HW：信息安全测评

最新推荐文章于 2024-10-02 23:39:18 发布

网安这样学

最新推荐文章于 2024-10-02 23:39:18 发布

阅读量857

点赞数 20

文章标签：智能路由器网络 web安全安全

本文链接：https://blog.csdn.net/2401_84578953/article/details/142649554

版权

▼

信息安全测评是指对信息安全产品或信息系统的安全性等进行验证、测试、评价和定级，规范它们的安全特性。信息安全测评对信息安全产品的研发与采购、信息系统的规划设计和建设运营等具有指导意义，是实现信息安全保障的有效措施。信息安全测评技术是能够系统地、客观地验证、测试和评估信息安全产品、信息系统安全性质和程度的技术，主要包括验证技术、测试技术及评估方法3个方面。发达国家和地区的政府高度重视信息安全测评工作，先后研发了大量的信息安全测评技术，制定了一系列的评估准则，主要包括可信计算机系统评估准则（TCSEC）、信息技术安全评估准则（ITSEC）、信息安全评估通用准则（CC）等；我国也制定了相应的评估标准，并建立了信息安全评估制度。

信息安全测评对信息安全模块、产品或信息系统的安全性进行验证、测试、评价和定级，目的在于规范它们的安全特性。其作用在于通过验证、测试、评估信息模块/产品/系统的各种关键安全功能、性能以及运维使用情况，发现模块、产品或者系统在设计、研发、生产、集成、建设、运维、应用过程中存在的信息安全风险、发生或可能发生的信息安全问题，鉴定产品质量，监控系统行为，警示安全风险，保障网络与信息安全。

信息安全评估是技术含量较高的工作，当前的标准大多仅给出了指导性的检测与评估原则或框架。为了保证评估结果的公正、合理，需要不断建立新的检测和评估手段，保证测试结果的一致性和评估过程的客观性，加强对高安全等级产品或系统形式化分析的能力。当前，各发达国家和我国的信息安全评估制度都已经基本形成，但在建立先进的检测和评估手段方面都面临着挑战。

安全测评通过在测评对象全生命周期中，对测评对象所采取的安全防护、安全检测、安全反应及安全恢复措施等安全保障的各个方面，采用系统安全工程方法，遵循特定的程序和模式，实施一整套结构化的测试、评估技术，以完成对信息化基础设施、信息安全基础设施、信息安全保障技术和信息技术产品所提供的安全保障有效性的验证。安全测评是国家和社会对信息安全保障体系进行质量监督与技术控制的有效方式。

一、信息安全测评技术

1、信息安全验证技术

为了测评信息安全产品或信息系统，需要验证或测试它们的安全性质及安全保障实施的效能。分析验证是指基于一定的分析手段或经验，验证信息安全产品或信息系统中不存在相应的安全隐患。产品或信息系统中的控制流、信息流和边界值等是需要重点分析的对象。普通的安全隐患不难凭经验发现，但更复杂的分析验证需要形式化的手段。所谓形式化方法，是指用语义符号、数学或模型描述所研究或设计的产品或系统，便于推理并得到严谨的结论。当前，设计人员或分析人员已经可以采用安全模型、协议形式化分析和可证明安全性方法等手段对安全策略、安全协议或密码算法进行验证。

（1）安全模型

安全策略是在系统安全较高层次上对安全措施的描述，它的表达模型常被称为安全模型，是一种安全方法的高层抽象，它独立于软件和硬件的具体实现方法。常用的访问控制模型是最典型的一类安全模型，从中不难看出，安全模型有助于建立形式化的描述和推理方法，可以基于它们验证安全策略的性质和性能。

