国标GB-T 25000.51-2016-信息安全性方法解读及重点分析-CSDN博客

本文链接：https://blog.csdn.net/A_991128a/article/details/136400545

在软件检测领域，GB/T 25000.51-2016 《系统与软件工程
系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则》算得上是目前国内对就绪可用软件产品较多参照的软件检测标准，而其中对于软件的信息安全性也做了相关的要求，为测试工程师测试软件的安全性提供了指南。

标准原文：

GB/T 25000.51-2016 5.1.10 产品质量-信息安全性

适用时，产品说明应根据GB/T
25000.10-2016包含有关信息安全性的陈述，要考虑保密性、完整性、抗抵赖性、可核查性、真实性以及信息安全性的依从性，并以书面形式展示可验证的依从性依据。

![](https://img-
blog.csdnimg.cn/img_convert/f7bad21ddddc557a73e222d966ce9eee.png)

GB/T 25000.51-2016软件检测标准的具体测试方法及要求是参照 GB/T 25000.10-2016《系统与软件工程
系统与软件质量要求和评价（SQuaRE）第10部分：系统与软件质量模型》这个标准，GB/T
25000.10-2016将软件的信息安全性主要分为四大类，它们分别是保密性、完整性、抗抵赖性、可核查性、真实性和信息安全的依从性，它们用于验证系统、产品保护信息和数据的程度，使用户、系统产品或系统具有与其授权类型和授权基本一致的数据访问度。

GB/T 25000.10-2016-信息安全性内容

类型

概述

—|—

保密性

未授权的人或系统不应得到相关信息

完整性

防止数据在传输和存储过程中被破坏或被篡改

抗抵赖性

活动或事件被记录，不可被篡改、删除

可核查性

可以覆盖多少安全事件，以及记录内容的丰富程度

真实性

对登录用户进行鉴别、不可冒用，有登录失败处理

依从性

软件是否遵循相关约定、法规

保密性

条款：产品或系统确保数据只有在被授权时才能被访问的程度。
解析：确保数据只有在被授权时才能被访问，须防止未得到授权的人或系统访问相关的信息或数据，还要保证得到授权的人或系统能够正常访问相关的信息或数据。为了保证数据在传输过程中不被窃听，须对通信过程中的整个报文或会话进行加密。例如在交易系统中，涉及到银行账号、交易明细、身份证号、手机号等敏感信息，须保证这些信息在传输过程中的安全性，可采用加密算法，如3DES、AES、IDEA等进行加密处理。同时，须保证敏感信息在存储过程的保密性。启用访问控制功能，依据安全策略和用户角色设置访问控制矩阵，控制用户对信息或数据的访问。用户权限应遵循“最小权限原则”，授予账户承担任务所需最小权限，例如管理员只有管理员权限，不具备业务操作权限；同时要求不同账号间形成相互制约关系，审计人员不应具有系统管理权限，管理人员也不应有审计权限，这样两个角色就形成了相互制约关系。
重点分析：测试工程师在检测软件程序保密性的过程中，应重点对软件系统如下几点进行检测：

a. 权限分配（垂直越权或水平越权）；

b. 会话通信是否加密（https传输）；

c. 加密算法是否合理（弱加密算法base64、md5）；

d. 敏感信息是否存在泄露风险（用户信息、敏感数据）。

完整性

条款：产品、系统或组件防止未授权访问、篡改计算机程序或数据的程度。
解析：为了防止数据在传输和存储过程中被破坏或被篡改，一般采用增加校验位、循环冗余校验（CRC）的方式，检查数据完整性是否被破坏，或者采用各种散列运算和数字签名等方式实现通信过程中的数据完整性。采用关系型数据库保存数据，例如Oracle，增加数据完整性约束，如唯一键、可选值、外键等；实现事务的原子性，避免因为操作中断或回滚造成数据不一致，完整性被破坏。
重点分析：测试工程师在检测软件程序完整性的过程中，应重点对软件系统如下几点进行检测：

