TCOSOCC 016-2024 信息技术应用创新 软件测试要求

Informationtechnologyapplicationinnovation—SoftwaretestrequireI 2 2 2 2 2 2 2 3 3 3 3 8 9 3 3 4 4 4 5 5 5 8 9 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定联网研究院、北京通州网络安全产业园运营管理有限公司、嵩嘉标准化技术服务（北京）有限这为信创软件的开发和交付带来了困难。如何保证信创软件的质量成为信创国产化替代发展过程中需本文件旨在通过使用测试的手段协助解决信创软件的质量保证问题。为信创软件的验证测试指明1信息技术应用创新软件测试要求本文件适用于信创软件测试方、研制厂商、用户及有关单位等进行的信创软件测GB/T39786信息安全技术信息系统密码应GB/T11457、GB/T15532和GB/T3978对标测试方法benchmarkingtestme密码应用安全测试方法passwordapplicationsecuritytest根据国产信创体系密码应用和数据安全等级，对既定测试目标和测试范围进行等级密码应用安全信创软件测试的目的是验证信创软件是否满足相关标准，或软件合同/任务书规定的要求，为信创24.3测试内容测试工具应符合GB/T15532关于测试工具的要求，优先采用国毒、木马程序等影响，并能对测试数据、测试过程、测试件在国产生态下的质量评价、适配及其改进提供依据，其测试内容见5.3。国产化适配测试的适配对象选取可参考附录B,但不限于表中给出的类别。信创软件厂商可以根据自身使用需求来选择适配对象范b)软件文档(任务书、需求规格说明、设计说明文档、软件自测试报告、用户使用手册等);c)产品模块架构及功能清单和主要应用场景说明；4.9测试文档a)测试大纲/方案(含测试计划);b)测试用例(集);c)测试用例执行记录(集);d)测试问题报告(集);3件合同/任务书规定的要求。文档审查的内容包含规范性、完整性、正确性、一致性和可追踪性；特别代码审查的目的是验证软件代码的规范性和自主安全可控性。代码审查的内容包括代码和设计的参照GB/T15532关于代码审查要求执行。自主可控性分析方法见本文件5.35.3.1.1概述5.3.1.2功能性测试信创软件功能测试包括信创软件基本功能测试和信创软件扩展功能测试，主要是对被测信创软件5.3.1.3性能效率测试测试软件完成典型功能操作和关键业务流程等针对软件的数据处理或存储功能，测试其可达到的针对涉及多用户同时操作的软件，测试其能够承受的同时使用45.3.1.4兼容性测试测试软件是否能够与上下游、同类软件正确测试软件能成功与外部交互的API接口，并提供API数量及对功测试软件与其他软件共享通用环境和资源的情况下，产品功能有效执行及对其他软件的测试软件运行在国产软硬件环境下的适配性，为信创软件在国产生态下的质量评价、适针对软件采用商用密码技术、产品和服务集成建设的密码应用安全，测试密码算法合规性、密码技术合规性、密钥管理安全性、身份鉴别、访问控制信息完整性、系统资源访问控制信息完整性、重要信息资源安全标记完整性、重要数据传输机密性、重要数据存5.3.1.5可靠性测试信创软件可靠性测试主要内容包括信创软件执行的稳定性、容错性和易恢复性，测试内容见表4。