（2）协议形式化分析

当前对安全协议进行形式化分析的方法主要有基于逻辑推理、基于攻击结构性及基于证明结构性的三类方法。基于逻辑推理的分析方法运用了逻辑系统，它从协议各方的交互出发，通过一系列的推理验证安全协议是否满足安全目的或安全说明，这类方法的代表是由Burrows、Abadi和Needham提出的BAN逻辑。基于攻击结构性分析方法一般从协议的初态开始，对合法主体和攻击者的可能执行路径进行搜索或分析，找出协议可能的错误或漏洞，为了进行这类分析，分析人员一般要借助自动化的工具，后者采用形式化语言或数学方法描述和验证协议，常用的分析工具包括FDR等。基于证明结构性的分析方法主要在形式化语言或数学描述的基础上对安全性质进行证明，如 Paulson归纳法、秩函数法和重复逼近法等。

（3）可证明安全性方法

当前，越来越多的密码算法和安全协议在设计和论证中使用了可证明安全性方法。这种设计论证方法与以前“设计—攻击—改进—再攻击—再改进”的方法不同，它在一定的安全模型下将设计算法和协议的安全性归结于伪随机函数、分组密码等已被认可算法或函数的安全性，在一定程度上增强了设计者对安全性的把握和控制，提高了密码与安全协议的设计水平。

2、信息安全测试技术

在信息安全产品或信息系统的开发或评估中，开发者或评估人员需要借助测试技术获得反映它们性能的数据。一般将能够反映产品或系统相关性能度量的检测对象称为指标（Metrics），将它们的值称为指标值。测试技术需要准确、经济地为开发者或评估人员提供指标值或计算它们的相关数据，它们反映了产品或系统在安全性、运行性能、协议符合性和一致性、环境适应性、兼容性等方面的状况，为提高产品或系统的质量、准确评估它们的等级提供了依据。信息安全产品或信息系统的安全测试主要包括以下技术。

（1）测试仿真环境的构造

传统的测试方法主要依靠构建实际运行环境进行测试，测试人员使用专用的软/硬件测试工具得到结果。但随着网络应用的普及及运行环境的复杂化，一方面构造实际运行环境的代价越来越高，如测试服务器时可能需要大量的终端计算机，另一个方面的问题是，在实际系统中采集、控制和分析数据不方便。在以上背景下出现了各种测试环境仿真技术，它们主要由各类测试仪实现。其中，流量仿真技术可以模拟不同带宽、连接数和种类的网络流量，它们适合测试对象的背景流量或所需要处理的流量；攻击仿真技术模拟攻击者的主机向被测试系统发起攻击；通信仿真技术既可以使测试人员通过简单的开发获得需要的通信流量，又可以通过设置加入人为的线路噪声或损伤，如丢弃一定比例的流量等；设备仿真技术使仿真的设备可以与被测试设备通信，方便直接了解后者的特性。当前，Spirent、IXIA等企业的测试仪已经支持上述仿真，如一些网络安全设备测试仪提供了对IPSec网关的测试功能，在测试中，可以用测试设备仿真整个环境。

此外，信息安全测试过程可能会对被测系统产生一定的影响，干扰被测系统的正常业务数据流和控制流。因此，对于大多数需要保障实时性和可靠性的业务系统，无法对其进行直接的安全测试，并且在很多情况下也缺乏测试仪器来构建专业的测试环境。为了应对这类测评需求，采用软/硬件结合的方式，利用通用设备来构建具备高仿真度的模拟网络环境实施测评，这种思路逐渐在安全测评技术领域引起重视。模拟网络环境的构建工作包括部署主机、建立主机间的连接和信任关系、创建主机上运行的服务、生成应用程序和生成系统用户等。在这种思路的指导下，人们提出了“克隆”技术，通过构造在系统配置和应用配置方面完全吻合被测系统要求的模板主机，利用主机克隆技术实现模板主机在模拟网络环境中的快速复制，从而达到快速部署主机和应用服务的目的。

