《安全测试方案模板》由会员分享,可在线阅读,更多相关《安全测试方案模板(12页珍藏版)》请在金锄头文库上搜索。
1、系统安全测试方案(V1.0)二o二二年八月1 引言1.1 编写目的本次安全测试,是为了保障产品上线前,充分挖掘应用层和代码层的漏洞, 结合需求以及安全规范,罗列出测试范围。测试范围主要包含数据库、主机、Web 应用,以及入侵防范 4 个方面的测试,其中以应用层的测试为核心;1.2 产品背景1.3 术语定义无1.4 假设和约束本次测试主要是对系统进行安全测试,测试内容包含以下范围:数据库,主 机, web 和应用。本次在测试时,由于需求不明确,会导致测试范围没有边界。 测试人员经验不足,也会导致测试进度延迟。1.5 参考资料2 任务概述2.1 目标完成本次入围测试前的安全测试工作,保障安全质量,
2、确保本次安全测试能 够顺利通过用户验收。2.2 测试环境软件环境:Linux 版本:centos数据库: mysql5.7其他软件: Apache+tomcat+redis2.3 安全测试范测试对象 1、主机测试对象 2、数据库测试对象 3、应用具体用例见 5.3 章节3 资源与工具3.1 角色与人员人力资源角色姓名职责与技能测试主管进行管理监督。职责:1)提供技术指导2)获取适当的资源3)提供管理报告测试工程师确定测试用例、确定测试用例的优先级并实施测试用 例。职责:1)生成测试计划2)生成测试模型3)评估测试工作的有效性4)执行测试5)记录结果3.2 测试环境针对被测试应用程序的测试环境和
3、配置信息,在此给出一个概要说明 软件环境:终端类别操作系统相关应用软件服务器端Redhat6.5Tomcat6.0.37客户端Redhat6.5Tomcat6.0.37硬件环境:终端类别机器名设备编号硬件配置说明终端类别I机器名设备编号硬件配置说明服务器端刀片服务器DELL R720E5-2650*2/64G/1T客户端刀片服务器DELL R720E5-2650*2/32G/1T交换机H3C交换机Mi ni S8G-U8口千兆交换交换机TO-LINK交换机TL-SF1016D16 口百兆交换网络环境:用友内网环境 100M 带宽3.3 工具工具分类名称厂商/自行研制备注BUG管理与跟踪JIRA
4、开源软件内部应用扫描Appscan/Burpsuite开源软件3.4 培训培训种类培训目的培训方式(建议)应参与人员工具培训快速学会工具的使用,参与安全 测试工具自学+面授测试人员4 测试策略4.1 安全测试目标完成主机、数据库、应用相关的安全测试工作,确保高质量交付给客户方法1、工具测试:APPSCAN,BURPSUITE;2、按照测试范围,进行手工测试完成标准主机/数据库/应用,解决完所有中高优先级问题,在时间充裕的情况下, 再处理低优先级问题需考虑的特殊事项5 进入与退出准则5.1 接收测试的条件5.2 测试通过标准测试用例覆盖率达到100% 分析缺陷,修改缺陷比例达到90%以上,对发现
5、的缺陷进行复测并复测通过5.3 安全测试用例设计序号测试内容1234567891011附件:6 测试数据的准备和管理6.1 测试数据的准备由测试人员自行准备测试数据7 测试过程监控测试前对对测试方案,测试计划,测试用例进行评审,确保测试内容覆盖全面 测试过程中,每日发帖汇报当天测试情况。测试后,对测试出来的进行汇总分析,并给出基本的解决方案;7.1 测试计划进度安排任务名称责任人预计开始时间预计完成时 间需要工时(MD)制定测试计划2018/05/202018/05/20评审测试计划编写测试用例评审测试用例搭建测试环境执行测试测试报告7.2 需交付文档文档名称创建人员交付对象交付时间安全测试用
6、例项目组安全测试报告项目组7.3 测试过程控制在项目实施阶段,定期组织项目参与人员进行测试Review,每位测试人员 介绍各自的测试情况,并听取开发人员的反馈意见,以掌握测试进度、测试完成 情况,及时调整测试重点;测试活动开始前,需要由测试组长等相关人员对测试准备工作进行检查, 当检查通过方准予测试;通过测试组长及相关的人员对测试执行情况进行检查与评估。核实测试结 果、调查意外原因等,包括对测试中发现缺陷的记录情况等。7.4 Bug 管理通过部门 jira 记录、跟踪和报告测试中发生的 bug 情况及其状态。7.5 风险分析与应对序号风险描述解决方法责任者1需求不明确及时和负责人沟通需求,明确
7、测 试范围2开发可能不能按期完成跟踪开发进度,及时调整测试时间安排3系统的可测性差及时搭好环境,让功能能够可测4模块功能改变积极与开发人员沟通,重新进行 测试任务的分配6测试环境与开发环境不冋 步加强版本管理,数据库版本管理, 定期进行测试数据的更新7新人的上手时间在项目前期加强对新人的培训,测试人员尽早熟悉产品8测试时间不够先用工具进行第一轮测试 参考标准进行第二轮测试8 评价准则8.1 安全测试的范围和标准安全测试问题覆盖到所有测试功能,中高优先级问题尽量都能解决。优先解决 中高优先级问题。8.2 安全测试技术和问题整理对于安全问题,应给出初步的解决建议; 对于不知道如何解决的安全问题,需要和研发团队商讨解决方案。 对每次安全问题解决后,整理相关的解决方案并汇总成文档;8.3 安全测试特殊要求和尺度需要手工并配合各种安全工具扫描核心业务,并汇总安全问题反馈给研发。9 附录如果出现时间紧急的情况,反馈给产品负责人,由产品负责人把问题及时告 知上级领导,让领导得知现状,了解本次验收的风险。
