國(guó)标GB/T 25000.51-2016-信息安全性方法解讀及重點分析

在CNAS軟件檢測領域，GB/T 25000.51-2016 《系統與軟件工程 系統與軟件質量要求和評價（SQuaRE）第51部分：就(jiù)緒可用軟件産品（RUSP）的質量要求和測試細則》，是目前國(guó)内對(duì)就(jiù)緒可用軟件産品軟件檢測标準，而其中對(duì)于軟件的信息安全性也做了相關的要求，爲測試軟件的安全性提供了指南。

标準原文：GB/T 25000.51-20165.1.10 産品質量-信息安全性适用時(shí)，産品說(shuō)明應根據GB/T 25000.10-2016包含有關信息安全性的陳述，要考慮保密性、完整性、抗抵賴性、可核查性、真實性以及信息安全性的依從性，并以書面(miàn)形式展示可驗證的依從性依據。gb/t 25000.51-2016

GB/T 25000.51-2016軟件檢測标準的具體測試方法及要求是，參照 GB/T 25000.10-2016《系統與軟件工程 系統與軟件質量要求和評價（SQuaRE）第10部分：系統與軟件質量模型》這(zhè)個标準，GB/T 25000.10-2016將(jiāng)軟件的信息安全性主要分爲四大類，它們分别是保密性、完整性、抗抵賴性、可核查性、真實性和信息安全的依從性，它們用于驗證系統、産品保護信息和數據的程度，使用戶、系統産品或系統具有與其授權類型和授權基本一緻的數據訪問度。

GB/T 25000.10-2016-信息安全性内容

保密性條款：産品或系統确保數據隻有在被授權時(shí)才能(néng)被訪問的程度。

解析：确保數據隻有在被授權時(shí)才能(néng)被訪問，須防止未得到授權的人或系統訪問相關的信息或數據，還(hái)要保證得到授權的人或系統能(néng)夠正常訪問相關的信息或數據。爲了保證數據在傳輸過(guò)程中不被竊聽，須對(duì)通信過(guò)程中的整個報文或會(huì)話進(jìn)行加密。例如在交易系統中，涉及到銀行賬号、交易明細、身份證号、手機号等敏感信息，須保證這(zhè)些信息在傳輸過(guò)程中的安全性，可采用加密算法，如3DES、AES、IDEA等進(jìn)行加密處理。同時(shí)，須保證敏感信息在存儲過(guò)程的保密性。啓用訪問控制功能(néng)，依據安全策略和用戶角色設置訪問控制矩陣，控制用戶對(duì)信息或數據的訪問。用戶權限應遵循“最小權限原則”，授予賬戶承擔任務所需最小權限，例如管理員隻有管理員權限，不具備業務操作權限；同時(shí)要求不同賬号間形成(chéng)相互制約關系，審計人員不應具有系統管理權限，管理人員也不應有審計權限，這(zhè)樣兩(liǎng)個角色就(jiù)形成(chéng)了相互制約關系。

重點分析：測試工程師在檢測軟件程序保密性的過(guò)程中，應重點對(duì)軟件系統如下幾點進(jìn)行檢測：

a. 權限分配（垂直越權或水平越權）；

b. 會(huì)話通信是否加密（https傳輸）；

c. 加密算法是否合理（弱加密算法base64、md5）；

d. 敏感信息是否存在洩露風險（用戶信息、敏感數據）。

完整性條款：産品、系統或組件防止未授權訪問、篡改計算機程序或數據的程度。

解析：爲了防止數據在傳輸和存儲過(guò)程中被破壞或被篡改，一般采用增加校驗位、循環冗餘校驗（CRC）的方式，檢查數據完整性是否被破壞，或者采用各種(zhǒng)散列運算和數字簽名等方式實現通信過(guò)程中的數據完整性。采用關系型數據庫保存數據，例如Oracle，增加數據完整性約束，如唯一鍵、可選值、外鍵等；實現事(shì)務的原子性，避免因爲操作中斷或回滾造成(chéng)數據不一緻，完整性被破壞。

重點分析：測試工程師在檢測軟件程序完整性的過(guò)程中，應重點對(duì)軟件系統如下幾點進(jìn)行檢測：

a. 系統軟件在進(jìn)行數據操作（增删改）時(shí)是否對(duì)數據格式進(jìn)行了校驗；

b. 檢查數據庫架構是否合理，數據庫約束條件設置是否合理。

抗抵賴性條款：活動或事(shì)件發(fā)生後(hòu)可以被證實且不可被否認的程度。

解析：啓用安全審計功能(néng)，對(duì)活動或事(shì)件進(jìn)行追蹤。對(duì)審計日志進(jìn)行管理，日志不能(néng)被任何人修改或删除，形成(chéng)完整的證據鏈。采用使用數字簽名處理事(shì)務，在收到請求的情況下爲數據原發(fā)者或接收者提供數據原發(fā)和接收證據。