（2）有效性测试

有效性测试是指用测试的方法检查信息安全产品、系统或它们的模块、子系统是否完成了所设计的功能，也包括通过测试相应的指标量衡量完成的程度和效果。为了使测试结果更全面、准确地反映实际安全情况，测试方法需要包括典型的应用实例或输入数据，对输入数据往往还要考察边界值等极端情况。包含典型输入数据和边界值等的测试用例数据被称为测试序列。当前，出现了一些根据设计方案描述语言或源代码自动生成测试实例和输入的技术，极大地提高了有效性测试的效率。在测试网络信息安全产品和系统中，往往需要搭建并开发测试环境，如用通信仿真模拟客户端或服务器，分别测试双方的有效性。另外，用流量仿真提供背景流量，使测试环境更加真实。

（3）负荷与性能测试

负荷测试主要是指通过输入、下载不同带宽、速率的数据或建立不同数量的通信连接，得到被测产品或系统的数据处理能力指标值及它们之间可能的相互影响情况，如得到最大带宽、吞吐量、最大处理速率、最大连接数以及某个连接数上的最大处理速率。与负荷测试相关的是对其他运行性能的测试，主要包括测试在特定负荷下的连接建立速度、通信时延、响应速度、错误率、分组丢失率等。

（4）攻击测试

攻击测试指利用网络攻击或密码分析的手段，检测相应的模块、设备、应用、系统等测试对象的安全性质，判断测试对象是否存在可被攻击者利用的安全缺陷，验证可能的攻击途径，如针对密码模块的分析测试主要基于特定的密码分析和安全性能评价方法，包括对密文随机性指标的测试、对密码代数方程求解时间和可行性的测试等。

攻击测试所采用的技术手段主要有主机探测、漏洞扫描、针对网站的SQL注入和跨站攻击、针对口令的字典攻击和暴力破解、缓冲区溢出攻击、会话劫持攻击、拒绝服务攻击等。攻击测试对测试人员的技术能力和经验要求较高，通常由专业的测试人员借助一些专用的测试仪器，根据目标系统的状况和反应来选择最具效果的技术手段用以实施测试。部分测试仪器允许测试者进行二次开发，测试人员可以根据被测对象的特性对测试仪器进行定制开发，实施更有针对性的测试攻击，如可以利用测试仪对入侵检测系统（IDS）进行攻击测试。

（5）故障测试

故障测试是指通过测试，了解信息安全产品或系统出现故障的可能性、故障环境及故障类型等情况。故障测试的结果可以反映被测对象的运行稳健性。故障测试可以对有效性、负荷和性能的测试同步进行，但它本身也包含一些特殊的方法。错误数据输入是常用的故障测试方法之一，它指故意输入错误的数据用以考察被测对象的稳健性；在与通信相关的测试中，测试人员可以利用特殊的设备人为引入线路噪声、损伤或丢弃一定数量的通信分组，借此测试通信双方抵御通信故障的能力；对于一些安全设备，如军用密码机等，它们的运行环境可能比较恶劣，故障测试还可能采用非常规变化的电压或者电流等措施，测试这些设备抵抗物理环境变化的能力。

（6）一致性与兼容性测试

一致性测试是指对于信息安全产品、系统或其模块、子系统，检测它们在接口、协议等方面与其他配套产品、系统或模块、子系统的互操作情况，确定它们是否都符合相关的接口、协议设计规范。兼容性是指对于以上被测试对象，检测它们与其他系列的产品、系统或模块、子系统的互操作情况，确定它们是否可以结合在一起运行。在这类测试中，一般需要确定一个权威的参照系统并基于它进行相关测试。

3、信息安全评估技术

随着信息系统规模的不断发展、应用服务的日益普及以及用户数目的逐年增加，信息系统已经渗入到人们生活的各个方面。由于普遍存在着资源管理分散、安全意识薄弱和防护手段缺乏等问题，信息系统正面临着严峻的安全形势。信息安全评估技术能够利用信息安全测试技术和信息安全验证技术的分析结果，利用预先建立的评估模型对被评估的网络与信息系统的安全性做出定性或定量的评估，帮助人们准确把控网络信息系统的安全状况和发展趋势，从而指导安全保障工作的方向和力度。典型的安全评估技术包括风险评估方法、脆弱性评估技术、安全态势评估技术、安全绩效评估技术等。

