MZ∕T 080-2017 中国福利彩票系统软件安全性测试规范.pdf
《MZ∕T 080-2017 中国福利彩票系统软件安全性测试规范.pdf》由会员分享,可在线阅读,更多相关《MZ∕T 080-2017 中国福利彩票系统软件安全性测试规范.pdf(15页珍藏版)》请在咨信网上搜索。
1、ICS 35.240 A 01 备案号 MZ 中 华 人 民 共 和 国 民 政 行 业 标 准 MZ/T 080-2017 中国福利彩票系统软件安全性测试规范 Specification for welfare-lottery-system-software security-testing 2017 -01 - 06 发布 2017 - 01 - 06 实施 中华人民共和国民政部 发 布 I 前 言 本标准按照GB/T 1.12009给出的规则起草。 本标准由中国福利彩票发行管理中心提出。 本标准由民政部社会福利和慈善事业促进司归口管理。 本标准起草单位:中国福利彩票发行管理中心。 本标准
2、主要起草人:王素英、栗演兵、张彤、朱志新、何天琼、张积涛、韩毅、闫峰、蔡荣生、黄晓辉、付小兵、李英华、杜莉婷。 MZ/T 080-2017 1 中国福利彩票系统软件安全性测试规范 1 范围 本标准规定了彩票系统软件安全性测试的对象、管理、方法和工具、内容和评级。 本标准适用于中国福利彩票发行机构、 销售机构、 企业和第三方检测机构对彩票系统软件的安全性进行测试。 2 规范性引用文件 下列文件中的有关条款通过引用而成为本标准的条款。 凡注日期或版次的引用文件, 其后的任何修改单(不包括勘误的内容)或修订版本都不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡不
3、注日期或版次的引用文件,其最新版本适用于本标准。 GA/T 390-2002 计算机信息系统安全等级保护通用技术要求 GB/T 11457 软件工程术语 GB/T 15532-2008 计算机软件测试规范 3 术语和定义 下述术语及GB/T 11457中确立的术语和定义适用于本文件。 3.1 彩票系统软件 lottery-system-software 彩票系统软件是指实现一个或多个彩票玩法, 能够完成彩票购买, 彩票销售, 彩票开奖, 奖金兑付,业务管理这一系列彩票业务流程、并具备一定的安全性、可靠性的系统及软件。可包括以下子系统或模块:彩票交易、资金管理、参数管理、摇奖开奖、用户管理、代销
4、者管理或渠道管理、投注终端管理、账户管理、彩票业务报表、运行监控、数据存储、网络系统、投注终端或客户端、关联软件或系统。 3.2 可用性 usability 确保授权用户对彩票系统的信息和资源的正常使用不会被异常拒绝, 允许其可靠即时地访问信息和资源。 3.3 保密性 confidentiality 确保彩票相关的信息在存储、使用、传输过程中不会泄露给非授权用户。 3.4 完整性 completeness 2 确保彩票相关的信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。 3.5 抗抵赖性 non-repudia
5、tion 确保彩票交易参与者对交易信息和过程的不可否认。 3.6 可追溯性 traceability 确保彩票系统用户的操作记录能够被可靠地追踪。 3.7 安全性 security 彩票系统软件安全性是指彩票系统信息的完整性、保密性、可用性、抗抵赖性和可追溯性。 4 测试目的和对象 4.1 测试目的 a) 在模拟真实或真实的工作环境下, 检验彩票系统软件安全性能否满足合同、 软件需求规格说明、系统或子系统设计说明、软件设计说明、用户手册、彩票系统风险分析报告所规定的彩票系统软件安全性要求, 应包括彩票系统信息的保密性、 完整性、 可用性、 抗抵赖性和可追溯性要求; b) 通过测试,发现彩票系统
6、软件安全性缺陷; c) 为彩票系统软件产品的质量和评价提供依据。 4.2 测试对象 安全性测试的对象是完整的彩票系统或者是其中一部分相对独立的子系统。 5 测试管理 5.1 测试人员 彩票系统安全性测试应由相对独立的人员进行。安全性测试人员角色职责见表1。 表1 安全性测试人员角色职责表 工作角色 具体职责 测试项目负责人 管理监督测试项目,提供技术指导,获取适当的资源,制定基线,技术协调,负责项目的安全保密和质量管理。 测试分析员 确定测试计划、测试内容、测试方法、测试数据生成方法、测试(软、硬件)环境、测试工具,评价测试工作的有效性。 测试设计员 设计测试用例,确定测试用例的优先级,建立测
