電子政務(wù)業(yè)務(wù)應(yīng)用系統(tǒng)安全檢測(cè)技術(shù)

1、電子政務(wù)業(yè)務(wù)應(yīng)用系統(tǒng)安全檢測(cè)技術(shù)技術(shù)創(chuàng)新，變革未來(lái)業(yè)務(wù)/系統(tǒng)/軟件 概念需求分析架構(gòu)設(shè)計(jì)詳細(xì)設(shè)計(jì)編碼測(cè)試用戶需求軟件需求/原型架構(gòu)文檔設(shè)計(jì)模型代碼文件整體安全規(guī)劃設(shè)計(jì)/ 業(yè)務(wù)安全設(shè)計(jì)方案/ 信息系統(tǒng)安全方案安全功能實(shí)現(xiàn)安全功能驗(yàn)證/軟件 安全驗(yàn)證/代碼安全/安過(guò)全程證全業(yè)務(wù)安全目標(biāo)/業(yè)務(wù)信息系統(tǒng)安全目標(biāo)業(yè)業(yè)務(wù)務(wù)安全系需統(tǒng)求安/業(yè)全務(wù) 信設(shè)息計(jì)系統(tǒng)咨安詢?nèi)鑴?wù)求信息系統(tǒng)安全檢測(cè)IT安全需求/評(píng)估IT實(shí)現(xiàn)/ 安全實(shí)現(xiàn)攻防與滲透測(cè)試代碼安全檢測(cè)審計(jì)功能性能 測(cè)試案業(yè)/信務(wù)息系系統(tǒng)統(tǒng)安安全全詳 細(xì)建設(shè)設(shè)計(jì)方咨案詢/服安全務(wù)功 能開發(fā)方案業(yè)務(wù)系統(tǒng)安全業(yè)/建務(wù)設(shè)安全監(jiān)要理求服實(shí)務(wù)現(xiàn)攻防與滲透測(cè)試源代碼安

2、全軟件測(cè)試 安全測(cè)試業(yè)務(wù)安全詳細(xì)設(shè)計(jì)安方全通用保評(píng)安估（CC）01、軟件安全檢測(cè)服務(wù)01CHAPER軟件安全檢測(cè)第3頁(yè)02CHAPER 軟件功能性能測(cè)試03CHAPER軟件源代碼安全測(cè)試04CHAPER系統(tǒng)安全檢測(cè)/評(píng)估05CHAPER系統(tǒng)攻防滲透測(cè)試06CHAPER軟件系統(tǒng)安全評(píng)估服務(wù)07CHAPER總結(jié)分析02、軟件功能性能測(cè)試與檢測(cè)服務(wù)（1）概述02、軟件功能性能測(cè)試與檢測(cè)服務(wù)（1）概述02、軟件功能性能測(cè)試與檢測(cè)服務(wù)（2）基本概念軟件需求需求工程過(guò)程需求獲取需求分析與驗(yàn)證需求規(guī)格說(shuō)明需求管理軟件設(shè)計(jì)基本概念關(guān)鍵問(wèn)題結(jié)構(gòu)與體系結(jié)構(gòu)質(zhì)量分析與評(píng)價(jià)策略與方法軟件構(gòu)造降低復(fù)雜性預(yù)知多樣性結(jié)構(gòu)化

3、驗(yàn)證軟件工程管理組織管理過(guò)程/項(xiàng)目管理軟件工程度量軟件工程過(guò)程軟件過(guò)程概念過(guò)程基礎(chǔ)設(shè)施過(guò)程度量定性過(guò)程分析過(guò)程實(shí)施與變更法軟件工具與方軟件工具軟件方法軟件配置管理配置過(guò)程管理配置標(biāo)識(shí)配置控制配置狀態(tài)報(bào)告軟件發(fā)布管理與交付軟件測(cè)試基本概念和定義測(cè)試級(jí)別測(cè)試技術(shù)測(cè)試相關(guān)度量測(cè)試過(guò)程管理軟件維護(hù)基本概念維護(hù)過(guò)程關(guān)鍵問(wèn)題維護(hù)技術(shù)軟件質(zhì)量軟件質(zhì)量概念SQA和V&V目的與計(jì)劃SQA和V&V活動(dòng)與技術(shù)SQA和V&V的度量02、軟件功能性能測(cè)試與檢測(cè)服務(wù)（2）基本概念業(yè)務(wù)分析需求定義架構(gòu)設(shè)計(jì)詳細(xì)設(shè)計(jì)編程和單元測(cè)試系統(tǒng)測(cè)試發(fā)布/部署用戶溝通測(cè)試分析和設(shè)計(jì)需求可測(cè)試性評(píng)審測(cè)試策略缺陷跟蹤非功能 測(cè)試計(jì)劃測(cè)試環(huán)境

