1、1 平台建设安全体系设计方案目录1 平台建设安全体系设计方案 11.1 安全标准 21.2 安全管理措施31.2.1 信息安全管理 31.2.2 用户帐号的管理 31.2.3 信息系统的逻辑访问和物理访问 41.3 系统网络安全41.3.1 结构安全 41.3.2 访问控制 41.3.3 安全审计 51.3.4 边界安全审计 51.3.5 入侵防护 51.3.6 网络设备防护 51.4 权限安全61.4.1 身份鉴别 61.4.2 访问控制 61.4.3 安全审计 61.4.4 恶意代码防范 71.5 应用安全71.5.1 身份鉴别 71.5.2 访问控制 71.5.3 安全审计 81.5.4
2、 通信保密性 91.5.5 软件容错 91.5.6 资源控制 91.6 数据备份恢复91.6.1 数据完整性 91.6.2 数据保密性 91.6.3 备份和恢复 91.7 灾难备份及恢复检测要求101.7.1 数据备份 101.7.2 运行维护管理能力 101.7.3 灾难恢复预案 101.7.4 帐号与密码管理 111.8 身份验证121.8.1 认证 121.8.2 授权 131.8.3 与身份认证系统接口 141.8.4 审计 141.9 系统测试安全151.10 应用系统安全性测试17数据传输过程采取必要的安全措施,保证数据传输过程的安全性、稳定性 和保密性。提供数据逻辑性和有效性的自
3、动校验功能,对用户输入信息进行安 全检查,降低SQL注入等数据安全风险。1.1 安全标准本方案中,我们会严格按照信息系统等级保护安全设计三级的内容和提出 了技术实现要求进行规划和实施。本文档将对信息系统安全等级实现要求进行描述。同时以 GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求的基本要求为主要线索,落 实了信息系统安全等级保护基本要求的各项要求。应遵照国家信息系统安全等 级保护的要求来进行大数据平台的设计、应用系统的开发及测试,确保系统在 数据保密性、完整性及整体安全等方面符合社保三级标准。1.2 安全管理措施1.2.1 信息安全管理制定相应的组织结构图及部门、人员
4、职责描述文档并经过管理层批准的信 息安全政策。范围包括所有与业务相关的程序和数据相关的信息技术环境(例 如网络安全、物理安全、操作系统安全、应用程序安全等方面)。用户和信息 技术人员都应知晓相关的信息安全政策。1.2.2 用户帐号的管理所有用户帐号的添加、修改及删除必须通过系统使用部门和系统维护部门 主管人员审批后,方可由系统管理员在系统中创建用户帐号,以避免未经授权 帐号及权限的创建或修改。如果其他厂商需要在系统中创建普通帐号,则需签 署保密协议或保密条款。在员工工作调动或离职等工作职能发生变化时,由人力资源部门或用户部 门及时正式通知系统维护部门,由系统管理员更新或删除其相应的访问权限。超
5、级用户帐号的管理以下各超级用户帐号/特权功能用户帐号的使用仅限于经授权人员,用户帐 号的授权须经系统维护部门主管人员或相关业务部门主管人员的授权审批:操作系统的超级用户帐号(比如 root 用户、系统管理员、安全管理员帐号 批处理用户帐号)。数据库的超级用户帐号(比如数据库管理员)。应用系统的特权功能用户帐号(例如具有增加 /变更/删除用户等权限的帐 号)。其他厂商不得拥有超级用户帐号。系统的管理员帐号(包括操作系统、数据库和应用程序层面)如果由于系 统限制存在共享,其密码在其中任一管理员离职时需及时更改,以防止非法访 问。用户帐号访问权限的定期审阅业务部门对系统的用户帐号和用户访问权限进行至
6、少每季度的定期审阅, 以发现任何不合适的系统访问权限,并及时跟进解决。系统维护部门主管人员定期对机房访问权限清单进行审阅,如果发现存在 不适当用户及时通知机房管理人员取消相应用户的授权。1.2.3 信息系统的逻辑访问和物理访问在系统中采用统一的用户身份的验证机制,对系统的访问必须使用用户名 和密码或者其它身份验证机制(例如USBKEY),而且每个用户帐号被授予唯一 的用户。系统维护部门对访问系统(包括操作系统、数据库和应用程序层面) 的用户制定密码政策,并根据密码政策在系统固化相应的设置,以避免用户使 用安全级别低的密码。密码政策应包括:用户密码长度不低于6位,密码每90天进行更新,不得 使用