重點分析：測試工程師在檢測軟件抗抵賴性的過(guò)程中，應重點對(duì)軟件系統如下幾點進(jìn)行檢測：

a. 軟件系統後(hòu)台是否具有日志記錄機制，日志内容是否詳細；

b. 系統會(huì)話處理機制是否有效（Cookie、Session、Token）。

可核查性條款：實體的活動可以被唯一的追溯到該實體的程度。

解析：可核查性和抗抵賴性不同，重點在追溯實體的程度。主要考察啓用安全審計功能(néng)後(hòu)，覆蓋用戶的多少和安全事(shì)件的程度等。覆蓋到每個用戶活動，用戶活動的日志記錄内容至少應包括事(shì)件日期、事(shì)件、發(fā)起(qǐ)者信息、類型、描述和結束等；審計跟蹤設置是否定義了審計跟蹤極限的阈值，當存儲空間被耗盡時(shí)，能(néng)否采取必要的保護措施。例如，報警并導出、丢棄未記錄的審計信息、暫停審計或覆蓋以前的審計記錄等。

重點分析：測試工程師在檢測軟件可核查性的過(guò)程中，應重點對(duì)軟件系統如下幾點進(jìn)行檢測：

a. 軟件日志内容記錄是否詳細，是否可溯源；

b. 軟件日志覆蓋内容是否齊全（大多數系統僅對(duì)ERROR錯誤進(jìn)行記錄）；

c. 日志保存周期及備份方法是否合理。

真實性條款：對(duì)象或資源的身份标識能(néng)夠被證實符合其聲明的程度。

解析：系統提供專用的登錄模塊對(duì)登錄用戶進(jìn)行身份标識和鑒别，驗證其身份的真實性，同時(shí)需證實符合其聲明的程度；用戶的身份鑒别信息不易被冒用，同時(shí)不存在重複的用戶身份标識。系統中用戶名唯一且與用戶一一對(duì)應，采用用戶名和口令方式對(duì)用戶進(jìn)行身份鑒别，提高用戶口令開(kāi)啓複雜度，如口令長(cháng)度8位以上，至少包含數字、大小寫字母、特殊字符中的三種(zhǒng)，強制定期更換口令；系統不存在共享賬戶。提供登錄失敗處理功能(néng)，采取如結束會(huì)話、限制非法登錄次數和自動退出等措施。這(zhè)些都(dōu)是可以在用戶文檔集中進(jìn)行要求。

重點分析：測試工程師在檢測軟件真實性的過(guò)程中，應重點對(duì)軟件系統如下幾點進(jìn)行檢測：

a. 軟件系統是否具有身份鑒别機制（登錄、退出、單點登錄等）；

b. 軟件系統是否具有驗證碼機制，驗證碼複雜度是否合理，有無及驗證機制等；

c. 軟件系統對(duì)用戶設置密碼是否有要求，是否定期要求更換密碼；

d. 軟件系統針對(duì)Session會(huì)話中斷、自動退出有無約束；

e. 軟件系統是否擁有限制登錄次數機制，防暴力破解。

依從性條款：産品或系統遵循與信息安全性相關的标準、約定或法律法規以及類似規定的程度。

解析：産品說(shuō)明是否提及産品信息安全性相關的标準、約定或法規要求，若提及并提供證明材料，則認可；否則，要驗證軟件與産品說(shuō)明書提及的文件（需求文檔）要求是否相符。

重點分析：測試工程師在檢測軟件信息安全依從性的過(guò)程中，應重點對(duì)軟件系統如下幾點進(jìn)行檢測：

a. 軟件系統的需求說(shuō)明書内有無對(duì)信息安全性相關要求（如系統無OWASP TOP 10 漏洞、滲透測試等）；

b. 判斷軟件系統類型，是否爲特殊行業軟件（金融、測繪、電力等行業）、特殊行業軟件開(kāi)發(fā)内容一般會(huì)存在其行業的相關要求。

參考條款：

GB/T 25000.51-2016 《系統與軟件工程 系統與軟件質量要求和評價（SQuaRE）第51部分：就(jiù)緒可用軟件産品（RUSP）的質量要求和測試細則》

GB/T 25000.10-2016《系統與軟件工程 系統與軟件質量要求和評價（SQuaRE）第10部分：系統與軟件質量模型》

《軟件産品質量要求和測試細則-GB/T 25000.51-2016标準實施指南》