（1）风险评估方法

信息安全风险评估也称信息安全风险分析，是指对信息系统的安全威胁进行分析和预测，在风险事件发生之前或之后（但还没有结束），对该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作，即风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。

从信息安全的角度来讲，风险评估是对信息资产（即某事件或事物所具有的信息集）所面临的威胁、存在的弱点、造成的影响以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。

信息安全风险评估使信息系统的管理者可以在考虑风险的情况下估算信息资产的价值，为管理决策提供支持，也为进一步实施系统安全防护提供依据。常见威胁有基于网络和系统的攻击、内部泄露、人员物理侵入、系统问题等，它们尽可能利用信息系统存在的脆弱性，这种可能性不但与威胁和脆弱性本身相关，还与攻击者、攻击方法、攻击时间、系统状况等有关。

（2）脆弱性评估技术

信息安全问题日益严重，一方面是由于互联网的应用范围越来越广泛，另一方面是由于简单易用的攻击工具越来越普及。然而，安全问题的根源在于安全脆弱性（或称安全漏洞）。脆弱性的发现、利用、防范和修补已成为信息安全攻防双方的焦点，也是保障网络信息安全的核心问题之一。信息系统的可靠性、健壮性、抗攻击性在很大程度上取决于所使用的信息产品的脆弱性状况。由于现有的安全防御技术在主动掌控脆弱性方面存在诸多缺陷，目前，迫切需要开展脆弱性评估技术的研究，建立完备、有效的安全评估机制，用以充分指导安全措施的规划和部署，有效降低信息系统的脆弱性程度。

脆弱性评估技术是一种通过综合评判网络信息系统的脆弱性，分析系统遭受入侵的脆弱性，利用路径及其可能性，并在此基础上指导对安全漏洞进行有选择的修补，以便以最小代价获取最大安全回报的技术。安全体系需要各个环节安全技术的不断改进和创新才能得到有效的保障。脆弱性评估作为构筑信息安全体系的关键环节，有着不可替代的重要作用。在信息安全领域的典型防御技术中，入侵检测、防火墙、病毒检测都是攻击中或攻击后的被动检测，而脆弱性评估则是攻击前的主动测评，对相关技术的研究具有重要意义。首先，脆弱性评估不仅能够分析来自外部的攻击可能，也能够分析来自内部的攻击可能。其次，脆弱性评估建立在网络信息系统的各种信息之上，评估结果表示了系统可能遭受的入侵途径，因此，脆弱性评估能够对入侵检测系统出现的漏报进行弥补，对误报进行修正，对入侵关联的结果进行验证，是入侵检测技术的重要补充。再次，计算机病毒的蔓延往往依赖于系统的后门或脆弱性。在感染病毒之前对可能的蔓延路径进行分析是另一层次的病毒防御。从这三点来看，脆弱性评估可以作为这3种典型安全防御技术的有效补充，评估结果还可用于针对攻击行为的关联分析及预测、安全策略制定等方面。

（3）安全态势评估技术

安全态势评估技术能够从整体上动态反映网络信息系统的安全状况，并对安全状况的发展趋势进行预测和预警，为增强系统安全性提供可靠的参照依据。

安全态势评估指通过技术手段从时间和空间纬度来感知获取安全相关元素，通过数据信息的整合分析来判断安全状况并预测其未来的发展趋势。安全态势评估最初出现在航空领域和军事领域，后来逐渐推广到各个技术领域，包括交通管理、生产控制、物流管理、医学研究和人类工程学等。近年来，安全态势评估技术开始在计算机网络领域得到应用，对于保障网络信息系统的安全具有重要意义。首先，安全态势评估技术能够综合分析各个方面的安全元素，既包括黑客攻击等安全事件，又包括系统自身的脆弱性和服务等信息；其次，安全态势评估可以从整体上动态反映网络信息系统的安全状况，评估结果具有综合性、多角度性、多粒度性等特点，并且实时性较好，可以看出一段时间内安全状况的动态变化情况；再次，安全态势评估可以根据一段时间内的评估结果，利用时间序列分析等方法对未来的安全状况及发展趋势进行预测，从而对可能发生的安全威胁进行提前防护；最后，安全态势评估可以对不同层次和规模的网络或信息系统进行分析，适应性强，应用范围广。

