JR T 0191—2020 证券期货业软件测试指南软件安全测试.pdf

上传人：吴艺期

文档编号：1499120

上传时间：2021-03-04

格式：PDF

页数：21

大小：995.25KB

《JR T 0191—2020 证券期货业软件测试指南软件安全测试.pdf》由会员分享，可在线阅读，更多相关《JR T 0191—2020 证券期货业软件测试指南软件安全测试.pdf（21页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 03.060A11 JR中华人民共和国金融行业标准JR/T 0191 2020证券期货业软件测试指南软件安全测试 Guide for securities and futures industry software testSoftware security testing 2020-07- 10 发布 2020- 07 -10 实施中国证券监督管理委员会发布 JR/T 0191 2020 I 目次前言 .II1 范围 .12 规范性引用文件 .13 术语和定义 .14 软件

2、安全测试内容及流程 .25 软件安全测试技术 .36 软件安全测试基本测试方法 .77 移动应用安全测试特定测试方法 .13附录 A（资料性附录）软件安全测试模板 .16 A.1.软件安全测试方案 .16A.2.软件安全测试用例 .17A.3.软件安全测试报告 .17 JR/T 01912020 II 前言本标准按照 GB/T1.1 2009给出的规则起草。本标准由全国金融标准化技术委员会

3、证券分技术委员会（ SAC/TC180/SC4）提出。本标准由全国金融标准化技术委员会 (SAT/TC180)归口。本标准起草单位：中国证券监督管理委员会信息中心、大连商品交易所、证券期货业信息技术测试中心（大连）、中证信息技术服务有限责任公司、上海证券交易所、深圳证券交易所、上海期货交易所、中国金融期货交易所、国泰君安证券股份有

4、限公司、恒生电子股份有限公司、北京梆梆安全科技有限公司。本标准主要起草人：姚前、刘铁斌、周云晖、许强、李向东、俞枫、刘军、孙瑞超、刘进、丁新杰、董琳、肖昱、高心远、高锋远、李婷婷、沙明、谢冉、林林、陈冬严、杨硕、刘舒骐。 JR/T 0191 2020 1 证券期货业软件测试指南软件安全测试1 范围本标准给出了证券期货行业信息

5、系统建设过程中的软件安全测试目标及流程、软件安全测试技术、软件安全测试基本测试方法及移动应用安全测试特定测试方法。本标准适用于指导证券期货行业市场核心机构（以下简称核心机构）、证券期货基金经营机构（以下简称经营机构）以及证券期货信息技术服务机构（以下简称服务机构）实施证券期货业计算机软件和外部信息系统的

6、安全测试。注 1：核心机构，如证券期货交易所、证券登记结算机构、期货市场监控中心等；注 2：经营机构，如证券公司、期货公司、基金公司等；注 3：服务机构为软件开发商、信息商、服务商。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其

7、最新版本（包括所有的修改单）适用于本文件。GB/T 20271-2006 信息安全技术信息系统通用安全技术要求GB/T 25069-2010 信息安全技术术语JR/T 0060-2010 证券期货业信息系统安全等级保护基本要求（试行）JR/T 0067-2011 证券期货业信息系统安全等级保护测评要求（试行）JR/T 0146-2016（所有部分）证券期货业信息系统审计指南JR/T

8、0175-2019 证券期货业软件测试规范 3 术语和定义GB/T 25069-2010界定的以及下列术语和定义适用于本文件。3.1 软件安全测试 software security testing在信息系统软件产品的生命周期中，对软件产品进行检验，以验证软件产品符合安全需求和软件产品质量标准的过程。3.2 渗透测试 penetration testing以未经授权的动作绕过某一系统的安

9、全机制的方式，检查数据处理系统的安全功能，以发现信息系统安全问题的手段。 GB/T 25069-2010，定义 2.3.873.3 模糊测试 fuzz testing通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的技术。 JR/T 01912020 2 3.4 敏感信息 sensitive information一旦遭到泄露或修改，会对标识的信息主体造成影响的信息。注：证券期