4、搭建功能測(cè)試計(jì)劃、設(shè)計(jì)及評(píng)審部署驗(yàn)證 計(jì)劃單元測(cè)試集成測(cè)試測(cè)試腳本開發(fā)測(cè)試具體腳本測(cè)試執(zhí)行測(cè)試結(jié)果分析產(chǎn)品質(zhì)量評(píng)估測(cè)試報(bào)告需求分析測(cè)試計(jì)劃/編寫測(cè)試用例執(zhí)行測(cè)試用例編寫 測(cè)試報(bào)告02、軟件功能性能測(cè)試與檢測(cè)服務(wù)（3）軟件工程中的軟件測(cè)試服務(wù)總結(jié)評(píng)估階段測(cè)試執(zhí)行階段測(cè)試設(shè)計(jì)階段測(cè)試計(jì)劃階段初始階段軟件生命周期需求分析 需求評(píng)審測(cè)試人員 熟悉了解測(cè)試人員 提出建議 開發(fā)計(jì)劃 及評(píng)審 測(cè)試計(jì)劃 及評(píng)審編碼自測(cè)測(cè)試用例提交基線用例評(píng)審相關(guān)人員參加通知相關(guān) 人員測(cè)試人員 參與 開發(fā)修復(fù)測(cè)試執(zhí)行測(cè)試通過(guò)測(cè)試報(bào)告驗(yàn)收方案上線問(wèn)題 反饋 中科信息1分階段管理和監(jiān)督2及時(shí)對(duì)工作內(nèi)容進(jìn)行評(píng)3調(diào)整工作內(nèi)容方便快捷審

5、流程意義階段軟件測(cè)試流程02、軟件功能性能測(cè)試與檢測(cè)服務(wù)（3）軟件工程中的軟件測(cè)試服務(wù)02、軟件功能性能測(cè)試與檢測(cè)服務(wù)（4）軟件測(cè)試服務(wù)的理念被 測(cè) 領(lǐng) 域應(yīng)用軟件 Web服務(wù)信息安全移動(dòng)互聯(lián) 系統(tǒng)數(shù)據(jù)云計(jì)算移動(dòng)終端 中間件軟件高質(zhì)量產(chǎn)品測(cè)試報(bào)告改進(jìn)建議質(zhì)量需求質(zhì)量標(biāo)準(zhǔn)軟件需求 開發(fā)輸出測(cè)試服務(wù)集成測(cè)試接口測(cè)試可靠性測(cè)試支撐環(huán)境測(cè)試人員測(cè)試技術(shù)測(cè)試環(huán)境管理體系驗(yàn)收測(cè)試功能測(cè)試界面測(cè)試 文檔測(cè)試 易用性測(cè)試 性能測(cè)試系統(tǒng)測(cè)試功能測(cè)試 可靠性測(cè)試 易用性測(cè)試性能測(cè)試可移植性測(cè)試可維護(hù)性測(cè)試單元測(cè)試源代碼檢測(cè)02、軟件功能性能測(cè)試與檢測(cè)服務(wù)（5）軟件測(cè)試服務(wù)的全景圖需求分析概要設(shè)計(jì)詳細(xì)設(shè)計(jì)軟件編碼單

6、元測(cè)試集成測(cè)試系統(tǒng)測(cè)試驗(yàn)收測(cè)試黑盒測(cè)試功能測(cè)試用戶界面測(cè)試文檔測(cè)試 易用性測(cè)試性能測(cè)試 配置測(cè)試 兼容性測(cè)試 發(fā)布測(cè)試功能測(cè)試 可靠性測(cè)試安裝/反安裝測(cè)試易用性測(cè)試可移植性測(cè)試 性能測(cè)試配置測(cè)試兼容性測(cè)試接口測(cè)試可靠性測(cè)試數(shù)據(jù)和數(shù)據(jù)庫(kù)完整性測(cè)試可維護(hù)性測(cè)試故障轉(zhuǎn)移和恢復(fù)測(cè)試源代碼檢測(cè)白盒測(cè)試02、軟件功能性能測(cè)試與檢測(cè)服務(wù)（6）軟件測(cè)試服務(wù)內(nèi)容冒煙測(cè)試靜態(tài)檢查流程模擬測(cè)試業(yè)務(wù)模擬測(cè)試場(chǎng)景模擬測(cè)試測(cè)試方法安裝測(cè)試：安裝正確性、安裝設(shè)置正確性、安裝提示正確性界面測(cè)試：功能驗(yàn)證、操作控制驗(yàn)證、操作連動(dòng)驗(yàn)證流程測(cè)試：基本流程、分支覆蓋、組合覆蓋、業(yè)務(wù)場(chǎng)景文檔測(cè)試：內(nèi)容全面、指導(dǎo)正確測(cè) 試 內(nèi) 容異常操

