信息安全性

信息安全性測試的目的在于發(fā)現(xiàn)、評估并修復(fù)系統(tǒng)中的安全漏洞，確保信息資產(chǎn)得到妥善保護(hù)。

信息安全性測試結(jié)果示例：

測試需求項	測試需求點	用例編號	測試內(nèi)容	備注
保密性	訪問控制	IS-001	軟件產(chǎn)品具有對系統(tǒng)正常訪問的控制能力，用戶權(quán)限應(yīng)遵循“最小權(quán)限原則”。	需改配置
	身份鑒別	IS-002	系統(tǒng)進(jìn)行用戶身份鑒別，并在每次用戶登錄系統(tǒng)時進(jìn)行鑒別。
	鑒別信息	IS-003	軟件鑒別信息為不可見，不可復(fù)制，且具有相應(yīng)的抗攻擊能力，并在存儲或傳輸時用加密方法/具有相同安全強(qiáng)度的其他方法進(jìn)行安全保護(hù)。
	傳輸加密	IS-004	數(shù)據(jù)在傳輸過程中不被竊聽，對整個通信過程中的整個報文或會話過程進(jìn)行加密。	無
	用戶權(quán)限	IS-005	明確區(qū)分系統(tǒng)中不同用戶權(quán)限，系統(tǒng)不會因用戶的權(quán)限的改變造成混亂。
	鑒別失敗處理	IS-006	測試系統(tǒng)是否對不成功的鑒別嘗試的值（包括嘗試次數(shù)和時間的閥值）進(jìn)行預(yù)先定義，并明確規(guī)定達(dá)到該值時是否采取了具有規(guī)范性和安全性的措施來實現(xiàn)鑒別失敗的處理。
	認(rèn)證繞過	IS-007	軟件應(yīng)能防止對程序和數(shù)據(jù)的未授權(quán)訪問。	需改造配置
完整性	異常事件處理	IS-008	模擬非法入侵攻擊事件的條件下，驗證軟件產(chǎn)品是否有控制和處理能力。	無
	非授權(quán)篡改	IS-009	驗證軟件產(chǎn)品對非授權(quán)人創(chuàng)建、刪除或修改信息是否有控制處理能力。	無
	完整性審計	IS-010	軟件應(yīng)能識別出對結(jié)構(gòu)數(shù)據(jù)庫或文件完整性產(chǎn)生損害的事件，且能阻止該事件，并通報給授權(quán)者。	無
抗抵賴性	數(shù)據(jù)發(fā)送憑證	IS-011	測試軟件具有在請求的情況下為數(shù)據(jù)原發(fā)者提供數(shù)據(jù)原發(fā)證據(jù)的功能。
	數(shù)據(jù)發(fā)送憑證	IS-012	測試軟件是否具有在請求的情況下為數(shù)據(jù)接收者提供數(shù)據(jù)接收證據(jù)的功能。
	數(shù)字證書	IS-013	軟件使用數(shù)字證書等方式保證用戶的身份認(rèn)證，在收到請求的情況下為數(shù)據(jù)原發(fā)者或接受者提供數(shù)據(jù)原發(fā)和接收的證據(jù)。	無
	日志審計	IS-014	測試軟件具備完整且無法篡改的審計記錄，確保用戶操作可經(jīng)過審計及追蹤。系統(tǒng)操作日志/審計、異常日志、告警日志，審計/日志的完整性、保密性。
	日志審計	IS-015	驗證審計日志的管理，日志不能被任何人修改和刪除，能夠形成完整的證據(jù)鏈。
可核查性	進(jìn)程關(guān)聯(lián)	IS-016	測試系統(tǒng)將用戶進(jìn)程與所有者用戶相關(guān)聯(lián)，使用戶進(jìn)程行為可以追溯到進(jìn)程所有者用戶	無
	系統(tǒng)審計	IS-017	測試系統(tǒng)或軟件的審計模塊，檢查模塊是否具有完善的安全審計功能。考察啟用安全審計功能后，覆蓋用戶的多少和安全事件的程度，覆蓋到每個用戶活動，日志記錄內(nèi)容至少應(yīng)包括事件日期、事件、發(fā)起者信息、類型、描述和結(jié)果等	無
	賬戶管理	IS-018	包括賬戶唯一性、登錄機(jī)制、密碼管理策略
	會話管理	IS-019	設(shè)計登錄成功使用新的會話；設(shè)計會話數(shù)據(jù)的存儲安全；設(shè)計會話數(shù)據(jù)的傳輸安全；設(shè)計會話的安全終止；設(shè)計合理的會話存活時間；設(shè)計避免跨站請求偽造	無
真實性	用戶信息	IS-020	驗證軟件是否具有當(dāng)前使用系統(tǒng)的用戶列表和配置表	無
	訪問登錄記錄	IS-021	驗證軟件在系統(tǒng)的訪問歷史數(shù)據(jù)庫中記錄的訪問登錄記錄是否完整
	日志記錄	IS-022	檢查軟件是否具有用戶使用系統(tǒng)的歷史日志及日志管理功能
		IS-023	在模擬攻擊事件的入侵的情況下,驗證軟件的日志內(nèi)容是否有相關(guān)記錄。	無
		IS-024	檢查軟件中的"用戶訪問系統(tǒng)和數(shù)據(jù)"的記錄內(nèi)是否包括防止病毒的"病毒檢測記錄"。	無
依從性	依從性	IS-025	產(chǎn)品或系統(tǒng)遵循與信息安全性相關(guān)的標(biāo)準(zhǔn)、約定或法規(guī)以及類似規(guī)定的程度。
漏洞掃描	漏洞掃描	IS-026	針對HTTP響應(yīng)分割、SQL注入、SSI注入、URL復(fù)位向濫用、XML實體擴(kuò)展、XML屬性放大、XML外部實體、XPath注入、不安全索引、操作系統(tǒng)命令、傳輸層保護(hù)不足、惡意內(nèi)容測試、服務(wù)器配置錯誤、格式字符串、功能濫用、緩沖區(qū)溢出、會話定置、會話期限不足、拒絕服務(wù)、可預(yù)測資源位置、空字節(jié)注入、跨網(wǎng)站腳本編制、跨網(wǎng)站請求偽造、路徑遍歷、蠻力、目錄索引、內(nèi)容電子欺騙、憑證/會話預(yù)測、權(quán)限不足、認(rèn)證不充分、信息泄露、遠(yuǎn)程文件包含等掃描項。
代碼審計	代碼審計	IS-027	通過靜態(tài)代碼分析來檢查代碼中的潛在問題，如漏洞、錯誤、代碼需要重構(gòu)的代碼區(qū)域等。檢查代碼是否符合特定的編碼規(guī)范和標(biāo)準(zhǔn)，例如是否遵循了特定的命名約定、注釋規(guī)則、代碼布局等。
滲透測試	滲透測試	IS-028	主要涉及越權(quán)訪問、明文傳輸、SQL注入、XSS跨站腳本、文件上傳、后臺地址泄露、命令執(zhí)行、目錄遍歷、會話重放、CSRF跨站請求偽造、任意文件下載漏洞、設(shè)計缺陷/邏輯錯誤、XML實體注入、開放高危端口和無關(guān)端口、登錄功能驗證碼、不安全的Cookie、SSL漏洞、SSRF漏洞、默認(rèn)口令口令、其它漏洞類型。