7、最近的密码。对于使用密钥棒或动态密码卡的系统,需要配合使用由用户 掌握的PIN码。独立于系统管理员的日志管理员负责定期检查系统应用程序、操作系统和 数据库层面安全日志记录(含对重要数据的增加、删除、修改操作)。发现异 常现象及时跟进或上报。安装系统应用程序、操作系统和数据库的硬件设备存放在安全的机房中。 所有出入口均具备电子门禁系统或门锁的保护。只有经授权的人员可对存放系 统的计算机机房和设备进行物理访问。对机房的访问授权需经系统维护部门主 管人员审批。非授权人员出入机房必须由机房工作人员陪同。人员进出机房会 在机房门禁系统或机房进出日志中留下记录。1.3 系统网络安全1.3.1 结构安全1)
8、关键网络设备具备冗余空间保障的业务处理能力,满足业务高峰期需要;2)接入网络和核心网络的带宽满足业务高峰期需要;3)网络实际拓扑结构图与当前运行情况相符;4)根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分 不同的子网或网段。1.3.2 访问控制1)所有系统在网络边界部署访问控制设备,启用访问控制功能;2)能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒 度可为网段级;3)用户访问控制配置数据按用户和系统之间的允许访问规则,决定允许或 拒绝用户对受控系统进行资源访问,控制粒度为单个用户;4)根据安全策略允许或者拒绝便携式和移动式设备的网络接入。1.3.3 安全审计
9、1)对网络系统中的网络设备运行状况进行日志记录;2)对网络系统中的网络流量进行日志记录;3)对网络系统中的用户行为进行日志记录;4)有审计记录;5)审计记录包括事件的日期、时间、用户以及事件类型。1.3.4 边界安全审计1)有边界网络行为审计措施和记录;2)检查审计记录包括事件的日期、时间、用户、事件类型、事件成功及其 他与审计相关的信息。1.3.5 入侵防护1)可在网络边界处监视网络入侵和攻击行为;2)具备端口扫描、暴力破解、木马后门攻击、缓冲区溢出攻击、 IP 碎片攻 击、网络蠕虫攻击的监控能力;3)具备拒绝服务攻击的监控能力;4)查看具备网络攻击监视记录。1.3.6 网络设备防护1)对登
10、录网络设备的用户进行身份鉴别;2)对网络设备的管理员登录地址进行限制;3)对网络设备用户做唯一标识;4)用户口令足够复杂,定期更换;5)具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络 登录连接超时自动退出等措施,通过测试检验该功能;6)当对网络设备进行远程管理时,采取必要措施防止鉴别信息在网络传输 过程中被窃听。1.4 权限安全1.4.1 身份鉴别1)对登录操作系统和数据库系统的用户进行身份标识和鉴别;2)操作系统和数据库系统管理用户身份标识具有不易被冒用的特点,口令有复杂度要求并定期更换;检查用户身份标识,检查口令更改记录;3)启用登录失败处理功能,采取结束会话、限制非法登录
11、次数和自动退出 等措施;4)当对服务器进行远程管理时,采取必要措施,防止鉴别信息在网络传输 过程中被窃听;5)为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具 有唯一性;6)对于存在关系型数据库的设备,检查设备能够为不同数据库用户或用户 组分别授予针对特定数据表的读取、修改权限。1.4.2 访问控制1)启用访问控制功能,依据安全策略控制用户对资源的访问;2)实现操作系统和数据库系统特权用户的权限分离;3)限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认 口令;4)及时删除多余的、过期的帐户,避免共享帐户的存在,5)对于具备 consol 口的设备,配置 consol