7、作測(cè)試集成測(cè)試代碼走查體驗(yàn)測(cè)試測(cè)試工具手工測(cè)試自動(dòng)化測(cè)試QTPSeleniumAutoit02、軟件功能性能測(cè)試與檢測(cè)服務(wù)（6）軟件測(cè)試服務(wù)內(nèi)容功能壓力測(cè)試配置測(cè)試容量測(cè)試恢復(fù)性測(cè)試穩(wěn)定性測(cè)試測(cè)試方法本地性能網(wǎng)絡(luò)性能服務(wù)器性能數(shù)據(jù)庫(kù)性能測(cè)試內(nèi)容測(cè)試工具系統(tǒng)容量系統(tǒng)穩(wěn)定性系統(tǒng)容錯(cuò)性極限測(cè)試恢復(fù)性測(cè)試大數(shù)據(jù)量測(cè)試LoadRunner功能強(qiáng)大、支持協(xié)議多、可集群加載壓力、通用性強(qiáng)。Jmeter輕巧快捷、腳本開發(fā)容易、可跨平臺(tái)操作。Nmon詳細(xì)的Linux、AIX等系統(tǒng)的資源監(jiān)控。Ruby單文件編程、方便管理、腳本易學(xué)易用。02、軟件功能性能測(cè)試與檢測(cè)服務(wù)（6）軟件測(cè)試服務(wù)內(nèi)容性能測(cè)試方法售前售后信息

8、反饋調(diào)查問(wèn)卷日常積累同類系統(tǒng)參考易理解性易學(xué)性易操作性吸引性測(cè)試內(nèi)容02、軟件功能性能測(cè)試與檢測(cè)服務(wù)（6）軟件測(cè)試服務(wù)內(nèi)容易用性標(biāo)準(zhǔn)請(qǐng)求測(cè)試擋板測(cè)試開發(fā)驅(qū)動(dòng)和樁測(cè)試方法前后臺(tái)接口內(nèi)部接口外部接口接口一致性測(cè) 試 內(nèi) 容測(cè)試工具多接口兼容性接口性能接口穩(wěn)定性接口性能測(cè)試接口并發(fā)測(cè)試接口大數(shù)據(jù)量測(cè)試SoapUI快速創(chuàng)建和執(zhí)行自動(dòng)化功能，提 供完整的測(cè)試覆蓋，支持所有的標(biāo)準(zhǔn) 協(xié)議和技術(shù)。02、軟件功能性能測(cè)試與檢測(cè)服務(wù)（6）軟件測(cè)試服務(wù)內(nèi)容接口跨系統(tǒng)長(zhǎng)流程測(cè)試跨系統(tǒng)場(chǎng)景模擬測(cè)試模擬增量割接模擬并行割接測(cè)試方法多系統(tǒng)兼容性測(cè)試操作系統(tǒng)兼容性瀏覽器兼容性歷史數(shù)據(jù)兼容性第三方軟件兼容性測(cè) 試 內(nèi) 容測(cè)試工

9、具手工測(cè)試自動(dòng)化測(cè)試02、軟件功能性能測(cè)試與檢測(cè)服務(wù)（6）軟件測(cè)試服務(wù)內(nèi)容兼容性QTPSeleniumAutoitAppScan管理操作端被測(cè)應(yīng)用虛擬化測(cè)試服務(wù)端LoadRunnerJmeterSvn 禪道bugfree TD02、軟件功能性能測(cè)試與檢測(cè)服務(wù)（7）軟件測(cè)試環(huán)境的準(zhǔn)備軟件測(cè)試02、軟件功能性能測(cè)試與檢測(cè)服務(wù)（8）軟件功能性能測(cè)試的意義和作用01CHAPER軟件安全檢測(cè)第20頁(yè)02CHAPER軟件功能性能測(cè)試03CHAPER 軟件源代碼安全測(cè)試04CHAPER系統(tǒng)安全檢測(cè)/評(píng)估05CHAPER系統(tǒng)攻防滲透測(cè)試06CHAPER軟件系統(tǒng)安全評(píng)估服務(wù)07CHAPER總結(jié)分析目錄CONTE