a. 系统软件在进行数据操作（增删改）时是否对数据格式进行了校验；

b. 检查数据库架构是否合理，数据库约束条件设置是否合理。

抗抵赖性

条款：活动或事件发生后可以被证实且不可被否认的程度。
解析：启用安全审计功能，对活动或事件进行追踪。对审计日志进行管理，日志不能被任何人修改或删除，形成完整的证据链。采用使用数字签名处理事务，在收到请求的情况下为数据原发者或接收者提供数据原发和接收证据。
重点分析：测试工程师在检测软件抗抵赖性的过程中，应重点对软件系统如下几点进行检测：

a. 软件系统后台是否具有日志记录机制，日志内容是否详细；

b. 系统会话处理机制是否有效（Cookie、Session、Token）。

可核查性

条款：实体的活动可以被唯一的追溯到该实体的程度。
解析：可核查性和抗抵赖性不同，重点在追溯实体的程度。主要考察启用安全审计功能后，覆盖用户的多少和安全事件的程度等。覆盖到每个用户活动，用户活动的日志记录内容至少应包括事件日期、事件、发起者信息、类型、描述和结束等；审计跟踪设置是否定义了审计跟踪极限的阈值，当存储空间被耗尽时，能否采取必要的保护措施。例如，报警并导出、丢弃未记录的审计信息、暂停审计或覆盖以前的审计记录等。
重点分析：测试工程师在检测软件可核查性的过程中，应重点对软件系统如下几点进行检测：

a. 软件日志内容记录是否详细，是否可溯源；

b. 软件日志覆盖内容是否齐全（大多数系统仅对ERROR错误进行记录）；

c. 日志保存周期及备份方法是否合理。

真实性

条款：对象或资源的身份标识能够被证实符合其声明的程度。
解析：系统提供专用的登录模块对登录用户进行身份标识和鉴别，验证其身份的真实性，同时需证实符合其声明的程度；用户的身份鉴别信息不易被冒用，同时不存在重复的用户身份标识。系统中用户名唯一且与用户一一对应，采用用户名和口令方式对用户进行身份鉴别，提高用户口令开启复杂度，如口令长度8位以上，至少包含数字、大小写字母、特殊字符中的三种，强制定期更换口令；系统不存在共享账户。提供登录失败处理功能，采取如结束会话、限制非法登录次数和自动退出等措施。这些都是可以在用户文档集中进行要求。
重点分析：测试工程师在检测软件真实性的过程中，应重点对软件系统如下几点进行检测：

a. 软件系统是否具有身份鉴别机制（登录、退出、单点登录等）；

b. 软件系统是否具有验证码机制，验证码复杂度是否合理，有无及验证机制等；

c. 软件系统对用户设置密码是否有要求，是否定期要求更换密码；

d. 软件系统针对Session会话中断、自动退出有无约束；

e. 软件系统是否拥有限制登录次数机制，防暴力破解。

依从性

条款：产品或系统遵循与信息安全性相关的标准、约定或法律法规以及类似规定的程度。
解析：产品说明是否提及产品信息安全性相关的标准、约定或法规要求，若提及并提供证明材料，则认可；否则，要验证软件与产品说明书提及的文件（需求文档）要求是否相符。
重点分析：测试工程师在检测软件信息安全依从性的过程中，应重点对软件系统如下几点进行检测：

a. 软件系统的需求说明书内有无对信息安全性相关要求（如系统无OWASP TOP 10 漏洞、渗透测试等）；

b. 判断软件系统类型，是否为特殊行业软件（金融、测绘、电力等行业）、特殊行业软件开发内容一般会存在其行业的相关要求。

参考条款：

GB/T 25000.51-2016 《系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则》
GB/T 25000.10-2016《系统与软件工程系统与软件质量要求和评价（SQuaRE）第10部分：系统与软件质量模型》
《软件产品质量要求和测试细则-GB/T 25000.51-2016标准实施指南》

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。