10、货行业敏感信息包括客户姓名、客户详细地址、客户联系电话、客户证件号码、客户开户行及账号、会员交易情况、会员持仓数量、会员可用资金等。3.5 移动互联网应用程序 mobile internet application通过预装、下载等方式获取并运行在移动智能终端上、向用户提供信息服务的应用软件。4 软件安全测试内容及流程4.1 测试内容软件安全

11、测试的内容包括：a) 确定软件的安全特性实现与预期设计一致；b) 检测软件中潜在的漏洞和风险；c) 检验软件产品在受到恶意攻击的情形下，依然能够继续正确运行并确保软件被在授权范围内合法使用的能力；4.2 测试流程4.2.1 系统分析评估被测系统，分别从物理架构及逻辑架构的角度分析系统使用的组件、网络拓扑、系统配置与安全防御措施

12、等信息：a) 物理架构：根据系统所使用的组件梳理得到物理架构，包括数据库、控制组件、前端库以及通信协议等，进而了解系统的结构； b) 逻辑架构：根据系统的业务逻辑梳理得到逻辑架构，进而了解系统内部的数据流。4.2.2 威胁分析根据系统分析的结果，选择合适的威胁模型，分析系统面临的主要安全威胁。风险分析应符合 GB/T20271

13、-2006。如常见的基于数据流的威胁分析模型 STRIDE，它包含六个维度（假冒、篡改、否认、信息泄露、拒绝服务和提升权限）的威胁，通常结合使用数据流关系图 (DFD)来辅助 STRIDE分析，将系统分解成部件，并证明每个部件都不易受相关威胁攻击。系统分析及威胁分析完成后，应产出安全测试方案，方案内容包括系统分析阶段的物理架构、逻

14、辑架构，以及威胁分析阶段的数据流关系图、制定的技术方案、实施方案等，报告格式可参照模板输出（参见附录 A的图 A.1）。4.2.3 制定测试用例根据威胁分析的结果编写测试用例，针对分解的每一个数据流图，对每一个数据流图元素，映射对应的威胁，编写测试用例，用例可参照模板输出（参见附录 A的图 A.2）。4.2.4 测试执行 JR/T 0191

15、2020 3 测试执行包括自动化的工具执行以及手动执行两种方式，在此过程中需要用到各种自动化或手动测试工具。对于每一个用例的测试过程，需要有对应的操作截图，如果能够获得应用程序源代码，可以进行源码方向的安全审计。4.2.5 报告输出软件安全测试流程各阶段的输出文档，包括如下基本内容（见表 1 所示），可根据实际需要适当裁

16、剪，具体模板参照附录 A。表 1 报告的基本内容阶段输出文档报告的基本内容系统分析、威胁分析安全测试方案包括系统分析阶段的物理架构、逻辑架构等，威胁分析阶段的数据流关系图，以及制定的技术方案、实施方案等。制定测试用例安全测试用例包括测试用例标识、用例名称、前提条件、测试目的、测试步骤、期望结果、实际结果、不通过

17、原因、执行日期等。报告输出安全测试报告包括测试范围、测试环境（测试版本、软 /硬件环境清单、测试周期等）、测试结论（多角度、多维度展现系统的整体安全状况）、测试执行描述（人员、测试方法等）、测试结果汇总与缺陷分析以及改善建议等。5 软件安全测试技术5.1 安全功能检查通过人工检查、审核的方式对软件开发过程中涉及的安

18、全策略、进度、技术决策（如开发模型等）进行安全功能检查。检查内容包括文档、代码安全策略、安全要求、架构安全性等，检查的形式包括人工文件分析、访谈等。安全性测试的相关要求见 JR/T 0175-2019。5.2 代码安全测试通过对软件源代码进行安全扫描和审计，定位漏洞代码所在位置。测试内容分为静态检测与动态检测，覆盖范围广、

