軟件系統(tǒng)安全測(cè)試管理標(biāo)準(zhǔn)規(guī)范_第1頁
軟件系統(tǒng)安全測(cè)試管理標(biāo)準(zhǔn)規(guī)范_第2頁
軟件系統(tǒng)安全測(cè)試管理標(biāo)準(zhǔn)規(guī)范_第3頁
軟件系統(tǒng)安全測(cè)試管理標(biāo)準(zhǔn)規(guī)范_第4頁
軟件系統(tǒng)安全測(cè)試管理標(biāo)準(zhǔn)規(guī)范_第5頁
已閱讀5頁,還剩10頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

軟件系統(tǒng)安全測(cè)試管理規(guī)范上海理想信息產(chǎn)業(yè)(集團(tuán))TIME\@"yyyy'年'M'月'd'日'"8月15日版本歷史版本提案人同意人日期描述1.0甘XX.6.16初建

【目錄】1 概述 系統(tǒng)信息開發(fā)商:體系結(jié)構(gòu):編程語言:操作系統(tǒng):WEB服務(wù)器:數(shù)據(jù)庫:測(cè)試范圍軟件內(nèi)部程序、軟件外部接口、數(shù)據(jù)庫、網(wǎng)絡(luò)服務(wù)器環(huán)境等工作權(quán)責(zé)序號(hào)包含各方權(quán)責(zé)說明1安全測(cè)試團(tuán)體1、

組織討論、編寫安全測(cè)試方案并經(jīng)過評(píng)審2、

測(cè)試人員分工安排3、

搭建安全測(cè)試環(huán)境4、

安全測(cè)試實(shí)施2圖信1、

參與討論并確定測(cè)試方案2、

進(jìn)行程序開發(fā)或修改等集成相關(guān)實(shí)施工作3總集1、

協(xié)調(diào)安全測(cè)試團(tuán)體2、審核安全測(cè)試團(tuán)體制訂安全測(cè)試方案3、其它協(xié)調(diào)配合工作4系統(tǒng)廠商1、

提供測(cè)試軟件相關(guān)信息2、

其它協(xié)調(diào)配合工作測(cè)試方案安全測(cè)試團(tuán)體依據(jù)軟件組成、軟件環(huán)境和圖信安全需求編制《X軟件系統(tǒng)安全測(cè)試方案》;此方案要求圖信PM、總集PM均審核經(jīng)過;若審核未經(jīng)過,由安全測(cè)試團(tuán)體依據(jù)反饋提議,針對(duì)未經(jīng)過業(yè)務(wù)內(nèi)容進(jìn)行修改或重新調(diào)研,完成后進(jìn)行再提交審核。軟件系統(tǒng)安全測(cè)試方案最少要覆蓋以下內(nèi)容:測(cè)試準(zhǔn)備(對(duì)象、范圍、分工)測(cè)試分析(系統(tǒng)分析、威脅分析)制作測(cè)試用例實(shí)施測(cè)試方法回歸測(cè)試方法測(cè)試準(zhǔn)備明確此次安全測(cè)試軟件系統(tǒng)及其測(cè)試范圍,并對(duì)包含各方權(quán)責(zé)做出說明測(cè)試分析測(cè)試分析關(guān)鍵是熟悉被測(cè)系統(tǒng),經(jīng)過系統(tǒng)外部環(huán)境分析、物理架構(gòu)分析和邏輯架構(gòu)分析,了解系統(tǒng)特征,便于后續(xù)威脅分析和對(duì)應(yīng)用例編寫。系統(tǒng)分析系統(tǒng)分析包含外部環(huán)境分析、物理架構(gòu)分析和邏輯架構(gòu)分析劃分。外部環(huán)境分析對(duì)系統(tǒng)所在外部環(huán)境,如操作系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)等進(jìn)行分析服務(wù)器安全防護(hù)(系統(tǒng)補(bǔ)丁、漏洞、木馬、外掛、開放端口)服務(wù)器用戶及其權(quán)限管理,密碼更新機(jī)制服務(wù)器備份機(jī)制物理架構(gòu)分析根據(jù)系統(tǒng)物理架構(gòu)分析其使用組件,如底層使用何種\o"MySQL知識(shí)庫"數(shù)據(jù)庫,控制層使用何種組件,表示層使用何種前端庫等,組件之間使用那些通信協(xié)議等,了解系統(tǒng)特征。數(shù)據(jù)存放層:如\o"MySQL知識(shí)庫"MySQL、\o"Oracle知識(shí)庫"Oracle、\o"Redis知識(shí)庫"Redis、Bigtable等;

控制層:如\o"JavaEE知識(shí)庫"spring、Struts2、Tomcat、Weblogic等;

表示層:如ExtJS、Bootstrap等;

通信協(xié)議:如AMQP等邏輯架構(gòu)分析根據(jù)系統(tǒng)業(yè)務(wù)邏輯劃分業(yè)務(wù),再依據(jù)各業(yè)務(wù)數(shù)據(jù)流從身份驗(yàn)證、加密、輸入校驗(yàn)、敏感數(shù)據(jù)、配置管理、授權(quán)、異常管理、會(huì)話管理、參數(shù)操作、審核和日志統(tǒng)計(jì)、布署和基礎(chǔ)結(jié)構(gòu)等方面入手分析。威脅分析系統(tǒng)分析后需要進(jìn)行就是威脅分析,依據(jù)系統(tǒng)分析結(jié)果,選擇適宜威脅模型,分析系統(tǒng)面臨關(guān)鍵安全威脅。常見威脅模型STRIDE,是基于數(shù)據(jù)流一個(gè)威脅分析模型,它包含六個(gè)維度威脅:

