存储的一组SQL语句集合。它们的主要目的是提高代码的复用性、减少数据传输、简化业务逻辑处理,并且一旦编译成功,可以永久有效。 存储过程和函数的好处 提高代码的复用性:存储过程和函数可以在…

【NPL】daydayup基本概念,词嵌入

NLP基础 基本概念 NLP,自然语言处理,目标是让计算机能够理解、解释、生成人类语言的数据。包括语言理解,语言生成,机器翻译,情感分享,语音识别,语音合成等 应用方向 自然语言理解 情感分析&a…

Python办公自动化案例:实现XMind文件转换成Excel文件

案例:实现XMind文件转换成Excel文件 将XMind文件转换为Excel文件的过程可以通过几个步骤来实现,主要涉及到读取XMind文件,解析其内容,然后创建一个Excel文件并将解析的内容写入。以下是一个简化的Python脚本,展示了如何使用xmindparser库来解析XMind文件,并使用pandas库…

搜索引擎简介

搜索引擎架构 整个搜索引擎分为三个系统 爬虫系统 索引系统 线上搜素服务 爬虫系统 爬虫分为两个阶段: 第一阶段:根据目标网站的列表页,爬对应的文档 URL 第二阶段:根据文档 URL,下载文档内容 触发器&#xff1…

多级目录SQL分层查询

需求&#xff1a;有多级目录&#xff0c;而目录的层级是不固定的&#xff0c;如下图所示&#xff1a; 数据结构&#xff1a; sql语句&#xff1a; <select id"getList" resultType"com.hikvision.idatafusion.dhidata.bean.vo.knowledgebase.KnowledgeBaseT…

基于SSM的“银发在线教育云平台”的设计与实现(源码+数据库+文档)

基于SSM的“银发在线教育云平台”的设计与实现&#xff08;源码数据库文档) 开发语言&#xff1a;Java 数据库&#xff1a;MySQL 技术&#xff1a;SSM 工具&#xff1a;IDEA/Ecilpse、Navicat、Maven 系统展示 系统功能结构图 首页页面图 健身养生详情页面 在线课堂界面 …

C++ | Leetcode C++题解之第434题字符串中的单词数

题目&#xff1a; 题解&#xff1a; class Solution { public:int countSegments(string s) {int segmentCount 0;for (int i 0; i < s.size(); i) {if ((i 0 || s[i - 1] ) && s[i] ! ) {segmentCount;}}return segmentCount;} };

一种单目标A*算法设计与实现

一种单目标A*算法设计与实现 作者&#xff1a;吴屏珊 最近在学习简单的单目标A*算法&#xff0c;其中在CSDN上阅读到的一篇博文给了我很大启发&#xff0c;于是在该博文的基础上&#xff0c;笔者记录了一点自己对于A*算法的体会和感悟。原文链接 目录 文章目录 一种单目标A*…