- 1、本文档共24页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
ICS 29.240
Q/GDW
国 家 电 网 有 限 公 司 企 业 标 准
Q/GDW 10942—2018
代替 Q/GDW/Z 1942-2013
应用软件系统安全性测试方法
The security testing methods for application software system
2019-07-26发布
2019-07-26实施
发
发 布
I
Q/GDW 10942—2018
目 次
前言 I
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 测试环境 2
5 安全测试方法 3
6 测试结论评价方法 11
附录A(资料性附录)渗透测试方法示例 13
编制说明 17
II
Q/GDW 1942—2018
前 言
为规范国家电网有限公司应用软件系统的安全性,实现信息安全与软件系统同步规划、同步建设、 同步运行,落实Q/GDW1597—2015 《国家电网公司应用软件系统通用安全要求》的要求,结合当前国内 外信息安全形势及国家电网公司对应用软件系统提出的安全要求,制定本标准。
本标准代替Q/GDW/Z 1942—2013,与Q/GDW/Z 1942—2013相比,主要技术性差异如下: ——增加了第4章“测试环境”;
——在"基本型应用软件”和“增强型应用软件"中分别增加了关于会话管理、安全漏洞和外部接 口的要求。
——删除了原标准第4章“适用对象”;
——删除了原标准第5章“测试要求及原则”;
——删除了原标准第7章“附则”;
——删除了"测评方法"中关于源代码安全测试要求和开发安全测试要求的内容; ——删除了“基本型应用软件”中关于资源控制、备份和恢复的内容;
——删除了“增强型应用软件”中关于备份和恢复的内容;
——修改了“范围”;
——修改了“术语和定义”;
——修改了"测试结论评价方法"
——对“安全测试方法”中各条款的描述进行了修改和细化。
本标准由国家电网有限公司信息通信部提出并解释。
本标准由国家电网有限公司科技部归口。
本标准起草单位:中国电力科学研究院有限公司。
本标准主要起草人:王杰、张美娟、刘楠、李凌、陈艳红、朱朝阳、刘莹、孙炜、张丞、严敏辉、 张唐勇、佟雪松、宋小芹、郭旭、单松玲、方晓文、刘圣龙、赵莹、朱宏杰、郝战、陈刚、陈涛、魏桂 臣、马广鹏、吴哲翔、牛德玲、李楠芳、席泽生、宫鑫、张君艳、赵雷鸣。
本标准2014年5月首次发布,2018年1月第一次修订。
本标准在执行过程中的意见或建议反馈至国家电网有限公司科技部。
1
Q/GDW 10942—2018
应用软件系统安全性测试方法
1 范围
本标准规定了国家电网有限公司管理信息大区的应用软件系统安全测试方法,不涉及安全保障要求 与源代码安全检测方法,是Q/GDW1597—2015《国家电网公司应用软件系统通用安全要求》的配套标准。
本标准适用于国家电网有限公司应用软件系统内部安全测试及第三方安全测试。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22240—2008 信息安全技术信息系统安全等级保护定级指南
GB/T 25069—2010 信息安全技术术语
GB/T 28452—2012 信息安全技术应用软件系统通用安全技术要求
Q/GDW1597—2015 国家电网公司应用软件系统通用安全要求
3 术语和定义
GB/T 25069—2010、GB/T 28452—2012界定的以及下列术语和定义适用于本文件。
3.1
应用软件系统 application software system
信息系统的重要组成部分,是指信息系统中对特定业务进行处理的软件系统。(本标准中未特别声 明,出现的“系统”代表“应用软件系统”)
[GB/T 28452—2012, 定义3.1.1]
3.2
基本型 basic model
安全级别为二级的应用软件系统。应用软件系统安全等级定义参见GB/T 22240—2008。
3.3
增强型 enhanced model
安全级别为三级的应用软件系统。应用软件系统安全等级定义参见GB/T 22240—2008。
3.4
检查 examination
2
Q/GDW 1942—2018
不同于行政执法意义上的监督检查,是指测试人员通过对测试对象进行观察、查验、分析等活动, 获取证据以证明信息系统安全等级保护措施是否有效的一种方法。
3.5
测试 testing
测试人员通过对测试对象按照预定的方法/工具使其产生特定的行为等活动,查看、分析输出结果, 获
文档评论(0)