一、信息安全性测试的定义软件安全是一个广泛而复杂的主题,每一个新软件都可能存在安全的缺陷,甚至这个缺陷是前所未见的。
二、信息安全性测试的作用(2)帮助信息系统进行推广:信息系统建成后,需要第三方测评机构出具安全验收测评报告证明其安全性,以便其推广。(3)为系统管理方和建设方提供技术支持:为甲方在安全方面把关;协助乙方达到甲方的要求。(5)需进行信息安全管理体系建设的单位:完善信息安全管理体系,以便应对监管机构检查;加强内部信息安全管理。
三、产品测试范围
信息安全性测试主要针对以下几类产品:
软件产品:操作系统、应用软件、游戏、安全工具等
硬件产品:网络设备、服务器、存储设备、智能家居等
移动终端:手机、平板、笔记本电脑等
四、检测项目
漏洞扫描:对产品进行漏洞扫描,包括网络和应用程序漏洞,以及设备系统漏洞。
密码破解:对产品进行密码破解,包括常用的加密算法,以评估密码强度。
网络安全测试:主要包括对产品网络安全方面的测试,如防火墙、VPN、数据包过滤等。
应用程序测试:主要包括对产品的应用程序进行测试,如输入输出验证、授权验证、逻辑错误等。
安全策略测试:主要检测产品的安全策略是否符合行业标准,如ISO 27001、PCI DSS、HIPAA等。
五、检测要求
信息安全性测试的主要要求如下:
测试过程应遵循相应的测试流程和标准; 测试团队应具备专业的知识和技能,能够熟练操作测试工具; 测试结果应详细记录,并及时向产品开发团队反馈漏洞和问题; 测试团队应保证测试过程的机密性、完整性和可追溯性。
六、检测标准
信息安全性测试应对产品符合的标准进行检测,主要包括以下几类:
国际标准:如ISO/IEC 27001信息安全管理体系、ISO/IEC 15408通用标准等; 行业标准:如PCI DSS、HIPAA、FIPS等; 国内标准:如GB/T 22239-2008电子政务安全技术规范、GB/T 22237-2008互联网金融信息安全技术规范等。
七、测试流程
(1)售前与委托单位就测评项目进行前期沟通,签署《保密协议》,接收客户提交的资料,双方签署《软件技术测试服务合同》。
(2)客户提交资料如下:①软件测试委托表、软件产品测试功能列表;②用户手册、操作、安装、说明、维护手册等; ③样品安装光盘;④设计文档、数据库文档、相关测试要求或行业标准。
(3)委托方按照《用户需求说明书》的要求,搭建测试环境;
(4)测试组对测试环境进行确认,对计算机系统进行病毒检查,检查情况在测试流转表中进行记录;
(5)测试组按照《用户产品说明书》,编写测试计划;
(6)测试组按照测试依据编写测试用例,并实施软件测试。执行完毕后,测试人员根据测试用例的执行结果,在测试记录中进行记录;
(7)测试组根据测试员的测试记录出具测试问题报告;
(8)测试项目主管对问题报告进行审核,出现错误要求测试工程师进行重新或补充测试;
(9)测试组对测试出的问题做相应的分析,进一步对问题进行确认;
(10)测试组就问题报告与委托方的技术人员进行面对面的沟通;
(11)委托方对问题报告的问题进行一一对应的修复;
(12)测试组对被测系统做回归测试;
(13)测试组根据测试结果出具测试报告,并由测试机构授权签字人批准;
(14)测试机构将信息安全性测试报告的成果提交给委托方。
总结:信息安全性测试是保障各类信息产品质量和安全性的重要手段,通过检测漏洞、密码破解、网络安全、应用程序和安全策略等方面来保障产品的安全。检测过程应严格遵循规范和标准,并及时向产品开发团队反馈测试结果。
关于检测服务
我们秉承科学严谨的工作态度,以客户为中心,高效统筹安排测试计划,竭力缩短测试时间的周期,为客户提供快捷、公正的第三方咨询检测等服务。服务区域遍布广东广州、深圳、东莞、佛山、中山、珠海、清远、惠州、茂名、揭阳、梅州、江门、肇庆、汕头、潮州、河源、韶关及全国各地如您有相关产品需要咨询,欢迎您直接来电4000-1998-38咨询我司工作人员,获得详细的费用报价与周期方案等信息,深圳讯科期待您的光临!