10、NT源 代 碼 安 全 檢 測(cè) / 審 計(jì) 是 依 據(jù) CVE(Common Vulnerabilities & Exposures) 公共漏洞字典表、 OWASP 十大Web 漏洞（Open Web Application Security Project） 2013，以及設(shè)備、軟件廠商公布的漏洞庫(kù)， 結(jié)合專業(yè)源代碼安全檢測(cè)工具對(duì)各種程序語(yǔ)言 編寫的源代碼進(jìn)行檢測(cè)，并對(duì)結(jié)果進(jìn)行安全審 計(jì)。能夠?yàn)榭蛻籼峁┌ò踩幋a規(guī)范咨詢、 源代碼安全檢測(cè)、源代碼安全審計(jì)、定位源代 碼中存在的安全漏洞、分析漏洞風(fēng)險(xiǎn)、給出修 改建議等一系列服務(wù)。03、軟件源代碼安全檢測(cè)與測(cè)試（1）基本概念03、軟件源代碼安全

11、檢測(cè)與測(cè)試（2）服務(wù)依據(jù)的相關(guān)標(biāo)準(zhǔn)03、軟件源代碼安全檢測(cè)與測(cè)試（3）服務(wù)的基本工作流程源代碼分析過(guò)程構(gòu)建集成（Build Integration）該階段首先確認(rèn)是否把集成到構(gòu)建編譯系統(tǒng)。轉(zhuǎn)換（Translation）該階段用一系列命令集把源代碼收集起來(lái)，然后用相應(yīng)的構(gòu)建碼” ， 構(gòu)建標(biāo)識(shí)（ID）把源代碼轉(zhuǎn)換成一種內(nèi)格式的“中間代ID總是被掃描的項(xiàng)目標(biāo)識(shí)（ID）。分析（Analysis）分析轉(zhuǎn)換階段的代碼，生成一個(gè)Fortify格式的文件作為結(jié)果文 件，通常擴(kuò)展名為.fpr。轉(zhuǎn)換驗(yàn)證和分析（Verification & Analysis）該階段確保源文件用正確的規(guī)則包掃描，且沒(méi)有嚴(yán)重錯(cuò)誤出現(xiàn)。

12、03、軟件源代碼安全檢測(cè)與測(cè)試（3）服務(wù)的基本工作流程工具方法服務(wù)流程服務(wù)方式基礎(chǔ)服務(wù)客戶配合服務(wù)環(huán)境支持服務(wù)過(guò)程中配合服務(wù)結(jié)束后配合在收到客戶靜態(tài)代 碼掃描請(qǐng)求后， 服 務(wù)人員為客戶提供 代碼掃描和報(bào)告生 成服務(wù)待掃描代碼的現(xiàn)狀調(diào)研 約定代碼掃描方式與時(shí) 間掃描軟件配置 代碼掃描生成靜態(tài)代碼掃描報(bào)告安裝配置工具執(zhí)行工具掃描下載掃描結(jié)果03、軟件源代碼安全檢測(cè)與測(cè)試（4）源代碼安全檢測(cè)服務(wù)的內(nèi)容提供應(yīng)用代碼檢測(cè)工具自動(dòng)生成的靜態(tài)代碼掃描報(bào)告報(bào)告格式支持PDF格式03、軟件源代碼安全檢測(cè)與測(cè)試（5）源代碼安全檢測(cè)服務(wù)交付方式03、軟件源代碼安全檢測(cè)與測(cè)試（6）支撐服務(wù)交付的相關(guān)工具能力層面增強(qiáng)軟

13、件質(zhì)量 增強(qiáng)人員能力 增強(qiáng)公司實(shí)力經(jīng)濟(jì)層面降低測(cè)試成本 減少人員投入 縮減運(yùn)營(yíng)成本政策層面符合國(guó)家標(biāo)準(zhǔn) 符合制度監(jiān)督 符合資質(zhì)要求03、軟件源代碼安全檢測(cè)與測(cè)試（7）源代碼安全檢測(cè)服務(wù)價(jià)值01CHAPER軟件安全檢測(cè)第29頁(yè)02CHAPER軟件功能性能測(cè)試03CHAPER軟件源代碼安全測(cè)試04CHAPER 系統(tǒng)安全檢測(cè)/評(píng)估05CHAPER系統(tǒng)攻防滲透測(cè)試06CHAPER軟件系統(tǒng)安全評(píng)估服務(wù)07CHAPER總結(jié)分析目錄CONTENT主要標(biāo)準(zhǔn)信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南(GA/T 13892017)信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（GB/T22239-2019）信息安全技術(shù)網(wǎng)絡(luò)安全等

14、級(jí)保護(hù)測(cè)評(píng)要求（GB/T28448-2019）信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范(GB/T20984)信息系統(tǒng)安全保障評(píng)估框架(GB/T20274)信息安全管理體系要求(ISO/IEC 27001)等其他相關(guān)標(biāo)準(zhǔn)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB 17859-1999）信息系統(tǒng)通用安全技術(shù)要求（GB/T20271）網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求（GB/T20270）操作系統(tǒng)安全技術(shù)要求（GB/T20272）數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求（GB/T20273）終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求（GA/T671）信息系統(tǒng)安全管理要求（GB/T20269）信息系統(tǒng)安全工程管理要求（GB/T20282）04、業(yè)務(wù)應(yīng)用的系統(tǒng)安全