12、 口登录的密码保护功能,6)对于具备管理口的设备,比如惠普服务器的ILO 口,IBM小型机的HMC 口,将系统默认登陆用户和口令更改或禁用。1.4.3 安全审计1)审计范围覆盖到服务器上的每个操作系统用户和数据库用户;2)审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;3)包括事件的日期、时间、类型、主体标识、客体标识和结果等;4)保护审计记录,避免受到未预期的删除、修改或覆盖等,5)日志有最小保留日期设定。1.4.4 恶意代码防范1)安装防恶意代码软件;2)支持防恶意代码软件的统一管理;3)及时更新防恶意代码软件版本和恶意代码库。资源控制1)通过设
13、定终端接入方式、网络地址范围等条件限制终端登录;2)根据安全策略设置登录终端的操作超时锁定;3)限制单个用户对系统资源的最大或最小使用限度。1.5 应用安全1.5.1 身份鉴别1)提供专用的登录控制模块对登录用户进行身份标识和鉴别;2)提供用户身份标识唯一和鉴别信息复杂度检查功能,能保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;3)提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退 出等措施;4)启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能;5)应用在登陆或传递敏感信息时候采用加密技术(如链路采用加密技术或 同等技术手段,该条
14、可以视为通过)。1.5.2 访问控制1)提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的 访问;2)访问控制的覆盖范围包括与资源访问相关的主体、客体及它们之间的操 作;3)由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;4)授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成 相互制约的关系;5)检验设备系统具备对口令强度进行配置以及检查口令强度的功能;6)检验设备系统能够删除或者锁定特定的账号,以避免与设备运维无关的 账号被误用,从而导致不必要的风险;7)检验设备系统具备对口令的生存期进行配置以及检查的功能;8)检验设备系统具备对口令认证失败次数有限制的功能
15、并且在多次连续 尝试认证失败后能够锁定账号;9)检验设备系统在静态口令认证工作方式下,支持账号登陆口令的修改功 能,并且修改口令后不会导致业务无法正常使用;10)检验设备系统在静态口令认证工作方式下,静态口令在进行本地存储时 进行了加密;11)对于用户可通过人机交互界面访问文件系统的设备,检查设备支持对文 件系统中的目录和文件,为不同用户或用户组分别授予读、写、执行权限;12)记录设备能够对用户登录/登出系统产生相应的日志;13)检查设备系统支持对用户操作信息产生详细日志记录的能力;14)检查设备支持日志远程输出功能,即设备至少支持一种通用的远程标准 日志接口,如SYSLOG、FTP等,将日
16、志输出至远程日志服务器;15)设备能够按账号分配日志文件读取、修改和删除权限,从而防止日志文 件被篡改或非法删除;16)检查具备图形界面(含 WEB 界面)的设备支持手动和定时自动屏幕锁定 锁屏后需再次进行身份认证后才能解除屏幕锁定;17)检查设备的系统具备通过补丁升级来消除软件安全漏洞的能力;18)应用系统的帐户纳入帐户管理流程规范。1.5.3 安全审计1)提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审 计;2)保证无法删除、修改或覆盖审计记录;3)审计记录的内容包括事件日期、时间、发起者信息、类型、描述和结果1.5.4 通信保密性1)查看软件使用手册或设计文档,在通信双方建
17、立连接之前,应用系统利 用密码技术进行会话初始化验证;2)对通信过程中的敏感信息字段进行加密或对整个会话过程加密。1.5.5 软件容错1)提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入 的数据格式或长度符合系统设定要求。1.5.6 资源控制1)当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方能 够自动结束会话;2)能够对应用系统的最大并发会话连接数进行限制;3)能够对单个帐户的多重并发会话进行限制;4)检查设备能够显示当前活动的 TCP/UDP 服务端口列表以及已建 IP 连接列 表;5)检查对设备进行远程访问时支持通过 SSH 等功能保证通信数据的安全性6)检查设