测试软件系统在一定时间内，正常操作情况是否稳定运行，5.3.1.6维护性测试5.3.1.7易用性测试5性测试软件是否提供联机帮助或相关帮助文档，帮助信息是捷5.3.1.8通用安全性测试测试软件对重要信息或敏感信息的传输和存测试软件不让攻击者对存储或传输的数据进行插入测试软件是否具备用户身份认证机制（例如：用户身份鉴别机制、登录失败处理机制、强口令），测试软件是否需要更新相关的系统漏洞补丁，或过其它技测试软件是否限定文件上传类型、大小和权限，禁测试软件是否需要信任的IP地址才能访问软测试软件是否具有审计功能，对用户登陆进行记录，记录内容包括用户登陆使用的帐号、登陆是否成功、登陆时间以及远程登陆时用户使用的IP地址；记录用户对数据库的操作，包括但不限于以下内容：帐号创建、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户帐号，操作测试软件是否允许以任何形式保存与系统、应用、设备登录相关的帐号口令信息、不允许保留从系统中导出的客户信息，应采用文档加密、授权等技术手段保护各类终端上的与企业运营有信创软件可移植性测试主要内容包括适应性和易安装性，移植性测试内容见测试软件是否能够有效适应不同的硬件、软件、或者其他65.3.2.1概述方法、密码应用安全测试方法。根据产品对象的具体特点选择一种或多种测试验证方5.3.2.2用例库测试方法用例库测试方法主要采用或编制标准用例库作为测试验证的标准输入输出基准，以评估该模块实试结果造成争议；采用用例库测试方法时，应考虑满足以下条件或a)被测对象的计算输出是有标准结果且5.3.2.3对标测试方法a)选取业界认可度高的商用信创软件作为比对“基准”；5.3.2.4同行评审方法数量、类型、经验和专业能力，确保不会影响评审的公正软件成分分析包括源码分析、漏洞扫描、知识产权分析、第三方组件分析、软件合规a)源码分析：对软件的源代码进行同源分析，检测其中的漏洞、安全问题等。75.3.2.6等级保护测试方法方法，可以确保信息系统在不同等级保护下达到相应的安全标准和要信创软件密码应用安全保护分为四个等级，各级别的描述第四级，是在第三级要求的基础上，增加对完整性、不可否认性的技术5.3.2.7密码应用安全测试方法形下,按照与被测单位共同认可的密评方案,基于明确定义的测评方式和解释,实施测评活动；b)可重用性：测评工作可重用已有测评结果,包括商用密码检测认证结果和密码应用安全性评估的测评结果等所有重用结果都应以已有测评结果仍适用于当前被测信息系统为前提,并能够c)可重复性和可再现性：按照同样的要求,使用同样的测评方法,在同样的环境下,不同的密员对每个测评实施过程的重复执行应得到同样的结果关注同一密评人员测评结果的一致性。后者则关注不同密评人员测评结果8相应文档进行逐一检查，直到完成所有检查项的审查。文档审查单示例参见表A.1，可以根据实际工作是是是否是9行国产化适配测试时适配对象的选取参见表B.1，但不限于表中给出的类别，可根据自身使用需求来选123达梦、华为、巨衫、昆仑、南大通用、人大4信创软件密码应用安全保护等级分为四个等级，不同等级信创软件的密码应用安全推荐进行的测试项目见表C.1。软件管理者可按照业务实际情况选择相应的等级密码应用安全测试来保证软件密码应D应应应应检查软件所使用的密码技术是否以国家标准或行业标准形式发应应应应了解软件中密码产品的型号和版本等配置信息，核查该密码产品是否经商用密码认证机构认证合格，并核查密码产品的使用应应应应核查软件中的密码服务是否经商用密码认证机构认证合格或取应应应应应应应应核查软件是否采用动态口令机制、基于对称密码算法或密码杂机制等密码技术对登录用户进行身份鉴别并验证软件用户身份可宜应应性核查软件是否采用基于对称密码算法或密码杂凑算法的消息鉴对软件的访问控制信息进行完整性保护,并验证软件的访问控可可宜应性核查软件是否采用基于对称密码算法或密码杂凑算法的消息鉴对应用的重要信息资源安全标记进行完整性保护，并验证安全--宜应性核查软件是否采用密码技术的加解密功能对重要数据在传输过程中进行机密性保护并验证传输数据机密性保护机制是否正确可宜应应性核查软件是否采用密码技术的加解密功能对重要数据在存储过程中进行机密性保护，并验证存储数据机密性保护机制是否正可宜应应性核查软件是否采用基于对称密码算法或密码杂凑算法的消息鉴对重要数据在传输过程中进行完整性保护,并验证传输数据完可宜宜应性