15、檢測(cè)與測(cè)試（1）評(píng)估與合規(guī)性檢測(cè)服務(wù)須遵循的標(biāo)準(zhǔn)04、業(yè)務(wù)應(yīng)用的系統(tǒng)安全檢測(cè)與測(cè)試（2）評(píng)估與合規(guī)性檢測(cè)服務(wù)的一般性流程調(diào)研項(xiàng)目調(diào)研重點(diǎn)關(guān)注內(nèi)容調(diào)研成果核心網(wǎng)絡(luò)設(shè)備根據(jù)支撐軟件運(yùn)行的核心網(wǎng)絡(luò)資產(chǎn) 與拓?fù)浜藢?shí)物理位置與邏輯連接網(wǎng)絡(luò)資產(chǎn)調(diào)研表主機(jī)/系統(tǒng)資產(chǎn)根據(jù)支撐軟件運(yùn)行的主機(jī)資產(chǎn)清單 表核實(shí)主機(jī)物理位置與邏輯連接主機(jī)資產(chǎn)調(diào)研表應(yīng)用業(yè)務(wù)調(diào)研業(yè)務(wù)內(nèi)容，應(yīng)用情況，使用現(xiàn)狀， 物理及邏輯連接應(yīng)用資產(chǎn)調(diào)研表管理制度調(diào)研人員訪談的方式完成配套管理制度 調(diào)研，列出管理制度文檔主機(jī)目錄 結(jié)構(gòu)管理核查問(wèn)卷技術(shù)核查問(wèn)卷人員資產(chǎn)調(diào)研表網(wǎng)絡(luò)整體安全評(píng)估表服務(wù)器整體安全評(píng)估表現(xiàn)狀調(diào)研報(bào)告系統(tǒng)安全檢測(cè)與評(píng)估實(shí)施方案04、業(yè)

16、務(wù)應(yīng)用的系統(tǒng)安全檢測(cè)與測(cè)試（3）系統(tǒng)支撐環(huán)境的調(diào)研檢測(cè)/評(píng)估重點(diǎn)工作內(nèi)容與工作方式成果主機(jī)配置檢查依據(jù)主機(jī)配置評(píng)估表與操作手冊(cè)，結(jié) 合利用主機(jī)配置提取腳本完成主機(jī)系 統(tǒng)的評(píng)估（系統(tǒng)配置抓圖與腳本工具配置提取主機(jī)評(píng)估表單重要問(wèn)題列表網(wǎng)絡(luò)配置檢查依據(jù)甲方提供的設(shè)備配置文檔，利用 網(wǎng)絡(luò)設(shè)備評(píng)估表分析設(shè)備安全狀況（安全設(shè)備配置抓圖）網(wǎng)絡(luò)設(shè)備評(píng)估表單重要問(wèn)題列表系統(tǒng)漏洞掃描對(duì)主機(jī)系統(tǒng)實(shí)施現(xiàn)場(chǎng)掃描（單線程）生成主機(jī)漏洞掃描報(bào) 告管理制度核查與主機(jī)、網(wǎng)絡(luò)配置檢查人員配合，識(shí) 別管理制度的現(xiàn)狀核查，發(fā)現(xiàn)管理脆 弱性，識(shí)別安全防護(hù)措施的有效性脆弱性問(wèn)題匯總報(bào)告04、業(yè)務(wù)應(yīng)用的系統(tǒng)安全檢測(cè)與測(cè)試（4）系統(tǒng)和設(shè)備級(jí)

17、的檢查、檢測(cè)和評(píng)估 資產(chǎn)分析 安全防護(hù)措施有效性分析 脆弱性分析 威脅分析 風(fēng)險(xiǎn)分析 風(fēng)險(xiǎn)分析方法 資產(chǎn)分析 安全防護(hù)措施有效性分析 脆弱性分析 威脅分析 風(fēng)險(xiǎn)值計(jì)算根據(jù)兩個(gè)方面開展檢測(cè)與評(píng)估工作：1、參考風(fēng)險(xiǎn)評(píng)估相關(guān)標(biāo)準(zhǔn)、等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)，形成風(fēng)險(xiǎn)評(píng)估和 等級(jí)保護(hù)差距分析；2、根據(jù)軟件系統(tǒng)支撐的業(yè)務(wù)領(lǐng)域的相關(guān)標(biāo)準(zhǔn)，形成合規(guī)性分析；綜合后形成該系 統(tǒng)的安全檢測(cè)與評(píng)估報(bào)告04、業(yè)務(wù)應(yīng)用的系統(tǒng)安全檢測(cè)與測(cè)試（5）檢測(cè)、評(píng)估分析過(guò)程采用合規(guī)性檢測(cè)的方法分析信息 系統(tǒng)中存在的安全問(wèn)題和隱患，通過(guò) 綜合的檢測(cè)分析，找出信息系統(tǒng)面臨 的風(fēng)險(xiǎn)，及合規(guī)性差異。合規(guī)性檢測(cè)過(guò)程共分四個(gè)部分， 首先要確定合規(guī)性檢測(cè)

