收藏
下载资源

安全测试方案

上传人:xzh****18 文档编号:41613409 上传时间:2018-05-30 格式:PDF 页数:9 大小:164.10KB
返回 下载 相关 举报
安全测试方案_第1页
第1页 / 共9页
安全测试方案_第2页
第2页 / 共9页
安全测试方案_第3页
第3页 / 共9页
安全测试方案_第4页
第4页 / 共9页
安全测试方案_第5页
第5页 / 共9页
点击查看更多>>
资源描述

《安全测试方案》由会员分享,可在线阅读,更多相关《安全测试方案(9页珍藏版)》请在金锄头文库上搜索。

1、 中 国 软 件 评 测 中 心 测 试 方 案中 国 软 件 评 测 中 心 测 试 方 案 中国软件评测中心 第 1 页 北京李宁体育用品有限公司 资金管理系统安全测试与评估 测试方案测试方案 V0.90 中国软件评测中心 二七年二月九日 本方案为中国软件评测中心为北京李宁体育用品有限公司项目准备 未经许可,禁止任何个人与机构翻印、出售 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中 国 软 件 评 测 中 心 测 试 方 案中 国 软 件 评 测 中 心 测 试 方 案 中国软件评测中心 第 2 页 修订记录修订记录 修订日期修订日期 版本号版本号 修改记录修改记录

2、 2007- 2- 9 V0.90 草稿 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中 国 软 件 评 测 中 心 测 试 方 案中 国 软 件 评 测 中 心 测 试 方 案 中国软件评测中心 第 3 页 目 录 1 系统访问控制策略系统访问控制策略.4 2 数据管理安全性数据管理安全性.4 3 网络安全测试网络安全测试.5 4 渗透测试渗透测试.5 5 防病毒软件部署防病毒软件部署.6 6 系统日志及审计分析系统日志及审计分析.6 7 安全管理措施及技术文档评估安全管理措施及技术文档评估.7 8 资产评估资产评估.8 PDF 文件使用 “pdfFactory Pro

3、“ 试用版本创建 中 国 软 件 评 测 中 心 测 试 方 案中 国 软 件 评 测 中 心 测 试 方 案 中国软件评测中心 第 4 页 1 系统访问控制策略系统访问控制策略 序号序号 测试指标测试指标 测试方法测试方法 备注备注 1 用户注册 检查是否有正式的用户注册和注销程序,来授权和 撤销对所有系统及服务的访问 2 身份认证 系统是否提供诸如密码、指纹、验证码、加密狗等 多种身份认证方式 内部及外部用户使用正确口令是否能且仅能访问 授权服务 检查口令复杂度要求,如是否要求位数超过 6 位、 是否要求字母与数字混合、是否要求能够设置密码 失效期限 检查口令的锁定与解锁,检查口令是否有多

4、次输入 错误的锁定功能,是否提供解锁机制 3 用户信息维护 检查用户是否能够更新相关信息及口令 检查用户信息更新是否与访问控制权限联动 4 访问控制权限 检查是否能够合理分配与管理如系统管理员、超级 管理员等特殊权限 检查系统访问控制等级及权限设置合理性 2 数据管理安全性数据管理安全性 序号序号 测试指标测试指标 测试方法测试方法 备注备注 1 加密传输 使用 sniffer 等工具检查在网络通信过程中能否截 获明文数据 2 加密存储 检查系统是否对关键数据信息进行加密存储 3 数据备份机制 检查系统是否具备备份策略,定期备份数据 4 备份文件的存储 检查备份数据管理措施的严密程度和实施有效

5、度 5 备份数据的恢复 检查是否存在对备份数据定期测试的机制 恢复备份数据,检查是否存在数据丢失、损坏等 现象 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中 国 软 件 评 测 中 心 测 试 方 案中 国 软 件 评 测 中 心 测 试 方 案 中国软件评测中心 第 5 页 3 网络安全测试网络安全测试 序号序号 测试指标测试指标 测试方法测试方法 备注备注 1 防火墙规则审查 将内外网防火墙的规则导出,进行人工分析 2 防火墙自身安全性相关设置的人工检查 3 防火墙自身安全性测试 针对防火墙进行漏洞扫描 4 防火墙日志的审查 将内外网防火墙的日志导出,进行人工分析

