TCOSOCC 016-2024 信息技術應用創(chuàng)新 軟件測試要求

Informationtechnologyapplicationinnovation—SoftwaretestrequireI 2 2 2 2 2 2 2 3 3 3 3 8 9 3 3 4 4 4 5 5 5 8 9 本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定聯(lián)網(wǎng)研究院、北京通州網(wǎng)絡安全產(chǎn)業(yè)園運營管理有限公司、嵩嘉標準化技術服務（北京）有限這為信創(chuàng)軟件的開發(fā)和交付帶來了困難。如何保證信創(chuàng)軟件的質(zhì)量成為信創(chuàng)國產(chǎn)化替代發(fā)展過程中需本文件旨在通過使用測試的手段協(xié)助解決信創(chuàng)軟件的質(zhì)量保證問題。為信創(chuàng)軟件的驗證測試指明1信息技術應用創(chuàng)新軟件測試要求本文件適用于信創(chuàng)軟件測試方、研制廠商、用戶及有關單位等進行的信創(chuàng)軟件測GB/T39786信息安全技術信息系統(tǒng)密碼應GB/T11457、GB/T15532和GB/T3978對標測試方法benchmarkingtestme密碼應用安全測試方法passwordapplicationsecuritytest根據(jù)國產(chǎn)信創(chuàng)體系密碼應用和數(shù)據(jù)安全等級，對既定測試目標和測試范圍進行等級密碼應用安全信創(chuàng)軟件測試的目的是驗證信創(chuàng)軟件是否滿足相關標準，或軟件合同/任務書規(guī)定的要求，為信創(chuàng)24.3測試內(nèi)容測試工具應符合GB/T15532關于測試工具的要求，優(yōu)先采用國毒、木馬程序等影響，并能對測試數(shù)據(jù)、測試過程、測試件在國產(chǎn)生態(tài)下的質(zhì)量評價、適配及其改進提供依據(jù)，其測試內(nèi)容見5.3。國產(chǎn)化適配測試的適配對象選取可參考附錄B,但不限于表中給出的類別。信創(chuàng)軟件廠商可以根據(jù)自身使用需求來選擇適配對象范b)軟件文檔(任務書、需求規(guī)格說明、設計說明文檔、軟件自測試報告、用戶使用手冊等);c)產(chǎn)品模塊架構及功能清單和主要應用場景說明；4.9測試文檔a)測試大綱/方案(含測試計劃);b)測試用例(集);c)測試用例執(zhí)行記錄(集);d)測試問題報告(集);3件合同/任務書規(guī)定的要求。文檔審查的內(nèi)容包含規(guī)范性、完整性、正確性、一致性和可追蹤性；特別代碼審查的目的是驗證軟件代碼的規(guī)范性和自主安全可控性。代碼審查的內(nèi)容包括代碼和設計的參照GB/T15532關于代碼審查要求執(zhí)行。自主可控性分析方法見本文件5.35.3.1.1概述5.3.1.2功能性測試信創(chuàng)軟件功能測試包括信創(chuàng)軟件基本功能測試和信創(chuàng)軟件擴展功能測試，主要是對被測信創(chuàng)軟件5.3.1.3性能效率測試測試軟件完成典型功能操作和關鍵業(yè)務流程等針對軟件的數(shù)據(jù)處理或存儲功能，測試其可達到的針對涉及多用戶同時操作的軟件，測試其能夠承受的同時使用45.3.1.4兼容性測試測試軟件是否能夠與上下游、同類軟件正確測試軟件能成功與外部交互的API接口，并提供API數(shù)量及對功測試軟件與其他軟件共享通用環(huán)境和資源的情況下，產(chǎn)品功能有效執(zhí)行及對其他軟件的測試軟件運行在國產(chǎn)軟硬件環(huán)境下的適配性，為信創(chuàng)軟件在國產(chǎn)生態(tài)下的質(zhì)量評價、適針對軟件采用商用密碼技術、產(chǎn)品和服務集成建設的密碼應用安全，測試密碼算法合規(guī)性、密碼技術合規(guī)性、密鑰管理安全性、身份鑒別、訪問控制信息完整性、系統(tǒng)資源訪問控制信息完整性、重要信息資源安全標記完整性、重要數(shù)據(jù)傳輸機密性、重要數(shù)據(jù)存5.3.1.5可靠性測試信創(chuàng)軟件可靠性測試主要內(nèi)容包括信創(chuàng)軟件執(zhí)行的穩(wěn)定性、容錯性和易恢復性，測試內(nèi)容見表4。