亿鸽在线客服系统
信息安全性

信息安全性测试的目的在于发现、评估并修复系统中的安全漏洞,确保信息资产得到妥善保护。


信息安全性测试结果示例:

测试需求项

测试需求点

用例编号

测试内容

备注

保密性

访问控制

IS-001

软件产品具有对系统正常访问的控制能力,用户权限应遵循最小权限原则”

需改配置

身份鉴别

IS-002

系统进行用户身份鉴别,并在每次用户登录系统时进行鉴别。


鉴别信息

IS-003

软件鉴别信息为不可见,不可复制,且具有相应的抗攻击能力,并在存储或传输时用加密方法/具有相同安全强度的其他方法进行安全保护。


传输加密

IS-004

数据在传输过程中不被窃听,对整个通信过程中的整个报文或会话过程进行加密

用户权限

IS-005

明确区分系统中不同用户权限,系统不会因用户的权限的改变造成混乱。


鉴别失败处理

IS-006

测试系统是否对不成功的鉴别尝试的值(包括尝试次数和时间的阀值)进行预先定义,并明确规定达到该值时是否采取了具有规范性和安全性的措施来实现鉴别失败的处理。


认证绕过

IS-007

软件应能防止对程序和数据的未授权访问

需改造配置

完整性

异常事件处理

IS-008

模拟非法入侵攻击事件的条件下,验证软件产品是否有控制和处理能力

非授权篡改

IS-009

验证软件产品对非授权人创建、删除或修改信息是否有控制处理能力。

完整性审计

IS-010

软件应能识别出对结构数据库或文件完整性产生损害的事件,且能阻止该事件,并通报给授权者

抗抵赖性

数据发送凭证

IS-011

测试软件具有在请求的情况下为数据原发者提供数据原发证据的功能


IS-012

测试软件是否具有在请求的情况下为数据接收者提供数据接收证据的功能


数字证书

IS-013

软件使用数字证书等方式保证用户的身份认证,在收到请求的情况下为数据原发者或接受者提供数据原发和接收的证据。

日志审计

IS-014

测试软件具备完整且无法篡改的审计记录,确保用户操作可经过审计及追踪。系统操作日志/审计、异常日志、告警日志,审计/日志的完整性、保密性。


IS-015

验证审计日志的管理,日志不能被任何人修改和删除,能够形成完整的证据链。


可核查性

进程关联

IS-016

测试系统将用户进程与所有者用户相关联,使用户进程行为可以追溯到进程所有者用户

系统审计

IS-017

测试系统或软件的审计模块,检查模块是否具有完善的安全审计功能。考察启用安全审计功能后,覆盖用户的多少和安全事件的程度,覆盖到每个用户活动,日志记录内容至少应包括事件日期、事件、发起者信息、类型、描述和结果等

账户管理

IS-018

包括账户唯一性、登录机制、密码管理策略


会话管理

IS-019

设计登录成功使用新的会话;设计会话数据的存储安全;设计会话数据的传输安全;设计会话的安全终止;设计合理的会话存活时间;设计避免跨站请求伪造

真实性

用户信息

IS-020

验证软件是否具有当前使用系统的用户列表和配置表

访问登录记录

IS-021

验证软件在系统的访问历史数据库中记录的访问登录记录是否完整


日志记录

IS-022

检查软件是否具有用户使用系统的历史日志及日志管理功能


IS-023

在模拟攻击事件的入侵的情况下,验证软件的日志内容是否有相关记录。

IS-024

检查软件中的"用户访问系统和数据"的记录内是否包括防止病毒的"病毒检测记录"

依从性

依从性

IS-025

产品或系统遵循与信息安全性相关的标准约定或法规以及类似规定的程度


漏洞扫描

漏洞扫描

IS-026

针对HTTP响应分割、SQL注入、SSI注入、URL复位向滥用、XML实体扩展、XML属性放大、XML外部实体、XPath注入、不安全索引、操作系统命令、传输层保护不足、恶意内容测试、服务器配置错误、格式字符串、功能滥用、缓冲区溢出、会话定置、会话期限不足、拒绝服务、可预测资源位置、空字节注入、跨网站脚本编制、跨网站请求伪造、路径遍历、蛮力、目录索引、内容电子欺骗、凭证/会话预测、权限不足、认证不充分、信息泄露、远程文件包含等扫描项


代码审计

代码审计

IS-027

通过静态代码分析来检查代码中的潜在问题,如漏洞、错误、代码需要重构的代码区域等。检查代码是否符合特定的编码规范和标准,例如是否遵循了特定的命名约定、注释规则、代码布局等。


渗透测试

渗透测试

IS-028

主要涉及越权访问、明文传输、SQL注入、XSS跨站脚本、文件上传、后台地址泄露、命令执行、目录遍历、会话重放、CSRF跨站请求伪造、任意文件下载漏洞、设计缺陷/逻辑错误、XML实体注入、开放高危端口和无关端口、登录功能验证码、不安全的Cookie、SSL漏洞、SSRF漏洞、默认口令口令、其它漏洞类型。