因此，安全态势评估技术已逐渐成为构筑信息安全体系的关键环节，有着不可替代的重要作用和意义，国内外学者已纷纷致力于研究针对网络信息系统的安全态势评估模型、技术和方法。

（4）安全绩效评估技术

信息系统承载着组织的重要业务功能，为保障信息系统安全性，往往会在系统中应用各种安全措施。但如何验证所实施的安全措施是否依据要求正确地执行了其保护功能，如何评估所实施的安全措施抵御各种攻击的效果，这些都是评估系统安全性时需要解决的重要问题，也是影响安全绩效和决策的重要因素。因此，如何评估信息安全措施的效用（即安全绩效）已引起国内外研究人员的关注，成为网络安全领域的研究热点。

安全绩效评估的重点是评估系统安全措施抵御攻击的安全功能强度，需要确定在已知或发现的脆弱性条件下，分析系统是否能被诱发产生或利用安全脆弱性的行为，以评估系统安全措施在攻击状态下有效保障系统安全的能力。

建模是开展信息安全绩效评估的重要途径，但信息系统本身的复杂性和动态性难以全面抽象描述，而且模型层次与实际应用的矛盾使安全绩效评估建模的难度增加。抽象层次越高，建模越简单，但模型分析结果与实际应用差距越大；反之则建模越复杂。目前，根据模型的不同抽象层次和粒度，可以通过分析系统安全策略、设计部署机制和管理应用措施等方面的信息来评估安全绩效。现有的安全绩效评估技术大多还处于研究阶段，由于在数据分析、参数设置、规则分析和结果应用等方面对评估人员主动经验的依赖性较高，影响了评估过程的规范性和结果一致性，因此该项技术尚未进入实用阶段。

二、信息安全测评方法

1、黑盒测试

在黑盒测试中，把测试对象看作一个不能打开的黑盒子，在完全不考虑测试对象内部结构和内部特性的情况下，在测试对象接口进行测试，它只检查测试对象功能是否按照需求规格说明书的规定正常使用，程序是否能适当地接收输入数据而产生正确的输出信息。黑盒测试着眼于测试对象外部结构，不考虑内部逻辑结构，主要针对软件界面和软件功能进行测试。

黑盒测试是以用户的角度，从输入数据与输出数据的对应关系出发进行测试的。很明显，如果外部特性本身设计有问题或规格说明的规定有误，用黑盒测试方法是发现不了的。

从理论上讲，黑盒测试只有采用穷举输入测试，把所有可能的输入都作为测试情况考虑，才能查出程序中所有的错误。实际上测试情况有无穷多个，人们不仅要测试所有合法的输入，而且还要对那些不合法但可能的输入进行测试。这样，完全测试是不可能的，所以要进行有针对性的测试，通过制定测试案例指导测试的实施，保证软件测试有组织、按步骤以及有计划的进行。黑盒测试行为必须能够加以量化，才能真正保证测评质量，而测试用例就是将测试行为具体量化的方法之一。具体的黑盒测试用例设计方法包括等价类划分法、边界值分析法、错误推测法、因果图法、判定表驱动法、正交试验设计法、功能图法、场景法等。

2、白盒测试

白盒测试又称结构测试、透明盒测试、逻辑驱动测试或基于代码的测试。白盒测试是一种测试用例设计方法，盒子指的是被测对象，白盒指的是盒子，是可视的，测试人员清楚盒子内部的东西以及里面是如何运作的。白盒测试全面了解程序内部逻辑结构、对所有逻辑路径进行测试。白盒测试是穷举路径测试，在使用这一方案时，测试者必须检查测试对象的内部结构，从检查测试对象的逻辑着手，得出测试数据，从而贯穿测试对象的独立路径数是天文数字。