測試軟件系統(tǒng)在一定時間內(nèi)，正常操作情況是否穩(wěn)定運行，5.3.1.6維護性測試5.3.1.7易用性測試5性測試軟件是否提供聯(lián)機幫助或相關幫助文檔，幫助信息是捷5.3.1.8通用安全性測試測試軟件對重要信息或敏感信息的傳輸和存測試軟件不讓攻擊者對存儲或傳輸?shù)臄?shù)據(jù)進行插入測試軟件是否具備用戶身份認證機制（例如：用戶身份鑒別機制、登錄失敗處理機制、強口令），測試軟件是否需要更新相關的系統(tǒng)漏洞補丁，或過其它技測試軟件是否限定文件上傳類型、大小和權限，禁測試軟件是否需要信任的IP地址才能訪問軟測試軟件是否具有審計功能，對用戶登陸進行記錄，記錄內(nèi)容包括用戶登陸使用的帳號、登陸是否成功、登陸時間以及遠程登陸時用戶使用的IP地址；記錄用戶對數(shù)據(jù)庫的操作，包括但不限于以下內(nèi)容：帳號創(chuàng)建、刪除和權限修改、口令修改、讀取和修改數(shù)據(jù)庫配置、讀取和修改業(yè)務用戶的話費數(shù)據(jù)、身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。記錄需要包含用戶帳號，操作測試軟件是否允許以任何形式保存與系統(tǒng)、應用、設備登錄相關的帳號口令信息、不允許保留從系統(tǒng)中導出的客戶信息，應采用文檔加密、授權等技術手段保護各類終端上的與企業(yè)運營有信創(chuàng)軟件可移植性測試主要內(nèi)容包括適應性和易安裝性，移植性測試內(nèi)容見測試軟件是否能夠有效適應不同的硬件、軟件、或者其他65.3.2.1概述方法、密碼應用安全測試方法。根據(jù)產(chǎn)品對象的具體特點選擇一種或多種測試驗證方5.3.2.2用例庫測試方法用例庫測試方法主要采用或編制標準用例庫作為測試驗證的標準輸入輸出基準，以評估該模塊實試結果造成爭議；采用用例庫測試方法時，應考慮滿足以下條件或a)被測對象的計算輸出是有標準結果且5.3.2.3對標測試方法a)選取業(yè)界認可度高的商用信創(chuàng)軟件作為比對“基準”；5.3.2.4同行評審方法數(shù)量、類型、經(jīng)驗和專業(yè)能力，確保不會影響評審的公正軟件成分分析包括源碼分析、漏洞掃描、知識產(chǎn)權分析、第三方組件分析、軟件合規(guī)a)源碼分析：對軟件的源代碼進行同源分析，檢測其中的漏洞、安全問題等。75.3.2.6等級保護測試方法方法，可以確保信息系統(tǒng)在不同等級保護下達到相應的安全標準和要信創(chuàng)軟件密碼應用安全保護分為四個等級，各級別的描述第四級，是在第三級要求的基礎上，增加對完整性、不可否認性的技術5.3.2.7密碼應用安全測試方法形下,按照與被測單位共同認可的密評方案,基于明確定義的測評方式和解釋,實施測評活動；b)可重用性：測評工作可重用已有測評結果,包括商用密碼檢測認證結果和密碼應用安全性評估的測評結果等所有重用結果都應以已有測評結果仍適用于當前被測信息系統(tǒng)為前提,并能夠c)可重復性和可再現(xiàn)性：按照同樣的要求,使用同樣的測評方法,在同樣的環(huán)境下,不同的密員對每個測評實施過程的重復執(zhí)行應得到同樣的結果關注同一密評人員測評結果的一致性。后者則關注不同密評人員測評結果8相應文檔進行逐一檢查，直到完成所有檢查項的審查。文檔審查單示例參見表A.1，可以根據(jù)實際工作是是是否是9行國產(chǎn)化適配測試時適配對象的選取參見表B.1，但不限于表中給出的類別，可根據(jù)自身使用需求來選123達夢、華為、巨衫、昆侖、南大通用、人大4信創(chuàng)軟件密碼應用安全保護等級分為四個等級，不同等級信創(chuàng)軟件的密碼應用安全推薦進行的測試項目見表C.1。軟件管理者可按照業(yè)務實際情況選擇相應的等級密碼應用安全測試來保證軟件密碼應D應應應應檢查軟件所使用的密碼技術是否以國家標準或行業(yè)標準形式發(fā)應應應應了解軟件中密碼產(chǎn)品的型號和版本等配置信息，核查該密碼產(chǎn)品是否經(jīng)商用密碼認證機構認證合格，并核查密碼產(chǎn)品的使用應應應應核查軟件中的密碼服務是否經(jīng)商用密碼認證機構認證合格或取應應應應應應應應核查軟件是否采用動態(tài)口令機制、基于對稱密碼算法或密碼雜機制等密碼技術對登錄用戶進行身份鑒別并驗證軟件用戶身份可宜應應性核查軟件是否采用基于對稱密碼算法或密碼雜湊算法的消息鑒對軟件的訪問控制信息進行完整性保護,并驗證軟件的訪問控可可宜應性核查軟件是否采用基于對稱密碼算法或密碼雜湊算法的消息鑒對應用的重要信息資源安全標記進行完整性保護，并驗證安全--宜應性核查軟件是否采用密碼技術的加解密功能對重要數(shù)據(jù)在傳輸過程中進行機密性保護并驗證傳輸數(shù)據(jù)機密性保護機制是否正確可宜應應性核查軟件是否采用密碼技術的加解密功能對重要數(shù)據(jù)在存儲過程中進行機密性保護，并驗證存儲數(shù)據(jù)機密性保護機制是否正可宜應應性核查軟件是否采用基于對稱密碼算法或密碼雜湊算法的消息鑒對重要數(shù)據(jù)在傳輸過程中進行完整性保護,并驗證傳輸數(shù)據(jù)完可宜宜應性