18、的范圍和內(nèi)容，然后確定合規(guī)指標(biāo)，按照合規(guī)指標(biāo)的要求進(jìn)行合規(guī)性檢測(cè)和分析，最后 得出合規(guī)報(bào)告并提出整改的建議。信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（GB/T22239-2019）信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù) 測(cè)評(píng)要求（GB/T28448-2019）04、業(yè)務(wù)應(yīng)用的系統(tǒng)安全檢測(cè)與測(cè)試（6）系統(tǒng)合規(guī)分析幫助準(zhǔn)確了解信息系統(tǒng)安全現(xiàn)狀；幫助全面了解信息安全管理現(xiàn)狀；在安全事故爆發(fā)之前避免、減少或轉(zhuǎn)移風(fēng)險(xiǎn)；為系統(tǒng)建設(shè)及網(wǎng)絡(luò)安全決策和管理提供依據(jù)；滿足相關(guān)政策法規(guī)（如：等級(jí)保護(hù)）要求。04、業(yè)務(wù)應(yīng)用的系統(tǒng)安全檢測(cè)與測(cè)試（7）系統(tǒng)安全檢測(cè)/評(píng)估的意義01CHAPER軟件安全檢測(cè)第37頁(yè)02CHAPER軟件功能

19、性能測(cè)試03CHAPER軟件源代碼安全測(cè)試04CHAPER系統(tǒng)安全檢測(cè)/評(píng)估05CHAPER 系統(tǒng)攻防滲透測(cè)試06CHAPER軟件系統(tǒng)安全評(píng)估服務(wù)07CHAPER總結(jié)分析目錄CONTENT05、業(yè)務(wù)應(yīng)用系統(tǒng)的滲透和攻防測(cè)試（1）滲透測(cè)試的標(biāo)準(zhǔn)和方法05、業(yè)務(wù)應(yīng)用系統(tǒng)的滲透和攻防測(cè)試（2）滲透測(cè)試的基本流程數(shù)據(jù)收集通過(guò)漏洞掃描工具收集網(wǎng)絡(luò)、主機(jī)、 系統(tǒng)、應(yīng)用已知漏洞信息，針對(duì)目 前沒(méi)有公開發(fā)布的溢出漏洞，采用 人工綜合獲取。通過(guò)信息收集分析， 測(cè)試者可以相應(yīng)地、有針對(duì)性地制 定入侵攻擊的計(jì)劃，提高入侵的成 功率。信息收集的方法包括主機(jī)網(wǎng) 絡(luò)掃描、端口掃描、操作類型判別、 應(yīng)用判別、賬號(hào)掃描、配置

20、判別等 等。漏洞分析通過(guò)分析收集來(lái)的數(shù)據(jù)，可發(fā)現(xiàn)高、 中、低三個(gè)級(jí)別的風(fēng)險(xiǎn)、漏洞、溢 出問(wèn)題，組合成入侵者可能利用的 途徑，確認(rèn)可以被利用的漏洞：漏洞利用利用網(wǎng)絡(luò)邊界設(shè)備配置漏洞、主機(jī) 所提供的高風(fēng)險(xiǎn)服務(wù)、自行和外包 開發(fā)的應(yīng)用程序代碼溢出、數(shù)據(jù)庫(kù) 調(diào)用注入等問(wèn)題進(jìn)行滲透測(cè)試。并 通過(guò)漏洞提升操作權(quán)限跳轉(zhuǎn)相鄰可 信系統(tǒng)。緩沖區(qū)溢出測(cè)試緩沖區(qū)溢出漏洞大量存在于各種應(yīng) 用中，通過(guò)向緩沖區(qū)寫入超過(guò)緩沖 區(qū)長(zhǎng)度的內(nèi)容，造成緩沖區(qū)溢出， 破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行 其他的指令來(lái)獲得系統(tǒng)特權(quán)等。拒絕服務(wù)測(cè)試通過(guò)構(gòu)造發(fā)送長(zhǎng)度超過(guò)65535字節(jié) 的ICMP Echo Request 數(shù)據(jù)包、大 量的SYN