一、信息安全性測試的重要性

信息安全性測試的重要性不言而喻。首先，它可以幫助企業(yè)和組織發(fā)現(xiàn)潛在的安全風(fēng)險，避免數(shù)據(jù)泄露、系統(tǒng)癱瘓等嚴(yán)重后果。其次，通過信息安全性測試，可以提高系統(tǒng)的可靠性和穩(wěn)定性，保證業(yè)務(wù)正常運行。此外，信息安全性測試還可以為企業(yè)的合規(guī)性提供有力保障，避免因違反相關(guān)法律法規(guī)而引發(fā)的法律風(fēng)險。

二、信息安全性測試的方法與流程

信息安全性測試的方法多種多樣，包括滲透測試、漏洞掃描、安全風(fēng)險評估等。滲透測試是通過模擬黑客攻擊來發(fā)現(xiàn)系統(tǒng)中的安全漏洞；漏洞掃描則利用自動化工具對系統(tǒng)進(jìn)行全面檢查，發(fā)現(xiàn)潛在的安全隱患；安全風(fēng)險評估則是對系統(tǒng)的安全性進(jìn)行量化評估，為改進(jìn)提供依據(jù)。

信息安全性測試的流程通常包括以下幾個步驟：明確測試目標(biāo)、制定測試計劃、執(zhí)行測試、分析測試結(jié)果、編寫測試報告和制定改進(jìn)措施。在每個步驟中，都需要充分利用專業(yè)的測試工具和技術(shù)，確保測試的準(zhǔn)確性和有效性。

三、信息安全性測試的挑戰(zhàn)與應(yīng)對策略

在信息安全性測試過程中，企業(yè)和組織面臨著諸多挑戰(zhàn)。首先，隨著技術(shù)的不斷進(jìn)步，黑客的攻擊手段也日益狡猾和復(fù)雜，這使得信息安全性測試的難度不斷增大。其次，信息安全性測試需要投入大量的人力、物力和財力，這對于一些中小型企業(yè)來說可能是一個不小的負(fù)擔(dān)。

為了應(yīng)對這些挑戰(zhàn)，企業(yè)和組織需要采取一系列策略。首先，加強(qiáng)技術(shù)研發(fā)，提高信息安全性測試的技術(shù)水平。其次，建立完善的信息安全體系，確保信息安全性測試能夠覆蓋到所有關(guān)鍵領(lǐng)域。此外，加強(qiáng)與國際合作，共同應(yīng)對全球范圍內(nèi)的信息安全威脅也是一個有效的途徑。

