1、.軟件系統(tǒng)安全測(cè)試管理規(guī)范上海理想信息產(chǎn)業(yè)（集團(tuán)）有限公司2020 年 4 月 8 日.版本歷史版本提案人批準(zhǔn)人日期描述1.0甘 XX2017.6.16初建.【目錄】1概述 .51.1編寫目的 .51.2適用范圍 .51.3角色定義 .51.4參考資料 .52項(xiàng)目背景 .63軟件系統(tǒng)安全測(cè)試流程 .74測(cè)試準(zhǔn)備 .94.1測(cè)試準(zhǔn)備 .94.1.1測(cè)試對(duì)象 .94.1.2測(cè)試范圍 .94.1.3工作權(quán)責(zé) .94.2測(cè)試方案 .104.2.1測(cè)試準(zhǔn)備 .104.2.2測(cè)試分析 .114.2.3制作測(cè)試用例 .124.2.4實(shí)施測(cè)試方法 .134.2.5回歸測(cè)試方法 .144.3測(cè)試計(jì)劃 .144.

2、4實(shí)施測(cè)試 .154.5回歸測(cè)試 .15.4.6測(cè)試總結(jié)15.1 概述1.1編寫目的建立和完善 -系統(tǒng)安全測(cè)試管理制度。規(guī)范軟件系統(tǒng)安全測(cè)試各環(huán)節(jié)的要求、規(guī)范各崗位人員的工作職責(zé)、 明確軟件系統(tǒng)安全測(cè)試實(shí)施過(guò)程中的管理行為及文檔要求。以規(guī)范化的文檔指導(dǎo)軟件系統(tǒng)安全測(cè)試工作，提升管理效率、降低項(xiàng)目風(fēng)險(xiǎn)。1.2適用范圍本規(guī)范適用于智能信息化系統(tǒng)建設(shè)項(xiàng)目軟件安全測(cè)試管理過(guò)程。1.3角色定義角色簡(jiǎn)稱角色定義備注總集 PM總集方負(fù)責(zé)業(yè)務(wù)系統(tǒng)的項(xiàng)目經(jīng)理信息中心 PM信息中心負(fù)責(zé)業(yè)務(wù)系統(tǒng)的項(xiàng)目經(jīng)理信息中心主任信息中心負(fù)責(zé)人廠商接口人軟件廠商負(fù)責(zé)學(xué)校的負(fù)責(zé)人安全測(cè)試人員安全測(cè)試團(tuán)隊(duì)成員1.4參考資料參考文件備

3、注.2 項(xiàng)目背景校園內(nèi)信息化軟件眾多，這些軟件不光承載著學(xué)校核心業(yè)務(wù)，同時(shí)還生成、處理、存儲(chǔ)著學(xué)校的核心敏感信息：賬戶、隱私、科研、薪資等，一旦軟件的安全性不足，將可能造成業(yè)務(wù)中斷、數(shù)據(jù)泄露等問(wèn)題的出現(xiàn)。希望通過(guò)規(guī)范軟件系統(tǒng)安全測(cè)試管理，改善和提高學(xué)校軟件安全測(cè)試水準(zhǔn)，將學(xué)校軟件系統(tǒng)可能發(fā)生的風(fēng)險(xiǎn)控制在可以接受的范圍內(nèi)，提高系統(tǒng)的安全性能。.3 軟件系統(tǒng)安全測(cè)試流程軟件系統(tǒng)安全測(cè)試流程分為6 個(gè)階段：1） 測(cè)試準(zhǔn)備：確定測(cè)試對(duì)象、測(cè)試范圍、測(cè)試相關(guān)人員權(quán)責(zé)；2） 測(cè)試方案：按要求整理撰寫安全測(cè)試方案，并完成方案審批；3） 測(cè)試計(jì)劃：測(cè)試方案通過(guò)后， 協(xié)調(diào)確認(rèn)各相關(guān)人員時(shí)間， 形成測(cè)試計(jì)劃；4）