18、备支持列出对外开放的 IP 服务端口和设备内部进程的对应关系的 功能。1.6 数据备份恢复1.6.1 数据完整性1)能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。1.6.2 数据保密性1)采用加密或其他保护措施实现鉴别信息的存储保密性。1.6.3 备份和恢复1)对重要信息进行备份和恢复;检查重要信息备份和恢复记录;2)对于重要信息的备份,采用异地保存;3)对于重要信息的备份,考虑保存环境温湿度,灰尘;4)对于重要信息的备份,考虑保存环境防火,防水,防磁;5)对于重要信息的备份,考虑保存环境不易被无关人员轻易进入;6)对于重要信息的备份,有机制或流程保证重要信息的备份的有效性;7)
19、对于重要信息的备份的使用,有相关流程并有记录查询;8)对于重要信息的备份,如采用异地保存,在传输过程中考虑安全运输;9)提供关键网络设备、通信网络线路和数据处理系统的硬件冗余,保证系 统的可用性。1.7 灾难备份及恢复检测要求冗余系统、冗余设备及冗余链路1)检查重要服务器、重要部件、重要数据库采用本地双机备份的方式进行 容灾保护;2)检查演练文档,查看业务系统网络灾难演练的恢复时间满足行业管理和 企业应急预案的相关要求;3)检查重要服务器配备双电源模块,双电源模块不宜由同一路电源供电。1.7.1 数据备份1)访谈业务系统安全管理人员,询问系统的关键数据(如网络拓扑配置数 据、业务支撑系统的用户
20、资料、费率表)提供本地备份和异地备份;2)检查设计/验收文档,查看业务系统支持关键数据定期备份,查看数据备 份日志,记录备份周期。1.7.2 运行维护管理能力1)访谈安全管理人员,询问有相应的介质存取、验证和转储管理制度,可 确保备份数据授权访问;2)检查业务系统相关管理制度,查看其按介质特性对备份数据进行定期的 有效性验证;3)检查业务系统相关管理制度,查看其具有相关服务器设备的灾难备份及 恢复的管理制度;4)同时和关键设备支持厂商签订协议,在灾难发生时优先提供服务。1.7.3 灾难恢复预案1)检查业务系统灾难恢复预案设计/验收文档,查看其具备完整的业务系统 灾难恢复预案;2)检查业务系统灾
21、难恢复教育和培训计划,访谈相关人员具备实际操作能 力;3)检查业务系统灾难恢复预案演练记录,查看其已经过灾难恢复预案演练 以及灾难恢复预案演练的效果达到设计要求。1.7.4 帐号与密码管理1)口令在生成时,需遵循内控要求原则:字母+数字2)系统层最高权限用户(root、Administrator) 3个月强制更换一次密码; 密码的长度不小于 8 位、且包含数字和字母等信息;不得使用最近一次使用过的 密码等。用户层的密码长度需大于6位,不得使用最近一次使用过的密码;用户 每次登录前确认当天离上次更新是否超过 90 天,如超过则不允许登入,如未超 过最后期限则自动提示离下次更新密码的最后期限还有多
22、少天。3)不将应用系统的用户帐号和密码编写在程序中;4)系统需具备如下的密码安全和密码更新功能: 用户信息表中保存“密码修改时间”、“密码匹配失败次数”、“用户最近5 次使用过的密码及相应修改时间”等记录;用户需要定期(90 天)修改自己的用户密码;系统的用户登录模块在用户登录后该自动提示用户“离下次更新密码的最 后期限还有多少天”;对于首次登录系统的用户在登录后自动进入密码修改界面; 用户连续登录密码匹配失败次数达到 3 次则锁定该帐户不得登录,须向系 统管理员申请激活;用户在本次密码有效期的最后一天登录时系统应该在更新提示后自动进入 专业密码修改界面,如用户超过90 天没有修改密码则不允许
23、用户登录并给出提 示(可向系统管理员申请激活);用户修改密码时需要对密码的合法性进行判断:必须大于等于 6 位,为字 母和数字的组合,且不得使用最近 5 次使用过的密码。5)系统中如果使用到操作系统或者数据库的密码,不将帐号密码写死在程 序中,需通过配置文件的方式解决,上述两类帐户变更、密码更改必须留有日 志信息备查。6)确保系统中对于重要的数据增、删、改操作,可以由系统日志追溯到执 行操作的帐号,这些系统日志的内容包括:操作员登录日志、操作员人工修改 资料日志和静态数据修改日志等。7)系统具备对口令猜测的防范机制和监控手段。8)系统中具备口令强弱判断功能,不允许口令为6到8个相同数字或字母,
