文档介绍：软件系统安全测试管理规范上海理想信息产业(集团)有限公司1:48版本历史版本提案人批准人日期描述1、0甘XX2017、6、16初建【目录】1 概述 51、1 编写目得 51、2ﻩ适用范围ﻩ51、3 角色定义 51、4ﻩ参考资料 52ﻩ项目背景 63ﻩ软件系统安全测试流程 74 测试准备 94、1ﻩ测试准备ﻩ94、1、1 测试对象ﻩ94、1、2ﻩ测试范围 94、1、3 工作权责 94、2ﻩ测试方案 104、2、1 测试准备 104、2、2ﻩ测试分析ﻩ114、2、3 制作测试用例 124、2、4ﻩ实施测试方法ﻩ134、2、5 回归测试方法 144、3 测试计划ﻩ144、4ﻩ实施测试ﻩ154、5 回归测试ﻩ154、6ﻩ测试总结 15概述编写目得建立与完善-系统安全测试管理制度。规范软件系统安全测试各环节得要求、规范各岗位人员得工作职责、明确软件系统安全测试实施过程中得管理行为及文档要求。以规范化得文档指导软件系统安全测试工作,提升管理效率、降低项目风险。适用范围本规范适用于智能信息化系统建设项目软件安全测试管理过程。角色定义角色简称角色定义备注总集PM总集方负责业务系统得项目经理信息中心PM信息中心负责业务系统得项目经理信息中心主任信息中心负责人厂商接口人软件厂商负责学校得负责人安全测试人员安全测试团队成员参考资料参考文件备注项目背景校园内信息化软件众多,这些软件不光承载着学校核心业务,同时还生成、处理、存储着学校得核心敏感信息:账户、隐私、科研、薪资等,一旦软件得安全性不足,将可能造成业务中断、数据泄露等问题得出现。希望通过规范软件系统安全测试管理,改善与提高学校软件安全测试水准,将学校软件系统可能发生得风险控制在可以接受得范围内,提高系统得安全性能。软件系统安全测试流程软件系统安全测试流程分为6个阶段:测试准备:确定测试对象、测试范围、测试相关人员权责;测试方案:按要求整理撰写《安全测试方案》,并完成方案审批;测试计划:测试方案通过后,协调确认各相关人员时间,形成测试计划;实施测试:按计划实施软件安全测试工作,输出《软件安全测试报告》;回归测试:问题修复,回归测试循环进行,直到没有新得问题出现;测试总结:测试过程总结,输出文档评审,相关文档归档。其整体流程见流程图(下图):测试准备测试准备明确本次安全测试得软件系统及其测试范围,并对涉及各方权责做出说明测试对象软件系统名称,软件厂商信息、软件开发语言等 系统信息开发商: 体系结构: 编程语言:操作系统: WEB服务器:数据库: 测试范围软件内部程序、软件外部接口、数据库、网络服务器环境等工作权责序号涉及各方权责说明1安全测试团队1、 组织讨论、编写安全测试方案并通过评审2、  测试人员分工安排3、 搭建安全测试环境4、 安全测试实施2图信1、  参与讨论并确认测试方案2、  进行程序开发或修改等集成相关得实施工作3总集1、 协调安全测试团队2、审核安全测试团队制定得安全测试方案3、其她协调配合工作4系统厂商1、 提供测试软件得相关信息2、  其她协调配合工作测试方案安全测试团队根据软件构成、软件环境以及图信安全需求编制《X软件系统安全测试方案》;此方案要求图信PM、总集PM均审核通过;若审核未通过,由安全测试团队根据反馈建议,针对未通过得业务内容进行修改或重新调研,:测试准备(对象、范围、分工)测试分析(系统分析、威胁分析)制作测试用例实施测试方法回归测试方法测试准备明确本次安全测试得软件系统及其测试范围,并对涉及各方权责做出说明测试分析测试分析主要就是熟悉被测系统,通过系统得外部环境分析、物理架构分析与逻辑架构分析,了解系统特性,便于后续得威胁分析以及对应得用例编写。系统分析系统分析包含外部环境分析、物理架构分析与逻辑架构分析得划分。外部环境分析对系统所在得外部环境,如操作系统、服务器、网络等进行分析服务器安全防护(系统补丁、漏洞、木马、***、开放端口)服务器用户及其权限管理,密码更新机制服务器备份机制物理架构分析按照系统物理架构分析其使用得组件,如底层使用何种数据库,控制层使用何种组件,表示层使用何种前端库等,组件之间使用那些通信协议等,了解系统特性。数据存储层:如MySQL、Oracle、Redis、Bigtable等;ﻫ控制层:如spring、Struts2、Tomcat、Weblogic等;ﻫ表示层:如ExtJS、Bootstrap等;通信协议:如AMQP等逻辑架构分析按照系统得业务逻辑划分业务,再根据各业务数据流从身份验证、加密、输入校验、敏感数据、配置管理、授权、异常管理、会话管理、参数操作、审核与日志记录、,根据系统分析得结果,选择合