信息安全性測試方法：

總體方向	信息安全性測試是通過人工手動檢查方式進(jìn)行系統(tǒng)安全檢查，并對安全檢查結(jié)果進(jìn)行記錄，通過安全性分析，以使用戶、其他產(chǎn)品或系統(tǒng)具有與其授權(quán)類型和授權(quán)級別一致的數(shù)據(jù)訪問度。
評測關(guān)注	? 保密性：產(chǎn)品或系統(tǒng)確保數(shù)據(jù)只有在被授權(quán)時才能被訪問的程度。 ? 完整性：系統(tǒng)、產(chǎn)品或組件防止未授權(quán)訪問、篡改計算機(jī)程序或數(shù)據(jù)的程度。 ? 抗抵賴性：活動或事件發(fā)生后可以被證實且不可被否認(rèn)的程度。 ? 可核查性：實體的活動可以被唯一地追溯到該實體的程度。 ? 真實性：對象或資源的身份標(biāo)識能夠被證實符合其聲明的程度。 ? 依從性：產(chǎn)品或系統(tǒng)遵循與信息安全性相關(guān)的標(biāo)準(zhǔn)、約定或法規(guī)以及類似規(guī)定的程度。
評測方法	安全檢查：通過檢查清單的方式進(jìn)行測試的方法。針對系統(tǒng)的身份鑒別、安全標(biāo)記、訪問控制、可信路徑、安全審計、剩余信息保護(hù)、入侵防范、惡意代碼防范、資源控制，設(shè)定相應(yīng)的安全檢查列表對此類系統(tǒng)進(jìn)行相關(guān)的配置檢查。手工測試，通過安全輔助工具，手工的對系統(tǒng)安全進(jìn)行測試的方法。比如通過協(xié)議分析工具檢測系統(tǒng)通信過程中是否采用了加密信息，加密方式是否符合系統(tǒng)的要求等。安全漏洞掃描：在用戶提供的測試環(huán)境下，以安全漏洞掃描的方式，檢查軟件程序?qū)τ谥付ǖ陌踩L(fēng)險的防護(hù)能力。
評測步驟	1. 明確系統(tǒng)信息安全性需求，并量化信息安全性需求指針。 2. 設(shè)計信息安全性測試用例。 3. 執(zhí)行信息安全性測試，記錄測試結(jié)果。 4. 依據(jù)需求比對并評價系統(tǒng)信息安全性。 5. 通過信息安全性分析，提交安全性風(fēng)險。

四、信息安全性測試的未來展望

隨著云計算、大數(shù)據(jù)、人工智能等技術(shù)的快速發(fā)展，信息安全性測試將面臨更多的機(jī)遇和挑戰(zhàn)。未來，信息安全性測試將更加注重智能化、自動化和協(xié)同化。智能化測試將利用人工智能和機(jī)器學(xué)習(xí)等技術(shù)，提高測試的準(zhǔn)確性和效率；自動化測試則通過自動化工具和平臺，降低測試成本，提高測試效率；協(xié)同化測試則強(qiáng)調(diào)跨部門、跨領(lǐng)域的合作，共同應(yīng)對復(fù)雜多變的信息安全威脅。

1572596133663536

成都精正檢測技術(shù)有限公司，全國服務(wù)的權(quán)威第三方軟件測試機(jī)構(gòu)，具備CMA、CNAS雙重認(rèn)證資質(zhì)。2019年應(yīng)國家行業(yè)發(fā)展要求成立，專注于軟件測試服務(wù)，技術(shù)人員擁有多年豐富測試經(jīng)驗，團(tuán)隊秉承科學(xué)、公正、專業(yè)的服務(wù)理念，以先進(jìn)效率的測試平臺及工具，服務(wù)于政企研院校等機(jī)構(gòu)，出具的軟件測試報告公正權(quán)威具備法律效力，提供確認(rèn)測試、鑒定測試、驗收測試、滲透測試、漏洞掃描、代碼審計、駐場測試、技術(shù)指導(dǎo)、電網(wǎng)信息系統(tǒng)驗收測試、單元測試、集成測試、登記測試等服務(wù)領(lǐng)域及其他專業(yè)技術(shù)服務(wù)（包含功能性、性能效率、兼容性、易用性、可靠性、信息安全性、可維護(hù)性、可移植性、有效性、滿意度、抗風(fēng)險性、周境覆蓋、正確性、用戶文檔集等質(zhì)量特性測試）等服務(wù)。為軟件行業(yè)保駕護(hù)航！ (點擊咨詢測試報價）

產(chǎn)品推薦

成都精正檢測技術(shù)有限公司

專業(yè)公正的第三方軟件檢測機(jī)構(gòu)