24、 或逻辑正反顺序数字或字母组成,如 12345678、ABCDEFG、87654321 等。备注:如系统具备强身份认证功能,则无需密码复杂度判断和每三个月修 改一次的功能。1.8 身份验证1.8.1 认证a)应用系统根据应用程序采用合适的认证方式,对于安全要求较低的系统 可以采取传统的用户名、密码认证方式,对于部分安全要求较高的应用,采取 安全性更高的认证方式,如:指纹认证、智能卡、双因子认证等。b)应用系统采用基于口令的身份鉴别机制实际使用的口令不低于 6 位字母数字组合的口令强度(符合运维安全管 理分册)。用户口不令明文存放。必须采用较强的密码算法对用户口令进行加密。 用户的登录名和口令等
25、是灵活可变的,不写死在程序中的,可以根据要求 随时修改。限制对用户口令或其它与用户身份认证有关的信息的存取,限制尽可能少 的人和应用系统(模块)能存取这些信息。尽可能避免用户名和口令在非可信网络上以明文方式进行传送。 认证失败后的处理方式设计: 连续登录失败后锁定帐号。帐号锁定后可以由系统管理员解锁,也可以在 一段时间后自动解锁;通知用户认证失败,防止黑客暴力猜测。c)根据应用系统对身份认证可靠性的管理策略需求,支持采用比简单的用 户名口令更强的身份认证方式。强身份认证方式:一次性口令、动态口令认证;证书认证;应用系统实现并强制使用了基于密码技术和生物特征识别等的强身份鉴别 机制,书面材料能表
26、明使用的密码技术和生物特征识别技术等符合国家的有关 政策和标准的规定。d)对重要的交互信息,采取抗抵赖技术,包括但不限于数字签名技术。e)数据处理的中间过程和中间结果不能暴露给第三方。1.8.2 授权a)应用系统包括正式的注册、登录认证和注销模块,能够对不同用户的访 问权限进行严格的访问控制。应用系统提供功能,能对用户进行灵活的功能授 权,支持用户授权方面的安全管理策略。采用“用户角色权限”的权限管 理模式要求,用户的权限要求包括以下方面:系统读、写、执行权限设计; 系统查看、配置、修改、删除、登录、运行等权限设计; 数据访问范围的权限设计;应用功能模块使用权限的设计。b)对于重要的功能和敏感
27、的数据,能提供数据敏感的授权,限制用户只能 在限定的数据集上执行被授权的操作。c)很多应用系统采用了多个用户共同使用同一个数据库帐号的方式。虚拟 应用服务器中的连接池机制。在这种情况下要避免给这些数据库用户授予过多 的权限。更绝对不能把类似DBA,SchemaOwner,或开发人员使用的帐号,这样 的数据库帐号用于此类用途。d)应用系统中的所有角色、权限、处理的数据对象和操作类型有明确的描 述、敏感度标识和分配策略。e)应用系统实现了严格的分级授权机制,特定权限的用户只能看到和使用 特定的界面和相应的功能。f)对营业受理、收费、管理和系统维护等操作人员,根据其岗位和职责设 置其操作级别和使用权
28、限,并通过应用系统对其操作日志进行记录。g)应用系统开发工作与审计工作由不同用户(角色)承担,同一系统的操 作系统管理工作与应用系统管理工作由不同用户(角色)承担。1.8.3 与身份认证系统接口应用系统为集中用户授权系统提供API接口,集中用户授权系统API为B/S 架构的应用提供细粒度的授权控制。通过 API 接口实现集中用户授权。集中用 户授权系统API接口支持主流的Web服务器或者第三方的B/S架构的系统。通常应用系统本身拥有数据库来存储其帐号信息,因此帐号集中管理系统 对应用系统帐号的管理,表现为数据库同步,即应用系统数据库与帐号集中管 理数据库中的帐号数据保持同步。对于通过关系数据库
