國(guó)標(biāo)GB/T 25000-2016中的信息安全性是否可以依據(jù)國(guó)標(biāo)GB/T 22239-2019來(lái)進(jìn)行測(cè)試呢?

編輯:尚云 閱讀量:475

結(jié)論

是的,GB/T 25000.51-2016中的信息安全性測(cè)試可以部分依據(jù)GB/T 22239-2019進(jìn)行,但需結(jié)合兩者的具體要求和測(cè)試范圍。

軟件測(cè)試國(guó)家標(biāo)準(zhǔn)25000.51

1. 標(biāo)準(zhǔn)關(guān)聯(lián)性

  • GB/T 25000.51-2016信息安全性部分)明確要求軟件產(chǎn)品需符合相關(guān)標(biāo)準(zhǔn)和法規(guī),其中GB/T 22239-2019(網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求)是重要參考依據(jù)之一。

  • GB/T 22239-2019作為網(wǎng)絡(luò)安全等級(jí)保護(hù)的核心標(biāo)準(zhǔn),覆蓋了安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境、安全管理中心等技術(shù)和管理要求,與GB/T 25000.51的信息安全性測(cè)試內(nèi)容高度重疊。

2. 測(cè)試內(nèi)容對(duì)比

GB/T 25000.51-2016 信息安全性測(cè)試要點(diǎn)

  • 保密性

    • 檢查數(shù)據(jù)傳輸和存儲(chǔ)是否加密(如3DES、AES)。

    • 驗(yàn)證賬戶(hù)權(quán)限遵循最小權(quán)限原則。

  • 完整性

    • 校驗(yàn)數(shù)據(jù)傳輸和存儲(chǔ)的完整性(如散列算法、數(shù)據(jù)庫(kù)約束)。

    • 確保事務(wù)原子性,防止數(shù)據(jù)不一致。

  • 抗抵賴(lài)性

    • 審計(jì)日志的不可篡改性。

    • 關(guān)鍵操作采用數(shù)字簽名。

  • 可核查性

    • 審計(jì)日志覆蓋所有用戶(hù)操作,記錄事件日期、時(shí)間、發(fā)起者等信息。

  • 真實(shí)性

    • 身份鑒別機(jī)制(如雙因子認(rèn)證、密碼復(fù)雜度要求)。

  • 依從性

    • 驗(yàn)證軟件是否符合GB/T 22239等行業(yè)標(biāo)準(zhǔn)。

信息安全等保GBT22239-2019

GB/T 22239-2019 關(guān)鍵要求

  • 安全計(jì)算環(huán)境

    • 身份鑒別:要求兩種以上鑒別方法,限制登錄失敗次數(shù)。

    • 訪問(wèn)控制:最小權(quán)限原則,權(quán)限分離。

    • 數(shù)據(jù)完整性:校驗(yàn)技術(shù)(如CRC、散列算法)。

    • 抗抵賴(lài)性:審計(jì)日志保護(hù),數(shù)字簽名。

  • 安全通信網(wǎng)絡(luò)

    • 數(shù)據(jù)傳輸完整性校驗(yàn)。

    • 加密技術(shù)(如SSL/TLS)。

重疊內(nèi)容

GB25000與GB22239相同內(nèi)容


不同內(nèi)容

GB25000與GB22239不通內(nèi)容


3. 測(cè)試依據(jù)的可行性

  • 技術(shù)實(shí)現(xiàn)層面

    • GB/T 22239-2019中關(guān)于身份鑒別、數(shù)據(jù)加密、審計(jì)日志、完整性校驗(yàn)的要求可直接用于GB/T 25000.51的測(cè)試。

    • 例如,GB/T 25000.51的保密性測(cè)試可引用GB/T 22239對(duì)加密算法和密鑰管理的要求。

  • 管理要求層面

    • GB/T 22239包含安全管理中心、安全制度等管理要求,而GB/T 25000.51更側(cè)重技術(shù)驗(yàn)證,因此管理部分需單獨(dú)測(cè)試。

  • 差異與補(bǔ)充

    • GB/T 25000.51強(qiáng)調(diào)軟件產(chǎn)品功能驗(yàn)證(如用戶(hù)權(quán)限分配、會(huì)話管理),而GB/T 22239側(cè)重系統(tǒng)級(jí)安全防護(hù)(如網(wǎng)絡(luò)架構(gòu)、物理環(huán)境)。

    • 測(cè)試時(shí)需結(jié)合GB/T 25000.51的依從性條款,驗(yàn)證軟件是否符合GB/T 22239的具體技術(shù)要求。

4. 實(shí)施建議

  1. 測(cè)試用例設(shè)計(jì)

    • 引用GB/T 22239中與信息安全性相關(guān)的技術(shù)條款(如身份鑒別、數(shù)據(jù)加密、審計(jì)日志)。

    • 補(bǔ)充GB/T 25000.51特有的測(cè)試項(xiàng)(如軟件權(quán)限分配、會(huì)話管理)。

  2. 工具與方法

    • 使用漏洞掃描工具(如Nessus)檢查未授權(quán)訪問(wèn)漏洞。

    • 通過(guò)協(xié)議分析工具(如Wireshark)驗(yàn)證數(shù)據(jù)加密和完整性。

  3. 合規(guī)性驗(yàn)證

    • 對(duì)照GB/T 22239的等級(jí)保護(hù)要求(如第二級(jí)、第三級(jí)),確認(rèn)軟件是否滿足對(duì)應(yīng)安全功能。

GB/T 25000.51-2016的信息安全性測(cè)試可部分依據(jù)GB/T 22239-2019進(jìn)行,尤其在技術(shù)實(shí)現(xiàn)層面(如加密、身份鑒別、審計(jì)日志)。但需注意兩者的側(cè)重點(diǎn)差異,確保全面覆蓋GB/T 25000.51規(guī)定的六個(gè)子特性(保密性、完整性、抗抵賴(lài)性、可核查性、真實(shí)性、依從性)。建議結(jié)合兩個(gè)標(biāo)準(zhǔn)的具體要求設(shè)計(jì)測(cè)試用例,以實(shí)現(xiàn)全面驗(yàn)證。

相關(guān)文章推薦

軟件測(cè)試國(guó)家標(biāo)準(zhǔn)GB/T 25000.51-2016

【標(biāo)準(zhǔn)】GB/T 25000.51-2016國(guó)家標(biāo)準(zhǔn)匯總性介紹