一、信息安全性测试的重要性

信息安全性测试的重要性不言而喻。首先,它可以帮助企业和组织发现潜在的安全风险,避免数据泄露、系统瘫痪等严重后果。其次,通过信息安全性测试,可以提高系统的可靠性和稳定性,保证业务正常运行。此外,信息安全性测试还可以为企业的合规性提供有力保障,避免因违反相关法律法规而引发的法律风险。


二、信息安全性测试的方法与流程

信息安全性测试的方法多种多样,包括渗透测试、漏洞扫描、安全风险评估等。渗透测试是通过模拟黑客攻击来发现系统中的安全漏洞;漏洞扫描则利用自动化工具对系统进行全面检查,发现潜在的安全隐患;安全风险评估则是对系统的安全性进行量化评估,为改进提供依据。

信息安全性测试的流程通常包括以下几个步骤:明确测试目标、制定测试计划、执行测试、分析测试结果、编写测试报告和制定改进措施。在每个步骤中,都需要充分利用专业的测试工具和技术,确保测试的准确性和有效性。


三、信息安全性测试的挑战与应对策略

在信息安全性测试过程中,企业和组织面临着诸多挑战。首先,随着技术的不断进步,黑客的攻击手段也日益狡猾和复杂,这使得信息安全性测试的难度不断增大。其次,信息安全性测试需要投入大量的人力、物力和财力,这对于一些中小型企业来说可能是一个不小的负担。

为了应对这些挑战,企业和组织需要采取一系列策略。首先,加强技术研发,提高信息安全性测试的技术水平。其次,建立完善的信息安全体系,确保信息安全性测试能够覆盖到所有关键领域。此外,加强与国际合作,共同应对全球范围内的信息安全威胁也是一个有效的途径。


信息安全性测试方法:

总体方向

信息安全性测试是通过人工手动检查方式进行系统安全检查,并对安全检查结果进行记录,通过安全性分析,以使用户、其他产品或系统具有与其授权类型和授权级别一致的数据访问度。

评测关注

Ø 保密性:产品或系统确保数据只有在被授权时才能被访问的程度。

Ø 完整性:系统、产品或组件防止未授权访问、篡改计算机程序或数据的程度

Ø 抗抵赖性:活动或事件发生后可以被证实且不可被否认的程度。

Ø 可核查性:实体的活动可以被唯一地追溯到该实体的程度。

Ø 真实性:对象或资源的身份标识能够被证实符合其声明的程度。

Ø 依从性:产品或系统遵循与信息安全性相关的标准约定或法规以及类似规定的程度

评测方法

安全检查:通过检查清单的方式进行测试的方法。针对系统的身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制,设定相应的安全检查列表对此类系统进行相关的配置检查。 

手工测试,通过安全辅助工具,手工的对系统安全进行测试的方法。比如通过协议分析工具检测系统通信过程中是否采用了加密信息,加密方式是否符合系统的要求等。

安全漏洞扫描在用户提供的测试环境下,以安全漏洞扫描的方式,检查软件程序对于指定的安全风险的防护能力。

评测步骤

1. 明确系统信息安全性需求,并量化信息安全性需求指针。

2. 设计信息安全性测试用例。

3. 执行信息安全性测试,记录测试结果。

4. 依据需求比对并评价系统信息安全性。

5. 通过信息安全性分析,提交安全性风险。



四、信息安全性测试的未来展望

随着云计算、大数据、人工智能等技术的快速发展,信息安全性测试将面临更多的机遇和挑战。未来,信息安全性测试将更加注重智能化、自动化和协同化。智能化测试将利用人工智能和机器学习等技术,提高测试的准确性和效率;自动化测试则通过自动化工具和平台,降低测试成本,提高测试效率;协同化测试则强调跨部门、跨领域的合作,共同应对复杂多变的信息安全威胁。


1572596133663536


成都精正检测技术有限公司,全国服务的权威第三方软件测试机构,具备CMA、CNAS双重认证资质。2019年应国家行业发展要求成立,专注于软件测试服务,技术人员拥有多年丰富测试经验,团队秉承科学、公正、专业的服务理念,以先进效率的测试平台及工具,服务于政企研院校等机构,出具的软件测试报告公正权威具备法律效力,提供确认测试、鉴定测试验收测试渗透测试漏洞扫描代码审计驻场测试技术指导、电网信息系统验收测试单元测试集成测试登记测试等服务领域及其他专业技术服务(包含功能性性能效率兼容性易用性可靠性信息安全性、可维护性可移植性、有效性、满意度、抗风险性、周境覆盖、正确性、用户文档集等质量特性测试)等服务。为软件行业保驾护航! (点击咨询测试报价

产品推荐