29、存储帐号信息的应用系统,用户帐号集中管理系统可 通过类似 ETL 工具的数据库映射工具同步帐号;而对于通过 LDAP 数据库存储帐 号信息的数据库,则需要专门的同步工具实现帐号数据同步,通过适配器的这 些同步工具保证用户帐号集中管理系统与应用系统间用户帐号信息的一致性与 准确性。1.8.4 审计a)应用系统具有完善的日志功能,能够记录系统异常情况及其他安全事件。 审计日志保留规定的时长,以便支持日后的事件调查和访问控制监控。审计日 志包括以下内容:用户创建、删除等操作。登录和退出的日期和具体时间。终端的身份或位置(如果可能的话)。成功的和被拒绝的系统访问活动的记录。成功的和被拒绝的数据与其他资
30、源的访问记录。 成功的和被拒绝的管理操作记录。对系统数据库的直接访问修改留有系统记录。如果日志记录的操作过多,和记录的信息过多,有可能对系统的性能产生 不利影响。因此应用系统提供对于日志的定制功能。比如允许系统管理员按级 别设定需记录日志的操作种类和日志信息的详细程度;或者设定为日志记录设定 过滤条件。不过需注意的是,过于复杂的过滤条件可能会影响日志记录功能的 性能。应用系统提供对日志的查看功能。在查看中至少要能按时间、操作人、所 做的操作对日志进行过滤查询。在应用系统的设计和实现中必须考虑对日志的备份。同时日志记录可能会 消耗大量硬盘存储空间,因此需要考虑对日志的清理。应用系统的登录记录、访
31、问记录,尤其是不成功的登录、访问记录,必须 向集中审计系统报告,或由集中审计系统主动查询,保证管理员能够及时发现 问题。b)应用系统提供了记录安全危害事件并实时报警的安全审计功能以及违例 终止功能。c)应用系统实现了完备的安全审计,对各级权限用户的所有操作进行审计, 审计功能一直有效且不可更改,并只允许授权人员访问审计记录,对审计系统 的功能和抗篡改机制有明确的描述和论证。1.9 系统测试安全应用系统的测试安全包括以下内容:a)明确记录测试目的。b)明确测试的安全要点、测试参与人员、测试流程,并编写测试大纲。如 对应用系统的帐号、口令的安全测试;数据传输的安全测试。c)根据测试大纲制定测试方案
32、测试的环境要求;测试软件、测试设备要求;测试人员要求;测试的时间要求;测试的输入数据;测试的预期结果;测试的详细过程;测试的风险和风险规避方案。d)测试环境的物理、硬软件环境模拟真实环境。测试环境主要把包括, 如下图所示:测试坏境硬件坏境软件环境网络坏境e)测试数据选择是真实数据,限定测试的人员,并在测试完成后全部删除。f)系统测试和验收试验通常需要大量的(真实数据)尽可能与靠近实际运 行数据的测试数据。避免使用含有个人信息的业务数据库。如果要使用其中信 息,在使用之前应使其失去个性化。当把运行数据用于测试目的时,采取以下 措施保护运行数据。明确要求工作人员参与;每次把运行信息复制到测试应用
33、系统都有单独的授权;测试完成之后,立即把运行信息从测试应用系统中删除;应记录运行信息的复制和使用,以提供一种检查追踪。g)在与其他系统的互操作性测试中,充分考虑对其他系统的影响,选择适 当的时间、方法。h)测试完成后入网前、割接前进行安全核察,消除测试用的后门、用户名 及口令等。i)确保测试环境的安全。将测试环境与开发环境、生产环境相隔离,避免 测试工作对业务的影响。j)详细记录测试过程发生的每一件事情,列出测试过程中发现的问题。这 些信息包括:发现了什么,在哪里发现的,当时的环境,这些问题是否可重现k)根据测试的过程和测试结果,提出被测试系统、测试过程等方面的改进 说明。l)确保测试用例、测
34、试内容和测试结果的保密性。1.10 应用系统安全性测试应用系统在正式上线前对安全性进行测试,验证应用系统的安全性是否符 合安全设计及安全需求。测试流程基本分为:测试准备、测试实施、测试总结 和提交测试报告四个步骤,见下图所示:测试使用的方式,主要的测试方式有功能测试、压力测试、渗透性和基于 模型的测试。A. 功能测试:对应用系统的安全功能点进行测试,确保安全功能的有效性、正确性。B. 压力测试:对应用系统的安全功能进行压力测试,确保安全功能可以满足设计的需要,包括但不限于以下内容:应用系统服务器端和单个终端进行安全数据传输的最大容量;应用系统服务器端能够与多个终端同时进行安全数据传输。C. 压渗透性测试:对应用系统抵抗攻击的能力进行测试。D. 基于模型的测试:模型实际上是系统的抽象,就是用语言把系统的行为 描述出来,定义出各种状态和转换关系。该测试方法指利用模型来生成测试用 例,然后将预想结果和实际结果进行对比分析,得到差异性。