21、包、測(cè)試目標(biāo)機(jī)防護(hù) TCP/IP協(xié)議棧崩潰的能力。分布式拒絕服務(wù)測(cè)試?yán)梅稚⒃谝蛱鼐W(wǎng)各處的測(cè)試服務(wù) 器同時(shí)對(duì)目標(biāo)機(jī)發(fā)起拒絕服務(wù)的操 作，測(cè)試目標(biāo)機(jī)對(duì)突發(fā)安全攻擊事 件的監(jiān)察能力及抵御措施。DNS地址欺騙測(cè)試?yán)肦FC協(xié)議、BIND應(yīng)用中的某些 不完善的地方，獲取特權(quán)身份執(zhí)行 任意命令。數(shù)據(jù)庫(kù)注入測(cè)試提交特殊構(gòu)建的一段數(shù)據(jù)庫(kù)查詢代 碼，根據(jù)程序返回的結(jié)果，獲得敏 感數(shù)據(jù)，測(cè)試輸入數(shù)據(jù)的合法性判 斷的能力。防火墻透穿測(cè)試通過(guò)設(shè)備配置策略的合法服務(wù)及端 口，獲取敏感數(shù)據(jù)，并利用專業(yè)工 具與技術(shù)建立隱秘隧道跳轉(zhuǎn)可信網(wǎng) 絡(luò)。邊界區(qū)域安全超級(jí)漏掃設(shè)備IIS溢出分析利用工具跨平臺(tái)漏洞掃描設(shè)備數(shù)據(jù)庫(kù)漏洞掃描工

22、具應(yīng)用服務(wù)探測(cè)設(shè)備DDOS模擬攻擊工具數(shù)據(jù)庫(kù)注入利用工具權(quán)限提升工具數(shù)據(jù)旁路截取工具惡意代碼分析工具加固腳本及系統(tǒng)CheckList05、業(yè)務(wù)應(yīng)用系統(tǒng)的滲透和攻防測(cè)試（3）滲透測(cè)試的基本工具和環(huán)境05、業(yè)務(wù)應(yīng)用系統(tǒng)的滲透和攻防測(cè)試（3）滲透測(cè)試的基本工具和環(huán)境05、業(yè)務(wù)應(yīng)用系統(tǒng)的滲透和攻防測(cè)試（4）測(cè)試對(duì)象類別05、業(yè)務(wù)應(yīng)用系統(tǒng)的滲透和攻防測(cè)試（6）滲透攻防測(cè)試與系統(tǒng)加固05、業(yè)務(wù)應(yīng)用系統(tǒng)的滲透和攻防測(cè)試（6）滲透攻防測(cè)試與系統(tǒng)加固幫助用戶識(shí)別信息系統(tǒng)被入侵的可能性；查找并封堵信息系統(tǒng)潛在的安全風(fēng)險(xiǎn)與漏洞；驗(yàn)證信息系統(tǒng)目前安全措施的防護(hù)強(qiáng)度；在入侵者發(fā)起攻擊前封堵可能被利用的攻擊途徑；為信息系

23、統(tǒng)安全整改提供數(shù)據(jù)依據(jù)。05、業(yè)務(wù)應(yīng)用系統(tǒng)的滲透和攻防測(cè)試（7）滲透測(cè)試與系統(tǒng)加固的意義和作用01CHAPER軟件安全檢測(cè)第46頁(yè)02CHAPER軟件功能性能測(cè)試03CHAPER軟件源代碼安全測(cè)試04CHAPER系統(tǒng)安全檢測(cè)/評(píng)估05CHAPER系統(tǒng)攻防滲透測(cè)試06CHAPER 軟件系統(tǒng)安全評(píng)估服務(wù)07CHAPER總結(jié)分析目錄CONTENT信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 第1部分：簡(jiǎn)介和一般模型（GB/T 18336.1-2008 ）安全技術(shù) 信息技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 第2部分：安全功能要求（GB/T 18336.2-2008 ）信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則

24、第3部分：安全保證要求（GB/T 18336.3-2008 ）EAL1功能測(cè)試級(jí)適用在對(duì)正確運(yùn)行要求有一定信心的場(chǎng)合，此場(chǎng)合下認(rèn)為安全威 脅并不嚴(yán)重。如：個(gè)人信息保護(hù)EAL2結(jié)構(gòu)測(cè)試級(jí)在交付設(shè)計(jì)信息和測(cè)試結(jié)果時(shí)，需要開發(fā)人員的合作。但在超出良好的商業(yè)運(yùn)作的一致性方面，不要花費(fèi)過(guò)多的精力。EAL3系統(tǒng)測(cè)試和檢查級(jí)在不大量更改已有合理才開發(fā)實(shí)現(xiàn)的前提下，允許一位盡責(zé)的開發(fā)人員在設(shè)計(jì)階段從正確的安全工程中獲得最大限度的保證。EAL4系統(tǒng)設(shè)計(jì)，測(cè)試和復(fù)查級(jí)它使開發(fā)人員從正確的安全工程中獲得最大限度的保證，這種安 全工程基于良好的商業(yè)開發(fā)實(shí)踐，這種實(shí)踐很嚴(yán)格，但并不需要 大量專業(yè)知識(shí)，技巧和其他資源。在

