- 1、本文档被系统程序自动判定探测到侵权嫌疑,本站暂时做下架处理。
- 2、如果您确认为侵权,可联系本站左侧在线QQ客服请求删除。我们会保证在24小时内做出处理,应急电话:400-050-0827。
- 3、此文档由网友上传,因疑似侵权的原因,本站不提供该文档下载,只提供部分内容试读。如果您是出版社/作者,看到后可认领文档,您也可以联系本站进行批量认领。
查看更多
JRICS 03.060 A11
JR
中 华 人 民 共 和 国 金 融 行 业 标 准
JR/T 0191—2020
证券期货业软件测试指南 软件安全测试
Guide for securities and futures industry software test—Software security testing
2020 - 07 - 10 发布 2020 - 07 - 10 实施
中国证券监督管理委员会 发 布
JR/T 0191—2020
JR/T 0191—2020
JR/T 0191
JR/T 0191—2020
I
I
II
II
目??次
前言 II
范围 1
规范性引用文件 1
术语和定义 1
软件安全测试内容及流程 2
软件安全测试技术 3
软件安全测试基本测试方法 7
移动应用安全测试特定测试方法 13
附录 A(资料性附录) 软件安全测试模板 16
软件安全测试方案 16
软件安全测试用例 17
软件安全测试报告 17
前??言
本标准按照GB/T1.1—2009给出的规则起草。
本标准由全国金融标准化技术委员会证券分技术委员会(SAC/TC180/SC4)提出。 本标准由全国金融标准化技术委员会(SAT/TC180)归口。
PAGE
PAGE 8
PAGE
PAGE 9
证券期货业软件测试指南 软件安全测试
范围
本标准给出了证券期货行业信息系统建设过程中的软件安全测试目标及流程、软件安全测试技术、 软件安全测试基本测试方法及移动应用安全测试特定测试方法。
本标准适用于指导证券期货行业市场核心机构(以下简称核心机构)、证券期货基金经营机构(以 下简称经营机构)以及证券期货信息技术服务机构(以下简称服务机构)实施证券期货业计算机软件和 外部信息系统的安全测试。
注1:核心机构,如证券期货交易所、证券登记结算机构、期货市场监控中心等; 注2:经营机构,如证券公司、期货公司、基金公司等;
注3:服务机构为软件开发商、信息商、服务商。
规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求GB/T 25069-2010 信息安全技术术语
JR/T 0060-2010 证券期货业信息系统安全等级保护基本要求(试行)
JR/T 0067-2011 证券期货业信息系统安全等级保护测评要求(试行) JR/T 0146-2016(所有部分) 证券期货业信息系统审计指南
JR/T 0175-2019 证券期货业软件测试规范
术语和定义
GB/T 25069-2010界定的以及下列术语和定义适用于本文件。
3.1
软件安全测试 software security testing
在信息系统软件产品的生命周期中,对软件产品进行检验,以验证软件产品符合安全需求和软件产
品质量标准的过程。
3.2
渗透测试 penetration testing
以未经授权的动作绕过某一系统的安全机制的方式,检查数据处理系统的安全功能,以发现信息系 统安全问题的手段。
[GB/T 25069-2010,定义2.3.87]
3.3
模糊测试 fuzz testing
通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的技术。
3.4
敏感信息 sensitive information
一旦遭到泄露或修改,会对标识的信息主体造成影响的信息。
注:证券期货行业敏感信息包括客户姓名、客户详细地址、客户联系电话、客户证件号码、客户开户行及账号、会
员交易情况、会员持仓数量、会员可用资金等。
3.5
移动互联网应用程序 mobile internet application
通过预装、下载等方式获取并运行在移动智能终端上、向用户提供信息服务的应用软件。
软件安全测试内容及流程
测试内容
软件安全测试的内容包括:
确定软件的安全特性实现与预期设计一致;
检测软件中潜在的漏洞和风险;
检验软件产品在受到恶意攻击的情形下,依然能够继续正确运行并确保软件被在授权范围内合 法使用的能力;
测试流程
系统分析
评估被测系统,分别从物理架构及逻辑架构的角度分析系统使用的组件、网络拓扑、系统配置与安 全防御措施等信息:
物理架构:根据系统所使用的组件梳理得到物理架构,包括数据库、控制组件、前端库以及通 信协议等,进而了解系统的结构;
逻辑架构:根据系统的业务逻辑梳理得到逻辑架构,进而了解系统内部的数据流。
威胁分析
根据系统分析的结果,选择合适的威胁模型,分析系统面临的主要
您可能关注的文档
- DLT 1216-2019 -低压静止无功发生装置技术规范.pdf
- HAD 501 08-2020- 核动力厂实物保护视频监控系统.docx
- JRT 0192-2020- 证券期货业移动互联网应用程序安全规范.docx
- WST 700-2020 -洪涝灾区预防性消毒技术规范.docx
- DLT 711-2019 -汽轮机调节保安系统试验导则.pdf
- DB36T 1275.5-2020- 绿色矿山建设标准 第5部分:砂石行业.docx
- DB36T 1275.7-2020- 绿色矿山建设标准 第7部分:水泥灰岩.docx
- 静电场章末检测题.doc
- 小学语文常用修辞手法详解+例句(附训练题).docx
- 教育心理学个人收获心得体会.doc
文档评论(0)