19、测试效率高。静态检测基于权威软件安全规范，如开放式 Web应用程序安全项目（ OWASP）、公共漏洞和暴露（ CWE）、支付卡行业数据安全标准（ PCIDSS）等，可以发现如变量未初始化、数组越界、缓冲区溢出、浮点数比较、除零等严重代码编写错误，以及其它代码规范问题。动态检测是指运行被测程序，检测内存溢出、资源泄露、进程线程异

20、常等在代码执行时才会发现的安全问题。5.3 漏洞扫描通过自动化扫描方式，检测系统和应用中存在的安全漏洞。测试内容为基于漏洞数据库或特征库，通过自动化工具扫描、探测等方法对目标系统的安全情况进行检测，发现可利用漏洞的一种安全测试技术。它能够定位漏洞准确位置，覆盖范围广。但由于自动化工具在很多情况下只是提示一种漏

21、洞存在的可能，因此需要对结果进行人工的分析判断。5.4 渗透测试以攻击者视角进行的黑盒测试，从而获得对应用系统安全的主观评价。测试内容为以未经授权的动作，主要指模拟黑客的各种攻击方法，绕过某一系统的安全机制，对主 JR/T 01912020 4 机或网络进行攻击测试，以检查系统的安全功能，发现安全问题或风险，或者用于重现某

22、一攻击场景。该项测试的测试结果通常真实有效且较为严重。5.5 模糊测试以向目标系统提供非预期输入的方式，提高应用程序的健壮性及抵御意外输入时的安全性。测试内容主要是向被测系统提供非预期的输入，并监视系统的异常表现或故障。它充分利用机器的能力通过自动化或半自动化的方式执行，具有原理简单，易于开发适合自身系统的模

23、糊测试工具的特点。模糊测试根据实际场景可选择是否使用工具，使用工具时包含以下过程：a) 测试工具通过随机或是半随机的方式生成大量变异数据；b) 测试工具将生成的变异数据通过输入方式发送给被测系统；c) 测试工具检测并监控被测系统的状态（如是否能够响应，响应是否正确等）；d) 测试工具根据被测系统的状态判断是否存在潜

24、在的安全漏洞，并记录异常日志。 5.6 软件安全测试技术选择软件测试人员可以根据不同的机构、部署环境和系统类别，选择与之相应的软件安全测试技术，见表 2 表 8。机构的划分遵循 JR/T 0146-2016（所有部分）。表 2 行业软件安全测试技术对应表 -证券交易所部署环境系统类别系统举例安全功能检查代码安全测试漏洞扫描渗透测试模糊测试面向专

25、网交易系统核心交易行情系统、竞价撮合平台、综合业务平台、衍生品交易平台、国际互联互通平台等业务系统业务管理系统、期权风控系统、实时监察系统、大数据平台、市场服务资料库等办公系统办公自动化（ OA）系统、企业资源计划（ ERP）系统、在线培训系统、人力资源（ HR）系统等面向互联网互联网服务系统交易所网站、网下 IPO、交易

26、参与人业务管理系统、基金业务系统、基金会员、费用收付、统一用户登录、结算管理系统（ BMS）、债券业务、债券招标发行、债券监管、债券申报、金融云等注： “ ” 为必选项 JR/T 0191 2020 5 表 3 行业软件安全测试技术对应表 -期货交易所部署环境系统类别系统举例安全功能检查代码安全测试漏洞扫描渗透测试模糊测试面向专网交易系统核心交易

27、系统业务系统结算系统、业务管理系统、会员服务系统、监察实时系统、监察预警系统、资金风险评估系统、期权参数管理系统、数据查询系统等办公系统办公自动化（ OA）系统、在线培训系统等面向互联网互联网服务系统交易所网站、电子仓单系统、场外市场、移动应用程序等注： “ ” 为必选项表 4 行业软件安全测试技术对应表 -证券登记结算机

