系统实施、评价与运行管理.pptVIP

（三）影响信息系统安全的因素 内部因素： 信息系统本身的安全漏洞 信息系统运行平台(OS，DBMS,NOS等)的漏洞 内部人员的错误、过失和恶意操作 影响因素 外部因素： 恶意代码（病毒、蠕虫、陷阱等） 黑客/竞争对手破坏 环境自然灾害。 （四）信息系统安全管理的原则 （1）基于安全需求原则 （2）主要领导负责原则 （3）全员参与原则 （4）系统方法原则 （5）持续改进原则 （6）依法管理原则 （7）分权和授权原则 （8）选用成熟技术原则 （9）分级保护原则 （10） 管理与技术并重原则 （11）自保护和国家监管结合原则 （五）信息系统的安全控制 管理控制 系统开发和维护控制 操作控制 计算中心的物理保护 硬件控制 计算机系统访问控制 信息访问控制 灾难恢复控制 六、我国信息安全法规 1．法律类 《中华人民共和国刑法》 《全国人大常委会关于维护互联网安全的决定》 《中华人民共和国电子签名法》 2. 行政法规类 （1）《计算机软件保护条例》 （2）《中华人民共和国计算机信息系统安全保护条例》 （3）《中华人民共和国电信条例》 （4）《互联网信息服务管理办法》 （5）《信息网络传播权保护条例》 六、我国信息安全法规 3. 行政规章类 （1）《计算机信息网络国际联网出入口信道管理办法》 （2）《计算机信息网络国际联网安全保护管理办法》 （3）《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》 （4）《计算机信息系统国际联网保密管理规定》 （5）《计算机病毒防治管理办法》 （6）《互联网电子公告服务管理规定》 （7）《互联网站从事登载新闻业务管理暂行规定》 （七）我国信息安全标准 GB17858.1999《计算机信息系统安全保护等级划分准则》 GB/T20268.2006《信息安全技术 信息系统安全管理要求》 GB/T20282-2006《信息安全技术 信息系统安全工程管理要求》 GB/T22080-2008《信息技术 安全技术 信息安全管理体系 要求》 * （3）条件覆盖法 执行足够多的测试用例，使得被测程序中每个判定的每个条件的可能值至少执行一次。 仍用图8.4的程序为例，它共有四个条件: Al，B=0，A=2，Xl 为了实现条件覆盖，需要执行足够的用例使得在a点出现的结果有： Al，A≤l，B=0，B≠0 同时，在b点出现的结果有： A=2，A≠2，Xl，X≤l 设计以下两个测试用例即可达到这个目的： ①A=2，B=0，X=4(满足A1， B=0， A=2和X1的条件，执行路径ace) ②A=1，B=2，X=1(满足A≤1， B≠0， A≠2和X≤1的条件，执行路径abd) 条件覆盖法思考题 上述例子用以下两个测试用例是否可以？ ①A=1，B=0，X=3 ②A=2，B=1，X=1 从中你能得出条件覆盖法和判断覆盖法之间的什么关系？ （4）判断/条件覆盖法 执行足够多的测试用例，使得被测程序中的判定的每个条件的所有可能取值至少执行一次，同时每个判定本身的所有可能判定结果至少执行一次 是判定覆盖与条件覆盖的综合，但不能保证检查出逻辑表达式的全部错误。 对于上例中A1时检查B=0，而 A=1时，B0却不去验证了 （5）条件组合覆盖 条件组合覆盖是更强的逻辑覆盖标准，它要求选取足够多的测试数据，使得每个判定表达式中条件的各种可能组合都至少出现一次。 对于上述例子，共有八种可能的条件组合：①A1，B=0；②A1，B≠0；③A≤1，B=0；④A≤1，B≠0；⑤A=2，X1；⑥A=2，X≤1；⑦A≠2，X1；⑧A≠2，X≤1 下面的四组测试数据可以使上面列出的八种组合每种至少出现一次：①A=2，B=0，X=4（针对A1，B=0；A=2，X1两种组合）；②A=2，B=1，X=1（针对A1，B≠0；A=2，X≤1两种组合）；③A=1，B=0，X=2（针对A≤1，B=0；A≠2，X1两种组合）；④A=1，B=1，X=1（针对A≤1，B≠0；A≠2，X≤1两种组合） 满足条件组合覆盖标准的测试数据，也一定满足判定覆盖、条件覆盖和判定/条件覆盖标准 二、系统测试过程 系统测试步骤 1、单元测试 单元：程序中的一个模块或一个子系统，是程序设计的最小单位 在软件编码阶段进行，确认模块作为单元能够正常运行 2、集成测试 把经过测试的单元按一定顺序组装成为系统，进行测试，又称接口测试 可采取自顶向下和自底向上两种测试方法 自顶向下：先分别测试A、B、C、D、E、F，然后将六个模块连接起来再测试 自底向上：先并行测试E、C、F，然后测试