4、 實(shí)施測(cè)試：按計(jì)劃實(shí)施軟件安全測(cè)試工作，輸出軟件安全測(cè)試報(bào)告；5） 回歸測(cè)試：?jiǎn)栴}修復(fù)，回歸測(cè)試循環(huán)進(jìn)行，直到?jīng)]有新的問(wèn)題出現(xiàn)；6） 測(cè)試總結(jié)：測(cè)試過(guò)程總結(jié)，輸出文檔評(píng)審，相關(guān)文檔歸檔。其整體流程見(jiàn)流程圖（下圖） ：.軟件安全測(cè)試流程圖信 PM開始提出安全測(cè)試需求通過(guò)審核方案通過(guò)段階總集 PM協(xié)調(diào)測(cè)試團(tuán)隊(duì)審核方案協(xié)調(diào)相關(guān)人員時(shí)間.安全測(cè)試團(tuán)隊(duì)廠商負(fù)責(zé)人文檔提供安全測(cè)試環(huán)境信息編撰軟件軟件安全安全測(cè)試測(cè)試方案方案不通過(guò)不通過(guò)制定安全軟件安全測(cè)試計(jì)劃測(cè)試計(jì)劃實(shí)施測(cè)試軟件安全測(cè)試報(bào)告修復(fù)問(wèn)題或漏洞回歸測(cè)試測(cè)試總結(jié)軟件安全測(cè)試總結(jié)結(jié)束.4 測(cè)試準(zhǔn)備4.1測(cè)試準(zhǔn)備明確本次安全測(cè)試的軟件系統(tǒng)及其測(cè)試范圍，

5、并對(duì)涉及各方權(quán)責(zé)做出說(shuō)明4.1.1 測(cè)試對(duì)象軟件系統(tǒng)名稱，軟件廠商信息、軟件開發(fā)語(yǔ)言等系統(tǒng)信息開發(fā)商：體系結(jié)構(gòu)：編程語(yǔ)言：操作系統(tǒng)：WEB 服務(wù)器：數(shù)據(jù)庫(kù)：4.1.2 測(cè)試范圍軟件內(nèi)部程序、軟件外部接口、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)服務(wù)器環(huán)境等4.1.3 工作權(quán)責(zé)序號(hào)涉及各方權(quán)責(zé)說(shuō)明1 、組織討論、編寫安全測(cè)試方案并通過(guò)評(píng)審2 、測(cè)試人員分工安排1安全測(cè)試團(tuán)隊(duì)3 、搭建安全測(cè)試環(huán)境4 、安全測(cè)試實(shí)施2圖信1 、參與討論并確認(rèn)測(cè)試方案.2 、進(jìn)行程序開發(fā)或修改等集成相關(guān)的實(shí)施工作1 、協(xié)調(diào)安全測(cè)試團(tuán)隊(duì)3總集2 、 審核安全測(cè)試團(tuán)隊(duì)制定的安全測(cè)試方案3 、 其他協(xié)調(diào)配合工作1 、提供測(cè)試軟件的相關(guān)信息4系統(tǒng)廠商2

6、 、其他協(xié)調(diào)配合工作4.2測(cè)試方案安全測(cè)試團(tuán)隊(duì)根據(jù)軟件構(gòu)成、軟件環(huán)境以及圖信安全需求編制X 軟件系統(tǒng)安全測(cè)試方案；此方案要求圖信PM、總集 PM 均審核通過(guò)；若審核未通過(guò)，由安全測(cè)試團(tuán)隊(duì)根據(jù)反饋建議，針對(duì)未通過(guò)的業(yè)務(wù)內(nèi)容進(jìn)行修改或重新調(diào)研，完成后進(jìn)行再提交審核。軟件系統(tǒng)安全測(cè)試方案至少要覆蓋以下內(nèi)容：1） 測(cè)試準(zhǔn)備（對(duì)象、范圍、分工）2） 測(cè)試分析（系統(tǒng)分析、威脅分析）3） 制作測(cè)試用例4） 實(shí)施測(cè)試方法5） 回歸測(cè)試方法4.2.1 測(cè)試準(zhǔn)備明確本次安全測(cè)試的軟件系統(tǒng)及其測(cè)試范圍，并對(duì)涉及各方權(quán)責(zé)做出說(shuō)明.4.2.2 測(cè)試分析測(cè)試分析主要是熟悉被測(cè)系統(tǒng)，通過(guò)系統(tǒng)的外部環(huán)境分析、物理架構(gòu)分析和邏