28、构部署环境系统类别系统举例安全功能检查代码安全测试漏洞扫描渗透测试模糊测试面向专网交易系统 -业务系统证券登记结算系统、统一账户平台和基金 TA系统办公系统办公自动化（ OA）系统、企业资源计划（ ERP）系统等面向互联网互联网服务系统官方网站、互联网在线业务平台等注： “ ” 为必选项表 5 行业软件安全测试技术对应表 -其他核心机构

29、部署环境系统类别系统举例安全功能检查代码安全测试漏洞扫描渗透测试模糊测试面向专网交易系统 -业务系统证联网业务管理平台、中央信息监管平台、期货市场统一开户系统、基金报送系统、基金校验系统、基金数据管理系统等 JR/T 01912020 6 表 5 行业软件安全测试技术对应表 -其他核心机构（续）部署环境系统类别系统举例安全功能检查代码安全

30、测试漏洞扫描渗透测试模糊测试面向专网办公系统办公自动化（ OA）系统、期货保证金监控系统、投资者查询服务系统、期货市场运行监测监控系统等面向互联网互联网服务系统官方网站、统一信息披露平台、基金报送系统、基金信息披露系统、标准网电子化平台、期货互联网开户云平台、指数系统等注： “ ” 为必选项表 6 行业软件安全测试技术对应

31、表 -证券公司部署环境系统类别系统举例安全功能检查代码安全测试漏洞扫描渗透测试模糊测试面向专网交易系统柜台交易系统、集中交易系统、主经纪商（ PB）业务系统、极速交易系统、公司及营业部结算系统等面向专网业务系统经纪业务运营平台、统一账户平台、内存风控系统、呼叫中心平台、投资者服务平台、专业投资者服务平台、登记托管系统等

32、办公系统办公自动化（ OA）系统、客户关系管理（ CRM）系统等面向互联网互联网服务系统公司网站、网上交易客户端、手机证券客户端等注： “ ” 为必选项表 7 行业软件安全测试技术对应表 -基金管理公司部署环境系统类别系统举例安全功能检查代码安全测试漏洞扫描渗透测试模糊测试面向专网交易系统 O32 投资交易平台、场外交易平台等业务系统 T

33、A系统、估值核算系统、资金清算系统等 JR/T 0191 2020 7 表 7 行业软件安全测试技术对应表 -基金管理公司（续）部署环境系统类别系统举例安全功能检查代码安全测试漏洞扫描渗透测试模糊测试面向专网办公系统办公自动化（ OA）系统、客户关系管理（ CRM）系统、营销服务一体化平台等面向互联网互联网服务系统公司网站、订单系统、移动应用程序

34、等注： “ ” 为必选项表 8 行业软件安全测试技术对应表 -期货公司部署环境系统类别系统举例安全功能检查代码安全测试漏洞扫描渗透测试模糊测试面向专网交易系统柜台交易系统（主席和次席）、程序化交易系统、资管平台、核心交易结算系统等业务系统风控系统、监控系统等面向专网办公系统办公自动化（ OA）系统、客户关系管理（ CRM）系统等

35、面向互联网互联网服务系统公司网站、交易客户端、资管平台等注： “ ” 为必选项6 软件安全测试基本测试方法6.1 身份认证安全6.1.1 测试目标应用程序在授予访问权限之前进行了身份验证、对数据访问进行限制并且认证信息不会被绕过。6.1.2 测试内容若该系统安全等级为等保三级及以上或系统设计文档中明确具有身份认证功能，其应用安全应

36、符合JR/T 0060-2010和 JR/T 0067-2011，检测内容包括： a) 服务端对用户请求等操作均进行了认证授权，认证的方式包括采用静态密码、动态口令、 USBkey等；b) 服务端与客户端使用双因子或多因子认证机制；c) 服务端具备登录异常处理机制；d) 服务端能够对验证码等措施的认证绕过进行防范；e) 认证信息不会被轻易破解和篡改。 JR/T 01