白盒测试的测试方法有代码检查法、静态结构分析法、静态质量度量法、逻辑覆盖法、基本路径测试法、域测试、符号测试、路径覆盖和程序变异等。

白盒测试法的覆盖标准有逻辑覆盖、循环覆盖和基本路径测试。其中，逻辑覆盖包括语句覆盖、判定覆盖、条件覆盖、判定/条件覆盖、条件组合覆盖和路径覆盖。6种覆盖标准发现错误的能力呈由弱到强的变化：

1）语句覆盖每条语句至少执行一次；

2）判定覆盖每个判定的每个分支至少执行一次；

3）条件覆盖每个判定的每个条件应取各种可能的值；

4）判定/条件覆盖同时满足判定覆盖条件覆盖；

5）条件组合覆盖每个判定中各条件的每一种组合至少出现一次；

6）路径覆盖使程序中每一条可能的路径至少执行一次。

3、灰盒测试

灰盒测试是介于白盒测试与黑盒测试之间的一种测试，灰盒测试多用于集成测试阶段，不仅关注输出、输入的正确性，同时也关注测试对象内部的情况。灰盒测试不像白盒那样详细、完整，但又比黑盒测试更关注测试对象的内部逻辑，常常是通过一些表征性的现象、事件、标志来判断内部的运行状态。灰盒测试由一些方法和工具组成，这些方法和工具取决于应用测试对象的内部知识和与之交互的环境，能够用于黑盒测试以增强测试效率、错误发现和错误分析的效率。

灰盒是一种测试对象上的工作过程被局部认知的装置。灰盒测试是基于对测试对象内部细节有限认知上的测评方法。测试者可能知道系统组件之间是如何互相作用的，但缺乏对内部测试对象功能和运作的详细了解。对于内部过程，灰盒测试把测试对象看作一个必须从外进行分析的黑盒。

灰盒测试通常与Web服务应用一起使用，因为尽管应用测试对象复杂多变，并不断发展进步，因特网仍可以提供相对稳定的接口。由于不需要测试者接触源代码，因此灰盒测试不存在侵略性和偏见。开发者和测试者间有明显的区别，人事冲突的风险减到最小。然而，灰盒测试相对白盒测试更加难以发现并解决潜在问题，尤其在一个单一的应用中，白盒测试的内部细节可以完全掌握。灰盒测试结合了白盒测试和黑盒测试的要素，它考虑了用户端、特定的系统知识和操作环境，在系统组件的协同性环境中评价应用软件的设计。灰盒测试涉及输入和输出，但使用关于代码和测试对象操作等通常在测试人员视野之外的信息设计测试。

4、静态测试

静态方法是指不运行测试对象本身，仅通过分析或检查源测试对象的语法、结构、过程、接口等来检查测试对象的正确性。对需求规格说明书、软件设计说明书、测试对象做结构分析、流程图分析、符号执行来寻找错误。静态方法通过测试对象静态特性的分析，找出欠缺和可疑之处，如不匹配的参数、不适当的循环嵌套和分支嵌套、不允许的递归、未使用过的变量、空指针的引用和可疑的计算等。静态测试结果可用于进一步的查错，并为测试用例选取提供指导。

静态测试包括代码检查、静态结构分析、代码质量度量等。它可以由人工进行，充分发挥人的逻辑思维优势，也可以借助软件工具自动进行。代码检查包括代码走查、桌面检查、代码审查等，主要检查代码和设计的一致性，代码对标准的遵循、可读性，代码逻辑表达的正确性，代码结构的合理性等方面。可以发现违背测试对象编写标准的问题，测试对象中不安全、不明确和模糊的部分，找出测试对象中不可移植部分、违背测试对象编程风格的问题，包括变量检查、命名和类型审查、测试对象逻辑审查、测试对象语法检查和测试对象结构检查等内容。