25、經(jīng)濟(jì)合理的條件下，對(duì)一個(gè)已經(jīng)存在的生產(chǎn)線進(jìn)行翻新時(shí)， EAL4是所能達(dá)到的最高級(jí)別。EAL5半形式化設(shè)計(jì)和測(cè) 試級(jí)開發(fā)者能從安全工程中獲得最大限度的安全保證，該安全工程是 基于嚴(yán)格的商業(yè)開發(fā)實(shí)踐，靠適度應(yīng)用專業(yè)安全工程技術(shù)來(lái)支持 的。EAL5以上的級(jí)別是軍用信息設(shè)備，用于公開密鑰基礎(chǔ)設(shè)施 的信息設(shè)備應(yīng)達(dá)到的標(biāo)準(zhǔn)。EAL6半形式化驗(yàn)證設(shè)計(jì) 和測(cè)試級(jí)開發(fā)者通過(guò)安全工程技術(shù)的應(yīng)用和嚴(yán)格的開發(fā)環(huán)境獲得高度的認(rèn) 證，保護(hù)高價(jià)值的資產(chǎn)能夠?qū)怪卮箫L(fēng)險(xiǎn)。EAL7形式化驗(yàn)證設(shè)計(jì)和 測(cè)試級(jí)適用于風(fēng)險(xiǎn)非常高或有高價(jià)值資產(chǎn)值得更高開銷的地方。（1）標(biāo)準(zhǔn)及模型06、軟件系統(tǒng)安全評(píng)估所有者對(duì)策脆弱性風(fēng)險(xiǎn)資產(chǎn)威脅威脅主體

26、價(jià)值 期望最小化利用可能意識(shí)到引起利用可能具有 可被減少導(dǎo)致 減少增加針對(duì)針對(duì)希望濫用和（或）破壞（2）安全概念及其關(guān)系06、軟件系統(tǒng)安全評(píng)估評(píng)估最終評(píng)估結(jié)果批準(zhǔn)/認(rèn)證證書列表/注冊(cè)評(píng)估體制評(píng)估方法學(xué) 評(píng)估準(zhǔn)則（GB/T 18336）（3）通用評(píng)估準(zhǔn)則的一般評(píng)估過(guò)程06、軟件系統(tǒng)安全評(píng)估評(píng)估準(zhǔn)則（CC）反饋安全要求（PP和ST）評(píng)估方法學(xué)評(píng)估體制運(yùn)行TOE評(píng)估TOE評(píng)估結(jié)果開發(fā)TOETOE和評(píng)估證據(jù)（3）通用評(píng)估準(zhǔn)則的一般評(píng)估過(guò)程06、軟件系統(tǒng)安全評(píng)估保護(hù)輪廓（PP）：一個(gè)PP為一類TOE定義了一組與實(shí)現(xiàn)無(wú)關(guān)的IT安 全要求。這類TOE試圖滿足客戶對(duì)IT安全性的通用需求，因此客戶不 必依賴特定

27、TOE就能構(gòu)建或引用一個(gè)PP來(lái)表示他們的IT安全需求。安全目標(biāo)（ST）：一個(gè)ST包含一個(gè)既定TOE的IT安全要求，并規(guī)定 了該TOE應(yīng)提供的安全功能和保證措施以滿足所提出的安全要求。 一個(gè)TOE的ST是開發(fā)者、評(píng)估者和適當(dāng)?shù)目蛻糁g對(duì)TOE安全特性 和評(píng)估范圍達(dá)成一致的基礎(chǔ)，ST的讀者不限于那些對(duì)TOE生產(chǎn)和評(píng) 估負(fù)有責(zé)任的人員，那些負(fù)責(zé)管理、營(yíng)銷、才有、安裝、配置、操作 和使用TOE的人員也可以是ST的讀者。ST可合并一個(gè)或多個(gè)PP的要求或宣稱符合一個(gè)或多個(gè)PP。（3）通用評(píng)估準(zhǔn)則的一般評(píng)估過(guò)程06、軟件系統(tǒng)安全評(píng)估功能類和保證類功能（11）保證（10）FAU類：安全審計(jì)APE類：PP評(píng)估FCO類：通信ASE類：ST評(píng)估FCS類：密碼支持ACM類：配置管理FDP類：用戶數(shù)據(jù)保護(hù)ADO類：交付和運(yùn)行FIA類：標(biāo)識(shí)和鑒別