安全测试管理规范.docxVIP

安全测试管理规范 编写说明 版本J 编写 日期］ 修改说明 审核 V1.0 1 目录 TOC \o 1-5 \h \z \o Current Document 安全测试管理规范 1 \o Current Document 目录 2 —、 概念 3 \o Current Document 二 目的及作用 3 三、 操作步骤 3 四、 三量标准 4 \o Current Document 五、 检查、抽查 4 六、 注意事项 5 七、 组织纪律 5 概念 安全测试是在IT软件产品的生命周期中,特别是产品开发基本完成到发布阶段,对产 品逬行检验以验证产品符合安全需求定义和产品质量标准的过程。 二、目的及作用 1、 提升IT产品的安全质呈； 2、 尽星在发布前找到安全问题予以修补降低成本； 3、 度星安全。 4、 验证安装在系统内的保护机制能否在实际应用中对系统进行保护，使之不被非法入 侵,不受各种因素的干扰。 操作步! 操作步! 1、 测试准备:确走测试对象、测试范围、测试相关人员权责； 2、 测试方案：按要求整理撰写测试方案，并完成方案审批； 3、 测试计划:测试方案通过后，协调确认各相关人员时间,形成测试计划； 4、 实施测试:按计划实施软件安全测试工作,输出安全测i曲侵告； 5、 回归测试:问题修复，回归测试循环进行，直到没有新的问题出现； 6、测试总结：测试过程总结，输出文档评审，相关文档归档。 !1!三量标准 !1! 三量标准 1、 时星标准：完成所有用例设计和编写。 2、 数星标准：测试用例覆盖度满足需求。 1） 用例名称：测试用例必须具有唯一可区分的名称；用例执行步骤：用例的详细执行步 骤,每一步必须无歧义,具备可执行性； 2） 用例使用的工具:用例执行过程中使用的工具； 3） 用例的执行条件:用例执行必须具备的条件,如网络可达、服务必须运行等； 4） 用例的输入和输出：用例执行过程中涉及的输入，以及对应的输出； 5） 用例的安全属性:目前规走的安全属性包括管理通道安全、XSS、注入攻击、CSRF、 身份认证、会话安全、敏感数据保护、越权、中间件安全、配置安全； 6） 用例执行优先级:用例执行的优先顺序,在用例数星很多的情况下,应按照优先级高 低的顺序执行。 3、 质呈标准： 1）夕卜部环境分析 对系统所在的外部环境,如操作系统、服务器、网络等逬行分析 服务■器安全防护 服务器用户及其权限管理，密码更新机制 服务器备份机制 2）物理架构分析 按照系统物理架构分析其使用的组件，如底层使用何种数据库,控制层使用何种组件,表示 层使用何种前端库等，组件之间使用那些通信协议等，了解系统特性。 3）逻辑架构分析 按照系统的业勢逻辑划分业务，再根据各业务■数据流从身份验证、加密、输入校验、敏感数 据、酉3置管理、授权、异常管理、会话管理、参数操作、审核和日志记录、部署和基础结构 等方面入手分析。 五、检查、抽查 1、 测试用例编写完就需要开始用例的执行，具体的测试包括自动化的工具执行以及手动 测试。 2、 自动化的工具扫描包括：Nmap端口扫描、AppScan、web安全扫描、协议安全扫 描等； 3、 手动测试包括：SQL注入、XML注入、命令注入、横向/纵向越权、会话安全等等； 4、 安全测试环境原则上使用软件系统测试环境，如必须在生产环境上进行，保护生产环 境中的数据和应用。 5、 对于每一个用例的测试过程,需要有对应的操作截图,测试执行完成后需要输出对应 的测试报告。 六、 注意事项 组织纪律