在实际使用中，代码检查比动态测试更有效率，能快速找到缺陷，发现30%～70%的逻辑设计和编码缺陷；代码检查看到的是问题本身而非征兆。但是代码检查非常耗费时间，而且代码检查需要知识和经验的积累。代码检查应在编译和动态测试之前进行，在检查前，应准备好需求描述文档、测试对象设计文档、测试对象的源代码清单、代码编码标准和代码缺陷检查表等。静态测试具有发现缺陷早、降低返工成本、覆盖重点和发现缺陷概率高的优点以及耗时长、测试依赖技术能力要求高的缺点。

5、动态测试

动态测试方法是指通过运行测试对象，检查运行结果与预期结果的差异，并分析运行效率、正确性和健壮性等性能。这种方法由三部分组成：构造测试用例、执行测试对象、分析测试对象的输出结果。根据动态测试在软件开发过程中所处的阶段和作用，动态测试可分为如下4个步骤。

（1）单元测试

单元测试是对测试对象中的基本组成单位进行测试，其目的是检验测试对象基本组成单位的正确性。单元测试是白盒测试。

（2）集成测试

集成测试是在测试对象系统集成过程中所进行的测试，其主要目的是检查测试对象单位之间的接口是否正确。在实际工作中，集成测试分为若干次的组装测试和确认测试。组装测试是单元测试的延伸，除对软件基本组成单位的测试外，还需增加对相互联系模块之间接口的测试；确认测试是对组装测试结果的检验，主要目的是尽可能地排除单元测试、组装测试中发现的错误。

（3）系统测试

系统测试是对已经集成好的测试对象进行彻底的测试，以验证其正确性和性能等满足其规约所指定的要求。系统测试应该按照测试计划进行，其输入、输出和其他动态运行行为应该与规约进行对比，同时测试其健壮性。如果规约（即设计说明书、需求说明书等文档）不完备，系统测试更多的是依赖测试人员的工作经验和判断，这样的测试是不充分的。系统测试是黑盒测试。

（4）验收测试

这是测试对象在投入使用之前的最后测试。验收测试是黑盒测试。

6、渗透测试

渗透测试是为了证明网络防御按照预期计划正常运行而提供的一种测试机制。渗透测试并没有一个标准的定义，国外一些安全组织达成共识的通用说法是：渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。即渗透测试是指渗透人员在不同（如从内网、从外网等）的位置利用各种手段对某个特定网络进行测试，以发现和挖掘系统中存在的漏洞，然后输出渗透测试报告，并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告，可以清晰知晓系统中存在的安全隐患和问题。渗透测试还具有2个显著特点：渗透测试是一个渐进的并且逐步深入的过程；渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。

渗透测试有时是作为外部审查的一部分而进行的。这种测试需要探查系统，以发现操作系统和任何网络服务，并检查这些网络服务有无漏洞。渗透测试更重要的作用在于解释所用工具在探查过程中所得到的结果。

作为网络安全防范的一种新技术，渗透测试对于信息安全测评具有实际应用价值。

7、模糊测试

模糊测试是一种通过向目标系统提供非预期的输入并监视异常结果来发现测评对象漏洞的方法。在模糊测试中，用随机破坏数据（也称作Fuzz）攻击一个测评对象，然后观察哪里遭到了破坏。模糊测试的特点在于它是不符合逻辑的。自动模糊测试不去猜测哪个数据会导致破坏，而是将尽可能多的杂乱数据投入程序中。

模糊测试是一项简单的技术，但它却能揭示出测试对象中的重要Bug。它能够验证现实世界中的错误模式，并在信息产品或系统上线前提示潜在的攻击渠道。模糊测试只能够说明Bug在测试对象中的出现，并不能证明不存在这样的Bug，而且，通过模糊测试能极大地提高测试对象的健壮性及抵御意外输入的安全性。如果模糊测试揭示出测试对象中的Bug，就应该进行及时修正，而不是当Bug随机出现时再应对它们。模糊测试通过明智地使用校验和XML、垃圾收集和/或基于语法的文件格式，更有效地从根本上加固了测试对象。因此，模糊测试是一项用于验证测试对象中真实错误的重要工具。

