JRT 0191-2020 -证券期货业软件测试指南 软件安全测试.docxVIP

JRICS 03.060 A11 JR 中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T 0191—2020 证券期货业软件测试指南 软件安全测试 Guide for securities and futures industry software test—Software security testing 2020 - 07 - 10 发布 2020 - 07 - 10 实施 中国证券监督管理委员会 发 布 JR/T 0191—2020 JR/T 0191—2020 JR/T 0191 JR/T 0191—2020 I I II II 目??次 前言 II 范围 1 规范性引用文件 1 术语和定义 1 软件安全测试内容及流程 2 软件安全测试技术 3 软件安全测试基本测试方法 7 移动应用安全测试特定测试方法 13 附录 A（资料性附录） 软件安全测试模板 16 软件安全测试方案 16 软件安全测试用例 17 软件安全测试报告 17 前??言 本标准按照GB/T1.1—2009给出的规则起草。 本标准由全国金融标准化技术委员会证券分技术委员会（SAC/TC180/SC4）提出。 本标准由全国金融标准化技术委员会(SAT/TC180)归口。 PAGE PAGE 8 PAGE PAGE 9 证券期货业软件测试指南 软件安全测试 范围 本标准给出了证券期货行业信息系统建设过程中的软件安全测试目标及流程、软件安全测试技术、 软件安全测试基本测试方法及移动应用安全测试特定测试方法。 本标准适用于指导证券期货行业市场核心机构（以下简称核心机构）、证券期货基金经营机构（以 下简称经营机构）以及证券期货信息技术服务机构（以下简称服务机构）实施证券期货业计算机软件和 外部信息系统的安全测试。 注1：核心机构，如证券期货交易所、证券登记结算机构、期货市场监控中心等； 注2：经营机构，如证券公司、期货公司、基金公司等； 注3：服务机构为软件开发商、信息商、服务商。 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求GB/T 25069-2010 信息安全技术术语 JR/T 0060-2010 证券期货业信息系统安全等级保护基本要求（试行） JR/T 0067-2011 证券期货业信息系统安全等级保护测评要求（试行） JR/T 0146-2016（所有部分） 证券期货业信息系统审计指南 JR/T 0175-2019 证券期货业软件测试规范 术语和定义 GB/T 25069-2010界定的以及下列术语和定义适用于本文件。 3.1 软件安全测试 software security testing 在信息系统软件产品的生命周期中，对软件产品进行检验，以验证软件产品符合安全需求和软件产 品质量标准的过程。 3.2 渗透测试 penetration testing 以未经授权的动作绕过某一系统的安全机制的方式，检查数据处理系统的安全功能，以发现信息系 统安全问题的手段。 [GB/T 25069-2010，定义2.3.87] 3.3 模糊测试 fuzz testing 通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的技术。 3.4 敏感信息 sensitive information 一旦遭到泄露或修改，会对标识的信息主体造成影响的信息。 注：证券期货行业敏感信息包括客户姓名、客户详细地址、客户联系电话、客户证件号码、客户开户行及账号、会 员交易情况、会员持仓数量、会员可用资金等。 3.5 移动互联网应用程序 mobile internet application 通过预装、下载等方式获取并运行在移动智能终端上、向用户提供信息服务的应用软件。 软件安全测试内容及流程 测试内容 软件安全测试的内容包括： 确定软件的安全特性实现与预期设计一致； 检测软件中潜在的漏洞和风险； 检验软件产品在受到恶意攻击的情形下，依然能够继续正确运行并确保软件被在授权范围内合 法使用的能力； 测试流程 系统分析 评估被测系统，分别从物理架构及逻辑架构的角度分析系统使用的组件、网络拓扑、系统配置与安 全防御措施等信息： 物理架构：根据系统所使用的组件梳理得到物理架构，包括数据库、控制组件、前端库以及通 信协议等，进而了解系统的结构； 逻辑架构：根据系统的业务逻辑梳理得到逻辑架构，进而了解系统内部的数据流。 威胁分析 根据系统分析的结果，选择合适的威胁模型，分析系统面临的主要