37、912020 8 6.1.3 结果判定若完全符合 6.1.2测试内容，则判定应用程序符合本项测试需求，否则判定其不符合或部分符合本项测试需求。6.2 口令安全6.2.1 测试目标应用程序使用了强密码策略，对用户登录有错误次数限制，在超过规定错误次数后，对用户进行锁定或冻结。6.2.2 测试内容检测内容包括：a) 服务端能够对口令复杂度进行安全检测并

38、提示； b) 密码输入框不以明文形式显示密码；c) 服务端对用户登录错误次数进行限制；d) 服务端口令找回功能的密码找回凭证足够复杂、不可猜测并且不存在越权。e) 服务端对用户登录失败进行统一提示。6.2.3 结果判定若完全符合 6.2.2测试内容，则判定应用程序符合本项测试需求，否则判定其不符合或部分符合本项测试需求。6.3 访问权限

39、安全6.3.1 测试目标应用程序对用户权限进行了配置，不会发生越权行为（包括横向越权和纵向越权）。 6.3.2 测试内容若该系统安全等级为等保三级及以上或系统设计文档中明确具有访问权限控制功能，检测内容包括： a) 服务端具备权限配置功能，且有权限判断机制；b) 服务端对敏感数据进行访问权限控制；c) 服务端对每个请求 URL进行鉴权

40、，而非仅仅通过客户端的菜单屏蔽或者按钮不可用来限制；d) 用户认证采用多因子认证方式，防止通过修改用户身份证明（ UID）实现越权操作。6.3.3 结果判定若完全符合 6.3.2测试内容，则判定应用程序符合本项测试需求，否则判定其不符合或部分符合本项测试需求。6.4 会话管理安全 6.4.1 测试目标应用程序在用户登录并空闲一定时间后，会

41、对用户会话进行检测，对超时会话进行自动终止。 JR/T 0191 2020 9 6.4.2 测试内容检测内容包括：a) 已对会话信息进行安全加密；b) 用户登录后，身份信息不再由客户端提交，而是以服务器端会话信息中保存的身份信息为准；c) 应用程序提供注销登录功能，注销时，会话信息随之清除；d) 每次登录成功后变更会话标识；e) 对用户的操作进

42、行 token 验证，防止跨站请求伪造（ CSRF）的操作。6.4.3 结果判定若完全符合 6.4.2测试内容，则判定应用程序符合本项测试需求，否则判定其不符合或部分符合本项测试需求。6.5 通信安全 6.5.1 测试目标应用程序在处理通信过程中使用了安全的通信协议，并对传输数据采用了加密传输的机制。6.5.2 测试内容若该系统安全等级为等保三级及以

43、上或系统设计文档中明确具有通信安全要求，检测内容包括：a) 应用程序在进行通信时采用了安全通信协议，例如 SSL/TLS、 IPSec 等；b) 应用程序在进行通信时对通信数据进行加密保护；c) 应用程序在进行通信时对通信数据进行完整性校验；d) 应用程序对通信数字证书进行安全性校验。6.5.3 结果判定若完全符合 6.5.2测试内容，则判定应用

44、程序符合本项测试需求，否则判定其不符合或部分符合本项测试需求。6.6 业务逻辑安全6.6.1 测试目标使用户按照预定的规则运行应用程序，保护业务系统免受业务安全威胁。6.6.2 测试内容检测内容包括：a) 应用程序业务数据不可被篡改；b) 应用程序业务逻辑工作流不可被打破；c) 应用程序不允许用户上传业务逻辑允许以外的文件类型的文件；d) 应用程序业务接口调用足够安全。 6.6.3 结果判定若完全符合 6.6.2测试内容，则

下载提示：本站仅提供存储空间/不修改/不编辑