7、輯架構(gòu)分析，了解系統(tǒng)特性，便于后續(xù)的威脅分析以及對(duì)應(yīng)的用例編寫。4.2.2.1 系統(tǒng)分析系統(tǒng)分析包含 外部環(huán)境分析 、物理架構(gòu)分析 和邏輯架構(gòu)分析 的劃分。1） 外部環(huán)境分析對(duì)系統(tǒng)所在的外部環(huán)境，如操作系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)等進(jìn)行分析服務(wù)器安全防護(hù)（系統(tǒng)補(bǔ)丁、漏洞、木馬、外掛、開放端口）服務(wù)器用戶及其權(quán)限管理，密碼更新機(jī)制服務(wù)器備份機(jī)制2） 物理架構(gòu)分析按照系統(tǒng)物理架構(gòu)分析其使用的組件，如底層使用何種數(shù)據(jù)庫(kù)，控制層使用何種組件，表示層使用何種前端庫(kù)等，組件之間使用那些通信協(xié)議等，了解系統(tǒng)特性。數(shù)據(jù)存儲(chǔ)層：如MySQL 、 Oracle、Redis、 Bigtable 等；控制層：如 spring、

8、Struts2、Tomcat、Weblogic 等；表示層：如 ExtJS、Bootstrap 等；通信協(xié)議：如 AMQP 等3） 邏輯架構(gòu)分析按照系統(tǒng)的業(yè)務(wù)邏輯劃分業(yè)務(wù)，再根據(jù)各業(yè)務(wù)數(shù)據(jù)流從身份驗(yàn)證、加密、輸入校驗(yàn)、敏感數(shù)據(jù)、配置管理、授權(quán)、異常管理、會(huì)話管理、參數(shù)操作、審核和日志記錄、部署和基礎(chǔ)結(jié)構(gòu)等方面入手分析。.4.2.2.2 威脅分析系統(tǒng)分析后需要進(jìn)行的就是威脅分析，根據(jù)系統(tǒng)分析的結(jié)果，選擇合適的威脅模型，分析系統(tǒng)面臨的主要安全威脅。常用的威脅模型STRIDE ，是基于數(shù)據(jù)流的一種威脅分析模型，它包含六個(gè)維度威脅：威脅模型 STRIDE 一般應(yīng)用在二層數(shù)據(jù)流圖上，在外界操作與系統(tǒng)內(nèi)部

9、模塊之間、系統(tǒng)模塊與外界存儲(chǔ)之間需要畫立信任邊界。數(shù)據(jù)流圖元素和STRIDE的對(duì)應(yīng)關(guān)系如下：對(duì)于每一種威脅，其對(duì)應(yīng)的消減方式如下表：4.2.3 制作測(cè)試用例系統(tǒng)分析和威脅分析后就需要根據(jù)分析結(jié)果編寫測(cè)試用例。.外界環(huán)境和物理架構(gòu)這邊，主要是針對(duì)系統(tǒng)或組件特點(diǎn)，羅列用例內(nèi)容；邏輯架構(gòu)這邊是測(cè)試用例重點(diǎn)，分析軟件系統(tǒng)數(shù)據(jù)流圖，針對(duì)分解的每一個(gè)二層數(shù)據(jù)流圖，對(duì)每一個(gè)數(shù)據(jù)流圖元素，映射對(duì)應(yīng)的威脅，編寫測(cè)試用例，用例必須按照模板輸出。測(cè)試用例具體內(nèi)容 包括：用例名稱 ：測(cè)試用例必須具有唯一可區(qū)分的名稱；用例執(zhí)行步驟 ：用例的詳細(xì)執(zhí)行步驟，每一步必須無(wú)歧義，具備可執(zhí)行性；用例使用的工具 ：用例執(zhí)行過(guò)程中使