7、试环境。 测试程序员 编写测试辅助软件。 测试员 执行测试、记录测试结果。 测试系统管理员 对测试环境和资产进行管理和维护。 MZ/T 080-2017 3 配置管理员 设置、管理和维护测试配置管理数据库。 5.2 测试的准入和准出条件 测试的准入准出条件如下: a) 准入条件 开始安全性测试工作应具备下列条件: 1) 具有测试任务书(合同或项目计划); 2) 具有安全性测试所需的文档; 3) 所提交的被测软件受控。 b) 准出条件 结束安全性测试工作应具备下列条件: 1) 已按要求完成了合同所规定的测试任务; 2) 实际测试过程遵循了原定的测试计划和测试说明; 3) 客观、详细地记录了测试过
8、程和软件测试中发现的所有问题; 4) 测试文档齐全、符合规范; 5) 测试的全过程自始至终在控制下进行; 6) 测试中的问题或异常有合理解释或正确有效的处理; 7) 测试工作通过了测试评审; 8) 全部测试软件、被测软件、测试支持软件和评审结果已纳入配置管理。 6 测试方法和工具 6.1 测试方法 彩票系统安全性测试可采用静态测试方法和动态测试方法。 静态测试方法常采用静态分析、 代码走查方法。动态测试方法常采用白盒测试方法和黑盒测试方法。 6.2 测试工具 可使用人工或者自动化测试工具,包含但不限于:自动化安全性功能测试工具和渗透测试工具。 注:渗透测试工具包括但不限于自动化漏洞扫描工具、风
9、险评估工具、模拟攻击和侦听工具。 7 测试环境 彩票系统软件安全性测试环境包括测试的运行环境和测试工具环境。 运行环境应符合软件安全性测试任务书的要求, 通常是模拟真实环境或真实环境。 测试工具要求是经过认可的工具。 8 测试过程 彩票系统安全性测试过程包括:测试计划、测试设计、测试执行、测试总结。测试过程遵照GB/T 15532-2008 中第4章第3条的要求执行。 9 测试内容 4 9.1 平台安全 测试彩票系统采用的操作系统、数据库系统和通用基础服务的安全。 测试内容应包括:操作系统漏洞检测与修复、通用基础应用程序漏洞检测与修复、彩票系统防病毒措施。 9.2 通信安全 测试彩票系统的网络
10、设计和实现以及传输链路的安全。 测试内容应包括:网络隔离、访问控制、硬件和软件加解密、身份鉴别机制、各项网络协议运行漏洞。 9.3 应用安全 测试彩票系统应用安全,包括认证和授权、审计跟踪、系统应急响应。 测试内容应包括:彩票系统软件的程序安全性、彩票业务的抗抵赖性、彩票业务的访问控制、彩票业务实体的身份认证、彩票业务的备份与恢复机制、彩票业务数据的惟一性、一致性、防冲突性、彩票业务系统的可用性、系统应急响应计划与实施方案。 9.4 数据安全 测试彩票系统数据的安全,包括但不限于彩票销售数据、开奖数据、计奖数据、兑奖数据、弃奖数据、彩票资金数据、彩民信息数据。 测试内容应包括:数据访问控制、标
11、识与鉴别、数据完整性、数据可用性、数据监控和审计、数据存储与备份安全。 10 测试评级 10.1 安全等级 安全性测试完成后,应对测试对象进行测试评级。根据测试结果,安全性由低到高可分为一级、二级、三级、四级、五级。各级的技术要求见附录A。 10.2 一级 一级应符合的要求如下: a) 通过简单的用户标识和鉴别来限制系统的功能配置和数据访问控制, 使用户具备自主安全保护的能力,防止非法用户对数据的读写与破坏; a) 采用 GA/T 390-2002 4.3.13 条密码支持第一级进行用户口令设计、存储和传输; b) 具备防病毒措施; c) 具备自我信息备份和增量备份、手动故障恢复功能。 10.
12、3 二级 二级应符合的要求如下: a) 彩票系统采用更细粒度的自主访问控制,划分安全管理角色,细化系统管理; b) 通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责; c) 增加系统审计功能,增强可追溯性; d) 采用 GA/T 390-2002 4.3.13 条密码支持第二级进行用户口令设计、存储和传输; MZ/T 080-2017 5 e) 采用 GA/T 390-2002 4.3.13 条密码支持第二级提供的功能,进行数据完整性保护; f) 具备网络防病毒措施,具备局部系统备份和热备份、手动故障恢复功能; g) 具备应急计划和应急措施。 10.4 三级 三级应符合的要求
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- MZT 080-2017 中国福利彩票系统软件安全性测试规范 MZ 080 2017 中国福利彩票 系统软件 安全性 测试 规范
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【liy****99】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【liy****99】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。