QGDW 10942-2018 应用软件系统安全性测试方法.docx

ICS 29.240 Q/GDW 国 家 电 网 有 限 公 司 企 业 标 准 Q/GDW 10942—2018 代替 Q/GDW/Z 1942-2013 应用软件系统安全性测试方法 The security testing methods for application software system 2019-07-26发布 2019-07-26实施 发 发 布 I Q/GDW 10942—2018 目 次 前言 I 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 测试环境 2 5 安全测试方法 3 6 测试结论评价方法 11 附录A(资料性附录)渗透测试方法示例 13 编制说明 17 II Q/GDW 1942—2018 前 言 为规范国家电网有限公司应用软件系统的安全性，实现信息安全与软件系统同步规划、同步建设、 同步运行，落实Q/GDW1597—2015 《国家电网公司应用软件系统通用安全要求》的要求，结合当前国内 外信息安全形势及国家电网公司对应用软件系统提出的安全要求，制定本标准。 本标准代替Q/GDW/Z 1942—2013,与Q/GDW/Z 1942—2013相比，主要技术性差异如下： ——增加了第4章“测试环境”; ——在"基本型应用软件”和“增强型应用软件"中分别增加了关于会话管理、安全漏洞和外部接 口的要求。 ——删除了原标准第4章“适用对象”; ——删除了原标准第5章“测试要求及原则”; ——删除了原标准第7章“附则”; ——删除了"测评方法"中关于源代码安全测试要求和开发安全测试要求的内容； ——删除了“基本型应用软件”中关于资源控制、备份和恢复的内容； ——删除了“增强型应用软件”中关于备份和恢复的内容； ——修改了“范围”; ——修改了“术语和定义”; ——修改了"测试结论评价方法" ——对“安全测试方法”中各条款的描述进行了修改和细化。 本标准由国家电网有限公司信息通信部提出并解释。 本标准由国家电网有限公司科技部归口。 本标准起草单位：中国电力科学研究院有限公司。 本标准主要起草人：王杰、张美娟、刘楠、李凌、陈艳红、朱朝阳、刘莹、孙炜、张丞、严敏辉、 张唐勇、佟雪松、宋小芹、郭旭、单松玲、方晓文、刘圣龙、赵莹、朱宏杰、郝战、陈刚、陈涛、魏桂 臣、马广鹏、吴哲翔、牛德玲、李楠芳、席泽生、宫鑫、张君艳、赵雷鸣。 本标准2014年5月首次发布，2018年1月第一次修订。 本标准在执行过程中的意见或建议反馈至国家电网有限公司科技部。 1 Q/GDW 10942—2018 应用软件系统安全性测试方法 1 范围 本标准规定了国家电网有限公司管理信息大区的应用软件系统安全测试方法，不涉及安全保障要求 与源代码安全检测方法，是Q/GDW1597—2015《国家电网公司应用软件系统通用安全要求》的配套标准。 本标准适用于国家电网有限公司应用软件系统内部安全测试及第三方安全测试。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。 GB/T 22240—2008 信息安全技术信息系统安全等级保护定级指南 GB/T 25069—2010 信息安全技术术语 GB/T 28452—2012 信息安全技术应用软件系统通用安全技术要求 Q/GDW1597—2015 国家电网公司应用软件系统通用安全要求 3 术语和定义 GB/T 25069—2010、GB/T 28452—2012界定的以及下列术语和定义适用于本文件。 3.1 应用软件系统 application software system 信息系统的重要组成部分，是指信息系统中对特定业务进行处理的软件系统。(本标准中未特别声 明，出现的“系统”代表“应用软件系统”) [GB/T 28452—2012, 定义3.1.1] 3.2 基本型 basic model 安全级别为二级的应用软件系统。应用软件系统安全等级定义参见GB/T 22240—2008。 3.3 增强型 enhanced model 安全级别为三级的应用软件系统。应用软件系统安全等级定义参见GB/T 22240—2008。 3.4 检查 examination 2 Q/GDW 1942—2018 不同于行政执法意义上的监督检查，是指测试人员通过对测试对象进行观察、查验、分析等活动， 获取证据以证明信息系统安全等级保护措施是否有效的一种方法。 3.5 测试 testing 测试人员通过对测试对象按照预定的方法/工具使其产生特定的行为等活动，查看、分析输出结果， 获