10、用的工具；用例的執(zhí)行條件 ：用例執(zhí)行必須具備的條件， 如網(wǎng)絡(luò)可達(dá)、服務(wù)必須運(yùn)行等；用例的輸入和輸出 ：用例執(zhí)行過(guò)程中涉及的輸入，以及對(duì)應(yīng)的輸出；用例的安全屬性 ：目前規(guī)定的安全屬性包括管理通道安全、 XSS、注入攻擊、CSRF、身份認(rèn)證、會(huì)話安全、敏感數(shù)據(jù)保護(hù)、越權(quán)、中間件安全、配置安全這 10 個(gè)維度；用例執(zhí)行優(yōu)先級(jí) ：用例執(zhí)行的優(yōu)先順序， 在用例數(shù)量很多的情況下，應(yīng)按照優(yōu)先級(jí)高低的順序執(zhí)行。4.2.4 實(shí)施測(cè)試方法測(cè)試用例編寫完就需要開始用例的執(zhí)行，具體的測(cè)試包括自動(dòng)化的工具執(zhí)行以及手動(dòng)測(cè)試。.自動(dòng)化的工具掃描包括：Nmap 端口掃描、系統(tǒng)漏洞掃描、web 安全掃描、協(xié)議安全掃描等；手動(dòng)測(cè)

11、試包括： XSS、CSRF、SQL 注入、 XML 注入、命令注入、橫向 /縱向越權(quán)、會(huì)話安全等等；安全測(cè)試環(huán)境原則上使用軟件系統(tǒng)測(cè)試環(huán)境，如必須在生產(chǎn)環(huán)境上進(jìn)行，實(shí)施測(cè)試方法中必須包含失敗退回方案，保護(hù)生產(chǎn)環(huán)境中的數(shù)據(jù)和應(yīng)用；對(duì)于每一個(gè)用例的測(cè)試過(guò)程，需要有對(duì)應(yīng)的操作截圖，測(cè)試執(zhí)行完成后需要輸出對(duì)應(yīng)的安全測(cè)試報(bào)告 。4.2.5 回歸測(cè)試方法安全測(cè)試報(bào)告中需要給出每個(gè)安全問(wèn)題或漏洞的解決方案或建議。如果可能，解決方案應(yīng)當(dāng)詳細(xì)到源碼級(jí)別?；貧w測(cè)試的目的為了防止問(wèn)題修復(fù)引入新的安全問(wèn)題，問(wèn)題修復(fù)& 回歸測(cè)試是個(gè)循環(huán)的過(guò)程，測(cè)試沒(méi)有新的問(wèn)題時(shí)循環(huán)即終止。4.3測(cè)試計(jì)劃待軟件安全測(cè)試方案總集審核、圖信審核均通過(guò)后，由總集PM 協(xié)調(diào)確認(rèn)涉及各方的測(cè)試時(shí)間及地點(diǎn)安排，最終形成軟件安全測(cè)試計(jì)劃軟件安全測(cè)試計(jì)劃主要包含以下內(nèi)容：1） 測(cè)試對(duì)象2） 工作權(quán)責(zé)3） 具體測(cè)試分工及測(cè)試時(shí)間地點(diǎn)安排.4） 附軟件安全測(cè)試方案4.4實(shí)施測(cè)試安全實(shí)施團(tuán)隊(duì)按照軟件安全測(cè)試計(jì)劃實(shí)施測(cè)試，涉及各方現(xiàn)場(chǎng)或遠(yuǎn)程配合測(cè)試工作；實(shí)施測(cè)試過(guò)程中，如多方存在問(wèn)題或爭(zhēng)議，由總集PM 協(xié)調(diào)處理；實(shí)施測(cè)試工作結(jié)束后，安全團(tuán)隊(duì)給出