6、5 入侵检测的部署 检查入侵检测的在各网段的部署是否有效合 理,数据收集是否全面 6 入侵检测的规则 将入侵检测的规则导出,进行人工分析 7 入侵检测自身的安全性 针对入侵检测系统的设备或所在平台进行漏洞 扫描 8 入侵检测日志的审查 将入侵检测系统的日志导出,进行人工分析 9 检测防火墙与网络 IDS 联动的配置 10 防火墙与入侵检测系统的 联动 检测防火墙与主机 IDS 联动的配置 11 网络设备的安全性设置 网络内交换机等网络设备的 VLAN 划分, ACL, 是否启用 802.1X 等 12 网络内交换机等网络设备自身安全性相关设置 的人工检查: l VRP 版本; l 口令保护:

7、l AAA 认证; l 网络设备管理 SNMP 安全性等 13 网络设备自身安全性 对网络内交换机等网络设备进行漏洞扫描 14 漏洞扫描 应用漏洞扫描系统对特定网段、服务器、数据 库、web 等对象进行扫描,探测系统漏洞。 4 渗透测试渗透测试 序号序号 测试指标测试指标 测试方法测试方法 备注备注 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中 国 软 件 评 测 中 心 测 试 方 案中 国 软 件 评 测 中 心 测 试 方 案 中国软件评测中心 第 6 页 1 外网渗透测试: l 对防火墙、网络设备等远程探测和攻击; l 根据探测结果,采用跨站攻击、SQL 注入、

8、 远程溢出等方式,尝试获取网站管理权限、 上传 SHELL,加载木马,更改网页,清除 日志等操作 2 网站渗透测试 内网渗透测试: l VLAN 间的渗透; l 远程缓冲区溢出; l 口令猜测; l 应用程序安全测试; 3 防火墙渗透测试 l 采用专用工具,尝试地址欺骗、TCP 序号 攻击、 内部反向连接等方法绕过防火墙的认 证机制进行测试; l 测试防火墙与 IDS 联动 4 防火墙抗DDOS攻击测试 采用专用设备对防火墙进行 DDOS 攻击 5 防病毒软件部署防病毒软件部署 序号序号 测试指标测试指标 测试方法测试方法 备注备注 1 安装部署 检查系统各服务器、客户端的防病毒部署情况 2

9、定时在线更新 检查防病毒软件的在线升级策略是否合理 检查是否能够定时在线更新病毒库 3 控制措施 检查系统是否允许未采取防毒措施的计算机接入 检查防病毒软件是否具有控制端用以及时发现并 切断病毒源 6 系统日志及审计分析系统日志及审计分析 序号序号 测试指标测试指标 测试方法测试方法 备注备注 1 日志信息 检查软件、操作系统、数据库是否具备详细全面的日志信 息 2 日志管理 日志是否具备阈值报警功能 日志是否有规定的保留期限 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中 国 软 件 评 测 中 心 测 试 方 案中 国 软 件 评 测 中 心 测 试 方 案 中国软件

10、评测中心 第 7 页 3 审计分析 是否能对系统信息的使用和网络对象的修改进行有效的审 计和分析 4 日志权限 是否只有管理员能够查看日志信息 是否任何人员不能修改、删除日志内容 7 安全管理措施及技术文档评估安全管理措施及技术文档评估 序号序号 测试指标测试指标 测试方法测试方法 备注备注 一、 信息安全策略文档 1 是否具有信息安全策略文档 文档检查 2 相关员工对安全策略的了解程度 用户问卷调查 3 是否经过领导审批 文档检查 4 信息安全策略文档内容完整性、清晰性 文档检查 5 安全策略的审查评估 文档检查 6 安全策略的修订记录 文档检查 二、 信息安全责任的划分 7 信息安全责任指导原则 文档检查 8 安全责任的分配是否和信息安全策略相一致 文

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 解决方案

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号