威脅模型STRIDE通常應(yīng)用在二層數(shù)據(jù)流圖上,在外界操作和系統(tǒng)內(nèi)部模塊之間、系統(tǒng)模塊和外界存放之間需要畫立信任邊界。數(shù)據(jù)流圖元素和STRIDE對(duì)應(yīng)關(guān)系以下:對(duì)于每一個(gè)威脅,其對(duì)應(yīng)消減方法以下表:制作測(cè)試用例系統(tǒng)分析和威脅分析后就需要依據(jù)分析結(jié)果編寫測(cè)試用例。外界環(huán)境和物理架構(gòu)這邊,關(guān)鍵是針對(duì)系統(tǒng)或組件特點(diǎn),羅列用例內(nèi)容;邏輯架構(gòu)這邊是測(cè)試用例關(guān)鍵,分析軟件系統(tǒng)數(shù)據(jù)流圖,針對(duì)分解每一個(gè)二層數(shù)據(jù)流圖,對(duì)每一個(gè)數(shù)據(jù)流圖元素,映射對(duì)應(yīng)威脅,編寫測(cè)試用例,用例必需根據(jù)模板輸出。測(cè)試用例具體內(nèi)容包含:

用例名稱:測(cè)試用例必需含有唯一可區(qū)分名稱;用例實(shí)施步驟:用例具體實(shí)施步驟,每一步必需無歧義,含有可實(shí)施性;

用例使用工具:用例實(shí)施過程中使用工具;

用例實(shí)施條件:用例實(shí)施必需含有條件,如網(wǎng)絡(luò)可達(dá)、服務(wù)必需運(yùn)行等;

用例輸入和輸出:用例實(shí)施過程中包含輸入,和對(duì)應(yīng)輸出;

用例安全屬性:現(xiàn)在要求安全屬性包含管理通道安全、XSS、注入攻擊、CSRF、身份認(rèn)證、會(huì)話安全、敏感數(shù)據(jù)保護(hù)、越權(quán)、中間件安全、配置安全這10個(gè)維度;

用例實(shí)施優(yōu)先級(jí):用例實(shí)施優(yōu)先次序,在用例數(shù)量很多情況下,應(yīng)根據(jù)優(yōu)先級(jí)高低次序?qū)嵤?。?shí)施測(cè)試方法測(cè)試用例編寫完就需要開始用例實(shí)施,具體測(cè)試包含自動(dòng)化工具實(shí)施和手動(dòng)測(cè)試。自動(dòng)化工具掃描包含:Nmap端口掃描、系統(tǒng)漏洞掃描、web安全掃描、協(xié)議安全掃描等;手動(dòng)測(cè)試包含:XSS、CSRF、SQL注入、XML注入、命令注入、橫向/縱向越權(quán)、會(huì)話安全等等;安全測(cè)試環(huán)境標(biāo)準(zhǔn)上使用軟件系統(tǒng)測(cè)試環(huán)境,如必需在生產(chǎn)環(huán)境上進(jìn)行,實(shí)施測(cè)試方法中必需包含《失敗退回方案》,保護(hù)生產(chǎn)環(huán)境中數(shù)據(jù)和應(yīng)用; 對(duì)于每一個(gè)用例測(cè)試過程,需要有對(duì)應(yīng)操作截圖,測(cè)試實(shí)施完成后需要輸出對(duì)應(yīng)《安全測(cè)試匯報(bào)》。 回歸測(cè)試方法《安全測(cè)試匯報(bào)》中需要給出每個(gè)安全問題或漏洞處理方案或提議。假如可能,處理方案應(yīng)該具體到源碼等級(jí)。

回歸測(cè)試目標(biāo)為了預(yù)防問題修復(fù)引入新安全問題,問題修復(fù)&回歸測(cè)試是個(gè)循環(huán)過程,測(cè)試沒有新問題時(shí)循環(huán)即終止。測(cè)試計(jì)劃待《軟件安全測(cè)試方案》總集審核、圖信審核均經(jīng)過后,由總集PM協(xié)調(diào)確定包含各方測(cè)試時(shí)間及地點(diǎn)安排,最終形成《軟件安全測(cè)試計(jì)劃》《軟件安全測(cè)試計(jì)劃》關(guān)鍵包含以下內(nèi)容:測(cè)試對(duì)象工作權(quán)責(zé)具體測(cè)試分工及測(cè)試時(shí)間地點(diǎn)安排附《軟件安全測(cè)試方案》實(shí)施測(cè)試安全實(shí)施團(tuán)體根據(jù)《軟件安全測(cè)試計(jì)劃》實(shí)施測(cè)試,包含各方現(xiàn)場(chǎng)或遠(yuǎn)程配合測(cè)試工作;實(shí)施測(cè)試過程中,如多方存在問題或爭(zhēng)議,由總集PM協(xié)調(diào)處理;實(shí)施測(cè)試工作結(jié)束后,安全團(tuán)體給出《軟件安全測(cè)試匯報(bào)》,說明此次安全測(cè)試過程中發(fā)覺問題或漏洞,并給出推薦處理意見?;貧w測(cè)試待廠商完成

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論