JR_T 0175-2019《证券期货业软件测试规范》.pdf

ICS 03. 060A11JR中华人民共和国金融行业标准JR/T 0175—2019证券期货业软件测试规范Specification for securities and futures industry software test2019-0930发布2019-09-30实施中国证券监督管理委员会发布 JR/T 0175—20192)容量测试的测试方法是在不同的系统配置以及不同的业务场景下构造相应的容量数据，评估系统的极限容量和件资源占用率。其中，极限容量包括最大用户数、最大处理量、最大事务数（执行单元）、最大吞吐率、最大文件容量等：硬件资源占用率包括内存、CPU、硬盘、网络带宽、设备等。测试指标包括日订单处理容量、日成交处理容量等。4.3.3可靠性测试可靠性测试的主要目的、测试内容及测试技术如下：a）目的可靠性测试是通过模拟系统可能出现的各种异带或故障等场景，来验证系统在异常处理、故章容错、数据恢复及容灾等方面的能力，并对系统的可靠性进行评估，目的是确保系统在特定的环境部署条件下满足高可用性要求，通常包括成熟性测试、容错性测试、稳定性测试和可恢复性测试，b)测试内容/关注点测试内容/关注点包含成熟性测试、容错性测试、稳定性测试和可恢复性测试，具体如下：1成熟性测试：当软件系统中出现代码判断错误、集成中的接口错误、通讯报文错误、系统中业务逻辑错误以及其他在设计、开发等环节中造成的错误时，验证系统能消除错误造成的影响并仍可正常工作：2)容错性测试：当引入外部错误，如违规操作、删除数据、强行终止等严重的行为使系统（包括硬件、软件及附属程序)发生异常时，验证系统在异常情况下应具有防护性措施（处理异常的方法包括：系统自动处理和人工干预处理》：稳定性测试：通过持续性测试的方法验证系统在一定压力下长时间运行的稳定性：4) 可恢复性测试：系统在失效状态下，恢复至正常状态的能力失效状态应是系统期溃或者岩机停止所有功能，而不是带故障的运行状态；正常状态应是至少保证系统的主要功能可全部运行。获取系统恢复时间（RTO）、数据恢复时间（RPO），RTO、RPO定义见JR/c）测试技术具体如下：1成熟性测试、容错性测试的测试方法是通过人工模拟故障场景，如进程期溃及挂起、网络断开及延退、服务器容机等场景，或通过工具或手工制造异常操作或异常数据输入等，验证系统或组件在出现故障时进行有效处理的能力：2)稳定性测试的测试方法是7*24小时压力测试，即仿照生产的业务配比关系，根据实际生产需要，保持不同借数下单压力，每天运行被测系统24小时，连续运行7天，在测试期间可通过查若系统进程状态、执行功能操作、查者运行日志信息的方式来验证系统运行状态的正确性：3）可恢复性测试的测试方法是模拟在出现故障或灾难导致系统失效时，通过分析系统日志或流水计算得到系统恢复时间（RTO）和数据恢复时间（RPO）指标。4.3.4安全性测试安全性测试的主要目的、测试内容及测试技术如下：a）目的通过安全测试手段和方法，验证软件的安全特性实现与预期一致、检验软件产品对各种攻击情况的防范能力，从而保障产品的安全质量。5 JR/T 0175—2019b)测试内容/关注点具体如下：1)配置管理：按照信息安全等级保护要求对操作系统、应用程序、数据库、网络设备等进行安全配置：2)资源利用：应用程序内存使用和资源竟合间题，如变量未初始化、数组越界、内存溢出、资源泄露、进程线程异常等：3)身份鉴别：对登录操作系统、数据库系统和应用系统的用户进行了身份标识和鉴别，如应使用强密码策略、限定连续登录尝试次数、使用有效验证码等：4)访间控制：用户应根据自已的权限大小来访间系统资源（如服务器、目录、文件等），不得越权访间：5) 数据保护：应用程序存储缴感信息的情况，存储的感信息应进行加密，包含但不限于密码、密钥等敏感信息应加密写入缓存、文件系统、数据库中等：6) 通信安全：应用程序使用安全通信协议（如SSL、TLS）的情况，对敬感信息的传输应进行加密等：7)会话管理：本地及服务器端对会话超时的设置，会话结束后应用程序使用过的感信息应从内存中删除，合法用户的会话不被劫持等：(8数据验证：应用程序在使用前正确验证来自客户端或外界输入数据的情况，避免发生如跨站脚本攻击、命令注入、文件注入、SQL注入等漏洞：(6安全审计：对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录：审计记录应包括事件的日期和时间、用户、事件类型、事件成功及其他审计相关的信息等。c)测试技术常见的安全性测试技术有安全功能检查、代码安全测试、漏洞扫描、渗透测试和模糊测试，具体如下：1）安全功能检查是指测试人员通过对相关系统管理人员进行访谈和对测试对象（如相关系统、各类设备、基线标准、开发设计文档）进行观察、验