三、信息安全测评要求

1、客观性和公正性原则

测评工作虽然不能完全摆脱个人主张或判断，但测评人员应当在没有偏见和最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方法和过程，实施测评活动。

2、经济性和可重用性原则

基于测评成本和工作复杂性考虑，鼓励测评工作重用以前的测评结果，包括商业产品测评结果和信息系统先前的安全测评结果。所有重用的结果，都应基于这些结果还能适用于目前的系统，能反映目前系统的安全状态。

3、可重复性和可再现性原则

无论谁执行测评，依照同样的要求，使用同样的方法，对每个测评实施过程的重复执行都应该得到同样的测评结果。可再现性体现在不同测评者执行相同测评结果的一致性。可重复性体现在同一测评者重复执行相同测评结果的一致性。

4、符合性原则

测评所产生的结果应当是在对测评指标的正确理解下所取得良好的判断。测评实施过程应当使用正确的方法以确保其满足测评指标的要求。

四、信息安全测评流程

信息安全测评流程是保障测评工作健康有序进行的重要措施，各种测评工作的流程各有特点，下面分别以信息系统安全等级测评流程和信息安全专用产品销售许可测评流程来说明信息系统安全测评和信息产品安全测评的流程。

1、信息系统安全等级测评流程

对于初次进行等级测评的信息系统，测评机构进行的等级测评过程分为4个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动，具体流程见图1。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。

图1 信息系统安全等级保护测评工作流程

（1）测评准备活动

本活动是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况，准备测试工具，为编制测评方案做好准备。

（2）方案编制活动

本活动是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评指导书，形成测评方案。

（3）现场测评活动

本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求，严格执行测评指导书，分步实施所有测评项目，包括单元测评和整体测评2个方面，以了解系统的真实保护情况，获取足够证据、发现系统存在的安全问题。

（4）分析与报告编制活动

本活动是给出等级测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和《信息安全技术网络安全等级保护基本要求》的有关要求，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成测评报告文本。

2、信息安全专用产品销售许可测评流程

信息安全专用产品销售许可测评工作中建立了完善的测评流程，对测评任务的各个环节实施监控，每个环节的工作由专人负责，做到实时的质量控制，以确保检验报告的及时完成和数据及报告的准确性。相关的服务流程为送检准备阶段、受理阶段、在检阶段、报告审核阶段、报告/样品发送阶段，具体流程如图2所示。各阶段的具体措施如下。

图2 信息安全专用产品销售许可测评流程

（1）送检准备阶段

该阶段主要由送检客户参照测评机构网站上的“服务指南→检验流程”准备送检资料，填写委托合同并准备送检资料和样品。

（2）受理阶段

依据客户送检的合同、资质证明、技术文档和样品等全套资料，测评机构管理部将对送检资料进行初步的文审，一旦发现有不符合要求的、准备不齐全的，在该阶段即要求送检单位补充齐全。

送检资料通过初审后，管理部对送检产品进行正式的登记受理，将产生新的检验任务，任务状态为“管理部接受”状态。依据客户送检时声明的送检样品与代销产品一致，由样品管理员接收样品入库。跟随每一个检验任务有一套完整的检验流程单、样品编码单和样品接收/取回凭证单等，将伴随每个检验任务的整个生命周期，并和所有任务资料一并归档。

（3）在检阶段

测评机构将在承诺的测评周期内，由指定的检验人员从样品库领取样品进行检验；按照合同约定的检验依据，对送检样品进行测试和记录原始数据，该阶段由检测部完成；主检和复检的检验员完成测试后，由主检进行结果汇总，依据检测结果，分别编制合格/不合格的检验报告初稿。

（4）报告审核阶段

检验员将检验报告初稿提交，由检测部审核、管理部审核和技术负责人批准等三级审核，最终形成正式的检验报告。

（5）报告/样品发送阶段

检验报告完成后，测评机构通知客户领取或快递报告和样品。为方便送检单位，目前，多数检验报告都采用快递的方式邮寄。

▲
- The end -